Les news qui ont fait l’actu
Dans le cadre du partenariat entre l’IDFRights et SKEMA Business School, voici un aperçu de notre actualité vue par des étudiants du Master de management & droit des affaires de Skema.
Semaine du 07 au 13 mars 2022
Par les étudiants de M2 de droit des affaires SKEMA/ULCO et les étudiants de Licence 3 Economie/Gestion du groupe Consilience de SKEMA Business School Sarah Ben Bouazza, Solal Boulanger, Arthur Clavier, Lucas Cosset, Loris Couvreur, Arthur Derderian, Cassandre Hodeau, Camille Kurth, Soez Jarrousse Léonard Marx, Taous Rabahi, Mathilde Sauret, encadrés par les professeurs Isabelle Bufflier et Frédéric Munier :
Sarah Ben Bouazza
Solal Boullanger
Arthur Clavier
Lucas Cosset
Loris Couvreur
Arthur Derderian
Cassandre Hodeau
Soez Jarrousse
Camille Kurth
Léonard Marx
Mathilde Sauret
Taous Rabahi
Bruxelles soupçonne Google d’avoir faussé la concurrence
Le 11 mars 2022, la Commission européenne a ouvert une enquête sur un accord passé en matière publicitaire entre les deux Big tech Google et Meta. Cet accord nommé « Jedi Blue » aurait faussé la concurrence sur le marché de la publicité en ligne, au détriment d’autres technologies concurrentes de diffusion publicitaire en n’affichant pas les prix en temps réel. D’autres investigations ont été ouvertes par les autorités de la concurrence au Royaume-Uni et aux États-Unis concernant ces pratiques.
Pourquoi cette actu :
L’accord nommé « Jedi Blue » associant Google à Meta ne constitue pas seulement un abus de position dominante sur le marché de la publicité digitale mais pose inévitablement la question des données personnelles. En effet, Google et Facebook détenant à eux deux plus de la moitié du marché publicitaire numérique mondial en 2021, cet accord vient renforcer un monopole déjà existant. L’enjeu de la publicité numérique est aujourd’hui central puisque celle-ci permet une certaine flexibilité à l’annonceur qui effectue des publicités ciblées pour atteindre davantage d’internautes. C’est ce que Fabebook et Google font grâce à leurs algorithmes de traitement des données et via l’utilisation de cookies. Le ciblage des citoyens peut dès lors prendre différentes formes : géographique, démographique, comportemental, contextuel ou encore temporel. Depuis plusieurs années et en particulier depuis l’affaire Cambridge Analytica en 2018, les géants du numérique sont surveillés afin de limiter tout abus de leur part de captation des données personnelles des citoyens européens non conforme au RGPD . Ce n’est donc pas surprenant si la Commission européenne, très vigilante désormais, a ouvert une enquête à la suite de la découverte de cet accord, sous l’angle cette fois du droit de la concurrence.
Meta aurait-il sous-évalué l'impact de la nouvelle politique publicitaire d'Apple sur ses revenus ?
Un fonds d’investissement américain actionnaire de Meta reproche à l’entreprise d’avoir sciemment minimisé les conséquences sur ses revenus de la nouvelle politique d’Apple en matière de cookies. En effet, depuis le 26 avril 2021, Apple a mis en place l’App Tracking Transparency (ATT) qui permet aux utilisateurs d’appareils Apple de refuser les publicités ciblées. Le fonds d’investissement a donc lancé une action de groupe contre Meta devant la cour fédérale de San Francisco.
Pourquoi cette actu :
Cette actualité met en lumière une confrontation directe entre deux business models de l’univers de la Tech, autour du sujet central des données personnelles, l’or noir du XXI ème siècle. Nous avons d’un côté Apple, numéro un sur le marché de la téléphonie mobile, qui a comme volonté forte de protéger les données de ses clients et réduire leur exploitation par ses concurrents. Et d’un autre côté, nous avons les applications et sites gratuits, à l’instar des réseaux sociaux, qui se rémunèrent en commercialisant les données personnelles recueillies sur leurs clients et notamment afin de mieux cibler les publicités qui leur sont destinées Apple puis récemment Google ont mis en place un filtrage volontaire des données de leurs utilisateurs et remettent ainsi en cause la captation massive des données personnelles par le biais des fameux cookies. Cette actualité nous invite donc à nous questionner sur l’avenir des business models des géants de la Tech, sous la surveillance désormais permanente des autorités de contrôle des données personnelles nationales et européenne mais aussi de leurs concurrents, susceptibles d’innover avec des dispositifs disruptifs et exclusifs d’exploitation des données personnelles de leurs clients. La CNIL a déjà prévenu qu’elle serait très vigilante sur les alternatives aux cookies tiers qui sont en train d’être développées.
L’Ukraine va transférer ses données sensibles vers un autre pays en urgence
Le 9 mars 2022, un responsable de la cybersécurité ukrainienne confiait à l’Agence Reuters que le pays se préparait à transférer ses données sensibles et ses serveurs à l’étranger pour garder un certain contrôle sur ces derniers. L’objectif de cette opération est de dissimuler certaines données afin de tromper la Russie dans sa quête de contrôle de l’Ukraine. Si les documents confidentiels tombent dans les mains de la puissance russe, la résistance ukrainienne se fragilisera.
Pourquoi cette actu :
En cas de guerre, les données de l’adversaire sont des informations qui peuvent influer le cours du conflit. À la fois sur des éléments internes au pays, mais également externes comme les soutiens et aides en tout genre d’autres pays. Initialement, l’Ukraine avait l’ambition de protéger exclusivement son infrastructure IT comportant des composants matériels et logiciels. Désormais, il est question de protéger ses données sensibles et notamment celles de son gouvernement.
L’objectif est de protéger les données ukrainiennes sur ses territoires, hors de portée des forces russes, puis à l’étranger pour garantir leur protection sur le long terme. Le gouvernement ukrainien opèrera au cas par cas dans le choix des opérations de transfert de données. La question du choix du pays receveur de ces données reste à l’heure actuelle sans réponse, même s’il semblerait qu’un pays européen soit favorisé. En outre, il s’avère nécessaire de procéder de la même manière dans le choix des données transmises aux pays voisins. En effet, il existe des risques non négligeables de fuites et/ou de transformation des données dans le transport physique de serveurs et d’appareils de stockage portatifs ou dans la migration numérique de données d’un serveur à un autre.
Cette actualité fait écho à une problématique similaire de gestion des données rencontrée en Afghanistan lors de l’assaut des Talibans en août 2021. Le risque que les Talibans s’emparent des données stockées à Kaboul avait été pris très au sérieux par la communauté internationale.
La publication de menaces de mort envers les soldats russes : un laisser-faire surprenant venant du géant numérique
Face au contexte militaire et politique actuel en Ukraine, Méta a largement assoupli la modération de son réseau dans les pays frontaliers avec la Russie, tolérant sur Facebook et Instagram les appels à la violence contre la Russie et ses soldats et même les menaces de mort contre les présidents russe et biolérusse. Dès le 10 mars, un déferlement de propos haineux avait été observé, jour de leur autorisation exceptionnelle par les modérateurs du réseau social.
Pourquoi cette actu :
En laissant les utilisateurs publier des menaces de mort à l’encontre des soldats et dirigeants russes — et plus particulièrement Alexandre Loukachenko et Vladimir Poutine —, Meta affiche une position idéologique, abandonnant sa neutralité. Deux points majeurs sont mis en avant : l’orientation politique de Facebook et Instagram, et la question éthique qui est celle de la publication ou non de menaces de mort. Est-il acceptable de laisser les hommes proférer des menaces de mort sur des réseaux aussi accessibles ? Des conditions sont tout-de-mêmes posées : les menaces ne sont autorisées qu’à l’encontre des soldats et des dirigeants russes ; les civils et prisonniers de guerre sont donc toujours protégés. Il est également obligatoire que la référence au conflit soit claire et identifiable. De la même façon, les utilisateurs en provenance des pays suivants sont les seuls à pouvoir s’exprimer de la sorte : Arménie, Azerbaijan, Estonie, Georgie, Hongrie, Lettonie, Lituanie, Pologne, Roumanie, Slovaquie et Ukraine. Cette limitation géographique trouve son sens dans la position transfrontalière de ces pays. La réaction russe ne s’est pas faite attendre. Plus que l’interdiction du réseau social, Moscou a qualifié ces agissements de « criminels ». L’ambassade russe a été jusqu’à interpeler le gouvernement américain afin de faire cesser cette « guerre de l’information ». Selon l’agence Interfax, des procureurs russes ont même demandé à un tribunal d’interdire les plateformes du groupe en les désignant comme « extrémistes ». Les relations Russie-Etats-Unis se tendent au fur et à mesure des actions pour l’instant « passives » de la puissance américaine dans le conflit.
Docaposte (La Poste) lance un pôle d'expertise en intelligence artificielle
Docaposte rassemble l’ensemble de ses expertises en intelligence artificielle et gestion des données dans un nouveau pôle constitué de 400 experts, réunissant les équipes de trois entreprises rachetées ces dernières années par la filiale numérique du groupe La Poste : Softeam, Openvalue et Probayes. L’objectif est d’aider ses clients à passer à l’échelle tout en développant des algorithmes éthiques.
Pourquoi cette actu :
Docaposte compte aujourd’hui plus de 40 000 entreprises et administrations clientes, tels que Carrefour, EDF, l’Agence du numérique en santé, l’Agence nationale des titres sécurisées…On sait que l’intelligence artificielle s’appuie sur le traitement de milliers de données et Docaposte a donc en son sein une mine d’or. Docaposte a l’ambition de former de nouveaux collaborateurs en interne et externe pour « doubler le pôle d’ici trois ans ». Le groupe souhaite néanmoins que l’éthique soit au cœur du développement de projets en IA et devra certainement intégrer les nouvelles règles à venir de l’UE en matière d’éthique de l’IA qui sont actuellement en discussion.
Focus de la semaine
Cybersécurité : derrière les attaques vénales, l’espionnage et le sabotage
Le 8 mars 2022, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) , en charge de la cyberdéfense et de l’assistance des opérateurs français les plus critiques, publiait son panorama de la menace informatique en 2021. L’Agence rappelle que si les cyberattaques à finalité lucrative sont souvent les plus médiatisées, elles ne doivent pas occulter les campagnes d’espionnage, par essence moins visible, et celles conduites dans un objectif de sabotage informatique.
Pourquoi ce focus :
L’ANSSI a noté qu’un certain nombre de cyberattaques impliquent des rançongiciels, l’une des formes d’attaques les plus médiatisées au cours de l’année. Très prisé par les cybercriminels, car particulièrement lucratif, les rançongiciels peuvent aussi être utilisés par une arme géopolitique dans les mains de certains Etats soit dans un but de déstabilisation soit pour alimenter des actions armées. C’est le cas de la Corée du Nord cité dans un rapport des Nations Unies de 2021 y indiquant que le régime a volé 316 millions de dollars d’actifs numériques en 2020. La cyberattaque peut également être utilisée dans un but non financier. Pour la première fois, en 2021, un rançongiciel a été utilisé en Inde pour protester contre une réforme agraire. Le groupe Belarusian Cyber-Partisans a utilisé aussi une cyberattaque pour exiger la libération de prisonniers politiques en Biélorussie et ralentir l’arrivée de force russe sur le territoire. L’ANSSI dans son rapport cite également les nombreuses opérations d’espionnage subis par la France et impliquant directement la Chine. Le jour de la publication du rapport, l’entreprise de cybersécurité Mandiant a accusé un groupe de pirate chinois, APT41, soupçonné d’être aux ordres de Pékin, d’avoir piraté au moins 6 États américains.
Néanmoins, la résistance s’organise, les cyberpoliciers d’Interpol et d’Europlo également, et plusieurs groupes ont été démantelés et certains de leurs protagonistes arrêtés grâce à cette coopération internationale.
Le point de vue étudiant
La condamnation en Italie de la société Clearview AI
Par Isabelle Bufflier, professeure Ethique et des droit des affaires, SKEMA BS, sous l’œil bienveillant de Frédéric Munier, professeur de géopolitique SKEMA BS
Après la menace d’une amende par le Royaume-Uni et la mise en demeure récente par la CNIL en France pour violation évidente des principes du RGPD, la start-up américaine spécialisée dans la reconnaissance faciale Clearview AI vient d’être enfin sanctionnée par l’Italie. Le 9 mars 2022, la Garante per la protezione dei dati personali (GPDP), l’autorité italienne de protection des données personnelles, lui a ainsi infligé une amende de 20 millions d’euros. Elle lui reproche notamment d’avoir instauré la surveillance biométrique de personnes se trouvant sur le territoire italien ainsi qu’un traitement illégal des données personnelles de citoyens italiens qu’elle détient sans autorisation, dont des informations biométriques et de géolocalisation.
L’entreprise est connue pour « aspirer » les photographies et les vidéos, de personnes majeures comme mineures, accessibles sur les réseaux sociaux comme Youtube, des blogs et autres sites comportant des photos, même apparemment des sites professionnels d’entreprises avec des photos de salariés.
Clearview AI s’est présentée à l’origine comme un fournisseur d’une technologie de reconnaissance faciale biométrique, destinée à des organismes publics de maintien de l’ordre afin de leur permettre de retrouver plus facilement des suspects à partir notamment d’enregistrements de vidéosurveillances.
Récemment, l’entreprise se targuait que son « index de visages » soit passé de 3 à plus de 10 milliards d’images depuis début 2020. Elle qui a déjà levé 30 milliards de dollars espérait en lever 50 autres prochainement pour continuer sa progression et visait une clientèle plus étendue et notamment celle des employeurs, désireux de surveiller leurs salariés mais aussi leurs baby-sitters ou leurs femmes de ménage.
Elle envisageait d’utiliser en plus de la reconnaissance faciale, la reconnaissance des plaques d’immatriculation et du suivi des mouvements ou de reconnaissance de marche, la localisation des personnes en fonction de l’arrière-plan des photos, la détection des armes à feu et de l’usage de drogues ou encore la reconnaissance d’empreintes digitales sans contact. Elle se ventait même d’avoir aussi des outils plus performants que ceux des systèmes chinois.
De nombreuses autorités se sont mobilisées contre cette société sans foi ni loi, des actions en justice ont été intentées contre elle aux Etats-Unis et au Canada où un recours collectif a été formé(voir ce sur point la RDP du 14 février dernier).
En Europe, l’ONG Privacy international a déposé plainte en mai 2021 dans 5 pays d’Europe devant les autorités de protection des données personnelles. L’Italie est donc la première à condamnée la start-up et on espère qu’elle ne sera pas la dernière vu les activités prédatrices de l’entreprise. Il faut noter qu’en plus de l’amende qui lui a été infligée, Clearview AI s’est aussi vue ordonner d’effacer les données relatives aux personnes en Italie. L’autorité a par ailleurs interdit toute collecte et traitement ultérieurs des données à l’aide du système de reconnaissance faciale de l’entreprise. Enfin, la société a été sommée de désigner un représentant dans l’Union européenne à qui s’adresser en plus ou à la place du responsable de traitement basé aux États-Unis pour faciliter l’exercice des droits des personnes concernées
La start-up a cependant tenté récemment de redorer son blason puisqu’elle a proposé ses services à l’Ukraine. Dès le 9 mars 2022, elle proposait de découvrir les assaillants russes, de lutter contre la désinformation, de réunir les familles de réfugiés et d’identifier les morts grâce à sa technologie qu’elle a mis d’ailleurs gratuitement à sa disposition. Clearview AI a néanmoins précisé qu’elle n’a pas fait de même pour la Russie.