Le métavers n’est pas dans un vide juridique, mais la régulation devra sortir de ses frontières

Les métavers vont-ils « disrupter » les lois et les règlements ? Ces mondes virtuels doivent déjà se soumettre au droit commun existant (civil, commercial, consommation, économie numérique). Mais les textes juridiques devront évoluer et la régulation reposer sur un solide consensus international.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Dans un futur proche, avec le Web3 et ses métavers, les problématiques juridiques seront dictées par le caractère a priori incontrôlable de l’énormité des partages : la prolifération des modes d’échanges et la nature internationale exigeront des régulations complexes et efficaces, dont on espère qu’elles prendront moins de temps à émerger que celles issues du Web 2.0. Depuis la fin des années 1990, les éditeurs de jeux vidéo ont compris que les utilisateurs s’engageraient dans de nouvelles formes d’interactions mettant en jeu leur identité virtuelle et de nouveaux espaces de partage.

Le rôle pionnier des jeux vidéo
Les internautes ont ainsi acquis la possibilité de jouer et d’interagir en temps réel et de manière immersive, par les jeux de rôle en ligne dits «massivement multijoueur » (1). De nouveaux modèles commerciaux se développent, notamment avec la création des monnaies et d’une économie interne au jeu, ouvrant la possibilité de faire des achats utiles au jeu et à leur communauté. Le métavers n’est pas scénarisé comme un jeu vidéo mais remet en scène certaines caractéristiques des jeux vidéo en 3D et en temps réel, tout autant que des réseaux sociaux. Les utilisateurs reproduisent les comportements du monde réel dans le monde virtuel, y compris sociaux et politiques, mais malheureusement aussi potentiellement violents, agressifs ou illégaux.
Philip Rosedale, fondateur de la société américaine Linden Lab ayant créé Second Life dans les années 2000, donnait sa vision en 2006 de ce métavers fondateur, toujours actif en ligne aujourd’hui : « Nous ne le voyons pas comme un jeu. Nous le voyons comme une plateforme qui, sous de nombreux aspects, est meilleure que le monde réel » (2). Au sein du monde virtuel Second Life, les marques avaient tenté une percée avant de se retirer pour la plupart, mais laissant un exemple d’interaction entre avatars et des espaces de socialisation pour écouter la musique, faire du shopping ou produire des objets (3). En parallèle, la réalité virtuelle était déjà préexistante grâce aux outils spécifiquement dédiés à la mise en place de cette expérience, notamment les gants, les systèmes audio, etc. Successivement, les industriels ont introduit une réalité virtuelle plus intense, grâce à des lunettes synchronisées et une baguette pour bouger les objets virtuels. Potentiellement, cette expérience est encore plus « réelle » grâce aux casques de réalité virtuelle réalisés par Oculus, HTC, Valve ou le français Lynx Mixed Reality, donnant aux utilisateurs la possibilité de se déplacer librement dans la pièce. C’est en 1990 que Thomas Caudell et David Mizell, chercheurs chez Boeing, introduisent le terme « réalité augmentée » (4) afin d’indiquer l’association du monde réel au monde virtuel, et l’introduction des éléments virtuels dans le monde réel, superposés, outil important dans les nouveaux environnements d’apprentissage.
Sur le plan pédagogique, la start-up Co-Idea soutenu par l’Inria (5) est spécialisée dans les technologies éducatives dites edtech et travaille sur l’idée de diffuser une forme de pédagogie active cohérente avec la révolution numérique actuelle. Un exemple d’application pédagogique et ludique de la réalité augmentée est le partenariat entre Ubisoft et le Château de Versailles qui ont lancé l’application mobile « The Lapins Crétins @ Versailles » (6). Cette application permet aux enfants de visiter le jardin, d’avoir des informations sur l’espace réel et jouer avec les lapins qui apparaissent sur l’application d’un smartphone. Ce projet s’inscrit notamment dans la politique de développement numérique de l’art. Ainsi, on le voit (c’est le cas de le dire) : de la réalité augmentée aux métavers, il n’y a qu’un pas mais le chemin de la régulation sera long.
Métavers, aujourd’hui et demain, partout ?
Le (ou les) métavers – metaverse en anglais – représente(nt) la dernière évolution fruit des caractéristiques d’Internet, des réseaux sociaux, du Web3, né avec le projet d’une possible décentralisation à tout niveau : des contrats, des transactions, des droits de propriété, des données personnelles, etc. La structure décentralisée permet de déployer les services rapidement sans avoir besoin d’une autorité centralisée, grâce aux principes de base de la blockchain. L’application de la blockchain aux métavers n’est pas obligatoire mais évolutive, récurrente et fondatrice. Il existerait 120 plateformes métavers, dont 53 « off-chain » soit non basées sur la blockchain, 67 basées sur la blockchain (7).

Blockchain et smart contract : disruptif
A cela s’ajoute le fait que la technologie blockchain peut aussi connecter le métavers au monde réel afin de sécuriser les échanges et le stockage des biens et données dans le métavers. Blockchain et smart contracts participent substantiellement à ce « tournant disruptif ». En effet ces « contrats intelligents » ont des caractéristiques communes avec les contrats électroniques tels que les lois les régissent, parfois ils les complètent, mais aussi ils obéissent à leur fonctionnement propre. La blockchain rend possibles les smart contracts et les jetons non-fongibles dits NFT (8), mais les lois en vigueur ne peuvent pas complètement les régir car ils entrainent et impliquent certaines caractéristiques totalement nouvelles qui ne sont pas encore appréhendées. Or ce sont ces blockchain et smart contracts qui, par hypothèse, ouvrent la possibilité de la décentralisation. En résumé, blockchain et smart contracts – consubstantiels au métavers – participent à la disruption en ouvrant des possibilités technologiques, factuelles et juridiques, dont certaines ne sont pas encore légalement appréhendées.

Le métavers n’est pas hors-la-loi
La décentralisation est une des modalités majeures rendue possible. Possible mais pas incontournable, car l’expérience a montré à quel point les marchés prônant décentralisation et dérégulation avaient tendance à réopérer rapidement de nouvelles formes de concentrations.
Souvent les utilisateurs voudraient pouvoir utiliser les biens en passant d’un métavers à l’autre : l’interopérabilité des métavers reste un objectif à étudier. La faculté d’emmener les actifs et avatars d’un endroit à l’autre des métavers, quel que soit l’exploitant, est un enjeu similaire à celui de la portabilité des données entre réseaux sociaux.
Réguler avec modération des services émergents
Le métavers a été défini, dans un rapport remis au gouvernement français fin octobre 2022, comme « un service en ligne donnant accès à des simulations d’espace 3D temps réel, partagées et persistantes, dans lesquelles on peut vivre ensemble des expériences immersives » (9). Le métavers représente également une évolution économique importante ; nous assistons au passage du e-commerce au v-commerce ; les métavers permettent des transactions dans l’économie réelle. L’économie numérique en général et l’économie virtuelle en particulier sont en forte expansion grâce aux métavers et à l’usage de monnaie virtuelles (cryptomonnaies), ainsi que des smart contracts et des NFT.
Les défis juridiques actuels des places de marchés et plateformes comme Horizon Worlds de Meta, OpenSea d’Ozone Networks ou encore la frahttps://www.editionmultimedia.fr/wp-content/uploads/2022/10/Rapport-du-gouvernement-Mission-exploratoire-sur-les-metavers-24-10-22.pdfnçaise The Sandbox, sont notamment: la souveraineté numérique, la (cyber)sécurité, les droits de l’homme et des citoyennes et citoyens, la liberté d’expression, la protection des mineurs et de la vie privée, la préservation d’infrastructures ouvertes et de communs numériques, le respect des règles de concurrence et de la propriété intellectuelle, la conformité au droit du travail, la maîtrise de l’impact environnemental, la protection des données personnelles, la protection contre les risques sociotechniques, la bonne connaissance des liens existantes entre le métavers, la blockchain et les cryptoactifs, le déploiement partagé à travers le monde des opportunités technologiques. Il est essentiel qu’aucune entreprise ne gère seule le métavers : il s’agira d’un « Internet incarné », a déclaré le cofondateur de Facebook Mark Zuckerberg, exploité par de nombreux acteurs différents de manière décentralisée. Aujourd’hui, l’essentiel de ces thèmes sont couverts tant par le droit national que par le droit international, public comme privé. Les nouveautés du métavers ne doivent pas conduire à une fausse conception du régime juridique qui lui est applicable, car il existe. D’une part, le droit commun civil, commercial et de la consommation trouvent naturellement à s’appliquer à la métavers, et ils sont contraignants. Les métavers devront par exemple rédiger des CGV (10) exhaustives. Le droit de la consommation et des contrats s’appliquera (11). Mais l’anticipation est risquée, et quand le système juridique sera confronté à une nouveauté disruptive ou à une difficulté d’exécution, des mises à jour deviendront nécessaires.
D’autres bases plus spécifiques existent : la loi « pour la confiance dans l’économie numérique » du 21 juin 2004 (dite LCEN) en constitue notamment un fondement primordial. En matière de propriété intellectuelle, une plainte en contrefaçon a déjà pu être déposée à New York par la maison Hermès à l’encontre du créateur de NFT « MetaBirkins ». D’autre part, de nouvelles réglementations sont déjà attendues. C’est notamment le cas des réglementations européennes sur les marchés et services numériques (DSA-DMA) qui entreront en vigueur en 2023 et 2024.
Or, le métavers, comme la blockchain ou les smart contracts, sont par nature disruptifs et ont un potentiel de déclinaisons à l’infini, ce qui rend ardue la légifération à leur égard. Comment donner un cadre légal pertinent et stable à un système dont nous commençons seulement à effleurer la surface ? Le rapport de la mission exploratoire sur les métavers précité propose par exemple de consacrer un nouveau droit fondamental : le droit au respect de l’intégrité psychique. Une plateforme qui remplirait les conditions du Digital Markets Act (DMA) lui serait potentiellement soumise, mais ni ce seul principe ni ses modalités d’applications ne présentent de réponse suffisante et assez protectrice. Des précisions et adaptations aux lois seront nécessaires, tant pour le DMA et le Digital Services Act (DSA) que pour la protection des données personnelles à travers le monde, ainsi que notamment pour les règles de modération.

Questions juridiques, non métaphysiques
La place du juge, en tant qu’interprétateur de la loi, suffira-t-elle à répondre à ces questions, et faudra-t-il compléter par de nouvelles règles, voire un régime sui generis ? Le cas échéant, l’implémentation de plusieurs réglementations au niveau local pourra-t-elle être viable au regard du caractère inhéremment international des métavers ? D’évidence, le futur juridique de l’ère des métavers devra reposer sur un solide consensus international. Si le métavers n’est pas dans un vide juridique, il doit cependant être régulé pour le bien commun et partagé. @

* Anne-Marie Pecoraro est avocate spécialisée en droit de la propriété intellectuelle,
des médias et des technologies numériques, UGGC Avocats.

Faut-il réguler l’intelligence artificielle et, si oui, de façon globale ou sectorielle ?

Plutôt que de créer un « code de l’intelligence artificielle » ou une nouvelle personnalité juridique (solvable ?) pour les systèmes d’IA, une régulation mesurée de l’IA pourrait faire l’affaire. Mais la faut-il globale avec un super-régulateur de l’IA, ou bien sectorielle avec les régulateurs existants ?

Par Winston Maxwell, avocat associé, Hogan Lovells, et David Bounie, professeur d’économie, Telecom ParisTech

L’intelligence artificielle (IA) – qui regroupe plusieurs technologies dont l’apprentissage machine (ou apprentissage automatique, en anglais machine learning) – est une forme avancée de logiciel.
Un logiciel est simplement un ensemble de programmes destiné à faire fonctionner un système informatique. Il n’existe pas de régulation spécifique dédiée aux seuls logiciels. Faut-il traiter l’IA différemment ?

Bon équilibre entre sécurité, prix et utilité
Examinons d’abord la question de la responsabilité civile. Sur le plan économique, les règles de responsabilité civile sont destinées à encourager le déploiement de nouvelles technologies, tout en s’assurant que ces technologies s’entourent de mesures de sécurité adéquates. Si les règles de responsabilité sont trop strictes, certaines technologies utiles pour la société ne seront pas déployées. Si les règles de responsabilité sont trop laxistes, la technologie créera des dommages pour la population dépassant largement les bénéfices de la technologie. Il faut chercher le bon équilibre. Pour illustrer, il suffit de penser à la voiture : une technologie utile mais relativement dangereuse car responsable de milliers de morts et de blessés par an. Si nous exigions un niveau de sécurité absolu, la vitesse de chaque voiture serait bridée à 30 km par heure, et la voiture serait construite comme un char d’assaut. Mais cela réduirait son utilité et augmenterait sensiblement son prix ! Comme pour la voiture, le défi pour l’IA est de trouver le bon équilibre entre mesures de sécurité, prix et utilité. L’entreprise qui déploie un système d’IA – par exemple, un constructeur automobile ou une banque – sera incitée par les règles de responsabilité civile à s’assurer de la sécurité du système. L’une des particularités des systèmes d’apprentissage machine est leur utilisation de données d’entraînement. Le concepteur du modèle d’apprentissage fournira un modèle vierge. Ce modèle apprendra ensuite en utilisant les données de l’entreprise A. Amélioré par les données de l’entreprise A, le modèle se nourrira ensuite des données de l’entreprise B, et ainsi de suite. Lorsque le modèle produit une erreur, l’origine de l’anomalie sera difficile à identifier. S’agit-il d’un défaut dans le modèle d’origine, ou est-ce que l’anomalie provient des données d’apprentissage de l’entreprise A ou B ? Il est donc important pour chaque entreprise qui déploie un système d’IA de préciser par contrat comment ses données seront utilisées pour améliorer le modèle et prévoir des règles de responsabilité, de sécurité et de partage de valeur relatif au modèle amélioré. Le modèle devient plus intelligent grâce aux données d’entraînement ; le propriétaire des données d’entraînement pourrait donc exiger une rémunération. Les contrats devront également prévoir des dispositions pour garantir que le modèle amélioré ne peut pas indirectement révéler des données confidentielles de l’entreprise, ou des données à caractère personnel contenues dans les données d’entraînement. Entre les entreprises, la plupart des questions de responsabilité seront régulées par contrat. Les décisions d’un système d’apprentissage automatique sont souvent opaques — on ne comprendra pas pourquoi un système a décidé A au lieu de B. Cela pose problème pour l’application des règles de responsabilité civile et pour la régulation en général – les tribunaux, experts et régulateurs doivent pouvoir comprendre a posteriori pourquoi un système a commis une erreur afin d’en tirer des leçons et d’allouer la responsabilité à l’acteur approprié. De nombreux travaux sont actuellement consacrés aux problèmes de la transparence et de l’« auditabilité » des algorithmes, à l’« explicabilité » et à la responsabilisation (accountability) des décisions IA (1). Ces travaux ne font pas consensus. Sur le thème de la transparence et de l’auditabilité des algorithmes, deux camps s’affrontent. Le premier défend l’idée qu’un algorithme propriétaire qui prend des décisions de nature à causer des préjudices devrait pourvoir être rendu transparent et audité de manière à découvrir l’origine des erreurs,
et à pouvoir les corriger. La chancelière d’Allemagne, Angela Merkel, a récemment plaidé pour la transparence des algorithmes.

L’Europe veut de la transparence
En Europe, la transparence est également au cœur du règlement général sur la protection des données (RGPD) qui énonce que pour les décisions automatisées basées sur des données personnelles et qui créent des effets juridiques, les individus ont droit à « des informations utiles concernant la logique sous-jacente, ainsi que l’importance et les conséquences prévues de ce traitement ». Le deuxième camp considère que l’idéal de transparence n’a pas de sens car, d’une part, les chercheurs sont souvent dans l’incapacité de comprendre les résultats produits par des algorithmes sophistiqués (réseaux de neurones), et d’autre part, que rendre transparents les algorithmes menacerait à terme les investissements et briserait les secrets. En France, la Commission nationale de l’informatique et des libertés (Cnil) a semble-t-il choisi son camp en proposant récemment une plateforme nationale pour auditer les algorithmes. Sur le thème de la discrimination ensuite, les débats également sont animés.

Secret, discrimination et responsabilité
Des travaux récents aux Etats-Unis ont montré que des algorithmes étaient biaisés envers certaines catégories de personnes, et conduisaient donc à des discriminations. L’originalité du préjudice vient cependant d’un problème nouveau lié à l’IA : les algorithmes ont appris à discriminer à partir de données d’entraînement qui étaient biaisées, ou par simple association
de variables corrélées entre elles : les personnes d’une certaine origine nationale ou ethnique résident en majorité dans certains quartiers, etc.
Les algorithmes n’ont pas intentionnellement discriminé : dès lors qui est responsable ? L’entreprise qui utilise l’algorithme, celle qui a mis au point l’algorithme, celle qui a entraîné l’algorithme ? Outre ces questions qui divisent, la charge de la preuve se révèle beaucoup plus difficile pour les plaignants : comment prouver l’origine de la discrimination (non-intentionnelle) sans un accès à l’algorithme ?
Enfin, quand bien même la preuve serait établie, comment corriger le problème s’il est difficile de comprendre comment la technologie IA a produit le résultat ? Dernière question liée au cas particulier d’un algorithme causant une discrimination : comment corriger une discrimination sur le genre, par exemple, s’il est impossible de collecter des informations personnelles sur le genre (du fait de la protection des données) ? Devant la complexité des décisions, une autre question émerge : faut-il créer une personnalité juridique pour les systèmes d’IA ? Pour que
la responsabilité civile puisse fonctionner, il faut identifier une personne responsable, et cette personne devra disposer de suffisamment de ressources ou d’assurances pour dédommager les victimes. En matière d’IA, la personne responsable sera généralement l’entreprise qui exploite le système – la banque ou le constructeur automobile par exemple. Cette personne sera généralement responsable en première ligne, et se retournera ensuite contre ses fournisseurs du système IA en amont. L’entreprise exploitante sera généralement assurée contre les risques de responsabilité civile, et vérifiera que ces fournisseurs en amont le sont également. La création d’une personnalité juridique pour les systèmes d’IA ne changera rien par rapport à la situation actuelle, car le problème restera celui de la solvabilité de la personne morale responsable, et de son niveau d’assurance. Les navires marchands illustrent bien le point : ils sont chacun détenus par une société dédiée – une société par navire. Lors d’un naufrage, la société propriétaire du navire sera généralement insolvable, son seul actif étant le navire. L’enjeu sera celui de l’assurance et éventuellement la recherche d’autres personnes morales responsables à travers des théories de responsabilité indirecte (vicarious liability). La création d’une société ou personne morale ad hoc pour les systèmes IA n’avancerait pas le débat par rapport à l’existant. Fautil une régulation spécifique de l’IA ? Deux points de vue s’opposent. Selon le premier point de vue, l’IA doit être régulée dans son ensemble car les risques pour la société traversent différents secteurs économiques et peuvent avoir des effets cumulatifs néfastes qui ne seraient pas visibles par des régulateurs sectoriels. Selon l’autre point de vue, les risques de l’IA sont étroitement liés à chaque type d’exploitation, et il vaut mieux laisser chaque régulateur sectoriel traiter les risques dans son secteur. La régulation bancaire s’occuperait des risques de l’IA dans le secteur bancaire et la régulation des transports s’occuperait des risques
de l’IA dans les voitures autonomes.
Un super-régulateur de l’IA ne rajouterait rien par rapport aux régulateurs sectoriels spécialisés, et pire, créerait une couche de régulation potentiellement en friction avec la régulation sectorielle. En matière de régulation, il faut avancer avec précaution lorsqu’il s’agit de technologies en mouvement. Comme un médicament, une régulation peut créer des effets secondaires imprévus (2). La régulation de l’Internet a évolué de manière progressive en s’appuyant sur la législation existante. L’IA devrait suivre le même chemin. Au lieu d’un « code de l’intelligence artificielle »,
il faudrait privilégier une série d’améliorations de la réglementation existante. Les normes ISO (3) en matière de sécurité des véhicules sont déjà en cours de modification pour intégrer l’IA (4). Le régulateur américain de la santé, la Food & Drug Administration (FDA), a développé des procédures pour homologuer des dispositifs médicaux utilisant l’IA (5). Le seul problème lié à cette approche sectorielle est l’apparition de risques cumulatifs pour la société qui échapperaient à la vigilance des régulateurs sectoriels. Est-ce que la généralisation de l’IA dans la vie des citoyens pourrait rendre les individus plus idiots, détruire le tissu social, ou affaiblir les institutions démocratiques ? Ce genre de risque ne doit pas être ignoré, et pourrait échapper à la vigilance des régulateurs sectoriels.

Observatoire des effets de l’IA sur la société ?
Un récent rapport de la fondation World Wide Web (6) prend l’exemple
des « fake news » propagées à travers les réseaux sociaux : quelle structure faut-il mettre en place pour changer les incitations des acteurs à communiquer des fausses nouvelles sur la plateforme et comment réparer les préjudices causés à la société ? Comment définir et mesurer ces préjudices, et quels acteurs sont au final responsables ? La Commission européenne favorise en premier lieu des solutions d’auto-régulation pour limiter l’impact de la désinformation sur la société. La surveillance de ce type de risque plus diffus pourrait être confiée à une institution dédiée – une sorte d’observatoire des effets de l’IA sur la société. L’objectif de cette institution serait de tirer la sonnette d’alarme en cas de remontée des indices de nocivité sociale, à l’image d’un canari dans une mine de charbon. Encore faut-il définir les indices ! @

La presse en ligne sauve sa TVA à 2,10 %, pas les FAI

En fait. Le 21 octobre, lors des débats sur le projet de loi de Finances 2018, les députés ont rejeté – avec l’aval du gouvernement – un amendement qui prévoyait de supprimer la TVA super-réduite (2,10 %) dont bénéficie la presse en ligne depuis 2014. En revanche, ils interdisent les abus des FAI.

En clair. Les fournisseurs d’accès à Internet (FAI) ne pourront plus jouer avec la TVA à taux super-réduit, celle à 2,10 % réservée à la presse imprimée et depuis février 2014 à la presse en ligne. Ainsi en a décidé l’Assemblée nationale lors des débats sur le projet de loi de Finances 2018. « Il s’agit de réparer une erreur d’interprétation possible, qui permet[trait] à certains opérateurs économiques de profiter d’un vide juridique. Certains [FAI] vendent à leurs clients de la presse en ligne, accessible depuis leur téléphone ou leur tablette. Ils utilisent le taux réduit de TVA, destiné à la presse et non aux opérateurs – agents économiques soumis au taux normal de TVA – en considérant que la proportion d’achat de la presse permet d’élargir le bénéfice du taux réduit de TVA à d’autres activités. Il y a donc une sorte d’effet d’aubaine », a dénoncé Gérald Darmanin, ministre de l’Action et des Comptes publics. SFR (groupe Altice) avait été le premier FAI – avec son offre SFR Presse – à appliquer la TVA à 2,10 % sur une bonne partie des forfaits triple play payés par ses abonnés. Bouygues Telecom lui avait ensuite emboîté le pas, en s’appuyant sur la plateforme LeKiosk (également partenaire de Canal+).
Potentiellement, selon une analyse de JP Morgan daté de juin, si les deux autres FAI
– Orange et Free – avaient suivi, le total représenterait pour l’Etat une perte fiscale de
1 milliard d’euros ! Il faut dire que, par ailleurs, les opérateurs télécoms s’estiment toujours trop taxés au profit des industries culturelles et des collectivités territoriales (lire p. 8 et 9). En juillet, le Syndicat de la presse indépendante d’information en ligne (Spiil) s’était insurgé contre ses offres de presse couplées, « un hold-up fiscal par des acteurs économiques dont la presse n’est pas le principal métier ».
Quoi qu’il en soit, l’article 4 du « PLF 2018 » corrige cette faille qui profite aux FAI. En revanche, toujours dans l’hémicycle, le ministre Gérald Darmanin s’est opposé à un amendement déposé par  la députée Emmanuelle Ménard (1) qui demandait la suppression du taux super-réduit pour la presse en ligne car « contraire à la directive européenne “TVA” du 28 novembre 2006 » (2). Et de s’en prendre à Mediapart, qui, selon elle, profiterait d’« un cadeau fiscal totalement injustifié de près de 1 million d’euros par an ». Après un avis défavorable de Gérald Darmanin, l’amendement ne
fut pas adopté. @

L’annulation de la directive « Conservation des données » crée un vide juridique inquiétant

Par son arrêt du 8 avril, la Cour de Justice européenne vient d’invalider la directive « Conservation de certaines données » qu’elle juge nécessaire mais trop intrusive. Des révisions nationales sont à prévoir. C’est aussi une brèche ouverte à une multitude de recours individuels ou collectifs.

Par Katia Duhamel, avocat, cabinet Bird & Bird

Saisis par deux questions préjudicielles, les juges européens ont invalidé entièrement la directive sur la conservation des données par les services de communications électroniques
(1) en caractérisant une « ingérence vaste et particulièrement grave » dans les droits garantis aux articles 7 et 8 de la Charte des droits fondamentaux de l’Union européenne (2) – lesquels garantissent respectivement le respect de la vie privée et la protection des données à caractère personnel.

Ingérence versus proportionnalité
Si la décision (3) de la Cour de Justice de l’Union européenne (CJUE) opère un renversement de l’histoire, puisque ladite directive avait été précisément votée sur
ces mêmes fondements, ce revirement restait prévisible aux vues des contestations récurrentes dont a fait l’objet ce texte depuis son adoption au sein des Etats membres.
La Haute cour irlandaise d’une part, saisie de la légalité des mesures nationales portant sur la conservation des données liées aux communications électroniques, et la Cour constitutionnelle autrichienne d’autre part saisie de plusieurs recours visant à l’annulation des dispositions nationales transposant ladite directive en droit autrichien, ont enfin permis à la CJUE de répondre à la question de savoir si les données des abonnés et des utilisateurs peuvent ou non être conservées en vertu des articles 7 et 8 de la Charte des droits fondamentaux.
Pour y répondre, la CJUE constate en premier lieu l’existence d’une ingérence flagrante dans les droits fondamentaux des individus et souligne, à la suite de son avocat général, qu’elle « s’avère d’une vaste ampleur et qu’elle doit être considérée comme particulièrement grave » (4).
En effet, ces données prises dans leur ensemble sont susceptibles de fournir des indications très précises sur la vie privée des personnes dont les données sont conservées, telles que la fréquence des communications, les lieux d’appels, les habitudes qui en ressortent, etc.
Selon la CJUE, la conservation de ces données constituent en soi une ingérence dans la vie privée des individus aggravée par le droit d’accès des autorités nationales compétentes auxdites données, accès considéré comme une immixtion particulièrement grave dans les droits fondamentaux des personnes.
Enfin, la conservation des données et l’utilisation ultérieure de celles-ci étant effectuées sans que l’abonné en soit informé, elle est « susceptible de générer dans l’esprit des personnes concernées (…) le sentiment que leur vie privée fait l’objet d’une surveillance constante ».
Par ces trois motifs, la CJUE caractérise l’ingérence faite par la directive aux droits fondamentaux garantis par la Charte européenne.
L’article 52§ 1 de la Charte européenne se fonde sur la Convention européenne des droits de l’Homme (CEDH) pour limiter de potentielles atteintes aux droits fondamentaux,
en l’espèce ceux du respect à la vie privée. En effet, en vertu de l’article 8 de la CEDH
« toute personne a droit au respect de sa vie privée et familiale, de son domicile et de sa correspondance. Il ne peut y avoir ingérence d’une autorité publique dans l’exercice de
ce droit que pour autant que cette ingérence est prévue par la loi et qu’elle constitue une mesure qui, dans une société démocratique, est nécessaire à la sécurité nationale, à l’intégrité territoriale ou la sûreté publique, à la défense de l’ordre et à la prévention des infractions pénales ou à la protection des droits et libertés d’autrui »

Conservation de 6 à 24 mois
Ce concept de nécessité renvoie au contrôle strict de la proportionnalité des mesures contestées tel qu’il a été mise en oeuvre en l’espèce par la CJUE. Si la CJUE estime
que les impératifs de sécurité nationale et d’ordre public, ainsi que la lutte contre la criminalité, justifient pleinement d’apporter des dérogations aux droits fondamentaux
des individus, elle juge pour autant que les mesures prévues par la directive dans ce
but légitime sont disproportionnés au regard des objectifs recherchés.

De ce fait, le législateur de l’Union aurait excédé les limites qu’impose le respect du principe de proportionnalité et l’ingérence causée dans la vie privée des individus, serait excessive faute d’un encadrement suffisant des dérogations proposées. Implacablement, elle déroule ainsi les motifs qui justifient son analyse :

• La directive couvre de manière trop générale l’ensemble des individus, des moyens
de communication électronique et des données relatives au trafic sans qu’aucune différentiation, limitation ou exception ne soit opérée en fonction de l’objectif visé.

• Aucun critère, autrement dit aucun garde-fou, objectif ne vient garantir le fait que les autorités nationales compétentes n’aient accès aux données et ne puissent les utiliser qu’aux seules fins légalement prévues. Au contraire, la directive se borne à renvoyer de manière générale aux « infractions graves » définies par chaque État membre dans son droit interne. De plus, sur le plan procédural, l’accès des autorités n’est subordonné à aucun contrôle préalable d’une juridiction ou d’une entité administrative indépendante.

• De plus, la durée de conservation des données est fixée de 6 à 24 mois et ce, quelles que soient les catégories de données, leur utilité et les personnes concernées, alors que la directive ne précise les critères objectifs sur la base desquels la durée de conservation doit être déterminée afin de garantir sa limitation au strict nécessaire.

• Enfin, la directive ne prévoit pas de garanties suffisantes permettant d’assurer une protection efficace des données contre les risques d’abus et d’utilisation illicite.
En effet, la CJUE relève, entre autres, que la directive autorise les fournisseurs de services à tenir compte de considérations économiques lors de la détermination du niveau de sécurité qu’ils appliquent et qu’elle ne garantit pas la destruction irrémédiable des données au terme de leur durée de conservation. Elle critique aussi le fait que la directive n’impose pas une conservation des données sur le territoire de l’Union européenne.
C’est donc pour l’ensemble de ces motifs que les juges européens affirment l’invalidité
de l’intégralité de la directive soumise à son contrôle juridictionnel.

Qu’elle soit acclamée par les défenseurs des libertés ou décriée par les autorités en charge de la lutte contre la cybercriminalité, la décision de la CJUE ne peut que semer
un certain désordre au sein de l’Union européenne. En effet, les juridictions nationales
ne peuvent donc plus appliquer l’acte déclaré invalide ni même les lois de transposition nationale. Ce qui laisse les opérateurs dans un vide juridique jusqu’à l’adoption d’une prochaine directive. Au demeurant, les conclusions de l’avocat général invitaient déjà les Etats de l’Union européenne à prendre « les mesures nécessaires » pour remédier « à l’invalidité constatée » de cette directive. Les mesures pour venir corriger les lacunes législatives avérées doivent intervenir « dans un délai raisonnable », a-t-il insisté.
Certains utilisateurs de services de communications électroniques pourraient également se saisir de cette opportunité pour exiger un droit de regard sur les données conservées qui leur sont propres, voire en réclamer leur destruction. Si a priori, nous ne pensons pas que les dispositions relatives aux procédures d’action de groupe, ou class action , soient applicables au cas en d’espèce, il se peut que certains en rêvent.
Enfin, l’affaire vient alimenter le moulin de la commissaire européenne Viviane Reading
– en charge de la Justice – et remettre en selle son projet de directive sur la protection des données personnelles qui s’est fait débouté lors de son examen par les ministres
de l’Union européenne en juin dernier.

De l’eau au moulin de Viviane Reding
Pour mémoire ce projet, présenté par la vice-présidente de la Commission européenne
en janvier 2012 , vise à adapter la réglementation européenne pour : lutter contre les pratiques américaines de la NSA qui ont été révélées par la suite et qui font scandale depuis des mois ; permettre le droit à l’oubli numérique en imposant d’effacer des données personnelles à la demande de leur propriétaire ; ouvrir la possibilité aux citoyens de porter auprès de l’autorité de contrôle nationale, – la Cnil en France – et d’obtenir réparation si leurs données sont utilisées à mauvais escient au sein de l’Union européenne. @