Planète Warez

Après un an d’attente, la CNIL prononce enfin sa décision finale sur le dossier de violations du RGPD par Criteo. Si le montant de l’amende infligée, 40 millions d’euros, peut paraître une somme importante, elle n’en est pas moins réduite d’un tiers par rapport à ce qu’avait proposé le rapporteur de l’autorité l’année dernière. Sur le fond, cette décision pointe notamment le fait que l’entreprise est responsable du bon respect du RGPD par ses sous-traitants.

La CNIL a donc rendu sa décision : Criteo doit payer une amende de 40 millions d’euros pour avoir violé le RGPD sur plusieurs points et notamment sur le consentement, l’information et le droit d’accès des personnes dont l’entreprise a utilisé des données personnelles. Le montant peut paraître important, mais cette somme reste bien inférieure à celle proposée par le rapporteur de la CNIL l’an passé, à savoir 60 millions d’euros.

L’association plaignante, Privacy International, estime cependant, dans un communiqué de presse transmis à Next INpact, que la CNIL « a heureusement maintenu une amende considérable, proche du maximum établi par le RGPD ».

Violations du RGPD : la CNIL propose une amende de 60 millions d’euros contre Criteo RGPD : la CNIL enquête sur Criteo

La formation restreinte de la CNIL, dans sa décision prise le 15 juin et publiée ce jour au Journal officiel, suit le rapporteur sur les constats d’infraction au RGPD et évoque cette première proposition d’amende, mais ne donne pas d’explication claire à propos de la différence entre celle-ci et le montant finalement décidé.

L’affaire remonte à novembre 2018, quand l’organisation britannique Privacy International a attaqué sept sociétés dont Criteo, le spécialiste français du reciblage publicitaire, suivi un mois après par l’association None of Your Business (noyb) de Max Schrems.

Non-conformité avec le RGPD et formalisme abusif pour s’opposer au traitement des données

Dans sa plainte, Privacy International soulignait notamment que Criteo ne traitait pas les données conformément au RGPD. De son côté, noyb dénonçait « le formalisme imposé par la société auprès de laquelle il avait souhaité retirer son consentement et s’opposer au traitement de ses données (ci-après “le plaignant”). Le plaignant faisait état de ce que, malgré l’envoi d’un courrier électronique en ce sens à la société, cette dernière l’avait redirigé vers diverses procédures en ligne consacrées à l’exercice des droits », explique la CNIL dans sa décision.

Dans sa décision, la CNIL explique avoir mené son enquête pendant 2 ans entre 2019 et 2020, échangeant des courriers avec Criteo puis chargeant une délégation pour effectuer des contrôles aussi bien par l’envoi d’un questionnaire que par un contrôle sur place, dans les locaux de la société « au cours duquel elle a notamment procédé à des vérifications sur le site web de deux partenaires de la société ».

Cette délégation a mené un contrôle en ligne de plusieurs des principaux sites à partir desquels Criteo collecte le plus de données « pour vérifier notamment les modalités du dépôt du cookie Criteo dans le terminal des utilisateurs et le dispositif mis en œuvre pour recueillir leur consentement ».

Six articles du RGPD violés

Le rapporteur, François Pellegrini, en a conclu que Criteo manquait à six des articles du RGPD : 7, 12, 13, 15, 17 et 26. Rien que ça ! Ces articles concernent le consentement de la personne concernée à ce que ses données soient collectées et utilisées, la transparence des informations et les informations à fournir lorsque les informations ont été collectées auprès de la personne concernée et quand ce n’est pas le cas, mais aussi le « droit à l’oubli » et enfin l’obligation de s’assurer que les partenaires respectent aussi le RGPD.

Responsable aussi du bon respect du règlement par les sous-traitants

En effet, le cookie que Criteo utilise pour cibler les publicités ne peut être déposé sur le terminal de l’utilisateur sans son consentement. Or, certains partenaires de l’entreprise déposaient ce cookie sans donner d’information sur celui-ci ni demander l’autorisation.

La CNIL a constaté que Criteo n’avait rien fait pour s’assurer que ça soit le cas. Les contrats signés par l’entreprise avec ses partenaires ne contenaient aucune clause spécifique demandant explicitement la preuve de l’obtention du consentement des internautes. Elle pointe aussi le fait que le fleuron français de la publicité en ligne n’avait fait aucun audit de ses sous-traitants.

«  La société avait admis également n’avoir jamais résilié de contrat en raison du non-respect par un partenaire de ses obligations contractuelles, ni mis en œuvre aucune autre mesure de contrôle de ses partenaires », relève la CNIL.

L’Autorité explique que Criteo a ajouté dans ses versions ultérieures à ses contrôles une «  clause relative à la preuve du consentement selon laquelle le partenaire s’engage à “fournir rapidement à Criteo, sur demande et à tout moment, la preuve qu’un consentement de la personne concernée a été obtenu par le partenaire” ».

Depuis lors, la CNIL considère que Criteo s’est mise en conformité sur ce sujet, tout en soulignant que celle-ci est « intervenue tardivement » et qu’elle a bien traité des données à caractère personnel « sans être en mesure de démontrer [que les internautes concernés] ont valablement consenti au traitement ayant pour finalité l’affichage d’une publicité personnalisée ».

Cette remarque de la CNIL met en lumière que les entreprises qui traitent des données à caractère personnel doivent pouvoir apporter la preuve, a posteriori, du consentement des internautes, et ce même si le cookie a été déposé par un sous-traitant.

Manques d’information et termes « vagues et larges »

La CNIL a aussi inspecté la politique de confidentialité de Criteo. Elle juge que celle-ci créait « une incertitude quant à la base juridique du traitement en ce qu’elle ne [permettait] pas aux internautes situés au sein de l’Union européenne de comprendre que le traitement de leurs données [reposait] sur leur consentement ». Certaines finalités étaient aussi « exprimées dans des termes vagues et larges qui ne [permettaient] pas à l’utilisateur de comprendre précisément quelles données à caractère personnel sont utilisées et pour quels objectifs ».

L’Autorité pointe aussi que cette politique de confidentialité affirmait des choses contradictoires, faisant reposer les finalités relatives aux publicités et au financement des activités des éditeurs tantôt sur la base juridique de l’intérêt légitime, tantôt sur celle du consentement. Elle ajoute « qu’une description aussi approximative et contradictoire des finalités poursuivies sur le fondement de l’intérêt légitime est susceptible d’entraver l’exercice par les personnes concernées de leur droit d’opposition, lequel est intrinsèquement lié à la qualité de l’information délivrée  ».

Elle observe néanmoins que, depuis son investigation, Criteo a modifié sa politique de confidentialité pour inclure les mentions manquantes et utiliser des termes plus simples et compréhensibles.

La CNIL a aussi pu constater que Criteo ne fournissait aux internautes que les données extraites de trois des six tables de sa base de données. Le rapporteur a considéré qu’il aurait fallu que la totalité des tables soient transmises.

Critéo a fait remarquer à la CNIL, suite à la finalisation du rapport, que l’une d’entre elles « s’appuie sur une méthode probabiliste et peut potentiellement réconcilier deux personnes distinctes, de sorte que la communication des données risque de porter atteinte aux droits et intérêts de tiers dans l’hypothèse où les données se rapportant à une autre personne seraient communiquées à l’auteur de la demande d’accès », ce qui a convaincu l’autorité que cette table n’était pas communicable. Pour le reste, Criteo s’est engagée à fournir l’ensemble des données dont elle dispose en réponse aux demandes d’internautes.

Pas de suppression du traçage lors du retrait du consentement

Si Criteo arrêtait l’affichage de publicité lorsqu’une personne demandait à exercer son droit de retrait du consentement ou l’effacement de ses données, l’entreprise ne supprimait pas son identifiant et n’effaçait pas les évènements de navigation liés. Un autre point que la CNIL ne pouvait pas laisser passer.

Depuis, Criteo a mis en place une procédure de demande plus claire. Elle peut néanmoins continuer à traiter certaines données pour d’autres finalités, mais seulement en le justifiant au cas par cas.

Mais la CNIL fait remarquer que « la société a également tiré un avantage financier du fait de ne pas procéder à l’effacement des données en continuant à utiliser les données qui ne sont pas effacées à des fins d’amélioration de ses technologies, ce qui participe à sa compétitivité sur le marché de la publicité ciblée ».

Une amende conséquente bien que pas maximale

Comme dit plus haut, le rapporteur avait proposé une amende de 60 millions d’euros. Celle-ci peut, en effet, atteindre un montant maximum de 20 millions d’euros ou 4% du chiffre d’affaires de l’entreprise visée.

La CNIL indiquant que le chiffre d’affaires mondial de Criteo en 2022 était de 1,9 milliard, ce montant était tout à fait dans les clous. L’autorité a cependant choisi un montant un peu moins élevé de 40 millions d’euros, remarquant que celui-ci constitue « près de 2 % du chiffre d’affaires mondial ».

Privacy International fait remarquer que « Criteo avait mis en avant son bénéfice net de 10 millions d’euros en 2022 pour plaider en faveur d’une réduction de sa peine » pendant l’audience qui s’est tenue en mars dernier. La décision de la CNIL rappelle quand même que « le montant de l’amende peut être supérieur au bénéfice généré par le responsable de traitement, dans la mesure où cela serait nécessaire afin d’assurer le caractère dissuasif de la sanction ».

Les deux associations plaignantes se félicitent de cette décision. « Nous sommes très heureux de la décision de la CNIL. C’est un signal fort envoyé à l’industrie de l’ad-tech, qui devra faire face à des conséquences désastreuses si elle enfreint la loi », exulte Romain Robert, avocat spécialiste de la protection des données chez noyb dans un communiqué.

Privacy International

, dans son communiqué, que cette sanction « met en cause le système de surveillance généralisée dont les sociétés de l’AdTech profitent, et leur manque total de considération pour le droit des personnes de décider du sort de leurs données personnelles ».

Criteo n’a, pour l’instant, pas communiqué sur cette sanction.

La CNIL rappelle, comme toujours, que Criteo peut faire un recours devant le Conseil d’État dans un délai de deux mois.

Source : nextinpact.com

Il y a cinq ans, le règlement général sur la protection des données (RGPD) entrait en vigueur. Sur le terrain, informaticiens, juristes et sociologues rapportent une compréhension et/ou une application contrastée de ce texte phare de la protection de la vie privée.

Sept ans après son adoption, cinq ans après son entrée en vigueur, dans quelle mesure le règlement général sur la protection des données est-il respecté ? En pratique, les internautes savent-ils et peuvent-ils, même, protéger leur vie privée en ligne ?

Ces questions ont sous-tendu une partie des présentations et débats qui ont eu lieu, le 14 juin, lors du riche Privacy Research Day organisé par la CNIL et son laboratoire d’innovation numérique LINC.

Professeur assistant à l’Université Ouverte des Pays-Bas, René Mahieu est, le premier, revenu sur le règlement européen encadrant l’usage fait des données personnelles des internautes. Plus précisément, il s’est penché sur l’efficacité des politiques répressives des Autorités de protection des données (DPA, pour data protection authorities).

Le RGPD expliqué ligne par ligne Le RGPD, un an après La CNIL publie une nouvelle version de son « guide pratique RGPD » Augmenter l’effet dissuasif des sanctions des DPA

Aux Pays-Bas, le juriste s’est en effet penché sur un phénomène particulier : celui du nombre croissant de plaintes enregistrées par l’autorité locale, qui n’entrainait pourtant aucune hausse particulière des sanctions prononcées. Interrogeant des délégués à la protection des données (DPO), René Mahieu s’est régulièrement entendu raconter les demandes des supérieurs et collègues de ses interlocuteurs. En substance, les entreprises ont une interrogation principale : « Quel risque court-on à ne pas être conforme aux obligations du RGPD ? »

Et René Mahieu de rappeler le principe de la théorie de la dissuasion, « ancré dans le RGPD » : il faut que le coût attendu de la mise en conformité soit plus bas que celui de la non-conformité pour qu’elles aient un réel effet sur les comportements. « Autrement dit, résume le juriste, il faut que se conformer à la loi vale quelque chose. » En l’état, le risque est trop faible pour que les entreprises hollandaises agissent.

Sa conclusion a été claire : les DPA ont besoin de trouver des manières plus dissuasives de faire appliquer la loi. Autrement, elles s’enferment dans un cercle vicieux : moins les entreprises se conforment aux textes, plus le nombre de plaintes augmente ; plus les plaintes augmentent, plus les DPA risquent une surcharge de travail ; plus ces dernières sont surchargées, moins elles peuvent contrôler la conformité.

La Commission européenne va surveiller les enquêtes transfrontalières relatives au RGPD Près de 3 milliards d’euros d’amendes ont été infligées en 2022 pour infraction au RGPD

Autre texte européen pour un même type d’acteurs visés : les auteurs du Digital Markets Act (DMA) ont déjà tiré la leçon du problème, puisqu’ils ont prévu des sanctions susceptibles de grimper jusqu’à 10 % du chiffre d’affaires annuel mondial d’une entreprise condamnée (contre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial pour non-respect du RGPD).

Design déceptif… jusque dans le texte lui-même ?

Mais les problèmes du RGPD ne se logent pas seulement dans la menace que font planer les sanctions pour non-respect du texte. Doctorante au Max Planck Institute for Security and privacy et membre du comité européen de la protection des données (EDPB), Lin Kyi a en effet présenté un travail mené sur le design des bandeaux de recueil du consentement des utilisateurs. Résultat des courses : une démonstration empirique que le design de ces éléments joue sur le taux d’acceptation ou de refus des internautes d’être tracés.

Autre point peut être moins évident à débusquer : le flou qui entoure la notion d’ « intérêt légitime », l’une des bases légales prévues par le RGPD pour permettre le traitement des données personnelles. Quand on parle d’intérêt légitime, s’agit-il de celui de l’utilisateur ? De celui de l’entreprise ? À défaut de certitude, ces dernières utilisent le concept de manière variable, plutôt à leur avantage, et souvent sans donner d’explication claire aux utilisateurs.

Des adaptations aux règlements… souvent faites au dernier moment

Signal plus positif, Yana Dimova, doctorante en informatique à l’université de Louvain, a présenté l’évolution des pratiques de Facebook en matière de dépôt de cookie auprès des non-utilisateurs de la plateforme depuis 2015. Cette année-là, la DPA belge avait intimé à l’entreprise de cesser de déposer le cookie « Datr », qu’elle avait identifié comme servant à tracer toutes sortes d’internautes, y compris non-membres du réseau social.

Au fil du temps – et des amendes, notamment infligées par la CNIL –, Facebook a bien adapté ses pratiques. En revanche, note l’informaticienne, la définition donnée aux utilisateurs des cookies et de leur utilité reste vague. Et les internautes restent « nudgés » (instrumentalisés, sans contrainte, ndlr) vers l’acceptation des traceurs.

Cookies : la CNIL met en demeure une vingtaine d’organismes, dont des acteurs publics Cookies et pistage des internautes : dernier coup de semonce de la CNIL, qui publie un observatoire

Autre enseignement pour les travaux futurs : en s’appuyant sur les données open source disponibles sur Github, le doctorant en informatique à l’école polytechnique de Zürich Karel Kubicek s’est de son côté penché sur la manière dont les développeurs implémentent des évolutions d’outils pour se conformer au RGPD.

Résultat des courses : un pic net d’activité est apparu en 2018, autour de l’entrée du texte en vigueur, et après deux ans de quasi-inactivité, ce qui « pose la question de l’utilité de cette période de grâce ». Après étude des actions des développeurs californiens, l’informaticien rapporte par ailleurs un relatif entremêlement des modifications réalisées pour se conformer au RGPD et à la loi californienne sur la protection des données. « Il semblerait que la communauté open source s’intéresse plus à la simplicité qu’au fait de chercher à récupérer un maximum de données », note-t-il.

Enfin, que ce soit directement au sujet des effets du RGPD, pour Lin Kyi, ou à propos de sujets connexes de protection de la vie privée, pour la représentante de la Security and Privacy Research team de Google Sunny Consolvo ou la doctorante en sociologie Laurianne Trably, plusieurs intervenantes ont souligné le besoin de créer des espaces de discussion plus mixtes, intégrant notamment les utilisateurs finaux.

Exposant les résultats d’une étude menée auprès d’internautes français vivant en milieu rural, cette dernière a en effet montré que la compréhension de la vie privée qu’ont les utilisateurs peut s’éloigner, ou a minima varier, de l’idée que s’en font les experts du sujet, tant du côté juridique que du côté technique.

Source : nextinpact.com

text alternatif

Hélas, voeu pieu!!! La CNIL ne fournit que des avis consultatifs et la loi reste superieure a ses avis…

Ce qui me gene surtout, c’est l’utilisation de plateformes de stockage gerees et implantées hors de france, louées par les gestionnaires de données de santé. Meme la CPAM avec leur DMP ne stocke rien en France… La France n’est meme pas capable de fabriquer et de gerer un datacenter dédié a la santé sur son propre sol, pour avoir la souveraineté sur les données médicales de la population.

La CNIL a prononcé une sanction à l’encontre de la société Discord, célèbre plateforme et app de communication. Cette dernière a manqué à plusieurs de ses obligations en matière de conservation et de sécurité des données personnelles.

b4d3df5b-4527-4623-a3ba-fcbff5e15756-image.png
Discord veillait avec trop de légèreté sur la protection des données des utilisateurs
© Getty Images

Et une sanction pour Discord. La Commission nationale de l’informatique et des libertés (Cnil) a effectué différents contrôles visant à évaluer le respect du RGPD par l’application de communication. Le gendarme des données a relevé plusieurs manquements aux obligations prévues par le texte européen, et décidé de sanctionner l’entreprise à hauteur de 800 000 €.

Une conservation des données peu scrupuleuse

Dans son communiqué, la Cnil a détaillé les différentes infractions commises par Discord. Tout d’abord, la société n’avait aucune politique écrite de conservation des données, et lors de ses recherches, la Cnil a découvert dans la base de données de l’application pas loin de 2,5 millions de comptes d’utilisateurs inactifs depuis trois ans. La Cnil précise toutefois que l’entreprise s’est mise en conformité avec le RGPD durant la procédure, et dispose dorénavant d’une politique écrite de conservation des données spécifiant la suppression des comptes après deux ans d’inactivité de l’utilisateur.

Des données pas assez protégées

En second lieu, la CNIL a considéré que le mot de passe exigé lors de la création d’un compte Discord n’était pas suffisamment robuste. En effet, durant le contrôle, l’application demandait un mot de passe composé de seulement six caractères et n’incluant que des chiffres et des lettres. Un ensemble de caractères jugé beaucoup trop léger. Une fois encore, cette lacune a été corrigée puisque Discord exige désormais un mot de passe de huit caractères minimum avec au moins trois ou quatre catégories de caractères (minuscules, majuscules, chiffres et caractères spéciaux). Un captcha a également été mis en place au bout d’un certain nombre de tentatives de connexion échouées.

Discord a de plus été sanctionné pour une caractéristique présente dans l’application de bureau. Les utilisateurs aguerris de Discord l’ont déjà remarqué, lorsque l’on clique sur la croix rouge de l’application pour la fermer, celle-ci ne se fermait pas réellement et se mettait simplement en tâche de fond. Cette mise au second plan ne déconnectait pas les utilisateurs présents dans un salon vocal, présentant donc certains risques en matière de protection des données et de la vie privée. Discord a depuis implanté une fenêtre pop-up afin d’alerter l’utilisateur qu’il reste connecté à un salon vocal et que Discord est toujours en fonctionnement.

Sources : www.lesnumeriques.com, cnil.fr

@Violence : Brut de pomme, mais brave gars ça se voit 😉

@Rapace a dit dans L'Éducation nationale confirme la fin des offres gratuites Office365 et Google Workspace dans les écoles en raison du non-respect du RGPD :

perso je ne comprends pas l’engouement pour la suite Microsoft Office, j’utilise LibreOffice depuis des années alors que j’ai plusieurs licences Microsoft ^^ et Libreoffice fait très bien son travail…

Sujet vieux comme le monde ça. En fait, pas mal de monde retrouve plus ses petits sur une interface à la MS Office, plutôt que sur LibreOffice.
Et pour une minorité, ce sont des fonctionnalités spécifiques qui font la différence (SharePoint, ODBC, VBA ou OfficeJS, Solveurs Pro …). Si on creuse, on trouve un paquet de choses. Ce n’est pas pour rien que l’installeur de MS Office est 10x plus lourd que celui de LO. 🙂

Un léger coup de frein contre une unique entreprise de traitement de donnés.

On ne le dira jamais assez, ne donnez que le minimum et pas à n’importe qui.

A mon avis ca va être dur à changer tout ca, quand tu vois que certaines écoles sont équipées full Apple des le plus jeune age

Formidable, ils vont même pouvoir calculer le budget du ménage et la fréquence/durée des rapports sexuels…

Même Georges Orwell n’avait pas imaginé une surveillance aussi complète, il ne manque plus que le côté répressif, mais confiance, il viendra.

@moshebenguigui a dit dans La Cnil met en demeure plusieurs sites sur l'usage de Google Analytics :

il était temps…

Mon oncle qui vit au japon me dit que google s’en bat les couilles text alternatif

@indigostar a dit dans L'ONG Noyb porte plainte pour corruption contre la CNIL irlandaise :

il est extrêmement inquiétant de voir une institution publique se faire ainsi le porte-parole d’une entreprise extra-européenne, au mépris des intérêts des citoyens européens.

Quand je lis ca je suis mort de rire, y’en a vraiment qui découvre l’eau chaude tous les jours.

Pendant ce temps là en France pour la quatrième fois la CNIL a demander à voir les études attestant de l’efficacité du pass sanitaire, ben elle attend toujours.

Encore un truc qui se fera pas, beaucoup trop gros a mettre en place

243944b1-1653-47ca-b411-02c99abd864f-image.png

Facebook se dote d’un conseil de surveillance, sorte de « cour suprême » statuant sur les litiges relatifs à la modération des contenus. Des géants du numérique comme Google investissent le marché des câbles sous-marins de télécommunications. La France a dû faire machine arrière après avoir confié à Microsoft l’hébergement du Health Data Hub.

Ces quelques exemples montrent que la manière dont le numérique se développe ne porte pas seulement atteinte à l’indépendance économique et l’identité culturelle de l’Union européenne et de la France. C’est la souveraineté qui est en cause, menacée par le numérique, mais y trouvant aussi une forme d’expression.

Le fait le plus marquant réside dans l’appropriation par les grandes plates-formes numériques non européennes des attributs de la souveraineté : un territoire transnational qui est celui de leur marché et du lieu d’édiction de normes, une population d’internautes, une langue, des monnaies virtuelles, une fiscalité optimisée, un pouvoir d’édiction de normes et de régulation. La composante propre au contexte numérique réside dans la production et l’utilisation de données et dans la maîtrise de l’accès à l’information. Il y a donc une forme de concurrence avec les États ou l’Union européenne.

C’est la souveraineté sous toutes ses formes qui est interrogée

La notion de souveraineté numérique a mûri depuis qu’elle a été formalisée il y a une dizaine d’années sous la forme d’un objectif de « maîtrise de notre destin sur les réseaux ». Le contexte actuel est différent de celui qui l’a vue naître. Désormais, c’est la souveraineté en général qui connaît un regain d’intérêt, voire le souverainisme (qui fait de la protection de la souveraineté étatique une priorité).

La politisation du sujet n’a jamais été aussi grande et le débat public s’organise autour de thèmes comme la souveraineté étatique face à l’Union européenne et son droit, l’indépendance économique, ou encore l’autonomie stratégique face au monde, la citoyenneté et la démocratie.

Dans les faits, la souveraineté numérique se construit sur la base de la régulation du numérique, de la maîtrise de ses éléments matériels et de la composition d’un espace démocratique. Il est nécessaire d’agir, sous peine de voir la souveraineté numérique être l’otage de débats trop théoriques. Nombreuses sont donc les initiatives qui se réclament directement de la souveraineté.

La régulation au service de la souveraineté numérique

Le cadre juridique du numérique est fondé sur des valeurs qui façonnent une voie européenne, notamment la protection des données personnelles et de la vie privée, la promotion de l’intérêt général, par exemple dans la gouvernance des données.

Le texte emblématique de l’approche européenne est le règlement sur la protection des données personnelles (RGPD) adopté en 2016, qui vise la maîtrise de ses données par le citoyen, maîtrise qui s’apparente à une forme de souveraineté individuelle. Ce règlement est souvent présenté comme un succès et un modèle, même si cela doit être relativisé.

La nouvelle régulation européenne du numérique pour 2022

L’actualité est marquée par la préparation d’une nouvelle régulation du numérique avec deux règlements qui devront être adoptés en 2022.

Il s’agit de réguler les plates-formes qui mettent en relation offreurs et utilisateurs ou proposent des services de classement ou référencement de contenus, de biens ou de services proposés ou mis en ligne par des tiers : Google, Meta (Facebook), Apple, Amazon, et bien d’autres encore.

L’enjeu de souveraineté est présent dans cette réforme comme le montre le débat sur la nécessité de se focaliser sur les GAFAM.

D’un côté, le Digital Markets Act (le futur règlement européen sur les marchés numériques) prévoit des obligations renforcées pour les plates-formes dites « contrôleurs d’accès » dont dépendent utilisateurs intermédiaires et finaux. Les GAFAM sont concernés même si d’autres entreprises pourraient être l’être – comme Booking ou Airbnb. Tout dépend de l’issue des discussions en cours.

De l’autre, le Digital Services Act est un règlement sur les services numériques qui viendra organiser la responsabilité des plates-formes, notamment à raison des contenus illégaux qu’elles peuvent véhiculer.

L’espace numérique, lieu de confrontations

Se doter de règles de droit ne suffit pas.

« Les États-Unis ont les GAFA (Google, Amazon, Facebook et Apple), la Chine a les BATX (Baidu, Alibaba, Tencent et Xiaomi). Et l’Europe ? Nous avons le RGPD. Il est temps de ne pas dépendre uniquement des solutions américaines ou chinoises ! » déclarait le Président Emmanuel Macron lors d’un entretien le 8 décembre 2020.

L’espace international est un lieu de confrontation des souverainetés. Chacun veut légitimement maîtriser son destin numérique, mais il faut compter avec l’ambition des États qui revendiquent le droit de contrôler ou surveiller leur espace numérique conçu de manière large, à l’instar des États-Unis ou de la Chine.

L’Union européenne et/ou ses États membres, comme la France, sous peine d’être une « colonie numérique », passent donc à l’action et promeuvent des solutions souveraines.

Maîtriser les infrastructures et ressources stratégiques

À force de concentrer l’attention sur les services d’intermédiation, on ne met pas assez l’accent sur la dimension industrielle du sujet.

Or, le premier enjeu réside dans la maîtrise des infrastructures vitales et des réseaux de télécommunications. Moins médiatisée que celle des équipements de la 5G et de la résistance face à Huawei, la question des câbles sous-marins (98 % des données numériques mondiales y circulent) est révélatrice de la nécessité de promouvoir notre industrie câblière face à l’hégémonie d’entreprises étrangères et l’arrivée de géants tels que Google ou Facebook dans le secteur.

L’adjectif « souverain » est aussi accolé à d’autres ressources stratégiques. Ainsi, l’Union européenne veut sécuriser l’approvisionnement en semi-conducteurs, car actuellement la dépendance à l’égard de l’Asie est forte. C’est l’objet de l’European Chips Act qui vise à créer un écosystème européen. Pour Ursula Von Leyden, « ce n’est pas seulement une question de compétitivité, mais aussi de souveraineté numérique ».

Se pose aussi la question du cloud « souverain » qui peine à se mettre en place. Territorialisation du cloud, confiance, protection des données sont autant de conditions pour asseoir la souveraineté. La France a créé pour cela le label SecNumCloud et prévoit des financements substantiels.

L’adjectif « souverain » est aussi utilisé pour qualifier certaines données : celles pour la disponibilité desquelles aucun État ne doit dépendre de quiconque, comme les données géographiques. D’une manière générale, un consensus se crée autour de la nécessité de maîtriser les données et l’accès à l’information, en particulier dans les domaines où l’enjeu de souveraineté est le plus fort : la santé, l’agriculture, l’alimentation, l’environnement. Le développement de l’intelligence artificielle est très lié au statut de ces données.

Le temps des alternatives

Est-ce que tout cela implique de favoriser l’émergence de grands acteurs européens ou nationaux et/ou d’acteurs stratégiques, start-up et PME-TPE ? Certainement, encore faut-il qu’ils soient vertueux, comparés à ceux qui exploitent les données personnelles sans vergogne par exemple.

L’alternative pure est difficile à faire émerger. C’est pourquoi des partenariats, au demeurant fort critiqués, se développent, par exemple pour des offres de cloud à l’instar de celui entre Thales et OVHcloud en octobre 2021.

En revanche, il est permis d’espérer. L’« open source » est un bon exemple d’une alternative crédible aux technologies privées américaines. On en attend donc une meilleure promotion, notamment en France.

Enfin, la cybersécurité et la cyberdéfense sont des sujets cruciaux pour la souveraineté. La situation est critique avec des attaques notamment de la Russie et de la Chine. La cyber est un des grands chantiers dans lequel la France investit beaucoup actuellement et se positionne comme champion.

La souveraineté du peuple

Pour conclure, rappelons que les enjeux de souveraineté numérique se manifestent dans toutes les activités humaines. Une des grandes prises de conscience initiale, en 2005, concerne la culture avec le constat fait par Jean-Noël Jeanneney d’un Google qui défie l’Europe en numérisant son patrimoine culturel lorsqu’il crée Google Books.

La période récente renoue avec cette vision et l’enjeu culturel et démocratique s’affirme comme essentiel, à l’heure de la désinformation en ligne et son cortège d’effets pervers, notamment sur les élections. Cela implique de placer le citoyen au cœur du dispositif et de démocratiser le monde numérique en affranchissant l’individu de la tutelle des géants du net dont l’emprise ne se limite pas à l’économie et au régalien. C’est sur le système cognitif, sur l’attention et la liberté que la toile des grandes plates-formes se tisse. La souveraineté, celle du peuple, rimerait donc ici avec résistance.

Source : theconversation.com