Archives par mot-clé : RGPD

Les « Cnil » européennes en font-elles assez en tant que gendarmes des données personnelles ?

Publié le par

Edition Multimédi@ revient sur la Journée de la protection des données (Data Protection Day) qui a été célébrée – comme tous les ans depuis 2007 – le 28 janvier. L’organisation Noyb a publié un sondage montrant, en creux, que les « Cnil » européennes ne contrôlent pas assez le respect du RGPD.

La Journée de la protection des données (Data Protection Day) qui été célébrée – comme tous les ans depuis 2007 (1) – le 28 janvier, est tombée cette année un dimanche. D’où le peu d’intérêt qu’elle a cette fois suscité. Pourtant, cette cause est cruciale pour les vies numériques des presque 404 millions d’internautes de l’Union européenne (UE), laquelle compte 445,8 millions d’Européens (2). Les données personnelles de ces citoyens de l’UE sont censées être protégées par les « gendarmes » des données personnelles justement, à savoir les « Cnil » dans chacun des Vingt-sept.

Les « Cnil » font-elles leur boulot ?
Or les « Cnil » de l’UE, réunies au sein du Comité européen de la protection des données (CEPD/EDPB) aux côtés de la Commission européenne qui participe à leurs réunions (sans droit de vote), n’useraient pas suffisamment de leurs pouvoirs de contrôle et d’enquête pour vérifier que les plateformes numériques et les sites web respectent – entre autres obligations de protection de la vie privée de leurs utilisateurs – le règlement général sur la protection des données (RGPD). C’est ce qui ressort, en creux, d’un vaste sondage mené par l’organisation autrichienne Noyb – « centre européen pour les droits numériques » cofondé à Vienne et dirigé par Max Schrems (photo) – auprès de 1.000 professionnels de la protection des données travaillant dans des entreprises européennes.
Dans les résultats de cette étude sans précédent depuis l’entrée en vigueur du RGPD le 25 mai 2018, il y a plus de cinq ans, il ressort que 74,4 % des professionnels interrogés – de nombreux étant eux-mêmes des DPO (Data Protection Officers), à savoir des délégués à la protection des données dans une entreprise – affirment que « si les autorités de protection des données personnelles [les « Cnil » européennes, ndlr] menaient une enquête sur place dans une entreprise moyenne traitant des données d’utilisateurs, elles trouveraient des “violations pertinentes” ».

Autrement dit, la plupart des entreprises, au premier rang desquelles les grandes sociétés, ne respectent pas les obligations du RGPD (3) pour protéger la vie privée des personnes dont elles exploitent les données personnelles. Et, en toute impunité puisque les « Cnil » – les Data Protection Authorities (DPA) – en contrôlent très peu. Les sociétés et organisations sont donc en infraction avec ce règlement européen, lequel prévoit trois types sanctions financières en cas de violation des données personnelles :
Pour les violations des obligations incombant au responsable du traitement et au sous-traitant, des obligations incombant à l’organisme de certification, ou des obligations incombant à l’organisme chargé du suivi des codes de conduite : amendes administratives pouvant s’élever jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
Pour les violations aux principes de base d’un traitement, y compris les conditions applicables au consentement, aux droits dont bénéficient les personnes concernées, aux transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale, à toutes les obligations découlant du droit des Etats membres, ou au non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle, ou le fait de ne pas accorder l’accès prévu : amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. « Le non-respect d’une injonction émise par l’autorité de contrôle [une « Cnil » en Europe, ndlr] fait l’objet d’amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu », prévoit le RDPD (4).

France : seulement 125 agents habilités
Chaque autorité de contrôle des données personnelles est dotée de pouvoirs, sur son territoire, de contrôler l’application du RGPD et de veiller à son respect, ainsi que de pouvoirs d’enquêtes sur l’application de ce même règlement, « y compris sur la base d’informations reçues d’une autre autorité de contrôle ou d’une autre autorité publique » (5). Parmi ses nombreuses attributions en tant que gendarme des données personnelles, la « Cnil » européenne traite aussi « les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association, […] et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de contrôle est nécessaire ». Mais les autorités de contrôle des données dans l’UE remplissent-elles bien leur mission de contrôles, d’enquêtes voire de sanctions ? Au vu des constatations de Noyb, le doute s’installe sur leurs capacités à faire respecter la loi, en l’occurrence le RGPD. En France, la Cnil ne dispose que de 125 agents habilités « à procéder à des missions de vérification », d’après sa dernière délibération du 7 décembre 2023 publiée au Journal Officiel (6). Contactée par Edition Multimédi@, la Cnil nous indique qu’elle n’a « pas de commentaires à faire concernant le sondage Noyb ».

Le « soft-law » des DPA jugé inefficace
Le fait que 74,4 % des sondés par Noyb se disent d’accord avec l’affirmation selon laquelle « les autorités de protection des données trouveraient sûrement des violations pertinentes du RGPD » (voir tableau ci-dessous) en disent long sur le peu de contrôles et d’enquêtes qui sont menés sur le terrain. Les « Cnil » sont donc appelées à, en substance, faire vraiment leur travail de vérification en se rendant dans les entreprises. Avec ses 125 agents habilités, la Cnil française semble par exemple presque désarmée – en tant que gendarme des données personnelles – face à l’ampleur de la tâche. Sachant que, rien qu’en France d’après le rapport annuel de la Cnil, présenté par sa présidente Marie-Laure Denis (photo ci-contre) en mai 2023, il y a 89.841 délégués à la protection des données (DPO) susceptibles d’être contrôlés. Cela fait par agent assermenté plus de 700 responsables – de traitement des données personnelles et de la protection de la vie privée – à « vérifier »… Résultat, comme le constate Noyb, « les professionnels évoluent encore dans une culture de non-conformité ou de conformité partielle ». Et le président honoraire de Noyb d’enfoncer le clou : « Il est extrêmement alarmant de constater que 74,4 % des professionnels de la protection des données au sein des entreprises déclarent que les autorités trouveraient en des violations importantes dans une entreprise moyenne. De tels chiffres seraient inimaginables s’il s’agissait de se conformer à la législation fiscale ou à la réglementation en matière de sécurité incendie. La non-conformité ne semble être la norme que lorsqu’il s’agit des données personnelles des utilisateurs » (7). Autre critique à l’égard des « Cnil » et de leur représentation CEPD/EDPB à Bruxelles : les instruments dits de soft-law sont inefficaces, à savoir notamment leurs lignes directrices et recommandations qui n’ont que peu d’influence et sont considérées comme généralistes. D’après l’enquête de Noyb, 70,9 % des personnes interrogées pensent qu’il faudrait des décisions plus claires de la part des gendarmes européens des données personnelles (les vingt-sept DPA) et des tribunaux pour améliorer la conformité. Pour l’écrasante majorité des sondés, il y a « un besoin d’une plus grande implication réellement des DPA pour améliorer la protection de la vie privée des utilisateurs dans la pratique » et il y a encore « beaucoup d’interprétations contradictoires du RGPD ».
Et un avocat néerlandais spécialiste du RGPD de faire remarquer : « Si les Big Tech ne respectent pas le RGPD, pourquoi les petites entreprises se donneraient la peine de se conformer ? ». L’outil d’audit de site web WAT lancé le 29 janvier dernier par le CEPD/EDPB, sous forme de logiciel open source et gratuit (8), devrait permettre aux gendarmes des données et aux éditeurs Internet de vérifier la conformité ou pas de sites web. Reste qu’aujourd’hui le droit à la vie privée et à la protection des données est en grande partie bafoué en Europe, plus de cinq ans après l’entrée en vigueur du RGPD qui devrait en principe faire l’objet d’une révision cette année (9). @

Charles de Laubier

 

Traque anonyme par des cookies publicitaires : l’Europe harmonise l’information aux internautes

Publié le par

Tandis que les navigateurs web Google, Safari, Firefox ou Edge ont proscrit les cookies publicitaires, les sites web continuent le suivi à la trace des internautes mais de façon anonyme, pour peu que ces derniers y aient consentis. Encore faut-il qu’ils soient bien informés avant de décider.

Pour le commissaire européen Didier Reynders (photo), en charge de la Justice (protection des consommateurs comprise), c’est l’aboutissement de longs mois de réflexion, avec les professionnels concernés, sur la manière de mieux informer les consommateurs avant de choisir s’ils acceptent – ou pas – d’être suivis à la trace lors de leur navigation sur Internet. Même si l’année 2024 annonce la fin généralisée des cookies publicitaires, les internautes ont la possibilité de consentir à livrer des données anonymes les concernant à des fins publicitaires. L’Union européenne (UE) veut harmoniser les conditions d’informations des consommateurs du Net avant de donner ou pas leur accord.

Des principes finalisés en janvier 2024
Continuer à être « tracké » ou pas ? Telle est la question. Avant de donner leur consentement individuel à chaque fois qu’ils se rendent sur un site web ou une application, les internautes européens – au nombre de 404 millions dans l’UE (1) – doivent être mieux informés. C’est l’objectif de la « réflexion sur la façon de mieux habiliter les consommateurs à faire des choix efficaces concernant les modèles de publicité basée sur le suivi » initiée il y a près d’un an par la Commission européenne et intitulée « Cookie Pledge » – en français, « Engagement en matière de cookies »).
Ce sont des principes qui devront être appliqués et respectés dans les Vingt-sept par l’écosystème du Net composé des éditeurs de sites web (ou d’applications mobiles) et des annonceurs publicitaires. Ces engagements complèteront les obligations imposées par la directive « ePrivacy » (2) et le règlement général européen sur la protection des données (RGPD), sous peine de sanctions financières infligées par les « Cnil » européennes (3).

Ces principes doivent être « peaufinés » en janvier 2024 en vue de présenter une « version finale » lors du Sommet des consommateurs (European Consumer Summit) prévu à Bruxelles le 28 mars prochain (soit après la Journée mondiale des droits des consommateurs, organisée par l’ONU le 15 mars).
« La prochaine étape pour les parties prenantes, précise-t-on à Bruxelles, est de discuter de ces principes et de réfléchir à la possibilité de les adopter volontairement ». Le Comité européen de la protection des données (CEPD), lui, a déjà été consulté et donné son avis le 19 décembre dernier sur la conformité de ces principes (4). Le projet des « principes d’engagement volontaire des entreprises » vise à « simplifier la gestion par les consommateurs des cookies et des choix publicitaires personnalisés ». Ce document de travail de deux pages – intitulé « Draft Pledging Principles » (5) – pose huit principes que devront adopter les acteurs du Net qui sollicitent le consentement des internautes :
La demande de consentement ne contiendra pas d’informations sur les cookies dits essentiels ni de référence à la collecte de données basée sur un intérêt légitime. Comme les cookies essentiels [strictement nécessaires au fonctionnement du site web ou de l’application, sur l’identification sur celui-ci ou celle-ci, ou sur le panier d’achat du consommateur, ndlr] ne nécessitent pas de consentement, le fait de ne pas afficher d’informations à leur sujet dans le cadre de la demande de consentement réduira les informations que les utilisateurs doivent lire et comprendre. En outre, l’intérêt légitime n’étant pas un motif pour le traitement des données basé sur l’article 5 de la directive « e-Privacy », ils ne devraient donc pas être inclus dans la bannière des cookies. La question du traitement ultérieur des données fondé sur l’intérêt légitime devrait être expliquée dans des couches [ou niveau] supplémentaires.
Lorsque le contenu est financé au moins partiellement par la publicité, il sera expliqué à l’avance lorsque les utilisateurs accèdent au site web ou à l’application pour la première fois. A partir du moment où une entreprise génère des revenus, soit en exposant les consommateurs au suivi publicitaire basé sur la collecte et l’utilisation d’informations sur le comportement en ligne des consommateurs via des trackers, soit en vendant à des partenaires le droit de mettre des trackers sur les appareils des consommateurs via leur site web [ou application], les consommateurs doivent être informés du modèle économique en question au moins en même temps que lorsque le consentement aux cookies est requis. Demander aux consommateurs de lire des bannières complexes de cookies et seulement après qu’ils n’aient pas consenti, les exposant à un ultimatum « payer ou quitter », pourrait être considéré comme une manipulation.

Option « publicité moins intrusive »
Chaque modèle économique sera présenté de façon succincte, claire et facile à choisir. Cela inclura des explications claires sur les conséquences de l’acceptation ou du refus des trackers. La plupart des cookies sont utilisés pour mettre en œuvre un modèle économique et cette concomitance devrait donc être facilement décrite, comprise et mise en œuvre dans un panneau conjoint regroupant les accords en vertu du droit des consommateurs et le consentement en vertu de la loi (e-Privacy/ RGPD). Dans ce panneau, les options du modèle économique (c’est-à-dire « accepter de la publicité basée sur le suivi », « accepter d’autres types de publicité » ou « accepter de payer des frais ») seront présentées avec les conséquences en termes de proposition de trackers, et ce en langage simple et simple.

Lutter contre « la fatigue des cookies »
S’il est proposé de faire un suivi de la publicité ou de payer des frais, les consommateurs auront toujours le choix entre une autre forme de publicité moins intrusive. Compte tenu du nombre extrêmement limité de consommateurs qui acceptent de payer pour du contenu en ligne de différentes sortes, et du fait que les consommateurs peuvent naviguer quotidiennement sur des dizaines de sites web différents, le fait de demander aux consommateurs de payer ne semble pas une solution de rechange crédible au suivi de leur comportement en ligne à des fins publicitaires qui exigeraient légalement d’obtenir leur consentement.
Le consentement aux cookies à des fins publicitaires ne devrait pas être nécessaire pour chaque tracker. Pour ceux qui sont intéressés, dans une deuxième couche [ou niveau], plus d’informations sur les types de cookies utilisés à des fins publicitaires devraient être données, avec une possibilité de faire une sélection plus fine. Lorsque les utilisateurs acceptent de recevoir de la publicité, il convient de leur expliquer en même temps comment cela est effectué et en particulier si des cookies, y compris des cookies tiers pertinents, sont placés sur leur appareil. Il ne devrait pas être nécessaire pour eux de vérifier chaque tracker. En effet, cela peut revenir à vérifier un à deux mille partenaires différents, rendant le choix totalement inefficace soit en donnant une illusion de choix, soit en décourageant les gens de lire plus loin, les conduisant à appuyer sur les boutons « accepter tout » ou « refuser tout ». Ce principe devrait être sans préjudice de règles plus strictes dans d’autres législations sectorielles, telles que la DMA [Digital Markets Act].
Pas de consentement séparé nécessaire pour les cookies utilisés pour gérer le modèle publicitaire sélectionné par le consommateur (par exemple, les cookies pour mesurer la performance d’une annonce spécifique ou pour effectuer de la publicité contextuelle) car les consommateurs ont déjà exprimé leur choix à l’un des modèles économiques. L’une des raisons de la fatigue des cookies est que tous les types de cookies sont très souvent décrits de manière longue et plutôt technique, ce qui rend un choix éclairé complexe et lourd et de facto inefficace. Par ailleurs, dès lors que le modèle économique est précisé et accepté par le consommateur, la nécessité pour les entreprises de mesurer la performance de leurs services publicitaires ou de prévenir la fraude peut être considérée comme inextricablement liée au modèle économique de la publicité, auquel le consommateur a consenti. Les autres cookies qui ne sont pas strictement nécessaires à la fourniture du service publicitaire spécifique devraient encore nécessiter un consentement séparé.
Le consommateur ne doit pas être invité à accepter les cookies dans un délai d’un an à compter de la dernière demande. Le cookie pour enregistrer le refus du consommateur est nécessaire pour respecter son choix. Une raison majeure de la fatigue des cookies, particulièrement ressentie par les personnes les plus intéressées par leur vie privée, est que les choix négatifs ne sont pas enregistrés et doivent être répétés chaque fois qu’ils visitent un site web ou même chaque page d’un site web. L’enregistrement de ce choix est indispensable pour une gestion efficace d’un site web et pour le respect des choix des consommateurs. De plus, afin de réduire la lassitude à l’égard des trackers, un délai raisonnable, par exemple un an, devrait être adopté avant de demander de nouveau le consentement des consommateurs.
Les signaux provenant d’applications offrant aux consommateurs la possibilité d’enregistrer à l’avance leurs préférences en matière de cookies avec au moins les mêmes principes que ceux décrits ci-dessus seront acceptés. Les consommateurs devraient avoir leur mot à dire s’ils décident de refuser systématiquement certains types de modèles publicitaires. Ils devraient être habilités à le faire et la législation sur la protection de la vie privée et des données ne devrait pas être utilisée comme argument contre un tel choix, à condition que le choix automatisé ait été fait consciemment.

GAFAM, TikTok et organisations pro
Pour parvenir à ce projet de principes d’« engagement volontaire » des professionnels de l’écosystème « trackers/publicité ciblée » (6), le commissaire européen Didier Reynders a réuni autour de la table les GAFAM (Google/Alphabet, Apple, Facebook/Meta, Amazon, Microsoft), ainsi que TikTok. Des organisations professionnelles ont aussi travaillé au sein de trois groupes de travail : IAB Europe, European Publishers Council (EPC), Bureau européen des unions de consommateurs (Beuc), Federation of European Data & Marketing (Fedma), European Interactive Digital Advertising Alliance (EEDA), German Brand Association (Markenverband). Ils se sont mis à la place des consommateurs confrontés chaque jour aux différentes bannières et autres bandeaux ou panneaux sollicitant constamment leur consentement. @

Charles de Laubier

Abonnements payants de Facebook et Instagram en Europe : Meta se heurte aux exigences du RGPD

Publié le par

Pour Instagram ou Facebook sans publicités, il en coûte désormais aux Européens 9,99 euros par mois sur le Web et même 12,99 euros sur application mobile. C’est cher payé pour ne plus être ciblé dans sa vie privée. Et le consentement « libre » des utilisateurs exigé par le RGPD est-il respecté ?

(Cet article juridique a été publié dans EM@ n°312 du 18 décembre 2023. Le 11 janvier 2024, l’organisation Noyb a annoncé avoir déposé plainte contre Meta)

L’anonymat sur les réseaux sociaux n’existe pas, seule est pratiquée la pseudonymisation

Publié le par
A part pour certains geeks utilisant Tor, l’anonymat sur Internet n’existe quasiment pas – contrairement à une idée répandue. L’identification d’un internaute utilisant un pseudonyme se fait par son adresse IP et peut être ordonnée par un juge sur « réquisition judiciaire ». « L’anonymat sur les réseaux sociaux n’est plus une protection face à la justice », a lancé le procureur de la République de Créteil, Stéphane Hardouin, le 6 juillet dernier sur son compte professionnel LinkedIn, en montrant son communiqué expédié le même jour (1). Il annonce qu’un jeune homme âgé de 19 ans, ayant relayé de façon anonyme sur Twitter – après la mort de Nahel tué à bout portant par un policier le 27 juin 2023 à Nanterre et ayant suscité une forte émotion – un appel à attaquer le centre commercial « Créteil Soleil » et le tribunal judiciaire de Créteil, a été identifié avec l’aide de Twitter. Twitter, Snapchat, Instagram, TikTok, … Présumé innocent, il encourt en cas de culpabilité jusqu’à cinq ans de prison d’emprisonnement et 45.000 euros d’amendes. Son anonymat a été levé par Twitter sur réquisition judiciaire adressée le 1er juillet au réseau social à l’oiseau bleu. Accusé de « provocation publique et directe non suivie d’effet à commettre un crime ou un délit et complicité de dégradation ou détérioration d’un bien appartenant à autrui », le garçon majeur – domicilié dans le Val-de-Marne – a été interpellé le 6 juillet et placé en garde à vue au commissariat de Créteil. Après son tweet, il se trouve que le centre commercial « Créteil Soleil » était pris d’assaut le 30 juin (21 individus interpelés), puis dans la nuit du 2 au 3 juillet des barricades faites de poubelles était incendiées et des mortiers était tirés aux abords du tribunal judiciaire de Créteil. Son message a été repéré par Pharos, la « plateforme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements » de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), au sein de la Police judiciaire. Pour la réquisition judiciaire adressée à Twitter, le procureur de Créteil, Stéphane Hardouin, fait référence dans son communiqué à la circulaire du garde des sceaux datée du 30 juin et signée par Eric Dupond-Moretti (photo), qui appelle notamment à « une réponse pénale ferme ». Le ministre de la Justice pointe notamment l’anonymat sur les réseaux sociaux qui peut être levé par un juge : « Il apparaît que de nombreuses exactions sont commises après avoir été coordonnées via les systèmes de diffusion de messages sur certains réseaux sociaux dits OTT pour “opérateurs de contournement” (Snapchat notamment). Il doit être rappelé que depuis l’entrée en vigueur de l’ordonnance n°2021-650 du 25 mai 2021, les OTT sont considérés comme des opérateurs de communication électronique (…), au sens de l’article L.32 du code des postes et des communications électroniques (CPCE). Dès lors, ils sont tenus de répondre aux réquisitions judiciaires, car relevant des mêmes obligations que les opérateurs téléphoniques. Ils peuvent ainsi être requis au visa de l’urgence pour assurer une réponse rapide sur les éléments de nature à permettre d’identifier les auteurs de ces messages ». Dans la circulaire « Traitement judiciaire des violences urbaines » de quatre pages (2), émise par la Direction des affaires criminelles et des grâces à l’attention des procureurs et des présidents des tribunaux, le garde des sceaux leur demande de « veiller à retenir la qualification pénale adaptée aux faits perpétrés dans ce contexte et à procéder à une évaluation rapide et globale de la situation de manière à pouvoir apporter une réponse pénale ferme, systématique et rapide aux faits le justifiant ». Et d’ajouter : « Pour les mis en cause majeurs, la voie du défèrement aux fins de comparution immédiate ou à délai différé, ou le cas échéant, de comparution sur reconnaissance préalable de culpabilité, sera privilégiée pour répondre aux faits les plus graves ». Eric Dupond- Moretti a rappelé en outre que « les infractions commises par les mineurs engagent, en principe, la responsabilité civile de leurs parents ». Que cela soit dans la vraie vie ou sur les réseaux sociaux, nul n’est censé échapper aux sanctions pénales si la justice juge coupable l’individu ou l’internaute interpellé. Pseudonymisation et démocratie vont de pair Dans son rapport annuel 2022 – publié le 27 septembre – sur « les réseaux sociaux : enjeux et opportunités pour la puissance publique » (3), le Conseil d’Etat a estimé que « les réseaux sociaux engendrent une désinhibition, souvent aggravée par l’anonymat, qui ouvre la voie à de nombreux actes malveillants ». Faut-il pour autant interdire l’utilisation de pseudonymes sur les réseaux sociaux ? Les sages du Palais-Royal se sont dits très réservés sur la suppression de l’anonymat qui n’est autre que de la pseudonymisation : « La possibilité de s’exprimer sous un autre nom que le sien, qui a toujours été admise dans la vie réelle, est, comme l’a d’ailleurs rappelé par exemple la Cnil (4), “une condition essentielle du fonctionnement des sociétés démocratiques” qui permet “l’exercice de plusieurs libertés fondamentales essentielles, en particulier la liberté d’information et le droit à la vie privée”. Elle peut faciliter la prise de parole de personnes qui craignent la discrimination ou souhaitent contester les positions acquises ». L’anonymat du Net est toute relative Le Conseil d’Etat estime en outre que « la suppression de l’anonymat, qui n’a été adoptée par aucune démocratie occidentale et n’est pas envisagée au sein de l’Union européenne, ne paraît pas constituer une solution raisonnable conforme à notre cadre juridique le plus fondamental ». Et contrairement aux détracteurs d’Internet et des réseaux sociaux, l’anonymat sur Internet n’existe pas en général. « Cette forme d’anonymat n’est que relative. Il est en effet relativement facile, en cas de nécessité, d’identifier une personne compte tenu des nombreuses traces numériques qu’elle laisse (adresse IP, données de géolocalisation, etc.). La LCEN [loi de 2004 pour la confiance dans l’écono-mie numérique, ndlr] prévoit l’obligation de fournir à la justice les adresses IP authentifiantes des auteurs de message haineux et plusieurs dispositifs normatifs, dont la directive dite “Police-Justice”, obligent les opérateurs à conserver de telles données : en pra-tique, les opérateurs répondent généralement sans difficulté aux réquisitions judiciaires pour communiquer l’adresse IP. Les obstacles rencontrés existent mais apparaissent finalement assez limités : la possibilité de s’exprimer sur Internet sans laisser aucune trace paraît donc à ce jour réservée aux “geeks” les plus aguerris [utilisant notamment le navigateur Tor garantissant l’anonymat de ses utilisateurs, ndlr] ». La pseudonymisation, comme le définit d’ailleurs l’article 4 paragraphe 5 du règlement général européen sur la protection des données (RGPD), est un traitement de données personnelles réalisé de manière à ce que l’on ne puisse plus attribuer les données à une personne physique identifiée sans information supplémentaire. « En pratique, rappellent les sages du Palais-Royal, la pseudonymisation consiste à remplacer les données directement identifiantes (nom, prénoms, etc.) d’un jeu de données par des données indirectement identifiantes (alias, numéro séquentiel, etc.). La pseudonymisation permet ainsi de traiter les données d’individus sans pouvoir identifier ceux-ci de façon directe. Contrairement à l’anonymisation, la pseudonymisation est une opération réversible : il est possible de retrouver l’identité d’une personne si l’on dispose d’informations supplémentaires ». Sans remettre en cause l’anonymat de l’expression, le Conseil d’Etat propose notamment la généralisation du recours aux solutions d’identité numérique et aux tiers de confiance. Et ce, notamment pour mieux protéger les mineurs, vérifier la majorité numérique – laquelle vient d’être fixée en France à 15 ans (5) – et de garantir la fiabilité des échanges sur les réseaux sociaux. La Cnil, présidée par Marie-Laure Denis (photo ci-contre), veut préserver l’anonymat. Y compris lorsque les sites pornographiques vérifient l’âge de leurs utilisateurs, sous le contrôle de l’Arcom. Pour cela, la Cnil préconise depuis juin 2021 le mécanisme de « double anonymat » (6) préféré à la carte d’identité. Ce mécanisme empêche, d’une part, le tiers de confiance d’identifier le site ou l’application de contenus pornographiques à l’origine d’une demande de vérification et, d’autre part, l’éditeur du site ou de l’application en question d’avoir accès aux données susceptibles d’identifier l’utilisateur (7). Quant au contrôle parental, il sera activé par défaut en France sur tous les terminaux à partir du 13 juillet 2024, selon le décret « Renforcer le contrôle parental sur les moyens d’accès à Internet » du 11 juillet paru 13 juillet (8). « Couper les réseaux sociaux » (Macron) « Quand les choses s’emballent pour un moment, [on peut] se dire : on se met peut-être en situation de les réguler ou de les couper », a lancé Emmanuel Macron de l’Elysée, le 4 juillet dernier, devant un parterre de 300 maires de communes touchées par les émeutes déclenchées par le meurtre du jeune Nahel. Face au tollé provoqué par ce propos digne d’un régime autoritaire à la Corée du Nord, à l’Iran ou à la Chine, le porte-parole du gouvernement Olivier Véran a dû rétropédaler en ne parlant plus que de « suspensions de fonctionnalités » comme la géolocalisation. Si couper les réseaux sociaux est faisable techniquement, avec l’aide des fournisseurs d’accès à Internet (FAI), la décision de le faire risque d’être illégale au regard des libertés fondamentales qui fondent une démocratie. @

Charles de Laubier

Commission européenne : Margrethe Vestager part

Publié le par
En fait. Le 20 juillet, cela a fait un mois que Margrethe Vestager, la commissaire européenne chargée de la concurrence depuis 2014 ainsi que du numérique depuis 2019, a annoncé sa candidature à la présidence de la Banque européenne d’investissement (BEI), laquelle dévoilera les candidats en août. En clair. Pour la Commission « von der Leyen », c’est le début de la fin. Son mandat a débuté en décembre 2019, succédant à la Commission « Juncker » (1), et se terminera en novembre 2024. Margrethe Vestager, troisième vice-présidente de la Commission européenne « pour une Europe préparée à l’ère numérique » et en charge de la concurrence depuis novembre 2014, a lancé le compte à rebours. Cela fait un mois qu’un mercato se prépare à Bruxelles, depuis que la Danoise (55 ans) a annoncé le 20 juin qu’elle se portait candidate à la présidence de la BEI. « Je suis heureuse que le gouvernement danois ait proposé mon nom comme candidate possible au poste de président de la Banque européenne d’investissement », a-t-elle déclaré. Le conseil d’administration de la BEI fera connaître en août la liste des candidats à sa présidence, et Margrethe Vestager devra officiellement quitter ses fonctions et se mettre en congé sans solde, d’après Euractiv. La dame « antitrust » de Bruxelles aura marqué pendant près de dix ans l’exécutif européen en tenant tête aux GAFAM, en infligeant notamment des amendes records. Google a ainsi écopé de trois sanctions financières de la part de la Commission européenne, entre 2017 et 2019 pour un total de plus de 8 milliards d’euros (2). Dernier grief en date envers de la filiale d’Alphabet : le 14 juin dernier, la Commission européenne l’accuse d’abuser, depuis au moins 2014, de ses positions dominantes dans la publicité en ligne (3). Margrethe Vestager a même brandi la menace du démantèlement (4). Apple est aussi dans le collimateur. Amazon et Facebook, eux, ont été épinglés pour violation du RGPD. Margrethe Vestager va passer le flambeau de la puissante direction générale de la concurrence (DG COMP) que dirige Olivier Guersent. D’après des spéculations, le Français Thierry Breton ne serait pas candidat à la succession de Margrethe Vestager mais se verrait bien à la concurrence lors du prochain mandat 2024-2029 de la Commission européenne. Ce jeu de chaises musicales s’annonce au moment où Bruxelles est au coeur d’une polémique autour de la nomination de l’Américaine Fiona Scott Morton comme économiste en chef de la DG COMP justement. Ce devait être à partir du 1er septembre (5). Margrethe Vestager a été auditionnée au Parlement européen le 18 juillet, annonçant « avec regret » le désistement de la professeure d’économie qui officie à la Yale SOM. @