Les news qui ont fait l’actu
Dans le cadre du partenariat entre l’IDFRights et SKEMA Business School, voici un aperçu de notre actualité vue par des étudiants du Master de management & droit des affaires de Skema.
Semaine du 21 au 27 mars 2021
Par les étudiants de M2 de droit des affaires SKEMA/ULCO et les étudiants de Licence 3 Economie/Gestion du groupe Consilience de SKEMA Business School Sarah Ben Bouazza, Solal Boullanger, Arthur Clavier, Lucas Cosset, Loris Couvreur, Arthur Derderian, Cassandre Hodeau, Camille Kurth, Soez Jarrousse, Léonard Marx, Taous Rabahi, Mathilde Sauret, encadrés par les professeurs Isabelle Bufflier et Frédéric Munier :
Sarah Ben Bouazza
Solal Boullanger
Arthur Clavier
Lucas Cosset
Loris Couvreur
Arthur Derderian
Cassandre Hodeau
Soez Jarrousse
Camille Kurth
Léonard Marx
Mathilde Sauret
Taous Rabahi
Des applications suspectées d’espionner leurs utilisateurs pour le compte des États-Unis supprimées de Google Play Store
Début avril 2022, le Wall Street Journal alertait ses lecteurs d’un potentiel système d’espionnage massif de la population mis en place par le renseignement américain. Google a ainsi supprimé de son magasin Android une quinzaine d’applications suspectées de collecter des données personnelles de leurs utilisateurs pour le compte d’un sous-traitant des services de renseignement américains.
Pourquoi cette actu :
Une société panaméenne, Measurement Systems S. de R.L., se disant spécialisée dans la collecte de statistiques pour les créateurs d’applications, auraient démarché certains d’entre eux, et en particulier pour des applis de prières très populaires au Moyen-Orient, disponibles sur Google Play Store et utilisées par plus de 10 millions de personnes. Cette société était en réalité une filiale de Vostrom, un sous-traitant de plusieurs services de sécurité américains travaillant pour la CIA et la NSA. Par le biais d’un logiciel espion inséré dans les applis, cette société a, semble-t-il, pu récolter de grandes quantités de données personnelles, comme la localisation ou le numéro de téléphone des utilisateurs de ces applications, voire, dans certains cas, une partie du contenu de certaines messageries.
En février dernier, deux sénateurs américains avaient déjà tiré la sonnette d’alarme sur les pratiques contestables des services de renseignement. Ils en auraient notamment eu connaissance à l’occasion de la consultation d’un rapport de la CIA intitulé « Deep drive II » publié en avril 2021 et demandaient la déclassification de ces informations sensibles. Il est vrai que depuis un décret signé par Ronald Reagan en 1981, la CIA a mis en place un vaste programme de collecte des données personnelles permettant d’avoir accès aussi aux informations privées de citoyens américains. La question du « siphonnage » de telles données par les services secrets américains, déjà dénoncée par Edward Snowden, pose à cet égard un double problème.
D’une part la question de la légalité du système mis en place : en effet, si le Foreign Intelligence Surveillance Act (FISA) adopté en 1978, protège en principe les données personnelles des citoyens américains, l’USA Patriot Act adopté en 2001, à la suite des attentats terroristes du 9 septembre 2001, a changé la donne. Si ce texte avait été initialement envisagé pour fournir aux agences gouvernementales les instruments appropriés pour déceler et contrer le terrorisme, dans les faits, le Patriot Act leur a permis de drainer des données détenues par les particuliers, sans autorisation préalable et sans informer les principaux concernés. Les défenseurs des libertés fondamentales ont pu alors dénoncé une atteinte inadmissible à celles-ci.
D’autre part, ce qui est dérangeant, est qu’il ne semble pas exister de contre-pouvoir spécifique pour contrer ce type de pratiques, à part la mobilisation des sénateurs, des journalistes et des lanceurs d’alerte. La semaine dernière, ce fut le cas du Wall Street Journal qui a révélé l’affaire. En 2013, ce sont les journalistes Glenn Greenwald et Laura Poitras qui révélaient l’affaire Snowden, dénonçant l’existence d’un système de surveillance de la population par la NSA, grâce aux métadonnées et aux écoutes téléphoniques.
Les services de renseignements semblent ainsi bâtir sans réelle limite un empire de surveillance, dans lequel « Big Brother is always watching you ». Il arrive cependant que le pouvoir judiciaire réagisse et vienne limiter ce pouvoir. Ainsi les Sneak and peek warrants mis en place par le Patriot Act, mandats de perquisitions quelle que soit l’infraction, en l’absence des intéressés, ont été finalement déclarés contraire au 4ème amendement de la Constitution à la suite l’affaire Brandon Mayfield.
Cette actualité s’inscrit ainsi dans une longue série d’accusations de surveillance de masse par le gouvernement américain. La présence d’un code espion au sein d’applications du Google Play Store sur demande du gouvernement américain révèle que les différentes révélations depuis l’affaire Snowden n’ont pas dissuadé les forces gouvernementales de faire appel à des méthodes sans doute illégales afin de recueillir des informations sensibles. En outre, cette dernière révélation interroge aussi sur les liens de complaisance existant entre le gouvernement américain et les GAFAM. En effet, si Google était prévenu depuis octobre 2021 de l’existence de ce spyware, le géant du numérique n’a réagi que cinq mois plus tard. Cela peut apparaître contradictoire quand l’on pense au durcissement des mesures gouvernementales américaines à l’égard des GAFAM, mais en réalité, depuis plusieurs mois déjà, une collaboration entre le secteur public et le secteur privé en matière de cybersécurité s’est engagée aux États-Unis, sous l’impulsion du président Joe Biden, qui fait de la cybersécurité un des points saillants de son mandat. Ainsi depuis août 2021 – au moins – , des compagnies privées comme Google Cloud, Amazon, Microsoft, Lumen, Verizon… offrent leur expertise et leur aide au comité fédéral sur les questions de cybersécurité. Le manque de réactivité de Google pour supprimer les applications infectées par le code espion ne peut dès lors qu’interroger.
Si l’on rapproche cette actualité de celle de la remise en cause du transfert des données personnelles des européens aux Etats-Unis par les géants du numérique, déclarés à plusieurs reprises contraires au RGPD en raison justement de la difficile compatibilité de ce dernier avec les Cloud et Patriot Act, tout d’abord par la CJUE à la suite des arrêts Schrems I et II puis par CNIL récemment à propos du logiciel Google Analytics , il apparaît clairement que deux conceptions s’affrontent : celle américaine du capitalisme de surveillance et celle européenne du respect des valeurs démocratiques et de libertés fondamentales.
Démantèlement d'Hydra Market, la plus grande marketplace illégale du darknet
L’office fédéral de la police criminelle allemande vient d’annoncer le démantèlement de Hydra Market, une marketplace de langue russe, une plateforme “qui enregistrait le chiffre d’affaires le plus élevé” sur le darknet avec 19 000 vendeurs, 17 millions de clients et en 2020, près de 1,23 milliards d’euros de ventes enregistrées. Les enquêteurs ont saisi les serveurs de l’entreprise, soupçonnée d’activités criminelles comme le blanchiment d’argent ou de transactions illégales, mais aussi 543 bitcoins pour un équivalent de 23 millions d’euros.
Pourquoi cette actu :
La cybercriminalité est aujourd’hui une des menaces les plus sérieuses qui pèsent à la fois sur les Etats, les entreprises et les particuliers. HydraMarket était principalement utilisé pour le commerce de drogue, de données volées et de faux documents et permettait de mettre en relations des criminels en réseau de manière quasi-indétectable. Les données personnelles hackées sont le plus souvent mises à disposition par les cybercriminels sur le Darkweb d’où l’intérêt d’aller les y chercher.
HydraMarket était ainsi l’emblème d’une violation appuyée et récurrente des droits fondamentaux dans le monde numérique. Ce type de plateforme est souvent indétectable et les réseaux criminels qui les utilisent également. D’ailleurs, la police allemande a précisé qu’elle n’avait pas encore réussi à identifier les opérateurs et des administrateurs de Hydramarket. En effet, non seulement le DarkWeb rend les utilisateurs quasiment intraçables, mais même pour ceux qui participent activement aux échanges, l’utilisation de cryptomonnaies leur garantit un anonymat total, échappant ainsi à la surveillance des Etats. Néanmoins, la police allemande avait déjà réussi, grâce également à une collaboration avec Europol, à démanteler une autre plateforme criminelle, Darkmarket et a pu également identifié l’un des opérateurs du groupe criminel REvil, un cybercriminel qui a attaqué récemment des hôpitaux et des entreprises. Ce dernier a finalement été retrouvé et arrêté grâce à des flux de bitcoins transitant vers un portefeuille numérique.
Cette actualité pose également la question de l’encadrement légal des cryptomonnaies : comment les Etats peuvent-ils éviter les dérives malveillantes de leur utilisation ? Il s’agit bien d’une question cruciale, puisque la cryptomonnaie est ce qui rend les échanges matériels possibles. C’est aussi le seul mouvement qui pourrait éventuellement être traçable, donc être la clé pour mettre un terme aux trafics illégaux, et sans doute plus rapide que l’infiltration policière. La proposition de règlement communautaire MiCA (Markets in Crypto-Assets) pourrait être l’occasion d’en discuter plus amplement.
Éric Zemmour au second tour des présidentielles 2022 : quel crédit accorder à l’IA de Qotmii ?
Quel crédit accordé à l’IA de l’application québécoise Qotmii quant aux prédictions électorales d’un duel Emmanuel Macron – Éric Zemmour au premier tour de la prochaine élection présidentielle ? Cette élection présidentielle de 2022 interroge indirectement sur la performance de l’IA par rapport aux sondages classiques.
Pourquoi cette actu :
En ce début du mois d’avril, l’entreprise québécoise Qotmii annonçait un score détonnant concernant le candidat Reconquête ! Alors que les sondages classiques affichaient un score de 10 % pour Eric Zemmour, doit-on se fier à l’IA de Qotmii ? L’application créée en 2019 annonçait 21,5 % pour E. Zemmour, juste derrière Emmanuel Macron qui comptabilise 24,8 % des suffrages. Puis Marine Le Pen se serait placer à 15 %, et Jean-Luc Mélenchon en quatrième position avec environ 13 %. Qotmii se présente comme un « simplificateur de tendances à la frontière des neurosciences », récupérant tous types de données (région, forums, blogs, etc.), ce qui représente près de 150 millions de calculs chaque jour. L’objectif selon son créateur est de « capter et analyser en temps réel les sensibilités, les perceptions ». Cet « outil de diagnostic d’influence » affirme que la presse et les médias sociaux sont « à la fois miroirs et guides des opinions publiques ». La tâche de Qotmii est d’exprimer le poids des candidats au sein de l’espace numérique et l’omniprésence de Eric Zemmour dans l’espace médiatique pourrait ainsi expliquer ces prédictions électorales à contre-courant. Afin d’obtenir de telles analyses, l’entreprise québécoise s’appuie sur les « critères du désirable et du haïssable » du public, en se mobilisant sur l’émotionnel et le sensible chez les citoyens ; leur attention est captée, favorisant alors une analyse plus profonde de l’opinion.
Les différences qui apparaissent entre l’IA de Qotmii et les sondages classiques sont alors évocateurs. En effet, le processus de collecte de Qotmii échappe à la tâche fastidieuse que sont les questions/réponses auprès d’un large spectre de personnes. L’objectif est de remédier à la problématique des « non-répondants », qui va dans le sens du « vote caché » dont est persuadé Eric Zemmour. La collecte de Qotmii est continue, ce qui donne un avantage considérable sur les sondages classiques qui correspondent à un moment précis. Dans une semaine électorale comme celle-ci, un mot peut bouleverser l’opinion de centaines, voire de milliers de personnes. L’IA en question semble donc remédier à la variabilité de l’opinion. D’autant que l’application — alors dénommée Filteris — a déjà fait ses preuves en 2017 lors des précédentes élections. Une de ses prédictions concernant la qualification de François Fillon au second tour, s’était rapproché du résultat final, quoi que celui-ci n’arriva qu’en troisième position. De la même façon, l’application avait prédit un score de 20 % pour le président Macron, qui a finalement obtenu 23,9 %. Depuis 2017, les algorithmes ont été perfectionnés, ce qui laisse planer le doute sur le caractère réaliste de ces prédictions. Enfin, et cela va dans le sens de sa campagne, Eric Zemmour lui-même affirme la supériorité de l’IA sur les sondages classiques, en prenant comme référence les prédictions sur la victoire de Donald Trump aux États-Unis.
Toutefois, une dernière estimation effectuée récemment par Qotmii évoquait une chute considérable du candidat Reconquête !, qui se retrouvait finalement à la quatrième place avec 12,8 % seulement. Une des explications serait la récente montée en puissance de Marine Le Pen et Jean-Luc Mélenchon qui se sont particulièrement imposés dans l’espace public, à l’image du meeting holographique de Monsieur Mélenchon. Qotmii s’est alors exprimé sur ce changement significatif en évoquant un piratage de l’application. Selon eux, cette baisse est trop importante pour être naturelle. Des internautes ont confirmé ce « bug » en constatant une inaccessibilité temporaire à l’application le 8 avril au matin. Enfin, ce piratage est d’autant plus inquiétant que Qotmii est doté une sécurité des plus performantes contre les cyberattaques. Tout cela laisse à penser que Qotmii, comme les sondages classiques, n’est pas plus fiable cette année pour prédire le résultat de cette élection totalement atypique cette année.
TikTok va héberger les données personnelles des utilisateurs européens en Irlande
Le 8 avril 2022, le réseau social TikTok a annoncé qu’il déplacera en 2023 les données de ses utilisateurs européens dans un data center irlandais. Cette opération serait un moyen pour ByteDance, maison-mère de TikTok, de donner confiance à ses utilisateurs.
Pourquoi cette actu :
Au premier trimestre 2022, l’application chinoise Tiktok était la plus téléchargée au monde devant les trois plateformes du groupe Meta : Instagram, Facebook et WhatsApp.
Ayant pris une place considérable dans le secteur numérique cette dernière année, le réseau social TikTok surveille ses arrières et anticipe les futures contraintes réglementaires du Digital Markets Act (DMA). Proposé dès 2018, le DMA lutte pour le maintien de la concurrence en dépit de la place prise par les grandes plateformes ou gatekeepers telles que TikTok. Déplacer les données de ses utilisateurs européens dans le data center irlandais représente aussi un gage de confiance, car cette action démontre la volonté de sauvegarder et de protéger les données en les déplaçant dans un centre plus sécurisé et à la « pointe du progrès », qui plus est un centre européen, tout en cherchant à respecter le RGPD. Toutefois, la démarche de TikTok interroge quant aux choix de l’Irlande, qui ne relève pas sans doute pas du hasard. En effet, l’Irlande et précisément Dublin a certainement été choisi pour bénéficier du régime fiscal le plus souple des pays européens. De plus, la CNIL irlandaise n’est pas réputée pour être la plus efficace en matière de protection de données personnelles et de condamnation des Big tech. À travers cette opération, présentée comme sécurisante pour ses 3 milliards d’utilisateurs quotidiens, TikTok renforcerait en réalité son pouvoir d’influence et sa position dominante sur son marché. Puisqu’il est important de relever que derrière cette action réside aussi une logique financière. En effet, s’implanter en Irlande représente aussi des opportunités de développement du réseau social sur de nouveaux marchés.
Finalement, il est certain que si cette migration des données vers un centre européen paraît avoir comme vertu première de rassurer les utilisateurs, elle n’en présente pas moins un avantage certain pour ByteDance, maison-mère de Tiktok qui se protège ainsi de potentielles mesures contraignantes du DMA, dans un pays peu propice à condamner les Big tech.
La condamnation de Google à 150 millions par l’ADLC pour abus de position dominante confirmée en appel
Pourquoi cette actu :
Le régulateur avait estimé à l’époque que la firme américaine, et notamment son service Google Ads, adoptait des règles « opaques et difficilement compréhensibles » et les appliquait « de manière inéquitable et aléatoire ». Au regard de la position dominante de Google sur le marché publicitaire, l’autorité a jugé que ces pratiques constituaient un abus de position dominante. Les condamnations contre les Big tech deviennent, depuis quelques mois, récurrentes, soit sur le fondement de la protection des données personnelles soit également sur celui du droit de la concurrence. A cet égard, le Digital Market Act (DMA) européen, bientôt adopté, aura comme tâche d’encadrer plus strictement les géants du numérique, qualifiés de gatekeepers, de les assujettir à différentes obligations, afin de permettre notamment aux autres entreprises plus petites de pouvoir accéder au marché et d’assurer une concurrence saine et loyale.
Focus de la semaine
L’affaire EncroChat devant le Conseil constitutionnel
Le 8 avril 2022, le Conseil constitutionnel a eu à connaître d’une question prioritaire de constitutionnalité (QPC) portant sur les circonstances dans lesquelles la messagerie chiffrée Encrochat, utilisée à des fins malveillantes, a pu être compromise et piratée par la gendarmerie, dans le cadre d’une vaste enquête.
Pourquoi ce focus :
Encrochat est le surnom donné à une opération qui a émergé dans les médias en 2020. La gendarmerie nationale avait conçu un logiciel offensif pour capter les conversations passant par la messagerie chiffrée néerlandaise Encrochat, particulièrement appréciée des criminels pour ne pas être identifiés.
À la suite de cela, et par le biais d’une opération alliant plusieurs entités européennes coordonnées par Eurojust et Europol, ont pu être réalisés le démantèlement de plusieurs réseaux, des saisies de drogue et d’armes, et des arrestations. D’importantes sommes d’argent ont aussi été récupérées, de même que les données Encrochat obtenues par les autorités : 120 millions de messages. Les autorités françaises avaient ainsi pu pirater Encrochat en s’appuyant sur des outils de surveillance numérique protégés par le secret défense et notamment sur l’article 706-102-1 du Code de procédure pénale, permettant au procureur de la République ou au juge d’instruction d’avoir recours aux moyens de l’État « soumis au secret de la défense nationale ». Les avocats des criminels identifiés et poursuivis reprochaient , au travers de la question prioritaire de constitutionnalité (QPC) posée, que les droits fondamentaux des personnes poursuivies n’avaient pas été garantis, notamment les droits de la défense, le principe de l’égalité des armes et du contradictoire, le droit à un recours juridictionnel effectif, le droit au respect de la vie privée, le droit à la protection des données personnelles, au secret des correspondances et enfin à la liberté d’expression.
Le Conseil constitutionnel a écarté ces arguments et a préféré opter pour le fait que le législateur se devait d’assurer la conciliation entre les différents droits invoqués et « l’objectif de valeur constitutionnelle de recherche des auteurs d’infractions et les exigences constitutionnelles inhérentes à la sauvegarde des intérêts fondamentaux de la Nation, dont participe le secret de la défense nationale ». Le Conseil a souligné que l’utilisation des outils de surveillance étaient soumis à de nombreux contrôles à différents niveaux, que le dossier de procédure était précis et détaillé sur toutes les opérations effectuées et qu’il était possible au juge de demander la déclassification et la communication des informations soumises au secret de la défense nationale. Tout ceci assure « une conciliation équilibrée entre les exigences constitutionnelles », sans que l’on puisse considérer une atteinte disproportionnée au droit à un recours juridictionnel effectif, au droit au respect de la vie privée, à la liberté d’expression, « ni aucun autre droit ou liberté que la Constitution garantit ».
Il est intéressant de mettre en parallèle cette affaire avec celle relative à l’espionnage des citoyens américains récemment effectué par les agences gouvernementales américaines au nom de la sécurité nationale et de la lutte contre le terrorisme au travers de certaines applications, finalement supprimées du Google Play Store.
La différence est néanmoins de taille puisque si dans l’affaire Encrochat il s’agit de cibler des cybercriminels, les agences gouvernementales américaines espionnent, elles, les citoyens américains, voire européens en cas de transfert des données aux Etats-Unis, sans que ces citoyens en aient nécessairement consciences, comme le soulignait Edward Snowden. Même si les droits fondamentaux des citoyens américains comme des cybercriminels se doivent d’être garantis dans toute société démocratique, la proportionnalité des mesures adoptées se devrait d’être adaptée aux personnes concernées.
Le point de vue enseignant
Le Data Governance Act en passe d’être définitivement adopté
Par Isabelle Bufflier, professeure éthique et droit des affaires SKEMA BS avec la participation de Frédéric Munier, professeur de géopolitique SKEMA BS
L’Union européenne continue sa progression dans l’adoption d’un train de dispositions en matière numérique, autour d’une véritable stratégie de la donnée. Plus particulièrement, la Commission européenne estimait que la quantité de données générées par les organismes publics, les entreprises et les citoyens serait multipliée par cinq entre 2018 et 2025. Le Data Governance Act, proposé par la Commission européenne dès février 2020, négocié avec le Conseil en novembre 2021, vient de franchir une nouvelle étape avec son adoption le 6 avril 2022 par le Parlement européen. L’objectif : accroître la confiance dans le partage des données, créer de nouvelles règles européennes sur la neutralité des marchés de données et faciliter la réutilisation de certaines données détenues par le secteur public.
Thierry Breton, commissaire européen au marché intérieur, annonçait qu’il s’agissait de “libérer l’énorme potentiel de l’innovation fondée sur les données” sans toutefois adopter les pratiques contestables des Big tech américaines. “Les entreprises, les administrations publiques et les particuliers en Europe auront le contrôle des données qu’ils génèrent”, a assuré la Commission. Cette condition est essentielle, car nous avons vu quels étaient les risques encourus avec le transfert des données personnelles européennes aux Etats-unis par les Big tech et la mainmise sur celles-ci de leurs services de renseignements. La confiance est la clé incontournable de ce système de partage. La rapporteure du projet Angelika Niebler (PPE, DE) a ainsi déclaré “Notre objectif avec la DGA est de jeter les bases d’une économie des données dans laquelle les personnes et les entreprises peuvent avoir confiance. Le partage des données ne peut s’épanouir que si la confiance et l’équité sont garanties, stimulant ainsi de nouveaux modèles économiques et l’innovation sociale. L’expérience a montré que la confiance – qu’il s’agisse de la confiance dans le respect de la vie privée ou dans la confidentialité de données commerciales précieuses – est une question primordiale. Le Parlement a insisté sur un champ d’application clair, en veillant à ce que le credo de la confiance soit inscrit dans l’avenir de l’économie des données en Europe”.
Le texte a pour objectif de mettre en place des espaces de données européens communs dans des domaines stratégiques tels que la santé, l’environnement, l’énergie, l’agriculture, la mobilité, la finance, l’industrie manufacturière, l’administration publique et les compétences.
Lors des négociations avec les ministres de l’UE, les députés ont veillé à ce qu’il n’y ait pas de failles qui permettraient aux opérateurs de pays tiers d’abuser du système. Ils ont renforcé les dispositions relatives à la confiance et à l’accès équitable. Le Parlement a également obtenu des exigences précises sur les services qui relèveront du nouveau DGA.
Vu l’intensité des cyberattaques ces derniers mois, notamment vis-à-vis des acteurs publics, le système mis en place a intérêt à y être résistant car les espaces communs risquent d’être extrêmement convoités par les cyberhackeurs.
L’idée défendue par les députés a été de tirer le meilleur parti des données mises à disposition volontairement pour des objectifs d’intérêt général, tels que la recherche scientifique, les soins de santé, la lutte contre le changement climatique ou l’amélioration de la mobilité. Les services de partage de données de confiance seront plus visibles et utiliseront un logo européen commun certifiant leur conformité avec le DGA.
Les organismes du secteur public devront cependant éviter de créer des droits exclusifs pour la réutilisation de certaines données, et les accords exclusifs devraient être limités à une période de 12 mois pour les nouveaux contrats, et de deux ans et demi pour les contrats existants, afin de mettre davantage de données à la disposition des PME et des jeunes entreprises. Autre disposition intéressante : le texte prévoit de créer des “intermédiaires de données” entre les producteurs et les réutilisateurs des données. Véritables acteurs de confiance compilant les données de sources privées comme publiques, ils devront garantir leur fiabilité, le respect des règles européennes sur la protection des données et l’égalité d’accès des acteurs européens. Pas de précision dans le DGA sur l’organisme qui pourrait jouer ce rôle, même si certains envisagent que les collectivités territoriales puissent s’y coller.
Le DGA doit à présent être formellement adopté par le Conseil, avant d’être publié au Journal officiel et d’entrer en vigueur.
