ITEANU BlogDroit, technologies, etc.2023-11-20T08:18:24+00:00urn:md5:ec1221ef55f14df16cf54acb67b74524DotclearIntelligence artificielle (IA), a-t-on vraiment besoin de réglementer ?urn:md5:a2ccbd2652bf26992a7920ed91ca70b12023-11-19T19:10:00+00:002023-11-20T08:18:24+00:00Olivier IteanuTechnologiedroitiaintelligence articficielle<p>Depuis quelques mois, une frénésie s’est emparée de l’Europe, si ce n’est une peur panique.<br />
<br />
L’avènement de Chat GPT, ses erreurs et ses approximations, mais son apparence de véracité ont suscité des interrogations sur les risques encourus dans l'usage de l'IA.<br />
<br />
L’idée s’est alors imposée d’une réglementation à mettre en place pour régir l’intelligence artificielle et ses risques.<br />
<br />
Mais est-il vraiment nécessaire de réglementer l'IA ?<br /></p> <p>Le Parlement européen a été le premier à produire un texte.<br />
<br />
Il s’agit d’un projet de règlement communautaire appelé IA Act, voté le 14 Juin 2023. A l’heure où ces lignes sont écrites, on attend désormais le texte final pour la fin d’année 2023.<br />
<br />
La Commission Européenne travaille en réalité sur ce sujet depuis plus de deux ans. La proposition initiale de l’IA Act date en effet du 21 Avril 2021.
Plus encore, c’est depuis 2018 que la Commission européenne réunit régulièrement des experts de l’intelligence artificielle de toute l’Union, pour recueillir leurs pensées, leurs commentaires, leur expérience, sur cette technologie pas si nouvelle que ça.<br />
<br />
Le Comité Européen de la Protection des Données (CEPD), organisme également basé à Bruxelles qui regroupe les CNIL européennes et la CNIL française elle-même, le Conseil National du Numérique et d’autres, publient en pagaille depuis plusieurs semaines, des avis, des fiches sur l’intelligence artificielle, son impact, ses limites, ses dangers.<br />
<br />
Tout ça est très bien, mais une question préalable pourrait être posée : y a-t-il vraiment nécessité à réglementer l’IA ?<br />
<br />
S’agissant de sujets spécialisés, tels que la propriété intellectuelle ou le droit des données à caractère personnel, nous sommes déjà largement pourvus de textes de Lois qui répondront à l’éventuel nouveau besoin. <br />
<br />
Le Code de la Propriété Intellectuelle et le RGPD donneront des réponses à d’éventuels nouveaux besoins, au prix peut-être d’une adaptation ici ou là, mais le cadre est déjà et bien rempli. En tous cas, on peut être sur qu’il n’y aura pas de vide juridique.<br />
<br />
Alors si les sujets spécialisés ont leurs réponses, a-t-on besoin d’un texte général sur l’IA ?<br />
<br />
Après tout, les concepts juridiques de base existant sur la loyauté de l’information, la qualité des services notamment, devraient s’appliquer sans difficulté à l’IA. Pourquoi recréer la roue ?<br />
<br />
Tout ce ci est bien vrai, mais la réponse à cette question se trouve aux Conditions Générales d’Utilisation du service ChatGPT édité par OpenAI.<br />
<br />
Voilà ce qu’on peut y lire, sur la question de la responsabilité de l’éditeur OpenAI dans sa fourniture de ce service :<br />
<br /></p>
<ul>
<li>"<em>Le Site et les services proposés sont fournis « en l’état » sans garantie d’aucune sorte, expresse ou implicite. Nous ne garantissons pas que le Site ou les services proposés répondront à vos attentes, seront ininterrompus, exempts d’erreurs ou que les résultats qui peuvent être obtenus grâce à l’utilisation du Site ou des services proposés seront précis ou fiables. Nous ne pouvons être tenus responsables des dommages directs, indirects, accessoires ou consécutifs, y compris, sans limitation, les pertes de bénéfices, de données ou d’autres pertes immatérielles, découlant de l’utilisation du Site ou des services proposés.</em>"*<br /></li>
</ul>
<p><br />
<strong>Ici se trouve la nécessité d’une réglementation venant fixer les rôles et responsabilités des divers acteurs et en particulier de l’éditeur d’un service d’intelligence artificielle, et de celui ou celle qui en réutilisera les résultats.</strong><br />
<br />
A défaut, les Conditions Générales de Services ou d’Utilisation qui sont le contrat qui lie l’utilisateur à l’éditeur, écrit par un seul, l’éditeur, se trouveront à l’égal de ce que nous venons de lire, c’est-à-dire un système annoncé sans responsable.<br />
<br />
Il est évident que cette position ne tiendra pas devant un Tribunal, mais combien d’années, d’argent et de temps, faudra t’il aux courageux utilisateurs particuliers, pour le faire reconnaître ?<br />
<br />
Or, pour l’intérêt général, dès lors où une offre au public est faite, celui qui en prend la responsabilité, doit l’assumer sur le plan juridique.<br />
<br />
Il faut donc non seulement une réglementation, mais surtout une réglementation d’ordre public, affirmée comme telle car c’est la seule qui peut surpasser un contrat, c’est-à-dire les Conditions Générales de Services ou d’Utilisateurs de l’éditeur du service d’intelligence artificielle.<br />
<br />
En effet, selon un principe quasi universel, et codifié à l’article 6 du Code civil « <em>On ne peut déroger, par des conventions particulières, aux lois qui intéressent l'ordre public ...</em> »<br />
<br />
Il faut donc encourager cette démarche de l’Union Européenne, en espérant qu’elle saura accoucher de textes simples et compréhensibles de tous. C’est là aussi une condition de la sécurité et de l'efficacité juridique.</p>Limiter l'accès ou bloquer les sites, une nouvelle passion françaiseurn:md5:8d196673a8344e3f85caabd5ca6b87322023-08-21T16:39:00+01:002023-08-21T16:39:00+01:00Olivier Iteanu<p>Chacun se souvient ici, de la Décision du Conseil Constitutionnel du <a href="https://www.conseil-constitutionnel.fr/actualites/communique/decision-n-2009-580-dc-du-10-juin-2009-communique-de-presse" hreflang="fr" title="Décision n°2009-580 DC">10 Juin 2009</a> qui censurait une Loi de la même année confiant à l'HADOPI, chargée de lutter contre le téléchargement illégal, la faculté de restreindre ou couper l'accès à internet, le Conseil considérant que "<em>le législateur ne pouvait, quelles que soient les garanties encadrant le prononcé des sanctions, confier de tels pouvoirs à une autorité administrative dans le but de protéger les titulaires du droit d'auteur</em>".<br />
Ce temps semble désormais révolu et dans une évolution générale et majeure passée inaperçue, il semble bien que la restriction ou le blocage de sites soit en passe de devenir une nouvelle passion française.</p> <p><br />
<br />
La 1ère Ministre Elisabeth Borne, les Ministres de l’Intérieur et de la Justice ont signé le 12 Juin 2023 <a href="https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000047670149" hreflang="fr" title="Décret n°2023-454 relatif au blocage et déréférencement de sites">un Décret</a> qui donne à un service de police spécialisé en numérique, <a href="https://www.police-nationale.interieur.gouv.fr/Archives/Archivage-articles-Police-Nationale/Plateforme-Signalement-sur-Internet/Decouvrez-l-OCLCTIC" hreflang="fr" title="Présentation de l'OCLCTIC">l’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et la Communication</a> dite OCLCTIC le pouvoir de bloquer ou déréférencer sur sa seule décision et sans contrôle a priori d’un juge, un site web miroir.<br />
<br />
Or, ce Décret n'est plus isolé. Les exemples se multiplient depuis près d'un an et demi, de limitations ou de blocages de sites que le législateur et/ou le pouvoir exécutif, confient à des administrations ou autorités administratives, sans contrôle préalable d’un juge.<br />
<br />
Dans le code des sports par application d’une <a href="https://www.legifrance.gouv.fr/dossierlegislatif/JORFDOLE000043272782/" hreflang="fr" title="Loi n°2022-296 du 2 Mars 2022">Loi du 2 Mars 2022</a> <em>visant à démocratiser le sport en France</em> 😊, il est attribué au Président de l'autorité nationale des jeux, une des nombreuses autorités administratives indépendantes, le droit de mettre en demeure des sites à caractère pornographiques accessibles aux mineurs, y compris possiblement à l'encontre de ceux qui font la publicité de ces sites, puis, un délai passé, celui-ci se voit doter de la capacité d’ "<strong>ordonner</strong>" <a href="https://blog.iteanu.law/index.php?post/2023/08/21/++bien lire++" title="++bien lire++">++bien lire++</a> directement aux FAI, hébergeurs et autres "<em>d'empêcher l'accès ou faire cesser le référencement</em>". Un exemple frappant d'une autorité administrative disposant d'un pouvoir exorbitant sans contrôle a priori d'un juge judiciaire.<br /></p>
<p>A l’été 2022, c’est une Loi du 16 Août 2022, qui donnait à la Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes dite DGCCRF (<a href="https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000042615686" hreflang="fr" title="Article L521-3-1 du Code de la Consommation">article L521-3-1 du code de la consommation</a>) le pouvoir d’intervenir auprès des fournisseurs d’accès internet, hébergeurs et moteurs de recherche pour "<em>prendre toute mesure utile destinée à (en) limiter l’accès</em>" à un site que cette administration considèrerait contre contrevenant. La DGCCRF se voit même la faculté d’ordonner <em>aux opérateurs de registre et aux bureaux d’enregistrement de domaines de prendre une mesure de blocage d’un nom de domaine</em> dans un tête à tête avec les intermédiaires techniques hors de la vue de tout juge.<br />
<br />
Dans le projet de Loi visant à sécuriser et réguler l’espace numérique actuellement discuté au Parlement, c’est l’ARCOM qui se voit maintenant offrir le droit de bloquer les sites pornographiques qui ne contrôlent pas l’âge de leurs utilisateurs.<br />
<br />
Bien évidemment, chacun de ces textes pose des conditions à l’acte de blocage mais ces conditions ne pourront être contrôlées par un juge qu’a posteriori, c'est à dire dans des délais indéterminés et à un certain coût, une fois le blocage opéré.<br />
<br />
Bien sur, ces mesures peuvent paraître légitimes. Qui n’est pas pour protéger les mineurs des méfaits de la pornographie en ligne ? Mais au-delà des bons sentiments, c’est la multiplication de ces pouvoirs exorbitants distribués ici et là qui interroge. A-t-on bien mesuré l’impact de tels pouvoirs appliqués unilatéralement ?</p>Le smartphone plus fort que le permis de conduireurn:md5:b2243e4cd1f3b4cbdf9e52605b02a04c2020-07-08T21:43:00+01:002020-07-09T19:36:01+01:00Olivier IteanuTechnologiedématérialisation<p>Il y a quelque jours, je m’apprêtais à faire un virement via l’application sur mon smartphone mise à disposition par ma banque, quand je m’apercevais que le montant du virement dépassait le plafond autorisé par l’application.<br />
<br />
Je me résignais alors à me rendre au guichet de ma banque.<br />
<br />
Là, j’étais reçu par une guichetière, une jeune femme agréable, courtoise mais ferme.<br />
<br /></p> <p>Alors que je lui remettais le formulaire papier mis à disposition au guichet, mon ordre de virement préalablement rempli pour qu’elle l’exécute sur le champs, elle m’arrêtait dans mon mouvement et me demandait un titre attestant de mon identité.<br />
<br />
Je lui présentais mon permis de conduire, seule pièce en ma possession sur le moment, sans me douter de ce qui allait suivre.<br />
<br />
<em>« Ah non ! »</em> me fit-elle d’un grand cri et elle ajoutait : <em>« ce document n’est pas un titre d’identité, mais un diplôme ! »</em>.<br />
<br />
Frappé d’étonnement, j’avais beau lui faire valoir que ce document était un titre officiel d’identité délivré par l’Etat, que ma photo attestait de mon identité, que ce document faisait parti de ceux reconnus par l’Etat pour exercer mon droit de vote à toutes élections, rien n’y faisait.<br />
<br />
Ma guichetière tenait bon sur sa position : le permis de conduire ne suffisait pas à m’authentifier.<br />
<br />
Comme je grognais pour avoir perdu mon temps à me déplacer jusqu’à elle, elle me donnait alors la solution : écrivez de votre application sur votre smartphone à votre conseillère au sein de notre banque, me dit-elle, et je ferai votre virement.<br />
<br />
Je me reculais d’un mètre et clapotait sans délai sur le clavier de mon smartphone, un message à l’attention de la conseillère que je n’ai jamais vu de ma vie, lui demandant de réaliser un virement de tel montant, sur le compte bancaire dont je donnais l’IBAN de telle personne, puis je cliquais sur <strong>« envoyer »</strong>.<br />
<br />
En quelques secondes à peine, la guichetière, qui ne m’avait pas quitté des yeux, consultait son ordinateur, constatait l’arrivée du message adressé à sa collègue, et réalisait immédiatement le virement souhaité.<br />
<br />
Pour terminer, elle me remettait un document sur papier attestant de l’opération et me souhaitait une bonne journée.<br />
<br />
Ainsi donc, le smartphone aura été plus fort que le permis de conduire.<br />
<br />
A cela, cette histoire vécue m’inspire un commentaire.<br />
<br />
On pourra faire toutes les Lois que l’on veut, seuls les usages que se donnent les populations feront avancer la dématérialisation.<br />
<br />
Avec un niveau de compétence grandissant dans l’usage des outils numériques, la population installe la dématérialisation des relations là où elle y voit ou croit y voir une confiance de nature culturelle.<br />
<br />
Et peu importe les Lois ...</p>Audience en visioconférence, le Tribunal de commerce de Paris montre la voieurn:md5:52629ad6ee248f9109a33ceae69d71e32020-05-06T15:55:00+01:002020-05-06T15:55:00+01:00Olivier IteanuVie des TribunauxdématérialisationGoogle<p>Ce 30 Avril 2020, en plein confinement et crise sanitaire et alors que les Tribunaux de commerce sont fermés, le Président du Tribunal de commerce de Paris rend pourtant une <a href="https://www.legalis.net/actualite/100-000-e-dastreinte-pour-retablir-les-adwords-pour-le-118/" hreflang="fr" title="Site legalis.net">décision</a> dans laquelle Iteanu Avocats est intervenu.<br />
<br />
Il s'agit d'un litige portant sur le service Google Ads.<br />
<br />
Iteanu Avocats assiste cinq sociétés numériques qui s'opposent aux Sociétés Google France et Irlande.<br />
<br />
Les plaidoiries se sont tenues huit jours plus tôt, mais sans déplacement, ni transport d'aucune sorte, en visioconférence.<br />
<br /></p> <p><br />
Cette façon de faire est suffisamment rare pour la signaler et il convient de rappeler dans quel contexte elle intervient et selon quelles modalités.<br />
<br />
La visioconférence a été acceptée par le tribunal, aux vues du degré d'urgence de l'affaire.<br />
<br />
L'affaire avait été engagée quelques semaines plus tôt, avant confinement, dans le cadre d'un référé dit d'heure à heure.<br />
<br />
Avant confinement et fermeture du Tribunal, le Président du Tribunal de commerce avait ainsi autorisé les demanderesses à engager cette action en référé d'heure à heure par voie d'ordonnance, "aux vues de l'urgence" alléguée par les demanderesses.<br />
<br />
Dans l'ordonnance finalement rendue, le Président rappelait le cadre dans lequel cette audience en visioconférence intervenait :<br />
<br />
<q></q>En application de l’article 7 de l’ordonnance no2020-304 du 25 mars 2020 portant adaptation des règles applicables aux juridictions de l’ordre judiciaire statuant en matière non pénale, les parties ont été invitées à comparaître devant Monsieur Laurent Levesque, président, à l’audience du 22 avril 2020 à 11h, qui s’est tenue en visioconférence via la plateforme <a href="https://www.tixeo.com/visioconference-securisee/" hreflang="fr" title="Site Web Tixeo">Tixeo</a>. Un procès-verbal des opérations effectuées est dressé par le greffier.<q></q><br />
<br />
<br />
<br /></p>
<ol>
<li>1. De nouvelles pratiques à imaginer<br /></li>
</ol>
<p><br />
Le Greffe du Tribunal de commerce de Paris, omniprésent, très concentré sur la réussite de l'audience en visioconférence, prenait la peine quelques jours plus tôt et avant l'audience en visioconférence, de convoquer les Avocats plaidants "en ligne", de façon à procéder à un test sur la plateforme Tixeo.<br />
<br />
Le test était concluant.<br />
<br />
Le Tribunal avait en effet fait le choix de cette plateforme Tixeo, à technologie française certifiée CSPN et qualifiée par l’<a href="https://www.ssi.gouv.fr/en/" hreflang="fr" title="Site Web de l'ANSSI">ANSS</a>I (Agence nationale de la sécurité des systèmes d’information).<br />
<br />
Le Greffe allait également demander aux Avocats d'adresser quelques jours avant l'audience, leurs dossiers de pièces et leurs dernières conclusions, prioritairement sur une plateforme de stockage informatique (drive) indépendante et opérée par une société hollandaise, chaque Avocat pouvant également adresser ces dossiers sur support papiers à l'adresse du magistrat. Le Greffe précisait d'ailleurs dans son message, que la communication par voie électronique était préférée.<br />
<br />
Les deux Cabinets d'Avocats choisissaient cependant de communiquer leurs dossiers en mode électronique et sur support papier, ce dernier support permettant de mieux circuler au milieu de plusieurs dizaines de pages de courriers, courriels, copies d'écrans, procès-verbaux d'Huissiers, décisions de jurisprudence, actes de procédure etc. ...<br />
<br />
<strong>Le numérique est sans limite, mais pas l'homme ...</strong><br />
<br />
Contrairement à une idée répandue, la technophilie n'appelle pas le tout numérique. Elle appelle à utiliser les technologies de manière harmonieuse et avec les limites qui sont imposées à l'être humain.<br />
<br />
<br />
<br /></p>
<ol>
<li>2. Les premières leçons à tirer<br /></li>
</ol>
<p><br />
<br />
Au final, l'affaire était plaidée sans incident majeur, dans des salles de conférence manifestement improvisées : le Président quelque part dans un bureau, le Greffier quelque part dans un autre bureau, les Avocats regroupés de leur part dans des bureaux distincts, le tout en mode galerie.<br />
<br />
A départ de l'audience, chaque Avocat était appelé à produire sa carte professionnelle face à l'écran, de façon à ce que soit constaté par le Greffier son identité.<br />
<br />
Les débats se déroulaient ensuite pour se clôturer après que chacun ait eu le temps de faire valoir ses moyens, le Président le temps de poser ses questions, les Avocats d'y répondre.<br />
<br />
Au final, avec un peu d'imagination, un Greffe et un Tribunal impliqués, une technologie a minima sécurisée et des pratiques entre les uns et les autres qui se forgent, la visioconférence a démontré ici qu'elle pouvait contribuer à ce que la Justice se fasse.<br />
<br />
Bien sur, il n'est pas question qu'elle remplace l'audience ordinaire, celle où l'intonation de la voix, les mouvements et le langage du corps, le contact direct entre hommes et femmes, participent d'une justice pleinement humaine.<br />
<br />
Mais du point de vue de l'Avocat, conseil de ses clients certes, mais aussi auxiliaire de justice, l'audience en visioconférence aura montré qu'elle est capable d'apporter quelque chose à l'oeuvre de justice, dans des situations particulières ou extrêmes.<br />
<br />
Elle permet ainsi et aussi, de convaincre et de trancher un litige.<br />
<br />
La justice se trouve non pas dépossédée de ses pratiques ancestrales, mais enrichie d'un nouvel outil.<br />
<br /></p>La donnée personnelle n'est pas toujours celle que l'on croiturn:md5:2481d1b91030224ae7275fb4fab851142020-01-05T14:37:00+00:002020-01-05T14:43:17+00:00Olivier Iteanu<p>Avec l’entrée en application largement médiatisée du RGPD en 2018, chacun croit savoir savoir ce qu’est une donnée personnelle ou à caractère personnel.<br />
<br />
Il est vrai que la donnée personnelle est précisément définie depuis la première loi de 1978 relative à l'informatique, aux fichiers et aux libertés qui a institué la CNIL.<br />
<br />
Cette définition est désormais reprise et détaillée à l’article 4 du RGPD.<br />
<br />
On peut la résumer par la formule suivante : <em>toute information susceptible d’identifier, directement ou indirectement, une personne physique</em> .<br />
<br />
Pourtant la définition est trompeuse.<br />
<br /></p> <p>Dire par exemple qu’un nom patronymique est une donnée personnelle est faux. <br />
<br />
Ce qui rend une information "donnée personnelle", c’est <strong>en premier lieu son contexte</strong> qui aboutit à identifier, directement ou indirectement une personne physique. <br />
<br />
En 2008 déjà, dans une <a href="https://www.legalis.net/jurisprudences/tribunal-de-grande-instance-de-paris-ordonnance-de-refere-22-septembre-2008/" hreflang="fr" title="Ordonnance de référé">ordonnance de référé du 22 septembre</a> de cette année, le Président du Tribunal de Paris avait jugé que dans le contexte du cas jugé, le nom patronymique n’était pas une donnée personnelle. <br />
<br />
En l’occurrence, un site de généalogie vendait l’histoire de noms patronymiques, leur localisation sur une carte de France telle que recensée par l’INSEE. <br />
Un service classique pour ce genre de site. <br />
<br />
Seulement, un particulier n’était pas d’accord.<br />
<br />
Il attaquait alors le site faisant valoir que l’usage de son nom était utilisé sans son consentement préalable.<br />
<br />
Le juge a considéré que dans ce cas <em>« le patronyme</em> (en question) <em>à lui seul n’identifie d’évidence pas le demandeur, qui ne disconvient pas qu’il n’est pas le seul à le porter »</em>. <br />
<br />
Dès lors, dans ce cas, le nom de famille, pourtant toujours présenté comme donnée personnelle, s'est révélé ne pas être une donnée personnelle.<br />
<br />
Un rappel salutaire qu'il faut avoir en tête aujourd'hui.</p>L’algorithme ne sera pas mon jugeurn:md5:3db13e8d93a43966065a4dc32920e9d12019-09-24T21:23:00+01:002019-09-25T12:55:10+01:00Olivier IteanuVie des Tribunaux<p>Legaltech, intelligence artificielle, dématérialisation, etc. … Au fur et à mesure que la société toute entière bascule sur ou autour des réseaux numériques, phénomène que l’on nomme la transformation numérique, les algorithmes se multiplient et peuplent le quotidien du citoyen.<br />
<br />
En particulier, on voit se développer une offre de logiciels dits de justice prédictive, basée sur des algorithmes.<br />
<br />
A partir de la collecte des décisions de justice déjà rendues, et de leur comparaison, ces logiciels prétendent anticiper le résultat attendu d’un procès à venir, sur la base d’algorithmes intégrés dans le phénomène plus large dit de l’intelligence artificielle. <br />
<br />
La définition de l’algorithme retenue par Wikipedia est la suivante: « <em>un algorithme est une suite finie et non ambiguë d’opérations ou d'instructions permettant de résoudre une classe de problèmes</em>. »</p>
<p>L’ordinateur exécute ensuite l’algorithme ce qui aboutit à automatiser un certain nombre d’opérations.</p>
<p>Dans ces conditions, l’algorithme peut-il aboutir par la voie d’opérations automatisées, à rendre un jugement en lieu et place d’un juge fait de chair, de sang et doté d’une âme ?</p> <p><strong># A Le fantasme de la Justice prédictive<br /></strong>
<br />
<strong># .1 Une justice sans contexte n’est pas possible<br /></strong>
<br />
La clause de non concurrence insérée au contrat de travail d’un salarié en droit français, interdit à ce dernier d’être employé du concurrent de son actuel employeur, une fois qu’il l’aura quitté.<br />
<br />
Parce qu’à la fois elle est une atteinte à la liberté du travail, droit constitutionnel reconnu à tout citoyen, et qu’en même temps elle défend les intérêts légitimes de l’entreprise, depuis 1945 la jurisprudence a admis par principe la validité d’une telle clause insérée au contrat de travail, mais en posant trois conditions à sa licéité.<br />
<br />
La clause devait être limitée dans le temps, dans l’espace et quant à la fonction concernée. <br />
<br />
De jurisprudence constante pendant cinquante ans, les tribunaux ont fait application systématique de cette doctrine. En particulier, ils ont toujours refusé d’y associer une quatrième condition, à savoir que la clause serait licite seulement si elle était rémunérée.<br />
<br />
Aussi, sauf pour quelques Conventions Collectives, les clauses de non concurrence insérées aux contrats de travail, y compris celles rédigées par les Conseils et Avocats, ne prévoyaient pas sa rémunération.<br />
<br />
Le 2 Juillet 2002, par un revirement spectaculaire, la Chambre Sociale de la Cour de Cassation décidait que la condition de rémunération serait désormais la quatrième condition posée à la licéité de la clause de non concurrence au contrat de travail.<br />
<br />
En quelques secondes, la Cour de cassation anéantissait cinquante années de jurisprudence constante.<br />
<br />
Surtout, cette décision de la plus haute juridiction française rendait nulle des centaines de milliers de clauses rédigées par les justiciables éventuellement assistés de professionnels du droit, qui ne prévoyaient pas une telle rémunération.<br />
<br />
Ce cas d’un revirement total d’une solution à un litige, n’est pas isolé et il est une illustration évidente de l'argument qui réfute la justice prédictive par l'algorithme.<br />
<br />
<br />
Il se comprend par le fait que le droit se dit dans un contexte auquel les juges sont sensibles. Ce contexte est de plus en plus souvent le résultat d’une actualité. Ce contexte peut pousser la Justice à évoluer voire à prendre des décisions exactement contraires à celles prises de manière constante pendant des années.<br />
<br />
L’algorithme prend des décisions sur la base d’un énoncé du problème, de statistiques, qui ne peut tenir compte d’éléments aussi irrationnels que le ressenti des juges et leur sensibilité au contexte et à l’actualité.<br />
<br />
<br />
<strong># .2. Le droit c’est d’abord … le fait <br /></strong>
<br />
La justice française et de droit continental sont fondées sur un raisonnement appelé le syllogisme.<br />
<br />
Le juge français raisonne par la voie du syllogisme, c’est-à-dire comme les philosophes, en trois étapes et de manière déductive.<br />
<br />
Le juge doit d’abord déterminer le fait qui lui est soumis. Dans un litige, le plus souvent, chaque partie au procès à sa version des faits. <br />
<br />
En fonction des preuves qui lui sont rapportées, de sa propre appréhension des faits, le juge doit déterminer quel est le fait auquel il est lui est demandé d’appliquer la Loi. C’est la partie probablement la plus difficile, la moins apprise de manière académique, de son travail.<br />
<br />
Une fois les faits établis, le juge leur fait correspondre la Loi applicable.<br />
<br />
Il restitue ainsi la solution au litige, qu’il tranche au nom du peuple français.<br />
<br />
Ainsi donc, le jugement et le droit dépendent du fait tel que rapporté, plaidé par chaque partie, demandeur et défendeur. Ceci explique d’ailleurs pourquoi, il peut arriver que deux juges prennent dans deux affaires différentes et en apparence semblables, deux décisions différentes voire contraires. Sans compter que notre système peut admettre que deux juges prennent des décisions opposées, jusqu’à ce que la Cour de cassation les unifie.<br />
<br />
Comment un algorithme pourrait il faire la part des choses entre deux versions de faits qui s’affrontent ?<br />
<br />
<br />
<strong># .3. L’erreur humaine plutôt que le bogue<br /></strong>
<br />
Enfin, la justice n’est pas infaillible. C’est d’autant plus vrai qu’elle est humaine.<br />
<br />
Un Tribunal peut avoir été conduit dans l’erreur par mauvaise compréhension du litige ou préjugés.<br />
<br />
L’algorithme n’est pas non plus infaillible.<br />
<br />
Une erreur de programmation a pu l’affecter (bogue en français ou bug en anglais) de même qu’une panne (panne matérielle, de réseau, de l’environnement technique etc. …), voire une cyberattaque.<br />
<br />
Dans le second cas, il s’ajoute que les parties pourraient ne pas la détecter.<br />
<br />
<br />
<strong># B. L’algorithme comme aide à la décision<br /></strong>
<br />
L’algorithme et son expression la plus connue à ce jour, l’intelligence artificielle, est capable d’une puissance de calcul bien supérieure à l’homme, c’est certain.<br />
<br />
Aussi, au moment de prendre la décision, par exemple d’engager ou pas une action en fonction de la jurisprudence existante ou de la Doctrine universitaire sur le sujet du litige, une partie et son conseil pourraient recourir à un service d’intelligence artificielle qui lui restitue un avis documenté très étoffé.<br />
<br />
C’est son principal apport, l’algorithme va largement améliorer la prévisibilité des décisions de justice.<br />
<br />
Il est également vrai qu’avec le numérique, les réseaux numériques et internet, l’open data (accès libre et gratuit aux données), la diffusion du savoir juridique au public s’est très largement améliorée. Cette diffusion n’est plus limitée aux cercles fermés des professionnels du droit, elle est désormais accessible à tous. C’est un progrès certain qui va sans doute s’accélérer avec l’intelligence artificielle.<br />
<br />
Ces entreprises qui entendent occuper ce marché sont appelées « legal techs ».<br />
<br />
Cependant, nous voyons trois limites à cette aide à la décision automatisée et massive :<br />
<br /></p>
<ul>
<li>Dans l’exemple que nous donnons en 1.1., sur la clause de non concurrence et le revirement jurisprudentiel de la Cour de Cassation, il s’est trouvé une partie à un litige et son Avocat pour, en dépit d’une jurisprudence constante et de longue date, exactement contraire à la solution finalement choisie par la Cour de cassation, tenter de renverser la solution statistiquement proche de 100%, autant devant le Conseil des Prud’hommes, que la Cour d’appel voire la Cour de cassation.</li>
<li>Les objectifs d’une partie à un litige sont le plus souvent de gagner le procès et de faire gagner sa thèse. Cependant, d’autre motifs peuvent exister comme de gagner du temps, pousser l’adversaire à l’accord au regard des frais et du temps à engager etc. … Dans ces derniers cas, la prévisibilité d’un procès est au final de moindre importance</li>
<li>Enfin, le droit s’est complexifié, les matières s’entrechoquent (ex. propriété intellectuelle et droit de la concurrence), de sorte que même statistiquement, il est difficile d’anticiper une décision de justice.<br /></li>
</ul>
<p><br />
<br />
<strong>En conclusion</strong>, il est certain que le développement des outils numériques au travers de l’intelligence artificielle et des algorithmes, vont un peu plus bouleversés la pratique des professionnels du droit et des juges.<br />
<br />
Mais c’est une évolution débutée il y a 20 ans qui ne fait que s’accélérer, et non un phénomène nouveau.<br />
<br />
La ligne rouge à cette évolution attendue, reste à notre sens que la justice reste une activité sous contrôle humain. La libre appréciation des juges, le fait qui détermine l’application du droit, ne peuvent être confiés à des machines.<br />
<br />
La Loi informatique et libertés du 6 Janvier 1978 dans sa rédaction d’origine comportait un article 2 désormais inséré à l'article 47 de cette Loi (merci à @GeorgeonT): « <em>aucune décision de justice impliquant une appréciation sur un comportement humain ne peut avoir pour fondement un traitement automatisé d’informations donnant une définition du profil ou de la personnalité de l’intéressé</em>. »<br />
<br />
Tout est dit.</p>Le gendarme est en balladeurn:md5:e1b015b927d8a58ae5c218cad648beb32019-07-24T18:13:00+01:002019-07-24T18:13:00+01:00Olivier IteanuVie des Tribunaux<p>C’est une affaire rare que le Conseil d’Etat nous a donné à connaître dans une <a href="https://www.legalis.net/jurisprudences/conseil-detat-7eme-ch-decision-du-24-avril-2019/" hreflang="fr" title="Legalis.net">décision rendue le 24 avril 2019.</a> <br />
<br />
Un Capitaine de gendarmerie a été sanctionné de quinze jours d’arrêts pour avoir consulté «<em> les fichiers de gendarmerie</em> » de manière illégale. <br />
<br />
Ces consultations illicites portaient sur l’employeur de sa fille ainsi que sur des membres de sa famille. Au total, ce Gendarme qui n’était pas de Saint-Tropez mais du centre opérationnel de la gendarmerie de Rouen, aurait reconnu avoir consulté sans justification plus de trois cent fiches individuelles de citoyens.<br />
<br />
Le Gendarme ayant contesté la sanction, après avoir reconnu les faits durant l’enquête, les juridictions administratives ont été saisies de ce recours, qui aboutit à cette décision inédite de la plus haute des juridictions de l’ordre administratif de l’Etat de droit français.<br />
<br /></p> <p><strong>Le LOVINT, un phénomène mal connu mais bien réel</strong><br />
<br />
<br />
On pense toujours à protéger les données personnelles que l’on détient régulièrement, de la consultation ou de l’extraction par des tiers extérieurs à l’organisation auquel on appartient et non autorisés. <br />
<br />
L’esprit des Lois depuis la première loi informatique, fichiers et libertés de 1978 et plus récemment du <a href="https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679" hreflang="fr" title="EUR Lex">RGPD</a> est très grandement tourné en particulier dans ses dispositions relatives à la confidentialité et à la sécurité des données, vers l’organisation de la protection contre ces accès et consultations illicites.<br />
<br />
Pourtant, en matière de cybercriminalité, chacun sait que les premiers abus d’accès et de consultations aux traitements, viennent de l’intérieur. <br />
<br />
Il est tout à fait humain et tentant, de consulter la fiche de son voisin avec lequel les relations ne sont pas toujours au beau fixe.<br />
<br />
On peut aussi s’amuser à consulter des fiches de célébrités. On peut aussi rendre un service, gratuit ou … payant.<br />
<br />
Après tout, c’est si facile et ça ne semble pas si « méchant » et c’est très valorisant.<br />
<br />
Du point de vue du responsable du traitement, la pratique est un cauchemar. Il est en effet très difficile de prévenir de tels comportements, l’abus venant de l’intérieur c’est-à-dire de ceux connaissant intimement le fonctionnement du système et les règles de protection.<br />
<br />
A la NSA américaine , cette pratique a un nom. On l’appelle la LOVEINT par référence à l’usage par lequel on utilise son accès pour son partenaire amoureux, sa compagne ou son compagnon (Love) ou pas intérêts (INT comme interests).<br />
<br />
Dans son livre « Data and Goliath », Bruce Schneier évoque cette pratique illégale mais qui peut ne pas être sans conséquence pour les personnes concernées.<br />
<br />
Citant Edward Snowden et un audit de la NSA réalisé sur 12 mois entre 2011 et 2012, il révèle que cette pratique aurait été relevée durant cette période 2.776 fois sur les traitements de l’Agence nationale de la sécurité rattachée au département de la défense des Etats-Unis. Il ajoute que le chiffre devrait être bien plus important, car ces informations viennent de la NSA elle-même … <br />
<br />
Bien évidemment, plus le fichier est gros, plus le nombre de personnes autorisées à y accéder est important, plus le risque est grand de voir se développer le LOVEINT.<br />
<br />
Il n’y aucune raison que ce type de comportements se limite d’ailleurs aux fichiers publics, et on n’ose imaginer ce qui se passe dans certaines grandes entreprises d’outre Atlantique, aspirateurs de donnée à caractère personnel venant du monde entier et renfermant toutes sortes de renseignements. Ceux qui imaginent et entendent mettre en œuvre le "tous fichés", devraient constamment avoir à l'esprit cette réalité.<br />
<br />
<br />
<strong>Un phénomène difficile à contrer</strong><br />
<br />
<br />
En l’espèce, le capitaine de gendarmerie était manifestement spécialement habilité à accéder à certains fichiers de données personnelles sur un fichier dont le Conseil d’Etat se garde bien de donner des détails. <br />
<br />
Tout au plus sait-on qu’il s’agissait d’un « fichier de gendarmerie ».<br />
<br />
On peut penser que ce fichier comprenant des informations assez intrusives sur les personnes physiques qui s’y trouvaient recenser.<br />
<br />
Il est évident qu’un tel traitement ne peut être consulté à des fins personnelles.<br />
<br />
En droit, le point ne soulève aucune difficulté. La pratique consistant, même pour une personne habilitée à accéder aux données personnelles s’y trouvant, à les traiter pour une finalité autre que celle résultant de son habilitation, constitue un manquement aux principes fixés à l’article 5 du RGPD selon lesquels, notamment, il est interdit de traiter des données personnelles d'une manière incompatible avec les finalités pour lesquelles elles ont été collectées initialement.<br />
<br />
Ces manquements sont sanctionnés sévèrement.<br />
<br />
S’il est démontré que cette consultation illicite est la conséquence d’un manquement à une obligation de sécurité élémentaire ou à une non-conformité aux règles de l’art dans le domaine de la cybersécurité, une violation du privacy by design, le responsable de traitement, en l’espèce la gendarmerie, encourt une amende administrative prononcée par la CNIL pouvant s’élever jusqu’à 20.000.000 € ou jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent pour les entreprises.<br />
<br />
Mais le gendarme lui-même, en dehors de la sanction disciplinaire dont il a fait l’objet, pourrait voir sa responsabilité pénale engagée.<br />
<br />
En effet, l’article 226-21 du Code pénal dispose que :« <em>Le fait, par toute personne détentrice de données à caractère personnel à l'occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité telle que définie par la disposition législative, l'acte réglementaire ou la décision de la Commission nationale de l'informatique et des libertés autorisant le traitement automatisé, ou par les déclarations préalables à la mise en oeuvre de ce traitement, est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende</em>. »<br />
<br />
C’est donc bien lui qui personnellement peut subir les foudres des juges correctionnels.<br />
<br />
Mais la difficulté n’est pas juridique. Elle est d’ordre pratique et du domaine de la preuve.<br />
<br />
Comment en effet déterminer qu’un ayant droit, celui qui dispose du droit d’accès à un traitement, a violé son principe de finalité lors d’une consultation ?<br />
<br />
Puisqu’il connaît les règles applicables dans l’entreprise dans ce domaine et la manière dont elles sont contrôlées et appliquées, il est le mieux placé pour contourner tous ces dispositifs.<br />
<br />
La parole est ici bien plus à la technique et à l’organisation qu’au droit.<br />
<br />
Elles seules sont capables de détecter la consultation douteuse qui donnera lieu à enquête et éventuellement à enquête. <br />
<br />
Dans la décision du Conseil d’Etat, aucune précision n’est ici apportée. Mais les juges administratifs constatent que le Capitaine de Gendarmerie, « <em>a reconnu lors d’une audition les faits</em> ». <br />
<br />
C’est donc bien en trois temps que les choses doivent s’organiser pour lutter contre le LOVINT. <br /></p>
<ul>
<li>Tout d’abord, il s’agit de mettre en place une éducation en interne, qui rappelle les limites du droit d’accès au traitement et à sa consultation. <br /></li>
<li>Ensuite, la construction de procédures préalables à l’accès qui sont censées interdire, à tout le moins, la consultation sauvage, doivent être élaborées. <br /></li>
<li>Enfin, l’énoncé de critères qui pourraient déclencher l’enquête, tels que l’heure de consultation, le volume de données consultées ou extraites, la fréquence des consultations, doivent être établis. <br /></li>
</ul>
<p><br />
Alors seulement, lorsque la preuve de l’illicéité du comportement aura été établie, le droit passera.</p>« Cyberstructure » par Stéphane Bortzmeyerurn:md5:9588359cc3b92934a511c389496bf3be2019-02-17T13:30:00+00:002019-02-17T13:35:26+00:00Olivier Iteanu<p>Cet ouvrage, paru fin d’année 2018, est l’œuvre d’un des meilleurs spécialistes mondial du système de nommage internet (DNS), Stéphane Bortzmeyer, ingénieur R&D au sein de l’Afnic. <br />
<br />
Les questions de sécurité du DNS n’ont pas secret pour lui, comme les travaux de l’ICANN et de l’IETF auxquels il participe activement depuis 25 ans.<br />
<br />
L’ambition de l’ouvrage est annoncée dès les premières pages. <br />
<br />
Les débats sociétaux et politiques qui agitent l’Internet intéressent au plus haut point Stéphane Bortzmeyer. Mais ces débats sur les droits d’auteur, la neutralité du net et la censure, la défense de la vie privée bien sur, la cryptomonnaie et la cybersécurité, « <em>sont rarement appuyés sur une compréhension du fonctionnement de l’Internet, du point de vue technique, comme du point de vue humaine</em> » regrette l’auteur et il a raison.<br /></p> <p>Le livre répond à ce constat. Il est alors ponctué de nombreuses définitions issues des RFC bien connues de l’auteur, qualifiés de textes sacrés de l’Internet, ou de son observation des phénomènes, préalable à un énoncé indispensable des problématiques traitées. <br />
<br />
De ce point de vue, le livre est une parfaite réussite.<br />
<br />
Pour tous ceux qui s’intéressent au devenir de nos sociétés en voie de numérisation, notamment les juristes, l’ouvrage s’avèrera dès lors un complément précieux. <br />
<br />
De la vie privée et de sa définition de la RFC4949, complément intéressant à la définition juridique française et européenne, jusqu’au Botnet, deep web, VPN en passant par les cookies et la chaîne de blocs (blockchain) décrits de manière synthétique, on en finit pas d’apprendre ou de préciser ses connaissances à chaque page de ce livre.<br />
<br />
L’autre ligne force du livre tient à ce que Stéphane Bortzmeyer place ce qu’il appelle les droits humains (pourquoi pas les droits de l’homme ?) au dessus de la technique. <br />
<br />
Pour l’auteur, qui cite les travaux de l’IETF, il y a de la politique dans les protocoles de l’Internet. Il cite le cas des RFC « politiques » 1984 et 7258 qui traitent notamment de la cryptographie des protocoles de l’Internet.<br />
<br />
C’est là, la véritable originalité de l’ouvrage et sa valeur ajoutée, peu commune dans la littérature francophone.<br />
<br />
<br />
<img src="https://blog.iteanu.law/public/index.jpg" alt="index.jpg" title="index.jpg, fév. 2019" /><br />
<br />
<br />
Le lecteur pourra cependant regretter qu’il manque un fil rouge qui dépasse le catalogue des thèmes traités, une idée force, un peu de hauteur, un programme politique associé à l’ouvrage, ce que pouvait laisser espérer le sous-traite du livre « <em>L’Internet, un espace politique</em> ».<br />
<br />
Mais cela s’explique sans doute par le fait que Stéphane Bortzmeyer est en phase d’une mutation non encore totalement achevée.<br />
<br />
Vulgariser la technique, pour un membre de la communauté technique de l’Internet, n’est pas toujours bien vu par les membres de cette communauté, et pourtant, il l’a fait.<br />
<br />
Reconnaître que la politique et donc le droit, doivent être associés à la technique et la surpassent, n’a pas toujours été non plus la position de cette même communauté, et par exemple de l’Afnic à laquelle appartient Stéphane Bortzmeyer. Ainsi, à son origine, l’office d’enregistrement du .fr et son ancêtre l’INRIA voyaient dans le nom de domaine en .fr une pure ressource technique et c’est tout. La conséquence était que l’Afnic refusait d’enregistrer toute cession d’un nom de domaine en .fr, considérant que puisqu’il n’était qu’une ressource technique, il était hors du commerce. Les choses ont bien changé.<br />
<br />
L’autre raison qui explique le positionnement descriptif du livre tient à ce que l’auteur, qui se qualifie « d’optimiste irréaliste », n’avait tout simplement pas cette ambition. Son ambition avec ce livre, est d’éclairer les débats sociétaux et politiques d’une dimension technique et humaine.<br />
<br />
Aux termes de la lecture, on ressort en effet mieux armé, bien plus assuré, pour débattre des sujets fondamentaux de l’Internet, et cela rend l’ouvrage indispensable.<br />
<br />
Dernière chose, j’ai acheté le livre. Il coûte 22 euros et est édité par la maison <a href="https://cfeditions.com/public/" hreflang="fr" title="C&F éditions">C&F éditions</a> animée par Hervé Le Crosnier, bien connu des activistes de l’Internet.</p>Cloud Act : halte à la propagande !urn:md5:8d4f0e612238eff1de02e4e7958e225a2019-01-16T20:30:00+00:002019-01-16T20:35:07+00:00Olivier Iteanu<p>Dans une tribune parue dans la quotidien Les Echos, rubrique le point de vue du 2 octobre 2018, le Président du Syntec Numérique est l’auteur d’un article surprenant intitulé « <strong>Cloud Act ; halte à la désinformation !</strong> ».<br />
<br />
L’article est rédigé sur le thème <em></em><em>circulez y a rien à voir</em>. <br />
<br />
Or, à l’heure où toute l’informatique bascule dans le cloud computing, entrainant les clients utilisateurs, cette Loi votée par le Congrès américain le 23 mars 2018 et promulguée par l’administration Trump, mérite au contraire et c’est le moins, une alerte à l’endroit de tout l’écosystème du cloud computing européen.</p> <p>L’auteur de l’article s’étonne tout d’abord du nom donné à la Loi d’outre Atlantique, le « Cloud Act ». <br />
<br />
Or, ce nom est donné par … l’article 1 de la Loi. <br />
<br />
Si le 115ème Congrès américain lui-même et le porteur du projet, un membre du Congrès Républicain Dog Collins, un ancien Lieutenant-Colonel de L’US Air Force, a fait le choix du nom Cloud Act, c’est qu’il y a une raison. <br />
<br />
Dès les premières lignes du texte (article 3), on désigne le type d’acteur concerné, à savoir le <em>provider of electronic communication service or remote computing service</em>, cette dernière catégorie visant directement l’industrie du Cloud computing. <br />
<br />
C’est donc tout naturellement que le texte prend cet intitulé.<br />
<br />
<br />
Le Président du Syntec Numérique continue sa démonstration en assénant qu’il <em>ne s’agit pas d’introduire une extraterritorialité du droit américain</em>.<br />
<br />
A-t-il seulement lu le titre exact de la Loi, Cloud Act étant son acronyme : « <strong>Clarifying Lawful Overseas Use of Data</strong> ». <br />
<br />
Le terme important est ici « overseas », c’est-à-dire hors des Etats-Unis. <br />
<br />
Il s’agirait de clarifier un usage légal des données hors des Etats-Unis. <br />
<br />
Si le texte est bien un texte de Loi national, on ne peut le contester, son effet est incontestablement extra-territorial et revendiqué comme tel. <br />
<br />
Plus encore, si la tribune entend rappeler que les filiales américaines de nos acteurs européens seront concernées par le Cloud Act, ce qui est vrai, l’auteur omet une information de taille. A l’inverse, les juridictions américaines considèrent que le texte s’applique aux personnes morales établies aux Etats-Unis et à toutes celles qu’elles contrôlent dans le monde, y compris en Europe. <br />
<br />
Cette précision est fondamentale et, pour les européens, elle manque cruellement à une tribune censée lutter contre la désinformation. <br />
<br />
Sur la notion de data, on ne peut non plus passer sous silence, sa définition. Il s’agit de <em>any record or any information pertaining to a customer or subcriber</em> soit toute information, d’un client ou d’un abonné en la possession du prestataire, métadonnées et contenus. <br />
<br />
Par ailleurs, l’auteur indique que le texte s’applique aux « services de renseignements américains (…) dans le cadre d’enquête judiciaire ». D’une part, c’est une erreur de cantonner le texte aux seuls services de renseignement. Ce sont aussi toutes autorités de poursuite aux Etats-Unis qui bénéficient du régime légalisé, jusqu’au plus petit Shérif du fin fond du dernier des Etats américains. D’autre part, le Cloud Act qui vient s’insérer dans l’US Code, vient compléter le Patriot Act (rebaptisé sous l’administration Obama Freedom Act), et dans certains cas, le contrôle judiciaire a priori est inexistant, même si, il est vrai, que les Etats-Unis étant un Etat de droit, on peut toujours envisager un recours juridictionnel, sous peu que la personne concernée ait été informée de la mesure dont elle a été l’objet. <br />
<br />
Parlons, justement, des recours face au Cloud Act. <br />
<br />
Si un prestataire cloud soumis au Cloud Act, reçoit de l’Etat américain une demande de communication de données concernant un citoyen européen, il peut contester la demande en justice, laquelle pourrait rejeter la demande des autorités publiques, selon des critères complexes insérés dans la Loi. <br />
<br />
Ces critères sont fonction de l’Etat dont dépend le citoyen et les qualités de cet Etat, notamment par exemple s’il est un Etat démocratique ou pas.<br />
<br />
Que le prestataire ait un recours pour contester la demande de communication de données qu’il reçoit, c’est très bien, mais la personne concernée, dispose t’elle d’un recours elle-même ? La réponse est non. Saura t’elle seulement qu’elle a fait l’objet d’une demande de communication de ses données, personnelles ou stratégiques et non personnelles, probablement non. Combien de temps seront conversées ses données ? Aucune réponse, alors que depuis des décennies et particulièrement le 25 mai 2018 avec le RGPD, les personnes concernées sont au centre du dispositif légal en Europe. <br />
<br />
Enfin, nous ajouterons que le Cloud Act officialise, légalise, institutionnalise, une pratique probablement en cours depuis plus de 10ans, en dépit des dénégations de certains prestataires américains. Mais en légalisant ces pratiques, elle va probablement les automatiser un peu plus, travailler à leur efficacité au grand jour. <br />
<br />
Nous voyons deux problèmes à cela.<br />
<br />
D’une part, ce que le Sénat Américain appelle le LOVINT (Love and interests). Le LOVINT signifie que quand on met en place des accès nombreux à une ou des bases de données qui regroupent des contenus citoyens du monde, on risque immanquablement la consultation illégale de la part de personnes qui disposent d’un droit d’accès. On appelle ces consultations Love and Interests, car ces accès ont pour finalité des histoires de cœur de la personne ou de son entourage ou ses intérêts divers, pour « rendre un service » ou contre rémunération. La pratique est totalement illégale, mais elle a cours, la tentation est trop grande et le contrôle très difficile.<br />
<br />
D’autre part, l’espionnage industriel aura une base de connaissance de très grande qualité avec le Cloud Act, ce qui devrait inquiéter en temps normal les organisations professionnelles de défense des entreprises européennes.<br />
<br />
<br />
Un des premiers effets du Cloud Act aura été de mettre fin à la sage judiciaire qui opposait depuis 2014 Microsoft au Department Of justice (DOJ) des Etats-Unis. Microsoft avait refusé de transmettre à la Justice américaine des données stockées en Irlande. Les juges américains avaient considéré que le géant de Seattle devait le faire et la société de Bill Gates avait été jusqu’à saisir la Cour Suprême des Etats-unis. <br />
<br />
On attendait la décision des plus hauts juges d’une semaine à l’autre, quand le Congrès a voté le Cloud Act résolvant le différend dans le sens du DOJ. Du coup, l’affaire s’est arrêtée et la Cour Suprême n’aura jamais à se prononcer. <br />
<br />
<strong>Le Cloud Act montre une chose de claire. Le problème n’est pas les GAFAM, le problème, c’est nous-mêmes. Si nous ne sommes pas capables de nous respecter nous-mêmes, d’exiger le respect de notre Etat de droit, de nos entreprises, moteurs de notre Société, comment peut on exiger cela des autres ?</strong></p>Patrimonialisation des données, que faut-il en penser ?urn:md5:1a535730c4966a56bb6c37d21573d38c2018-02-26T18:19:00+00:002018-10-29T15:42:33+00:00Olivier Iteanu<p>Depuis quelques semaines, se répand un débat sur la patrimonialisation des données personnelles.</p>
<p>A l’origine de ce buzz, le philosophe Gaspard Koenig, fondateur d’un think tank qui a publié un rapport intitulé <em>"mes data et moi"</em>.</p> <p>Pour Gaspard Koenig, <em>"le droit à la propriété a été conçu comme une conquête pour redonner du pouvoir aux individus"</em> <strong>Gaspard Koenig « Le Grand Témoin », interview donnée au supplément entreprises du Figaro le 24 Février 2018, p.24</strong>.</p>
<p>Or, précise le philosophe, depuis 15 ans les droits des individus et leurs données personnelles, sont piétinés par les grandes entreprises du numérique.</p>
<p>La solution selon lui ?</p>
<p>Simple, il faudrait que la Loi autorise les individus à vendre leurs données personnelles, c’est-à-dire faire de la vente de données <em>« un marché »</em> et <em>« réintégrer l’individu dans la chaine de valeur numérique »</em>, là où à ce jour, seuls les Facebook et Google en profitent.</p>
<p>C’est la patrimonialisation des données.</p>
<p><strong>La thèse est séduisante.</strong></p>
<p>Que faut-il en penser ?</p>
<h3>Un constat exact</h3>
<p>Tout part d’un constat.</p>
<p>Depuis 15 ans nous dit Gaspard Koenig, <em>« les données numériques sont une zone de non droit. Les grandes entreprises numériques en ont largement profité car il y avait une manne à prendre. »</em></p>
<p><strong>Ce constat est partiellement exact.</strong></p>
<p>Les grandes entreprises digital se sont développées grandement dans l’Union Européenne au début des années 2000 pour Google, au milieu de cette décennie pour Facebook, LinkedIn (désormais Microsoft), Twitter et bien d’autres.</p>
<p>Or, il est vrai que bon nombre de ces grandes entreprises du numérique se sont totalement affranchies des règles de Loi posées en Europe en matière de protection des données personnelles et de respect de la vie privée.</p>
<p>Cette situation peut s’expliquer de trois façons.</p>
<ul>
<li>En premier lieu, le pouvoir politique, de qui vient le droit car c’est lui qui le décide, a limité le montant des sanctions que peuvent prononcer les autorités de contrôle européennes, c’est-à-dire les CNIL européennes qui sont des gendarmes des données personnelles.</li>
</ul>
<p>Ainsi, la CNIL française s’est vue limitée dans ses condamnations à un plafond de 150.000 euros de sanctions pécuniaires <a href="https://www.cnil.fr/fr/loi-78-17-du-6-janvier-1978-modifiee#Article47" hreflang="fr" title="Art. 47 modifié par la Loi pour une République Numérique">jusqu’à récemment</a></p>
<p>Une paille pour des entreprises qui brassent des milliards de dollars au moyen de ces actes parfois illégaux.</p>
<p>L’effet dissuasif se trouvait dès lors neutralisé.</p>
<p>A l’été 2017, <a href="https://www.legifrance.gouv.fr/affichCnil.do?id=CNILTEXT000034728338" hreflang="fr" title="La CNIL sanctionne Facebook">les sociétés Facebook Inc. et Facebook Ireland ont été condamnées</a> au maximum de la sanction, soit 150.000 euros, pour les combinaisons de données qu’elles ont effectuées à des fins de ciblage publicitaire après le rachat de la messagerie instantanée WhatsApp, sans le consentement des abonnés de la messagerie.</p>
<p>De nombreux commentateurs sur les réseaux sociaux se sont amusés du montant de la condamnation, qui était pourtant au maximum possible, et ont prétendu que les frais et honoraires des Avocats de la Société de Marc Zuckerberg étaient probablement supérieurs, tournant ainsi la décision en dérision.</p>
<ul>
<li>La seconde explication réside dans l’inaction des pouvoirs publics européens qui ont failli dans leur rôle de protection de leurs citoyens.</li>
</ul>
<p>Ainsi et par exemple, la réglementation en matière de données personnelles connaît depuis 40 ans une sorte de double peine.</p>
<p>D’un côté, il y a les sanctions administratives de la CNIL que nous venons d’évoquer. De l’autre, <a href="https://www.legifrance.gouv.fr/affichCode.do;jsessionid=6FE1A8E7D0CEF626E03B2BE87C41254A.tplgfr23s_2?idSectionTA=LEGISCTA000006165313&cidTexte=LEGITEXT000006070719&dateTexte=20180226" hreflang="fr" title="Sanctions pénales en matière de données personnelles">des sanctions pénales</a>, avec de lourdes peines, en moyenne des peines maximales de 5 ans d’emprisonnement et de 300.000 euros d’amende.</p>
<p>Le problème : ces sanctions ne sont jamais appliquées.</p>
<p>Pire encore, l’action publique n’est jamais mise en mouvement.</p>
<p>Cela tient au fait que les Parquets sont sans doute plus occupés à lutter contre le terrorisme, la fraude financière ou le harcèlement sexuel et qu’ils considèrent que les manquements aux données personnelles ne sont pas des troubles à l’ordre public suffisamment importants, pour mobiliser la machine policière et judiciaire.</p>
<p>A cela s’ajoute, un problème plus général de moyens de la justice et une formation insuffisante des magistrats dans ces matières spécialisées.</p>
<p>On peut aussi compter le nombre de déclarations de personnalités politiques de premiers plans sur ces sujets.</p>
<p>Le Président Macron, dans ses premières déclarations après son élection, a été le premier à pointer le pouvoir exagéré des GAFAM, quand son prédécesseur a surtout brillé par son absence sur le sujet.</p>
<ul>
<li>Enfin, et c’est la troisième explication, les GAFAM ont tissé un « système » qui paralyse notre Etat de droit.</li>
</ul>
<p>Nous avons dénoncé ce « système » dans <a href="https://www.iteanu.com/livre-digital-defie-letat-de-droit-recoit-prix-special-jury-fic-2017/" hreflang="fr" title="Quand le digital défie l'Etat de droit">un ouvrage publié fin 2016 – début 2017</a>.</p>
<p>Quand un consommateur européen se voit contraint de conclure un contrat avec la société mère californienne de son prestataire de service, qu’on lui impose l’acceptation de Conditions Générales d’Utilisation (CGU) totalement illisibles, que ces CGU déclarent soumettre la relation nouée par contrat à un droit et un juge extra européen, que tout est fait pour ne jamais mettre en contact le consommateur avec l’entreprise autrement que par un formulaire froid adressé à des robots, que systématiquement devant les tribunaux européens, <a href="https://www.legalis.net/jurisprudences/cour-dappel-de-paris-pole-2-chambre-2-arret-du-12-fevrier-2016" hreflang="fr" title="L'affaire "l'origine du monde" de Gustave Courbet">on dénie au juge européen sa compétence et son droit à trancher le litige</a> etc. … et que ces pratiques qui ont pour objet ou pour effet de priver le citoyen européen d’un accès à son Etat de droit, se retrouvent dans de très nombreuses entreprises digitales, on peut parler de <em>« système »</em>.</p>
<p>Un <strong>« système »</strong> qui a paralysé la riposte juridique.</p>
<p>Le constat fait par Gaspard Koenig d’un défaut d’application de la Loi aux données personnelles depuis 15 ans est donc exact, mais pas au motif qu’il s’agirait d’une zone de non droit.</p>
<p>C’est au contraire la <em>law enforcement</em>, c’est-à-dire le défaut d’application de la Loi qui fait à défaut, soit parce qu’on a bridé le régulateur des données personnelles, soit par défaut de volonté et parce que les grandes entreprises du digital ont su en profiter.</p>
<p>Le paradoxe de la proposition de patrimonialisation des données, est qu’elle intervient à un moment où les choses sont en passe de changer.</p>
<p>Le 25 mai 2018 entre en application un <a href="http://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679" hreflang="fr" title="Le RGPD">Règlement Européen dans les 28 Etats de l’Union</a> , qui donne aux CNIL Européennes un pouvoir de sanction enfin à la hauteur des enjeux, la sanction pouvant aller <a href="http://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32016R0679&from=FR" hreflang="fr" title="Art. 83 point 5 du RGPD">jusqu’à 4% du chiffre d’affaires mondial total</a> du contrevenant.</p>
<p>Le Règlement prévoit aussi la possibilité pour les Etats de mettre en place une action de groupe en matière de données personnelles (Article 80 du RGPD), et des initiatives citoyennes telles que <a href="https://www.isoc.fr/a-vos-donnees-citoyens/" hreflang="fr" title="L'initiative e-Bastille">e-bastille</a>, ont déjà annoncé qu’elles étaient prêtes à agir.</p>
<h3>Mais une solution qui mène à l’impasse</h3>
<p>Il y a dans la langue française, de très belles expressions idiomatiques autour de la main : <strong>prendre la main, garder la main, ne pas perdre la main.</strong></p>
<p>Car le problème du régime des données personnelles dans une société toute entière organisée autour et sur les réseaux numériques, est là.</p>
<p>Nous perdons la main sur nos données, et, d’une certaine manière, sur nos vies.</p>
<p>Avec nos données, les algorithmes, la quasi impossibilité d’agir en dehors des réseaux numériques, ce que l‘on a nommé la fracture numérique, que devient le libre arbitre de l’individu ? Voilà l’enjeu de nos discussions.</p>
<p>Or, le régime actuel des données personnelles, héritier de la Loi relative à l’informatique, aux fichiers et aux libertés de 1978 qui a institué la CNIL, répond à ce défi.</p>
<p>La réglementation fait de la donnée personnelle un droit personnel de l’individu.</p>
<p>Cela signifie schématiquement que l’exploitation de la donnée exige le consentement de la personne.</p>
<p>L’exercice des droits de la personne est même réservé à la personne concernée (Article 15 à 22 du RGPD).</p>
<p>Ainsi, si celle-ci entend accéder à une base de données pour savoir si elle y figure, corriger ses données, voire s’opposer à figurer dans cette base, elle seule peut faire jouer ce droit.
Un Avocat par exemple, même muni d’un mandat exprès, ne peut intervenir auprès du propriétaire de la base pour faire jouer les droits d’accès, de rectification et d’opposition de son client.</p>
<p>Ce droit est attaché à sa seule personne.</p>
<p>Plus encore, et c’est là la règle principale, même si la personne a donné son consentement sans conditions, sans délais, elle peut à tout moment le retirer.</p>
<p>C’est son droit absolu, un droit reconnu fondamental.</p>
<p>Un point explicitement rappelé dans le Règlement communautaire devant entrer en application prochainement : <em>« la personne concernée a le droit de retirer son consentement à tout moment (…) Il est aussi simple de retirer que de donner son consentement»</em> (Article 7 point 3 du RGPD).</p>
<p>Or, si on retient la patrimonialisation de la donnée, si on soumet la donnée à un droit de propriété, la situation serait alors toute différente.</p>
<p>La personne qui, pour quelques euros, a cédé sa donnée en perd ainsi totalement le contrôle.</p>
<p>Une fois la cession réalisée, le nouveau <em>« propriétaire »</em> en fait ce qu’il veut.</p>
<p>Plus question non plus de revenir sur le consentement donné.</p>
<p>Quelles seront les pratiques des grandes entreprises du digital pour obtenir de l’individu la donnée convoitée ?</p>
<p>Par quels contrats ? Car en effet, s’il y a propriété, donc appropriation possible, et qu’il y a cession, cela donne forcément lieu à un contrat.</p>
<p>Ce contrat sera-t-il celui bien connu que nous rencontrons quasi quotidiennement, les CGU que personne ne lit ?</p>
<p>Chacun sait que ce sont des documents, on a peine à dire des contrats, qui sont surtout faits pour ne pas être lus ? Où les droits du plus fort, c’est-à-dire du rédacteur du document, sont respectés et c’est tout ?</p>
<p>Et la personne qui a donné son consentement à la cession, a-t-elle bien compris le sens et la portée de son accord, notamment compte tenu du fait que ses données sont susceptibles d’être combinées entre elles, ou encore d’être complétées, validées, voire prédites, par le biais d’algorithmes ?</p>
<p>Qui va interpréter le contrat s’il y a désaccord entre le cédant et le cessionnaire ? Quels Tribunaux, à Paris, en Californie, selon quelle Loi ?</p>
<p>On le voit bien, la patrimonialisation des droits apporte bien plus de questions que de réponses. Surtout, elle va apporter la base légale qui manque aujourd’hui à nos grandes entreprises du digital, pour continuer à agir comme elles le font depuis 15 ans.</p>
<p>Plus encore, elle va leur apporter une légitimité, et c’est peut-être là le plus grave, qui leur manque aujourd’hui et les contraint tout de même, en Europe, à des contorsions, à des effets d’annonce, à de la communication, pour mener à bien leur business sans être trop inquiétées.</p>Le brevet de la NSA qu’on n'explique pas*urn:md5:985b147799d7ea9dcc87a0028b3aef2c2017-10-19T07:59:00+01:002018-10-29T15:25:45+00:00Olivier Iteanu<p><em>« Device for and method of computer intrusion anticipation, detection, and remediation »</em>, c’est le titre d’un <a href="http://patft.uspto.gov/netacgi/nph-Parser?Sect2=PTO1&Sect2=HITOFF&p=1&u=/netahtml/PTO/search-bool.html&r=1&f=G&l=50&d=PALL&RefSrch=yes&Query=PN/8898784" hreflang="en" title="Le Brevet de la NSA">brevet n°8,898,784 B1</a> déposé à Washington par … la NSA !</p>
<p>Oui, vous avez bien lu, une méthode dont le titulaire n’est autre que la célèbre agence gouvernentale du Département de la Défense américaine, la National Security Agency.</p>
<p>Si on ajoute que parmi les trois inventeurs personnes physiques déclarées, on trouve Keith B. Alexander, le directeur de de la NSA de 2005 à 2014 et par ailleurs Général de l’armée américaine, alors on n’a plus doute, ça n’est pas une hallucination, il s’agit bien de la National Security Agency.</p> <p>Aux origines, lorsqu’elle a été créée par le Président Truman en 1952, la NSA était alors top secret. Personne ne devait connaître son existence.</p>
<p>Dans les milieux autorisés, son surnom était même No Such Agency, pour dire qu’une telle agence n’existe tout simplement pas.</p>
<p>Mais alors, qu’est ce qui explique que la NSA brevète une telle méthode aux vues et aux sus du monde entier ?</p>
<p>Il vrai que la NSA a un savoir-faire largement reconnu dans le monde, pour l’intrusion dans tous les ordinateurs de la planète, mais de là à faire de certaines de ses méthodes un brevet, il fallait oser.</p>
<p>Le brevet en question<sup>[<a href="https://blog.iteanu.law/index.php?post/2017/10/19/Le-brevet-de-la-NSA-qu%E2%80%99on-n-explique-pas%2A#wiki-footnote-1" id="rev-wiki-footnote-1">1</a>]</sup> traite du thème général de l’intrusion dans les ordinateurs, et surtout à l’analyser de près, il s'agit d'une méthode de lutte contre ces intrusions.</p>
<p>Mais la question qui nous agite est bien pourquoi ? Dans quel but l’agence en charge de la surveillance électronique dans le monde, a-t-elle déposée et obtenue l’enregistrement d’un tel brevet ?</p>
<p>Un brevet est un titre de propriété, un monopole légal, attribué par un organisme public à un inventeur qui a trouvé une solution technique nouvelle à un problème technique par forcément nouveau.</p>
<p>Ce monopole légal, le titulaire du brevet tente de le monnayer, soit en l’exploitant lui-même, soit en confiant son exploitation à un tiers. Et bien évidemment, il peut l’opposer en justice à toute personne qui viendrait à reproduire son invention.</p>
<p>La NSA entend-elle intenter un procès aux Etats-Unis en contrefaçon de brevet à Kim Jong-un, si les services de sécurité nord-coréens en venaient à s’introduire dans des machines américaines ? Dans ce cas, il faut tout de suite prévenir la NSA sur le fait que cette menace de procès a peu de chance de faire trembler le régime coréen.</p>
<p>Autre hypothèse, la NSA est atteinte de la fièvre start-up. Elle entend monnayer son savoir-faire à tous les hackers de la terre et collecter des redevances à tour de bras. S’il s’agit de renflouer les caisses de l’Etat américain qu’on pensait en meilleure santé, la démarche est louable. Mais le monde hacker est en général peu enclin à payer des redevances.</p>
<p>Une dernière hypothèse a notre faveur.</p>
<p>L’unique activité de la NSA est l’interception des télécommunications, à l’origine on appelait ça des écoutes téléphoniques.</p>
<p>Mais l’environnement dans lequel évolue l’agence a été bouleversé, surtout ces vingt dernières années.</p>
<p>En 1952, partout dans le monde, les télécommunications étaient tenues par des monopoles. En Europe, ces monopoles sont publics, des administrations d’Etat ou des entreprises publiques. Aux Etats-Unis, le monopole est privé. Une seule entreprise tient le haut du pavé, ATT, qui sera démantelée trente ans plus tard, en 1982.</p>
<p>Compte tenu du petit nombre d’acteurs, de leur position monopolistique, et, en Europe, de leur statut de droit public, on a aucune difficulté à convaincre les opérateurs de coopérer aux activités d’interception. Il faut dire que cette coopération est obligatoire pour la NSA. Elle doit disposer d’un accès aux réseaux et aux infrastructures.</p>
<p>A la fin des années 90, les monopoles éclatent.</p>
<p>Ils laissent la place à une multitude d’acteurs privés de toutes tailles, de toutes cultures, et dans des activités qui dépassent largement le seul opérateur télécoms.</p>
<p>Ces acteurs privés ont un objectif affiché et somme toute légal, la recherche du profit, loin de l’esprit patriotique et des préoccupations des Gouvernements.</p>
<p>Quand Edward Snowden révèle en 2013 l’existence du programme PRISM collection, cette back door ouverte sur les serveurs des plus grandes entreprises américaines, de Microsoft à Apple en passant par Google, il ne dit pas comment ces entreprises ont été convaincues de trahir leurs clients.</p>
<p>Est-ce par patriotisme ? Ont-ils obtenu en échange un avantage quelconque ? Ou bien ont-ils été contraints, ce qui est leur thèse ? Edward Snowden en dit assez peu sur cette question, sans doute parce qu’à son niveau, il ne sait pas.</p>
<p>Imaginons qu’une société présente sur le marché américain, développe une technique d’intrusion, d’anticipation, de détection et de remise en état des suites d’une intrusion, qui intéresse la NSA.</p>
<p>Elle l’intéresse par exemple parce que cette technique fait échec à des pratiques de la NSA ou parce que la NSA entend que cette technique ne tombe pas dans d’autres mains.</p>
<p>L’existence d’un tel brevet ne serait-il pas l’arme juridique idéale qui viendrait menacer le business de cet acteur ? Face à cette menace, cette Société ne se verrait elle pas contrainte de coopérer avec la NSA ?</p>
<p>Cette façon de faire a un nom, on l’appelle la Law Intelligence ou comment utiliser le droit à des fins autres que la justice.</p>
<p>Nous européens, avons beaucoup à apprendre de la NSA.</p>
<p>Olivier Iteanu,
Avocat</p>
<div class="footnotes"><h4>Note</h4>
<p>[<a href="https://blog.iteanu.law/index.php?post/2017/10/19/Le-brevet-de-la-NSA-qu%E2%80%99on-n-explique-pas%2A#rev-wiki-footnote-1" id="wiki-footnote-1">1</a>] Merci à <a href="https://fr.linkedin.com/in/arnaudkopp" hreflang="fr" title="Arnaud Kopp">Arnaud Kopp</a> de nous avoir signalé ce brevet de 2014.</p></div>
A qui appartiennent les profils publics des membres Linkedin ?urn:md5:cf09cf79e2bca0fb71bb9b89f489f3062017-09-12T16:50:00+01:002018-10-29T15:15:01+00:00Olivier Iteanu<p>En d’autres termes, ces informations publiées au sein du réseau social et accessibles de l’extérieur par des non membres du réseau, appartiennent elles à la personne qui les a renseignées, le membre, ou au réseau social Linkedin ?</p>
<p>Une question qui n’est pas sans incidence financière.</p> <p>En 2016, Linkedin a été racheté par Microsoft pour 26,3 milliards de dollars et la valeur des données des 400 millions d’utilisateurs du réseau social professionnel, est pour beaucoup dans cette valorisation colossale.</p>
<p>C’est à l’occasion d’un cas symptomatique que la question a été indirectement abordée.</p>
<p>Un tiers accédait aux profils publics, et aspirait sans autorisation de Linkedin, ces données pour les restituer dans son service ou les exploiter.</p>
<p>A-t-il seulement le droit d’agir de la sorte ?</p>
<p>Deux réponses vont venir de France et de la Californie qui sont contradictoires.</p>
<p>En France, c’est la CNIL, « alertée par deux plaintes » de particulier, qui va répondre, dans une procédure en sanctions qu’elle va engager à l’encontre de la Société PagesJaunes.</p>
<p>En l’occurrence, la Société PagesJaunes répondait sur son annuaire en ligne à une requête sur un nom patronymique en communiquant « les données classiques de l’annuaire (identité, coordonnées téléphoniques et postales) » et en y ajoutant des informations trouvées sur six réseaux sociaux, notamment le profil public de Linkedin.</p>
<p>Cette manipulation avait été rendue possible par l’aspiration (webcrawling) du profil public réalisée par la Société PagesJaunes, sans l’autorisation préalable des personnes concernées, et sans apparemment l’autorisation de Linkedin absente de la procédure mais qui a du scruter le déroulement de la procédure avec grand intérêt.</p>
<p>Sans surprise, et par application d’une réglementation spéciale, la Loi Informatique et Libertés de 1978 qui l’a créée, la CNIL disait dans sa Délibération n°2011-203, que <em>« la circonstance que des profils personnels sont affichés publiquement sur internet ne permet pas pour autant à un organisme tiers</em> (en l'occurrence PagesJaunes) <em>de procéder à une collecte massive, répétitive et indifférenciée de ces données sans avertir les personnes concernées »</em> et condamnait PagesJaunes à un avertissement rendu public.</p>
<p>Dans cette décision du 21 septembre 2011 confirmée par le Conseil d’Etat le 12 mars 2014, le gendarme des données personnelles français ne répond pas directement à notre question, mais la position qu’il prend rend un fieffé service à la société de Mountain View en Californie.</p>
<p>En effet, en interdisant à tous tiers d’accéder et de capter les données des profils publics Linkedin sans l’accord des intéressés, accord en pratique impossible à mettre en oeuvre, la CNIL réserve ses données à Linkedin. La solution a donc la couleur de l’appropriation et de la propriété …</p>
<p>Mais c’est des Etats-Unis que la surprise va venir dans une seconde décision rendue par la justice californienne le 14 août 2017.</p>
<p>Dans un cas similaire, une start-up du nom HIQ LABS Inc., aspirait les données des profils publics Linkedin.</p>
<p>Cette fois-ci c’est Linkedin en personne qui réagissait et s’opposait aux manipulations de HIQ LABS Inc.</p>
<p>Le géant du Groupe Microsoft mettait en demeure la start-up de cesser « ses agissements » les qualifiant de pirate informatique (en France on dirait accès frauduleux) et bloquant même d’un point de vue technique l’impertinent, l’empêchant ainsi de poursuivre ses aspirations de données.</p>
<p>HIQ LABS Inc. ne l’entendait pas de cette oreille et hurlant à la violation du second amendement de la Constitution (le Free Speech) et à la liberté du commerce allait obtenir du Juge CHEN, juge du district nord de Californie, le 14 août 2017, une ordonnance provisoire (preliminary injunction) qui faisait injonction à Linkedin de laisser à HIQ LABS Inc. le droit d’accéder et d’aspirer les profils publics Linkedin même contre la volonté du réseau social.</p>
<p>Au soutien de sa décision, qui sera sans doute contestée par Linkedin, le petit Juge émettait de sérieux doute sur le délit informatique d’accès frauduleux derrière lequel se retranchait Linkedin pour interdire l’accès à la start-up et affirmait le principe constitutionnel de la liberté du commerce.</p>
<p>Là encore, la justice ne s’est pas prononcée directement sur la question de la propriété des données au sein des profils publics, mais en autorisant des tiers contre l’avis de Linkedin à y accéder, à les exploiter, cela ressemble fort à une réponse négative à la question posée.</p>
<p>Il est une évidence que les données des citoyens sont devenues un enjeu colossal en termes économiques qui aiguisent bon nombre d’appétits. Les citoyens sont spectateurs de ces batailles.</p>
<p>La même question que nous posons, pourrait également se poser pour un réseau social comme Facebook ou Copains d’Avant, voire Twitter.</p>
<p>Bien que nous n’ayons pas à la date d’aujourd’hui de réponse évidente à la question que nous nous posons, les esquisses d’une réponse se dessinent. Nul doute que de futurs contentieux en la matière viendront la préciser davantage.</p>
<p>Mais pour l’heure, la dernière décision de l’été 2017, venue de Californie, c’est-à-dire de la patrie du Web et du Big Data, pourtant passée inaperçue, peut avoir des conséquences majeures dans le monde entier. Les profils publics Linkedin semblent au moins provisoirement, désormais ouverts à une libre exploitation.</p>
<p>Car ce sont bien les Etats-Unis et leur système juridique qui donnent désormais le La des droits et législations des Etats du monde entier ...</p>RGPD / GDPR, je notifie, tu notifies …urn:md5:512f3a9566826acd1acfba6ecb787d7c2017-07-11T08:01:00+01:002018-10-29T14:59:11+00:00Olivier Iteanu<p>Le Règlement Européen sur la Protection des Données entré en vigueur le 25 mai 2016 et dont l’application est différée à 2ans, tout le monde en parle.</p>
<p>Il faut dire que quelques-unes de ces mesures nouvelles font sensation, en particulier la fameuse sanction reconnue aux CNIL européennes, d’infliger des amendes administratives aux contrevenants jusqu’à 4% du chiffre d’affaires total mondial de l’exercice précédent.</p>
<p>Mais notre propos n’est pas là.</p>
<p>Nous allons nous intéresser à une autre de ces mesures nouvelles insérée dans le RGPD.</p> <p>Désormais, tout responsable d’un traitement qui aura connaissance d’une violation de données personnelles, devra notifier cette violation à la CNIL dans un délai de 72 heures « au plus tard », à compter de cette prise de connaissance.</p>
<p>Les sous-traitants eux-mêmes, endossent désormais une obligation de notification « dans les meilleurs délais », mais cette notification doit être adressé à leur donneur d’ordre, le responsable de traitement, et pas à la CNIL.</p>
<p>La sanction pour défaut de notification peut monter jusqu’à 10 millions d’euros ou 2% du chiffre d’affaires, soit le palier 1 des sanctions.</p>
<p>Cette obligation de notification se retrouve dans d’autres textes.</p>
<p>Par exemple, dans la Directive 2016/1148 Network and Informatique Security dite NIS du 6 juillet 2016, la première directive communautaire en matière de cybersécurité, qui impose également une obligation de notification des « incidents(…) sans retard injustifié » à l’ANSSI, obligation qui pourrait concerner tous les prestataires de cloud computing en plus des opérateurs dits de services essentiels.</p>
<p>Beaucoup commentent ces textes en passant du temps à expliquer « comment notifier » et se conformer à ces nouvelles obligations.</p>
<p>Nous, nous demandons pourquoi ?</p>
<p>Pourquoi la notification est devenue l’arme favorite des législateurs européens ?</p>
<p>Nous y voyons une explication principale.</p>
<p>Les cyberattaques se multiplient, qui entravent le fonctionnement des systèmes d’information (incident) ou ont pour conséquence des fuites massives de données (violation de données personnelles).</p>
<p>Or, en l’absence d’une coopération internationale policière et judiciaire efficace, les cyberdélinquants savent jouer des frontières pour échapper à toute identification et donc poursuite et donc condamnation.</p>
<p>La partie de gendarme et de voleur est à ce point difficile, que pour certains types de cyberattaques externes, les taux d’élucidation tendent vers zéro.</p>
<p>Du coup, il convient de trouver des palliatifs pour protéger la société dans son ensemble, laquelle bascule de plus en plus autour ou sur les réseaux numériques.</p>
<p>La notification est un de ces palliatifs.</p>
<p>Elle tend à protéger la société en son ensemble, en imposant à la victime d’un acte délictueux de prévenir les autorités publiques.</p>
<p>C’est tout à fait louable.</p>
<p>Plus vite la société est informée des modalités d’une attaque, moins les dégâts seront importants.</p>
<p>Mais nous y voyons tout de même un problème. Pendant que le délinquant court toujours, on responsabilise et sanctionne la victime.</p>
<p><strong>Ca n’est pas notre idéal de justice …</strong></p>
<p>Nous vivons une situation intermédiaire où nous tâtonnons sur des solutions à trouver, face aux nouveaux paradigmes consécutifs à la transformation numérique.</p>
<p>Mais il ne faudrait pas perdre de vue l’idéal de justice qui est indispensable au fonctionnement de nos sociétés.</p>Nul n’est censé ignorer la Loiurn:md5:388150a2810ffdbe4e6a475cc2f91b832017-06-07T11:50:00+01:002018-10-29T14:57:38+00:00Olivier Iteanu<p>C’est la maxime apprise par tous les étudiants en droit de France, dès la 1ère année d’étude.</p>
<p>Elle signifie que le citoyen ne saurait se retrancher derrière sa prétendue méconnaissance de la Loi, pour échapper à ses obligations.</p>
<p>La maxime postule donc que ce même citoyen soit en état de prendre connaissance et de comprendre ce qui lui est demandé par l’Etat de droit.</p>
<p>Or, si on peut avoir une certitude aujourd’hui, c’est bien que la Loi n’est tout simplement plus lisible pour le commun des citoyens.</p> <p>Le problème n’est pas nouveau, mais on peut dire que, de ce point de vue, l’année 2016 aura été une annus horibilis.</p>
<p>Que chacun en juge.</p>
<p><strong>Février 2016</strong>, le Gouvernement français prend une ordonnance pour réformer en profondeur le droit des contrats issu du Code civil, droit des contrats inchangé depuis la promulgation du Code Napoléon en 1804.</p>
<p>Or, le droit des contrats, ça n’est pas rien, on le retrouve partout.</p>
<p>Le vocabulaire, les concepts, tout est bousculé, même si, officiellement, ce ne serait qu’une codification de la jurisprudence.</p>
<p>Dans sa grande mansuétude, la République française nous a donné six mois pour nous adapter, le texte est entré en application le 1er octobre 2016 et tout nouveau contrat conclu à compter de cette date se trouve sous l’empire de la Loi nouvelle.</p>
<p>Impossible de passer sous silence ensuite, le Règlement communautaire bien connu des juristes TIC, qui concerne les données à caractère personnel, connu sous les acronymes RGPD ou GDPR, daté du <strong>26 avril 2016</strong>.</p>
<p>Le texte est un livre, un traité ! il se compose de pas moins de 179 considérants, pour le seul préambule suivi de 99 articles, soit en format A4 et une police de caractère raisonnable, de l’ordre de 120 pages bien condensées.</p>
<p>La rédaction est tellement vague et imprécise, du moins dans sa version française, qu’on se trouve parfois contraint de se reporter à sa version anglaise, celle ayant été l’objet de la négociation, pour tenter d’y voir plus clair. La tentative est cependant souvent vaine. On reste dans l’incertitude.</p>
<p>Les autorités de contrôle des données personnelles, la CNIL en France, ont bien conscience du problème.</p>
<p>Elles produisent régulièrement, soit seules dans leur coin, soit ensemble dans le cadre d’un groupe appelé le G29, des lignes directrices, des documents de présentation, une boite à outils en résumé, pour éclairer les pauvres juristes, et je ne parle pas des citoyens.</p>
<p>Le texte doit entrer en application le 25 mai 2018. Deux ans pour un tel texte, ça n’est pas de trop.</p>
<p>Comme l’UE pensait certainement que tout ça ne suffisait pas, Bruxelles travaille également à un projet de réforme d’une directive dite e-privacy.</p>
<p>Entre les données personnelles du RGPD et la e-privacy en cours de réforme, il n’y a pourtant qu’un pas.</p>
<p>Mieux vaudrait donc être cohérent, ce qui est la moindre des choses, quand on est régulateur.</p>
<p>Connaissance prise des premiers projets de réforme en circulation, ce sont les CNIL européennes et le G29, eux-mêmes, qui se sont émus du risque d’incohérence, qu’ils ont demandé au régulateur européen de gérer.</p>
<p>L’été étant propice à la réflexion, c’est la saison qui a été choisie pour la première directive européenne sur la cybersécurité, la directive dite NIS comme Network and Information Security du <strong>6 juillet 2016</strong>. Elle doit être transposée par chaque Etat membre avant mai 2018.</p>
<p>Elle comprend des concepts nouveaux, des acteurs nouveaux même comme l’opérateur de services essentiels, qui nécessiteront des précisions de l’ANSSI attendues comme le messie.</p>
<p>Si vous avez encore des yeux pour lire, à défaut de pleurer, merci de prendre connaissance du Règlement e-IDAS du 23 juillet 2014 applicable le <strong>1er juillet 2016</strong>.</p>
<p>Sans rire, ce texte a pour ambition d’accroitre la confiance dans les transactions numériques.</p>
<p>Les rédacteurs du Règlement ont osé argumenter sur le fait qu’ils tiraient les conséquences de l’échec d’un texte communautaire passé sur la signature électronique de 2009. Comme on ne change pas une équipe qui perd, on a donc remis les couverts et merci pour un texte tout aussi touffu et imprécis que le précédent.</p>
<p>Enfin, l’année 2016 s’est terminée par la Loi pour la République numérique d’<strong>octobre 2016</strong>.</p>
<p>Certes, le texte nous gratifie d’apports.</p>
<p>Mais était il nécessaire d’anticiper partiellement le RGPD précité ?</p>
<p>Ainsi et par exemple, les sanctions financières pouvant être prononcées par la CNIL étaient capées à 150.000 euros avant ce texte. Avec cette loi, le maximum passe à 3 millions d’euros avant d’atteindre avec le RGPD jusqu’à 4% du chiffre d’affaires du contrevenant le 25 mai 2018. Ainsi, en l’espace d’un an et demi et en fonction de la date à laquelle seront engagées les poursuites de la CNIL on peut se trouver avec trois peines possibles.</p>
<p>Tout cela va simplement poser à terme, un problème de démocratie.</p>
<p>Car la Loi est censée non seulement ne pas être ignorée mais surtout, être acceptée par le citoyen.</p>
<p>Or, trop de Lois tue la Loi.</p>
<p>Les lobbyistes notamment de certains grands groupes digital l’ont bien compris.</p>
<p>Pour atteindre leur rêve d’un marché total sous couvert de liberté totale, régi par les seules lois du plus fort et pas la Loi expression de la volonté générale, il suffit d’agir pour compliquer le texte de Loi, ce qui le rendra inapplicable.</p>
<p>Il est temps de dire assez, avant que la Loi ne perde son L majuscule.</p>Hackers blancs reconnus par la Loiurn:md5:bf68910399dbc03ec4da1a603469b5c82017-04-01T19:15:00+01:002018-10-29T14:53:00+00:00Olivier Iteanu<p>La conquête de l’ouest américain est pleine d’histoires de ces bounty hunters ou chasseurs de primes, qui traquaient des personnes recherchées par la justice pour avoir été condamnés ou être suspectés d’avoir commis un vol ou un meurtre et être en fuite.</p>
<p>Le cyberspace est-il en train de réactiver cette ancienne institution tombée en désuétude ?</p> <p>On peut se le demander avec cette dernière disposition créée par la Loi pour la République numérique d’Axelle Lemaire du 7 octobre 2016. La Loi a en effet, introduit des dispositions dans le droit positif français, pour protéger les hackers blancs.</p>
<p>De quoi s’agit-il ? Un individu découvre une faille de sécurité dans un système d’information.</p>
<p>Pour avoir découvert cette fraude, il a pu accéder à l’intérieur du système d’information sans l’autorisation du maitre du système. Or, cet accès est un délit pénal. On l’appelle le délit d’accès ou de maintien frauduleux dans un système d’information puni des peines maximales de deux ans d’emprisonnement et de 60.000 euros d’amende par l’<a href="https://www.legifrance.gouv.fr/affichCodeArticle.do?idArticle=LEGIARTI000006418316&cidTexte=LEGITEXT000006070719" hreflang="fr" title="Code Pénal">article L 323-1</a> du Code pénal.</p>
<p>Comment alors inciter cette personne à être vertueuse en dénonçant ce qu’elle a constaté au maître du système ou aux autorités ? Cela aurait un grand mérite : celui, au minimum, de réparer la vulnérabilité.</p>
<p>Or, s’il signale la vulnérabilité, il court alors le risque d’être poursuivi en justice et condamné.</p>
<p>C’est pourquoi, le législateur vient de promulguer cette disposition légale ingénieuse et sans doute utile.</p>
<p>Le hacker éthique encore appelé hacker blanc, pourra prendre contact avec l’Agence Nationale pour la Sécurité des Systèmes d’Information (<a href="https://www.ssi.gouv.fr/" hreflang="fr" title="Site de l'ANSSI">ANSSI</a>) et cette autorité prendra contact avec le responsable du système d’information défaillant, éventuellement son hébergeur ou son opérateur, pour leur signaler la vulnérabilité.</p>
<p>Surtout, le nouvel article L 2341-4 du Code de la défense prévoit que l’identité du hacker blanc sera conservée secrète par l’ANSSI, de même que la manière dont il a obtenu l’information, ce qui devrait logiquement le préserver d’une plainte pénale.</p>
<p>On pourrait regretter que le législateur n’ait pas été plus loin, en inscrivant dans la Loi une dispense de poursuites, car dans la situation actuelle, le statut de hacker blanc ne donne que l’anonymat décidé par l’ANSSI. Un responsable d’un système d’information peu reconnaissant vis-à-vis du hacker blanc, pourrait tout de même déposer une plainte pénale, et le Parquet n’est pas tenu par la position prise par l’ANSSI.</p>
<p>Cependant, en pratique, on voit mal le Parquet contredire l’ANSSI. Il ne faut pas bouder notre plaisir, car dans le contexte de cyberattaques quotidiennes, de plus en plus sophistiquées et de plus en plus intrusives dans la vie des citoyens, il faut donner à ces derniers les moyens légaux de réagir et d’aider les autorités publiques à prévenir les dégâts.</p>
<p>Une question reste cependant posée : l’Etat ou même le responsable du système d’information concerné par la faille, peuvent-ils rémunérer ces cybercitoyens vigilants ? Ces hackers peuvent ils demander une rémunération ?</p>
<p>Pour répondre, on peut se reporter à une Loi prise deux mois après la Loi pour la République numérique, la Loi dite Sapin II du 9 décembre 2016, qui a introduit le statut de lanceur d’alerte dans le droit. Le lanceur d’alerte est défini comme <em>la personne physique qui révèle, de manière désintéressée et de bonne foi, un crime ou un délit (...) ou une menace ou un préjudice graves pour l’intérêt général ….</em></p>
<p>Pour nous, le hacker blanc fait partie de la famille des lanceurs d’alerte.</p>
<p>Dans le cas du hacker blanc, l’ANSSI qui fait bénéficier le hacker de l’anonymat et d’une sorte de dispense des poursuites, doit vérifier un seul critère avant de lui accorder ce statut, à savoir que la personne agit de <em>"bonne foi"</em>.</p>
<p>Chacun aura remarqué qu’un critère n’a pas été repris par la Loi pour une République numérique, celui du désintéressement.</p>
<p>Il semble bien que dans l’esprit, la Loi a fermé la porte à une rémunération. Ainsi, une personne qui contacterait l’ANSSI et voudrait faire dépendre sa révélation d’information d’une rémunération, risquerait fortement de voir son statut de hacker blanc refusé et être menacé de poursuites judiciaire pour accès frauduleux à un système.</p>
<p>En revanche, en l’état du texte, il semble aussi que rien n’empêche pour la suite à l’Etat ou au responsable du système, d’utiliser les services contre paiement pour obtenir plus d’information ou une collaboration dans le temps, sans que cela remette en cause le statut de hacker blanc qui a mis l’individu à l’abri des poursuites.</p>
<p>Voilà donc une évolution du droit intéressante. On est quand même loin d’avoir créé en France un statut légal de chasseurs de primes en faille de sécurité.</p>
<p>Article publié sur le site d'information <a href="http://www.presse-citron.net/cybersecurite-hackers-blancs-vers-retour-chasseurs-de-prime/" hreflang="fr" title="Site Press-Citron">Presse-citron</a>.</p>Pour la CEDH, le choc des photos ne fait pas le poids des motsurn:md5:612b9b1795c4c888b21393b8716644b62016-12-29T21:43:00+00:002018-10-29T14:48:01+00:00Olivier Iteanu<p>Dans un arrêt 4683/11 de 2016, la Cour Européenne des Droits de l’Hommes (CEDH) de Strasbourg a contredit le slogan historique de l’hebdomadaire Paris Match: <em>le poids des mots et le choc des photos</em>.</p>
<p>L’affaire concernait des photos parues dans un autre magazine aujourd’hui disparu, dénommé « Choc », sur l’affaire Ilan Halimi et le gang des barbares.</p> <p>Le bimensuel avait publié deux semaines après le procès des 17 personnes, des photos du jeune otage de 23ans, y compris en une du magazine, où on pouvait le voir le visage tuméfié, bâillonné, un pistolet braqué sur la tempe, montrant des traces de torture.</p>
<p>La famille Halimi avait obtenu de la justice française (Tribunal de Grande instance de Paris, Cour d’appel de Paris puis Cour de cassation) le retrait des photos d’Ilan Halimi des magazines.</p>
<p>Le groupe de presse Hachette Filipachi, propriétaire de Choc, attaquait alors devant la CEDH la République française.</p>
<p>Elle considérait que le retrait ordonné par les juges français constituait une violation de la liberté d’expression et de presse, prévue par l’article 10 de la Convention européenne des droits de l’homme, dont la France est un des signataires.</p>
<p><strong>L’intérêt de l’affaire sur le plan du droit est que le texte de l’article avait été laissé intact par les juges français, quand les photos avaient, quant à elles, été retirées sur injonction de la justice.</strong></p>
<p>Pourquoi avoir différencié le traitement de l’image du texte, alors que l’un et l’autre « disaient » les mêmes faits ?</p>
<p>La CEDH a pourtant validé le raisonnement français.</p>
<p>D’une certaine manière, par cette décision, les juges de Strasbourg ont dit quelque chose de très important.</p>
<p>L’image fixe ou animée est un support d’information plus sensible que l’écrit ou qu’un média sans image comme la radio. Plus sensible signifie différent. Or, dans la Loi, l'image n'est pas traitée différemment du texte, du point de vue du droit de la presse</p>
<p>Pour nous, cette décision, la première de la CEDH en ce sens, est juste.</p>
<p>Chacun sait que l’image est perçue par l’être humain sur le registre de l’émotion quand le texte fait appel à la raison.</p>
<p>La CEDH aurait pu ajouter que la publication de photos choquantes, s’accompagne parfois de par l’impact émotionnel recherché, d’une tentative de manipulation du regardant. Il n’est nul besoin d’autres commentaires ensuite pour orienter une pensée, une opinion, une réaction.</p>
<p>Oui, la CEDH a ici tracé une voie qui avait déjà été prise par la justice française, celle de traiter l’image de manière différenciée par rapport aux autres supports d’information.</p>
<p>Dans la société de l’image qui se développe devant nous qui nous inonde d'images, cette façon de voir a une vertu pédagogique.</p>
<p><strong>Car elle lance un message au citoyen internaute : méfies toi de l’image !</strong></p>Quand les GAFA disent non au juge français, Hollywood dit ouiurn:md5:8add239be96a3c7d686670afa95fcf962016-11-27T15:04:00+00:002018-10-29T14:45:49+00:00Olivier Iteanu<p>(Article basé sur de larges extraits de l’ouvrage « <a href="http://www.iteanu.com/livre-digital-defie-letat-de-droit/" hreflang="fr">quand le digital défie l’Etat de droit</a> » (Ed. Eyrolles – novembre 2016))</p>
<p>Chacun connaît la propension des GAFA (Google, Amazon, Facebook, Apple) à faire du mieux qu’ils peuvent pour refuser toute saisine d’un juge français à leur encontre, par leurs clients, partenaires, concurrents ou les autorités publiques. Les exceptions de procédure, fins de non-recevoir en tous genres, voire même subterfuges, se multiplient pour tenter de déplacer le litige aux Etats-Unis, à l’appréciation d’un juge le plus souvent américain et presque toujours californien.</p> <p>Cette façon de faire pose des problèmes de fond que nous traitons pas ailleurs. Mais nous pouvons aussi remarquer, que cette façon de faire n’est pas celle de toutes les industries d’outre-Atlantique.</p>
<p>Tel est le cas de l‘industrie du cinéma, Hollywood, dans sa lutte contre le téléchargement illégal.</p>
<p>Prenons une affaire judiciaire connue du Tribunal de La Rochelle et <a href="https://cdn.nextinpact.com/medias/jugement-boris-p-octobre-2015-p2p-gks.pdf" hreflang="fr" title="Jugement du Tribunal de La Rochelle">rapportée par NextImpact</a> en 2015.</p>
<p>Les faits sont assez classiques. Boris est domicilié au château d’Oléron, commune de l’Ile d’Oléron, en Charente-Maritime. Il a mis en place un site Web de référencement de fichiers audio et vidéo Torrent, ce protocole P2P américain. On appelle ce type de serveurs un tracker.</p>
<p>Le 22 octobre 2015, le Tribunal correctionnel de La Rochelle le condamne à six mois de prison avec sursis et près de 2,8 millions d’euros de dommages et intérêts à payer à divers ayants droits dans le domaine de la musique et du cinéma.</p>
<p>Le Tribunal fait application d’une disposition spéciale du Code de la propriété intellectuelle, <a href="https://www.legifrance.gouv.fr/affichCodeArticle.do?cidTexte=LEGITEXT000006069414&idArticle=LEGIARTI000006279235" hreflang="fr" title="Code de la Propriété Intellectuelle">l’article L 336-2-1</a>.</p>
<p>Cette disposition provient d’un amendement déposé dans le cadre des débats de la Loi Dadvsi de 2006, l’amendement « Vivendi » du nom du groupe de communications français. Il punit des peines de la contrefaçon le fait d<em>'éditer, de mettre à la disposition du public ou de communiquer au public, sciemment et sous quelque forme que ce soit, un logiciel manifestement destiné à la mise à disposition du public non autorisée d'œuvres ou d'objets protégés</em>.</p>
<p>Les logiciels P2P et les trackers qu’ils utilisent, sont directement visés. Mais mettre à disposition un logiciel, c’est mettre à disposition un moyen qui peut être utilisé légalement.</p>
<p>Il faut donc, pour que le délit soit commis, démontrer qu’il a été mis à disposition avec l’intention de commettre ou d’aider à commettre le téléchargement illégal.</p>
<p>Dans notre cas, la naïveté du condamné va largement aider les juges. Le Tribunal relève que les conditions d’utilisation du site invitaient les utilisateurs « de ne pas faire état de l’existence de ce serveur et à ne pas en diffuser le contenu ». Le jugement rapporte aussi cette mention : <em>il vous est strictement interdit d’accéder à Gks le site web incriminé ou au contenu si vous êtes affiliés à un gouvernement, un groupe anti-piraterie … majors ou tout autre groupe apparenté (Hadopi, Sacem, Sdrm ...)</em> ! Du gâteau pour le Tribunal. Pour démontrer l’intention délictueuse de l’administrateur et propriétaire du site, il suffisait de lire ses … conditions d’utilisation.</p>
<p>Le quantum des condamnations des dommages et intérêts, près de 2,8 millions d’euros, était sans commune mesure avec le chiffre d’affaires du site litigieux, relevé par le Tribunal, soit un peu plus de 60.000 euros. Dans une interview, le condamné, demeurant à Budapest (Hongrie), déclarait : <em>J’ai fait un petit calcul : en leur donnant tout le revenu brut de mon entreprise, il me faudrait 227 ans pour rembourser</em>.</p>
<p>Là encore, il s’agit d’une disposition insérée dans la Loi par le législateur qui autorise le juge à prononcer des dommages et intérêts, sans tenir compte des profits du contrefacteur.</p>
<p>Une manière de dire aux supporters du P2P que même gratuit, cet usage peut générer d’importants dommages et intérêts. Avec ce jugement de La rochelle, la preuve en est donnée. Mais l’évènement est ailleurs. Il est dans la présence de tous les majors d’Hollywood, qui se sont déplacés à La Rochelle au Tribunal.</p>
<p>On trouve en tant que parties civiles, Columbia, Disney, Paramount, Tristar, 20th Century Fox, Universal et Warner Bros en personnes, en leurs sociétés américaines et pas en leurs filiales européennes.</p>
<p>Il n’est pas si fréquent de voir des sociétés de droit américain se présenter spontanément devant un juge français, et lui demander d’appliquer le droit français. Enfin, ce qui nous intéresse particulièrement dans le cadre de notre ouvrage, la lutte contre le téléchargement illégal va être l’occasion d’une lutte intestine aux Etats-Unis entre Hollywood et les industries des médias de la côte Est et la Silicon Valley.</p>
<p>En 2007, le groupe Viacom va ainsi engager une action judiciaire contre YouTube lui demandant un milliard de dollars de dommages et intérêts pour l’hébergement de vidéos contrefaisant ses droits d’auteurs.</p>
<p>Avant d’engager cette action Viacom adressera 100.000 notifications à YouTube de retraits de vidéos contrefaisantes. YouTube procèdera promptement à ces retraits, puisque ces retraits seraient intervenus dès le lendemain de la réception des notifications, ce qui lui permettra de sortir vainqueur de ce procès gigantesque.</p>
<p>A l’instar des ayants-droits en France organisés autour de la Sacem, l’industrie américaine peut en effet compter sur des organisations professionnelles qui disposent de très importants moyens financiers pour agir.</p>
<p>Les majors sont ainsi regroupés au sein de la RIAA pour l’industrie du disque et de la MPAA pour l’industrie du cinéma. On trouve également les éditeurs littéraires, regroupés au sein de l’AAP.</p>
<p>La Silicon Valley a donc compris tôt qu’en traitant à la légère le copyright, elle prenait de grands risques judiciaires qui peuvent coûter très chers devant les Tribunaux de tous pays.</p>Le TES ou le #FichierMonstre aussiurn:md5:2807cba27d487c1f8ea51d0c94dc605f2016-11-13T18:47:00+00:002018-10-29T14:38:06+00:00Olivier Iteanu<p>On aurait tort de minimiser la polémique sur le fichier dit TES pour Titres Electroniques Sécurisés relatif aux titres officiels d‘identité délivrés par la République française.</p> <p>Pour mémoire, ce fichier, encore appelé #FichierMonstre, va recenser la quasi-totalité des français, soit 60 millions de personnes, les mineurs de moins de douze ans déduits, puisqu’il s’agit de « gérer » l’établissement, la délivrance, le renouvellement, l’invalidation et la lutte contre la fraude documentaire pour la Carte Nationale d’Identité (CNI) et la Passeport.</p>
<p>Le traitement est créé par un <a href="https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000033318345" hreflang="fr">Décret publié au Journal Officiel le 28 octobre 2016</a>.</p>
<p>Les données que renferme ce traitement, sont toutes celles nécessaires aux titres d’identité en question, des prénoms et nom jusqu’à la couleur des yeux, la filiation, et surtout les données biométriques des personnes concernées.</p>
<p>Nous renverrons le lecteur à la <a href="http://www.nextinpact.com/news/102013-le-cnnum-demande-suspension-fichage-60-millions-francais.htm" hreflang="fr" title="Next Impact">presse qui a révélé l’affaire</a> au grand public, à l'<a href="https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000033318979" hreflang="fr">avis de la Cnil</a> , du <a href="http://cnnumerique.fr/venez-contribuer-a-la-reflexion-le-conseil-national-sest-saisi-du-fichier-tes/" hreflang="fr">Conseil National du Numérique</a> et à la réponse du Ministre de l’Intérieur, pour se faire son propre avis sur ledit traitement.</p>
<p>Notre attention a été, quant à nous, attirée par les personnes ayant droit d’accès au fichier.</p>
<p>Il s’agit :</p>
<ul>
<li>d’agents des services centraux du ministère de l'intérieur et du ministère des affaires étrangères</li>
<li>d’agents des préfectures et des sous-préfectures</li>
<li>d’agents diplomatiques et consulaires* - d’agents chargés de la délivrance des passeports de service au ministère de l'intérieur</li>
<li>d’agents de communes</li>
<li>d’agents des formations administratives du ministère de la défense</li>
<li>d’agents des services de la police nationale et les militaires des unités de la gendarmerie nationale</li>
<li>d’agents des services spécialisés du renseignement</li>
<li>d’agents de la direction centrale de la police judiciaire chargés des échanges avec INTERPOL et le système d'information Schengen</li>
</ul>
<p>Bien évidemment, ces agents sont individuellement désignés et habilités et en théorie, leur accès est réduit à un nombre limité de finalité.</p>
<p>En théorie …</p>
<p>Car chacun sait que les premiers abus d’accès à tels traitements, viennent de l’intérieur.</p>
<p>Il est tout à fait humain et tentant, de consulter la fiche de son voisin avec lequel les relations ne sont pas toujours au beau fixe.</p>
<p>On peut aussi s’amuser à consulter des célébrités.</p>
<p>On peut aussi rendre un service … Après tout, ça n'est pas méchant et c’est très valorisant. En réalité, la chose ne paraît pas grave.</p>
<p>Il est très difficile voire quasi impossible de prévenir de tels comportements, l’abus venant de l’intérieur c’est-à-dire de ceux connaissant intimement le fonctionnement du système.</p>
<p>A la NSA, cette pratique a même un nom. On l’appelle la LOVEINT par référence à l’usage par lequel on utilise son accès pour son partenaire amoureux, sa compagne ou son compagnon.</p>
<p>Dans son livre « <a href="https://www.schneier.com/books/data_and_goliath/" hreflang="en">Data and Goliath</a> », Bruce Schneier évoque cette pratique illégale mais qui peut ne pas être sans conséquence pour les personnes concernées.</p>
<p>Citant Edward Snowden et un audit de la NSA réalisé sur 12 mois entre 2011 et 2012, il révèle que cette pratique aurait été relevée durant cette période 2.776 fois.</p>
<p>Il ajoute que le chiffre devrait être bien plus important, car les chiffres venaient de la NSA elle-même …</p>
<p>Bien évidemment, plus le fichier est gros, plus le nombre de personnes autorisées à y accéder est important, plus le risque est grand de voir se développer le LOVEINT.</p>
<p>Il n’y aucune raison que ce type de comportements se limite d’ailleurs aux fichiers publics, et on n’ose imaginer ce qui se passe dans certaines grandes entreprises d’outre Atlantique, aspirateurs de donnée à caractère personnel venant du monde entier et renfermant toutes sortes de renseignements.</p>
<p>Ceux qui imaginent et entendent mettre en œuvre le "tous fichés" , devraient constamment avoir à l'esprit cette réalité.</p>Là où la Google Car ne viendra pasurn:md5:cd0a0ad8589b14eb50a71c87bdb4873c2016-08-03T15:34:00+01:002018-10-29T14:21:39+00:00Olivier Iteanu<p>J’ai profité de cet été 2016, pour un périple dans ce beau pays de l’Inde.</p>
<p>Ici, on fait le plein de couleurs, d’odeurs, tout ou presque y est à vivre, sauf … la voiture.</p> <p>La conduite est à gauche et le volant à droite, comme en Angleterre, mais le problème est ailleurs.</p>
<p>Les indiens vous disent aux mêmes que sur leurs routes, en voiture, il faut avoir de la chance.</p>
<p>Sans parler de la vitesse, dès qu’elle est possible, la conduite en Inde se caractérise d’abord par des dépassements de véhicules qui viennent de partout, et pas toujours de la droite.</p>
<p>Les sens giratoires, quant à eux, n’ont plus de sens.</p>
<p>Les klaxons ont remplacé les clignotants et on se demande parfois si ça n'est pas le plus gros klaxon qui est le maître de la route.</p>
<p>Les mobylettes, scooters et autres engins à deux ou trois roues sont légions et vivent leur propre vie sans se soucier des voisins de route.</p>
<p>Sur les mobylettes en particuliers, il n’est pas rare de voir dessus 3 ou 4 personnes. Parfois même, on y trouve tout derrière, la mère assisse en amazone, au milieu le père, et devant un petit enfant sans protection ni casque.</p>
<p>Enfin, dans ce grand désordre, pas organisé aux yeux d’un novice comme moi, il est fréquent de trouver au beau milieu des routes, une ou des vaches, dont chacun sait qu’elles sont sacrées en Inde, qu’il est donc illusoire de déplacer.</p>
<p>Or, la Google Car a besoin d’ordre sur la route.</p>
<p>Elle a besoin de règles donc de Lois (Code de la route en France).</p>
<p>Elle a besoin que ces règles soient respectées.</p>
<p>Enfin, ironie de l’histoire, la société de Mountain View qui passe son temps à esquiver les lois locales (loi française, loi indienne ou autres), en rematérialisant une partie de ses activités dans le monde physique, va devoir se conformer à ces lois locales (conduite à droite ou à gauche, limitations de vitesse en fonction des pays, vaches sacrées etc. …).</p>
<p>La Google Car devra donc se conformer aux règles indiennes, aux lois indiennes de la route, c’est-à-dire en premier lieu à l’imprévision.</p>
<p>Je fais le pari qu’elle n’y viendra pas.</p>Au nom du formulaire, des outils et du saint-paramétrageurn:md5:eedb58e7655da9ffebe6a9bd83840e962016-05-19T17:13:00+01:002018-10-29T14:34:14+00:00Olivier Iteanu<p>Lorsqu’on évoque avec Facebook la vie privée, la société fondée par Marck Zuckerberg répond formulaires, outils et paramétrage.</p>
<p>D’ailleurs, lorsqu’on évoque avec la même plateforme comme avec d'autres, n’importe quel problème sur tout contenu, la réponse sera toujours cette nouvelle trinité : le formulaire, l'outil et le saint-paramétrages.</p> <p>A condition de trouver le formulaire adapté à son cas, la victime d’un contenu illicite, notamment une atteinte à sa vie privée, mettra tous ses espoirs dans ce document constitué de questions préétablies, qu’on croyait réservé aux administrations.</p>
<p>On découvre qu’il est également très apprécié dans la Silicon Valley. Qui l’aurait cru ?</p>
<p>Ainsi, quand la Cour de Justice de l'Union Eeuropéenne crée le droit à l’oubli par un arrêt Google Spain du 16 Mai 2014, Google met en ligne un nouveau formulaire dès le 30 mai 2014 !</p>
<p>L'administration soviétique n'aurait pas fait mieux !</p>
<p>Une fois le formulaire rempli et adressé, pour la suite, c’est la boite noire.</p>
<p>Comment sera-t-il traité, sur quels critères, sous quels délais ? Les rares fois où des organisations ont testé en nombre les formulaires des grandes plateformes, les résultats ont été terrifiants.</p>
<p>Signalons ce test réalisé par les Associations UEJF, SOS HOMOPHOBIE et SOS RACISME à l’occasion des secondes assises de la lutte contre la haine sur internet ce Dimanche 20mai 2016. Sur 586 signalements de contenus manifestement illicites signalés par formulaires à Facebook, Twitter et Youtube, 509 n’ont pas été supprimés, représentant 86,8% des contenus haineux signalés .</p>
<p>Quant aux outils et paramétrages, ils permettraient de gérer sa vie privée, et le tour serait joué.</p>
<p>Mais la réalité n’est pas si simple :</p>
<ul>
<li>L’existence de ces outils et paramétrages est antinaturel. Après avoir suscité la venue sur le réseau, pousser les membres à se révéler, à se connecter, à se lier, provoquer même une excitation orgiaque de révélations sur soi, Facebook met à dispositions des outils contraires ? Le membre Facebook est tiraillé ou schizophrène. Pourquoi aller sur un réseau social pour se cacher ?</li>
</ul>
<ul>
<li>Ces paramétrages sont souvent fastidieux à mettre en œuvre, alors que, par défaut, les plateformes mettent en place un système sans … paramétrages.</li>
</ul>
<ul>
<li>Ces outils et paramétrages sont sous le contrôle du maître du jeu, Facebook. Or, celui-ci est aussi capable de faire évoluer les règles de manière unilatérale et parfois brutale. Facebook ajoute également, régulièrement de nouvelles fonctions automatiquement proposées et activées par défaut, sans avoir prévenu personne. Ce fut le cas par exemple, d’un système de reconnaissance faciale mis à disposition par défaut par Facebook en 2012, appelé Tag Suggest, qui permettait de reconnaître automatiquement des visages en comparant les anciennes photos aux nouvelles. A l’époque, la CNIL française et ses équivalents européens s’étaient inquiétés de cette nouvelle fonctionnalité . Elle sera finalement fermée aux internautes européens la même année 2012 mais toujours accessible aux internautes américains.</li>
</ul>
<p>Il est clair qu’avec ces méthodes, les plateformes cherchent à gérer à bon prix et de manière industrielle, le mécontentement populaire. Avec les formulaires, il s’agit aussi de gagner du temps, voire, selon la technique dite du boa, ce serpent qui étouffe sa victime, de décourager le mauvais coucheur.</p>
<p>Mais au-delà de ces artifices grossiers, le plus grave est qu’il s’agit de la première défaite de l’Etat de droit.</p>
<p>On crée chez le citoyen, le réflexe « formulaires » au lieu d'exiger que la plateforme se conforme à la Loi ou de s’adresser à la Loi de tous en tant que victime.</p>