Allez au contenu, Allez à la navigation

L'Union européenne, colonie du monde numérique ?

20 mars 2013 : L'Union européenne, colonie du monde numérique ? ( rapport d'information )

B. LA PLACE DE L'UNION EUROPÉENNE DANS LE CYBERESPACE : UN ENJEU DE CIVILISATION

L'économie, la fiscalité, le droit : tous les attributs de la puissance souveraine des États sont défiés par le numérique. Or les contenus et applications en ligne sont majoritairement dominés par des acteurs non européens : Google détient 90 % du marché de la recherche en ligne dans l'Union européenne, Facebook réunit un milliard d'utilisateurs de par le monde... Quels sont les enjeux à long terme de la faible présence de l'Union européenne sur le web ? Ils sont au moins de deux ordres : d'une part, la souveraineté de l'Union européenne sur les données qu'elle produit en ligne ; d'autre part, la survie de l'identité européenne dans le monde tout numérique dans lequel nous basculons.

1. Les menaces pesant sur la maîtrise de ses données par l'Union européenne, condition de son indépendance et de sa liberté

Sur Internet, toute activité laisse des traces, volontairement ou non. Des traces de nos navigations sur Internet sont enregistrées dans notre terminal d'accès à Internet mais aussi sur des serveurs. Les services offerts sur le web tirent parti du nombre croissant d'informations issues de la navigation des internautes, d'autant plus que le coût du stockage des données et de la puissance de calcul diminue grâce aux progrès technologiques44(*). Internet faisant généralement du suivi en temps réel et dans les moindres détails de l'activité des utilisateurs la pratique par défaut, cette collecte d'informations se fait souvent à l'insu de ces utilisateurs, mais certaines données sont directement saisies par eux.

Chaque site auquel un internaute se connecte connaît notamment l'adresse IP de l'internaute qui permet d'identifier de manière unique le terminal connecté au réseau et même de le géolocaliser45(*), son nom d'hôte (hostname) qui lui-même révèle le nom de son fournisseur d'accès, son système d'exploitation, et la page qui a conduit jusqu'à ce site46(*).

Le terminal de connexion à Internet garde en mémoire diverses données, sur des fichiers déposés sur son disque dur par le serveur de chaque site Internet visité par l'internaute. Ces fichiers ou cookies permettent aux sites web de reconnaître l'internaute lors de ses visites ultérieures sur le site : cela lui permet d'afficher des messages de bienvenue personnalisés, de se souvenir des précédentes visites... Selon la Commission nationale Informatique et Libertés (la CNIL), un navigateur Internet doit pouvoir stocker environ 300 cookies. Par ailleurs, pour accélérer la navigation en ligne, des traces de la navigation sont enregistrées dans le terminal d'accès à Internet, dans les équipements du réseau Internet, et sur les serveurs du site visité. Le navigateur conserve une copie des pages visualisées récemment (le cache47(*)) ainsi qu'un historique des adresses entrées via la barre d'adresses.

Les moteurs de recherche sont particulièrement bien placés pour recueillir des données : bénéficiant d'une audience de masse et affinant toujours plus leurs technologies de traçage, ces sites connaissent les centres d'intérêts des internautes grâce aux mots-clés qu'ils entrent dans le moteur, les sites qu'ils fréquentent grâce aux liens sur lesquels ils cliquent, la position géographique de l'internaute, estimée sur la base de l'adresse IP pour mieux individualiser les réponses (notamment en fonction de la langue). Ainsi, Google exploite les recherches en ligne pour personnaliser la publicité ; il enrichit même les profils des internautes dynamiquement en fonction de leur navigation. De même, Amazon conserve les historiques de consultation et d'achat sur son site. Quant aux réseaux sociaux, ils collectent des données personnelles que les utilisateurs du réseau acceptent de leur confier volontairement, à destination du public ou d'autres utilisateurs (amis sur Facebook ou abonnés sur Twitter).

Pourquoi collecter les données ? D'abord, le traitement des données recueillies peut servir à mesurer la performance d'une application pour piloter son amélioration. Ainsi, d'après le rapport Colin et Collin, Facebook fait coexister plusieurs versions de son application et mesure les différences de performance entre elles pour orienter l'évolution de l'application.

Ensuite, les données collectées peuvent aussi permettre de personnaliser le service pour chaque utilisateur : lui sont ainsi adressées les bonnes recommandations, les publicités appropriées, voire un prix ad hoc. Ainsi, dans son moteur de recherche, Google exploite les données issues des utilisateurs non seulement pour indexer les contenus en ligne mais aussi pour proposer une formulation des requêtes. Mais l'entreprise exploite aussi ces données dans d'autres applications : selon le rapport Colin et Collin, Google analyserait même automatiquement le contenu de la correspondance dans la messagerie Gmail48(*) pour mieux cibler les publicités présentées à l'utilisateur et pour personnaliser les résultats de recherche. Les données d'un utilisateur peuvent aussi être utilisées pour mieux rendre le service à tous les autres utilisateurs, dans la même application (ou dans une autre) : soit elles sont présentées directement à tous (ainsi, les avis des consommateurs), soit elles entrent dans des calculs de filtrage collaboratif qui permettent de s'appuyer sur le comportement d'un utilisateur de l'application pour faire des recommandations à un autre, présentant des caractéristiques similaires. Amazon nourrit ainsi son moteur de recommandation, générateur de chiffre d'affaires.

Enfin, les données recueillies peuvent être valorisées auprès de tiers par la cession d'une licence pour leur utilisation, si l'utilisateur y a consenti, ou par leur mise à disposition sur une plateforme logicielle, d'autres applications pouvant alors les utiliser dans le respect des conditions générales d'utilisation (c'est la stratégie d'Apple49(*)). Facebook est ainsi en position de développer un écosystème grâce aux données recueillies sur son milliard d'utilisateurs.

Source : Brochure de la Commission européenne, Prends le contrôle de tes données personnelles, 2012

C'est pourquoi les données peuvent être considérées comme l'or noir du futur numérique50(*). Les principales entreprises de l'économie numérique en font le coeur de leur stratégie. La valeur de ces données personnelles a même fait récemment l'objet d'une première estimation : le Boston Consulting Group a publié en novembre 2012 une étude51(*) évaluant à 315 milliards d'euros en 2011 la valeur des données personnelles collectées auprès des utilisateurs européens et annonçant qu'en 2020, ces données pourraient représenter mille milliards d'euros et induire une création de valeur équivalant à 8 % du PIB européen.

Au-delà du potentiel économique qu'elles représentent, les données collectées en masse et leur croisement (Big data) mettent aussi en péril la protection de la vie privée. Le sénateur Yves Détraigne, avec lequel votre rapporteure s'est entretenue, l'a précocement souligné dans un rapport52(*) écrit avec sa collègue Mme Anne-Marie Escoffier, au nom de la commission des lois du Sénat en 2009 : il y insistait sur la nécessaire attention à accorder à ce sujet, afin de renforcer la confiance des citoyens dans la société de l'information.

Dans ce contexte, votre rapporteure a été sensibilisée à l'enjeu particulier que représentent les données de paiement. L'opération de paiement n'est plus aujourd'hui une simple opération arithmétique : à l'opération de compensation s'ajoute le recueil de 150 données dont une cinquantaine exploitable à des fins commerciales53(*). Ces données, recueillies à l'occasion de transactions par carte, offrent un potentiel considérable pour « profiler » les clients : grâce à l'exploration des données (ou data mining), on peut déduire des paiements par carte les styles de vie, les centres d'intérêt, les comportements, et développer les ventes. Si les banques sont encore frileuses et observent par tradition le secret bancaire, les nouveaux acteurs du paiement, issus du monde numérique, ambitionnent de maîtriser ces données. Par la voix de son président, M. Gilles Guitton, le Groupement des Cartes Bancaires a exprimé sa préoccupation à l'égard d'une domination d'acteurs non européens sur les systèmes de paiement électronique. Il note que chaque grande nation s'est dotée d'au moins un système de paiement, organisation chargée d'assurer le bon fonctionnement des paiements par carte et de rendre interopérables (aux plans technique et juridique) les différents intervenants : Visa, Mastercard, American Express pour les États-Unis, JCB pour le Japon, China Union Pay (CUP) pour la Chine. Deux puissances échappent à cette logique : la Russie et l'Europe.

Si la Russie semble y travailler, l'Union européenne serait sur le point d'y renoncer face aux difficultés rencontrées par trois projets : Monnet (initié par les banques), Payfair (mis en oeuvre en Belgique avec l'ambition de concilier les attentes des banques et des commerçants sans appliquer de commissions d'interchange) et EAPS54(*).

Concernant le projet de système de paiement Monnet que soutenait la France, les 24 banques européennes qui y participaient s'en sont retirées en avril 2012. Les établissements souhaitaient, avant de s'engager dans ce lourd projet, conçu pour traiter tous les moyens de paiement, des cartes aux transactions par téléphone portable, que soit assurée la pérennité du système de paiement à quatre coins. Un tel système implique le consommateur, le commerçant et leurs banques respectives, lesquelles se facturent des commissions d'interchange susceptibles d'être répercutées sur le commerçant ; selon les banques, ce système à quatre coins garantit l'interopérabilité et l'universalité du service de paiement, par opposition au système «à trois coins», moins transparent puisqu'il met en relation le consommateur et le commerçant avec un seul intermédiaire, tel American Express. Or, la Commission européenne vise la suppression des commissions multilatérales d'interchange pour favoriser l'ouverture à la concurrence de ce marché. Le projet Monnet prévoyait pour sa part l'harmonisation et non la suppression des commissions à l'échelle européenne selon le type d'opérations et leur niveau de valeur ajoutée.

Ces trois projets concurrents peinent donc à aboutir. Mais si l'Union européenne ne crée pas son propre système de paiement, elle sera inévitablement intégrée dans les systèmes Visa et Mastercard qui assurent déjà respectivement 35 et 22 % des opérations de paiement par carte dans l'Union. C'est un véritable enjeu de souveraineté, comme l'atteste la suspension par Visa et Mastercard des paiements par carte des autorités syriennes depuis août 2011, sur l'ordre du Trésor américain. Il y va de la capacité de l'Union européenne à protéger les données de ses citoyens et à les mettre à l'abri d'une paralysie de paiements.

La protection des données des citoyens de l'Union européenne fait l'objet de nouvelles propositions législatives publiées en 2012 par la Commission européenne pour réformer la directive n° 95/46/CE relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données. Votre rapporteure reconnaît que le projet de règlement qui fixe le cadre général55(*) prévoit des avancées substantielles en matière de protection des droits des citoyens. Il exige une clarification des règles sur le recueil du consentement de l'internaute pour l'utilisation de ses données personnelles. Il prévoit de limiter la collecte des données en imposant le principe de proportionnalité56(*), pour éviter la collecte de données qui ne seraient pas nécessaires à l'exploitation du service. Il reconnaît aussi un droit à l'oubli57(*), c'est-à-dire à l'effacement des données personnelles ou à leur anonymisation dans le respect, toutefois, de limites légitimes comme le respect du droit à la liberté d'expression58(*), et un droit à la portabilité des données, afin que chacun puisse transférer ses données d'une plateforme à l'autre.

Ce règlement, d'application directe dans tous les États membres, devrait s'appliquer à toutes les entreprises traitant des données relatives à des Européens, y compris les entreprises non européennes, ce qui ne va pas sans soulever des questions juridiques ; son application serait sanctionnée par des amendes pouvant atteindre 2 % du chiffre d'affaires mondial. Les entreprises, soumises à des obligations accrues pour une meilleure protection des personnes, bénéficieraient néanmoins d'une simplification des formalités administratives et d'une règlementation unifiée au sein du marché unique.

Non seulement les règles à appliquer seraient strictement les mêmes dans les 27 États membres, mais la compétence pour traiter les litiges entre un citoyen européen et un responsable du traitement de ses données serait aussi confiée à une autorité unique, celle du lieu de l'établissement principal de ce responsable de traitement. Cette solution, avantageuse pour les entreprises qui n'auraient plus affaire qu'avec une autorité au lieu de 27, présente l'inconvénient d'éloigner le traitement des plaintes de l'internaute59(*). C'est la raison pour laquelle, dans une résolution européenne60(*) de mars 2012, le Sénat s'est opposé à ce principe de guichet unique. Lors de son audition par votre rapporteure, la présidente de la CNIL, Mme Isabelle Falque-Pierrotin, a également fait part de sa crainte d'un risque de dumping intracommunautaire en matière de protection des données, dans la mesure où certaines autorités nationales de protection des données manquent de moyens voire de compétences pour s'assurer du respect, par les entreprises relevant de leur régulation, de l'ensemble des lois nationales qui interagissent dans chaque État membre avec les règles européennes en matière de protection des données. Un compromis semble néanmoins se dessiner pour permettre à l'internaute de continuer à s'adresser à son autorité domestique, laquelle collaborerait avec l'autorité étrangère compétente pour traiter la plainte.

Votre rapporteure se félicite de la future harmonisation des règles européennes en matière de protection des données, qui permettra à l'Union européenne de peser de tout son poids à l'égard des grands acteurs de l'économie numérique. Ce besoin d'une action concertée transparaît déjà, même si aujourd'hui toutes les autorités européennes de protection des données n'ont pas les même compétences ni le même pouvoir de sanction : c'est sur le mandat de ses homologues européennes que la CNIL a examiné la nouvelle politique de confidentialité de Google, appliquée depuis le 1er mars 2012 et généralisant la combinaison de données entre les nombreux services offerts par Google. Cet examen a révélé que Google ne fournissait pas suffisamment d'informations aux utilisateurs sur ses traitements de données personnelles, ne précisait pas la durée de conservation de ces données et ne permettait pas aux utilisateurs de contrôler la combinaison de données entre ses nombreux services.

Finalement, les 27 autorités de protection des données ont demandé61(*) en octobre 2012 à l'entreprise de prendre des mesures effectives et publiques pour se mettre en conformité avec les règles de la directive européenne en vigueur62(*) : proportionnalité, limitation de finalité, droit d'opposition... Les quatre mois laissés à Google viennent d'expirer et il apparaît que cette demande est restée lettre morte. En février 2013, les autorités européennes en charge de la protection des données ont donc annoncé qu'elles envisageaient une action répressive et coordonnée d'ici l'été à l'encontre de Google.

Cette situation est révélatrice d'une dérive, constatée chez de nombreux opérateurs de services en ligne, vers une opacité et une instabilité de leurs clauses générales d'utilisation (CGU). En effet, non seulement complexes, les CGU sont mouvantes et les utilisateurs inscrits sur le service sont réputés accepter tacitement ces modifications. Une cartographie établie par OWNI en avril 2012 illustre la fréquence croissante des modifications des CGU des géants du net : Google, Facebook et Twitter, dont le changement brutal de CGU en février 2009 lui aurait permis d'obtenir des droits très étendus sur les contenus de ses utilisateurs puis de revendre en 2012 ces données à des sociétés de data mining.

TWITTER FACEBOOK GOOGLE

 

Source : owni.fr - Conditions générales de mystification - Lionel Maurel (Calimaq),
Andréa Fradin et Marion Boucharlat (4 avril 2012)

L'extension de la publicité par défaut des informations collectées par Facebook a d'ailleurs été illustrée de manière très explicite en 2010 par un chercheur américain, Matt McKeon, travaillant alors pour IBM. Au début, Facebook restreignait la visibilité des informations personnelles aux « amis » et aux « réseaux » scolaires. Mais les paramètres de confidentialité par défaut sont devenus de plus en plus permissifs comme l'illustre l'extension du périmètre de publicité des données figurant en foncé sur ces graphiques :

 

Source : The Evolution of Privacy on Facebook, http://mattmckeon.com/facebook-privacy/

 

 

 

 

Malgré l'efficacité accrue que la protection des données devrait gagner avec l'adoption du nouveau règlement européen harmonisant les législations en la matière, votre rapporteure s'interroge sur la possibilité pour l'Union européenne de maîtriser de manière effective les données des citoyens européens. En effet, la maîtrise des données est un enjeu considérable, qui concerne aussi bien la protection de la vie privée que le potentiel économique que représentent ces données pour l'industrie numérique européenne. Sans même s'attarder sur la possibilité d'espionnage via les éléments physiques des réseaux, il est légitime de se demander si ce nouveau texte législatif sera capable d'assurer la maîtrise des données européennes face à deux grands défis : le stockage et le traitement des données à distance par les services de cloud, et la multiplication des données quand les objets deviendront communicants.

Le cloud computing représente une migration de l'exécution du code vers des serveurs distants dont le rattachement à un territoire est de plus en plus délicat. Mme Françoise Le Bail, qui est à la tête de la Direction générale Justice à la commission européenne, a assuré à votre rapporteure que le règlement sur la protection des données, conçu pour être technologiquement neutre, s'appliquerait aussi aux offres de cloud, afin de créer une confiance suffisante pour promouvoir l'usage de tels services.

Votre rapporteure s'interroge toutefois sur la possibilité d'obtenir le respect de ces règles européennes par les fournisseurs de cloud, dont les plus grands sont de nationalité américaine et qui, à ce titre, relèvent de la juridiction américaine même s'ils traitent des données issues de résidents européens. La souveraineté extraterritoriale des USA dans le cyberespace va encore s'étendre avec le développement des services de cloud. Et, à moins d'interdire le développement des services de cloud computing, le ministre du redressement productif, M. Arnaud Montebourg63(*), se trompe de combat en appelant à localiser le traitement des données sur le territoire où elles sont produites. Que les serveurs de cloud stockant les données des européens soient ou non localisés sur le territoire européen ne modifie pas la donne, dans la mesure où la loi américaine permet aux autorités américaines d'obtenir des données sur les citoyens européens, même stockées dans des serveurs en Europe, dès lors que l'entreprise détenant ces données relève de la juridiction américaine.

C'est ce qui résulte des évolutions législatives récemment intervenues aux États-Unis, qui viennent réduire à néant l'effectivité du système de « Safe Harbor »64(*) négocié en 2000 entre les États-Unis et l'Union européenne pour protéger les transferts de données personnelles à destination des États-Unis. En novembre 2012, l'Institut pour le droit de l'information, centre de recherche néerlandais mondialement réputé dans son domaine, a publié une étude sur le cloud computing et le Patriot Act américain. Le Patriot act, adopté en 2001, consiste en fait en divers amendements à plusieurs lois en vigueur ; lui-même a été amendé successivement depuis 2001, encore tout récemment par le Patriot Sunsets Extension Act de 2011. Le Patriot Act a notamment amendé le Foreign Intelligence Surveillance Act (FISA), également amendé depuis par deux textes importants : le Protect America Act (PAA) de 2007 et le FISA Amendment Act (FAA) de 2008, lequel a ajouté une disposition spécifique concernant les procédures de ciblage de certaines personnes, étrangères et situées hors des USA. Cette disposition introduit une procédure qui autorise une large acquisition de données concernant des personnes étrangères sans même qu'il ne soit besoin de les soupçonner : cette acquisition de données n'est pas nécessairement ciblée sur des personnes précises ni sur le contenu spécifique de leurs communications, elle doit seulement contribuer à la collecte de renseignements étrangers. Ceci confère donc aux autorités américaines le pouvoir de collecter des données à grande échelle sur des citoyens non américains situés hors du territoire américain.

En outre, l'étude montre que les garanties qu'apporte la Constitution américaine (son 4ème amendement protège contre les perquisitions ou saisies déraisonnables) en cas de réquisition de données par les autorités américaines ne s'appliquent pas aux citoyens européens recourant aux services de cloud. Ce n'est pas le cas en Europe, puisque l'article 8 de la Convention européenne des droits de l'homme et les articles 7 et 8 de la Charte des droits fondamentaux de l'Union européenne ont un caractère universel et assurent le droit à la vie privée, au respect de la correspondance et à la protection des données personnelles, sans condition de citoyenneté, d'origine ou de résidence : selon la jurisprudence de la Cour européenne des droits de l'homme, toute atteinte à ces droits ne peut être autorisée que si elle sert un intérêt légitime, se fait dans le respect de la loi et présente un caractère nécessaire dans une société démocratique.

Ainsi, malgré le discours rassurant des fournisseurs de services de cloud, la possibilité que des gouvernements étrangers requièrent des données représente un risque qui ne peut être éliminé par des garanties contractuelles : en effet, la juridiction américaine s'applique même à des données qui sont stockées hors du territoire américain, dès lors que le fournisseur de services de cloud relève de la juridiction américaine : c'est le cas quand le fournisseur est américain bien sûr, mais aussi s'il a un bureau aux États-Unis, et cela peut même être le cas si ce fournisseur a simplement des relations d'affaires systématiques (« conducts systematic business »65(*)) avec les États-Unis, ce qui est très souvent le cas.

Il convient de relever que la proposition de règlement européen relatif à la protection des personnes physiques à l'égard du traitement des données personnelles comprend des dispositions (articles 40 à 45) destinées à encadrer le transfert de données personnelles vers des pays tiers. Si l'une de ses versions officieuses datant de novembre 2011 prévoyait une certaine fermeté de l'Union européenne à l'égard des requêtes émanant des juridictions ou autorités de pays tiers66(*), le texte finalement publié en janvier 2012 par la Commission européenne ne prévoit plus les mêmes garanties pour les données des citoyens européens stockées dans le « nuage ».

Extrait du rapport du Sénat (2011-2012) n°44667(*)
fait au nom de la commission des lois par M. Simon Sutour : l'encadrement des transferts de données vers des pays tiers dans la proposition de règlement européen

Les transferts de données vers les pays tiers ne peuvent avoir lieu que s'ils respectent les obligations prévues à cet effet dans le règlement (article 40). Ainsi, ils ne sont possibles que si la Commission a constaté que le pays destinataire assure un niveau de protection « adéquat » aux données personnelles concernées.

Le niveau « adéquat » de protection s'apprécie en fonction de la législation en vigueur, de l'existence et du fonctionnement effectif d'autorités de contrôle, de l'existence d'un droit de recours judiciaire et des engagements internationaux souscrits par le pays tiers concerné (article 41). Si la Commission décide que le pays tiers n'assure pas un niveau de protection « adéquat », le transfert de données est interdit.

Lorsque la Commission n'a pas adopté de décision constatant un niveau de protection adéquat du pays, le transfert de données à caractère personnel n'est possible que si le responsable de traitement offre, dans un instrument juridique contraignant, des « garanties appropriées » à savoir, des règles d'entreprise contraignantes, des clauses types de protection des données adoptées par la commission ou par une autorité de contrôle et des clauses contractuelles approuvées par une autorité de contrôle. À défaut, le responsable de traitement doit demander une autorisation préalable de transfert à l'autorité de contrôle (article 42 et suivants).

Par dérogation, les transferts sont autorisés lorsque que la personne concernée y a consenti, qu'ils sont nécessaires à l'exécution du contrat, justifiés par des « motifs importants d'intérêt général », ou conformes aux « intérêts légitimes » poursuivis par le responsable de traitement.

Le groupe de l'article 29, qui réunit les CNIL européennes, a fait part de sa préoccupation quant au caractère lacunaire des dispositions finalement proposées par la Commission européenne pour encadrer le transfert de données hors de l'Union européenne, sur requête d'une autorité administrative ou judiciaire d'un pays tiers : dans son opinion d'août 201268(*), le groupe souligne l'importance d'une interdiction, par le futur règlement, de ce type de transfert de données, sauf autorisation expresse par un accord international, stipulation dans un traité d'assistance juridique mutuelle ou approbation par une autorité de supervision. Les données des citoyens européens risquent en effet de subir les effets de l'extraterritorialité des législations adoptées dans les pays tiers. Ce risque est particulièrement inacceptable pour les organismes publics, concernant leurs bases de données ou services les plus sensibles au regard de la sécurité et de la vie privée des citoyens ou de la sécurité nationale.

En clair, dès lors qu'ils relèvent du droit américain, les fournisseurs de services de cloud sont tenus de satisfaire ces requêtes, y compris si cela signifie entrer en infraction avec les lois européennes auxquelles ils sont également soumis du fait de leurs activités sur le territoire européen. La protection de la vie privée et la confidentialité des données des citoyens de l'Union européenne dans le contexte du cloud computing reste donc un sujet politique majeur pour l'Union européenne.

Le sujet de la protection des données personnelles va encore gagner en acuité avec le développement de l'internet des objets et la multiplication des données qui en résultera. Le nombre de dispositifs connectés s'accroît déjà alors que leur taille les rend invisibles pour l'oeil humain. La mobilité est une autre dimension de ce nouvel univers, que Me Alain Bensoussan a qualifié de web 3.0 lors de son audition par votre rapporteure69(*): de plus en plus de connexions se feront sans fil, les objets étant transportés en permanence par les personnes. Notamment, l'évolution des technologies de la m-santé, qui va permettre la mesure permanente des caractéristiques du corps humain, aussi désignée comme quantified self, pourrait entraîner des dérives dans la diffusion de ces données médicales, qui sont particulièrement sensibles au regard de la protection de la vie privée. Plus généralement, si l'internet des objets acquiert l'importance escomptée, il pourrait devenir une ressource vitale voire stratégique pour l'Europe, dont celle-ci doit garder la maîtrise.

Comme l'a fait observer M. Bernard Benhamou à votre rapporteure, les nouvelles générations de capteurs pourraient devenir autonomes en énergie, s'ils sont dotés de la capacité de fonctionner sur l'énergie solaire, ou celle issue des variations de température ou encore des vibrations du corps. Placés dans des objets durables comme des meubles ou des immeubles, ces capteurs pourraient ainsi ne jamais se désactiver, être en quelque sorte « immortels », ce qui soulève la question du contrôle de ces dispositifs. Les utilisateurs doivent en effet rester maîtres des informations qui sont transmises par les objets qui les entourent : c'est le principe du « droit au silence des puces », c'est-à-dire le droit pour les individus de pouvoir se déconnecter de leur environnement réseau à tout moment. Ce principe, dont Bernard Benhamou avance la nécessité, a été porté par la France lors de la conférence ministérielle européenne sur l'internet des objets en 2008 et a été depuis repris par la Commission européenne70(*). Pour assurer efficacement la mise en oeuvre de ce principe, il importe d'élaborer a priori, donc avant que ces puces ne soient massivement déployées, des règles de protection de la vie privée qui trouveront une traduction dans l'architecture même des puces.

Quels sont les domaines de la gouvernance de l'internet des objets ?

Généralement, la connexion des objets exige l'attribution d'un identifiant à chaque objet et un moyen leur permettant de se connecter avec d'autres objets ou avec le réseau. La quantité d'informations présentes sur l'objet lui-même est habituellement limitée; le reste se trouve en un point du réseau. En d'autres termes, pour accéder à l'information liée à un objet, une communication en réseau doit être établie. Des questions se posent immédiatement, à savoir:

- Comment cette identification est-elle structurée ? (désignation de l'objet)

- Qui attribue l'identifiant ? (autorité chargée de l'attribution)

- Comment et où des informations supplémentaires sur cet objet, y compris sur son historique, peuvent-elles être retrouvées ? (mécanisme d'adressage et référentiel d'informations)

- Comment la sécurité des informations est-elle garantie ?

- Quelles parties concernées ont l'obligation de rendre des comptes pour chacune des questions ci-dessus, et par quel mécanisme ?

- Quel cadre éthique et juridique s'applique aux différentes parties concernées ?

Source : Commission européenne, communication (COM(2009) 278 final), L'internet des objets - Un plan d'action pour l'Europe, juin 2009

Toutes ces questions nouvelles restent à creuser pour éviter à l'Europe de se retrouver contrainte d'adopter des technologies conçues au mépris de ses valeurs fondamentales, telles que la protection de la vie privée et des données personnelles. C'est en réponse à cette préoccupation que le projet de règlement européen sur la protection des données en cours d'élaboration prévoit71(*) d'imposer la  prise en compte de la vie privée dès la conception, désignée en anglais comme privacy by design. Ce principe tend à ce que toute technologie exploitant les données personnelles intègre la protection de la vie privée dès sa conception et s'y conforme tout au long de son cycle de vie. Ainsi, une forme de prévention du risque d'exploitation abusive de ces données se met en place au niveau européen, mais le sens précis du concept de privacy by design, son efficacité, son coût, la méthodologie qui permet de l'intégrer concrètement dans des systèmes technologiques et ses impacts individuels et sociétaux ne sont pas encore clairement adressés par les autorités politiques : il s'agit là aussi d'un enjeu majeur pour la maîtrise par l'Union européenne de ses données dans l'internet de demain.

Derrière la maîtrise de ses données, c'est la souveraineté de l'Union européenne qui est en jeu. M. Stéphane Grumbach, directeur de recherche à l'INRIA, a fait part à votre rapporteure de sa longue expérience de la Chine qui s'est donnée comme ambition de protéger sa souveraineté dans le monde numérique en développant ses propres outils de recherche en ligne ou réseaux sociaux. Par contraste, il a déploré que l'Europe s'interdise de travailler sur ses données et même en fasse cadeau à d'autres, effet paradoxal de l'extrême attachement des européens au respect de la vie privée et de leur hantise des fichiers de personnes développés par les totalitarismes. Ce faisant, l'Europe se coupe des outils de commande de la politique, comme par exemple en matière de santé publique où l'État pourrait tirer parti du suivi, en temps réel, des développements épidémiques dans la population. Dominée à présent par les prestataires américains de services Internet et par les équipementiers asiatiques (ce qui n'est pas neutre pour la sécurité nationale), l'Europe est sous-développée dans le monde numérique ; elle est menacée de sous-développement global demain, puisque le numérique prend progressivement le contrôle de toute l'activité.

2. La difficile sauvegarde de l'esprit européen dans le monde numérique

La révolution numérique induit l'accès de tous au savoir ATAWAD72(*) (any time any where any device), voire plus précisément ATAWADAC (any content) : à terme, chacun bénéficiera d'un accès à des contenus en mode connecté, en tout temps, en tout lieu et avec n'importe quel type de terminal (smartphone, tablette, ordinateur, TV). Cette mobiquité (contraction de mobilité et ubiquité) se conjugue souvent avec la gratuité et donne l'illusion que les contenus en ligne doivent être librement accessibles.

Comme l'analysent MM. Colin et Collin dans leur rapport déjà cité, la gratuité des services en ligne est fondamentalement liée à la faiblesse de leur coût marginal d'exploitation, mais elle entre aussi dans la stratégie des acteurs : certains misent dessus pour acquérir de nouveaux utilisateurs et accélérer la « traction », prioritairement à la réalisation d'un chiffre d'affaires. C'est lorsque les utilisateurs sont nombreux et fidélisés que le paiement peut être réintroduit, de la manière la plus simple possible pour ne pas interrompre la fluidité de la navigation. D'autres offrent leurs services à titre gratuit parce qu'ils financent ces services par une autre face du modèle d'affaires, la collecte de données, grâce à l'activité désintéressée des internautes, ensuite vendues ou exploitées. D'autres enfin exploitent à perte leur activité, ne recherchant qu'à dégager in fine une plus-value rémunératrice lors de la revente de cette activité73(*). En tout état de cause, la gratuité qui s'est installée sur les services en ligne entretient une réticence des internautes à payer, ce qui met à mal le modèle économique de plusieurs secteurs, en particulier les médias et les industries culturelles. La mission Lescure, dont le rapport doit bientôt être remis au Gouvernement, fournira assurément une analyse approfondie de ce phénomène.

Le respect du droit d'auteur ne fait pas recette. Le rejet par le Parlement européen du traité anti-contrefaçon ACTA, en juillet 2012, trahit sans doute l'inquiétude d'une grande partie de l'opinion européenne à l'égard de toute mesure de lutte contre le piratage en ligne, considérée comme risquant d'attenter à la liberté d'expression et au respect de la vie privée.

Pourtant, derrière ce débat, doit être posée la question de la juste rémunération de la création. Cette question devient de plus en plus sensible à mesure que croissent les difficultés économiques que rencontre l'industrie européenne des contenus, qu'il s'agisse de la presse, de l'édition ou de l'audiovisuel, touchés après la musique.

L'ambition de la Commission européenne de construire un véritable marché unique numérique dans l'Union européenne pour dépasser le morcellement des cultures nationales ne résout pas cette question. Il est assurément nécessaire d'adapter le droit d'auteur à l'ère numérique, afin de faciliter la circulation légale des oeuvres. Toutefois, il est permis de s'interroger sur l'impact que peut avoir la création de licences paneuropéennes telles que le propose le récent projet de directive de la Commission européenne: favoriser ainsi la constitution d'un marché unique des contenus en ligne facilite le développement de tout service ayant besoin d'un catalogue ; mais, cette facilitation ne risque-t-elle pas de profiter d'abord aux opérateurs dominants de l'internet ?

Au-delà de l'impact économique à redouter pour l'industrie européenne, la concentration qu'entraînent les effets de réseau est particulièrement préoccupante en matière culturelle : même si le numérique offre des espoirs de diversité culturelle grâce aux effets de longue traîne, la concentration naturelle de la distribution numérique de la culture peut assurément constituer une menace pour la diversité culturelle européenne, qui fait partie des objectifs de l'Union européenne.

En effet, depuis le traité de Lisbonne, entré en vigueur le 1er décembre 2009, la diversité culturelle figure au nombre des objectifs de l'Union européenne : l'article 3 du Traité sur l'Union européenne stipule que l'Union européenne « respecte la richesse de sa diversité culturelle et linguistique, et veille à la sauvegarde et au développement du patrimoine culturel européen. »

D'ores et déjà, quelques événements attestent du risque encouru. M. Vincent Montagne, président du Syndicat national de l'édition (SNE), a attiré l'attention de votre rapporteure sur des cas de censure opérés par certains opérateurs commercialisant des livres numériques. Par exemple, Apple aurait refusé de vendre la version numérique de la bande dessinée Lucky Luke : en remontant le Mississipi de Morris et Goscinny, publié par Dupuis, au motif qu'elle présente une image dégradante des personnages noirs, dépeints avec des lèvres épaisses et des comportements caricaturaux. De même, la version numérique du livre pour enfants T'choupi part en pique-nique de Thierry Courtin publié par Nathan aurait d'abord été refusée à la vente par Apple avant de se trouver proposée à la vente sous le nom tronqué et ridicule de T'choupi part en pique-n***e, en raison des censures effectuées par l'algorithme d'Apple sur les mots à connotations vulgaires. Au-delà de ces deux exemples, il apparaît qu'Apple opèrerait une exclusion arbitraire des titres que lui proposent les éditeurs, au détriment de l'objectif de l'accès de tous à une offre légale diversifiée.

Sans tomber dans l'alarmisme, votre rapporteure estime néanmoins que cette situation amène à s'interroger sur la transformation qu'Internet induit dans notre accès à la connaissance et à la mémoire : la numérisation des contenus a pour corollaire une intermédiation technique sans laquelle il devient impossible d'accéder à ces contenus en ligne. Cette intermédiation obligée, conjuguée au phénomène de concentration inhérent à l'économie numérique, fait courir le risque d'une mise à disposition des contenus par une seul firme commerciale (ou seulement quelques unes). Google affiche d'ailleurs son ambition universelle puisque la mission que la société s'assigne publiquement est « d'organiser l'information à l'échelle mondiale». Les critères retenus par une telle firme sont naturellement mercantiles : ainsi, l'algorithme fondateur de Google, Page Rank, classe les résultats en fonction de critères publicitaires et non en fonction de leur qualité.

Comme l'analyse Frédéric Kaplan74(*), chercheur à l'École polytechnique de Lausanne, les fondateurs de Google, MM. Brin et Page, qui travaillaient sur le Standford Library Technologies Project, ont cherché comment classer les résultats de recherche pour un mot-clé donné. Ils ont posé l'hypothèse selon laquelle les documents les plus importants sont ceux qui sont le plus cités, mais en tenant compte du fait que certaines citations valent plus que d'autres. Ils ont ainsi établi une formule récursive : la valeur PageRank d'un document est liée au nombre de documents qui le citent et à leur propre valeur PageRank. Des algorithmes se sont massivement développés pour tromper cet algorithme de classement de Google : ils optimisent les textes et leurs intertextualités pour arriver en premier dans les résultats de recherche. Devenue populaire, Google a développé un second algorithme qui fait sa richesse : à l'occasion de chaque recherche d'internaute, Google propose en effet plusieurs liens, associés à de courtes publicités textuelles, vers des sites commerciaux. Ces annonces sont présentées avant les résultats de la recherche proprement dits. Les annonceurs peuvent choisir les expressions ou mots-clés auxquels ils souhaiteraient voir leur publicité associée. Ils ne paient que lorsqu'un internaute clique effectivement sur le lien proposé pour accéder à leur site. Afin de choisir quelles publicités afficher pour une requête donnée, l'algorithme propose un système d'enchères. Google organise ainsi automatiquement la spéculation autour des mots, chacun d'entre eux pouvant donner lieu à enchères... Google a ainsi réussi à étendre le domaine du capitalisme à la langue elle-même, à organiser la vente de « mots » à l'échelle planétaire. En ligne, certains mots de notre langue valent désormais plus que d'autres !

C'est en réaction à l'annonce faite par Google en 2004 de son intention de créer une bibliothèque numérique universelle que M. Jean-Noël Jeanneney, alors président de la Bibliothèque nationale de France, a initié le projet d'une bibliothèque numérique européenne chargée de la conservation à long terme de notre patrimoine culturel : Europeana. Mis en ligne en 2008 à l'initiative de la France et avec le soutien de six États membres, ce moteur de recherche culturel européen tend à donner accès aux collections des institutions culturelles des États membres. Ce projet passe par un encouragement des différentes bibliothèques à numériser les fonds documentaires en mettant en commun des critères techniques permettant la circulation des contenus et en les organisant selon une arborescence. L'ambition d'en faire une forme de concurrent à Google pour l'accès à la connaissance dans l'Union européenne a décliné et la gouvernance75(*) et le financement du projet restent débattus. Europeana est néanmoins devenue un portail de consultation, donnant accès à environ 19 millions d'objets : 64 % d'entre eux sont des photographies, cartes, tableaux, pièces de musées et autres images numérisées. Les textes, dont plus de 1,2 million de livres complets pouvant être consultés en ligne et/ou téléchargés, représentent 34 %, les 2 % restants étant des contenus vidéo et audio76(*).

En filigrane, reste pendante la question de la mémoire à l'heure d'Internet. Comme l'a confié M. Jeanneney à votre rapporteure, il est terrifiant que tout soit conservé et enregistré par le numérique : l'oubli n'est-il pas une nécessité pour l'homme ? M. Bernard Stiegler a également insisté sur ce point en établissant une analogie entre ce questionnement à l'heure numérique et celui que des philosophes comme Platon ont pu avoir lors de l'apparition de l'écriture, qui introduisait une mémoire artificielle, plus longue que la mémoire anamnésique (mémoire vivante, à l'intérieur de soi). Mais il est aussi terrifiant que certaines choses ne soient pas conservées et mises à disposition.

Il ressort de cette analyse que, comme le dirait Bernard Stiegler77(*), la mémoire et l'esprit sont devenus industriels. Or la conscience de cette évolution semble faire défaut à l'Europe, qui détient pourtant un patrimoine énorme et constitue le premier marché mondial. Sont en jeu la liberté, le pluralisme et la création qui font l'esprit européen. Donner à la civilisation européenne, à la « République des lettres », sa place dans le cyberespace exige une politique européenne volontariste en matière numérique. Assurément, la France a un rôle spécifique à jouer en Europe en cette matière.

L'appel publié par M. Jeanneney78(*) dans Le Monde en 2005 reste valable : « Une autre politique s'impose. Et elle ne peut se déployer qu'à l'échelle de l'Europe. Une Europe décidée à n'être pas seulement un marché, mais un centre de culture rayonnante et d'influence politique sans pareille autour de la planète. »

Une réflexion en ce sens a depuis été initiée par la France : c'est sur sa suggestion au Conseil culture en novembre 2009 que la Commission européenne a mis en place un Comité des Sages, composé de Maurice Lévy (PDG de Publicis), Elisabeth Niggemann (présidente de la Bibliothèque nationale allemande) et Jacques de Decker (écrivain et homme de théâtre). Ce comité s'est vu confier une mission de réflexion sur l'ensemble des enjeux liés aux opérations de numérisation, sur les conditions permettant l'accessibilité et la conservation du patrimoine numérisé, et sur les enjeux de droit d'auteur.

Le comité a rendu son rapport79(*), en janvier 2011. Il y affirme clairement la responsabilité première des pouvoirs publics dans la numérisation du patrimoine culturel : la préservation numérique à long terme ne peut reposer sur les seuls acteurs privés. Ce rapport, qui s'intitule La nouvelle Renaissance, ambitionne de faire connaître à l'Europe une Renaissance numérique, plutôt que de sombrer dans une sorte de nouveau « Moyen-âge numérique ». Il soutient notamment le développement du projet Europeana, demandant à ce que les États membres conditionnent l'octroi de leurs aides à la numérisation80(*) à la mise à disposition gratuite sur Europeana des oeuvres ainsi numérisées.

La Commission européenne a réagi à ce rapport par un texte n'emportant aucune obligation juridique, une recommandation du 27 octobre 201181(*), et le Conseil de l'Union européenne y a fait un écho mesuré dans ses conclusions des 10 et 11 mai 2012.

Pourtant, comme l'écrit le Comité des sages, « ce qui est en jeu est un bien commun de l'humanité, non simplement de l'Europe ».


* 44 Notamment, les bases de données non relationnelles (NoSQL) peuvent traiter des volumes de données beaucoup plus importants, s'affranchissant du principe de non-redondance qui fait la limite des bases de données relationnelles organisant les données dans des tables entre lesquelles sont établies des relations logiques.

* 45 Au moins, identifier la ville d'où il se connecte.

* 46 Ceci permet aux sites qui achètent des bandeaux publicitaires d'en évaluer l'efficacité en comptabilisant le nombre de connexions effectuées immédiatement après un clic sur une des pages comportant ledit bandeau.

* 47 L'utilisation de mémoire cache est un moyen d'optimiser les temps de chargement et de désengorger le réseau. Lorsqu'une requête est lancée, le navigateur commence par aller voir sur un répertoire du disque dur si la page HTML demandée n'a pas déjà été chargée auparavant. Si ce n'est pas le cas, il effectue la requête sur le serveur mais lorsque son résultat arrive, il l'enregistre sur le disque en même temps qu'il le présente à l'écran pour pouvoir l'afficher rapidement en cas de nouvelle requête identique.

* 48 Par défaut, la confidentialité des échanges sur Internet n'est pas garantie : les messages sont envoyés sans chiffrement entre l'ordinateur et le serveur. En outre, comme les messages échangés par le protocole du web sont du texte, la lecture des messages qui transitent sur les équipements réseau est d'autant plus facile.

* 49 Contacts, agendas, photographies, fichiers musicaux d'un utilisateur sont mis à disposition par Apple pour une exploitation par les opérateurs d'applications installées sur le terminal (en retour, Apple prélève une part du chiffre d'affaires de ces opérateurs).

* 50 C'est ce parallèle qu'ont repris à leur compte 32 personnalités qui ont publié le 24 février 2013, dans le Journal du Dimanche, un appel pour davantage de transparence et de sécurité dans l'exploitation des données personnelles :
http://www.lejdd.fr/Medias/Internet/Actualite/Numerique-l-appel-des-32-593309

* 51 http://www.lgi.com/PDF/public-policy/The-Value-of-Our-Digital-Identity.pdf

* 52 La vie privée à l'heure des mémoires numériques. Pour une confiance renforcée entre citoyens et société de l'information, rapport d'information de M. Yves Détraigne et Mme Anne-Marie Escoffier, fait au nom de la commission des lois du Sénat n° 441 (2008-2009).

* 53 Chiffres du Groupement des Cartes bancaires.

* 54 Alliance entre plusieurs systèmes nationaux existants d'Italie, d'Espagne, du Portugal, d'Allemagne, du Royaume-Uni.

* 55  Pour plus de détails sur le second texte proposé, la proposition de directive relative au traitement des données à caractère personnel en matière pénale par les autorités judiciaires et policières - COM(2012)10, voir la proposition de résolution européenne n° 343 présentée par M.  Simon Sutour au nom de la commission des affaires européennes du Sénat en février 2013.

* 56 Cf. Article 5 c) de la proposition de règlement général, COM 2012(11) final : « Les données à caractère personnel doivent être adéquates, pertinentes et limitées au minimum nécessaire au regard des finalités pour lesquelles elles sont traitées; elles ne sont traitées que si, et pour autant que, les finalités du traitement ne peuvent pas être atteintes par le traitement d'informations ne contenant pas de données à caractère personnel. »

* 57 Cf. article 17 du projet de règlement général déjà mentionné : « (...) le responsable du traitement (...) prend toutes les mesures raisonnables (...) en vue d'informer les tiers qui traitent lesdites données qu'une personne concernée leur demande d'effacer tous liens vers ces données à caractère personnel, ou toute copie ou reproduction de celles-ci. »

* 58 Cette limite vise notamment à protéger la presse.

* 59 La résolution européenne n° 110 adoptée par le Sénat le 6 mars 2012 sur ce projet de règlement s'en est notamment inquiétée.

* 60 Résolution européenne n° 110 du 6 mars 2012 : http://intranet.senat.fr/leg/tas11-110.html

* 61 Pour plus de détails, voir : http://www.cnil.fr/la-cnil/actualite/article/article/regles-de-confidentialite-de-google-une-information-incomplete-et-une-combinaison-de-donnees/

* 62 Directive 95/46/CE du Parlement européen et du Conseil du 24 octobre 1995 relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données.

* 63 Article paru dans 20 minutes du 28 février 2013 : http://www.20minutes.fr/politique/1109303-arnaud-montebourg-nous-faisons-tous-jours-lois-citoyens-pourquoi-contre-geants-linternet

* 64 Ce système repose sur l'auto-certification des entreprises qui déclarent adhérer à une série de principes de protection de données personnelles et de protection de la vie privée.

* 65 Cf. Étude de l'Institut pour le droit de l'information,  Cloud computing in higher education and research institutions and the USA Patriot Act, p. 12-13 (novembre 2012).

* 66 Cf. l'article 42(3) relatif aux divulgations de données personnelles non autorisées par le droit de l'Union, dans la version du texte accessible à cette adresse :

http://www.statewatch.org/news/2011/dec/eu-com-draft-dp-reg-inter-service-consultation.pdf

* 67 Sur la proposition de résolution sur la proposition de règlement du Parlement européen et du Conseil relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données (E 7055).

* 68 Cf. page 23 du rapport du G29 accessible à l'adresse suivante :

http://ec.europa.eu/justice/data-protection/article-29/documentation/opinion-recommendation/files/2012/wp196_en.pdf

* 69 Le web 3.0 désigne les relations entre les hommes et les objets et vient fusionner avec les web 2.0 (relations des hommes entre eux) et 1.0 (relations des hommes à l'information).

* 70 Cf. communication de la Commission européenne (COM(2009) 278 final), L'internet des objets - Un plan d'action pour l'Europe, juin 2009.

* 71 En son article 23 : « Compte étant tenu des techniques les plus récentes et des coûts liés à leur mise en oeuvre, le responsable du traitement applique, tant lors de la définition des moyens de traitement que lors du traitement proprement dit, les mesures et procédures techniques et organisationnelles appropriées de manière à ce que le traitement soit conforme aux prescriptions du présent règlement et garantisse la protection des droits de la personne concernée. »

* 72 Marque déposée par Xavier Dalloz.

* 73 Il en est ainsi du service de photos Instagram, racheté en 2012 par Facebook pour près d'un milliard de dollars.

* 74 In « Quand les mots valent de l'or », par Frédéric Kaplan, Le Monde diplomatique, novembre 2011.

* 75 Europeana est gérée par une fondation de droit néerlandais domiciliée à la bibliothèque nationale des Pays-Bas et son comité de direction réunit diverses institutions culturelles européennes et non les Etats membres eux-mêmes.

* 76 Selon les données fournies par Mme la députée Monique Boulestin dans le rapport d'information n°4458, L'Europe de la culture, présenté au nom de la commission des affaires européennes de l'Assemblée nationale en mars 2012 :

http://www.assemblee-nationale.fr/13/europe/rap-info/i4453.asp#P321_49833

* 77 Président d'Ars Industrialis, association internationale pour une politique industrielle des technologies de l'esprit.

* 78 In « Quand Google défie l'Europe », Le Monde, 27 janvier 2005 :

http://poezibao.typepad.com/poezibao/2005/01/quand_google_df.html

* 79 http://ec.europa.eu/information_society/activities/digital_libraries/doc/executivesummery/final_renaissace_fr.pdf

* 80 Le coût total de la numérisation de notre patrimoine culturel est évalué par le comité des sages à 100 milliards d'euros.

* 81 Recommandation de la Commission du 27 octobre 2011sur la numérisation et l'accessibilité en ligne du matériel culturel et la conservation numérique (2011/711/Union européenne), http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2011:283:0039:0045:FR:PDF