Les news qui ont fait l’actu
Dans le cadre du partenariat entre l’IDFRights et SKEMA Business School, voici un aperçu de notre actualité vue par des étudiants du Master de management & droit des affaires de Skema.
Semaine du 14 au 20 février 2022
Par les étudiants de M2 de droit des affaires SKEMA/ULCO et les étudiants de Licence 3 Economie/Gestion du groupe Consilience de SKEMA Business School Sarah Ben Bouazza, Solal Boulanger, Arthur Clavier, Lucas Cosset, Loris Couvreur, Arthur Derderian, Cassandre Hodeau, Camille Kurth, Soez Jarrousse Léonard Marx, Taous Rabahi, Mathilde Sauret, encadrés par les professeurs Isabelle Bufflier et Frédéric Munier :
Sarah Ben Bouazza
Solal Boullanger
Arthur Clavier
Lucas Cosset
Loris Couvreur
Arthur Derderian
Cassandre Hodeau
Soez Jarrousse
Camille Kurth
Léonard Marx
Mathilde Sauret
Taous Rabahi
Le groupe Meta, impliqué dans une ancienne affaire de collecte de données, accepte de payer 90 millions de dollars
En 2012, un recours collectif est déposé contre Facebook (désormais Meta) devant une Cour fédérale américaine concernant la collecte de données personnelles. Facebook, qui s’était engagé à ne pas suivre ses utilisateurs lorsque ces derniers quittaient le réseau social, se servait du bouton « j’aime » sur des sites tiers utilisant des cookies afin de retracer l’historique de navigation des utilisateurs et le vendre à des annonceurs publicitaires. En 2017, ce recours a été rejeté au motif que les plaignants n’avaient pas réussi à démontrer qu’ils avaient une atteinte raisonnable en matière de vie privée ou qu’ils avaient subi des dommages financiers. En 2020, une Cour d’appel fédérale américaine s’est cependant prononcée sur le fait que les plaignants avaient subi un préjudice économique et que les pratiques de Facebook contrevenaient au Wiretap Act, une loi américaine portant sur l’écoute téléphonique. Facebook a fait appel de ces décisions devant la Cour suprême qui a refusé de se saisir de l’affaire l’année dernière, laissant en place la décision précédente. Ce 10 février 2022, Meta a finalement accepté de payer 90 millions de dollars afin d’indemniser les victimes, ce qui doit encore être acceptée par la juridiction saisie
Pourquoi cette actu :
Alors que Meta est de plus en plus dans la tourmente en Europe après les révélations de la lanceuse d’alerte Frances Haugen et les nombreuses condamnations sur le fondement du RGPD, les procès se multiplient également aux États-Unis. S’il est approuvé, l’accord que vient de passer Meta figurera parmi l’un des plus importants de l’histoire des États-Unis en matière de confidentialité des données. Meta a déjà été confronté à des sanctions encore plus importantes par le passé pour des violations présumées de la confidentialité des données. En février dernier, un juge fédéral a approuvé l’accord passé avec Meta de 650 millions de dollars dans le cadre d’un recours collectif concernant plus de 1,6 million de membres. L’action en justice accusait Facebook d’avoir violé la loi de l’Illinois sur la confidentialité des informations biométriques en raison de l’utilisation par la plateforme de la reconnaissance faciale dans le marquage des photos. Faisant suite à l’affaire Cambridge Analytica, on rappellera également l’amende de 5 milliards de dollars prononcée par l’agence américaine de protection des consommateurs contre Meta à qui été reproché d’avoir « trompé » ses utilisateurs sur leur capacité à contrôler leurs informations personnelles, amende validée par le juge en avril 2020.
Si la Californie a été précurseur en 2018 en adoptant sa propre loi sur la protection des données personnelles, le California Consumer Privacy Act (CCPA), entré en vigueur le 1er janvier 2020, d’autres États ont suivi et des sénateurs américains ont même proposé l’adoption d’une loi fédérale en 2021 sur le sujet, soutenu par …Meta lui-même ! La période d’impunité dont les géants du numérique ont joui est peut-être en train de se clore, une page va peut-être se tourner.
Croissance & vie privée : comment donner envie aux clients de partager leurs données ?
Comment concilier performance marketing et protection des données personnelles de ses clients ? Face à des usagers de plus en plus méfiants sur l’usage qui peut être fait de leurs données personnelles, deux jeunes sociétés HubSpot et Didomi spécialisées dans les solutions marketing en matière de gestion de ces données proposent, au travers d’un livre blanc, de redonner le contrôle aux utilisateurs et de renforcer leur confiance.
Pourquoi cette actu :
L’idée de Didomi et Hubspot est de susciter la confiance du consommateur et de se démarquer des concurrents en misant sur la transparence dans l’utilisation de ses données et recommandent l’utilisation de données « zero » ou « first-party », ce qui permet de collecter légalement des données à la fois pérennes, fiables et plus précises. Rappelons que les données « zero-party » sont celles que le client accepte de partager, créant ainsi une relation de confiance entre ce dernier et l’entreprise. Ces données peuvent être très détaillées et inclure par exemple des intentions d’achat ou des informations relatives aux préférences du client. Mais le client garde la main sur ces données ; il peut à tout moment décider d’arrêter de les partager, les modifier. Quant aux données « first-party », elles désignent l’ensemble des informations détenues par l’entreprise, générées lors des interactions entre elles et leurs clients : par exemple, leur date de naissance, leurs achats… Elles s’opposent aux « second-party data » qui sont les données que les entreprises échangent. S’en tenir aux zero ou first-party data revient pour une entreprise à établir un lien exclusif avec son client en lui garantissant de ne pas transmettre à d’autres les informations que ce dernier a bien voulu donner, directement ou indirectement.
Pour que cela soit possible, il faut quand même que le client fasse confiance à l’entreprise quant au stockage des données qu’il lui confie. Cette solution est certes, un moyen de gagner davantage la confiance des utilisateurs, toutefois elle n’est véritablement applicable que si les entreprises ont acquis une réputation solide. Les entreprises vont en tout cas devoir rivaliser d’inventivité pour créer les conditions d’une confiance retrouvée avec leur clientèle online…
Les CNIL européennes lancent une action sur l’utilisation du cloud par le secteur public
Le 15 février, le Comité européen de la protection des données (CEPD), institué par le RGPD pour veiller à sa bonne application au sein de l’UE, a annoncé le lancement d’une procédure commune à 22 autorités européennes de protection des données, dont la CNIL. Cette procédure dont les résultats seront donnés par le CEPD avant fin 2022, vise à s’assurer que les services de cloud utilisés par les services publics respectent le RGPD car la protection des données relatives à des secteurs essentiels comme la santé, la finance ou encore l’éducation est jugée primordiale.
Pourquoi cette actu :
À l’heure où la lutte pour la protection des données personnelles s’intensifie, il est important de noter qu’il s’agit d’un enjeu fort pour l’Union Européenne. En effet, cette dernière aspire à devenir un modèle en matière de protection des données face aux géants du numérique outre-Atlantique. Cette mesure intervient à la suite de la mise en demeure par la CNIL d’un gestionnaire de site faisant usage de Google Analytics à qui il est reproché lors du transfert des données personnelles réalisé vers les États-Unis de ne pas garantir suffisamment le respect du RGPD. Depuis l’invalidation par la Cour de justice de l’UE du Safe Arbor puis du Privacy Shield à la demande de l’avocat-activiste Max Schrems, l’association NoyB (my Privacy is None of Your Business) qu’il a créé a déposé de nombreuses plaintes au sein de l’UE pour contester le transfert des données par le biais de Google Analytics. Ces actions en justice mettent à l’évidence Google en difficulté mais également toutes les Big tech qui procèdent à l’identique. Force est de constater que désormais deux visions du monde s’opposent : celle européenne fondée sur des valeurs démocratiques et humanistes qui privilégient la personne humaine et le contrôle par elle de ses données personnelles, celle américaine de l’ultracapitalisme où la donnée est considérée comme un bien économique commercialisable sans l’accord des intéressés. Ce faisant, l’Europe devient progressivement un porte-étendard en matière de protection des données reposant sur des normes strictes. Ainsi s’agit-il désormais d’un enjeu global qui nécessite davantage de mesures coordonnées pour tenter de mettre fin à ce que d’aucuns considèrent comme la « vassalisation » de l’UE par les mastodontes du numérique américains.
Plusieurs sites ukrainiens en proie à des cyberattaques, la Russie nie toute implication
Le 15 février 2022, le gouvernement Ukrainien a déploré plusieurs attaques par DDos à l’encontre de sites internet du Ministère de la Défense et des forces armées d’une part et de deux banques d’autre part Privatbank et Ochtchadbank. Dans les deux cas, les serveurs de requêtes de ces organisations ont été saturés dans l’objectif de dégrader le fonctionnement d’un service. Le gouvernement russe nie toute implication dans cette attaque alors que les tensions entre les deux pays se sont accrues. Une enquête est en cours afin de déterminer la provenance de ces attaques dont l’Ukraine est régulièrement la cible.
Pourquoi cette actu :
Depuis le début de la crise entre la Russie et les pays de l’OTAN, l’Ukraine est devenue une terre d’expérimentations en termes de cyber-menaces. Ces dernières prennent des formes variées et ont diverses cibles. La dernière cyber opération de janvier, visant des institutions gouvernementales, aurait pu être fatale en cas de conflit ouvert car le pays aurait perdu, au moins partiellement, le contrôle de ses forces armées. S’ajoutent à cela de multiples attaques informationnelles via les réseaux sociaux pour toucher directement la population. Rappelons que procéder à une cyberattaque ciblée est un geste politique assimilable à une agression. Avec la multiplicité des cyberattaques, le conflit Ukraine-Russie s’accélère, sans pour autant qu’il fasse encore l’objet d’un combat militaire, même si certains l’anticipent. Cependant, depuis plus de trois mois, Vladimir Poutine agite une épée de Damoclès au-dessus de l’Ukraine afin de bloquer l’extension de l’OTAN en Europe de l’Est. Aujourd’hui l’hypothèse d’une intervention militaire russe n’est plus à écarter. On se trouve alors dans une situation que les stratèges appellent désormais une « guerre hybride », c’est-à-dire des tensions voire des conflits qui mêlent différentes formes de conflictualités. L’Ukraine est peut-être le laboratoire des guerres de demain.
L’euro numérique : quels enjeux pour la vie privée et la protection des données personnelles ?
La BCE (Banque Communautaire Européenne) souhaite lancer d’ici le 1er janvier 2024 une monnaie numérique à l’instar du bitcoin. Elle a ainsi constitué une équipe chargée du design de cette monnaie. La principale contrainte à la création de cette cryptomonnaie, qui aurait vocation à être utilisée quotidiennement, est de respecter la vie privée des utilisateurs tout en limitant le risque de création d’un levier de blanchiment et/ou de détournement de fonds.
Pourquoi cette actu :
Le développement d’une cybermonnaie européenne démontre la volonté de l’UE d’être en phase avec l’évolution des modes de paiements. Le paiement en espèces et la monnaie fiduciaire sont, en effet, en déclin. Cette tendance de fond a été accentuée par la crise sanitaire : déjà en 2019 une étude de la BCE montrait que les paiements en espèce ne représentaient plus que 25% des paiements en France. Toutefois il y a loin d’ici à ce que cet e-euro remplace nos pièces et nos billets : « Cash is still king ».
Les enjeux liés à la création d’une e-monnaie européenne sont grands. La BCE a lancé une consultation citoyenne à propos de l’euro numérique. Le rapport rendu à l’issue de cette consultation a démontré que les citoyens européens craignaient que cette monnaie mette en péril le droit au respect de leur vie privée. Pour 43% des citoyens, la confidentialité est un critère plus important que la sécurité. Le respect de la vie privée est donc une problématique majeure pour les instances européennes qui ne peuvent autoriser la fuite massive de données personnelles. Notons qu’en Chine, la Bank of China peut suivre en temps réel les transactions des 140 millions de chinois utilisent le e-yuan.
Si tracer les échanges monétaires comporte un risque, les anonymiser complétement en comporte d’autres. Une monnaie qui ne laisse pas de trace, laisse libre court à toute sorte de transactions : trafics d’armes, drogues, financement de réseaux terroristes… « Chaque jour, un peu plus, le crime va se financer par les monnaies virtuelles », estimait le ministre de l’Intérieur, Gérard Collomb en 2018. C’est entre Charybde et Scylla que l’histoire de l’histoire de l’euro numérique va s’ouvrir.
Focus de la semaine
Clearview AI et la surveillance des baby sitters et femmes de ménage
Après avoir eu accès à un document financier de la société Clearview AI destinée à ses investisseurs en vue d’une nouvelle levée de fonds, le Washington Post a révélé que l’entreprise envisageait d’enrichir sa base de données et qu’elle est en bonne voie pour atteindre les « 100 milliards » de photographies de visages dans sa base de données d’ici un an.
Pourquoi ce focus :
La start-up new-yorkaise Clearview AI de reconnaissance faciale continue son inquiétante expansion. Elle est connue pour « aspirer » les photographies et les vidéos, de personnes majeures comme mineures, accessibles sur les réseaux sociaux comme Youtube, des blogs et autres sites comportant des photos, même apparemment des sites professionnels d’entreprises avec des photos de salariés.
Clearview AI s’est présentée à l’origine comme un fournisseur d’une technologie de reconnaissance faciale biométrique destinée à des organismes publics de maintien de l’ordre afin de leur permettre de retrouver plus facilement des suspects à partir notamment d’enregistrements de vidéosurveillances.
Récemment, plusieurs membres du Congrès et des sénateurs américains ont exhorté le Département de la sécurité intérieure (DHS), le ministère de la Justice (DOJ), le ministère de la Défense (DOD), le ministère de l’Intérieur (DOI) et le ministère de la Santé et des Services sociaux (HHS), de mettre fin à leur utilisation de la technologie de reconnaissance faciale de Clearview AI. Les parlementaires ont exprimé de nombreuses inquiétudes quant au risque de perte d’anonymat dans l’espace public et la menace que représente cette technologie en particulier pour les communautés de couleur et immigrante.
Dans le document mis en lumière par le Washington Post, Cleaview AI se targue que son « index de visages » soit passé de 3 à plus de 10 milliards d’images depuis début 2020. L’entreprise qui a déjà levé 30 milliards de dollars récemment espère en lever 50 autres prochainement pour continuer sa progression et vise une clientèle plus étendue et notamment celle des employeurs désireux de surveiller leurs salariés mais aussi…leurs baby-sitters ou leurs femmes de ménage !
Mais la start-up ne s’arrête pas là car elle met en avant également de nouvelles technologies au-delà de la reconnaissance faciale. Elle envisage d’utiliser aussi la reconnaissance des plaques d’immatriculation et du suivi des mouvements ou de reconnaissance de marche, la localisation des personnes en fonction de l’arrière-plan des photos, la détection des armes à feu et de l’usage de drogues ou encore la reconnaissance d’empreintes digitales sans contact. Elle se vente aussi d’avoir aussi des outils plus performants que ceux des systèmes chinois, ce qui n’est guère rassurant, dans la mesure où en Chine, c’est un instrument de répression des opposants et des journalistes, violant gravement la vie privée et la liberté d’expression.
Certes des actions en justice sont en cours contre la start-up aux États-Unis en en Californie, en Illinois, à New York, au Vermont et en Virginie, ainsi qu’au Canada où un recours collectif devant le tribunal fédéral canadien a été formé.
Les pouvoirs publics de certains pays ont interdit d’utiliser Clearview AI comme cela a été le cas de certains États américains ou en Suède.
En Europe, l’ONG Privacy international a déposé plainte en mai 2021 dans 5 pays d’Europe devant les autorités de protection des données personnelles dont la CNIL qui en décembre a mis en demeure l’entreprise de cesser son « traitement illicite », et lui ordonne de « supprimer les données dans un délai de 2 mois ». Mais rien n’y fait, Clearview AI continue son expansion, ses levées de fond massives et son activité prédatrice, sans être plus inquiétée ou arrêtée. Encore une preuve qu’il n’y pas de communauté de valeurs sur la personne humaine de part et d’autre de l’Atlantique.
Le point de vue étudiant
La traduction en français des lignes directrices 07/2020 du CEPD est arrivée !
À la lumière de la récente traduction française des lignes directrices 07/2020 par le Comité Européen de la Protection des Données (CEPD), chargé d’une application harmonisée du RGPD au sein de l’UE, l’occasion est toute trouvée pour effectuer un rappel de ce texte adopté en juillet 2021, véritable guide pour les acteurs du traitement de données à caractère personnel. Le CEPD répond à différentes problématiques soulevées après la rédaction du RGPD, entré en application le 25 mai 2018. L’Union Européenne s’est attelée, on le sait, à ériger un cadre réglementaire relativement uniforme, autour du traitement des données à caractère personnel, un domaine sans frontière tangible et en constante évolution, et perfectionner ce cadre au fil de son utilisation était inévitable au regard de sa complexité et des 27 États membres concernés.
L’objectif des lignes directrices 07/2020 est de définir avec précision le rôle de chaque acteur du traitement des données. En effet, il est apparu difficile dans plusieurs structures de désigner clairement la personne morale ou physique qui détermine les finalités et les moyens d’un traitement, c’est-à-dire l’objectif et la façon de réaliser la collecte des données, leur enregistrement, la façon de les organiser, de les structurer et de les conserver, mais aussi de les modifier, de les transmettre et de les utiliser sans oublier leur effacement puis leur destruction. Toutes ces étapes étant parfois supervisées par différentes personnes ou organismes, il devient plus difficile de désigner l’acteur qui sera responsable d’assurer et de démontrer que les principes du RGPD ont été respectés durant tout le processus. Ainsi le CEPD donne-t-il des précisions quant à la façon de désigner le responsable de traitement et dans certains cas de souligner l’existence d’une coresponsabilité entre acteurs déterminant conjointement les finalités et moyens du traitement : ce qui en l’espèce est fréquent aux vues de la complexité de cette activité.
Il convient de rappeler que le RGPD consacre une logique de responsabilisation de tous les acteurs impliqués dans le traitement, dès lors que les données personnelles concernent des résidents européens, que ces acteurs soient ou non établis au sein de l’Union Européenne. Ainsi, les sous-traitants du responsable de traitement se voient imposés à leur tour des obligations spécifiques et doivent constamment aider les responsables de traitement dans leurs mission d’accountability. Le CEPD par ce texte vient donc guider ces différents acteurs et trace les frontières des notions de responsable de traitement, de responsable conjoint et de sous-traitant pour déterminer ensuite les obligations et responsabilités de chacun. Cette démarche de répartition des rôles ne se dérobe pas aux textes antérieurs européens, elle apporte des précisions mais doit être appréhendée à la lumière du RGPD et des arrêts de la CJUE en matière de protection des données à caractère personnel.
La première difficulté de répartition des rôles est due aux prises de décisions dans la mise en place du traitement. Si la prise de décision quant à la finalité et aux moyens choisis pour traiter les données revient le plus souvent au responsable de traitement, il arrive que des sous-traitants soient amenés à prendre des décisions sur des étapes du processus qui leur sont déléguées. Comment différencier les sous-traitants et le responsable de traitement ? Lorsque se référer au contrat ou à la loi, qui dans certains cas précise qui est le responsable de traitement, ne suffit pas, le CEPD propose de faire une distinction entre les moyens essentiels étroitement liés à la finalité du traitement et les moyens non essentiels sur des aspects pratiques. Les prises de décisions liées aux moyens essentiels permettront de qualifier le responsable de traitement. Sont compris comme des moyens essentiels, le choix du type de données traitées, la durée du traitement, les catégories de destinataires et de personnes concernées mais également les questions de licéité, nécessité et proportion du traitement.
Après la détermination du responsable de traitement, par déduction, le sous-traitant est une entité distincte de celui-ci qui agit pour son compte et suit ses instructions. Dès que le sous-traitant va au-delà des instructions du responsable et traite les données pour sa propre finalité, il devient un responsable de traitement. Par ailleurs pour identifier le responsable conjoint, c’est le critère de la participation conjointe des entités à la détermination de la finalité et des moyens de traitement que vont venir clarifier les lignes directrices. Cette participation peut prendre la forme d’une décision commune ou bien de décisions convergentes établies par différents acteurs qui se complètent et qui sont impérativement nécessaires à la réalisation du traitement et à sa finalité. Ainsi, si le traitement est impossible sans l’un des acteurs, ce dernier devient un responsable conjoint. Le critère de l’absence d’accès aux données n’est pas opérant, de même que l’utilisation d’un système ou d’une infrastructure commune ne suffit pas à définir une responsabilité conjointe. Une fois ces notions fonctionnelles définies, le CEPD revient sur les obligations de chacun.
S’agissant de la relation entre le responsable de traitement et ses sous-traitants, une précision est apportée sur les critères que doit utiliser le responsable pour choisir les personnes à qui il délègue certaines tâches et avec lesquelles il devra obligatoirement être lié par un contrat écrit. Ces garanties suffisantes s’évaluent au regard de l’expertise du sous-traitant, de sa fiabilité, de ses ressources, de sa réputation sur le marché et de son adhésion à un code de conduite ou à un mécanisme de certification. Enfin, les lignes directrices disposent que les responsables conjoints devront, quant à eux, signer un contrat s’apparentant à un contrat d’entreprise contraignant dans lequel le rôle de chaque responsable sera clairement défini permettant aux personnes concernées par le traitement de leurs données de savoir envers qui elle devront faire jouer leurs droits en cas de non-respect des principes du RGPD. Le contrat devra également rappeler toutes les mentions obligatoires déjà prévues par ce règlement. Enfin un rappel est fait concernant l’importance pour chaque responsable de traiter les données à caractère personnel sur le fondement d’une base licite et de veiller à ce qu’elles ne soient pas traitées ultérieurement d’une manière incompatible.
Si ce texte était très attendu pour mettre un terme à certains questionnements quant à la répartition des rôles de chaque acteur dans le traitement des données à caractère personnel au regard du RGPD, des situations complexes subsistent dans un entre-deux flou. Flou qui ne pourra disparaître que par une analyse au cas par cas inévitable, mais très utile pour l’amélioration de ce cadre européen réglementaire qui s’érige au fil des problématiques rencontrées par les protagonistes de cette utilisation révolutionnaire de la data.
Par Axelle Richeux, étudiante de Master 2 de droit des affaires, avec la collaboration de Isabelle Bufflier et Frédéric Munier, professeurs SKEMA BS