La revue de web de Kat
Petite mise au point avant de croire aux slogans : Il y a des expressions qui font du bien aux oreilles comme cloud souverain, hébergement européen, conforme au RGPD, données sous contrôle. La protection des données ne dépend ni des slogans, ni des frontières, mais du droit auquel obéit l’opérateur qui les exploite.
On retrouve ces slogans dans les plaquettes commerciales, les discours institutionnels, et parfois même dans des décisions publiques engageant des millions d’euros. Ils donnent l’impression rassurante que, cette fois-ci c’est bon, les données européennes sont enfin chez elles.
Un rapport juridique approfondi de l’Université de Cologne https://fragdenstaat.de/dokumente/273689-rechtsgutachten-zur-us-rechtslage_geschwaerzt/ , commandé par l’État allemand, vient rappeler une réalité beaucoup moins confortable : la protection des données ne dépend ni des slogans, ni des frontières, mais du droit auquel obéit l’opérateur qui les exploite. Et paf, que la force du Cloud Act https://fr.wikipedia.org/wiki/CLOUD_Act soit avec toi (ou pas).
Une précision indispensable (et trop souvent oubliée)
Avant d’aller plus loin, une clarification s’impose : Utiliser une technologie américaine n’implique pas automatiquement une soumission au droit américain. Une entreprise française ou européenne sans lien capitalistique avec les États-Unis, sans contrat d’exploitation avec une société américaine, exploitant elle-même son infrastructure locale, n’est pas concernée par les lois américaines, même si elle utilise un logiciel développé aux États-Unis.
Ce point est fondamental et le rapport ne dit jamais le contraire.
La question n’est donc pas quelle technologie est utilisée, mais qui exploite, administre et contrôle réellement les données.
Quand le droit américain entre en salle serveur
Le rapport est très clair : les autorités américaines disposent de plusieurs cadres juridiques leur permettant d’accéder à des données lorsqu’elles sont sous le contrôle d’une entité soumise au droit américain.
Et ce contrôle peut exister même si les serveurs sont en Europe, les clients sont européens, les contrats sont signés avec une filiale locale.
Ce qui compte, ce n’est pas la géographie, mais la capacité juridique ou technique de produire les données sur injonction.
Cloud public ou cloud privé, juridiquement ça ne change rien
C’est souvent là que la confusion commence. Le terme cloud privé décrit une architecture technique (environnement dédié, non mutualisé, isolé d’autres clients) mais juridiquement, ce terme n’a aucune valeur.
Si l’infrastructure est exploitée, administrée, maintenue ou contrôlée par une entreprise soumise au droit américain, alors les données peuvent être légalement exigées par les autorités américaines, indépendamment du qualificatif “privé”, “dédié” ou “isolé”.
Le rapport insiste sur la notion de “contrôle” (point constant du droit américain) qui est interprétée de manière large.
Un opérateur qui peut intervenir, ordonner une extraction ou être contraint de le faire est considéré comme ayant le contrôle.
Le RGPD face au droit américain (deux logiques incompatibles)
L’Union Européenne dispose d’un cadre solide de protection des données (sur le papier). Mais le rapport rappelle un fait juridique majeur : la Cour de justice de l’Union européenne a déjà annulé deux accords successifs encadrant les transferts de données avec les États-Unis.
Pourquoi ?
Parce que le droit américain autorise une surveillance étendue des personnes non américaines, sans garanties équivalentes aux droits fondamentaux européens. Et malgré ces décisions, les mécanismes de collecte persistent, les possibilités de recours restent très limitées, et les entreprises européennes ne peuvent pas réellement s’opposer à une injonction américaine.
Le RGPD protège… jusqu’à ce qu’il rencontre une loi étrangère plus impérative.
La surveillance sans fournisseur reste le point aveugle
Le rapport de l'université de Cologne évoque également un aspect rarement abordé publiquement : la surveillance sans passer par les fournisseurs cloud.
Les services de renseignement américains disposent d’un cadre juridique leur permettant d’intercepter des communications directement sur les infrastructures réseau internationales, sans coopération des opérateurs et sans notification des personnes concernées.
Ici, le débat sur le cloud devient presque secondaire. Les données circulent et peuvent être captées.
C’est opaque pour les citoyens européens mais légal aux États-Unis.
« Il suffit de chiffrer ! » (une belle illusion confortable)
Autre idée largement répandue : le chiffrement serait un rempart absolu.
Le rapport est beaucoup plus nuancé...
Le chiffrement protège contre le piratage ou l’accès non autorisé mais il ne protège pas contre une obligation légale de coopération, une injonction judiciaire ou des obligations de conservation de preuves.
Un opérateur qui s’organiserait volontairement pour ne pas pouvoir répondre à une injonction s’expose à des sanctions lourdes en droit américain.
Le chiffrement est une mesure de sécurité, pas une immunité juridique.
EUCS, SecNumCloud vu par la CNIL (Quand la souveraineté devient (enfin) un critère juridique)
Le rapport de l’Université de Cologne analyse le problème du point de vue du droit américain, la CNIL quant à elle apporte la lecture française et européenne. Et les deux convergent.
La CNIL souligne que le projet de certification européenne EUCS ne garantit plus l’« immunité juridique » vis-à-vis des lois extra-européennes, ne permet donc pas de sécuriser juridiquement les données les plus sensibles et crée une ambiguïté dangereuse pour les acteurs publics et privés.
Cette lacune est d’autant plus problématique que l’État français promeut une doctrine dite « Cloud au centre », tout en exigeant que les données d’une sensibilité particulière ne soient pas exposées à des lois étrangères et que la loi SREN (du 21 mai 2024) impose désormais explicitement cette protection contre les accès non autorisés par des États tiers.
Autrement dit, une certification européenne peut être conforme sur le papier, tout en étant juridiquement insuffisante dans les faits.
La CNIL le dit sans détour :
sans critères d’immunité face aux lois extra-européennes, le cloud certifié EUCS ne peut pas accueillir les traitements les plus sensibles.
Mais ça change quoi concrètement ?
Pour un particulier : Les données professionnelles, administratives ou personnelles hébergées chez un opérateur soumis au droit américain peuvent être accessibles sans information préalable, sans recours direct, et sans ciblage individuel. Vous n’êtes donc pas visé personnellement, mais vos données peuvent être collectées dans des ensembles plus larges.
Pour une PME : Une PME utilisant un service opéré par une entreprise américaine reste responsable au regard du RGPD, sans maîtriser les décisions juridiques prises à l’étranger ni être informée d’une éventuelle réquisition. Le risque juridique est assumé localement, pour une décision qui échappe au client.
Pour une collectivité ou une administration : Là, ça se complique et la situation devient critique... Données sociales, scolaires, de santé, d’état civil : si l’opérateur final dépend du droit américain, le risque n’est plus théorique, même avec des infrastructures dédiées et des contrats européens. En cas de problème, la responsabilité retombera sur la collectivité (et paf, on vous envoie GI-Joe).
Conclusion : la souveraineté ne se décrète pas !
Ce rapport ne dit pas que « tout cloud américain est dangereux », il dit quelque chose de plus précis et plus dérangeant : La souveraineté des données dépend du droit auquel obéit l’exploitant, pas du discours commercial.
Utiliser une technologie américaine n’est pas un problème mais dépendre juridiquement d’un opérateur soumis au droit américain en est un.
La souveraineté numérique n’est ni un label, ni un mot rassurant, c’est une chaîne de contrôle juridique.
Et tant que cette chaîne traverse l’Atlantique, les données européennes voyageront avec elle. Vous êtes prévenus ;)
Sources :
Heise Online https://www.heise.de/en/news/Opinion-US-Authorities-Have-Far-Reaching-Access-to-European-Cloud-Data-11111060.html
FragdenStaat https://fragdenstaat.de/dokumente/273689-rechtsgutachten-zur-us-rechtslage_geschwaerzt/
CNIL https://www.cnil.fr/fr/cloud-les-risques-dune-certification-europeenne-permettant-lacces-des-autorites-etrangeres
Le mot de Kat : ça sent le vécu, là...
Il y a quelques années, on notait un film sur Allociné, un aspirateur sur Amazon, et basta. Aujourd’hui, on note tout. Absolument tout. Ton resto, ton coiffeur, ton garagiste, ton médecin, ton kiné, ton ostéo, ton livreur… ta propre existence bientôt ?
“Sur une échelle de 1 à 10, comment évaluez-vous votre réveil ce matin ?” Bienvenue dans le monde merveilleux où Google & Co. transforment chaque geste du quotidien en enquête de satisfaction.
Vous avez remarqué ? On ne voit plus les routes sur Google Maps. On voit des icônes. Restaurants, hôtels, spas, garages, boulangeries, toiletteurs pour chiens, toiletteurs pour humains, bars à vin, bars à bière, bars à chats, bars à chutistes (:-))…
Tu veux juste aller à Ikéa pour acheter une étagère en carton recyclé compressé bio (celle qui s'autodétruit quand on la monte). Tu demandais autrefois ton chemin. Maintenant, tu reçois :
un mail “Merci d’avoir visité Ikéa” alors que t'es encore sur le parking,
une notification “Avez-vous apprécié votre expérience d’achat ?”,
et parfois même “Souhaitez-vous devenir Local Guide niveau 147 ?” Local Guide... Le seul programme au monde où on te transforme en employé bénévole qui bosse pour Google sans salaire, sans RTT, sans tickets resto et sans retraite. Juste pour avoir un badge numérique qui brille quand tu regardes ton écran avec suffisamment de culpabilité.
L’hôpital ? Un 5 étoiles… ou pas
Alors celle-là, elle est croustillante.
Tu sors du bloc opératoire, t'es encore dans le jazz. Ton cerveau flotte au-dessus de la table d’opération, ton âme est partie acheter des pains au chocolat à la cafétéria en bas.
Et ding ding :
“Évaluez votre chirurgien de 1 à 10.”
EXCUSE-MOI GOOGLE MAIS JE NE SUIS PAS SÛR QUE JE SOIS VRAIMENT EN ÉTAT D’ÉVALUER QUI QUE CE SOIT ... LÀ TOUT DE SUITE MAINTENANT !
Bientôt une alerte pendant l’anesthésie ?
“Sur une échelle de 1 à 5 étoiles, comment jugez-vous notre protocole d'endormissement ?”
“...zzzzzz”
“Merci ! Votre avis compte !” Le labo, la pharmacie, le podologue…
Tu vas faire une prise de sang et deux minutes plus tard, sur le trottoir, ding ding :
“Comment avez-vous trouvé les prestations du laboratoire bidule ?”Bah… j’en sais rien ? Je viens littéralement tout juste de sortir, j’ai encore un pansement au creux du coude et j’ai pas bu mon café. Laissez-moi trois minutes pour redevenir un être humain, s’il vous plaît.
Et maintenant, les appels ?
Ton téléphone sonne : numéro inconnu. Tu décroches ou pas ? Trop tard, Google te demande :
“Ce correspondant est-il un professionnel ?”Un jour, un inconnu va appeler pour te dire “Bonjour, c’est pour une enquête de satisfaction”, et Google demandera derrière :
“Êtes-vous satisfait de cet appel de satisfaction ?”On n’en sortira jamais.
Mais alors… comment ça marche, ce cirque ?
Mystère. Google ne communique évidemment pas très précisément sur le “comment”, mais les pistes sont connues :
-
GPS + comportements = devinette “intelligente” Tu entres dans un commerce -> ton téléphone capte l’adresse -> Google suppose que tu étais un client -> paf, enquête.
-
Analyse des mails sous Gmail Tu reçois une facture, un bon de commande, un ticket, une confirmation de rendez-vous -> Google sait que tu as consommé un service -> paf, enquête.
-
Les pros paient Google Business Les entreprises peuvent activer (ou laisser activé par défaut) des options d’évaluation automatiques. Beaucoup ne savent même pas que le truc est activé par défaut. Les secrétaires pensent que ça vient de Google. Les directeurs pensent que ça vient du groupe. La vérité ? Ça vient d’un capitalisme dopé à la donnée qui veut tout noter pour tout vendre à tout le monde (et si possible te faire bosser gratos).
- Le modèle économique du futur : l’évaluation permanente Pourquoi ? Parce que les avis c'est l'or du web. Parce que les commentaires ce sont des données importantes. Parce que ta fatigue numérique c'est le carburant du modèle publicitaire.
Jusqu'où ça ira ?
Évaluer une prise de sang ? OK. Évaluer un vendeur ? Bon. Évaluer un chirurgien alors que tu dors encore ? On frôle déjà le surréalisme (ou la connerie) !
Alors imaginons la suite…
“Veuillez évaluer votre passage aux toilettes publiques.”
“Avez-vous apprécié ce feu rouge ?”
“Notez votre conversation avec votre belle-mère.” (laissez vos émotions prendre le dessus)
“Sur une échelle de 1 à 5, comment trouvez-vous votre propre comportement aujourd’hui ?”
Le futur appartient à ceux qui cliquent tôt.
le monde devient un gigantesque formulaire Google
On ne vit plus. On ne fait plus. On évalue.
On note tout, tout le temps, partout. Et si on résiste, on reçoit un rappel :
“Votre avis est important pour nous.”Non, Google. Ce qui est important pour toi, ce n’est pas mon avis. C’est mes données.
Mercredi, le service des douanes et de la protection des frontières des Etats-Unis (CBP), a publié un document listant les mises à jour qu’il préconise en termes de collecte de données pour la délivrance des autorisations de voyage électroniques (ESTA). Sous couvert de protéger le pays « contre les terroristes étrangers et autres menaces à la sécurité nationale », les touristes devront bientôt livrer à l’administration Trump des informations personnelles que même leur propre gouvernement ne possède pas.
Les ressortissants de certains pays, dont la France, n’ont pas besoin d’un visa pour se rendre aux Etats-Unis s’ils comptent y faire du tourisme pendant moins de 90 jours et qu’ils possèdent un passeport biométrique. Il suffit de remplir une demande d’ESTA en ligne en répondant à quelques questions normales, du genre adresse, téléphone, contact en cas d’urgence, voire nom et adresse de l’employeur. Une question a été ajoutée en 2016, demandant des « renseignements associés à votre présence en ligne » tels que les « identifiants aux médias sociaux ». La question est « marquée comme optionnelle », et l’absence de réponse n’empêche pas la prise en compte de la demande d’ESTA.
Les États-Unis en quête de touristes bienveillants
Ça et plein d’autres choses vont changer début 2026. Le CBP a ainsi pondu un projet élargissant les données collectées pour obtenir un ESTA ou un visa, expliquant que l’idée est de se « conformer au décret présidentiel 14161 de janvier 2025 ». Le décret censé « protéger les États-Unis contre les terroristes étrangers et autres menaces à la sécurité nationale et à la sécurité publique », a des visées plus larges et permet bien des libertés à l’administration Trump. En gros, outre vérifier que vous n’êtes pas un terroriste, les États-Unis vont s’assurer que vous n’avez « pas d’attitude hostile envers leurs citoyens, leur culture, leur gouvernement, leurs institutions ou leurs principes fondateurs ».
Pour cela, le CBP va se montrer beaucoup plus intrusif qu’il ne l’est déjà, en commençant par abandonner le site web servant à déposer les demandes d’ESTA au profit d’une application mobile. La raison ? Elle « offre des méthodes de vérification d’identité avancées, notamment la détection de présence, la reconnaissance faciale et la vérification de la puce électronique du passeport par la technologie NFC ».
Ensuite, les demandeurs d’ESTA devront désormais obligatoirement « fournir leurs profils sur les réseaux sociaux des cinq dernières années ». Par « profils », le CBP entend « identifiants » et non pas un historique détaillé de tout ce qui a été publié. Mais cela implique de livrer une liste exhaustive des comptes sur 5 ans, qu’ils soient actif ou non. En revanche, l’administration américaine n’a pas encore précisé ce qu’elle entend par « médias sociaux ».
Des données sur les cinq à dix dernières années
Mais il y a encore pire en termes de données privées. Aux données « de base » collectées, le CBP souhaite ajouter ce qu’il appelle des « champs de données à forte valeur ajoutée ». Il y en a onze en tout, et les défenseurs du RGPD vont y laisser leurs derniers cheveux en voyant cela. Entre autres, il y a les numéros de téléphone utilisés au cours des cinq dernières années, mails utilisés au cours des dix dernières années, noms des membres de la famille et leurs numéros de téléphone sur les cinq dernières années, dates, lieux de naissance et adresses des membres de la famille, biométrie complète, empreintes digitales, ADN, numéros de téléphone professionnels sur les cinq dernières années et adresses mail professionnelles sur les dix dernières années.
Démocratie oblige, le CBP doit soumettre tout ça « au Bureau de la gestion et du budget pour examen et approbation ». Le public et les « autres agences fédérales » sont aussi invités à donner leur avis sur ces nouvelles mesures, « au plus tard le 9 février 2026 ». On ignore toutefois si ces avis auront vocation à modifier le contenu du texte ou s’ils sont purement consultatifs.
Quand Ursula veut "simplifier le numérique" il faut comprendre ici "permettre aux GAFAM de tout pomper sans demander".
« Faire simple ». C’est la nouvelle manie de la Commission européenne. Après avoir réglementé à tour de bras pendant une décennie, Bruxelles s’est soudain découvert une passion pour la “simplification du numérique”. Dans la grande tradition bruxelloise, “simplifier” signifie évidemment "supprimer ce qui dérange".
Le 19 novembre 2025, la Commission présentera son grand projet de “Digital Omnibus” : un paquet législatif censé harmoniser les lois sur les données, la cybersécurité et l’intelligence artificielle.
Mais derrière ce vernis technocratique se cache un programme autrement plus ambitieux : enterrer le RGPD et assouplir le règlement sur l’IA avant même qu’il ne soit appliqué.
L’“Omnibus numérique”, un bus qui écrase la vie privée
Le mot “omnibus” vient du latin “pour tous”. Dans ce cas précis, on pourrait le traduire par “contre tous”.
L’objectif officiel ? Réduire la “complexité” et la “fatigue du consentement” des utilisateurs.
L’objectif réel ? Abolir le consentement tout court.
Sous couvert de “cohérence” et de “réduction de la bureaucratie”, la Commission prévoit de fusionner ou modifier plusieurs textes : la loi sur les données, la directive sur les données ouvertes, le règlement sur la libre circulation des données non personnelles et la loi sur la gouvernance des données. Et, tant qu’à faire, d’y glisser un petit lifting du RGPD, histoire de le rendre plus “business friendly”.
RGPD : paix à ses données
Le RGPD, jadis symbole mondial de protection des données, se prépare à passer de "règlement général" à "suggestion facultative".
Le consentement devient optionnel : les entreprises pourront désormais justifier la collecte de données personnelles pour entraîner leurs IA au nom de leur “intérêt légitime” (votre visage, votre voix ou votre historique de navigation deviennent donc une matière première comme une autre).
Des cookies qui sont restés trop longtemps dans le four : le texte prévoit d’autoriser le pistage sans consentement explicite, à condition que cela relève de l’“intérêt légitime” du site. En clair, vous pourrez toujours refuser les cookies… mais après coup, dans un menu obscur, bien caché entre deux pop-ups de pub. La Commission appelle ça “réduire la fatigue du consentement”. Une idée lumineuse pour réponde à fatigué de cliquer sur “Non” ? On dira “Oui” à ta place !
Données sensibles, version allégée : l’article 9 du RGPD protégeait les données “révélant l’origine ethnique, les opinions politiques, la religion ou l’orientation sexuelle”. Désormais, seules les informations explicitement déclarées seront protégées. Du coup, si une IA déduit votre orientation sexuelle ou vos convictions religieuses à partir de votre historique de navigation, ce n’est plus une donnée sensible. Une avancée majeure pour la recherche scientifique ou pour la publicité ciblée, à vous de juger.
L’AI Act “simplifié”, ça veut dire "plus de liberté et moins de règles"
L’autre volet de la réforme, c’est la réécriture de l’AI Act, à peine entré en vigueur.
Officiellement, il s’agit d’alléger la charge pour les entreprises, officieusement, c’est une déprogrammation partielle des garde-fous avant même que la loi n’entre en application.
L’autocontrôle européen : la supervision des IA à risque sera centralisée dans un “AI Office” directement placé… sous la Commission elle-même. Un modèle d’indépendance et de transparence, on s’en doute.
Article 75 – Market surveillance and control of AI systems and mutual assistance
(1) Where an AI system is based on a general-purpose AI model, with the exclusion of AI systems related to products covered by the Union harmonisation legislation listed in Annex I, and the model and the system are developed by the same provider, the AI Office shall have powers to monitor and supervise compliance of that AI system with obligations under this Regulation in accordance with the tasks and responsibilities assigned by it to market surveillance authorities.
The AI Office shall have all the powers of a market surveillance authority provided for in this Section and Regulation (EU) 2019/1020 and be empowered to take the appropriate measures and decisions to adequately exercise its powers.
Article 14 of Regulation (EU) 2019/1020 shall apply mutatis mutandis. The authorities involved in the application of this Regulation shall cooperate actively in the exercise of these powers, in particular where enforcement actions need to be taken in the territory of a Member State.
Des obligations allégées : les entreprises pourront “simplifier” leur documentation technique, ne plus enregistrer certains systèmes “à faible risque”, et tester leurs IA dans des “conditions réelles” (traduction : sur le public). Quant aux PME et aux “small midcaps” (petites ETI), elles bénéficieront de “grâce administrative”, parce qu’un algorithme discriminatoire reste sympathique quand il vient d’une start-up européenne (Articles 11, 49 et 60 du projet Digital Omnibus – B – KI).
Le biais, cet “intérêt public” : le texte autorise explicitement les fournisseurs d’IA à traiter des données biométriques ou sensibles afin de “détecter et corriger les biais”.
Magnifique paradoxe : pour éviter la discrimination, on autorise les traitements discriminants.
Article 4a – Processing of special categories of personal data for bias detection and correction
“To the extent that it is necessary for the purpose of ensuring bias detection and correction (…) the providers and deployers of such systems may exceptionally process special categories of personal data, subject to appropriate safeguards for the fundamental rights and freedoms of natural persons.”
Suit une liste de conditions (a à f), parmi lesquelles :
- “the bias detection and correction cannot be effectively fulfilled by processing other data, including synthetic or anonymised data;”
- “the special categories of personal data are subject to technical limitations on the re-use (…) and state-of-the-art privacy-preserving measures, including pseudonymisation;”
- “the special categories of personal data are deleted once the bias has been corrected…”
Et on appelle ça innovation responsable !
“Fatigue du consentement” : une invention géniale
L’un des passages les plus savoureux du projet est consacré à la “fatigue du consentement”. Selon Bruxelles, les utilisateurs sont épuisés de devoir cliquer sur “Accepter” ou “Refuser” des cookies. La solution ? Les navigateurs décideront pour eux, via un signal automatique. Évidemment, “par défaut”, ce signal sera favorable à la collecte :-D
Et pour “préserver le journalisme indépendant”, les médias seront exemptés de ces règles. Rien de tel que le libre consentement… sauf quand il met en danger le modèle publicitaire.
Données de santé, génétique et biométrie deviennent un buffet à volonté
Le texte prétend maintenir une “protection renforcée” pour les données génétiques et biométriques. Mais en restreignant la définition des données sensibles, la Commission ouvre un boulevard :
les données de santé anonymisées, pseudonymisées, contextualisées… deviennent exploitables sans consentement.
Article 9 — Special categories of personal data
“The Commission wishes to ensure that sensitive data (‘special categories of personal data’) are defined in a narrower way.
Only data that explicitly reveal the information listed shall remain specially protected.”
[...]
“This means that if a person explicitly declares his or her sexual orientation in a selection field, this information remains specially protected.
However, if a controller infers a person’s presumed orientation based on interests or characteristics, the previous restrictions would be removed.”
Une bénédiction pour les assurances, les labos pharmaceutiques et les IA médicales “d’intérêt général”.
Simplifier la vie des entreprises, compliquer celle des citoyens
En résumé, le “Digital Omnibus” coche toutes les cases du cynisme administratif :
On appelle “innovation” la suppression des contrôles.
On baptise “harmonisation” la dérégulation.
Et on prétend défendre les citoyens en rendant leurs données exploitables “plus efficacement”.
À force de “simplifier” la réglementation, la Commission européenne est en train de simplifier la démocratie : moins de droits, plus de cases cochées par défaut.
Épitaphe du RGPD
Le RGPD aura donc vécu sept ans.
Né en 2016, mis en application dès 2018 et déjà mort en 2025 sous les coups de la “Simplification Act”.
Ursula von der Leyen peut être fière : elle a réussi ce que même les GAFAM n’osaient plus espérer : une Europe qui protège… ses partenaires commerciaux.
Sources :
Next
Netzpolitik
Loi omnibus sur les données et RGPD (PDF)
Loi omnibus sur l'IA (PDF)
En fin de semaine dernière, plusieurs médias européens ont obtenu un brouillon de la loi « omnibus numérique » que prévoit de présenter la Commission européenne dans les prochaines semaines. Alors qu'elle présentait son texte comme une « simplification » des textes, l'analyse de ce document montre que le projet va beaucoup plus loin et fait dire au responsable de l'association noyb, Max Schrems, que « ces changements sont extrêmes et ont des répercussions considérables ».
Comme l'indique le média allemand Netzpolitik, la Commission a en fait séparé sa proposition en deux textes : l'un sur la « simplification » de différents textes sur le numérique déjà en application [PDF], l'autre est plus spécifiquement sur l'IA et affiche la volonté de « simplifier » l'AI act [PDF], alors que celui-ci commence tout juste à s'appliquer progressivement jusqu'à devenir pleinement effectif à partir du 2 aout 2027.
Une volonté de laisser tranquille l'industrie de l'IA en Europe
La refonte prévue par ce texte des lois protégeant les données au sein de l'Union européenne est clairement prévue pour laisser la voie libre aux entreprises d'IA générative dans le but affiché de les aider à rester compétitives sur la scène internationale. Elle pourrait permettre aussi à des entreprises comme Meta de lancer sur le marché européen des produits comme ses lunettes connectées boostées à l'IA avec un peu moins de risques de se faire attraper par la patrouille.
Dans une réaction publiée sur LinkedIn, le responsable de l'association noyb, Max Schrems, a publié le texte de ce brouillon accompagné des commentaires de noyb.
L'entrainement des IA comme un « intérêt légitime »
En question dans ces « simplifications » du RGPD, notamment, la volonté de prendre en compte l'entrainement des IA comme un « intérêt légitime ». Ainsi le texte affirme qu' « une IA fiable est essentielle pour assurer la croissance économique et soutenir l'innovation avec des résultats bénéfiques pour la société ».
La Commission fait le constat que « le développement et l'utilisation de systèmes d'IA et des modèles sous-jacents, tels que les grands modèles de langage et les modèles de génération de vidéo, reposent sur des données, y compris des données à caractère personnel, à différentes étapes du cycle de vie de l'IA, telles que les phases d'entrainement, de test et de validation, et peuvent dans certains cas être conservées dans le système ou le modèle d'IA ». Elle en conclut que « le traitement des données à caractère personnel dans ce contexte peut donc être effectué à des fins d'intérêt légitime au sens de l'article 6 » du RGPD.
Des critiques des fondateurs du RGPD
Sur ce sujet, noyb considère que la Commission s'engage dans une « pente glissante » : « si l'on estime qu'il existe un intérêt légitime à "scraper l'intégralité d'Internet" et toute autre donnée d'entraînement disponible, à quelque fin que ce soit, sans le consentement des utilisateurs, il n'y a guère d'autres traitements qui ne relèveraient pas d'un "intérêt légitime" », commente l'association.
« Celui qui a rédigé ce projet avait une vision étroite de la (prétendue) "course à l'IA" et a tout simplement "balayé" le RGPD de nombreuses façons qui porteront préjudice à des personnes dans des centaines d'autres domaines (minorités, suivi en ligne, personnes souffrant de problèmes de santé, etc.) », a réagi Max Schrems dans son post sur LinkedIn.
« Il ne restera plus rien de la protection des données, car l'IA est omniprésente », considère de la même façon Paul Nemitz, ancien directeur du département juridique de la Commission européenne et un des fondateurs du RGPD.
« Est-ce la fin de la protection des données et de la vie privée telles que nous les avons inscrites dans le traité de l'UE et la charte des droits fondamentaux ? », s'est interrogé un autre des artisans du règlement européen, l'ancien eurodéputé Jan Philipp Albrecht cité par Politico. « La Commission doit être pleinement consciente que cela porte gravement atteinte aux normes européennes », ajoute-t-il.
Le respect d'un « do not track » obligatoire, sauf pour les médias
Le brouillon de la loi « omnibus numérique » prévoit aussi de simplifier l'utilisation des bandeaux de consentement aux cookies. Comme nous l'avions évoqué en septembre dernier, la Commission veut réduire l'affichage des bandeaux qui inondent le web. Elle envisage de mettre en place une automatisation de la réponse, à la manière d'un « do not track » très peu pris en compte actuellement, que l'utilisateur pourrait paramétrer soit dans son navigateur soit dans son système d'exploitation.
Les responsables des sites internet auraient l'obligation de prendre en compte ce mécanisme. Mais les rédacteurs y mettent une exception pour les sites de médias, comme le relève le site Heise. Ainsi, le texte indique que « compte tenu de l'importance du journalisme indépendant dans une société démocratique et afin de ne pas compromettre sa base économique, les fournisseurs de services de médias ne devraient pas être tenus de respecter les indications lisibles par machine relatives aux choix des personnes concernées ».
Cela permettrait aux médias de passer outre le consentement des utilisateurs et leur garantir la pérennité de leurs revenus provenant des publicités ciblées.
Dans quelle mesure les différentes générations sont-elles plus ou moins sensibles à la notion de surveillance ? Un regard sur les personnes nées au tournant des années 80 et 90 montre que ces dernières abandonnent probablement plus facilement une part de contrôle sur les données personnelles et n’ont sans doute pas eu totalement conscience de leur grande valeur.
Peut-être qu’à l’approche des Jeux olympiques de Paris, avez-vous vaguement protesté lors de la mise en place d’un fichier vidéo algorithmique ? Et puis avez-vous haussé les épaules : un fichier de plus. Peut-être par résignation ou par habitude ? Comme d’autres, vous avez peut-être aussi renseigné sans trop vous poser de questions votre profil MySpace ou donné votre « ASV » (âge, sexe, ville) sur les chats Caramail au tournant des années 1990-2000 et encore aujourd’hui vous cliquez quotidiennement sur « valider les CGU » (conditions générales d'utilisation) sans les lire ou sur « accepter les cookies » sans savoir précisément ce que c’est.
En effet, peut-être, faites-vous partie de ce nombre important d’individus nés entre 1979 et 1994 et avez-vous saisi au vol le développement de l’informatique et des nouvelles technologies. Et ce, sans forcément vous attarder sur ce que cela impliquait sur le plan de la surveillance des données que vous avez accepté de partager avec le reste du monde…
World Wide Web
Pour se convaincre de l’existence de cette habitude rapidement acquise, il suffit d’avoir en tête les grandes dates de l’histoire récente de l’informatique et d’Internet : Apple met en 1983 sur le marché le premier ordinateur utilisant une souris et une interface graphique, c’est le Lisa.
Puis le World Wide Web est inventé par Tim Berners-Lee en 1989, 36 millions d’ordinateurs sont connectés à Internet en 1996, Google est fondé en 1998 et Facebook est lancé en 2004. L’accélération exponentielle d’abord des machines elles-mêmes, puis des réseaux et enfin du partage de données et de la mobilité a suivi de très près les millennials.
La génération précédente, plus âgée, a parfois moins l’habitude de ces outils ou s’est battue contre certaines dérives initiales, notamment sécuritaires. La suivante, qui a été plongée immédiatement dans un monde déjà régi par l’omniprésence d’Internet et des réseaux, en connaît plus spontanément les risques (même si elle n’est pas nécessairement plus prudente).
Un certain optimisme face à l’informatique
Probablement du fait de ce contexte, la génération née entre le début des années 1980 et le milieu des années 1990 est aussi celle qui est la plus optimiste face au développement des technologies.
Cet état de fait apparaît d’autant plus clairement que la « génération Z », plus jeune, est marquée généralement par une plus grande apathie voire un certain pessimisme notamment quant au devenir des données personnelles.
En effet, aujourd’hui, les plus jeunes, déjà très habitués à l’usage permanent des réseaux sociaux et aux surveillances de toute part, se trouvent très conscients de ses enjeux mais font montre d’une forme de résignation. Celle-ci se traduit notamment par le « privacy paradox » mis en lumière par certains sociologues et qui se traduit par une tendance paradoxale à se réclamer d’une défense de la vie privée tout en exposant très largement celle-ci volontairement par l’utilisation des réseaux sociaux.
A contrario, cette confiance en la technologie se manifeste spécialement par une forme de techno-optimisme, y compris lorsqu’il s’agit de l’usage de données personnelles. Cet état d’esprit se traduit dans de nombreux domaines : lorsqu’il s’agit de l’usage des données de santé par exemple ou plus généralement quant à l’utilisation des technologies pour régler des problèmes sociaux ou humains comme le réchauffement climatique.
La priorisation de valeurs différentes
Cet optimisme est aussi visible lorsqu’il s’agit d’évoquer les fichiers policiers ou administratifs. S’il n’existe pas de données précises sur l’acceptation des bases de données sécuritaires par chaque tranche d’âge, il n’en demeure pas moins que la génération des 30-45 ans n’est plus celle de l’affaire Safari dont l’éclatement, après la révélation d’un projet de méga-fichier par le ministère de l’Intérieur, a permis la naissance de la CNIL.
Cette génération a, au contraire, été marquée par des événements clés tels que les attentats du 11 septembre 2001 ou la crise économique de 2009.
Ces événements, et plus généralement le climat dans lequel cette génération a grandi et vit aujourd’hui, la conduisent à être, d’après les études d’opinion récentes, plus sensible aux questions de sécurité que d’autres. Elle entretient ainsi un rapport différent à la sécurité, moins encline à subir des contrôles d’identité répétés (qui sont bien plus fréquents chez les plus jeunes) mais plus inquiète pour l’avenir et plus sensible aux arguments sécuritaires.
Cet état d’esprit favorise en conséquence une plus grande acceptation encore des fichiers et aux dispositifs de sécurité qui sont perçus comme des outils nécessaires à l’adaptation aux nouvelles formes de délinquance et de criminalité, par exemple à l’occasion de l’organisation des futurs Jeux olympiques et paralympiques en France ou rendus utiles pour permettre la gestion d’une pandémie comme celle du Covid-19.
De l’acceptation à l’accoutumance
Les deux phénomènes – optimisme face au développement des technologies et sensibilité à la question sécuritaire – sont d’autant plus inextricables qu’il existe un lien important entre usages individuels et commerciaux des technologies d’une part et usages technosécuritaires d’autre part. En effet, les expériences en apparence inoffensives de l’utilisation récréative ou domestique des technologies de surveillance (caméras de surveillance, objets connectés, etc.) favorisent l’acceptabilité voire l’accoutumance à ces outils qui renforcent le sentiment de confort tant personnel que sécuritaire.
La génération des trentenaires et quadra actuelle, très habituée au développement des technologies dans tous les cadres (individuels, familiaux, professionnels, collectifs, etc.) et encore très empreinte du techno-optimisme de l’explosion des possibilités offertes par ces outils depuis les années 1990 est ainsi plus encline encore que d’autres à accepter leur présence dans un contexte de surveillance de masse.
Cet état d’esprit favorise en conséquence une plus grande acceptation encore des fichiers et aux dispositifs de sécurité qui sont perçus comme des outils nécessaires à l’adaptation aux nouvelles formes de délinquance et de criminalité. Maxim Hopman/Unsplash, CC BY-NC-ND
La pénétration très importante de ces dispositifs dans notre quotidien est telle que le recours aux technologies même les plus débattues comme l’intelligence artificielle peut sembler à certains comme le cours normal du progrès technique. Comme pour toutes les autres générations, l’habituation est d’autant plus importante que l’effet cliquet conduit à ne jamais – ou presque – remettre en cause des dispositifs adoptés.
L’existence de facteurs explicatifs
Partant, la génération des 30-45 ans, sans doute bien davantage que celle qui la précède (encore marquée par certains excès ou trop peu familiarisée à ces questions) que celle qui la suit (davantage pessimiste) développe une forte acceptabilité des dispositifs de surveillance de tous horizons. En cela, elle abandonne aussi probablement une part de contrôle sur les données personnelles dont beaucoup n’ont sans doute pas totalement conscience de la grande valeur.
Au contraire, les réglementations (à l’image du Règlement général sur la protection des données adopté en 2016 et appliqué en 2018) tentant de limiter ces phénomènes sont parfois perçues comme une source d’agacement au quotidien voire comme un frein à l’innovation.
Sur le plan sécuritaire, l’acceptabilité de ces fichages, perçus comme nécessaires pour assurer la sécurité et la gestion efficace de la société, pose la question de la confiance accordée aux institutions. Or, là encore, il semble que la génération étudiée soit moins à même de présenter une défiance importante envers la sphère politique comme le fait la plus jeune génération.
Demeurent très probablement encore d’autres facteurs explicatifs qu’il reste à explorer au regard d’une génération dont l’état d’esprit relativement aux données personnelles est d’autant plus essentiel que cette génération est en partie celle qui construit le droit applicable aujourd’hui et demain en ces matières.
Bruxelles a adopté lundi 10 juillet un nouveau cadre légal pour permettre le transfert des données personnelles de l'Union européenne vers les États-Unis, un dispositif crucial pour l'économie numérique après des décisions de la justice européenne ayant invalidé les précédents.
Publié le : 10/07/2023 - 19:48
« Le nouveau cadre UE–États-Unis de protection des données personnelles garantira la sécurité des flux de données pour les Européens et apportera une sécurité juridique aux entreprises des deux côtés de l'Atlantique », a déclaré la présidente de la Commission européenne, Ursula von der Leyen, dans un communiqué.
Les deux dispositifs précédemment mis en place pour permettre aux entreprises de transférer ces données des Européens vers les États-Unis avaient été invalidés en raison de craintes d'une surveillance par les services de renseignement américains. Ces recours devant la Cour de justice de l'UE avaient été introduits par le militant autrichien pour le respect de la vie privée, Max Schrems.
Lundi 10 juillet, il a annoncé saisir à nouveau la justice, estimant que le nouveau texte n'apportait pas d'amélioration en matière de protection des données personnelles des Européens. « Nous avons déjà dans les tiroirs des options pour un nouveau recours, bien que nous soyons fatigués de ce jeu de ping-pong juridique. Nous nous attendons à ce que l'affaire soit de nouveau devant la Cour de justice au début de l'année prochaine », a déclaré Max Schrems.
De nouvelles batailles judiciaires
Le commissaire européen à la Justice, Didier Reynders, a reconnu qu'il s'attendait à de nouvelles batailles judiciaires. « La saisie de la Cour de Justice semble être une partie du modèle économique de certaines organisations de la société civile », a-t-il raillé, dans une allusion au Centre européen pour les droits numériques (Noyb) du militant autrichien.
La mise en place d'un nouveau cadre est essentielle pour les géants du numérique comme Google, Meta et Amazon qui déploraient le manque de règles claires en matière de transfert de données entre les deux rives de l'Atlantique. Meta s'est notamment vu infliger fin mai une amende record de 1,2 milliard d'euros pour avoir enfreint les règles européennes de protection des données avec son réseau social Facebook.
En juillet 2020, la justice européenne avait conclu que le « Privacy Shield » utilisé par les entreprises américaines ne protégeait pas de possibles « ingérences dans les droits fondamentaux des personnes dont les données étaient transférées ».
Depuis lors, les entreprises avaient recours à des solutions juridiques alternatives, à la légalité plus incertaine, pour continuer ces transferts, dans l'attente d'un système plus solide et pérenne.
Ursula von der Leyen et le président américain Joe Biden avaient trouvé un accord de principe en mars 2022 sur un nouveau dispositif légal, censé répondre aux préoccupations exprimées par la justice.
Un engagement sans précédent
Le nouveau cadre juridique européen met en application cet accord. Il prévoit des garde-fous supplémentaires pour que l'accès des agences américaines de renseignement, au nom de la sécurité nationale, à des données recueillies en Europe et transférées ou hébergées aux États-Unis, soit limité à ce qui est « nécessaire » et « proportionné ».
Le texte ouvre aussi une possibilité de recours aux ressortissants européens s'ils considèrent que leurs données personnelles ont été illégalement collectées par les renseignements américains, leur permettant d'obtenir, le cas échéant, la suppression ou la correction de ces données. « Les États-Unis ont pris des engagements sans précédent », a estimé Ursula von der Leyen.
Les acteurs du numérique ont salué cette annonce. « Après des années d'attente, les entreprises et les organisations de toutes tailles des deux côtés de l'Atlantique ont enfin la certitude de disposer d'un cadre juridique durable qui autorise les transferts de données à caractère personnel de l'UE vers les États-Unis », s'est réjoui Alexandre Roure, le directeur des politiques publiques du CCIA, le lobby des géants de la tech.
« Les flux de données sont à la base des exportations de services de l'UE vers les États-Unis, qui s'élèvent à 1 000 milliards d'euros par an, et cette décision donnera aux entreprises plus de confiance pour mener leurs activités et contribuera à la croissance de nos économies », a commenté Cecilia Bonefeld-Dahl, de DigitalEurope, une autre organisation du secteur.
(Avec AFP)
C’est par l’intermédiaire d’une réponse à une question écrite du député Modem Philippe Latombe que le ministère de l’Éducation Nationale officialise publiquement l’arrêt dans les établissements scolaires du déploiement ou extension de Microsoft Office 365, « ainsi que celle de Google, qui seraient contraires au RGPD ».
À l’origine, Philippe Latombe pointait dans sa question que l’offre gratuite de Microsoft « s'apparente à une forme ultime de dumping et à de la concurrence déloyale. Il semble par ailleurs qu'aucun appel d'offres n'ait eu lieu ».
Dans sa réponse, le ministère explique que les offres gratuites sont «exclues du champ de la commande publique » même s’il concède qu' « il est vraisemblable que la mise à disposition gratuite des établissements scolaires d'une suite bureautique vise à inciter un public qui aurait été accoutumé à l'utilisation de ces outils à souscrire par la suite à la version payante de son offre ». Mais il affirme avoir informé en octobre 2021 les recteurs de région académique et d'académie de la doctrine « cloud au centre » du gouvernement et des positions de la Dinum et de la CNIL sur le sujet.
Perfidement, la réponse du ministère souligne aussi que le code de l’éducation prévoit que ce sont les collectivités territoriales (les communes pour les écoles, les départements pour les collèges et les régions pour les lycées) qui doivent assurer « l'acquisition et la maintenance des infrastructures et des équipements, dont les matériels informatiques et les logiciels prévus pour leur mise en service, nécessaires à l'enseignement et aux échanges entre les membres de la communauté éducative sont à [leur] charge ».
Facebook, Instagram et les autres services du groupe Meta vont-ils être interdits en Europe ? La question se pose après la mesure prise par l'Irlande, qui a décidé de bloquer le transfert de données personnelles vers les États-Unis.
Meta connaît décidément bien des déboires ces derniers temps. Alors que ses plateformes font face à une concurrence de la part de TikTok et que les scandales à propos de sa gestion des données personnelles s'enchaînent, l'Irlande vient de prendre une décision lourde de conséquences. En effet, quelques mois seulement après avoir infligé une amende de 17 millions d'euros au réseau social, le régulateur irlandais a décidé ce jeudi 7 juin le blocage du transfert de données des résidents européens vers les États-Unis, y compris pour le groupe Meta, qui possède Facebook, Instagram, Messenger et WhatsApp. Il demande aux autres pays de l'Union européenne d'en faire de même. S'ils ne s'expriment pas dans les semaines à venir, nous pourrons dire au revoir à nos chers réseaux sociaux.
L'Irlande se base pour prendre cette décision sur le règlement général sur la protection des données (RGPD) de l'Union européenne, qui interdit le transfert de données personnelles des ressortissants de l'Union européenne vers des pays tiers si leur niveau de protection n'est pas équivalent à celui de l'UE. Or ce n'est pas le cas des États-Unis, dont les dispositifs Safe Harbor et Privacy Shield autorisaient les autorités publiques américaines à y avoir accès. Ces accords ont été invalidés par la Cour de justice de l'Union européenne (CJUE), qui a estimé que les programmes de surveillance des agences de renseignements américaines font peser une menace sur les informations personnelles des Européens stockées dans des serveurs aux États-Unis. De ce fait, toutes les institutions européennes de protection des données ont un mois pour émettre leur avis sur la question, sans quoi toutes les entreprises américaines utilisant les "clauses contractuelles types" pour transférer les données européennes seront bannies du territoire.
Vers un nouvel accord entre les États-Unis et l'Union européenne ?
En mars déjà, Meta alertait sur les conséquences de ces décisions pour le maintien de ses services dans l'Union européenne : "Si un nouveau cadre de transfert transatlantique de données n'est pas adopté et que nous ne sommes pas en mesure de continuer à compter sur les CCT ou sur d'autres moyens alternatifs de transfert de données de l'Europe vers les États-Unis, nous ne serons probablement pas en mesure d'offrir un certain nombre de nos plus importants produits et services, y compris Facebook et Instagram, en Europe", déclarait l'entreprise dans un dossier déposé auprès de la Securities and Exchange Commission des États-Unis.
C'est un bras de fer qui s'engage entre les États-Unis et l'Union européenne. Mais pas de panique pour autant, puisque les deux puissances sont en train de négocier un nouveau texte visant à encadrer le transfert des données entre eux, y compris en Irlande. Un accord préliminaire a été conclu, bien que les partis bloquent sur les détails juridiques. Dans tous les cas, il est fort peu probable que les États-Unis laissent de grandes entreprises comme Meta se priver du marché européen, car cela porterait un coup très dur à leur économie. Meta a d'ailleurs déclaré à Politico que "nous nous félicitons de l'accord entre l'UE et les États-Unis pour poser un nouveau cadre juridique qui permettra le transfert continu de données à travers les frontières. Nous espérons que ce cadre nous permettra de garder les familles, les communautés et les économies connectées."
Un nouvel accord pourrait être bénéfique pour l'Europe, surtout après les différents scandales qui ont éclaboussé Meta. Pour rappel, l'affaire Cambridge Analytica avait mis en avant la fuite des données personnelles de 87 millions d'utilisateurs Facebook que la société Cambridge Analytica avait commencé à exploiter début 2014. Ces informations ont notamment servi à influencer les intentions de vote en faveur d'hommes politiques. Plus récemment, des hôpitaux auraient envoyé des informations privées sur leurs patients à Facebook, partageant potentiellement des informations de santé avec le réseau social par le biais d'un traceur publicitaire.
La CNIL[1] a mis en demeure un éditeur pour avoir collecté des données à caractère personnel sur les visiteurs de son site Internet à l’aide du module Google Analytics.
En intégrant ce module Google Analytics à son site Internet, l’éditeur donnait la consigne aux navigateurs de ses visiteurs d’envoyer des informations à Google. Ces informations contenaient notamment l’adresse de la page visitée, l’éventuel page précédemment visitée (« Referer »), l’heure de la visite, l’adresse IP du visiteur et des informations sur son appareil. Ces informations pouvaient aussi contenir l’identifiant unique qui était attribué par Google à l’internaute et stocké dans un cookie et/ou l’identifiant interne que l’éditeur du site avait attribué à l’internaute, si ce dernier était connecté à son espace personnel. Le numéro de commande était aussi présent si la personne avait passé commande sur le site.
Toutes ces informations permettaient à l’éditeur de mesurer l’audience de son site Internet avec précision, mais aussi de détecter d’éventuelles erreurs et de mesurer ou d’optimiser l’efficacité ses campagnes publicitaires.
En premier lieu, la CNIL a considéré que les données collectées par ce module Google Analytics étaient des données à caractère personnel, car elles étaient associées à un identifiant unique et/ou composées de données qui pouvaient permettre d’identifier les visiteurs ou de les différencier de façon significative. La Commission a donc estimé que les exigences du RGPD[2] devaient être respectées.
Ensuite, la CNIL a rappelé que les transferts de données vers un pays n’appartenant pas à l’Union européenne étaient autorisés uniquement si « le niveau de protection des personnes physiques garanti par le [RGPD] n[’est] pas compromis »[3]. Un tel niveau de protection peut être obtenu :
- si le pays de destination bénéficie d’une « décision d’adéquation »[4], c’est-à-dire une décision émanant des autorités attestation de la conformité du pays en matière de protection des données ; ou
- si l’organisme de destination justifie que les mesures prises et la législation du pays permettent d’assurer un niveau de protection suffisant.
Les données issues de Google Analytics sont transférées vers les États-Unis. Ce pays ne bénéficie plus d’une décision d’adéquation depuis l’arrêt[5] « Shrems II » du 16 juillet 2020 de la Cour de justice de l’Union européenne (CJUE) en raison de la surveillance de masse réalisée par les services gouvernementaux américains. Ces programmes de surveillance obligent notamment la société Google à fournir au gouvernement américain les données à caractère personnelle qu’elle possède ou les clés de chiffrement qu’elle utilise.
En l’absence d’une décision d’adéquation, l’éditeur du site et la société Google avaient recourru à des « clauses contractuelles types », c’est-à-dire un rapport détaillé justifiant un niveau de protection suffisant. La CNIL a cependant considéré, comme l’avait déjà fait la CJUE dans son arrêt cité précédemment, qu’un tel document ne permettait pas, à lui seul, d’apporter une protection contre les programmes de surveillance américain, car la société Google ne pouvait pas aller à l’encontre des lois de son pays. Des mesures additionnelles devaient donc être prises par l’éditeur et/ou Google.
Des mesures organisationnelles ont été prises par Google, comme la publication d’un rapport de transparence et la publication d’une politique de gestion des demandes d’accès gouvernementales, mais la Commission a estimé que ces mesures ne permettent pas « concrètement d’empêcher ou de réduire l’accès des services de renseignement américains ».
Des mesures techniques ont aussi été prises par Google, comme la pseudo « anonymisation »[6] des adresses IPs, mais la CNIL a estimé qu’elles « ne sont pas efficaces », car « aucune d’entre elles n’empêche les services de renseignement américain d’accéder aux données en cause ne ne rendent cet accès ineffectif ».
En l’absence d’une protection des données adéquate, la CNIL a, par conséquent, estimé que les transferts effectué par l’éditeur vers les serveurs de Google situés aux États-Unis étaient illégaux.
La CNIL a mis en demeure le site de mettre en conformité les traitements de données associés à Google Analytrics ou, si ce n’est pas possible, de retirer le module Google Analytics.
Concernant le nom de l’éditeur mis en cause, la CNIL a décidé de ne pas rendre public son nom pour des raisons que j’ignore. Il est cependant fort probable que la société soit Decathlon, Auchan ou Sephora étant donné que cette décision est la conséquence de plaintes[7] déposées par l’association militante NOYB[8].
Concernant la décision elle même, même si c’est la première fois que la CNIL prend publiquement position sur Google Analytics, ce n’est ni une surprise, ni une révolution. Depuis l’invalidation de l’accord avec les États-Unis en juillet 2020, tous les acteurs s’intéressant de près à la protection des données savent que les transferts de données vers les USA étaient, au mieux, très douteux. De plus, la CNIL n’est pas la première autorité de protection des données européenne à avoir statué dans ce sens. L’autorité autrichienne avait fait de même[9] trois mois plus tôt.
Cette décision a le mérite de mettre les choses au clair. Les organismes ne peuvent désormais plus prétendre un éventuel flou juridique. Google Analytics doit être retiré.
Notes et références
CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
RGPD : Règlement Général sur la Protection des Données (Règlement (UE) 2016/679).
Le RGPD autorise des transferts de données vers des pays tiers si « le niveau de protection des personnes physiques garanti par le [RGPD] n[’est] pas compromis » (source : RGPD, article 44).
Un transfert de données à caractère vers un pays tiers peut être réalisé si une décision d’adéquation existe pour ce pays (source : RGPD, article 45). Une telle décision existe, par exemple, pour le Royaume-Uni.
La Cour de justice de l’Union européenne (CJUE) invalide le « bouclier de protection des données UE-États-Unis » dans un arrêt du 16 juillet 2020 (source : CJUE, C-311/18, 16 juillet 2020, Shrems II).
La solution Google Analytics propose une option permettant d’« anonymiser » les adresses IP des internautes. Cette opération est toutefois réalisée par Google après que le transfert de données vers les États-Unis ait lieu.
L’association NOYB a déposé des plaintes contre de nombreux organismes suite à des transferts de données personnelles vers les États-Unis jugés illicites. Six entreprises francaises sont concernées. Trois d’entre elles concernent Google Analytics : Decathlon, Auchan et Sephora (source : noyb.eu).
NOYB - European Center for Digital Rights : (noyb.eu).
L’autorité autrichienne a décidé, décembre 2021, que les transferts de données réalisés par Google Analytics étaient illicites (source : noyb.eu, en allemand) (source 2 : gdprhub.eu, en anglais).
L’utilisation de Google Analytics viole le droit européen, juge l’autorité autrichienne de protection des données. L’autorité autrichienne de protection des données a décidé que l’utilisation de Google Analytics violait le règlement général sur la protection des données (RGPD). D’autres États membres de l’UE pourraient lui emboîter le pas, car les régulateurs coopèrent étroitement au sein d’une cellule spéciale du Comité européen de la protection des données.
La décision est fondée sur un certain nombre de plaintes déposées par l’ONG autrichienne noyb à la suite de l’arrêt « Schrems II » de la Cour de justice de l’Union européenne. La CJUE a jugé que l’accord de transfert de données entre les États-Unis et l’Union européenne, le « Privacy Shield », n’était pas conforme à la législation européenne sur la protection des données et a annulé l’accord en 2020, ce qui a rendu illégaux la plupart des transferts de données vers les États-Unis.
Toutefois, Google a partiellement ignoré cette décision. Au cours de la procédure, le géant de la technologie a admis que « toutes les données collectées par Google Analytics […] sont hébergées (c’est-à-dire stockées et traitées ultérieurement) aux États-Unis », ce qui inclut les utilisateurs européens.
Comme de nombreuses entreprises de l’UE utilisent Google Analytics, beaucoup ont transmis leurs données à Google, permettant ainsi que leurs données soient traitées aux États-Unis.
L’autorité autrichienne de protection des données vient de décider que ce comportement constitue une violation de la législation européenne.
« Au lieu d’adapter les services pour qu’ils soient conformes au RGPD, les entreprises américaines ont essayé d’ajouter simplement un texte à leurs politiques de confidentialité et d’ignorer la Cour de justice. De nombreuses entreprises de l’UE ont suivi le mouvement au lieu de se tourner vers des options légales », a déclaré Max Schrems, président honoraire de noyb, dans un communiqué.
« Cela fait maintenant un an et demi que la Cour de justice l’a confirmé une deuxième fois, il est donc plus que temps que la loi soit également appliquée », a ajouté M. Schrems.
La décision des autorités autrichiennes n’est que la première des 101 plaintes que noyb a déposées dans presque tous les pays de l’UE. L’ONG s’attend à ce que « des décisions similaires tombent progressivement dans la plupart des États membres de l’UE », a déclaré M. Schrems.
Mardi, le contrôleur européen de la protection des données a déjà rendu une décision similaire, soulignant que l’utilisation de Google Analytics par le Parlement européen violait le RGPD.
(Oliver Noyan | EURACTIV Allemagne)
La Cnil donne un coup de pied dans la fourmilière : interrogée sur l'emploi d'outils collaboratifs américains, l'autorité administrative française estime qu'il faut s'en passer et opter pour des solutions françaises ou européennes.
Les outils Framasoft plutôt que la suite bureautique de Google Docs pour les élèves qui poursuivent leurs études après le Bac ? Si la Commission nationale de l’informatique et des libertés (Cnil) ne va pas jusqu’à formuler une telle recommandation, le sens de son message est toutefois limpide : il est préférable de délaisser les outils américains pour l’enseignement supérieur et la recherche.
C’est en effet ce qui transparait dans une prise de parole datée du 27 mai 2021. La Cnil répondait alors aux sollicitations de la Conférence des grandes écoles et la Conférence des présidents d’université sur l’évolution du cadre juridique européen et ses effets que cela peut avoir sur les conditions stockage et de circulation des données qui sont produites, collectées et manipulées via ces outils de travail.
Pourquoi la Cnil formule ce conseil ?
Cet appel de la Cnil ne vient pas de nulle part : il tient compte d’une réalité juridique avec l’invalidation du Privacy Shield par la Cour de justice de l’Union européenne, à l’été 2020. Or ce cadre, qui remplaçait le Safe Harbor, un mécanisme similaire qui a aussi été détruit, servait à encadrer le transfert des données des internautes en Europe vers les États-Unis, là où figurent de nombreux services en ligne.
La Cour a considéré qu’il n’existe en fait aucune garantie juridique pour des personnes non américaines pouvant être visées par les programmes de surveillance américains. Or, le Privacy Shield était censé être conforme aux standards européens. En clair, il y a un conflit manifeste entre le droit européen et le droit américain. Dès lors, la légalité de ces transferts est remise en question.
Considérant ce verdict majeur, véritable séisme juridique au niveau européen, mais aussi les documents qui lui ont été transmis, la Cnil relève que « dans certains cas, des transferts de données personnelles vers les États-Unis dans le cadre de l’utilisation des suites collaboratives pour l’éducation » surviennent, et cela pour beaucoup de monde : étudiants, chercheurs, enseignants, personnels administratifs.
Ce n’est pas tout : des informations encore plus critiques peuvent être en jeu, comme des données de santé (qui sont des données sensibles devant bénéficier d’un plus haut degré de protection ), des données particulières (relatives à des mineurs) et des données pouvant impliquer des enjeux stratégiques, dans les secteurs scientifique et économique (données de recherche).
« Il existe donc un risque d’accès par les autorités américaines aux données stockées »
Et dans le cas où les fournisseurs américains de ces outils prennent des mesures pour ne procéder à aucun transfert, de sorte de stocker et traiter les données en Europe ? Là aussi, il y a un problème : le Cloud Act. Ce texte autorise les juridictions à forcer les entreprises aux États-Unis de fournir les données sur leurs serveurs, dans le cadre d’une procédure, y compris les serveurs situés à l’étranger.
« Indépendamment de l’existence de transferts, les législations américaines s’appliquent aux données stockées par les sociétés états-uniennes en dehors de ce territoire. Il existe donc un risque d’accès par les autorités américaines aux données stockées », relève la Cnil. Dès lors, l’engagement de Microsoft en la matière doit être tempéré, même si la société a par le passé combattu ce genre de demande.
Pas de solution, sauf la migration ?
Enfin, si la Cnil admet qu’il faudrait déployer des mesures additionnelles pour poursuivre ces transferts même si le Privacy Shield est tombé, il s’avère que ces dispositions capables « d’assurer un niveau de protection adéquat » ne sont à ce jour pas identifiées. De plus, ajoute la Cnil, jouer la carte des dérogations n’est pas une réponse viable : elles doivent rester des dérogations, c’est-à-dire des exceptions.
Pour cette dernière remarque, la Cnil mentionne les observations du Comité européen de la protection des données, dont elle est membre, et qui raisonnait en citant soit le cas d’un fournisseur de services via le cloud soit le cas d’un sous-traitant qui « dans le cadre de leurs prestations, ont la nécessité d’accéder aux données en clair ou possèdent les clefs de chiffrement. »
Cette situation fait donc dire à la Cnil qu’il « est nécessaire que le risque d’un accès illégal par les autorités américaines à ces données soit écarté ». Mais parce qu’il n’est pas évident de basculer d’un claquement de doigts tout l’écosystème de l’enseignement supérieur et de la recherche, et parce qu’il existe encore une crise sanitaire à cause du coronavirus, la Cnil admet le besoin « d’une période transitoire. »
La Cnil se dit disponible pour « identifier des alternatives possibles ». Des pistes existent du côté des logiciels libres, à l’image de Framasoft ou LibreOffice. Il reste à déterminer quelles décisions seront prises à la suite de l’appel de la Cnil et, si l’offre est au niveau, car la commodité d’emploi, la disponibilité et l’éventail des fonctionnalités l’emportent parfois sur toute autre considération.
Les « conditions juridiques nécessaires » ne « semblent pas réunies » pour confier le mégafichier des données de santé françaises « à une entreprise non soumise exclusivement au droit européen », a estimé vendredi l’Assurance maladie, désignant ainsi implicitement Microsoft. La pilule ne passe toujours pas : saisi une nouvelle fois pour avis, sur le projet de décret devant graver dans le marbre les « modalités de mise en oeuvre » du gigantesque « système national des données de santé », le conseil d’administration de la Caisse nationale d’Assurance maladie (CNAM) ne s’est pas privé d’exprimer ses désaccords.
« Les conditions juridiques nécessaires à la protection de ces données ne semblent pas réunies pour que l’ensemble de la base principale soit mise à disposition d’une entreprise non soumise exclusivement au droit européen (…) indépendamment de garanties contractuelles qui auraient pu être apportées », écrit cette instance dans une délibération adoptée à l’unanimité des membres qui ont pris position. La charge vise évidemment le géant américain Microsoft, choisi sans appel d’offres début 2019 pour héberger le Health Data Hub, gestionnaire désigné de ce fichier agrégeant les données de la Sécu, des hôpitaux ou des soignants libéraux, entre autres.
« Seul un dispositif souverain et uniquement soumis au RGPD (le règlement européen qui garantit aux usagers certains droits sur leurs données, ndlr) permettra de gagner la confiance des assurés », ajoute le conseil d’administration. L’instance juge qu’en attendant cette solution, les données « ne seraient mises à disposition du Health Data Hub qu’au cas par cas », uniquement pour « des recherches nécessaires à la prévention, au traitement et à la prise en charge de la Covid-19 ».
La Cour de justice de l'Union européenne invalide un accord de 2016 pris entre Bruxelles et Washington sur le transfert des données personnelles entre les deux rives de l'Atlantique. En cause, le manque d'encadrement des programmes de surveillance américains.
C’est un coup de tonnerre juridique dans le ciel transatlantique. Jeudi 16 juillet, la Cour de justice de l’Union européenne (CJUE) a annoncé avoir invalidé la décision 2016/1250 relative à l’adéquation de la protection assurée par le bouclier de protection des données UE-États-Unis. C’est une décision cruciale, car elle concerne le transfert de données personnelles des Européens, donc les vôtres, vers les États-Unis.
Mais de quoi parle-t-on ?
Rappel des faits.
Jusqu’en 2015, l’envoi de données personnelles de l’Europe vers les USA était encadré par un dispositif baptisé « Safe Harbor ». Mais par l’action en justice d’un Autrichien, ce mécanisme a été annulé en octobre de cette année-là, déjà par la CJUE. Les révélations d’Edward Snowden en 2013 sur la surveillance de masse mise en place les services de renseignement américains avaient à l’époque joué un rôle important, car elles montraient un niveau de protection insuffisant pour les Européens.
cjue cour justice
Cour de justice de l’Union européenne. // Source : Transparency International EU Office
Pour éviter de laisser un vide entre les deux rives de l’Atlantique, un nouveau cadre a été mis sur pied dès l’année suivante, en 2016 : le bouclier de protection des données UE-États-Unis, ou « Privacy Shield ». Celui-ci est décrit comme plus protecteur que le « Safe Harbor ». C’est la position de Bruxelles, qui l’a validé à chaque réexamen annuel. Mais ni les CNIL du Vieux Continent, ni le Parlement européen, ni le Conseil national du numérique, ni les associations de la société civile ne partageaient ce point de vue.
À cette liste, on peut donc ajouter maintenant la Cour de justice de l’Union européenne, qui va obliger Bruxelles et Washington à renégocier un accord. Et comme le fait remarquer le professeur de droit Théodore Christakis, spécialiste de droit international public, c’est une fois encore les programmes de surveillance américains qui posent problème, car ils « ne sont pas limités à ce qui est strictement nécessaire et ne sont donc pas conformes aux standards européens ».
Dans son communiqué, la Cour fait observer qu’il n’y avait aucune garantie juridique pour des personnes non américaines potentiellement visées par ces programmes. Ainsi, il est relevé que la réglementation américaine « ne confère pas aux personnes concernées des droits opposables aux autorités américaines devant les tribunaux », tandis que « l’accès et l’utilisation, par les autorités publiques américaines » des données à caractère personnel ne sont pas assez encadrés.
Pour la justice européenne, les programmes de surveillance américains ne sont pas assez bien encadrés
Pour l’Autrichien à l’origine des invalidations du « Safe Harbor » et du « Privacy Shield », cet arrêt est une bonne nouvelle.
« Je suis très heureux de ce jugement. Il semble que la Cour nous ait suivis dans tous les aspects. […] Il est clair que les États-Unis devront modifier sérieusement leurs lois de surveillance, si les entreprises américaines veulent continuer à jouer un rôle majeur sur le marché européen », écrit-il. « La Cour a clarifié pour la deuxième fois maintenant qu’il y a un conflit entre la législation européenne sur la vie privée et la législation américaine sur la surveillance. »
En somme, c’est le droit américain qui pose problème : si celui-ci n’est pas modifié de façon substantielle, il est à prévoit d’autres annulations du même ordre devant les tribunaux si Washington ne s’attaque pas à une réforme plus ambitieuse. « Comme l’UE ne modifiera pas ses droits fondamentaux pour satisfaire la NSA, la seule façon de surmonter ce conflit est que les États-Unis introduisent des droits solides en matière de protection de la vie privée pour tous, y compris les étrangers ».
Et maintenant ?
Reste une question : l’invalidation prononcée ce jour signifie-t-elle qu’il n’y a plus du tout de transfert entre les deux rives de l’Atlantique ? C’est aller un peu vite en besogne.
Si la Cour a bien annulé le « Privacy Shield », elle a par contre validé les clauses contractuelles types de la Commission européenne. Il s’agit d’un autre dispositif qui sert lui aussi à encadrer l’envoi des données personnelles aux USA. Elles servent lorsque des transferts se font en dehors de l’Union, en vue de « faciliter la tâche » des entreprises et des sous-traitants des autres pays. Autrement dit, si l’accord général n’est pas bon, des accords individuels peuvent l’être.
Deux subtilités sont toutefois à relever. Si le principe des clauses contractuelles types est approuvé, c’est à la condition que les entreprises et les sous-traitants qui y font appel se montrent en phase avec la législation européenne. C’est ce que relève l’avocat Étienne Wery sur son site : l’exportation de données n’est possible que si le niveau de protection est suffisant et respecté. Dans le cas contraire, ce transfert doit être suspendu ou interdit. Reste à pouvoir s’en assurer.
Ensuite, les clauses contractuelles types ne peuvent pas être utilisées par des entreprises qui, justement, sont sous surveillance américaine. C’est ce qu’analyse l’association Noyb, fondée par Maximilian Schrems, l’Autrichien à l’origine de toute cette affaire. « L’arrêt indique clairement que les entreprises ne peuvent pas se contenter de signer les clauses , mais qu’elles doivent également vérifier si elles peuvent les respecter dans la pratique », commence-t-il.
Un vrai casse-tête pour les géants du net.
Doctolib veut faire bonne figure : la plateforme de prise de rendez-vous médical en ligne a été récemment la cible de critiques à l’égard de son traitement des données de santé. Une enquête de France Info publiée en début d’année faisait le point sur le sujet et avait déjà poussé Doctolib à clarifier sa politique en matière de protection des données personnelles et de santé.
Pour enfoncer le clou, Doctolib a annoncé la semaine dernière la mise en place d’un dispositif de chiffrement de bout en bout sur sa plateforme, reposant sur la solution de chiffrement Tanker.io. « Jusqu’à présent, les données personnelles de santé des utilisateurs de Doctolib étaient chiffrées à deux niveaux, en transit et au repos. Le chiffrement de bout en bout garantit que les données personnelles de santé des patients qui utilisent Doctolib ne sont accessibles qu’aux patients et à leurs professionnels de santé en toutes circonstances », indique le communiqué. Doctolib précisait au passage que cette solution rendait l’accès aux données impossible pour un tiers « y compris dans les opérations d’assistance ou de maintenance ». L’enquête de France Info avait en effet révélé que Doctolib accédait parfois aux données des praticiens de santé dans le cadre d’opération de maintenance et d’assistance. De fait, si Doctolib se défendait d’accéder aux données de ses utilisateurs, il fallait donc les croire sur parole.
Le chiffrement, c'est maintenant
La solution retenue pour la mise en place de ce chiffrement assure que ce ne sera plus le cas. Comme l’explique Clément Ravouna, cofondateur de Tanker.io, « les clés appartiennent aux utilisateurs finaux puisque Tanker utilise un protocole de bout en bout et que les clés sont stockées sur les appareils des utilisateurs, ce qui a le mérite de loger physiquement cette propriété ». En d’autres termes, le chiffrement des données, la génération des clés et des pseudonymes se fait directement sur les appareils des utilisateurs grâce au SDK de Tanker.io embarqué dans l’application Doctolib.
« Avec ce déploiement, Doctolib ne sera pas en mesure d'accéder aux données de santé de ses utilisateurs et prestataires, car Doctolib n'aura pas les clés de chiffrement », nous précise Doctolib. Clément Ravouna de Tanker.io ajoute que seule « l'association de deux utilisateurs, via le protocole Tanker, permettra de déchiffrer les données. Lorsqu'un patient décide de partager une ressource avec un professionnel de santé via Doctolib, de nouvelles clés sont générées, utilisées et partagées via notre solution Tanker ». La solution de Tanker, décrite dans un livre blanc disponible sur leur site, permet une gestion des clés qui se veut invisible pour les utilisateurs et embarquée dans une application déjà existante. Tanker.io avait obtenu en 2017 une certification de sécurité de premier niveau auprès de l’Anssi.
Reste une interrogation, déjà soulevée par l’enquête de France Info : Doctolib ne peut pas vendre des données personnelles de santé, au sens où celles-ci pourraient permettre d’identifier de façon nominative les patients. Mais exploiter ces données anonymisées reste possible légalement. La solution de Tanker.io offre également la possibilité « d’anonymiser » les données via la génération de pseudonymes découplés des données brutes, comme le décrit son livre blanc. Interrogé à ce sujet, le service presse de Doctolib assure que « le modèle économique de Doctolib n'a rien à voir avec l'exploitation des données. Doctolib ne vend pas les données, Doctolib n'utilise pas les données pour faire de la publicité ou vendre des services ».
Dans ses lignes directrices, sur lesquelles le Conseil D’État vient de se prononcer, la Cnil jugeait le recours à des «cookies walls» contraire au règlement général sur la protection des données (RGPD).
Question posée sur Twitter le 22/06/2020
Bonjour,
Votre question fait référence à cet article du journal les Échos, selon lequel, «à l’avenir, les sites Internet pourront bloquer l’accès à tous les internautes qui refusent les cookies, ces traceurs informatiques controversés». Et ce en vertu d’une «décision du Conseil D’État publiée vendredi» où la plus haute juridiction administrative «donne raison aux éditeurs de sites contre la Cnil [Commission nationale de l’informatique et des libertés, ndlr], le gendarme français de la vie privée sur Internet, qui avait interdit une telle pratique».
Même son de cloche du côté d’une dépêche AFP sur le sujet (notamment reprise par le Monde) : «Selon la plus haute juridiction administrative, les éditeurs peuvent bloquer l’accès à leur site à un internaute qui refuserait les cookies, contrairement à ce que préconise le gendarme français des données personnelles dans ses lignes directrices sur le sujet publiées en 2019.»
En bref, le Conseil D’État «légaliserait» cette pratique, généralement appelée «cookies walls» (où il est nécessaire d’accepter les cookies pour accéder à un contenu, comme on parle de paywall lorsqu’il faut payer), à la suite d’une procédure menée par neuf associations qui représentent des entreprises françaises dans le domaine des médias, de la publicité et du commerce en ligne (Geste, SRI, IAB France, MMAF, Udecam, AACC, Fevad, UDM et SNCD).
«Droit souple»
Problème : selon plusieurs spécialistes des questions de vie privée et médias spécialisés, qui s’appuient sur le contenu de la décision, le Conseil d’État se prononce en fait sur la forme et non sur le fond. Sa décision ne permettrait donc pas, en l’état, de préjuger de la légalité ou non d’un «cookies walls».
On peut lire dans le communiqué de presse de la juridiction que «le Conseil D’État annule partiellement les lignes directrices de la Cnil relatives aux cookies et autres traceurs de connexion». Mais plus bas, on apprend que le Conseil D’État juge que «la Cnil a excédé ce qu’elle pouvait légalement faire dans le cadre d’un acte dit "de droit souple"». Les actes de droit souple désignant «les instruments, telles que les lignes directrices des autorités de régulation [comme la Cnil], qui ne créent pas de droit ou d’obligation juridique pour quiconque mais influencent fortement, dans les faits, les pratiques des opérateurs économiques».
Le Conseil D’État considère donc «que la Cnil ne pouvait, sous couvert d’un acte de droit souple, énoncer une telle interdiction générale et absolue» à propos des cookies walls. Tout en prenant bien soin de préciser qu’il se prononce sur cette question de forme «sans se prononcer sur le fond de la question», à savoir la légalité de bloquer l’accès à un contenu à un utilisateur qui refuserait les cookies.
Pour Bernard Lamon, avocat spécialiste des questions liées au règlement général sur la protection des données (RGPD), le Conseil D’État a simplement dit que sur un point très précis de ses lignes directrices, la Cnil avait franchi la ligne jaune puisque «dans des lignes directrices on ne peut pas dire que les cookies walls sont interdits de manière globale». «Mais le Conseil D’État ne s’est pas prononcé sur la légalité des cookies walls, contrairement à ce que prétendent certains qui se livrent à une bataille de communication. Pour savoir si c’est légal ou non, il faudra du contentieux, avec un examen concret, site par site», estime-t-il.
Pour Etienne Drouard, l’avocat du cabinet Hogan Lovells qui représente les associations requérantes, le Conseil D’État «rappelle que la Cnil doit analyser au cas par cas les alternatives proposées à l’utilisateur en contrepartie de l’accès au site de l’éditeur.» En d’autres termes, en proposant à l’internaute soit d’accéder gratuitement au contenu avec des cookies publicitaires, soit de se connecter via un compte, soit de payer, l’éditeur du site offre un choix au lecteur, «qui préserve la liberté du consentement prévue par le RGPD». «Ce qui n’est pas possible, c’est de conditionner l’accès au site à l’acceptation des cookies, sans offrir d’alternative», avance l’avocat, confirmant donc que le Conseil d’État n’a pas «légalisé» les cookies walls. Plus largement, il se félicite que le Conseil d’État rappelle qu’un «régulateur comme la Cnil ne peut pas, à la différence d’un législateur, créer des interdictions de principe».
«Retour à l’équilibre»
«La Cnil prend acte de cette décision et ajustera en conséquence ses lignes directrices et sa future recommandation pour s’y conformer», a indiqué la commission sur son site.
Sur le fond, la Cnil s’était alignée sur la position du comité européen de protection des données (CEPD), organe européen indépendant qui «contribue à l’application cohérente des règles en matière de protection des données au sein de l’Union européenne». Celui-ci considère en effet que les cookies walls ne sont pas «conformes» au RGPD puisque «les utilisateurs ne sont pas en mesure de refuser le recours à des traceurs sans subir des conséquences négatives (en l’occurrence l’impossibilité d’accéder au site consulté)».
Le Groupement des éditeurs de services en ligne (Geste), qui faisait partie des requérants, se satisfait de son côté de la décision du Conseil d’État qui permet «un retour à l’équilibre du RGPD» : «Nous avions la conviction que la Cnil avait surinterprété le RGPD. Nous défendons le droit pour les éditeurs de site de choisir leur modèle économique», avance son président, Bertrand Gié. Y compris le cookies walls donc, même si «à sa connaissance», aucun gros site français n’a pour le moment fait ce choix. Explicitement en tout cas : selon le blogueur Aeris, qui travaille «dans la sécurité informatique et plus précisément sur la vie privée», la pratique du cookies wall recouvre aussi les nombreux sites qui partent du principe que «si vous continuez à visiter ce site, vous consentez à recevoir des cookies» : «C’est tout aussi illégal, et en pratique le refus des cookies implique une impossibilité de visite du site», estime-t-il.
Dans la même décision, «le Conseil d’État donne raison à la Cnil sur tout le reste, que ce soit sur sa compétence ou les lignes directrices» relève par ailleurs l’avocat Bernard Lamon. Idem pour le média spécialisé Next Inpact qui juge que la décision du Conseil D’État va dans le sens de la commission, «même si cette dernière devra parfois ajuster sa manière de faire. C’est notamment le cas pour les cookies walls» : «Alors qu’éditeurs de presse et autres organismes publicitaires s’étant attaqués aux lignes directrices de la Cnil s’attendaient à une confirmation de leur position, cela n’a pas été le cas. […] Concernant le consentement [des utilisateurs] ses positions se trouvent renforcées par le Conseil D’État qui a "validé l’essentiel des interprétations ou recommandations" en la matière. Notamment que la gestion devait être symétrique (aussi simple à accorder qu’à refuser) et "porter sur chacune des finalités, ce qui implique notamment une information spécifique".»
Avec le Patriot Act, puis le Cloud Act, la France a perdu une partie de sa souveraineté juridique, balayée par les lois extraterritoriales américaines. Mais une volonté de reconquête se fait désormais jour.
Le constat est implacable, la France a perdu depuis l'instauration par les États-Unis du Patriot Act en 2001 une partie de sa souveraineté juridique. La cause : les lois extraterritoriales américaines, qui ont contraint les entreprises françaises et du monde entier à se soumettre au droit américain grâce à des liens parfois très ténus (paiement en dollars par exemple) avec les États-Unis. En dépit de la loi Sapin 2 de décembre 2016, la France - tout comme l'Europe - n'a jusqu'ici rien pu faire pour s'y opposer vraiment... alors même que les États-Unis se sont servis du droit comme "d'une arme de destruction dans la guerre économique" qu'ils mènent contre le reste du monde, a affirmé le député Raphaël Gauvain, qui a remis en juin 2019 un rapport sur la reconquête de la souveraineté de la France au Premier ministre. Dans un entretien à La Tribune, le député LREM martèle qu'il y a une "véritable instrumentalisation de cette procédure au service de l'économie et des entreprises américaines".
Les entreprises en situation de très grande vulnérabilité
Cette arme juridique a servi à piller leurs alliés traditionnels, notamment en Europe, en ciblant plus particulièrement l'Allemagne et la France. Ainsi, plusieurs dizaines de milliards de dollars d'amendes ont été réclamées par la justice américaine à des entreprises françaises, européennes, asiatiques et sud-américaines au motif que leurs pratiques commerciales, leurs clients ou certains de leurs paiements ne respectaient pas le droit américain. Les entreprises françaises "sont dans une situation de très grande vulnérabilité, les autorités françaises donnant depuis de longues années le sentiment de la passivité et l'impression d'avoir renoncé", a d'ailleurs constaté le rapport Gauvain.
Elles le sont encore plus avec l'instauration du Cloud Act en mars 2018. Car les États-Unis sont passés à la vitesse supérieure en élargissant les prérogatives prévues par le Patriot Act. Le Cloud Act permet légalement aux autorités américaines d'accéder aux données de toute personne ou entreprise liée d'une façon ou d'une autre aux États-Unis, peu importe leur lieu de stockage.
Une atteinte à la souveraineté diplomatique de la France
Longtemps, les enquêtes en matière de corruption active d'agents publics étrangers ont constitué l'élément central qui justifiait l'action extraterritoriale du ministère de la Justice américaine (DoJ). En quelque sorte un paravent éthique. Ce n'est plus aujourd'hui totalement le cas avec la multiplication des sanctions internationales décrétées par Washington, instaurées sans aucune concertation au niveau mondial. Cet unilatéralisme en matière de sanctions économiques et financières a d'ailleurs crû indépendamment de la couleur politique de l'administration américaine. Ou comment soumettre un pays sans envoyer un seul GI risquer sa vie... Résultat, certaines amendes infligées par les États-Unis ont été astronomiques comme celle record de près de 9 milliards de dollars payée par BNP Paribas pour violation des sanctions internationales en contournant entre 2000 et 2010 les embargos imposés par les États-Unis à Cuba, à l'Iran, au Soudan ou à la Libye.
Résultat, d'année en année, la liste des pays coupés du monde augmente par la seule volonté des États-Unis. Au 1er décembre 2018, l'Ofac (Office of Foreign Assets Control), chargé de l'application des sanctions internationales américaines dans le domaine financier, infligeait 30 régimes ou programmes actifs de sanctions à presque autant de pays, régimes ou types d'organisations à travers le monde. Pourtant, les divergences stratégiques entre l'Europe et les États-Unis au sujet de la politique de sanctions internationales n'ont jamais été aussi grandes. C'est le cas notamment sur le dossier iranien bien avant l'assassinat ciblé du général iranien Qassem Soleimani par les Etats-Unis, qui a embrasé le Moyen Orient. Ainsi, le constructeur PSA, qui avait investi 350 millions d'euros en Iran, a été obligé de tirer un trait sur environ 450.000 voitures immatriculées par an. Soit quasiment 15% de ses volumes mondiaux. Une telle situation est intolérable pour un pays comme la France, qui souhaite - en principe - mener une politique internationale non alignée à celle des États-Unis en tant que membre permanent au Conseil de l'ONU, et va très clairement à l'encontre de sa souveraineté diplomatique.
La France réfléchit à casser les lois extraterritoriales américaines
Toutefois, ni la France ni l'Europe n'ont, pour l'heure, les moyens juridiques de réagir de manière efficace à des sanctions internationales prises par les États-Unis, qui n'iraient pas dans le sens de leurs intérêts. "Notre environnement juridique mérite d'être adapté au rapport de force qui s'engage actuellement avec certains de nos partenaires, tentés par une application extraterritoriale de leur droit", a d'ailleurs reconnu devant le Sénat la secrétaire générale de la défense et de la sécurité nationale Claire Landais. Mais comment la France peut-elle reconquérir sa souveraineté juridique ? Près de vingt ans après le Patriot Act et plusieurs rapports alarmistes tombés dans l'oubli par un incroyable manque de volonté politique (rapports Urvoas et Lellouche-Berger notamment), l'État français et l'Europe y travaillent enfin.
Le rapport Gauvain participe donc enfin à cette prise de conscience, qui devrait logiquement trouver un prolongement législatif en 2020. Avec un leitmotiv puissant, celui de laisser la naïveté des États au vestiaire face aux impératifs de souveraineté, comme le soulignait au Sénat en mai dernier Thierry Breton, alors encore PDG d'Atos et aujourd'hui commissaire européen.
Des avis juridiques trop peu protégés
Dans ce contexte, "le gouvernement et les administrations travaillent sur des textes", assure-t-on à La Tribune. Ainsi, sous l'impulsion de Matignon, un groupe interministériel (ministères de l'Économie, de la Justice et des Affaires étrangères) "a amorcé une réflexion sur la base du rapport de Raphaël Gauvain, afin d'actualiser la loi de 1968, dite de blocage", a précisé en septembre au Sénat la garde des Sceaux, Nicole Belloubet. Cette loi était censée imposer aux autorités administratives et judiciaires étrangères, souhaitant se faire remettre des informations stratégiques détenues par des entreprises situées en France, de passer par le canal de la coopération. Mais cette loi a été piétinée par les États-Unis.
La France réfléchit aussi à la création d'un statut particulier pour les avocats en entreprise afin de protéger les précieux avis juridiques. Car elle est l'une des rares grandes puissances économiques à ne pas préserver la confidentialité des avis juridiques en entreprise. Cette lacune fragilise les sociétés françaises et "contribue à faire de la France une cible de choix et un terrain de chasse privilégié pour les autorités judiciaires étrangères, notamment les autorités américaines", a fait valoir Raphaël Gauvain dans son rapport.
Face au Cloud Act, l'arme du RGPD
Pour le ministre de l'Intérieur, la reconquête de la souveraineté passe par la montée en puissance de l'euro : "La véritable solution, c'est notamment d'avoir une monnaie européenne suffisamment puissante pour que les entreprises européennes puissent travailler à travers le monde sans utiliser le dollar. Il faut raisonner de la même manière au sujet du cloud et, plus largement, pour l'ensemble de nos outils". Mais le chemin sera trop long pour imposer l'euro dans les transactions internationales.
Pour se faire respecter des États-Unis, la confrontation passe surtout par le strict respect du Règlement général sur la protection des données (RGPD) afin de contrer le Cloud Act. Car "l'Europe a réussi avec le RGPD à créer, sans le vouloir, un instrument à portée extraterritoriale qui défend nos valeurs", a souligné en juillet 2019 le président de la Fédération Syntec, Laurent Giovachini. "Le RGPD a instauré un cadre juridique ambitieux et puissant", a d'ailleurs fait observer en juillet dernier la présidente de la Cnil, Marie-Laure Denis. Le RGPD a vocation à s'appliquer à un marché économique de plus de 500 millions de personnes auquel les acteurs du numérique s'intéressent.
"Dans la perspective de tels conflits de normes, il est essentiel pour rester crédibles de pouvoir leur opposer des outils comme le RGPD ou une loi de blocage rénovée, a estimé Claire Landais. Ces textes normatifs auront, d'une part, un effet incitatif dans les négociations qui doivent s'engager entre États et, d'autre part, un effet dissuasif sur les sociétés étrangères concernées, exposées au risque d'être en infraction avec nos normes". Le RGPD interpelle déjà les entreprises américaines, comme s'en est aperçue Marie-Laure Denis : "J'ai pu constater à quel point les entreprises américaines étaient intéressées par l'affirmation européenne d'une législation extraterritoriale". Car quoi qu'il arrive, les États-Unis ne respecteront que l'épreuve de force. La France semble y être prête, mais l'Europe des 28 le veut-elle ?
Michel Cabirol
Oui... à condition de protéger certaines données personnelles, a répondu le ministère de la Culture à la question écrite du sénateur Jean-Louis Masson (NI, Moselle). Décryptage de la réponse de la Rue de Valois.
Le parlementaire de Moselle Jean-Louis Masson s’interroge sur les conséquences de cette passion française pour la généalogie, plusieurs associations de généalogistes amateurs proposant aux communes « de numériser leurs documents d’état civil afin de permettre l’accès du plus grand nombre à ces documents ». Cette numérisation est-elle conforme au droit ? Le ministère de la Culture souligne tout d’abord que les actes de naissance et de mariage sont communicables à tous au terme de 75 ans. Quant aux actes de décès, ils le sont immédiatement, sauf si l’accès est -limité par le procureur de la République. « Les documents librement communicables peuvent être consultés par les généalogistes amateurs dans les institutions qui les conservent : mairies, greffes ou services départementaux d’archives, ajoute la Rue de Valois. La communication s’opère, au choix du demandeur, par consultation gratuite sur place ou par délivrance d’une copie.
Préserver les originaux… et les données personnelles
Et rien ne s’oppose à ce que l’usager « reproduise lui-même les documents avec son propre matériel. Ces opérations de reproduction ne doivent cependant pas être autorisées si elles présentent un risque pour la conservation des registres originaux », précise le ministère, et « la reproduction doit se faire […] en prenant le plus grand soin des documents ».
La réutilisation des informations publiques obtenues est libre et gratuite. « Néanmoins, lorsque les documents reproduits comportent des données à caractère personnel, c’est-à-dire relatives à des personnes vivantes, leur traitement par les usagers et les associations généalogiques est soumis au réglement européen » de protection des données. Ainsi, « la plus grande vigilance s’impose s’agissant du traitement des actes d’état civil de personnes potentiellement vivantes, prévient le ministère. La Commission nationale de l’informatique et des libertés (Cnil) a interdit toute mise en ligne, par des opérateurs de généalogie, de fichiers-images et d’indexations nominatives d’actes de moins de 120 ans ou relatifs à des personnes nées depuis moins de 120 ans. »
Références
Réponse à Jean-Louis Masson, n° 7946, JO Sénat du 18 avril 2019
L’Association Interhop.org est une initiative de professionnels de santé spécialisés dans l’usage et la gestion des données de santé, ainsi que la recherche en machine learning dans de multiples domaines médicaux. Aujourd’hui, en leur donnant la parole sur ce blog, nous publions à la fois une alerte et une présentation de leur initiative.
En effet, promouvant un usage éthique, solidaire et intelligent des données de santé, Interhop s’interroge au sujet du récent projet Health Data Hub annoncé par le gouvernement français pour le 1er décembre prochain. Devons-nous sacrifier le bon usage des données de santé sur l’autel de la « valorisation » et sous l’œil bienveillant de Microsoft ? Tout comme dans l’Éducation Nationale des milliers d’enseignants tentent chaque jour de ne pas laisser le cerveaux de nos enfants en proie au logiciels fermés et addictifs, il nous appartient à tous de ne pas laisser nos données de santé à la merci de la recherche de la rentabilité au mépris de l’éthique et de la science.
Hold-up sur les données de santé, patients et soignants unissons-nous Par Interhop.org
La plateforme nationale des données de santé ou Health Data Hub, pour les plus américains d’entre nous, doit voir le jour d’ici la fin de l’année. Il s’agit d’un projet qui, selon le Ministère de la Santé, vise à « favoriser l’utilisation et de multiplier les possibilités d’exploitation des données de santé » en créant notamment « une plateforme technologique de mise à disposition des données de santé ».
Or, à la lecture du rapport d’étude qui en détermine les contours, le projet n’est pas sans rappeler de mauvais souvenirs. Vous rappelez-vous, par exemple, du contexte conduisant à la création de la CNIL (Commission nationale de l’informatique et des libertés) en 1978 en France ? L’affaire a éclaté en mars 1974, dans les pages du journal Le Monde. Il s’agissait de la tentative plus ou moins contrecarrée du projet SAFARI (Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus) visant à créer une banque de données de tous les citoyens français en interconnectant les bases de plusieurs institutions grâce à un numéro unique d’identification du citoyen : le numéro de Sécurité Sociale.
Ce scandale n’était pourtant pas inédit, et il ne fut pas le dernier… À travers l’histoire, toutes les tentatives montrent que la centralisation des données correspond à la fois à un besoin de gouvernement et de rentabilité tout en entamant toujours un peu plus le respect de nos vies privées et la liberté. L’histoire de la CNIL est jalonnée d’exemples. Quant aux motifs, ils relèvent toujours d’une très mauvaise habitude, celle de (faire) croire que la centralisation d’un maximum d’informations permet de les valoriser au mieux, par la « magie » de l’informatique, et donc d’être source de « progrès » grâce aux « entreprises innovantes ».
Concernant le « Health Data Hub », il s’agit d’un point d’accès unique à l’ensemble du Système National des Données de Santé (SNDS) issu de la solidarité nationale (cabinets de médecins généralistes, pharmacies, hôpitaux, Dossier Médical Partagé, registres divers et variés…). L’évènement semble si important qu’il a même été annoncé par le Président Macron en mars 2018. Par ailleurs, il est important de pointer que le SNDS avait été épinglé pour l´obsolescence de son système de chiffrement en 2017 par la CNIL.
De plus, l’infrastructure technique du Health Data Hub est dépendante de Microsoft Azure. Et ce point à lui seul soulève de grandes problématiques d’ordre éthique et réglementaire.
Alors que le Règlement Général sur la Protection des Données (RGPD) protège les citoyens européens d’un envoi de leurs données en dehors du territoire européen, la loi Américaine (Cloud Act) permet de contraindre tout fournisseur de service américain à transférer aux autorités les données qu’il héberge, que celles-ci soient stockées aux États-Unis ou à l’étranger.
Entre les deux textes, lequel aura le dernier mot ?
Les citoyens et patients français sont donc soumis à un risque fort de rupture du secret professionnel. La symbolique est vertigineuse puisque l’on parle d’un reniement du millénaire serment d’Hippocrate.
Le risque sanitaire d’une telle démarche est énorme. Les patients acceptent de se faire soigner dans les hôpitaux français et ils ont confiance dans ce système. La perte de confiance est difficilement réparable et risque d’être désastreuse en terme de santé publique.
C’est sous couvert de l’expertise et du « progrès » que le pouvoir choisit le Health Data Hub, solution centralisatrice, alors même que des solutions fédérées peuvent d’ores et déjà mutualiser les données de santé des citoyens Français et permettre des recherches de pointe. Bien que les hôpitaux français et leurs chercheurs œuvrent dans les règles de l’art depuis des années, il apparaît subitement que les données de santé ne sauraient être mieux valorisées que sous l’égide d’un système central, rassemblant un maximum de données, surveillant les flux et dont la gestion ne saurait être mieux maîtrisée qu’avec l’aide d’un géant de l’informatique : Microsoft.
Il est à noter que d’une part, il n’a jamais été démontré que le développement d’un bon algorithme (méthode générale pour résoudre un type de problèmes) nécessite une grande quantité de données, et que d’autre part, on attend toujours les essais cliniques qui démontreraient les bénéfices d’une application sur la santé des patients.
Pour aller plus loin, le réseau d’éducation populaire Framasoft, créé en 2001 et consacré principalement au développement de logiciels libres, veut montrer qu’il est possible d’impacter le monde en faisant et en décentralisant. C’est cette voie qu’il faut suivre.
La loi pour une République numérique fournit un cadre légal parfait pour initier des collaborations et du partage. La diffusion libre du savoir s’inscrit totalement dans la mission de service publique des hôpitaux telle qu’imaginée il y a des décennies par le Conseil National de la Résistance, puis par Ambroise Croizat lors de la création de la Sécurité Sociale.
On ne s’étonne pas que le site Médiapart ait alerté le 22 novembre dernier sur les conditions de l’exploitation des données de santé. Il est rappelé à juste titre que si la CNIL s’inquiète ouvertement à ce sujet, c’est surtout quant à la finalité de l’exploitation des données. Or, la récente Loi Santé a fait disparaître le motif d’intérêt scientifique pour ne garder que celui de l’intérêt général…
Quant à la confidentialité des données, confier cette responsabilité à une entreprise américaine semble être une grande erreur tant la ré-identification d’une personne sur la base du recoupement de données médicales anonymisées est en réalité plutôt simple, comme le montre un article récent dans Nature.
Ainsi, aujourd’hui en France se développe toute une stratégie visant à valoriser les données publiques de santé, en permettant à des entreprises (non seulement des start-up du secteur médical, mais aussi des assureurs, par exemple) d’y avoir accès, dans la droite ligne d’une idéologie de la privatisation des communs. En plus, dans le cas de Microsoft, il s’agit de les héberger, et de conditionner les technologies employées. Quant aux promesses scientifiques, elles disparaissent derrière des boîtes noires d’algorithmes plus ou moins fiables ou, disons plutôt, derrière les discours qui sous le « noble » prétexte de guérir le cancer, cherchent en fait à lever des fonds.
Quelles sont les alternatives ?
Le monde médical et hospitalier est loin de plier entièrement sous le poids des injonctions.
Depuis plusieurs années, les hôpitaux s’organisent avec la création d’Entrepôts de Données de Santé (EDS). Ceux-ci visent à collecter l’ensemble des données des dossiers des patients pour promouvoir une recherche éthique en santé. Par exemple, le projet eHop a réussi à fédérer plusieurs hôpitaux de la Région Grand Ouest (Angers, Brest, Nantes, Poitiers, Rennes, Tours). Le partage en réseau au sein des hôpitaux est au cœur de ce projet.
Par aller plus loin dans le partage, les professionnels dans les hôpitaux français reprennent l’initiative de Framasoft et l’appliquent au domaine de la santé. Ils ont donc créé Interhop.org, association loi 1901 pour promouvoir l’interopérabilité et « le libre » en santé.
Pourquoi interopérer ?
L’interopérabilité des systèmes informatisés est le moteur du partage des connaissances et des compétences ainsi que le moyen de lutter contre l’emprisonnement technologique. En santé, l’interopérabilité est gage de la reproductibilité de la recherche, du partage et de la comparaison des pratiques pour une recherche performante et transparente.
L’interopérabilité est effective grâce aux standards ouverts d’échange définis pour la santé (OMOP et FHIR)
Pourquoi décentraliser ?
Comme dans le cas des logiciels libres, la décentralisation est non seulement une alternative mais aussi un gage d’efficacité dans le machine learning (ou « apprentissage automatique »), l’objectif visé étant de rendre la machine ou l’ordinateur capable d’apporter des solutions à des problèmes compliqués, par le traitement d’une quantité astronomique d’informations.
La décentralisation associée à l’apprentissage fédéré permet de promouvoir la recherche en santé en préservant, d’une part la confidentialité des données, d’autre part la sécurité de leur stockage. Cette technique permet de faire voyager les algorithmes dans chaque centre partenaire sans mobiliser les données. La décentralisation maintient localement les compétences (ingénieurs, soignants) nécessaires à la qualification des données de santé.
Pourquoi partager ?
La solidarité, le partage et l’entraide entre les différents acteurs d’Interhop.org sont les valeurs centrales de l’association. Au même titre qu’Internet est un bien commun, le savoir en informatique médical doit être disponible et accessible à tous. Interhop.org veut promouvoir la dimension éthique particulière que reflète l’ouverture de l’innovation dans le domaine médical et veut prendre des mesures actives pour empêcher la privatisation de la médecine.
Les membres d’Interhop.org s’engagent à partager librement plateforme technique d’analyse big data, algorithmes et logiciels produits par les membres. Les standards ouverts d’échange sont les moyens exclusifs par lesquels ils travaillent et exposent leurs travaux dans le milieu de la santé. Les centres hospitaliers au sein d’Interhop.org décident de se coordonner pour faciliter et agir en synergie.
Pourquoi soigner librement ?
L’interconnexion entre le soin et la recherche est de plus en plus forte. Les technologies développées au sein des hôpitaux sont facilement disponibles pour le patient.
L’Association Interhop.org veut prévenir les risques de vassalisation aux géants du numériques en facilitant la recherche pour une santé toujours améliorée. L’expertise des centres hospitaliers sur leurs données, dans la compréhension des modèles et de l’utilisation des nouvelles technologies au chevet des patients, est très importante. Le tissu d’enseignants-chercheurs est majeur. Ainsi en promouvant le Libre, les membres d’Interhop.org s’engagent pour une santé innovante, locale, à faible coût et protectrice de l’intérêt général.
Les données de santé sont tout à la fois le bien accessible et propre à chaque patient et le patrimoine inaliénable et transparent de la collectivité. Il est important de garder la main sur les technologies employées. Cela passe par des solutions qui privilégient l’interopérabilité et le logiciel libre mais aussi le contrôle des contenus par les patients.
La nouvelle application d’identité numérique lancée par le gouvernement
On assiste en France à de plus en plus d’expérimentations sur la reconnaissance faciale, les portiques biométriques dans les lycées, au carnaval de Nice, ou encore dans les aéroports… Le Ministère de l’Intérieur et l’Agence Nationale des Titres Sécurisés lance une nouvelle application sur Android : Alicem. Elle propose aux citoyens de se créer une identité numérique pour tout ce qui est procédure administrative en ligne et ce, à partir de la reconnaissance faciale. Selon les révélations de Bloomberg hier, elle sera lancée dès novembre.
La France sera donc le premier pays de l’Union Européenne à utiliser la reconnaissance faciale pour donner aux citoyens une identité numérique. Mais cela pose de nombreuses questions, notamment sur la protection des données personnelles. Nous avons tenté de joindre le Ministère de l’intérieur qui n’a pas pu répondre à nos questions. Interview avec Martin Drago, juriste à la Quadrature du net, l’association de défense des droits et libertés des citoyens sur Internet. Il engage une action en justice contre l’État
Écouter sur le site l'interview de Martin Drago.