Dans quelle mesure les différentes générations sont-elles plus ou moins sensibles à la notion de surveillance ? Un regard sur les personnes nées au tournant des années 80 et 90 montre que ces dernières abandonnent probablement plus facilement une part de contrôle sur les données personnelles et n’ont sans doute pas eu totalement conscience de leur grande valeur.
Peut-être qu’à l’approche des Jeux olympiques de Paris, avez-vous vaguement protesté lors de la mise en place d’un fichier vidéo algorithmique ? Et puis avez-vous haussé les épaules : un fichier de plus. Peut-être par résignation ou par habitude ? Comme d’autres, vous avez peut-être aussi renseigné sans trop vous poser de questions votre profil MySpace ou donné votre « ASV » (âge, sexe, ville) sur les chats Caramail au tournant des années 1990-2000 et encore aujourd’hui vous cliquez quotidiennement sur « valider les CGU » (conditions générales d'utilisation) sans les lire ou sur « accepter les cookies » sans savoir précisément ce que c’est.
En effet, peut-être, faites-vous partie de ce nombre important d’individus nés entre 1979 et 1994 et avez-vous saisi au vol le développement de l’informatique et des nouvelles technologies. Et ce, sans forcément vous attarder sur ce que cela impliquait sur le plan de la surveillance des données que vous avez accepté de partager avec le reste du monde…
Pour se convaincre de l’existence de cette habitude rapidement acquise, il suffit d’avoir en tête les grandes dates de l’histoire récente de l’informatique et d’Internet : Apple met en 1983 sur le marché le premier ordinateur utilisant une souris et une interface graphique, c’est le Lisa.
Puis le World Wide Web est inventé par Tim Berners-Lee en 1989, 36 millions d’ordinateurs sont connectés à Internet en 1996, Google est fondé en 1998 et Facebook est lancé en 2004. L’accélération exponentielle d’abord des machines elles-mêmes, puis des réseaux et enfin du partage de données et de la mobilité a suivi de très près les millennials.
La génération précédente, plus âgée, a parfois moins l’habitude de ces outils ou s’est battue contre certaines dérives initiales, notamment sécuritaires. La suivante, qui a été plongée immédiatement dans un monde déjà régi par l’omniprésence d’Internet et des réseaux, en connaît plus spontanément les risques (même si elle n’est pas nécessairement plus prudente).
Probablement du fait de ce contexte, la génération née entre le début des années 1980 et le milieu des années 1990 est aussi celle qui est la plus optimiste face au développement des technologies.
Cet état de fait apparaît d’autant plus clairement que la « génération Z », plus jeune, est marquée généralement par une plus grande apathie voire un certain pessimisme notamment quant au devenir des données personnelles.
En effet, aujourd’hui, les plus jeunes, déjà très habitués à l’usage permanent des réseaux sociaux et aux surveillances de toute part, se trouvent très conscients de ses enjeux mais font montre d’une forme de résignation. Celle-ci se traduit notamment par le « privacy paradox » mis en lumière par certains sociologues et qui se traduit par une tendance paradoxale à se réclamer d’une défense de la vie privée tout en exposant très largement celle-ci volontairement par l’utilisation des réseaux sociaux.
A contrario, cette confiance en la technologie se manifeste spécialement par une forme de techno-optimisme, y compris lorsqu’il s’agit de l’usage de données personnelles. Cet état d’esprit se traduit dans de nombreux domaines : lorsqu’il s’agit de l’usage des données de santé par exemple ou plus généralement quant à l’utilisation des technologies pour régler des problèmes sociaux ou humains comme le réchauffement climatique.
Cet optimisme est aussi visible lorsqu’il s’agit d’évoquer les fichiers policiers ou administratifs. S’il n’existe pas de données précises sur l’acceptation des bases de données sécuritaires par chaque tranche d’âge, il n’en demeure pas moins que la génération des 30-45 ans n’est plus celle de l’affaire Safari dont l’éclatement, après la révélation d’un projet de méga-fichier par le ministère de l’Intérieur, a permis la naissance de la CNIL.
Cette génération a, au contraire, été marquée par des événements clés tels que les attentats du 11 septembre 2001 ou la crise économique de 2009.
Ces événements, et plus généralement le climat dans lequel cette génération a grandi et vit aujourd’hui, la conduisent à être, d’après les études d’opinion récentes, plus sensible aux questions de sécurité que d’autres. Elle entretient ainsi un rapport différent à la sécurité, moins encline à subir des contrôles d’identité répétés (qui sont bien plus fréquents chez les plus jeunes) mais plus inquiète pour l’avenir et plus sensible aux arguments sécuritaires.
Cet état d’esprit favorise en conséquence une plus grande acceptation encore des fichiers et aux dispositifs de sécurité qui sont perçus comme des outils nécessaires à l’adaptation aux nouvelles formes de délinquance et de criminalité, par exemple à l’occasion de l’organisation des futurs Jeux olympiques et paralympiques en France ou rendus utiles pour permettre la gestion d’une pandémie comme celle du Covid-19.
Les deux phénomènes – optimisme face au développement des technologies et sensibilité à la question sécuritaire – sont d’autant plus inextricables qu’il existe un lien important entre usages individuels et commerciaux des technologies d’une part et usages technosécuritaires d’autre part. En effet, les expériences en apparence inoffensives de l’utilisation récréative ou domestique des technologies de surveillance (caméras de surveillance, objets connectés, etc.) favorisent l’acceptabilité voire l’accoutumance à ces outils qui renforcent le sentiment de confort tant personnel que sécuritaire.
La génération des trentenaires et quadra actuelle, très habituée au développement des technologies dans tous les cadres (individuels, familiaux, professionnels, collectifs, etc.) et encore très empreinte du techno-optimisme de l’explosion des possibilités offertes par ces outils depuis les années 1990 est ainsi plus encline encore que d’autres à accepter leur présence dans un contexte de surveillance de masse.
Cet état d’esprit favorise en conséquence une plus grande acceptation encore des fichiers et aux dispositifs de sécurité qui sont perçus comme des outils nécessaires à l’adaptation aux nouvelles formes de délinquance et de criminalité. Maxim Hopman/Unsplash, CC BY-NC-ND
La pénétration très importante de ces dispositifs dans notre quotidien est telle que le recours aux technologies même les plus débattues comme l’intelligence artificielle peut sembler à certains comme le cours normal du progrès technique. Comme pour toutes les autres générations, l’habituation est d’autant plus importante que l’effet cliquet conduit à ne jamais – ou presque – remettre en cause des dispositifs adoptés.
Partant, la génération des 30-45 ans, sans doute bien davantage que celle qui la précède (encore marquée par certains excès ou trop peu familiarisée à ces questions) que celle qui la suit (davantage pessimiste) développe une forte acceptabilité des dispositifs de surveillance de tous horizons. En cela, elle abandonne aussi probablement une part de contrôle sur les données personnelles dont beaucoup n’ont sans doute pas totalement conscience de la grande valeur.
Au contraire, les réglementations (à l’image du Règlement général sur la protection des données adopté en 2016 et appliqué en 2018) tentant de limiter ces phénomènes sont parfois perçues comme une source d’agacement au quotidien voire comme un frein à l’innovation.
Sur le plan sécuritaire, l’acceptabilité de ces fichages, perçus comme nécessaires pour assurer la sécurité et la gestion efficace de la société, pose la question de la confiance accordée aux institutions. Or, là encore, il semble que la génération étudiée soit moins à même de présenter une défiance importante envers la sphère politique comme le fait la plus jeune génération.
Demeurent très probablement encore d’autres facteurs explicatifs qu’il reste à explorer au regard d’une génération dont l’état d’esprit relativement aux données personnelles est d’autant plus essentiel que cette génération est en partie celle qui construit le droit applicable aujourd’hui et demain en ces matières.
Bruxelles a adopté lundi 10 juillet un nouveau cadre légal pour permettre le transfert des données personnelles de l'Union européenne vers les États-Unis, un dispositif crucial pour l'économie numérique après des décisions de la justice européenne ayant invalidé les précédents.
Publié le : 10/07/2023 - 19:48
« Le nouveau cadre UE–États-Unis de protection des données personnelles garantira la sécurité des flux de données pour les Européens et apportera une sécurité juridique aux entreprises des deux côtés de l'Atlantique », a déclaré la présidente de la Commission européenne, Ursula von der Leyen, dans un communiqué.
Les deux dispositifs précédemment mis en place pour permettre aux entreprises de transférer ces données des Européens vers les États-Unis avaient été invalidés en raison de craintes d'une surveillance par les services de renseignement américains. Ces recours devant la Cour de justice de l'UE avaient été introduits par le militant autrichien pour le respect de la vie privée, Max Schrems.
Lundi 10 juillet, il a annoncé saisir à nouveau la justice, estimant que le nouveau texte n'apportait pas d'amélioration en matière de protection des données personnelles des Européens. « Nous avons déjà dans les tiroirs des options pour un nouveau recours, bien que nous soyons fatigués de ce jeu de ping-pong juridique. Nous nous attendons à ce que l'affaire soit de nouveau devant la Cour de justice au début de l'année prochaine », a déclaré Max Schrems.
Le commissaire européen à la Justice, Didier Reynders, a reconnu qu'il s'attendait à de nouvelles batailles judiciaires. « La saisie de la Cour de Justice semble être une partie du modèle économique de certaines organisations de la société civile », a-t-il raillé, dans une allusion au Centre européen pour les droits numériques (Noyb) du militant autrichien.
La mise en place d'un nouveau cadre est essentielle pour les géants du numérique comme Google, Meta et Amazon qui déploraient le manque de règles claires en matière de transfert de données entre les deux rives de l'Atlantique. Meta s'est notamment vu infliger fin mai une amende record de 1,2 milliard d'euros pour avoir enfreint les règles européennes de protection des données avec son réseau social Facebook.
En juillet 2020, la justice européenne avait conclu que le « Privacy Shield » utilisé par les entreprises américaines ne protégeait pas de possibles « ingérences dans les droits fondamentaux des personnes dont les données étaient transférées ».
Depuis lors, les entreprises avaient recours à des solutions juridiques alternatives, à la légalité plus incertaine, pour continuer ces transferts, dans l'attente d'un système plus solide et pérenne.
Ursula von der Leyen et le président américain Joe Biden avaient trouvé un accord de principe en mars 2022 sur un nouveau dispositif légal, censé répondre aux préoccupations exprimées par la justice.
Un engagement sans précédent
Le nouveau cadre juridique européen met en application cet accord. Il prévoit des garde-fous supplémentaires pour que l'accès des agences américaines de renseignement, au nom de la sécurité nationale, à des données recueillies en Europe et transférées ou hébergées aux États-Unis, soit limité à ce qui est « nécessaire » et « proportionné ».
Le texte ouvre aussi une possibilité de recours aux ressortissants européens s'ils considèrent que leurs données personnelles ont été illégalement collectées par les renseignements américains, leur permettant d'obtenir, le cas échéant, la suppression ou la correction de ces données. « Les États-Unis ont pris des engagements sans précédent », a estimé Ursula von der Leyen.
Les acteurs du numérique ont salué cette annonce. « Après des années d'attente, les entreprises et les organisations de toutes tailles des deux côtés de l'Atlantique ont enfin la certitude de disposer d'un cadre juridique durable qui autorise les transferts de données à caractère personnel de l'UE vers les États-Unis », s'est réjoui Alexandre Roure, le directeur des politiques publiques du CCIA, le lobby des géants de la tech.
« Les flux de données sont à la base des exportations de services de l'UE vers les États-Unis, qui s'élèvent à 1 000 milliards d'euros par an, et cette décision donnera aux entreprises plus de confiance pour mener leurs activités et contribuera à la croissance de nos économies », a commenté Cecilia Bonefeld-Dahl, de DigitalEurope, une autre organisation du secteur.
(Avec AFP)
C’est par l’intermédiaire d’une réponse à une question écrite du député Modem Philippe Latombe que le ministère de l’Éducation Nationale officialise publiquement l’arrêt dans les établissements scolaires du déploiement ou extension de Microsoft Office 365, « ainsi que celle de Google, qui seraient contraires au RGPD ».
À l’origine, Philippe Latombe pointait dans sa question que l’offre gratuite de Microsoft « s'apparente à une forme ultime de dumping et à de la concurrence déloyale. Il semble par ailleurs qu'aucun appel d'offres n'ait eu lieu ».
Dans sa réponse, le ministère explique que les offres gratuites sont «exclues du champ de la commande publique » même s’il concède qu' « il est vraisemblable que la mise à disposition gratuite des établissements scolaires d'une suite bureautique vise à inciter un public qui aurait été accoutumé à l'utilisation de ces outils à souscrire par la suite à la version payante de son offre ». Mais il affirme avoir informé en octobre 2021 les recteurs de région académique et d'académie de la doctrine « cloud au centre » du gouvernement et des positions de la Dinum et de la CNIL sur le sujet.
Perfidement, la réponse du ministère souligne aussi que le code de l’éducation prévoit que ce sont les collectivités territoriales (les communes pour les écoles, les départements pour les collèges et les régions pour les lycées) qui doivent assurer « l'acquisition et la maintenance des infrastructures et des équipements, dont les matériels informatiques et les logiciels prévus pour leur mise en service, nécessaires à l'enseignement et aux échanges entre les membres de la communauté éducative sont à [leur] charge ».
Facebook, Instagram et les autres services du groupe Meta vont-ils être interdits en Europe ? La question se pose après la mesure prise par l'Irlande, qui a décidé de bloquer le transfert de données personnelles vers les États-Unis.
Meta connaît décidément bien des déboires ces derniers temps. Alors que ses plateformes font face à une concurrence de la part de TikTok et que les scandales à propos de sa gestion des données personnelles s'enchaînent, l'Irlande vient de prendre une décision lourde de conséquences. En effet, quelques mois seulement après avoir infligé une amende de 17 millions d'euros au réseau social, le régulateur irlandais a décidé ce jeudi 7 juin le blocage du transfert de données des résidents européens vers les États-Unis, y compris pour le groupe Meta, qui possède Facebook, Instagram, Messenger et WhatsApp. Il demande aux autres pays de l'Union européenne d'en faire de même. S'ils ne s'expriment pas dans les semaines à venir, nous pourrons dire au revoir à nos chers réseaux sociaux.
L'Irlande se base pour prendre cette décision sur le règlement général sur la protection des données (RGPD) de l'Union européenne, qui interdit le transfert de données personnelles des ressortissants de l'Union européenne vers des pays tiers si leur niveau de protection n'est pas équivalent à celui de l'UE. Or ce n'est pas le cas des États-Unis, dont les dispositifs Safe Harbor et Privacy Shield autorisaient les autorités publiques américaines à y avoir accès. Ces accords ont été invalidés par la Cour de justice de l'Union européenne (CJUE), qui a estimé que les programmes de surveillance des agences de renseignements américaines font peser une menace sur les informations personnelles des Européens stockées dans des serveurs aux États-Unis. De ce fait, toutes les institutions européennes de protection des données ont un mois pour émettre leur avis sur la question, sans quoi toutes les entreprises américaines utilisant les "clauses contractuelles types" pour transférer les données européennes seront bannies du territoire.
En mars déjà, Meta alertait sur les conséquences de ces décisions pour le maintien de ses services dans l'Union européenne : "Si un nouveau cadre de transfert transatlantique de données n'est pas adopté et que nous ne sommes pas en mesure de continuer à compter sur les CCT ou sur d'autres moyens alternatifs de transfert de données de l'Europe vers les États-Unis, nous ne serons probablement pas en mesure d'offrir un certain nombre de nos plus importants produits et services, y compris Facebook et Instagram, en Europe", déclarait l'entreprise dans un dossier déposé auprès de la Securities and Exchange Commission des États-Unis.
C'est un bras de fer qui s'engage entre les États-Unis et l'Union européenne. Mais pas de panique pour autant, puisque les deux puissances sont en train de négocier un nouveau texte visant à encadrer le transfert des données entre eux, y compris en Irlande. Un accord préliminaire a été conclu, bien que les partis bloquent sur les détails juridiques. Dans tous les cas, il est fort peu probable que les États-Unis laissent de grandes entreprises comme Meta se priver du marché européen, car cela porterait un coup très dur à leur économie. Meta a d'ailleurs déclaré à Politico que "nous nous félicitons de l'accord entre l'UE et les États-Unis pour poser un nouveau cadre juridique qui permettra le transfert continu de données à travers les frontières. Nous espérons que ce cadre nous permettra de garder les familles, les communautés et les économies connectées."
Un nouvel accord pourrait être bénéfique pour l'Europe, surtout après les différents scandales qui ont éclaboussé Meta. Pour rappel, l'affaire Cambridge Analytica avait mis en avant la fuite des données personnelles de 87 millions d'utilisateurs Facebook que la société Cambridge Analytica avait commencé à exploiter début 2014. Ces informations ont notamment servi à influencer les intentions de vote en faveur d'hommes politiques. Plus récemment, des hôpitaux auraient envoyé des informations privées sur leurs patients à Facebook, partageant potentiellement des informations de santé avec le réseau social par le biais d'un traceur publicitaire.
La CNIL[1] a mis en demeure un éditeur pour avoir collecté des données à caractère personnel sur les visiteurs de son site Internet à l’aide du module Google Analytics.
En intégrant ce module Google Analytics à son site Internet, l’éditeur donnait la consigne aux navigateurs de ses visiteurs d’envoyer des informations à Google. Ces informations contenaient notamment l’adresse de la page visitée, l’éventuel page précédemment visitée (« Referer »), l’heure de la visite, l’adresse IP du visiteur et des informations sur son appareil. Ces informations pouvaient aussi contenir l’identifiant unique qui était attribué par Google à l’internaute et stocké dans un cookie et/ou l’identifiant interne que l’éditeur du site avait attribué à l’internaute, si ce dernier était connecté à son espace personnel. Le numéro de commande était aussi présent si la personne avait passé commande sur le site.
Toutes ces informations permettaient à l’éditeur de mesurer l’audience de son site Internet avec précision, mais aussi de détecter d’éventuelles erreurs et de mesurer ou d’optimiser l’efficacité ses campagnes publicitaires.
En premier lieu, la CNIL a considéré que les données collectées par ce module Google Analytics étaient des données à caractère personnel, car elles étaient associées à un identifiant unique et/ou composées de données qui pouvaient permettre d’identifier les visiteurs ou de les différencier de façon significative. La Commission a donc estimé que les exigences du RGPD[2] devaient être respectées.
Ensuite, la CNIL a rappelé que les transferts de données vers un pays n’appartenant pas à l’Union européenne étaient autorisés uniquement si « le niveau de protection des personnes physiques garanti par le [RGPD] n[’est] pas compromis »[3]. Un tel niveau de protection peut être obtenu :
Les données issues de Google Analytics sont transférées vers les États-Unis. Ce pays ne bénéficie plus d’une décision d’adéquation depuis l’arrêt[5] « Shrems II » du 16 juillet 2020 de la Cour de justice de l’Union européenne (CJUE) en raison de la surveillance de masse réalisée par les services gouvernementaux américains. Ces programmes de surveillance obligent notamment la société Google à fournir au gouvernement américain les données à caractère personnelle qu’elle possède ou les clés de chiffrement qu’elle utilise.
En l’absence d’une décision d’adéquation, l’éditeur du site et la société Google avaient recourru à des « clauses contractuelles types », c’est-à-dire un rapport détaillé justifiant un niveau de protection suffisant. La CNIL a cependant considéré, comme l’avait déjà fait la CJUE dans son arrêt cité précédemment, qu’un tel document ne permettait pas, à lui seul, d’apporter une protection contre les programmes de surveillance américain, car la société Google ne pouvait pas aller à l’encontre des lois de son pays. Des mesures additionnelles devaient donc être prises par l’éditeur et/ou Google.
Des mesures organisationnelles ont été prises par Google, comme la publication d’un rapport de transparence et la publication d’une politique de gestion des demandes d’accès gouvernementales, mais la Commission a estimé que ces mesures ne permettent pas « concrètement d’empêcher ou de réduire l’accès des services de renseignement américains ».
Des mesures techniques ont aussi été prises par Google, comme la pseudo « anonymisation »[6] des adresses IPs, mais la CNIL a estimé qu’elles « ne sont pas efficaces », car « aucune d’entre elles n’empêche les services de renseignement américain d’accéder aux données en cause ne ne rendent cet accès ineffectif ».
En l’absence d’une protection des données adéquate, la CNIL a, par conséquent, estimé que les transferts effectué par l’éditeur vers les serveurs de Google situés aux États-Unis étaient illégaux.
La CNIL a mis en demeure le site de mettre en conformité les traitements de données associés à Google Analytrics ou, si ce n’est pas possible, de retirer le module Google Analytics.
Concernant le nom de l’éditeur mis en cause, la CNIL a décidé de ne pas rendre public son nom pour des raisons que j’ignore. Il est cependant fort probable que la société soit Decathlon, Auchan ou Sephora étant donné que cette décision est la conséquence de plaintes[7] déposées par l’association militante NOYB[8].
Concernant la décision elle même, même si c’est la première fois que la CNIL prend publiquement position sur Google Analytics, ce n’est ni une surprise, ni une révolution. Depuis l’invalidation de l’accord avec les États-Unis en juillet 2020, tous les acteurs s’intéressant de près à la protection des données savent que les transferts de données vers les USA étaient, au mieux, très douteux. De plus, la CNIL n’est pas la première autorité de protection des données européenne à avoir statué dans ce sens. L’autorité autrichienne avait fait de même[9] trois mois plus tôt.
Cette décision a le mérite de mettre les choses au clair. Les organismes ne peuvent désormais plus prétendre un éventuel flou juridique. Google Analytics doit être retiré.
Notes et références
CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
Le RGPD autorise des transferts de données vers des pays tiers si « le niveau de protection des personnes physiques garanti par le [RGPD] n[’est] pas compromis » (source : RGPD, article 44).
Un transfert de données à caractère vers un pays tiers peut être réalisé si une décision d’adéquation existe pour ce pays (source : RGPD, article 45). Une telle décision existe, par exemple, pour le Royaume-Uni.
La Cour de justice de l’Union européenne (CJUE) invalide le « bouclier de protection des données UE-États-Unis » dans un arrêt du 16 juillet 2020 (source : CJUE, C-311/18, 16 juillet 2020, Shrems II).
La solution Google Analytics propose une option permettant d’« anonymiser » les adresses IP des internautes. Cette opération est toutefois réalisée par Google après que le transfert de données vers les États-Unis ait lieu.
L’association NOYB a déposé des plaintes contre de nombreux organismes suite à des transferts de données personnelles vers les États-Unis jugés illicites. Six entreprises francaises sont concernées. Trois d’entre elles concernent Google Analytics : Decathlon, Auchan et Sephora (source : noyb.eu).
NOYB - European Center for Digital Rights : (noyb.eu).
L’autorité autrichienne a décidé, décembre 2021, que les transferts de données réalisés par Google Analytics étaient illicites (source : noyb.eu, en allemand) (source 2 : gdprhub.eu, en anglais).
L’utilisation de Google Analytics viole le droit européen, juge l’autorité autrichienne de protection des données. L’autorité autrichienne de protection des données a décidé que l’utilisation de Google Analytics violait le règlement général sur la protection des données (RGPD). D’autres États membres de l’UE pourraient lui emboîter le pas, car les régulateurs coopèrent étroitement au sein d’une cellule spéciale du Comité européen de la protection des données.
La décision est fondée sur un certain nombre de plaintes déposées par l’ONG autrichienne noyb à la suite de l’arrêt « Schrems II » de la Cour de justice de l’Union européenne. La CJUE a jugé que l’accord de transfert de données entre les États-Unis et l’Union européenne, le « Privacy Shield », n’était pas conforme à la législation européenne sur la protection des données et a annulé l’accord en 2020, ce qui a rendu illégaux la plupart des transferts de données vers les États-Unis.
Toutefois, Google a partiellement ignoré cette décision. Au cours de la procédure, le géant de la technologie a admis que « toutes les données collectées par Google Analytics […] sont hébergées (c’est-à-dire stockées et traitées ultérieurement) aux États-Unis », ce qui inclut les utilisateurs européens.
Comme de nombreuses entreprises de l’UE utilisent Google Analytics, beaucoup ont transmis leurs données à Google, permettant ainsi que leurs données soient traitées aux États-Unis.
L’autorité autrichienne de protection des données vient de décider que ce comportement constitue une violation de la législation européenne.
« Au lieu d’adapter les services pour qu’ils soient conformes au RGPD, les entreprises américaines ont essayé d’ajouter simplement un texte à leurs politiques de confidentialité et d’ignorer la Cour de justice. De nombreuses entreprises de l’UE ont suivi le mouvement au lieu de se tourner vers des options légales », a déclaré Max Schrems, président honoraire de noyb, dans un communiqué.
« Cela fait maintenant un an et demi que la Cour de justice l’a confirmé une deuxième fois, il est donc plus que temps que la loi soit également appliquée », a ajouté M. Schrems.
La décision des autorités autrichiennes n’est que la première des 101 plaintes que noyb a déposées dans presque tous les pays de l’UE. L’ONG s’attend à ce que « des décisions similaires tombent progressivement dans la plupart des États membres de l’UE », a déclaré M. Schrems.
Mardi, le contrôleur européen de la protection des données a déjà rendu une décision similaire, soulignant que l’utilisation de Google Analytics par le Parlement européen violait le RGPD.
(Oliver Noyan | EURACTIV Allemagne)
La Cnil donne un coup de pied dans la fourmilière : interrogée sur l'emploi d'outils collaboratifs américains, l'autorité administrative française estime qu'il faut s'en passer et opter pour des solutions françaises ou européennes.
Les outils Framasoft plutôt que la suite bureautique de Google Docs pour les élèves qui poursuivent leurs études après le Bac ? Si la Commission nationale de l’informatique et des libertés (Cnil) ne va pas jusqu’à formuler une telle recommandation, le sens de son message est toutefois limpide : il est préférable de délaisser les outils américains pour l’enseignement supérieur et la recherche.
C’est en effet ce qui transparait dans une prise de parole datée du 27 mai 2021. La Cnil répondait alors aux sollicitations de la Conférence des grandes écoles et la Conférence des présidents d’université sur l’évolution du cadre juridique européen et ses effets que cela peut avoir sur les conditions stockage et de circulation des données qui sont produites, collectées et manipulées via ces outils de travail.
Cet appel de la Cnil ne vient pas de nulle part : il tient compte d’une réalité juridique avec l’invalidation du Privacy Shield par la Cour de justice de l’Union européenne, à l’été 2020. Or ce cadre, qui remplaçait le Safe Harbor, un mécanisme similaire qui a aussi été détruit, servait à encadrer le transfert des données des internautes en Europe vers les États-Unis, là où figurent de nombreux services en ligne.
La Cour a considéré qu’il n’existe en fait aucune garantie juridique pour des personnes non américaines pouvant être visées par les programmes de surveillance américains. Or, le Privacy Shield était censé être conforme aux standards européens. En clair, il y a un conflit manifeste entre le droit européen et le droit américain. Dès lors, la légalité de ces transferts est remise en question.
Considérant ce verdict majeur, véritable séisme juridique au niveau européen, mais aussi les documents qui lui ont été transmis, la Cnil relève que « dans certains cas, des transferts de données personnelles vers les États-Unis dans le cadre de l’utilisation des suites collaboratives pour l’éducation » surviennent, et cela pour beaucoup de monde : étudiants, chercheurs, enseignants, personnels administratifs.
Ce n’est pas tout : des informations encore plus critiques peuvent être en jeu, comme des données de santé (qui sont des données sensibles devant bénéficier d’un plus haut degré de protection ), des données particulières (relatives à des mineurs) et des données pouvant impliquer des enjeux stratégiques, dans les secteurs scientifique et économique (données de recherche).
« Il existe donc un risque d’accès par les autorités américaines aux données stockées »
Et dans le cas où les fournisseurs américains de ces outils prennent des mesures pour ne procéder à aucun transfert, de sorte de stocker et traiter les données en Europe ? Là aussi, il y a un problème : le Cloud Act. Ce texte autorise les juridictions à forcer les entreprises aux États-Unis de fournir les données sur leurs serveurs, dans le cadre d’une procédure, y compris les serveurs situés à l’étranger.
« Indépendamment de l’existence de transferts, les législations américaines s’appliquent aux données stockées par les sociétés états-uniennes en dehors de ce territoire. Il existe donc un risque d’accès par les autorités américaines aux données stockées », relève la Cnil. Dès lors, l’engagement de Microsoft en la matière doit être tempéré, même si la société a par le passé combattu ce genre de demande.
Enfin, si la Cnil admet qu’il faudrait déployer des mesures additionnelles pour poursuivre ces transferts même si le Privacy Shield est tombé, il s’avère que ces dispositions capables « d’assurer un niveau de protection adéquat » ne sont à ce jour pas identifiées. De plus, ajoute la Cnil, jouer la carte des dérogations n’est pas une réponse viable : elles doivent rester des dérogations, c’est-à-dire des exceptions.
Pour cette dernière remarque, la Cnil mentionne les observations du Comité européen de la protection des données, dont elle est membre, et qui raisonnait en citant soit le cas d’un fournisseur de services via le cloud soit le cas d’un sous-traitant qui « dans le cadre de leurs prestations, ont la nécessité d’accéder aux données en clair ou possèdent les clefs de chiffrement. »
Cette situation fait donc dire à la Cnil qu’il « est nécessaire que le risque d’un accès illégal par les autorités américaines à ces données soit écarté ». Mais parce qu’il n’est pas évident de basculer d’un claquement de doigts tout l’écosystème de l’enseignement supérieur et de la recherche, et parce qu’il existe encore une crise sanitaire à cause du coronavirus, la Cnil admet le besoin « d’une période transitoire. »
La Cnil se dit disponible pour « identifier des alternatives possibles ». Des pistes existent du côté des logiciels libres, à l’image de Framasoft ou LibreOffice. Il reste à déterminer quelles décisions seront prises à la suite de l’appel de la Cnil et, si l’offre est au niveau, car la commodité d’emploi, la disponibilité et l’éventail des fonctionnalités l’emportent parfois sur toute autre considération.
Les « conditions juridiques nécessaires » ne « semblent pas réunies » pour confier le mégafichier des données de santé françaises « à une entreprise non soumise exclusivement au droit européen », a estimé vendredi l’Assurance maladie, désignant ainsi implicitement Microsoft. La pilule ne passe toujours pas : saisi une nouvelle fois pour avis, sur le projet de décret devant graver dans le marbre les « modalités de mise en oeuvre » du gigantesque « système national des données de santé », le conseil d’administration de la Caisse nationale d’Assurance maladie (CNAM) ne s’est pas privé d’exprimer ses désaccords.
« Les conditions juridiques nécessaires à la protection de ces données ne semblent pas réunies pour que l’ensemble de la base principale soit mise à disposition d’une entreprise non soumise exclusivement au droit européen (…) indépendamment de garanties contractuelles qui auraient pu être apportées », écrit cette instance dans une délibération adoptée à l’unanimité des membres qui ont pris position. La charge vise évidemment le géant américain Microsoft, choisi sans appel d’offres début 2019 pour héberger le Health Data Hub, gestionnaire désigné de ce fichier agrégeant les données de la Sécu, des hôpitaux ou des soignants libéraux, entre autres.
« Seul un dispositif souverain et uniquement soumis au RGPD (le règlement européen qui garantit aux usagers certains droits sur leurs données, ndlr) permettra de gagner la confiance des assurés », ajoute le conseil d’administration. L’instance juge qu’en attendant cette solution, les données « ne seraient mises à disposition du Health Data Hub qu’au cas par cas », uniquement pour « des recherches nécessaires à la prévention, au traitement et à la prise en charge de la Covid-19 ».
La Cour de justice de l'Union européenne invalide un accord de 2016 pris entre Bruxelles et Washington sur le transfert des données personnelles entre les deux rives de l'Atlantique. En cause, le manque d'encadrement des programmes de surveillance américains.
C’est un coup de tonnerre juridique dans le ciel transatlantique. Jeudi 16 juillet, la Cour de justice de l’Union européenne (CJUE) a annoncé avoir invalidé la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis. C’est une décision cruciale, car elle concerne le transfert de données personnelles des Européens, donc les vôtres, vers les États-Unis.
Mais de quoi parle-t-on ?
Rappel des faits.
Jusqu’en 2015, l’envoi de données personnelles de l’Europe vers les USA était encadré par un dispositif baptisé « Safe Harbor ». Mais par l’action en justice d’un Autrichien, ce mécanisme a été annulé en octobre de cette année-là, déjà par la CJUE. Les révélations d’Edward Snowden en 2013 sur la surveillance de masse mise en place les services de renseignement américains avaient à l’époque joué un rôle important, car elles montraient un niveau de protection insuffisant pour les Européens.
cjue cour justice
Cour de justice de l’Union européenne. // Source : Transparency International EU Office
Pour éviter de laisser un vide entre les deux rives de l’Atlantique, un nouveau cadre a été mis sur pied dès l’année suivante, en 2016 : le bouclier de protection des données UE-États-Unis, ou « Privacy Shield ». Celui-ci est décrit comme plus protecteur que le « Safe Harbor ». C’est la position de Bruxelles, qui l’a validé à chaque réexamen annuel. Mais ni les CNIL du Vieux Continent, ni le Parlement européen, ni le Conseil national du numérique, ni les associations de la société civile ne partageaient ce point de vue.
À cette liste, on peut donc ajouter maintenant la Cour de justice de l’Union européenne, qui va obliger Bruxelles et Washington à renégocier un accord. Et comme le fait remarquer le professeur de droit Théodore Christakis, spécialiste de droit international public, c’est une fois encore les programmes de surveillance américains qui posent problème, car ils « ne sont pas limités à ce qui est strictement nécessaire et ne sont donc pas conformes aux standards européens ».
Dans son communiqué, la Cour fait observer qu’il n’y avait aucune garantie juridique pour des personnes non américaines potentiellement visées par ces programmes. Ainsi, il est relevé que la réglementation américaine « ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux », tandis que « l’accès et l’utilisation, par les autorités publiques américaines » des données à caractère personnel ne sont pas assez encadrés.
Pour la justice européenne, les programmes de surveillance américains ne sont pas assez bien encadrés
Pour l’Autrichien à l’origine des invalidations du « Safe Harbor » et du « Privacy Shield », cet arrêt est une bonne nouvelle.
« Je suis très heureux de ce jugement. Il semble que la Cour nous ait suivis dans tous les aspects. […] Il est clair que les États-Unis devront modifier sérieusement leurs lois de surveillance, si les entreprises américaines veulent continuer à jouer un rôle majeur sur le marché européen », écrit-il. « La Cour a clarifié pour la deuxième fois maintenant qu’il y a un conflit entre la législation européenne sur la vie privée et la législation américaine sur la surveillance. »
En somme, c’est le droit américain qui pose problème : si celui-ci n’est pas modifié de façon substantielle, il est à prévoit d’autres annulations du même ordre devant les tribunaux si Washington ne s’attaque pas à une réforme plus ambitieuse. « Comme l’UE ne modifiera pas ses droits fondamentaux pour satisfaire la NSA, la seule façon de surmonter ce conflit est que les États-Unis introduisent des droits solides en matière de protection de la vie privée pour tous, y compris les étrangers ».
Et maintenant ?
Reste une question : l’invalidation prononcée ce jour signifie-t-elle qu’il n’y a plus du tout de transfert entre les deux rives de l’Atlantique ? C’est aller un peu vite en besogne.
Si la Cour a bien annulé le « Privacy Shield », elle a par contre validé les clauses contractuelles types de la Commission européenne. Il s’agit d’un autre dispositif qui sert lui aussi à encadrer l’envoi des données personnelles aux USA. Elles servent lorsque des transferts se font en dehors de l’Union, en vue de « faciliter la tâche » des entreprises et des sous-traitants des autres pays. Autrement dit, si l’accord général n’est pas bon, des accords individuels peuvent l’être.
Deux subtilités sont toutefois à relever. Si le principe des clauses contractuelles types est approuvé, c’est à la condition que les entreprises et les sous-traitants qui y font appel se montrent en phase avec la législation européenne. C’est ce que relève l’avocat Étienne Wery sur son site : l’exportation de données n’est possible que si le niveau de protection est suffisant et respecté. Dans le cas contraire, ce transfert doit être suspendu ou interdit. Reste à pouvoir s’en assurer.
Ensuite, les clauses contractuelles types ne peuvent pas être utilisées par des entreprises qui, justement, sont sous surveillance américaine. C’est ce qu’analyse l’association Noyb, fondée par Maximilian Schrems, l’Autrichien à l’origine de toute cette affaire. « L’arrêt indique clairement que les entreprises ne peuvent pas se contenter de signer les clauses , mais qu’elles doivent également vérifier si elles peuvent les respecter dans la pratique », commence-t-il.
Un vrai casse-tête pour les géants du net.
Doctolib veut faire bonne figure : la plateforme de prise de rendez-vous médical en ligne a été récemment la cible de critiques à l’égard de son traitement des données de santé. Une enquête de France Info publiée en début d’année faisait le point sur le sujet et avait déjà poussé Doctolib à clarifier sa politique en matière de protection des données personnelles et de santé.
Pour enfoncer le clou, Doctolib a annoncé la semaine dernière la mise en place d’un dispositif de chiffrement de bout en bout sur sa plateforme, reposant sur la solution de chiffrement Tanker.io. « Jusqu’à présent, les données personnelles de santé des utilisateurs de Doctolib étaient chiffrées à deux niveaux, en transit et au repos. Le chiffrement de bout en bout garantit que les données personnelles de santé des patients qui utilisent Doctolib ne sont accessibles qu’aux patients et à leurs professionnels de santé en toutes circonstances », indique le communiqué. Doctolib précisait au passage que cette solution rendait l’accès aux données impossible pour un tiers « y compris dans les opérations d’assistance ou de maintenance ». L’enquête de France Info avait en effet révélé que Doctolib accédait parfois aux données des praticiens de santé dans le cadre d’opération de maintenance et d’assistance. De fait, si Doctolib se défendait d’accéder aux données de ses utilisateurs, il fallait donc les croire sur parole.
La solution retenue pour la mise en place de ce chiffrement assure que ce ne sera plus le cas. Comme l’explique Clément Ravouna, cofondateur de Tanker.io, « les clés appartiennent aux utilisateurs finaux puisque Tanker utilise un protocole de bout en bout et que les clés sont stockées sur les appareils des utilisateurs, ce qui a le mérite de loger physiquement cette propriété ». En d’autres termes, le chiffrement des données, la génération des clés et des pseudonymes se fait directement sur les appareils des utilisateurs grâce au SDK de Tanker.io embarqué dans l’application Doctolib.
« Avec ce déploiement, Doctolib ne sera pas en mesure d'accéder aux données de santé de ses utilisateurs et prestataires, car Doctolib n'aura pas les clés de chiffrement », nous précise Doctolib. Clément Ravouna de Tanker.io ajoute que seule « l'association de deux utilisateurs, via le protocole Tanker, permettra de déchiffrer les données. Lorsqu'un patient décide de partager une ressource avec un professionnel de santé via Doctolib, de nouvelles clés sont générées, utilisées et partagées via notre solution Tanker ». La solution de Tanker, décrite dans un livre blanc disponible sur leur site, permet une gestion des clés qui se veut invisible pour les utilisateurs et embarquée dans une application déjà existante. Tanker.io avait obtenu en 2017 une certification de sécurité de premier niveau auprès de l’Anssi.
Reste une interrogation, déjà soulevée par l’enquête de France Info : Doctolib ne peut pas vendre des données personnelles de santé, au sens où celles-ci pourraient permettre d’identifier de façon nominative les patients. Mais exploiter ces données anonymisées reste possible légalement. La solution de Tanker.io offre également la possibilité « d’anonymiser » les données via la génération de pseudonymes découplés des données brutes, comme le décrit son livre blanc. Interrogé à ce sujet, le service presse de Doctolib assure que « le modèle économique de Doctolib n'a rien à voir avec l'exploitation des données. Doctolib ne vend pas les données, Doctolib n'utilise pas les données pour faire de la publicité ou vendre des services ».
Dans ses lignes directrices, sur lesquelles le Conseil D’État vient de se prononcer, la Cnil jugeait le recours à des «cookies walls» contraire au règlement général sur la protection des données (RGPD).
Question posée sur Twitter le 22/06/2020
Bonjour,
Votre question fait référence à cet article du journal les Échos, selon lequel, «à l’avenir, les sites Internet pourront bloquer l’accès à tous les internautes qui refusent les cookies, ces traceurs informatiques controversés». Et ce en vertu d’une «décision du Conseil D’État publiée vendredi» où la plus haute juridiction administrative «donne raison aux éditeurs de sites contre la Cnil [Commission nationale de l’informatique et des libertés, ndlr], le gendarme français de la vie privée sur Internet, qui avait interdit une telle pratique».
Même son de cloche du côté d’une dépêche AFP sur le sujet (notamment reprise par le Monde) : «Selon la plus haute juridiction administrative, les éditeurs peuvent bloquer l’accès à leur site à un internaute qui refuserait les cookies, contrairement à ce que préconise le gendarme français des données personnelles dans ses lignes directrices sur le sujet publiées en 2019.»
En bref, le Conseil D’État «légaliserait» cette pratique, généralement appelée «cookies walls» (où il est nécessaire d’accepter les cookies pour accéder à un contenu, comme on parle de paywall lorsqu’il faut payer), à la suite d’une procédure menée par neuf associations qui représentent des entreprises françaises dans le domaine des médias, de la publicité et du commerce en ligne (Geste, SRI, IAB France, MMAF, Udecam, AACC, Fevad, UDM et SNCD).
Problème : selon plusieurs spécialistes des questions de vie privée et médias spécialisés, qui s’appuient sur le contenu de la décision, le Conseil d’État se prononce en fait sur la forme et non sur le fond. Sa décision ne permettrait donc pas, en l’état, de préjuger de la légalité ou non d’un «cookies walls».
On peut lire dans le communiqué de presse de la juridiction que «le Conseil D’État annule partiellement les lignes directrices de la Cnil relatives aux cookies et autres traceurs de connexion». Mais plus bas, on apprend que le Conseil D’État juge que «la Cnil a excédé ce qu’elle pouvait légalement faire dans le cadre d’un acte dit "de droit souple"». Les actes de droit souple désignant «les instruments, telles que les lignes directrices des autorités de régulation [comme la Cnil], qui ne créent pas de droit ou d’obligation juridique pour quiconque mais influencent fortement, dans les faits, les pratiques des opérateurs économiques».
Le Conseil D’État considère donc «que la Cnil ne pouvait, sous couvert d’un acte de droit souple, énoncer une telle interdiction générale et absolue» à propos des cookies walls. Tout en prenant bien soin de préciser qu’il se prononce sur cette question de forme «sans se prononcer sur le fond de la question», à savoir la légalité de bloquer l’accès à un contenu à un utilisateur qui refuserait les cookies.
Pour Bernard Lamon, avocat spécialiste des questions liées au règlement général sur la protection des données (RGPD), le Conseil D’État a simplement dit que sur un point très précis de ses lignes directrices, la Cnil avait franchi la ligne jaune puisque «dans des lignes directrices on ne peut pas dire que les cookies walls sont interdits de manière globale». «Mais le Conseil D’État ne s’est pas prononcé sur la légalité des cookies walls, contrairement à ce que prétendent certains qui se livrent à une bataille de communication. Pour savoir si c’est légal ou non, il faudra du contentieux, avec un examen concret, site par site», estime-t-il.
Pour Etienne Drouard, l’avocat du cabinet Hogan Lovells qui représente les associations requérantes, le Conseil D’État «rappelle que la Cnil doit analyser au cas par cas les alternatives proposées à l’utilisateur en contrepartie de l’accès au site de l’éditeur.» En d’autres termes, en proposant à l’internaute soit d’accéder gratuitement au contenu avec des cookies publicitaires, soit de se connecter via un compte, soit de payer, l’éditeur du site offre un choix au lecteur, «qui préserve la liberté du consentement prévue par le RGPD». «Ce qui n’est pas possible, c’est de conditionner l’accès au site à l’acceptation des cookies, sans offrir d’alternative», avance l’avocat, confirmant donc que le Conseil d’État n’a pas «légalisé» les cookies walls. Plus largement, il se félicite que le Conseil d’État rappelle qu’un «régulateur comme la Cnil ne peut pas, à la différence d’un législateur, créer des interdictions de principe».
«Retour à l’équilibre»
«La Cnil prend acte de cette décision et ajustera en conséquence ses lignes directrices et sa future recommandation pour s’y conformer», a indiqué la commission sur son site.
Sur le fond, la Cnil s’était alignée sur la position du comité européen de protection des données (CEPD), organe européen indépendant qui «contribue à l’application cohérente des règles en matière de protection des données au sein de l’Union européenne». Celui-ci considère en effet que les cookies walls ne sont pas «conformes» au RGPD puisque «les utilisateurs ne sont pas en mesure de refuser le recours à des traceurs sans subir des conséquences négatives (en l’occurrence l’impossibilité d’accéder au site consulté)».
Le Groupement des éditeurs de services en ligne (Geste), qui faisait partie des requérants, se satisfait de son côté de la décision du Conseil d’État qui permet «un retour à l’équilibre du RGPD» : «Nous avions la conviction que la Cnil avait surinterprété le RGPD. Nous défendons le droit pour les éditeurs de site de choisir leur modèle économique», avance son président, Bertrand Gié. Y compris le cookies walls donc, même si «à sa connaissance», aucun gros site français n’a pour le moment fait ce choix. Explicitement en tout cas : selon le blogueur Aeris, qui travaille «dans la sécurité informatique et plus précisément sur la vie privée», la pratique du cookies wall recouvre aussi les nombreux sites qui partent du principe que «si vous continuez à visiter ce site, vous consentez à recevoir des cookies» : «C’est tout aussi illégal, et en pratique le refus des cookies implique une impossibilité de visite du site», estime-t-il.
Dans la même décision, «le Conseil d’État donne raison à la Cnil sur tout le reste, que ce soit sur sa compétence ou les lignes directrices» relève par ailleurs l’avocat Bernard Lamon. Idem pour le média spécialisé Next Inpact qui juge que la décision du Conseil D’État va dans le sens de la commission, «même si cette dernière devra parfois ajuster sa manière de faire. C’est notamment le cas pour les cookies walls» : «Alors qu’éditeurs de presse et autres organismes publicitaires s’étant attaqués aux lignes directrices de la Cnil s’attendaient à une confirmation de leur position, cela n’a pas été le cas. […] Concernant le consentement [des utilisateurs] ses positions se trouvent renforcées par le Conseil D’État qui a "validé l’essentiel des interprétations ou recommandations" en la matière. Notamment que la gestion devait être symétrique (aussi simple à accorder qu’à refuser) et "porter sur chacune des finalités, ce qui implique notamment une information spécifique".»
Avec le Patriot Act, puis le Cloud Act, la France a perdu une partie de sa souveraineté juridique, balayée par les lois extraterritoriales américaines. Mais une volonté de reconquête se fait désormais jour.
Le constat est implacable, la France a perdu depuis l'instauration par les États-Unis du Patriot Act en 2001 une partie de sa souveraineté juridique. La cause : les lois extraterritoriales américaines, qui ont contraint les entreprises françaises et du monde entier à se soumettre au droit américain grâce à des liens parfois très ténus (paiement en dollars par exemple) avec les États-Unis. En dépit de la loi Sapin 2 de décembre 2016, la France - tout comme l'Europe - n'a jusqu'ici rien pu faire pour s'y opposer vraiment... alors même que les États-Unis se sont servis du droit comme "d'une arme de destruction dans la guerre économique" qu'ils mènent contre le reste du monde, a affirmé le député Raphaël Gauvain, qui a remis en juin 2019 un rapport sur la reconquête de la souveraineté de la France au Premier ministre. Dans un entretien à La Tribune, le député LREM martèle qu'il y a une "véritable instrumentalisation de cette procédure au service de l'économie et des entreprises américaines".
Les entreprises en situation de très grande vulnérabilité
Cette arme juridique a servi à piller leurs alliés traditionnels, notamment en Europe, en ciblant plus particulièrement l'Allemagne et la France. Ainsi, plusieurs dizaines de milliards de dollars d'amendes ont été réclamées par la justice américaine à des entreprises françaises, européennes, asiatiques et sud-américaines au motif que leurs pratiques commerciales, leurs clients ou certains de leurs paiements ne respectaient pas le droit américain. Les entreprises françaises "sont dans une situation de très grande vulnérabilité, les autorités françaises donnant depuis de longues années le sentiment de la passivité et l'impression d'avoir renoncé", a d'ailleurs constaté le rapport Gauvain.
Elles le sont encore plus avec l'instauration du Cloud Act en mars 2018. Car les États-Unis sont passés à la vitesse supérieure en élargissant les prérogatives prévues par le Patriot Act. Le Cloud Act permet légalement aux autorités américaines d'accéder aux données de toute personne ou entreprise liée d'une façon ou d'une autre aux États-Unis, peu importe leur lieu de stockage.
Une atteinte à la souveraineté diplomatique de la France
Longtemps, les enquêtes en matière de corruption active d'agents publics étrangers ont constitué l'élément central qui justifiait l'action extraterritoriale du ministère de la Justice américaine (DoJ). En quelque sorte un paravent éthique. Ce n'est plus aujourd'hui totalement le cas avec la multiplication des sanctions internationales décrétées par Washington, instaurées sans aucune concertation au niveau mondial. Cet unilatéralisme en matière de sanctions économiques et financières a d'ailleurs crû indépendamment de la couleur politique de l'administration américaine. Ou comment soumettre un pays sans envoyer un seul GI risquer sa vie... Résultat, certaines amendes infligées par les États-Unis ont été astronomiques comme celle record de près de 9 milliards de dollars payée par BNP Paribas pour violation des sanctions internationales en contournant entre 2000 et 2010 les embargos imposés par les États-Unis à Cuba, à l'Iran, au Soudan ou à la Libye.
Résultat, d'année en année, la liste des pays coupés du monde augmente par la seule volonté des États-Unis. Au 1er décembre 2018, l'Ofac (Office of Foreign Assets Control), chargé de l'application des sanctions internationales américaines dans le domaine financier, infligeait 30 régimes ou programmes actifs de sanctions à presque autant de pays, régimes ou types d'organisations à travers le monde. Pourtant, les divergences stratégiques entre l'Europe et les États-Unis au sujet de la politique de sanctions internationales n'ont jamais été aussi grandes. C'est le cas notamment sur le dossier iranien bien avant l'assassinat ciblé du général iranien Qassem Soleimani par les Etats-Unis, qui a embrasé le Moyen Orient. Ainsi, le constructeur PSA, qui avait investi 350 millions d'euros en Iran, a été obligé de tirer un trait sur environ 450.000 voitures immatriculées par an. Soit quasiment 15% de ses volumes mondiaux. Une telle situation est intolérable pour un pays comme la France, qui souhaite - en principe - mener une politique internationale non alignée à celle des États-Unis en tant que membre permanent au Conseil de l'ONU, et va très clairement à l'encontre de sa souveraineté diplomatique.
La France réfléchit à casser les lois extraterritoriales américaines
Toutefois, ni la France ni l'Europe n'ont, pour l'heure, les moyens juridiques de réagir de manière efficace à des sanctions internationales prises par les États-Unis, qui n'iraient pas dans le sens de leurs intérêts. "Notre environnement juridique mérite d'être adapté au rapport de force qui s'engage actuellement avec certains de nos partenaires, tentés par une application extraterritoriale de leur droit", a d'ailleurs reconnu devant le Sénat la secrétaire générale de la défense et de la sécurité nationale Claire Landais. Mais comment la France peut-elle reconquérir sa souveraineté juridique ? Près de vingt ans après le Patriot Act et plusieurs rapports alarmistes tombés dans l'oubli par un incroyable manque de volonté politique (rapports Urvoas et Lellouche-Berger notamment), l'État français et l'Europe y travaillent enfin.
Le rapport Gauvain participe donc enfin à cette prise de conscience, qui devrait logiquement trouver un prolongement législatif en 2020. Avec un leitmotiv puissant, celui de laisser la naïveté des États au vestiaire face aux impératifs de souveraineté, comme le soulignait au Sénat en mai dernier Thierry Breton, alors encore PDG d'Atos et aujourd'hui commissaire européen.
Des avis juridiques trop peu protégés
Dans ce contexte, "le gouvernement et les administrations travaillent sur des textes", assure-t-on à La Tribune. Ainsi, sous l'impulsion de Matignon, un groupe interministériel (ministères de l'Économie, de la Justice et des Affaires étrangères) "a amorcé une réflexion sur la base du rapport de Raphaël Gauvain, afin d'actualiser la loi de 1968, dite de blocage", a précisé en septembre au Sénat la garde des Sceaux, Nicole Belloubet. Cette loi était censée imposer aux autorités administratives et judiciaires étrangères, souhaitant se faire remettre des informations stratégiques détenues par des entreprises situées en France, de passer par le canal de la coopération. Mais cette loi a été piétinée par les États-Unis.
La France réfléchit aussi à la création d'un statut particulier pour les avocats en entreprise afin de protéger les précieux avis juridiques. Car elle est l'une des rares grandes puissances économiques à ne pas préserver la confidentialité des avis juridiques en entreprise. Cette lacune fragilise les sociétés françaises et "contribue à faire de la France une cible de choix et un terrain de chasse privilégié pour les autorités judiciaires étrangères, notamment les autorités américaines", a fait valoir Raphaël Gauvain dans son rapport.
Face au Cloud Act, l'arme du RGPD
Pour le ministre de l'Intérieur, la reconquête de la souveraineté passe par la montée en puissance de l'euro : "La véritable solution, c'est notamment d'avoir une monnaie européenne suffisamment puissante pour que les entreprises européennes puissent travailler à travers le monde sans utiliser le dollar. Il faut raisonner de la même manière au sujet du cloud et, plus largement, pour l'ensemble de nos outils". Mais le chemin sera trop long pour imposer l'euro dans les transactions internationales.
Pour se faire respecter des États-Unis, la confrontation passe surtout par le strict respect du Règlement général sur la protection des données (RGPD) afin de contrer le Cloud Act. Car "l'Europe a réussi avec le RGPD à créer, sans le vouloir, un instrument à portée extraterritoriale qui défend nos valeurs", a souligné en juillet 2019 le président de la Fédération Syntec, Laurent Giovachini. "Le RGPD a instauré un cadre juridique ambitieux et puissant", a d'ailleurs fait observer en juillet dernier la présidente de la Cnil, Marie-Laure Denis. Le RGPD a vocation à s'appliquer à un marché économique de plus de 500 millions de personnes auquel les acteurs du numérique s'intéressent.
"Dans la perspective de tels conflits de normes, il est essentiel pour rester crédibles de pouvoir leur opposer des outils comme le RGPD ou une loi de blocage rénovée, a estimé Claire Landais. Ces textes normatifs auront, d'une part, un effet incitatif dans les négociations qui doivent s'engager entre États et, d'autre part, un effet dissuasif sur les sociétés étrangères concernées, exposées au risque d'être en infraction avec nos normes". Le RGPD interpelle déjà les entreprises américaines, comme s'en est aperçue Marie-Laure Denis : "J'ai pu constater à quel point les entreprises américaines étaient intéressées par l'affirmation européenne d'une législation extraterritoriale". Car quoi qu'il arrive, les États-Unis ne respecteront que l'épreuve de force. La France semble y être prête, mais l'Europe des 28 le veut-elle ?
Michel Cabirol
Oui... à condition de protéger certaines données personnelles, a répondu le ministère de la Culture à la question écrite du sénateur Jean-Louis Masson (NI, Moselle). Décryptage de la réponse de la Rue de Valois.
Le parlementaire de Moselle Jean-Louis Masson s’interroge sur les conséquences de cette passion française pour la généalogie, plusieurs associations de généalogistes amateurs proposant aux communes « de numériser leurs documents d’état civil afin de permettre l’accès du plus grand nombre à ces documents ». Cette numérisation est-elle conforme au droit ? Le ministère de la Culture souligne tout d’abord que les actes de naissance et de mariage sont communicables à tous au terme de 75 ans. Quant aux actes de décès, ils le sont immédiatement, sauf si l’accès est -limité par le procureur de la République. « Les documents librement communicables peuvent être consultés par les généalogistes amateurs dans les institutions qui les conservent : mairies, greffes ou services départementaux d’archives, ajoute la Rue de Valois. La communication s’opère, au choix du demandeur, par consultation gratuite sur place ou par délivrance d’une copie.
Et rien ne s’oppose à ce que l’usager « reproduise lui-même les documents avec son propre matériel. Ces opérations de reproduction ne doivent cependant pas être autorisées si elles présentent un risque pour la conservation des registres originaux », précise le ministère, et « la reproduction doit se faire […] en prenant le plus grand soin des documents ».
La réutilisation des informations publiques obtenues est libre et gratuite. « Néanmoins, lorsque les documents reproduits comportent des données à caractère personnel, c’est-à-dire relatives à des personnes vivantes, leur traitement par les usagers et les associations généalogiques est soumis au réglement européen » de protection des données. Ainsi, « la plus grande vigilance s’impose s’agissant du traitement des actes d’état civil de personnes potentiellement vivantes, prévient le ministère. La Commission nationale de l’informatique et des libertés (Cnil) a interdit toute mise en ligne, par des opérateurs de généalogie, de fichiers-images et d’indexations nominatives d’actes de moins de 120 ans ou relatifs à des personnes nées depuis moins de 120 ans. »
Références
Réponse à Jean-Louis Masson, n° 7946, JO Sénat du 18 avril 2019
L’Association Interhop.org est une initiative de professionnels de santé spécialisés dans l’usage et la gestion des données de santé, ainsi que la recherche en machine learning dans de multiples domaines médicaux. Aujourd’hui, en leur donnant la parole sur ce blog, nous publions à la fois une alerte et une présentation de leur initiative.
En effet, promouvant un usage éthique, solidaire et intelligent des données de santé, Interhop s’interroge au sujet du récent projet Health Data Hub annoncé par le gouvernement français pour le 1er décembre prochain. Devons-nous sacrifier le bon usage des données de santé sur l’autel de la « valorisation » et sous l’œil bienveillant de Microsoft ? Tout comme dans l’Éducation Nationale des milliers d’enseignants tentent chaque jour de ne pas laisser le cerveaux de nos enfants en proie au logiciels fermés et addictifs, il nous appartient à tous de ne pas laisser nos données de santé à la merci de la recherche de la rentabilité au mépris de l’éthique et de la science.
Hold-up sur les données de santé, patients et soignants unissons-nous Par Interhop.org
La plateforme nationale des données de santé ou Health Data Hub, pour les plus américains d’entre nous, doit voir le jour d’ici la fin de l’année. Il s’agit d’un projet qui, selon le Ministère de la Santé, vise à « favoriser l’utilisation et de multiplier les possibilités d’exploitation des données de santé » en créant notamment « une plateforme technologique de mise à disposition des données de santé ».
Or, à la lecture du rapport d’étude qui en détermine les contours, le projet n’est pas sans rappeler de mauvais souvenirs. Vous rappelez-vous, par exemple, du contexte conduisant à la création de la CNIL (Commission nationale de l’informatique et des libertés) en 1978 en France ? L’affaire a éclaté en mars 1974, dans les pages du journal Le Monde. Il s’agissait de la tentative plus ou moins contrecarrée du projet SAFARI (Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus) visant à créer une banque de données de tous les citoyens français en interconnectant les bases de plusieurs institutions grâce à un numéro unique d’identification du citoyen : le numéro de Sécurité Sociale.
Ce scandale n’était pourtant pas inédit, et il ne fut pas le dernier… À travers l’histoire, toutes les tentatives montrent que la centralisation des données correspond à la fois à un besoin de gouvernement et de rentabilité tout en entamant toujours un peu plus le respect de nos vies privées et la liberté. L’histoire de la CNIL est jalonnée d’exemples. Quant aux motifs, ils relèvent toujours d’une très mauvaise habitude, celle de (faire) croire que la centralisation d’un maximum d’informations permet de les valoriser au mieux, par la « magie » de l’informatique, et donc d’être source de « progrès » grâce aux « entreprises innovantes ».
Concernant le « Health Data Hub », il s’agit d’un point d’accès unique à l’ensemble du Système National des Données de Santé (SNDS) issu de la solidarité nationale (cabinets de médecins généralistes, pharmacies, hôpitaux, Dossier Médical Partagé, registres divers et variés…). L’évènement semble si important qu’il a même été annoncé par le Président Macron en mars 2018. Par ailleurs, il est important de pointer que le SNDS avait été épinglé pour l´obsolescence de son système de chiffrement en 2017 par la CNIL.
De plus, l’infrastructure technique du Health Data Hub est dépendante de Microsoft Azure. Et ce point à lui seul soulève de grandes problématiques d’ordre éthique et réglementaire.
Alors que le Règlement Général sur la Protection des Données (RGPD) protège les citoyens européens d’un envoi de leurs données en dehors du territoire européen, la loi Américaine (Cloud Act) permet de contraindre tout fournisseur de service américain à transférer aux autorités les données qu’il héberge, que celles-ci soient stockées aux États-Unis ou à l’étranger.
Entre les deux textes, lequel aura le dernier mot ?
Les citoyens et patients français sont donc soumis à un risque fort de rupture du secret professionnel. La symbolique est vertigineuse puisque l’on parle d’un reniement du millénaire serment d’Hippocrate.
Le risque sanitaire d’une telle démarche est énorme. Les patients acceptent de se faire soigner dans les hôpitaux français et ils ont confiance dans ce système. La perte de confiance est difficilement réparable et risque d’être désastreuse en terme de santé publique.
C’est sous couvert de l’expertise et du « progrès » que le pouvoir choisit le Health Data Hub, solution centralisatrice, alors même que des solutions fédérées peuvent d’ores et déjà mutualiser les données de santé des citoyens Français et permettre des recherches de pointe. Bien que les hôpitaux français et leurs chercheurs œuvrent dans les règles de l’art depuis des années, il apparaît subitement que les données de santé ne sauraient être mieux valorisées que sous l’égide d’un système central, rassemblant un maximum de données, surveillant les flux et dont la gestion ne saurait être mieux maîtrisée qu’avec l’aide d’un géant de l’informatique : Microsoft.
Il est à noter que d’une part, il n’a jamais été démontré que le développement d’un bon algorithme (méthode générale pour résoudre un type de problèmes) nécessite une grande quantité de données, et que d’autre part, on attend toujours les essais cliniques qui démontreraient les bénéfices d’une application sur la santé des patients.
Pour aller plus loin, le réseau d’éducation populaire Framasoft, créé en 2001 et consacré principalement au développement de logiciels libres, veut montrer qu’il est possible d’impacter le monde en faisant et en décentralisant. C’est cette voie qu’il faut suivre.
La loi pour une République numérique fournit un cadre légal parfait pour initier des collaborations et du partage. La diffusion libre du savoir s’inscrit totalement dans la mission de service publique des hôpitaux telle qu’imaginée il y a des décennies par le Conseil National de la Résistance, puis par Ambroise Croizat lors de la création de la Sécurité Sociale.
On ne s’étonne pas que le site Médiapart ait alerté le 22 novembre dernier sur les conditions de l’exploitation des données de santé. Il est rappelé à juste titre que si la CNIL s’inquiète ouvertement à ce sujet, c’est surtout quant à la finalité de l’exploitation des données. Or, la récente Loi Santé a fait disparaître le motif d’intérêt scientifique pour ne garder que celui de l’intérêt général…
Quant à la confidentialité des données, confier cette responsabilité à une entreprise américaine semble être une grande erreur tant la ré-identification d’une personne sur la base du recoupement de données médicales anonymisées est en réalité plutôt simple, comme le montre un article récent dans Nature.
Ainsi, aujourd’hui en France se développe toute une stratégie visant à valoriser les données publiques de santé, en permettant à des entreprises (non seulement des start-up du secteur médical, mais aussi des assureurs, par exemple) d’y avoir accès, dans la droite ligne d’une idéologie de la privatisation des communs. En plus, dans le cas de Microsoft, il s’agit de les héberger, et de conditionner les technologies employées. Quant aux promesses scientifiques, elles disparaissent derrière des boîtes noires d’algorithmes plus ou moins fiables ou, disons plutôt, derrière les discours qui sous le « noble » prétexte de guérir le cancer, cherchent en fait à lever des fonds.
Le monde médical et hospitalier est loin de plier entièrement sous le poids des injonctions.
Depuis plusieurs années, les hôpitaux s’organisent avec la création d’Entrepôts de Données de Santé (EDS). Ceux-ci visent à collecter l’ensemble des données des dossiers des patients pour promouvoir une recherche éthique en santé. Par exemple, le projet eHop a réussi à fédérer plusieurs hôpitaux de la Région Grand Ouest (Angers, Brest, Nantes, Poitiers, Rennes, Tours). Le partage en réseau au sein des hôpitaux est au cœur de ce projet.
Par aller plus loin dans le partage, les professionnels dans les hôpitaux français reprennent l’initiative de Framasoft et l’appliquent au domaine de la santé. Ils ont donc créé Interhop.org, association loi 1901 pour promouvoir l’interopérabilité et « le libre » en santé.
L’interopérabilité des systèmes informatisés est le moteur du partage des connaissances et des compétences ainsi que le moyen de lutter contre l’emprisonnement technologique. En santé, l’interopérabilité est gage de la reproductibilité de la recherche, du partage et de la comparaison des pratiques pour une recherche performante et transparente.
L’interopérabilité est effective grâce aux standards ouverts d’échange définis pour la santé (OMOP et FHIR)
Comme dans le cas des logiciels libres, la décentralisation est non seulement une alternative mais aussi un gage d’efficacité dans le machine learning (ou « apprentissage automatique »), l’objectif visé étant de rendre la machine ou l’ordinateur capable d’apporter des solutions à des problèmes compliqués, par le traitement d’une quantité astronomique d’informations.
La décentralisation associée à l’apprentissage fédéré permet de promouvoir la recherche en santé en préservant, d’une part la confidentialité des données, d’autre part la sécurité de leur stockage. Cette technique permet de faire voyager les algorithmes dans chaque centre partenaire sans mobiliser les données. La décentralisation maintient localement les compétences (ingénieurs, soignants) nécessaires à la qualification des données de santé.
La solidarité, le partage et l’entraide entre les différents acteurs d’Interhop.org sont les valeurs centrales de l’association. Au même titre qu’Internet est un bien commun, le savoir en informatique médical doit être disponible et accessible à tous. Interhop.org veut promouvoir la dimension éthique particulière que reflète l’ouverture de l’innovation dans le domaine médical et veut prendre des mesures actives pour empêcher la privatisation de la médecine.
Les membres d’Interhop.org s’engagent à partager librement plateforme technique d’analyse big data, algorithmes et logiciels produits par les membres. Les standards ouverts d’échange sont les moyens exclusifs par lesquels ils travaillent et exposent leurs travaux dans le milieu de la santé. Les centres hospitaliers au sein d’Interhop.org décident de se coordonner pour faciliter et agir en synergie.
L’interconnexion entre le soin et la recherche est de plus en plus forte. Les technologies développées au sein des hôpitaux sont facilement disponibles pour le patient.
L’Association Interhop.org veut prévenir les risques de vassalisation aux géants du numériques en facilitant la recherche pour une santé toujours améliorée. L’expertise des centres hospitaliers sur leurs données, dans la compréhension des modèles et de l’utilisation des nouvelles technologies au chevet des patients, est très importante. Le tissu d’enseignants-chercheurs est majeur. Ainsi en promouvant le Libre, les membres d’Interhop.org s’engagent pour une santé innovante, locale, à faible coût et protectrice de l’intérêt général.
Les données de santé sont tout à la fois le bien accessible et propre à chaque patient et le patrimoine inaliénable et transparent de la collectivité. Il est important de garder la main sur les technologies employées. Cela passe par des solutions qui privilégient l’interopérabilité et le logiciel libre mais aussi le contrôle des contenus par les patients.
La nouvelle application d’identité numérique lancée par le gouvernement
On assiste en France à de plus en plus d’expérimentations sur la reconnaissance faciale, les portiques biométriques dans les lycées, au carnaval de Nice, ou encore dans les aéroports… Le Ministère de l’Intérieur et l’Agence Nationale des Titres Sécurisés lance une nouvelle application sur Android : Alicem. Elle propose aux citoyens de se créer une identité numérique pour tout ce qui est procédure administrative en ligne et ce, à partir de la reconnaissance faciale. Selon les révélations de Bloomberg hier, elle sera lancée dès novembre.
La France sera donc le premier pays de l’Union Européenne à utiliser la reconnaissance faciale pour donner aux citoyens une identité numérique. Mais cela pose de nombreuses questions, notamment sur la protection des données personnelles. Nous avons tenté de joindre le Ministère de l’intérieur qui n’a pas pu répondre à nos questions. Interview avec Martin Drago, juriste à la Quadrature du net, l’association de défense des droits et libertés des citoyens sur Internet. Il engage une action en justice contre l’État
Écouter sur le site l'interview de Martin Drago.
L'association des américains accidentels a porté plainte contre la France auprès de la Commission européenne pour violation du droit de l'Union européenne. Elle accuse la législation américaine Fatca, qui oblige les banques européennes à transmettre au fisc américain les données bancaires de leurs clients nés aux États-Unis, de ne pas respecter le droit communautaire en matière de protection des données.
C'est une nouvelle étape dans le combat mené par les américains accidentels. L'Association des américains accidentels a annoncé avoir déposé, ce jeudi 3 octobre, une plainte contre la France auprès de la Commission européenne, après avoir été déboutée en juillet par le Conseil d'Etat du refus de ses membres d'être assujettis à une réglementation fiscale. Cette réglementation, le Foreign account tax compliance act (Fatca), adopté par Washington en 2010 et appliqué en France depuis 2014, permet à l'administration fiscale américaine de demander aux banques étrangères des informations sur leurs clients considérés comme des "personnes américaines".
L'association considère que l'accord intergouvernemental franco-américain du 14 novembre 2013, qui permet l'application du Fatca en France, "viole le règlement général de l'UE sur la protection des données" en autorisant le stockage et la transmission massifs aux Etats-Unis des données personnelles", selon un communiqué. Selon les "Américains accidentels", le mécanisme de transmission de données "ne tient pas compte du fait que la plupart de ces personnes n'ont aucun lien avec les États-Unis" et "ne permet pas aux personnes concernées d'accéder aux données qu'elles ont transmises ni de corriger les erreurs qui pourraient s'y glisser".
Le Conseil d'Etat avait pour sa part estimé lors d'une audience début juillet que le Fatca ne présentait pas de défaut d'exécution "avéré" mais tout au plus "des difficultés techniques de mise en oeuvre". Selon le communiqué de l'association, "la Commission européenne dispose d'un délai de 12 mois à compter du 3 octobre pour examiner l'affaire et décider s'il y a lieu d'engager une procédure formelle d'infraction contre la France." La Fédération bancaire française (FBF) avait pour sa part prévenu fin juillet que les banques françaises "pourraient être contraintes de fermer 40.000 comptes d'ici à la fin 2019 faute d'accord sur l'application d'une règlementation fiscale américaine". En refusant de transmettre les informations demandées par les autorités américaines, les banques s'exposeraient à des sanctions à hauteur de 30% de leurs flux financiers avec les Etats-Unis, avait expliqué le patron de la FBF, Laurent Mignon.
En 2017, les Etats-Unis avaient accepté un moratoire valide jusqu'à la fin décembre 2019, stipulant qu'il n'y aurait pas infraction si, faute d'un identifiant fiscal, les banques fournissaient la date de naissance des clients concernés et leur demandaient chaque année des identifiants fiscaux. Mais cette dérogation prendra fin au 1er janvier 2020, "y compris pour les comptes ouverts avant cette date", selon la FBF. Il y a donc urgence à trouver une solution.
Un décret du gouvernement a officialisé le développement d’une application mobile d’authentification d’identité. Baptisée «AliceM», elle fait appel à un dispositif de reconnaissance faciale. Certaines associations s’inquiètent.
Tous les jours ou presque, des articles sont publiés sur les abus liés à la reconnaissance faciale. Aux États-Unis, elle aide la police à surveiller la frontière mexicaine alors qu’en Chine, elle permet au pouvoir en place de surveiller sa population. En France, le gouvernement souhaite se servir de cette technologie via une application mobile pour authentifier l’identité des citoyens. L’utilisation d’un tel dispositif, très décrié, provoque déjà des levées de boucliers.
● Qu’est-ce que l’AliceM?
AliceM est une application mobile, pour le moment uniquement disponible sur Android. Acronyme d’«Authentification en ligne certifiée sur mobile», elle est actuellement en phase de test. Bientôt, elle permettra de s’identifier grâce à son smartphone pour accéder depuis son mobile aux sites de certains services publics regroupés dans le portail d’accès FranceConnect comme celui des impôts ou celui de l’Assurance maladie.
Cela fait plusieurs années que le ministère de l’Intérieur, à l’origine du projet, travaille sur AliceM et d’autres produits similaires, sans grand succès. En 2012, la création d’une base de données biométriques avec l’appui de l’Agence nationale des titres sécurisés (ANTS) avait été avortée par le Conseil Constitutionnel qui avait jugé le projet anticonstitutionnel. En septembre 2017, l’actuel locataire de la place Beauvau, Christophe Castaner, évoquait dans une feuille de route sa volonté de «se positionner comme maître d’œuvre de l’élaboration de solutions d’identité numérique», note Le Monde. Le ministre a par ailleurs fait savoir cette année qu’il souhaitait que tous les Français puissent prouver leur identité en ligne d’ici 2020, notamment par AliceM qu’il qualifie dans un rapport sur la cybermenace d’«un des prémices d’une politique publique de l’identité numérique». AliceM a finalement été mis en place via un décret publié le 13 mai dernier. Son principe est simple: elle demande à ses utilisateurs de prouver leur identité en prenant en photo leur passeport ou titre de séjour biométrique mais aussi, via un «système de reconnaissance faciale statique (via une photo) et dynamique (via une vidéo où il faut faire des gestes et des mouvements de tête)».
● Pourquoi ce projet inquiète certaines associations?
Le 15 juillet dernier, ce décret publié le 13 mai dernier a été contesté par une association de défense des libertés numériques, La Quadrature du Net. Cette dernière a déposé un recours au Conseil d’État pour le faire annuler. Elle s’insurge contre le fait que l’utilisateur n’ait pas la liberté de choisir de passer outre le dispositif de reconnaissance faciale pour avoir accès à plusieurs services publics dématérialisés via AliceM. L’association reproche à l’État de ne pas respecter le RGPD (Règlement général sur la protection des données personnelles). Lequel stipule que quand il s’agit d’utilisation de données personnelles, «le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix». La Quadrature du Net s’appuie aussi sur un avis de la CNIL (Commission nationale de l’informatique et des libertés) rendu le 18 octobre dernier sur le projet du gouvernement. «Le gouvernement ne propose pas, en l’occurrence, d’alternative à la reconnaissance faciale pour créer une identité numérique (...) Au regard de ces principes, le consentement ne peut être regardé comme libre et comme étant par suite susceptible de lever l’interdiction posée par le RGPD» explique-t-elle.
La Commission propose de mettre en place des solutions alternatives à la reconnaissance faciale pour garantir un consentement libre comme un face-à-face en préfecture ou un appel vidéo avec un agent de l’ANTS. Des solutions qui n’ont pas été retenues par le gouvernement dans son décret. «Le plus inquiétant dans cette procédure, c’est que nous constatons une perte de pouvoir de la CNIL. Si même le gouvernement ne l’écoute plus, qui va le faire?» s’interroge Martin Drago, juriste au sein de la Quadrature du Net, contacté par Le Figaro. «Proposer des alternatives, c’est le minimum» explique-t-il. L’expert regrette l’absence de prise de conscience de l’opinion et des pouvoirs publics sur le sujet de la reconnaissance faciale alors que déjà plusieurs villes, notamment aux États-Unis, ont décidé de bannir cette technologie.
Les sites français ont droit à un sursis d’un an quant au recueil du consentement de leurs visiteurs à se faire traquer. Cette période transitoire offerte par la Cnil aux éditeurs fait enrager les défenseurs de la vie privée et pourrait valoir au régulateur un remontage de bretelles au niveau européen.
Marie-Laure Denis et le collège renouvelé de la Cnil n’étaient pas là pour rigoler. C’était en substance le message envoyé en avril dernier, à l’occasion de la présentation du bilan annuel de l’autorité. Google venait d’écoper d’une amende de 50 millions d’euros pour ne pas avoir respecté les principes du RGPD et le gendarme des données personnelles assurait vouloir « crédibiliser le nouveau cadre juridique ». De la pédagogie, toujours, mais surtout des contrôles et des sanctions renforcées.
Et pourtant, le plan d’action de la Cnil en ce qui concerne le ciblage publicitaire ne va pas dans ce sens. Depuis l’entrée en vigueur du RGPD, le régulateur s’est toujours refusé à offrir une « période de grâce »… jusqu’à aujourd’hui. Le programme de la Cnil consiste à réviser sa recommandation relative aux cookies, en date de 2013, afin de l’adapter au nouveau cadre juridique. Sur le papier, l’harmonisation de ces lignes directrices avec le droit européen, in fine un rappel des « règles de droit applicables », est sensée.
Echec au droit (européen)
Mais la décision d’offrir une période transitoire d’un an fait hausser plus d’un sourcil. A commencer par ceux de la Quadrature du Net. Sur son site, la Cnil explique que, « durant cette période de transition, la poursuite de la navigation comme expression du consentement sera donc considérée par la CNIL comme acceptable ». Soit l’application d'une règle antérieure à l’entrée en vigueur du RGPD.
Ce qui va en outre à l’encontre des lignes directrices du Comité Européen de la Protection des Données, dont la Cnil est co-rédactrice. « Il n’existe aucune possibilité laissée à la CNIL pour repousser jusqu’à juillet 2020 l’application du RGPD » dénonce la Quadrature dans un communiqué. « La décision que la CNIL s’apprête à prendre violerait de plein front le droit européen et justifierait un recours en manquement contre la France par la Commission européenne ».
Open bar sur les cookies jusqu’en juillet 2020
Certes, la Cnil affirme qu’elle « continuera à instruire les plaintes et le cas échéant à contrôler, entre autres, qu’aucun dépôt de cookies n’a lieu avant le recueil du consentement ». Mais cette « période de grâce » courant jusqu’en juillet 2020 implique que le seul fait de faire défiler la page après un bandeau d’information sur le dépôt de cookies vaut consentement de l’internaute (attention donc à vos molettes de souris, un consentement involontaire est si vite arrivé).
L’association assure que cette décision est le résultat de négociations entre la Cnil et le GESTE, syndicat d’éditeurs de contenus en ligne). « Aujourd’hui, la CNIL semble vouloir appliquer un droit différent entre Google et les médias français qui, eux, pourraient se contenter d’un consentement « implicite », violant tranquillement nos libertés fondamentales dans la poursuite de profits publicitaires intolérables » écrit la Quadrature, qui n’exclut pas de former un recours devant le Conseil d’Etat.
Un an après l’entrée en vigueur du règlement européen RGPD sur la vie privée, de très nombreux sites ont recours à un service de cette société, pourtant peu connue pour recueillir votre consentement.
Par Damien Leloup Publié le 25 mai 2019 à 14h00
C’est un sigle qui a pris beaucoup d’importance il y a un an, le 25 mai 2018, lorsque le règlement européen sur la protection des données personnelles (RGPD) est entré en vigueur. CMP, pour Consent Management Platform (« plate-forme de gestion du consentement »). Comme Monsieur Jourdain la prose, quasiment tous les internautes en utilisent quotidiennement sans le savoir : ce sont les services qui affichent les messages désormais bien connus vous demandant d’accepter que vos données soient utilisées pour, selon les cas, « vous proposer une expérience personnalisée », « analyser le trafic », ou « personnaliser les publicités ».
Notre enquête : Que s’est-il passé en un an de RGPD, la loi censée protéger vos données ?
Si la quasi-totalité des sites Web se sont mis à afficher des messages de ce type il y a un an, c’est parce que le RGPD a fortement renforcé la manière dont les sites Internet doivent recueillir le consentement de leurs visiteurs, avant de pouvoir enregistrer ou utiliser des données sur leur navigation. Tous les sites commerciaux « pistent » leurs visiteurs, au mieux pour savoir quelles pages sont les plus visitées, au pire pour suivre de manière très détaillée la navigation des internautes et afficher des publicités ciblées. Le RGPD impose, dans tous les pays européens, de recueillir le consentement des internautes avant de commencer à les pister.
Or, même si la mise en place du RGPD était prévue depuis des années, de très nombreuses entreprises ont été prises de court par son entrée en vigueur ; d’autres ne disposaient pas des outils ou des compétences techniques pour gérer ce « recueil du consentement ». De très nombreux sites ont donc préféré avoir recours à une solution « clés en main », proposée par des sociétés comme Quantcast, qui offrait aux éditeurs de site, avec Quantcast Choice, un outil gratuit, simple d’utilisation et conforme à la réglementation. Les sites américains, souvent pris de court, ont massivement opté pour ces solutions toutes prêtes.
Fenêtre très reconnaissable
Et l’outil de Quantcast a été un succès : installé selon l’entreprise sur plus de 26 000 sites, il devance largement ses concurrents, et l’entreprise a annoncé cette semaine la sortie d’une version « premium » payante. Sa fenêtre très reconnaissable, avec son bouton en général bleu, et parfois son menu permettant de sélectionner les données dont la collecte est autorisée (au choix de l’administrateur du site), accueille les visiteurs sur de très nombreuses pages Web.
Sauf que Quantcast, comme la plupart de ses concurrents dans ce domaine, n’est pas une entreprise spécialisée dans la vie privée, mais… dans la publicité. Fondée en 2006 aux Etats-Unis, la société s’est fortement développée ces dix dernières années, et a ouvert des bureaux dans une dizaine de pays, dont la France. Les outils qu’elle propose sont utilisés sur « plus de 100 millions de [sites et applications] Web et mobiles », selon Quantcast. Jusqu’à l’an dernier, ses deux principaux produits étaient Quantcast Measure, un outil de suivi de la fréquentation, et Quantcast Advertise, une « place de marché » publicitaire qui collecte et utilise de très importants volumes de données sur les internautes ; son service Choice ne collecte, lui, que les données de consentement de l’utilisateur, qui ne sont pas utilisées à des fins publicitaires, explique l’entreprise sur son site.
Enquête du régulateur irlandais
En revanche, son outil publicitaire a été épinglé, il y a six mois, par l’ONG Privacy International, qui listait Quantcast parmi les sept entreprises « dont vous n’avez jamais entendu parler, mais à propos desquelles nous avons saisi les régulateurs ». « Le RGPD fixe des limites claires à l’utilisation des données personnelles, et pourtant les pratiques de ces entreprises ne respectent pas les standards fixés. Nos documents démontrent l’ampleur et le caractère systématique de ces violations des lois protégeant la vie privée », affirmait à l’époque l’association.
Dans le cas de Quantcast, le régulateur irlandais de la vie privée a jugé les éléments fournis par Privacy International suffisamment solides pour ouvrir une enquête formelle le 2 mai. « L’enquête devra établir si la compilation et l’analyse de données personnelles, en vue de la création de profils destinés à l’affichage de publicités ciblées, sont en conformité avec le RGPD », écrit le régulateur. « Le respect des principes établis par le RGPD sur la conservation des données et la transparence seront également examinés ». Quantcast avait à l’époque affirmé qu’elle « coopérera[it] totalement avec l’enquête ».
Damien Leloup
L'Inria propose une nouvelle version de sa formation en ligne gratuite à la protection des données personnelles dans le monde numérique.
A une époque où le numérique a envahi tous les pans de notre société, et où les scandales relatifs aux abus sur les données personnelles se multiplient, il est essentiel de bien comprendre l'importance des informations que l'on partage via Internet et, surtout, de savoir les protéger si l'on tient à préserver un tant soit peu sa vie privée. C'est précisément dans ce but que l’Institut national de recherche en informatique et en automatique (Inria) a élaboré l'an dernier un cours en ligne gratuit ouvert à tous (un Mooc, pour Massive Open Online Course). Lancé en février 2018, ce Mooc revient aujourd'hui dans une nouvelle édition avec des mises à jour et de nouveaux modules.
Accessible à tous, sans pré-requis, cette formation s'adresse à tous ceux qui souhaitent comprendre les enjeux de la protection de la vie privée sur Internet et maîtriser les outils numériques sur le plan des données personnelles. Réalisé par des enseignants-chercheurs de l'Inria, il se compose de six modules thématiques aux intitulés clairs, qui couvrent les différents aspects du sujet : Données personnelles et législation ; Protéger ses données et son identité numérique ; Smartphones et vie privée ; Protéger ses emails ; Navigation et traçage sur le Web ; et Consommation et vie privée.
Attention : si le cours est diffusé en vidéo, avec une approche résolument pédagogique, il réclame un véritable investissement personnel. Il faut en effet compter une quinzaine d'heures pour le visionnage complet et environ deux heures de travail par semaine pour en tirer réellement parti. Rien à voir donc avec un simple tuto publié sur YouTube. Mais le jeu en vaut clairement la chandelle car, si les experts n'apprendront sans doute pas grand chose, il permet de prendre conscience des mécanismes mis en place par les acteurs du numérique pour récolter des données personnelles et d'apprendre à contrôler les informations partagées, aussi bien sur ordinateur que sur smartphone, sur le Web, sur les réseaux sociaux et dans des applications. Et si le rythme est libre, il convient de ne pas trop traîner pour suivre cette formation ô combien utile, le cours n'étant en ligne que jusqu'au 30 juillet 2019.