À partir du 26 décembre 2021, Clearview AI ne dispose plus que de 2 mois pour cesser toute collecte illicite de photos en ligne. En 2020 déjà, l’ONG Privacy International portait plainte contre la société pour le vol de pas moins de 10 milliards d’images à des fins publicitaires. Or, la CNIL souligne que de nombreuses règles dont le respect est exigé par le RGPD n’ont pas été respectées, dont le consentement des personnes dont l’image a été captée. La CNIL précise que si la société refuse de se conformer à la mise en demeure, elle devra s’acquitter d’une amende de 10% de son chiffre d’affaires.

Pourquoi cette actu : Clearview AI aspirait jusque-là des photos publiques – c’est d’ailleurs derrière cet argument que l’entreprise s’est retranchée pour se défendre – sans demander l’autorisation aux personnes concernées, afin d’en tirer un profit financier. Il est vrai qu’internet rend poreuses les parois entre le domaine privé et public, gratuit et commercial. Son développement rapide implique une régulation qui, on le voit, triomphe in fine. Mais, pour prendre une comparaison historique, il a fallu au XVIIIe siècle pour que soit reconnu le droit d’auteur (loi du 13 janvier 1791). Aussi, nous voyons ces efforts de régulation comme le signe que la « jungle » d’internet commence à être régulée de plus en plus efficacement, grâce à l’intervention des autorités de contrôle comme la CNIL, ce dont il faut se réjouir.

Le 15 décembre 2021, La startup Milvue vient d’annoncer une levée de fonds de 8 millions d’euros afin d’exporter son logiciel sur le marché nord-américain. Ce dernier a été développé en 2020 et permet, dans le domaine de la radiographie, d’automatiser la détection de certaines pathologies, notamment osseuses et pulmonaires. Son algorithme se sert en particulier de données de vie réelle transmises par certains hôpitaux et cabinets de radiologie. Son usage pourrait permettre de soulager les services hospitaliers et radiologiques en effectuant un premier diagnostic rapide et fiable.
Pourquoi cette actu : La levée de fonds pour ce logiciel de la startup Milvue démontre l’usage croissant de l’intelligence artificielle dans le domaine de la santé. La récolte en masse de données de santé traitées par les algorithmes permet de décupler les capacités du personnel médical tout en aidant à poser des diagnostics d’une grande fiabilité. Ces logiciels sont ainsi très prometteurs pour l’avenir de la médecine mais interrogent également sur la protection de ces données sensibles. En effet, depuis le début de la pandémie sanitaire, de nombreuses cyberattaques ont ciblé les établissements de santé. Sachant que les dossiers médicaux concentrent des informations sensibles, , le développement de ces nouveaux logiciels recueillant en masse des données sensibles devra donc s’attacher à garantir leur sécurité et le secret médical. Des par des entreprises privées avaient déjà été signalées par les journalistes au printemps dernier. Un challenge de plus pour les établissements hospitaliers dans la gestion de ces nouvelles technologies alors que le gouvernement lui-même reste sourd de produire des éléments permettant d’évaluer pleinement l’efficacité des fichiers et dispositifs mis en œuvre, captant depuis le début de la crise sanitaire les données de santé de milliers d’usagers.

Le 15 décembre 2021, le gouvernement indien a approuvé un vaste plan de 30 milliards d’euros, afin de créer un écosystème de production de semi-conducteurs. Un financement supplémentaire de 13 milliards sera disponible pour soutenir la production de batteries. Ainsi, le gouvernement utilisera ces fonds afin de cofinancer, jusqu’à 50%, les nouveaux projets industriels dans le pays. Ce programme s’inscrit dans la course actuelle aux puces, microprocesseurs et autres éléments électroniques, maintenant utilisés dans tous les secteurs de production, des voitures aux cuisines. Ce programme met enfin l’accent sur la formation de personnels hautement qualifiés, et sur le soutien à l’innovation, vital dans ce secteur.
Pourquoi cette actu : En matière de technologies innovantes, le chantier de l’énergie est LE chantier d’avenir et l’Inde ne se trompe pas en l’investissant. Il est fréquent aujourd’hui de voir dans la Chine et les pays d’Asie de l’Est de grandes puissances en termes de production de semi-conducteurs. C’est oublier combien l’Inde est aussi un acteur important en ce domaine. Rappelons que le pays est le premier producteur mondial de médicaments génériques et le premier exportateur de services informatiques. Il a développé un programme spatial et ambitionne d’être un compétiteur crédible dans des productions aussi stratégiques que les processeurs et les batteries électriques. Il est vrai que le pays possède non seulement des écoles d’ingénieurs de bon niveau et bénéficie de la diaspora dont certains membres, comme Vinod Dham (co-inventeur de la mémoire flash) ont fait profiter leur pays natal de leur expérience. L’Inde est en outre un pays jeune et dynamique dont la population va bientôt dépasser celle de la Chine. En matière de technologies, le combat entre le dragon chinois et l’éléphant indien ne fait que commencer, d’autant que l’Inde va bientôt se doter dans les mois qui viennent d’un texte fort, dans le domaine lui aussi incontournable de la protection des données personnelles.

Le 15 décembre 2021, la CNIL norvégienne a annoncé une décision qui fera date : le pays condamne à une amende de 65 millions de couronnes (soit environ 6,3 Millions d’euros) le réseau de rencontres LGBT + Grindr. La plateforme est accusée de partage illégal de données et d’avoir divulgué à différents annonceurs publicitaires des données très personnelles du profil de ses utilisateurs : notamment leurs coordonnées GPS, leur âge, leur sexe ou tout simplement le fait qu’ils font l’usage de cette application. Cette pratique, menée sans l’information et l’approbation des utilisateurs de Grindr, porte une atteinte à des données sensibles et à la vie privée, ce qui est totalement contraire au RGPD, entré en vigueur en juillet 2018 en Norvège, membre de l’Espace économique européen, comme l’Autriche et le Liechtenstein. La société condamnée nie cependant les faits, estimant qu’ils concernent des pratiques anciennes, désormais abandonnées. Elle a la possibilité de faire appel de cette décision.
Pourquoi cette actu : Saisi par un organisme norvégien représentant les consommateurs en coopération avec l’ONG autrichienne Noyb, la CNIL norvégienne avait prévenu en janvier que Grindr s’exposait à une amende de 100 millions de couronnes (9,88 millions d’euros), mais avait donné à l’entreprise jusqu’au 15 février pour expliquer sa position. Lorsqu’ils accèdent à la plateforme, les utilisateurs acceptent certes les conditions d’utilisation et la politique de confidentialité. Mais il n’est jamais fait mention d’un quelconque partage de leurs informations personnelles à des tiers, ils ne donnent donc jamais leur consentement, pivot du RGPD qui s’applique aussi en Norvège, bien qu’elle ne soit pas membre de l’UE mais de l’Espace économique européen. Dans l’économie numérique, les données personnelles sont l’or noir des entreprises et le tracking publicitaire devient l’instrument incontournable de développement de nouveaux marchés, il est donc essentiel que le partage des données personnelles sans base légale soit sévèrement condamné et que le droit des consommateurs soit respecté. On imagine en outre facilement quels usages malveillants pourraient faire des cybercriminels de données touchant aux orientations sexuelles des usagers de l’application. C’est toute la crédibilité de Grindr qui est en cause ici. Où l’on voit également que la Norvège, bien que n’étant pas membre de l’UE, joue un jeu efficace en faveur du RGPD, mieux que certains Etats membres, comme l’Irlande, en la matière.

Le 15 décembre 2021, la Commission européenne a lancé l’European Alliance for Industrial Data, Edge and Cloud composée de 38 entreprises de pays membres de l’UE et une société norvégienne. Cette initiative s’inscrit dans la continuité des projets menés jusqu’alors par l’UE pour figurer parmi les acteurs incontournables en matière numérique.
En effet, cette alliance aura pour but de réunir des acteurs engagés dans le développement stratégique des technologies de nouvelle génération, mais aussi de fournir d’une part des recommandations et d’autre part des conseils quant à la réglementation applicable au cloud. La participation au projet est ouverte aux entreprises étrangères, non-européennes, dont les activités sont liées aux technologies. Ces dernières devront toutefois réunir plusieurs critères d’éligibilité et apporter des preuves de la sécurité de leur process de protection des données. L’alliance compte d’ores et déjà parmi ses membres des acteurs importants tels que OVHcloud, Airbus, ou encore Scaleway.

Pourquoi cette actu : Les États-Unis et la Chine exercent aujourd’hui un poids important dans le domaine du cloud. L’Europe qui avait d’ores et déjà tenté de rattraper son retard avec le projet Gaia-X réunissant les forces franco-allemandes, ne relâche pas ses efforts et revient en force avec ce nouveau projet. N’oublions pas également Euclidia l’alliance 100% française, qui souhaite faire la différence avec Gaia-X en menant le combat pour une souveraineté numérique de l’Europe. L’European Alliance for Industrial Date, Edge and Cloud est donc la bienvenue pour permettre à l’Europe de revenir en course face aux fournisseurs de services cloud bien installés.

Le 15 décembre dernier, les journalistes de l’organisation Forbidden Stories ont révélé les résultats d’une enquête sur le logiciel Pegasus. On se souvient que ce dernier est commercialisé par la société israélienne NSO Group et a été vendu à des États et des agences gouvernementales. Les journalistes-investigateurs ont découvert que cette technologie avait servi depuis 2016 à espionner des journalistes, des militants d’ONG opposés à certains régimes politiques, ou encore de personnalités politiques de premier plan, dont possiblement Emmanuel Macron.
Les États-Unis ont placé la société NSO Group sur une liste noire d’entreprises sur lesquelles sont appliquées de nombreuses restrictions commerciales. Cette décision a des conséquences économiques importantes sur l’entreprise israélienne qui se serait rapprochée d’un défaut de paiement de 500 millions de dollars de prêts selon le Financial Times.
Selon deux sources bien informées du média américain Bloomberg, le groupe envisage de revendre la société ou de fermer son unité controversée Pegasus. Une alternative serait de transformer le logiciel espion en un produit « défensif ».

Pourquoi cette actu : Cette actualité est intéressante car elle met en avant l’espionnage et les sanctions encourues en cas de recours à ce procédé illégal. En effet, la société fait l’objet de poursuites aux États-Unis où les géants de la Tech comme Facebook, Google, Microsoft, et Apple, dont les appareils et les services ont été compromis à des fins d’espionnage, ont décidé de porter plainte. De son côté, le gouvernement israélien a également été confronté à des turbulences diplomatiques et des discussions ont notamment été engagées avec la France récemment. Cette actualité illustre une fois encore la force de frappe des sanctions américaines, une modalité du hard power, capables de mettre à terre un groupe étranger dont les agissements gênent Washington ou encore certains individus comme ont pu l’être Edward Snowden ou Julian Assange, lanceurs d’alerte pour certains, « traîtres » pour d’autres.

Le 14 décembre 2021, la Quadrature du Net, association de défense et de promotion des droits sur Internet, a déposé un recours auprès du tribunal administratif contre une expérimentation décidée par le conseil municipal de la ville d’Orléans d’équiper ses caméras de micros capables de détecter des sons jugés « anormaux ». Dans cet objectif, la ville a signé en octobre dernier une convention avec l’entreprise Sensivic pour tester des dispositifs permettant d’analyser en permanence l’environnement sonore pour y détecter d’éventuels dangers. La société Sensivic ne serait pas rémunérée en échange de cette prestation, la ville acceptant que sa population serve de population test. La CNIL avait déjà déclaré illégal un semblable dispositif développé à Saint-Etienne. Dans le cas d’Orléans en revanche, la CNIL ne semble pas avoir réagi, et c’est l’association La Quadrature du Net qui s’est emparée du dossier et a déposé un recours, tout en envoyant une copie de celui-ci à la CNIL et en la saisissant d’une plainte.

Pourquoi cette actu : Il est intéressant de voir qu’à côté de la vidéosurveillance, très encadrée par les textes, se développe la surveillance sonore par le biais d’algorithmiques, qui, elle, l’est beaucoup moins alors qu’elle représente un marché certain pour certaines start-up. On peut également s’interroger sur le manque de réaction de la CNIL en matière de lutte contre la surveillance de l’espace public. La Quadrature du Net a dénoncé en effet à plusieurs reprises la surveillance biométrique des consommateurs au sein de plusieurs supermarchés opérée par l’entreprise Veesion. L’utilisation de l’intelligence artificielle pour traiter les milliers de données ainsi récoltées, souvent à l’insu des individus, par des entreprises privées nécessiterait certainement une évolution de l’encadrement législatif. En attendant, les décisions qui seront prises dans ce type d’affaires vont contribuer à définir les frontières entre la surveillance des individus et l’exercice des libertés individuelles : nos sociétés libérales vont-elles sacrifier les libertés sur lesquelles elles se sont bâties au nom de l’impératif de sécurité ? Il s’agit manifestement d’une tentation de notre temps.

Le 16 décembre 2021, le groupe Meta, ex-Facebook, a annoncé avoir fermé 1500 comptes Facebook et Instagram liés à des « cyber-mercenaires », après une enquête de plusieurs mois. Ces derniers les auraient utilisés, sous prétexte de cibler des terroristes ou des cybercriminels, pour espionner en réalité des militants, dissidents, critiques de régimes autoritaires, des familles de membres de l’opposition, des militants de droits humains et des journalistes pour le compte d’agences gouvernementales ou des clients privés venus du monde entier. Ces comptes étaient connectés à sept sociétés de surveillance, offrant des services de collecte d’informations publiques en ligne, l’utilisation de fausses identités pour entrer en relation avec les cibles en passant par de l’espionnage numérique via du piratage.

Pourquoi cette actu : Alors que les cyberattaques se multiplient, avec notamment des rançongiciels, on voit ici des attaques plus subtiles menées par des cyber-mercenaires au service notamment d’États, dans le but de mieux démasquer leurs opposants. Où l’on voit aussi que Meta/Facebook cherche à redorer « son blason », après avoir été partie prenante dans l’exploitation des données personnelles de ses internautes comme dans l’affaire Cambridge Analytica ou mise en cause à la suite des dénonciations de la lanceuse d’alerte Frances Haugen.

L’association Interhop, « qui promeut le développement des communs en santé, œuvre à la préservation des libertés fondamentales et du secret médical en e-santé », demande des comptes au gouvernement. Elle veut connaître l’efficacité des traitements automatisés mis en œuvre dans la lutte contre le Covid-19. La CNIL, quant à elle, n’a toujours pas obtenu de données chiffrées du gouvernement. Elle a « rappelé » au gouvernement de lui fournir de solides indicateurs sur l’efficacité de « SI-DEP », « Contact Covid », « Tousanticovid », « Vaccin Covid », « Passe Sanitaire activités » et « Tousanticovid Verif », soit l’ensemble des traitements de données à caractère personnel mis en œuvre aux fins de lutter contre le Covid-19. Et la même autorité de « regretter » que ses souhaits soient restés lettre morte depuis le début de la crise sanitaire.

Pourquoi cette actu : Des requêtes similaires ont été faites de tous bords ces derniers mois, mettant l’exigence de transparence de l’action gouvernementale au cœur des préoccupations citoyennes. En effet, alors que le gouvernement estime que le passe sanitaire est désormais l’outil majeur de son action contre la pandémie de Covid-19, d’aucuns souhaitent avoir des preuves tangibles de son efficacité, bien que l’utilité d’un tel système puisse, aux yeux de beaucoup, relever de l’évidence. Ainsi, alors qu’un défi sociétal actuel majeur, du point de vue de l’Etat, est de convaincre quelques millions de Français encore réticents à la vaccination, une demande récurrente de transparence, à la fois de l’autorité de contrôle des données personnelles mais aussi de la société civile, est intéressante car elle témoigne du fait que des arguments clairs, détaillés et convaincants pourraient aider à aller dans ce sens. Les dernières déclarations du Premier ministre montrent d’ailleurs que la voie privilégiée par l’exécutif est de faire pression sur les non vaccinés en transformant le passe sanitaire en passe vaccinal, et au cœur de nombreuses interrogations au regard des libertés et droits fondamentaux des citoyens.

Au vu des importants débats et signalements sur le sujet, nombreuses sont les plateformes en ligne qui ont multiplié les annonces concernant la protection de l’enfance. Apple a souhaité aller plus loin que ses concurrents en développant une fonctionnalité de son iCloud permettant de détecter les contenus pédopornographiques qui y seraient stockés. Mais si les intentions d’Apple étaient, somme toute, louables, le projet a soulevé de nombreuses inquiétudes. En effet, des experts ont craint que ce dispositif finisse par être détourné en outil de censure ou de surveillance de masse. Face à la pression, Apple a dû revoir ses plans. Après avoir déployé en septembre dernier ce dispositif, Apple a finalement décidé de le suspendre le 16 décembre 2021.

Pourquoi cette actu : L’inquiétude légitime que pose le manque de contrôle et la puissance des entreprises dans le secteur du numérique amène certaines Big Tech à prendre des mesures pour lutter contre les excès et les délits sur Internet. Cependant, il est frappant de voir que les outils ainsi mis en place, louables en théorie, peuvent voir leur utilisation détournée à des fins tout aussi inquiétantes. Ainsi, quelle que soit l’intention affichée, il convient d’observer les effets d’une mesure d’un géant comme Apple dans son ensemble, ce qui peut donc, comme dans le cas présent, mettre en lumière certaines problématiques. La firme de Cupertino a décidé de mettre ce projet en pause, et même de faire disparaître les références à ce projet qui étaient visibles jusqu’à alors. Sans aucun doute, cela renforce les interrogations qui y sont liées. Par ailleurs, se pose également la question de savoir s’il revient aux Big tech de contrôler et de censurer les contenus qui transitent par leurs outils ? Cette question va certainement être au cœur des prochains débats poser par la régulation des Big Tech dans le cadre du Digital Service Act européen.