Allez au contenu, Allez à la navigation

Le devoir de souveraineté numérique

1 octobre 2019 : Le devoir de souveraineté numérique ( rapport de commission d'enquête )

C. PRÉSERVER NOTRE ORDRE JURIDIQUE EN RENFORÇANT NOTRE MAÎTRISE DES DONNÉES ET NOTRE CAPACITÉ À RÉGULER LES PLATEFORMES

1. La souveraineté de l'État remise en cause par la « révolution des données »
a) Les données, matière première du cyberespace

Les données, et tout particulièrement les données personnelles, sont la matière première de la société de l'information. À ce titre, elles représentent un enjeu économique stratégique et forment désormais, non pas le « pétrole »126(*) mais bien un « terreau » - selon l'image reprise devant notre commission par Mme Marie-Laure Denis, présidente de la CNIL - pour l'activité de tous les grands acteurs de l'économie numérique127(*).

C'est en effet la nature particulière des données qui fait toute la singularité de la révolution numérique : contrairement aux précédentes grandes transformations industrielles fondées sur la découverte et l'exploitation de ressources physiques nouvelles mais limitées, les gisements de données ne se tarissent pas avec le temps ou l'usage qui en est fait.

D'une part, la numérisation croissante et la dématérialisation irréversible de pans entiers des secteurs des biens et services contribue à alimenter constamment une production exponentielle de données : cette dernière est le fruit de l'activité des individus eux-mêmes (les citoyens par leur activité sur les réseaux sociaux, les consommateurs par leurs achats en ligne), mais aussi des entreprises et des institutions (à travers leurs activités de production, de gestion ou d'administration), et elle découle même passivement des capteurs analysant de façon routinière et automatisée notre environnement quotidien (objets connectés, « véhicules intelligents »...)

D'autre part ces données constituent un bien « non rival », au sens économique du terme : le fait qu'elles soient utilisées - analysées, recoupées - une fois par un acteur n'empêche normalement pas une utilisation simultanée, voire ultérieure, par un autre acteur.

La valorisation de ces données résulte essentiellement de leur traitement et de leur mise en relation : agrégation, rapprochements de jeux de données de sources diverses, analyses, extrapolations. Prise isolément, une donnée ne génère en effet généralement que très peu de valeur.

Aux capacités de recueil et d'accumulation de données désormais sans précédent correspond ainsi le développement de nouvelles technologies de traitement par les grands acteurs du numérique : agrégation à très grande échelle et traitements massifs ( big data ), algorithmes comprenant des mécanismes d'apprentissage automatique ( machine learning ), recours à l'intelligence artificielle... Or l'exploitation massive de données est permise par la diminution du coût de traitement déjà décrite dans le rapport de la mission commune d'information sur l'Europe au secours de l'Internet128(*). Comme l'a souligné M. Thierry Breton, président-directeur général d'ATOS, lors de son audition, le coût du stockage des données et de la puissance de calcul continuent à diminuer drastiquement grâce aux progrès technologiques129(*).

La valeur générée par la « révolution des données » tient aux nouvelles possibilités offertes aux acteurs économiques :

- création de nouveaux services numériques, mais également, même pour les secteurs traditionnels de l'économie, gains d'efficacité dans la production de biens ou la prestation de services (par l'amélioration de l'allocation des ressources et la réduction des coûts de transaction)130(*) ;

- possibilité de personnalisation extrême des services afin d'en accroître la qualité ou la rentabilité (adaptation et ciblage de l'offre, profilage publicitaire), analyse prédictive visant à étayer la prise de décision ou l'investissement...

- accentuation des positions dominantes et constitution de barrières à l'entrée de nouveaux acteurs ; renforcement des effets de captivité du consommateur (en réduisant la mobilité des utilisateurs d'un service qui possède toutes leurs données).

Nature et statut juridique des données personnelles :
un attribut incessible de la personnalité

Une donnée est une parcelle d'information131(*). Le numérique est le format particulier que prend cette information - elle correspond alors à un certain nombre de bits (composés de 0 et de 1) pour son traitement par les outils informatiques.

Au plan économique, il s'agit d'un bien non rival (dont l'usage par une personne ne dégrade pas celui d'une autre personne) et au faible coût de production.

Les données numériques peuvent relever de régimes juridiques variés, comme « information publique » (code des relations entre le public et l'administration) ou comme « données à caractère personnel » (loi du 6 janvier 1978 dite « Informatique et Libertés ») comprises selon le droit européen comme « toute information se rapportant à une personne physique identifiée ou identifiable »132(*).

Même si leurs traitements peuvent être de facto « contrôlés » par les entités qui les collectent, les données ne font pas, en droit français, l'objet d'une « propriété »133(*).

La loi Informatique et Libertés de 1978, comme le RGPD désormais à l'échelle de l'Union européenne, s'inscrivent en effet dans une logique de droits attachés à la personne. La possibilité de disposer d'une vie privée y est appréhendée comme un droit qui se situe à l'essence même de la personne, fondamental pour sa dignité et le libre développement de sa personnalité.

Cette conception de la donnée personnelle constitue ainsi l'affirmation de convictions éthiques et humanistes : Une marchandisation des données personnelles constituerait un frein à l'exercice effectif du droit à l'autodétermination informationnelle, notamment en ôtant aux individus la capacité à révoquer leur consentement, une fois leurs données vendues.

b) Les défis de la « révolution des données » pour notre ordre juridique

Les modèles économiques des grands acteurs dominants (gratuité d'accès, collecte massive, utilisation et valorisation des données personnelles, vente de publicités ciblées) passent aujourd'hui par la mise en oeuvre de stratégies d'évitement leur permettant d'échapper aux contraintes traditionnelles de notre ordre juridique.

Leur développement, fondé sur la recherche du plus grand nombre d'utilisateurs (pour ses effets de réseau), a en effet tout intérêt à se faire indépendamment des frontières nationales : l'interconnexion des réseaux de communication et les technologies le permettent désormais naturellement, et la gratuité apparente de ces nombreux services renforce leur attractivité, comme le relève justement M. Bernard Benhamou : « [la gratuité] a été conçue comme la meilleure manière de créer le plus rapidement possible un auditoire qui soit le plus large et le plus captif possible ».

La gratuité sur internet

La gratuité n'est pas nouvelle : certains médias se sont développés sur ce modèle grâce aux revenus publicitaires. Elle est permise par le modèle économique des marchés bifaces et les rendements d'échelle, qui incitent à donner la priorité à la captation de nouveaux utilisateurs - quitte à ne pas se rémunérer dans un premier temps, avant de monétiser l'activité dans un second temps134(*).

Toutefois, cette gratuité n'est qu'apparente : les données sont issues du « travail gratuit » des internautes, qui les déposent à mesure qu'ils consultent des pages sur internet135(*). La frontière est brouillée entre l'acte de consommation et l'acte de production, dans la mesure où c'est le consommateur qui fournit des moyens de production au producteur. Cette activité est au coeur du modèle d'affaire des géants du numérique.

Votre rapporteur note que l'absence de paiement entraîne des addictions extraordinairement fortes à certains services, usages contre lesquels ni les cadres juridiques ni les volontés politiques nationales ou européennes ne pèsent plus grand-chose. Cette véritable torsion du capitalisme classique vers une « économie de l'attention »136(*) a d'ailleurs fait l'objet de travaux spécifiques du Conseil national du numérique comme Mme Annie Blandin, universitaire qui en est membre, en a alerté votre commission lors de son audition.

En outre, ces acteurs établis pour l'essentiel à l'étranger peuvent résister par des complexités administratives aux tentatives de légiférer des Etats dans lesquels ils opèrent. Ces « entreprises souveraines » créent ainsi des normes propres (leurs conditions générales d'utilisation - CGU ; certaines incorporant une définition autonome des « standards de la communauté » véritable charte encadrant la liberté d'expression sur les réseaux sociaux), au point, comme le relève Me Olivier Itéanu137(*), qu'invoquer une violation des CGU sur certaines plateformes est souvent plus efficace qu'attendre le traitement d'une plainte formelle par les autorités nationales compétentes.

Certains acteurs du numérique sont même susceptibles d'être en France les vecteurs - consentant ou non - d'ordres juridiques étrangers : les géants américains sont tenus à l'application des régimes de sanctions extraterritoriales ou des règles d'accès aux preuves électroniques (comme le Cloud Act) et de grands acteurs industriels du numérique chinois restent marqués par une certaine porosité avec les intérêts militaires de leur pays.

Enfin, pour nos concitoyens, c'est un véritable défi démocratique dans l'expression de la volonté générale que pose parfois le déploiement généralisé des outils numériques. Ils peuvent en effet venir troubler le jeu politique en facilitant de nouveaux modes d'actions pour des tentatives d'ingérence ou de manipulation spécifiques et ciblées : le vol de données d'un « QG de campagne » et leur dissémination publique lors de l'élection présidentielle de 2017 a pu en témoigner en France. À l'échelle mondiale, l'affaire dite « Cambridge Analytica » montre le danger de méthodes peu scrupuleuses de recueil massif, d'analyse et de recoupement des données aux fins d'influence sur les choix politiques. Lors de son audition devant notre commission, M. Christophe Castaner, ministre de l'intérieur, a souligné que, sous réserve de l'achèvement des analyses et retours d'expérience, aucun dysfonctionnement n'avait été constaté ni aucune attaque significative identifiée lors des élections européennes. Notre vigilance, soutenue par l'expertise de l'Anssi (Agence nationale de la sécurité des systèmes d'informations) en la matière, reste pour votre rapporteur une impérieuse nécessité.

Quel Gouvernement, fût-il libéral, pourrait s'accommoder d'un système qui risque à terme de rendre sans effet les prescriptions de son ordre juridique ?

2. Développer l'identité numérique garantie par l'État

Exemple frappant de cette remise en cause de l'ordre juridique, l'authentification des personnes, privilège de l'État, est de plus en plus contestée par des entreprises privées, au premier rang desquelles Facebook et Google. Leurs solutions d'identification, ensuite réutilisables sur d'autres sites internet privés, généralement pour des utilisations non sensibles, sont devenues le premier moyen de prouver son identité sur internet. Les acteurs concernés nient toute volonté de supplanter les États et affirment simplement fournir à leurs utilisateurs les services dont ils ont besoin.

Ces solutions présentent à terme le risque de devenir des identités numériques d'usage138(*), d'autant qu'il a été souligné devant votre commission qu'aucun outil proposé par l'État ne saura s'imposer s'il n'est pas au moins aussi facile d'utilisation, aussi efficace et aussi pratique que ceux proposés par les entreprises du numérique. Henri Verdier, ambassadeur pour le numérique, estime pourtant « qu'à l'avenir, l'un des grands rôles des États pourrait être de garantir les `communs' », dont fait partie l'identité numérique139(*).

Cependant, la France a jusqu'ici moins proposé de solutions qu'elle n'a tenté d'encadrer les initiatives privées. La loi pour une République numérique140(*) dispose qu'une identité numérique fournie par le secteur privé est fiable si et seulement si elle répond au cahier des charges établi par l'Anssi. Au niveau européen, le règlement eIDAS141(*) instaure un cadre juridique pour l'utilisation des services de confiance en distinguant les niveaux de sécurité requis en fonction de ces services et en imposant l'interopérabilité des méthodes nationales d'identifications numériques142(*). Des pays tiers ont demandé à en faire partie et à partager les normes européennes. Dans la compétition qui les oppose aux acteurs privés, cette capacité à dire le droit demeure un atout pour les États, concurrencés dans l'exercice de cette prérogative souveraine.

Les instruments d'identification aujourd'hui proposés par l'État ne constituent pas à proprement dit une « identité numérique ». FranceConnect, conçue par la direction interministérielle du numérique et du système d'information et de communication de l'État (Dinsic), est un agrégateur d'identités : l'usager utilise l'identité numérique d'un fournisseur (ex. impots.gouv.fr) pour s'authentifier auprès de fournisseurs de services intégrant le bouton FranceConnect.

Complémentaire, le projet AliceM143(*) (Authentification en ligne certifiée sur mobile), développé par le ministère de l'intérieur et actuellement en phase de test, est encore loin, dans sa première version, de répondre aux ambitions d'une identité numérique souveraine. Son objectif est de permettre aux usagers de « prouver » leur identité en ligne et de pouvoir accéder, grâce à leurs téléphones, à certains services publics habituellement accessibles par FranceConnect. L'authentification s'appuie sur une reconnaissance faciale statique (photographie du passeport) et dynamique (vidéo). L'objectif du ministère de l'intérieur est de proposer un parcours unique d'authentification afin d'offrir, à terme, une carte d'identité numérique144(*). Toutefois, aucune date de lancement n'a encore été précisée, d'autant plus que l'application suscite certaines réticences quant à sa gestion des données personnelles145(*).

Dans ce domaine, votre rapporter relève que la France accuse un retard certain vis-à-vis de ses partenaires européens, 23 d'entre eux ayant mis en place une identité numérique. Devant votre commission, le ministre de l'intérieur, M. Castaner, a lui-même reconnu que « nous n'étions pas en avance sur ce sujet » et que « d'autres pays pourraient nous donner des leçons dans ce domaine ». L'exemple le plus fréquemment cité est celui de l'Estonie, où les cartes d'identité numériques peuvent également être utilisées pour signer des contrats, ouvrir un compte en banque, voter, utiliser les transports en commun, envoyer des mails sécurisés... Or, FranceConnect n'est pas obligatoire et n'offre qu'un niveau de sécurité standard. Il ne pourrait donc par exemple pas servir d'élément de connexion au vote électronique, qui nécessite une authentification forte des personnes. On est donc encore loin, comme M. Nadi Bou Hanna, directeur de la Dinsic, le souhaite, de faire de l'utilisation de FranceConnect « un réflexe pour les Français »146(*).

Dans ce contexte, 2021/2022147(*), c'est-à-dire demain, doit constituer l'horizon de l'action publique dans ce domaine. En effet, toutes les cartes d'identité seront alors renouvelées : un premier pas serait de proposer une carte d'identité électronique. En effet, si l'identité numérique s'incarne principalement par un identifiant unique et par un mot de passe sécurisé, le règlement eIDAS impose de recourir à un objet tiers, comme une carte d'identité électronique, pour certains services nécessitant une vérification supplémentaire. En Estonie, elle est obligatoire depuis 2002. La Belgique l'a quant à elle imposée en 2003 et a développé, depuis 2016, une application facilitant l'authentification sur smartphone (« itsme »). Votre rapporteur ne peut que regretter le retard de la France sur un sujet sur la table depuis les années 1970, avec pas moins de cinq projets infructueux, à l'image d'IDénum, lancée en 2010 avec La Poste.

Au regard de la sensibilité et de la masse des données traitées, il est crucial que l'État se saisisse enfin de ce sujet. Les entreprises peuvent utiliser les données transmises par les utilisateurs pour les revendre aux services de publicité ciblée, révéler des habitudes de consommation, tracer les individus... Une solution d'identification portée par l'État pourrait non seulement lui permettre de réaffirmer sa souveraineté sur ce monopole régalien historique, mais elle redonnerait aussi aux citoyens la maîtrise de leurs propres données. L'utilisation de ces données à des fins de politique publique ne devrait être possible qu'à la seule condition que les usagers y aient librement consenti.

Fournir une carte d'identité électronique à l'ensemble des citoyens français. Ces derniers pourraient plus facilement conduire leurs démarches administratives en ligne et bénéficieraient d'une authentification forte, sans préjudice pour leurs données personnelles. La France rejoindrait alors la grande majorité des pays européens ayant déjà développé des solutions similaires.

3. Renforcer les moyens des régulateurs à la hauteur du défi numérique plutôt que créer un unique régulateur du numérique
a) Éviter de bouleverser une architecture administrative qui fonctionne

La piste consistant à créer un régulateur unique du numérique est régulièrement évoquée dans le débat public. Il s'agirait ainsi d'adapter une supervision exercée par la puissance publique de façon jusqu'alors sectorielle (réseaux télécoms, contenus audiovisuels, données personnelles, contrefaçon en ligne) aux conséquences de la convergence entre services et réseaux provoquée par la révolution numérique148(*).

Récemment encore, le ministre de l'économie et des finances, le ministre de la culture et le secrétaire d'État chargé du numérique ont confié à MM. Jean-Yves Ollier et Godefroy Beauvallet une mission sur les rapprochements éventuels entre les régulateurs du numérique. Le sujet pourrait ainsi être débattu au Parlement à l'occasion de l'examen de la prochaine loi audiovisuelle, dont le Gouvernement a annoncé la présentation à l'automne. Selon le Premier ministre, en effet : « pour tenir compte de l'évolution de l'environnement des médias et ce qui ressemble à une "extension du domaine de la lutte", la loi dessinera également le futur paysage de la régulation. Il faut sans doute, à tout le moins, rapprocher le CSA et l'Hadopi, et approfondir les coopérations entre le CSA et l'Arcep ».149(*)

Le Sénat s'est lui déjà emparé de ce débat et mène depuis plusieurs années150(*) des réflexions approfondies sur le périmètre optimal de la régulation du numérique et sur le rôle des autorités administratives indépendantes partageant une compétence en la matière. A cet égard, votre rapporteur fait pleinement sienne la position prudente dégagée au sein des commissions permanentes de notre assemblée et qui voit dans une fusion Arcep/CSA, sur le modèle britannique de l'Ofcom, « une fausse bonne solution ».

Interrogés sur ce sujet par votre commission, les présidents respectifs du CSA et de l'Arcep ont d'ailleurs émis des réserves.

Lors de son audition, M. Roch-Olivier Maistre, président du CSA, a notamment rappelé, reprenant l'exemple de l'Ofcom, que la fusion qui l'avait vu naître s'était embourbée dans un chantier de conduite du changement administratif plutôt que de se focaliser sur les sujets de fond à traiter, faisant perdre près de quatre années à la régulation proprement dite. Votre rapporteur note en revanche que les deux autorités, Arcep et CSA, se sont dites ouvertes à un rapprochement plus approfondi de leurs compétences sur certains sujets connexes.

Votre rapporteur rejoint cette analyse et estime préférable de ne pas bouleverser une architecture administrative qui fonctionne.

En revanche, il soutient l'idée d'un renforcement des compétences spécialisées dans le numérique, en particulier des capacités d'audit et de contrôle des algorithmes. Ce renforcement pourrait s'accompagner de leur mutualisation.

b) Renforcer les moyens humains des régulateurs et approfondir leur mutualisation

Les autorités de régulation apparaissent plus que jamais confrontées à un déficit de moyens et à une asymétrie d'information face aux grands acteurs du numérique, au risque de les paralyser. Ce diagnostic est partagé par toutes les autorités entendues par votre commission.

Ainsi, comme sa présidente en a fait la démonstration lors de son audition devant notre commission, la CNIL est notoirement sous-dimensionnée. Au 31 décembre 2019, les effectifs de la CNIL étaient de 215 postes et, malgré les 15 créations de postes consenties en 2019 pour faire face au nouveau contexte de mise en place du RGPD, votre rapporteur regrette que les effectifs de la CNIL demeurent ainsi bien en-deçà de ceux des régulateurs européens des autres Etats membres comparables151(*).

Ce manque de moyens met gravement sous tension l'activité d'un régulateur pourtant crucial pour la préservation de notre souveraineté numérique :

- sur le traitement des plaintes, dont certaines concernent l'activité de géants du numérique capables de mobiliser de larges équipes de juristes chevronnés, la CNIL indique ainsi que, malgré une série de mesures tendant à soulager la charge de travail interne (partenariats sur le spam, montée en puissance des délégués à la protection des données, incitation au développement de mécanismes de médiation), le ratio actuel de plaintes par agent traitant (supérieur à 600 !) n'est pas soutenable compte tenu de la complexité juridique et technique croissante des dossiers ;

- lors de son audition, Mme Marie-Laure Denis a également donné comme exemple les possibilités trop limitées de traitement par la CNIL des notifications des violations de données, qui est pourtant un enjeu majeur de cybersécurité (« nous recevons sept notifications de failles ou de violations de données par jour - sans pour autant disposer de moyens supplémentaires pour prendre en charge cette nouvelle compétence ») ;

- alors que la France avait été parmi les pays pionniers de la protection des données il y a 40 ans, avec sa loi « Informatique et libertés » dès 1978, le faible nombre de personnes de la CNIL pouvant être mobilisées pour participer aux instances de coopération et sa taille modeste comparée à celle de ses homologues européens remet en cause la capacité d'influence de la France et de sa conception en matière de protection des données à caractère personnel en Europe, alors que d'autres modèles sont mis en avant (compliance à l'anglo-saxonne, recentrage sur une défense des seuls droits du consommateur...)

S'ajoutant à ces insuffisances quantitatives, en termes d'effectifs, le défi à relever est également qualitatif. La présidente de l'Autorité de la concurrence relève ainsi devant votre commission que « les régulateurs peinent à recruter des experts dans ces secteurs, comme des data scientists ». Elle estime, elle aussi, que « l'État doit renforcer ses autorités de régulation, en leur octroyant plus de moyens humains et techniques ».

À cet égard, comme le note le récent rapport d'inspection sur la politique de la concurrence à l'échelle européenne152(*) à propos des services de la Commission européenne en charge de l'application du droit de la concurrence (direction générale de la concurrence, ci-après DG concurrence) : « la présence des algorithmes rend les comportements opaques et complexes à analyser et (...) la taille des acteurs et l'explosion des échanges digitaux nécessitent de collecter et de traiter un nombre colossal de données : 5,2 téraoctets de données regroupant 1,7 milliard de recherches dans le cadre du dossier Google Shopping par exemple ».

Dans ce contexte, il est critique et indispensable à la crédibilité de leur action que les autorités de régulation disposent de compétences de pointe pour analyser les comportements des géants du numérique. Le prochain budget annuel de l'Union Européenne prévoit une ligne de crédits spécifique visant à recruter au sein de la DG concurrence des data scientists et à doter la direction de moyens en adéquation avec les enjeux numériques. Le Gouvernement serait bien avisé de faire de même dans le prochain projet de loi de finances.

Un tel recrutement serait sans doute favorisé par la mutualisation de ces experts entre différentes autorités de régulation, qui serait par ailleurs justifiée par la similitude des problématiques d'ordre technique à résoudre, comme la compréhension d'un algorithme ou d'une grande base de données.

Plutôt que de procéder à des fusions potentiellement coûteuses et lourdes, il convient de renforcer les moyens humains des autorités de régulation en ciblant les recrutements sur des profils spécialisés dans le numérique, en particulier des capacités d'audit et de contrôle des algorithmes.

De telles ressources humaines pourraient utilement être mutualisées entre plusieurs autorités de régulation.

4. Mieux responsabiliser certaines plateformes en affinant le régime de responsabilité aménagée des intermédiaires techniques ?

Plusieurs réflexions sont en cours sur l'opportunité et les modalités d'actualisation de la directive européenne de 2000 dite « commerce électronique » ou « e-commerce »153(*) face aux imperfections du régime de responsabilité atténuée qu'elle octroie à certains intermédiaires techniques.

Le régime de responsabilité aménagée
et les devoirs de certains intermédiaires techniques

Transposant en droit français les dispositions de la directive 2000/31 du 8 juin 2000, dite directive « commerce électronique » ou « e-commerce », l'article 6 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique prévoit un régime de responsabilité limitée pour les fournisseurs d'accès154(*) et les hébergeurs de contenus155(*).

S'ils ne sont pas responsables a priori des contenus qu'ils « stockent » et donc ne sont pas astreints à un devoir de surveillance de ces contenus, certains de ces intermédiaires techniques ont néanmoins pour obligation d'agir promptement pour retirer toute donnée dont le contenu serait manifestement illicite.

Concernant certaines infractions spécifiques, les intermédiaires techniques doivent également :

- informer promptement les autorités publiques compétentes des signalements reçus par le biais des dispositifs de signalement ; ces signalements sont traités par la plateforme « Pharos »156(*) ;

- mettre en place un dispositif « facilement accessible et visible permettant à toute personne de porter à leur connaissance » les contenus jugés contraires à l'intérêt général ;

- rendre publics les moyens qu'ils consacrent à la lutte contre ces activités illicites.

Le Sénat a récemment pris position sur ce sujet, en adoptant à l'initiative de notre collègue Catherine Morin-Desailly une résolution européenne157(*) en faveur d'une révision de la directive « e-commerce ». Cette dernière appelle à faire émerger un « troisième statut », à côté de celui des hébergeurs et des éditeurs. Il doit être défini au niveau européen, et ménager la liberté d'expression et la compétitivité des acteurs du secteur.

Votre rapporteur reconnaît également le caractère désormais daté de la directive de 2000 : l'évolution technologique a permis la création d'acteurs numériques d'un genre nouveau, rendant obsolète la dualité hébergeur/éditeur (plateformes interactives, réseaux sociaux, tri et mise en avant algorithmique de contenus) qui occupent désormais une place sociale et économique bien plus importante qu'il y a 20 ans. Ces nouveaux acteurs numériques sont aujourd'hui au centre du processus de circulation de l'information pour les citoyens, dotés d'un modèle économique propre fondé sur la gratuité, l'exploitation des données, et la diffusion toujours plus rapide de contenus sans obligations de contrôle préalable.

Interrogé par notre commission, M. Benoît Thieulin, ancien président du Conseil national du numérique, a fait part de l'évolution de sa position sur ce sujet, appelant désormais lui aussi à revoir la directive sur le commerce électronique (« Il faut réfléchir à un nouveau statut pour les plateformes, en leur imposant un cahier des charges contraignant : aujourd'hui, les règles de droit classiques mises à part, elles assument trop peu de responsabilités. »).

À l'échelle de l'Union européenne, il est particulièrement significatif que, dans son programme de candidature à la présidence de la Commission européenne158(*), Mme Ursula Von der Leyen ait mentionné l'adoption d'un nouveau Digital services Act, qui viendrait modifier la directive dite « e-commerce ».

Les premières orientations officieuses des services de la Commission européenne pour une révision de la directive sur le commerce électronique

Une note rédigée par les services de la Commission européenne et publiée par voie de presse fin juin 2019 expose qu'un nouveau régime législatif horizontal (en ce qu'il s'appliquerait à tous les services numériques) pourrait être nécessaire en vue de :

- renforcer le marché unique numérique, qui fait face à de nouvelles problématiques actuellement réglées au niveau national, faisant ainsi courir le risque de fragmentation de ce marché - c'est par exemple le cas en matière de lutte contre la haine en ligne ou en matière de régulation de l'économie collaborative ;

- actualiser les règles applicables - la distinction jurisprudentielle entre hébergeur passif ou actif ne semble pas suffisamment précise, alors que certains secteurs, comme la publicité en ligne, devraient être davantage régulés ;

- renforcer la supervision des autorités publiques, actuellement inefficace ;

- diminuer les barrières à l'entrée, par exemple en prévoyant un cadre harmonisé de « bacs à sables réglementaires », c'est-à-dire de dispositifs permettant d'innover dans des conditions réglementaires assouplies.

Parmi les sujets abordés, celui de la responsabilité des hébergeurs ferait l'objet d'une clarification, la notion d'acteur actif ou passif serait remplacée par celles de fonctions éditoriales, de connaissance et de degré de contrôle.

Le secrétaire d'État chargé du numérique, M. Cédric O, a cependant fait preuve d'un certain pessimisme sur le sujet. Selon lui, « la question du tiers-statut est très intéressante, mais elle est inacceptable pour les pays nordiques. Doit-on mener le combat pendant quelques années ou se concentrer sur certains secteurs - la culture, les atteintes à la vie privée... - et réussir à s'affranchir de la dichotomie « hébergeur-éditeur » pour gagner des batailles à plus court terme ? »159(*). Si la prudence est donc de mise sur la faisabilité d'une telle réforme européenne, votre rapporteur estime que le Gouvernement ne devrait pas s'interdire de poursuivre la réflexion sur la création d'un statut tiers pour certains intermédiaires techniques, notamment ceux ayant atteint une taille ou un volume d'activité importants.

Il convient de poursuivre la réflexion sur la faisabilité ainsi que les avantages et les inconvénients d'une révision du régime de responsabilité limitée des hébergeurs.

5. Localisation des données et extraterritorialité des lois : assumer un rapport de force international
a) L'obligation de localisation géographique : une solution imparfaite

Si promouvoir, voire dans certains cas imposer, une obligation de localisation des données sur un territoire précis (en France ou en Europe) est une idée qui peut paraître intéressante au premier abord, l'utilité réelle en termes de souveraineté numérique d'une telle démarche doit aujourd'hui être largement nuancée.

Votre rapporteur note certes, comme plusieurs personnes auditionnées, que ces initiatives pourraient présenter un intérêt limité dans certains cas :

- avant tout pour protéger certaines données particulièrement sensibles (traitements publics souverains, données privées financières ou commerciales stratégiques) ; à ce titre, lors de son audition, Mme Claire Landais, secrétaire générale du SGDSN, ne défend le recours à un cloud « interne » géographiquement localisé que pour les données les plus sensibles, dans une logique de cercles concentriques aux exigences de sûreté décroissante. Votre rapporteur considère également que l'on ne saurait imposer un mode de stockage particulier aux entreprises sans leur offrir des solutions industrielles performantes et accessibles répondant à leurs besoins. De telles solutions pourraient ainsi être imposées dans le cadre plus général des régimes des opérateurs d'importance vitale (OIV) ou des opérateurs de services essentiels (OSE) ;

- également pour garantir une accessibilité renforcée, soit du point de vue des entreprises dans une logique de gestion des risques (lorsque les données ne sont plus localisées en France ou en Europe, il est plus difficile en pratique de les contrôler et d'avoir une assurance de l'usage qui a été fait par des prestataires ou des partenaires localisés à l'étranger), soit du point de vue de la puissance publique (pour faciliter l'accès à ces données par la justice ou les régulateurs nationaux dans le cadre de l'exercice de leurs pouvoirs de contrôle sectoriel, comme l'a souligné la présidente de l'Autorité de la concurrence) ;

- et enfin, de façon générale, en stimulant la demande, pour soutenir l'écosystème industriel des acteurs du Cloud et le développement des capacités de traitement des données.

Le Sénat a ainsi pu, par le passé, soutenir des initiatives largement transpartisanes en ce sens : en 2016, lors des débats relatifs à la loi pour une République numérique, notre assemblée avait adopté, sans hélas être suivie par l'Assemblée nationale, un amendement160(*) de notre collègue Eliane Assassi et des membres du groupe communiste républicain et citoyen, avec un avis favorable de la commission des lois, visant à faire figurer dans la loi « Informatique et libertés » l'obligation de stockage des données personnelles des citoyens français sur le territoire européen.

De telles initiatives doivent néanmoins prendre en compte l'évolution récente du droit européen et des systèmes juridiques étrangers, et il apparaît qu'une obligation de localisation des données ne répondrait pas au défi posé par certaines législations à vocation extraterritoriales.

D'une part, s'agissant des données non personnelles, le droit européen limite drastiquement la possibilité d'imposer des exigences de localisation. Elles sont désormais interdites « sauf si elles sont justifiées par des motifs de sécurité publique dans le respect du principe de proportionnalité »161(*).

D'autre part, et en tout état de cause, les clauses de localisation des données n'offrent pas de garanties face aux nouvelles législations ou pratiques étrangères à portée extraterritoriale (sanctions internationales, « Cloud Act » adopté aux Etats-Unis en mars 2018, etc.) ni contre la porosité entre certains acteurs industriels et leur Gouvernement (certains équipementiers chinois, par exemple). Ainsi, quand bien même des données seraient physiquement localisées sur le territoire français ou européen, les entités qui contrôlent les centres de données ( datacenters ) continueront, en raison de leur nationalité, à être également soumises à des régimes juridiques les obligeant à coopérer avec des puissances étrangères.

Identifier les cas où une obligation de localisation des données sur le territoire national peut être justifiée par des motifs de sécurité publique.

Cartographier et faire émerger des solutions pour l'hébergement et le stockage des données sensibles de ces entreprises, autour de prestataires français et européens non soumis aux législations étrangères à portée extraterritoriale.

b) Défendre nos données stratégiques contre l'extraterritorialité de lois étrangères : un rapport de force qui reste à engager

Pour préserver les données stratégiques de nos entreprises, et devant les limites du recours à la localisation géographique de celles-ci, votre rapporteur partage l'approche réaliste et volontariste du SGDSN. Devant votre commission, sa secrétaire générale, Claire Landais a estimé qu'il ne fallait pas se dérober au rapport de force juridique qui s'engageait actuellement avec certains de nos partenaires tentés par une application extraterritoriale de leur droit ; bien au contraire, dans la perspective de conflits de normes, et pour rester crédibles en vue des négociations internationales appelées à les résoudre, il reste essentiel de pouvoir pour l'instant opposer fermement nos propres textes - européens, comme le RGPD ou nationaux, comme une « loi de blocage », éventuellement rénovée et renforcée.

Le « CLOUD Act » aux Etats-Unis : Contexte d'adoption, portée et enjeux

Le « Claryfying Lawful Overseas Use of Data Act » (« CLOUD Act »162(*)) a été adopté par le congrès des États-Unis d'Amérique en mars 2018 : Il vise principalement à réaffirmer le droit dont disposent les autorités américaines d'exiger des intermédiaires techniques soumis à leur juridiction la communication de toutes données stockées, même à l'étranger. Il prévoit aussi, et indépendamment, la conclusion d'accords bilatéraux spécifiques et réciproques avec les États-Unis en la matière.

Une réponse américaine à l'incertitude juridique née de l'évolution des techniques

L'évolution rapide des techniques de stockage des données - désormais distribuées et conservées de manière dynamique dans des centres de données répartis à travers le monde par des multinationales du numérique - a fragilisé l'application du régime américain d'accès aux données. Certains acteurs ayant contesté avec succès la portée extraterritoriale que les autorités entendaient donner à ces dispositions, cette question de principe devait être tranchée, courant 2018, par la Cour suprême163(*). C'est à cette incertitude que le « Cloud Act » est venu mettre fin, consacrant la possibilité pour les autorités américaines d'obtenir des données matériellement stockées à l'étranger.

Cette loi permet ainsi aux autorités américaines de contourner les procédures de demande d'entraide d'État à État et de s'affranchir des règles classiques de la coopération judiciaire internationale164(*) (entourée d'un plus grand formalisme, et de certaines garanties et délais).

Un très vaste champ d'application (entités concernées, infractions visées, données collectées)

Tous les fournisseurs de services de communications électroniques et les prestataires d'informatique en nuage relevant de la juridiction des États-Unis peuvent faire l'objet d'une demande de gel et de communication des données d'un de leurs utilisateurs au titre du « Cloud Act », et ce sans considération du fait que ces données soient localisées à l'intérieur ou à l'extérieur des Etats-Unis165(*).

Comme le relève le rapport Gauvain166(*), presque toutes les entreprises françaises et européennes sont ainsi potentiellement concernées par ce régime, « compte tenu de l'état actuel du marché mondial du stockage de données numériques, dominé très largement par des acteurs américains (marché détenu à hauteur de 65% par Amazon, 15% par Microsoft et 5% par Google) ».

Les autorités américaines présentent volontiers167(*) la procédure comme limitée à la collecte de preuves pour réprimer pénalement un nombre restreint d'infractions pénales (les crimes les plus graves), et soulignent que les mandats nécessaires aux autorités de poursuite sont dans ce cas toujours soumis à l'approbation d'un magistrat indépendant, cependant :

- d'une part, la notion de « crime grave » reste floue, n'apparaît que dans la partie consacrée aux futurs accords bilatéraux, et pour limiter les seules demandes adressées aux États-Unis par les États tiers168(*) ;

- d'autre part, la portée extraterritoriale consacrée par le « Cloud Act » a également vocation à s'appliquer à d'autres régimes d'accès aux données, hors répression pénale des crimes graves et sans production d'un mandat169(*) (notamment à certains régimes de demandes des métadonnées sans intervention d'un juge ni test de « probable cause »).

Les types de données pouvant être transmis aux autorités sur ce fondement sont variées : contenus de communication, fichiers enregistrés, information, sans distinguer entre données à caractère personnel des personnes physiques ni données non personnelles ou relevant de personnes morales.

Un risque pour nos données stratégiques et une contrariété avec le RGPD pour les données à caractère personnel

En organisant ainsi un accès unilatéral et facilité des autorités judiciaires américaines aux données stratégiques des personnes morales, le « Cloud Act » organise le contournement des traités d'entraide judiciaires et affaiblit les garanties dont pourraient normalement se prévaloir les entreprises mises en cause. Concernant les demandes d'accès à des données personnelles d'européens, la contrariété de la loi américaine avec le RGPD a été soulevée récemment par l'organe qui rassemble les CNIL européennes170(*).

Alors que l'Union européenne envisage de se doter, elle aussi, d'une législation sur l'accès aux preuves électroniques171(*) - incluant une dimension extraterritoriale -, votre rapporteur partage le souhait de voir aboutir des négociations avec les États-Unis en la matière, souhait exprimé tant par les organes de protection des données personnelles de l'Union que par la ministre de la Justice lors de son audition devant votre commission172(*).

Ces critiques valent également à l'encontre des géants chinois du numérique, actifs en France, comme l'entreprise Huawei, régulièrement soupçonnée d'entretenir des liens étroits avec le Gouvernement chinois.

La porosité des grands acteurs chinois du numérique avec leur Gouvernement : l'exemple Huawei

L'impact incertain de la loi chinoise de 2017 sur le renseignement

La loi chinoise sur le renseignement de 2017173(*) génère les mêmes inquiétudes que le Cloud Act aux États-Unis. Son article 14 dispose notamment que les services de renseignement chinois peuvent requérir la coopération de tout citoyen chinois et de toute organisation. Les analyses juridiques transmises par l'entreprise à votre rapporteur174(*) - qui portent également sur les lois sur le contre-espionnage de 2017, antiterroriste de 2018 et sur la sécurité des réseaux informatiques de 2016 - confirment les propos tenus devant votre commission lors de l'audition de l'entreprise, à savoir que cette loi n'est pas applicable en dehors du territoire chinois. Pour reprendre les termes utilisés par la note transmise à votre rapporteur, « ces dispositions n'ont pas d'effet extraterritorial, de sorte qu'elles ne s'appliquent pas aux entreprises et individus situés en dehors du territoire de la République populaire de Chine ». La note poursuit : « il est, de plus, important de noter que ces dispositions ne sont pas liées à un critère de nationalité ». Elle précise qu'en conséquence, toute entreprise située en Chine sera soumise à ces lois.

Cependant, particulièrement succincte - une dizaine de pages, contre 37 pages transmises à la FCC américaine en mai dernier - elle ne précise pas expressément que les citoyens chinois et filiales d'entreprises chinoises ne sont pas soumis à ces lois175(*). Du reste, certaines études sur la loi sur le renseignement contredisent l'affirmation selon laquelle cette loi ne s'appliquerait pas aux entreprises et individus situés en dehors du territoire chinois176(*).

Qui détient l'entreprise ?

Dans un article publié en avril dernier177(*), deux chercheurs américains ont montré que la holding de l'entreprise est détenue à 1,14 % par son fondateur Ren Zhengfei et à 98,86% par une entité appelée « comité syndical », dont on sait peu de choses, hormis le fait qu'il est censé élire « selon des règles de vote démocratiques »178(*) une commission représentative de 115 membres chargée d'élire à son tour le comité directeur.

Ces chercheurs en tirent la conclusion selon laquelle, au vu du rôle que jouent les syndicats en Chine, Huawei pourrait être considérée comme contrôlée par l'État. Ils affirment, en revanche, qu'il est clair que Huawei n'est pas détenue par ses salariés, qui bénéficient seulement de ce qui est assimilable à un régime d'intéressement et de participation aux bénéfices, contrairement à ce que l'entreprise affirme pourtant régulièrement, en premier lieu sur son site internet, selon lequel « Huawei est une société privée totalement détenue par ses employés »179(*).

Lors des auditions de votre commission, plusieurs solutions juridiques ou techniques ont été esquissées pour préserver notre souveraineté malgré ces dispositions à portée extraterritoriale. Doivent être envisagées :

- la séparation juridique de l'activité dans différentes entités filiales étanches en fonction de l'implantation géographique des services (c'est ainsi la solution retenue par l'entreprise française OVH pour lui permettre d'étendre ses activités aux Etats-Unis180(*)) ;

- la stratégie de mobilisation contentieuse au cas par cas des entreprises pour contester en justice des demandes de l'administration qui ne passeraient pas par le canal de la coopération judiciaire internationale (c'est l'engagement pris notamment par les représentants de Microsoft France et Europe lors de leur audition181(*)) ;

- et, surtout, le recours extensif aux technologies de chiffrement robuste des données dont seul le client aurait la clé et non l'intermédiaire technique. Ceci rend impossible le décryptage par les autorités locales, même en cas de coopération forcée de l'entreprise.

Néanmoins, ces solutions n'ont qu'une portée limitée : elles ont un coût et sont tributaires des moyens juridiques et techniques que les entreprises sont prêtes à déployer ou que leurs clients peuvent s'offrir.

Votre rapporteur trouve dès lors plus intéressante la recherche de solutions pérennes dont la responsabilité incomberait à la puissance publique. À ce titre, doivent particulièrement être saluées les analyses et préconisations que de notre collègue député Raphael Gauvain182(*) a présentées au Premier ministre à l'issue de la mission qu'il lui avait confiée :

- le droit étant devenu une arme au service de la guerre économique des États-Unis contre le reste du monde, nos entreprises ne doivent pas être laissées démunies face à l'application d'une panoplie de lois à portée extraterritoriale (législation anti-corruption, sanctions économiques contre des États, lois sur le renseignement, lois permettant la collecte de données dans le cadre de procédures administratives ou judiciaires, comme le Cloud Act de mars 2018) ;

- la France doit y répliquer par une stratégie volontariste, qui implique notamment une modernisation et un durcissement de la loi de 1968, dite « loi de blocage »183(*) (création d'un mécanisme obligatoire d'alerte en amont ; mise en place d'un accompagnement des entreprises ciblées par de telles mesures grâce à une administration dédiée ; augmentation des sanctions prévues en cas de violation de la loi) ;

une extension des principes protecteurs du RGPD aux données non personnelles des personnes morales permettrait de protéger les entreprises françaises en sanctionnant la transmission indûe par les hébergeurs de leurs données stratégiques aux autorités judiciaires étrangères en dehors des canaux de l'entraide administrative ou judiciaire.

Renforcer la « loi de blocage » de 1968 (déclaration aux autorités françaises, accompagnement par une administration dédiée et durcissement des sanctions encourues).

Encourager la conclusion rapide d'accords de coopération entre l'Union européenne, ses États membres et les États-Unis dans le cadre du Cloud Act.

Réaffirmer la pleine application du RGPD et sanctionner les entreprises étrangères procédant à des transferts de données en méconnaissances de ces règles, conformément à l'avis du Comité Européen de la Protection des Données.

Réfléchir à l'opportunité d'étendre les sanctions prévues par le RGPD aux données non personnelles stratégiques des personnes morales, pour sanctionner les hébergeurs qui transmettraient aux autorités étrangères des données en dehors de l'entraide administrative ou judiciaire.

6. Au-delà du RGPD : passer d'un droit à la portabilité à une forme d'interopérabilité ?
a) Une première année d'application du RGPD, outil ambitieux au service des valeurs et de la souveraineté numérique européennes

Comme l'a exposé à notre commission Mme Marie-Laure Denis, présidente de la CNIL, le règlement général sur la protection des données (RGPD) a instauré un cadre juridique ambitieux et puissant et une régulation à la mesure des enjeux de souveraineté numérique. 

Le règlement général sur la protection des données : principes et premier bilan

Le règlement (UE) 2016/679 dit « règlement général sur la protection des données » (RGPD) est entré en vigueur le 25 mai 2018.

Le RGPD vise à adapter la législation relative au traitement des données à caractère personnel aux évolutions des technologies numériques en l'uniformisant au niveau européen. Il est d'application directe mais autorise aussi les États membres à procéder à certaines adaptations nationales.

Il poursuit trois objectifs principaux :

renforcer les droits des personnes physiques dont les données sont utilisées ; il réaffirme les principes de base (transparence et consentement), en crée de nouveaux, mieux adaptés aux évolutions des usages numériques (« droit à l'oubli » et droit à la portabilité) et facilite leur exercice afin que les particuliers puissent s'en saisir et les faire respecter (droit au recours par mandataire, voire collectif, réparation des préjudices) ;

responsabiliser tous les acteurs traitant des données en graduant leurs obligations en fonction des risques pour la vie privée ; il privilégie le recours à des études d'impact et à des outils de droit souple, généralise la nomination de « délégués à la protection des données » et supprime ou allège les formalités administratives préalables ;

crédibiliser la régulation à la mesure des enjeux de souveraineté numérique ; le règlement peut recevoir une application extraterritoriale, les autorités européennes sont appelées à coopérer en cas de traitements de données transfrontaliers, et les sanctions sont enfin réellement dissuasives (jusqu'à 20 millions d'euros, ou 4 % du chiffre d'affaires annuel mondial).

La loi « Informatique et libertés » de 1978 a été modifiée en juin 2018 afin de décliner ces grands principes dans l'ordre juridique français. Le bilan au 1er octobre 2019 de la première année d'application du RGPD en France est éloquent :

- 8 395 plaintes184(*) ont été reçues par la CNIL depuis le 1er janvier 2019, soit + 4,7% par rapport à la même période 2018 ; environ une plainte sur cinq concerne des traitements transfrontaliers de données ;

- la CNIL a reçu 2 793 notifications de violation de données (depuis mai 2018) ; ces violations auraient concerné près de 100 millions de personnes ;

- plus de 20 800 délégués à la protection des données (personnes physiques ou morales) ont été désignés, pour plus de 63 000 organismes.

Son champ d'application territorial et matériel est vaste : le règlement doit être appliqué dès lors que le responsable de traitement est établi sur le territoire de l'Union européenne (« critère de résidence »). Mais il a aussi vocation à s'appliquer hors de l'Union, dès lors qu'un résident européen est visé par un traitement de données (par une offre de biens et de services, ou le suivi du comportement), y compris donc par internet (« critère du ciblage »). Alors que les acteurs du numérique s'intéressent au gisement de profit majeur que représente le marché européen et ses plus de 500 millions de consommateurs, ses règles protectrices trouvent ainsi à s'appliquer même à l'égard des entreprises qui ne disposent pas d'un établissement en Europe185(*).

Les sanctions sont graduées et considérablement renforcées : outre les mesures correctives classiques186(*), les autorités nationales ont également le pouvoir de prononcer des amendes atteignant, selon la catégorie de l'infraction, 10 ou 20 millions d'euros, ou, dans le cas d'une entreprise, de 2 % à 4 % du chiffre d'affaires annuel mondial (le montant le plus élevé étant retenu). Le RGPD prévoit ainsi des sanctions administratives désormais dissuasives, en cas de méconnaissance de ses dispositions, à la hauteur des moyens mobilisés par les géants du numérique et de la gravité des risques que font encourir les traitements massifs de données.

Enfin, parmi les innovations juridiques introduites par le RGPD au bénéfice des particuliers dont les données personnelles font l'objet de traitement, le règlement consacre un droit à la portabilité des données. Son article 20 confère aux personnes concernées le droit de recevoir les données à caractère personnel qu'elles ont fournies à un responsable du traitement, dans un format structuré, couramment utilisé et lisible par machine, et de les transmettre à un autre responsable du traitement.

La consécration du droit à la portabilité constitue effectivement un instrument important de souveraineté numérique : il facilite la libre circulation des données à caractère personnel dans l'Union et stimule la concurrence entre les responsables du traitement en limitant la constitution d'écosystèmes numériques fermés et de barrières à l'entrée. Il facilite ainsi le passage d'un prestataire de services à un autre et la mise au point de nouveaux services. Enfin, il encourage l'émergence d'acteurs concurrençant les géants établis du numérique. Comme le résume la présidente de la CNIL : la portabilité « doit permettre aux petits acteurs économiques de défier plus facilement les grands, en attirant les clients qui peuvent désormais leur apporter leurs données, diminuant ainsi le pouvoir de captation des grandes plateformes ».

Dans sa dimension individuelle, la souveraineté numérique peut aussi être présentée comme une capacité d'autodétermination informationnelle187(*), c'est-à-dire la possibilité pour chaque individu de « rester maître de son destin sur les réseaux » comme l'a exposé à votre commission Mme Pauline Türk.

Le RGPD entend, à cet égard, contribuer à une prise de conscience chez les citoyens-internautes de l'utilisation qui est faite de leurs données : il renforce le droit à l'information et oblige les responsables de traitements de données personnelles à une meilleure intelligibilité des explications fournies sur les finalités poursuivies et l'utilisation qu'ils en font.

Mais dans un univers numérique marqué par une forte asymétrie entre, d'un côté, ceux qui contrôlent données et algorithmes et, de l'autre, ceux qui utilisent les plateformes, imposer le respect de ces droits et les rendre effectifs pour les particuliers reste encore concrètement à accomplir.

Plusieurs représentants de ces grandes plateformes ont d'ailleurs reconnu que les outils développés pour rendre effective et systématique l'information présentée à leurs utilisateurs étaient récents et perfectibles. Interrogé sur ce point par le Président de notre commission, notre collègue Franck Montaugé, le représentant de Google a ainsi mis en avant le « tableau de bord » permettant désormais d'accéder à l'historique d'utilisation des données personnelles fournies, mais il a également reconnu que les internautes s'étaient encore peu saisis du droit à la portabilité et qu'une marge de progression était encore possible, notamment pour améliorer transparence des recommandations faites aux internautes sur la plateforme Youtube.

Pour favoriser la prise de conscience chez les citoyens-internautes de l'utilisation qui est faite de leurs données, il paraît souhaitable d'encourager et de contrôler la mise en place des dispositifs techniques (tableaux de bords, envoi d'informations sur simple demande...) permettant de rendre effectifs les droits consacrés par le RGPD en faveur des particuliers.

La collecte de données par les acteurs du numérique repose d'ailleurs principalement sur le recours à des traceurs lors de la navigation des internautes sur le web, notamment les cookies, qui permettent de collecter des données extrêmement détaillées. Celles-ci sont fréquemment utilisées pour créer des profils détaillés à des fins de publicité ciblée, dans des conditions de transparence et de maitrise insuffisantes par l'utilisateur.  

Or, ces opérations sont majoritairement réalisées par des acteurs situés en dehors de l'Union européenne, ce qui soulève des enjeux de souveraineté du fait de la nature des données collectées et des usages qui en sont faits. Une étude récente188(*) a ainsi démontré que la régie publicitaire de Google collectait des données sur près de 45% des sites web du panel testé, tandis que le service d'analyse statistique du même acteur était présent sur près de 70% des sites du panel. De façon plus globale, cette même étude indique que, sur plus de 91% des sites du panel, la navigation des internautes est suivie par un acteur tiers.

Ainsi la souveraineté numérique ne peut être assurée que si ces dispositifs, particulièrement intrusifs et encadrés, notamment par la directive vie privée et communications électroniques, sont utilisés uniquement d'une manière permettant aux personnes concernées de garder la maîtrise sur leurs données.

Les utilisateurs doivent être informés de manière claire et complète sur l'impact des cookies et autres traceurs. Il s'agit d'une condition sine qua non pour recueillir leur consentement éclairé. Comme l'a rappelé récemment la Cour de justice de l'Union européenne189(*), ce consentement nécessite un acte positif clair qui implique un assentiment véritable de l'utilisateur. Il convient donc de renverser le mécanisme actuellement à l'oeuvre, qui ne garantit aucunement ce consentement véritable, afin de faire respecter la lettre de la loi européenne et nationale.

b) Aller plus loin : instaurer une obligation d'interopérabilité ?

La nécessité d'aller plus loin que le droit à la portabilité des données personnelles entre plateformes a été soutenue par plusieurs intervenants devant notre commission, qui souhaitent poursuivre et généraliser le mouvement bénéfique entamé avec le RGPD. Ils appellent de leurs voeux une intervention du législateur qui garantirait une obligation d'interopérabilité à la charge des grandes plateformes du numérique190(*).

On l'a vu, la portabilité permet à un utilisateur de quitter une plateforme avec une copie de ses données personnelles dans leur état au moment de la demande. Dans son principe, l'interopérabilité garantit, elle, de poursuivre ailleurs l'activité initialement menée sur une plateforme sans perdre les contacts ni les liens sociaux établis. Elle permettrait de communiquer d'une plateforme à une autre, sur le modèle des messageries électroniques : être abonné à un prestataire n'empêche pas de recevoir des courriels de personnes abonnées à d'autres prestataires. Concrètement, l'interopérabilité permet à quiconque de lire depuis un service A les contenus diffusés par ses contacts sur un service B, et d'y répondre comme s'il y était lui-même.

Votre rapporteur note avec intérêt que cette proposition n'émane pas seulement d'universitaires ou d'associations de défense des droits et libertés des internautes, mais qu'elle commence à être débattue au sein des instances européennes : Le rapport Competition policy for the digital era commandé par la commissaire européenne Mme Vestager et rendu public en avril 2019 y consacre de longs développements, distinguant interopérabilité des protocoles et interopérabilité des données. Il fait de l'interopérabilité un vecteur envisageable de promotion de la concurrence adapté, sous certaines conditions, aux spécificités d'une économie des plateformes dominée par des acteurs géants difficiles à contester en raison des forts coûts d'entrée.

En outre, selon les premières orientations officieuses des services de la Commission européenne pour une révision de la directive sur le commerce électronique, « lorsqu'il existe des services équivalents, l'encadrement normatif devrait tenir compte de l'application émergente des règles existantes en matière de portabilité des données et explorer d'autres options permettant de faciliter les transferts de données et d'améliorer l'interopérabilité des services lorsqu'une telle interopérabilité est logique, techniquement réalisable et peut accroître le choix des consommateurs sans entraver la capacité de croissance (en particulier des petites entreprises). De telles initiatives pourraient être accompagnées d'initiatives de normalisation appropriées et d'approches de corégulation »191(*).

Dès lors, votre rapporteur comprend mal la frilosité du Gouvernement, telle qu'elle ressort des réponses écrites du secrétaire d'État au numérique, M. Cédric O, aux questions de votre rapporteur à ce sujet. Il l'encourage donc, comme il l'indique, à « instruire correctement l'ensemble des aspects quant aux objectifs précisément poursuivis [par l'interopérabilité], à sa faisabilité technique et opérationnelle, à son coût ou à son impact sur l'innovation », et à présenter rapidement au Parlement la position qu'il compte défendre au niveau européen.

Dresser un bilan du droit à la portabilité des données personnelles depuis la loi « République numérique » et le RGPD et des obstacles pouvant subsister à sa pleine application.

Étudier la faisabilité technique et opérationnelle d'une obligation d'interopérabilité (bénéfices, coûts, impact sur le consommateur et l'innovation), y compris comme mesure de régulation asymétrique imposée aux grandes plateformes systémiques, en associant les régulateurs nationaux (ADLC, CNIL) et en présentant au Parlement la position que le Gouvernement compte défendre au niveau européen.


* 126 En ce sens, voir l'introduction du rapport du groupe de travail franco-britannique sur l'économie de la donnée (2016), consultable en ligne à l'adresse suivante : https://www.modernisation.gouv.fr/sites/default/files/fichiers-attaches/rapport_revolution-donnee_juillet2016_vf.pdf

* 127 Le rapport sur la fiscalité du numérique précité rappelait que « les données, en particulier les données personnelles sont au coeur de tous les modèles d'affaires de l'économie numérique. Chacun diffère dans les modalités de collecte et de traitement de ces données. Mais tous en font levier pour améliorer leur offre, réaliser des gains de productivité, diversifier leurs activités ou renforcer leur position sur les différentes faces du modèle d'affaires ».

* 128 Catherine Morin-Desailly, L'Europe au secours de l'Internet : démocratiser la gouvernance de l'Internet en s'appuyant sur une ambition politique et industrielle européenne, juillet 2014. Ce rapport rappelait notamment les deux lois ayant permis, selon Pierre Bellanger, cette explosion des données, à savoir la loi de Moore, d'une part (selon laquelle « à prix égal, la capacité de calcul d'un microprocesseur, matérialisée par la densité de transistors sur une puce, double tous les dix-huit mois - ce qui est également vrai pour la bande passante et pour la mémoire de stockage des données »), et le calcul de Grötschel, d'autre part (selon lequel « la vitesse de calcul des machines, grâce à la croissance de l'efficacité des algorithmes - séquence d'instructions d'un programme informatique - progresse quarante-trois fois plus vite que la loi de Moore »).

* 129 « La progression de cet espace [informationnel] obéit également à la Loi de Moore, selon laquelle les capacités des microprocesseurs sont multipliées par deux tous les dix-huit mois, tandis que les coûts en sont divisés par deux ».

* 130 Selon l'OCDE, les entreprises utilisant des innovations basées sur l'utilisation de données bénéficient d'une productivité 5 à 10% plus élevée que les autres (OCDE, Big data : bringing competition policy to the digital era, novembre 2016).

* 131 « Une donnée est une description élémentaire, typiquement numérique pour nous, d'une réalité. C'est par exemple une observation ou une mesure. À partir de données collectées, de l'information est obtenue en organisant ces données, en les structurant pour en dégager du sens. En comprenant le sens de l'information, nous aboutissons à des connaissances, c'est-à-dire à des faits considérés comme vrais dans l'univers d'un locuteur, et à des lois (des règles logiques) de cet univers » Serge Abiteboul, Sciences des données : de la logique du premier ordre à la Toile, leçon inaugurale prononcée le jeudi 8 mars 2012, Collège de France, Chaire d'Informatique et sciences numériques.

* 132 Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE, dit « RGPD ».

* 133 En revanche, les bases de données bénéficient d'une protection juridique particulière (en application du code de la propriété intellectuelle), qui permet d'interdire l'extraction ou la réutilisation sans autorisation du contenu de la base. L'article L. 112-3 du code de la propriété intellectuelle définit les bases de données comme « un recueil d'oeuvres, de données ou d'autres éléments indépendants, disposés de manière systématique ou méthodique, et individuellement accessibles par des moyens électroniques ou par tout autre moyen ».

* 134 Que ce soit par la publicité ou en adoptant un modèle dit « freemium », qui consiste à fournir des services améliorés pour ceux qui sont prêts à payer.

* 135 Le « travail du clic » a été étudié par le sociologue Antonio A. Casilli, qui rassemble sous cette notion à la fois le travail gratuit des utilisateurs mais aussi les microtravailleurs payés pour cliquer, depuis leurs domiciles ou dans des « fermes à clic », cf. Antonio A. Casilli, En attendant les robots. Enquête sur le travail du clic, 2019).

* 136 Voir notamment Tim Wu, The attention merchants, The epic scramble to get inside our heads, 2016. Les conséquences néfastes ont récemment été décrites par Bruno Patino « La civilisation du poisson rouge, Petit traité sur le marché de l'attention » avril 2019.

* 137 Audition du 9 juillet 2019.

* 138 Un risque sur lequel a insisté Mme Claire Landais, Secrétaire générale de la défense et de la sécurité nationale, lors de son audition devant votre commission le 23 mai 2019.

* 139 Audition de M. Henri Verdier, ambassadeur pour le numérique, devant votre commission le 4 juin 2019.

* 140 Loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, créant l'article L136 du code des postes et des communications électroniques.

* 141 Règlement n° 910/2014 du Parlement européen et du Conseil 23 juillet 2014 sur l'identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, dit règlement « eIDAS ».

* 142 Pour un panorama complet des services concernés et de la mise en oeuvre du règlement, voir le site de l'Anssi : https://www.ssi.gouv.fr/entreprise/reglementation/confiance-numerique/le-reglement-eidas/

* 143 Décret n° 2019-452 du 13 mai 2019 autorisant la création d'un moyen d'identification électronique dénommé « Authentification en ligne certifiée sur mobile ». L'association La Quadrature du Net a déposé un recours contre ce texte devant le Conseil d'État. Elle reproche à l'État de ne pas respecter le RGPD en ne laissant pas à l'utilisateur le choix de ne pas recourir au dispositif de reconnaissance faciale pour avoir accès aux services publics dématérialisés via AliceM. L'association appuie son action sur l'avis de la Commission nationale de l'informatique et des libertés, rendu le 18 octobre dernier, dans lequel elle estimait que «le gouvernement ne propos[ait] pas, en l'occurrence, d'alternative à la reconnaissance faciale pour créer une identité numérique (...). Au regard de ces principes, le consentement au traitement des données biométriques ne peut être regardé comme libre et comme étant par suite susceptible de lever l'interdiction posée par l'article 9.1 du RGPD». Elle proposait la mise en place de solutions alternatives.

* 144 Audition de Christophe Castaner, ministre de l'intérieur, devant votre commission d'enquête le 2 septembre 2019.

* 145 Tel que le dispose l'article 7 du décret cité ci-dessus, seront enregistrées de nombreuses données à caractère personnel (état civil, caractéristiques physiques, informations du titre d'identité, photographie et vidéo, historique des transactions associées au compte AliceM). L'article 11 précise que les données conservées sur l'équipement de l'usager seront chiffrées et inaccessibles après la suppression du compte. Les données liées à l'historique des transactions feront l'objet d'un traitement centralisé par l'Agence nationale des titres sécurisés (article 10) et seront supprimées au bout de six ans (article 12).

* 146 Audition de M. Nadi Bou Hanna, directeur interministériel du numérique et du système d'information et de communication de l'État devant votre commission, le 25 juin 2019.

* 147 D'après l'information transmise par M. Cédric O, secrétaire d'État chargé du numérique, lors de son audition devant votre commission, le 20 juin 2019, et par M. Christophe Castaner, ministre de l'intérieur, lors de son audition devant votre commission le 2 septembre 2019.

* 148 Différents réseaux - filaire (câble, cuivre, fibre) ou hertzien - peuvent désormais transporter des services équivalents, et les protocoles informatiques peuvent faire communiquer entre eux les terminaux - télévision, PC, téléphones - comme les différentes applications.

* 149 Discours de clôture du colloque « Médias, liberté et création » (19 juin 2019).

* 150 « Dix ans après, la régulation à l'ère numérique » Rapport d'information n° 350 (2006-2007) de M. Bruno Retailleau, fait au nom de la commission des affaires économiques, déposé le 27 juin 2007. Ce rapport est consultable en ligne à l'adresse : https://www.senat.fr/rap/r06-350/r06-350_mono.html

En outre, en janvier 2014 a été organisée au Sénat une « table ronde sur la régulation dans le domaine des technologies de l'information », à l'initiative du groupe d'études « Média et nouvelles technologies » de la commission de la culture, de l'éducation et de la communication, sous la présidence de Mme Catherine Morin-Desailly, et avec la participation de M. Bruno Retailleau, vice-président.

* 151 À titre d'exemple, l'autorité hollandaise compte 138 agents en 2019 pour 17,12 millions d'habitants, l'autorité irlandaise 140 pour 4,84 millions d'habitants, l'autorité polonaise 250 pour 37,98 millions d'habitants, le Royaume-Uni 696 pour 66,19 millions d'habitants, l'Allemagne plus de 700 pour 82,85 millions d'habitants (l'Autorité fédérale, qui compte 253 agents, agissant en réseau avec les 16 autorités fédérées dans chacun des Länder).

* 152 Rapport d'inspection précité, intitulé « La politique de la concurrence et les intérêts stratégiques de l'UE ».

* 153 Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur.

* 154 À savoir les personnes dont l'activité est d'offrir un accès à des services de communication au public en ligne.

* 155 À savoir les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services.

* 156 Cette « plate-forme d'harmonisation, d'analyse, de recoupement et d'orientation des signalements » est placée au sein de l'office central de lutte contre la criminalité liée aux technologies de l'information et de la communication (Oclctic) qui relève de la sous-direction de la lutte contre la cybercriminalité (SDLC) de la direction centrale de la police judiciaire (DCPJ). La plate-forme Pharos compte une vingtaine d'enquêteurs (policiers et gendarmes) et exploite le portail www.internet-signalement.gouv.fr qui permet depuis 2009 aux internautes et aux acteurs d'internet de signaler les contenus illicites du web. Elle mène également une veille proactive sur internet pour de détecter des contenus illicites ou contribuer à la résolution d'enquêtes.

* 157 Résolution européenne n° 31 (2018-2019) sur la responsabilisation partielle des hébergeurs de contenus numériques, devenue résolution du Sénat le 30 novembre 2018 https://www.senat.fr/dossier-legislatif/ppr17-739.html

* 158 Ursula von der Leyen, A Union that strives for more, My agenda for Europe, political guidelines for the next European commission 2019-2024.

* 159 Audition par la commission de la culture, de l'éducation et de la communication du Sénat, le 24 juillet 2019.

* 160 https://www.senat.fr/enseance/2015-2016/535/Amdt_473.html

* 161 Article 4 du règlement européen du 14 novembre 2018 établissant un cadre applicable au libre flux des données non personnelles dans l'Union européenne. Ledit règlement prévoit par ailleurs que les États membres doivent veiller, d'ici au 30 mai 2021, à ce que toute exigence existante de localisation des données établie dans une disposition législative, réglementaire ou administrative de nature générale et qui n'est pas conforme à cette interdiction soit abrogée. L'objectif recherché est ici de favoriser la mobilité des données non personnelles dans le cadre d'un marché intérieur numérique plus intégré.

* 162 Inséré sous forme de « cavalier » au sein d'un vaste texte budgétaire (« Consolidated Appropriations Act, 2018 »), le « Cloud Act » modifie la loi sur les données des communications électroniques « Stored Communications Act » (SCA) de 1986, qui définit notamment les régimes d'accès et de protection des données de communication traitées ou stockées par certains intermédiaires techniques.

* 163 Pour un exposé sommaire de ce contentieux, voir l'audition des représentants de Microsoft France devant la commission, et pour l'état du droit antérieur au CLOUD Act on pourra utilement se référer à l'étude du Pr. Théodore Christakis : « Données, extraterritorialité et solutions internationales aux problèmes transatlantiques d'accès aux preuves numériques » dans USA v. Microsoft : Quel Impact ? Statut des données, souveraineté numérique et preuves dans les nuages (2017).

* 164 Et notamment l'Accord entre l'Union européenne et les États-Unis d'Amérique en matière d'entraide judiciaire conclu à Washington le 25 juin 2003.

* 165 « A provider of electronic communication service or remote computing service shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider's possession, custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States. » (§2713. Required preservation and disclosure of communications and records).

* 166 Rétablir la souveraineté de la France et de l'Europe et protéger nos entreprises des lois et mesures à portée extraterritoriale, juin 2019 ; M. Raphael Gauvain a été entendu par le rapporteur lors d'une audition ouverte aux membres de la commission.

* 167 Promoting Public Safety, Privacy, and the Rule of Law Around the World: The Purpose and Impact of the CLOUD Act ; White Paper, U.S. Department of Justice (avril 2019).

* 168 Cf. Rapport Gauvain, 1.2.4.2.2 « Les infractions visées » (p. 30).

* 169 C'est ce que soulignent le Comité Européen de la Protection des Données et le Contrôleur européen de la protection des données, dans leur évaluation du CLOUD Act (« Initial legal assessment of the impact of the US CLOUD Act on the EU legal framework for the protection of personal data and the negotiations of an EU-US Agreement on cross-border access to electronic evidence », p. 2).

* 170 « Nous sommes d'avis qu'actuellement, à moins qu'un mandat pris sur le fondement du Cloud Act ne soit reconnu ou rendu exécutoire sur la base d'un accord international, la licéité de tels transferts de données à caractère personnel ne saurait être établie, sans préjudice de circonstances exceptionnelles dans lesquelles un traitement de données est nécessaire afin de protéger les intérêts vitaux de la personne concernée » (“We are of the view that currently, unless a US Cloud Act warrant is recognised or made enforceable on the basis of an international agreement, the lawfulness of such transfers of personal data cannot be ascertained, without prejudice to exceptional circumstances where processing is necessary in order to protect the vital interests of the data subject”), courrier sur l'impact du Cloud Act américain sur le cadre juridique européen en matière de protection des données à caractère personnel émanant du Comité Européen de la Protection des Données et du Contrôleur européen de la protection des données en réponse à une demande de la commission LIBE du Parlement Européen (10 juillet 2019).

* 171 Proposition de règlement du Parlement européen et du Conseil relatif aux injonctions européennes de production et de conservation de preuves électroniques en matière pénale, dite « e-evidence ».

* 172 « L'Union a décidé de s'engager dans la négociation d'un accord bilatéral sur le recueil de preuve numérique avec les États-Unis, car le Cloud Act peut mettre en échec les demandes des magistrats européens lorsqu'ils souhaitent obtenir des preuves numériques auprès des principaux fournisseurs mondiaux de communications électroniques. Cette négociation sera menée par la Commission au nom des Etats membres. Ceux-ci sont néanmoins étroitement associés et la France a tout particulièrement veillé à ce que le mandat de négociation confié à la Commission le 6 juin dernier soit le plus exigeant possible. »

* 173 Dont on peut trouver une traduction en anglais sur le site internet chinalawtranslate.com.

* 174 Chen & Co. Law Firm, Note générale sur les demandes d'accès gouvernementales, 29 avril 2019.

* 175 Financial Times, Is Huawei compelled by Chinese law to help with espionage ?, 5 mars 2019.

* 176 Voir, par exemple, l'article du cabinet suédois Mannheimer Swartling, Applicability of Chinese National Intelligence Law to Chinese and non-Chinese Entities, janvier 2019. Cette étude conclut que la loi s'applique aux groupes chinois où que soient implantées les filiales et pourrait être interprétée comme s'appliquant à tout citoyen chinois, quel que soit son lieu de résidence. On peut également citer l'article du Professeur Donald Clark, The Zhong Lun Declaration on the Obligations of Huawei and Other Chinese Companies under Chinese Law, 17 mars 2019. Cet article considère que, dans la mesure où le droit chinois s'applique à la holding de Huawei, il n'y a pas de raison que la holding ne requiert de ses filiales qu'elles lui transmettent des informations si elle y est contrainte en application du droit chinois.

* 177 Christopher Balding et Donald Clarke, Who owns Huawei ?, 17 avril 2019.

* 178 Source: présentation du groupe Huawei transmise à votre rapporteur. Ces règles ne sont cependant pas précisées.

* 179 Cf.  https://www.huawei.com/en/about-huawei/corporate-information. Devant votre commission d'enquête, le directeur général de Huawei en France a confirmé, en des termes plus précis, cette affirmation : « Huawei est une entreprise 100% privée, détenue par plus de 96 000 de ses employés et son fondateur, qui ne dispose que de 1,14% des parts de l'entreprise, selon un modèle coopératif ».

* 180 Selon M. Michel Paulin, directeur général d'OVH entendu par votre commission le 11 juillet 2019 : « Aux États-Unis, notre filiale est régie par le droit américain. À ce titre, elle respecte scrupuleusement la loi américaine. En revanche, nous avons fait en sorte que seule cette filiale soit soumise au Cloud Act et qu'elle ne dispose d'aucun accès aux données situées à l'extérieur des États-Unis : il s'agit d'un bastion isolé. L'accès ne serait tout simplement pas possible d'un point de vue technique : de ce fait, aucun agent américain ne pourra accéder aux données situées en dehors du territoire américain. »

* 181 Selon M. Marc Mossé, directeur juridique et affaires publiques de Microsoft Europe : « Nous protégeons les données de nos clients : premièrement en répondant aux autorités qui nous sollicitent qu'il faut demander ces données directement aux clients, deuxièmement en avertissant nos clients si nous sommes saisis d'une telle demande, et troisièmement en envisageant fortement de nous opposer à une telle demande en cas de conflit de loi précis et clair. »

* 182 Rapport précité.

* 183 Loi n° 68-678 du 26 juillet 1968 relative à la communication de documents et renseignements d'ordre économique, commercial, industriel, financier ou technique à des personnes physiques ou morales étrangères.

* 184 Sachant que 12 253 plaintes avaient été reçues par la CNIL entre le 25 mai 2018 et le 25 mai 2019, chiffre qui représentait déjà une hausse de 42 % par rapport à la même période en 2017-2018.

* 185 Les entreprises sont en contact avec un « guichet unique », l'autorité de contrôle de l'État membre où se trouve leur établissement principal. Cette autorité chef de file aura la responsabilité d'organiser des contrôles, voire d'infliger des sanctions en cas de traitements transfrontaliers. La coopération est d'ailleurs renforcée entre autorités de régulation nationales et un Comité européen de la protection des données - CEPD - les rassemble pour veiller à l'application uniforme du droit. Le règlement étend par ailleurs explicitement aux sous-traitants une large partie des obligations imposées aux responsables de traitement.

* 186 Avertissement, rappel à l'ordre, mise en demeure, limitation d'un traitement, suspension des flux de données, injonction de satisfaire aux demandes d'exercice des droits d'une personne ou de procéder à la rectification, la limitation ou l'effacement des données, retrait de certification.

* 187 Pour de plus amples développement sur cette notion juridique et la revendication d'un droit en la matière, voir Les droits émergents dans le monde numérique : l'exemple du droit à l'autodétermination informationnelle (in Revue Politeia, N° 31, décembre 2017, Les métamorphoses des droits fondamentaux à l'ère du numérique, par Pauline Türk).

* 188 Imane Fouad, Nataliia Bielova, Arnaud Legout, and Natasa Sarafijanovic-Djukic, Tracking the Pixels: Detecting Unknown Web Trackers via Analysing Invisible Pixels.

* 189 « le consentement (...) n'est pas valablement donné lorsque le stockage d'informations ou l'accès à des informations déjà stockées dans l'équipement terminal de l'utilisateur d'un site Internet, par l'intermédiaire de cookies, est autorisé au moyen d'une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement » (affaire C-673/17, 1er octobre 2019).

* 190 Lettre commune : Pour l'interopérabilité des grandes plateformes en ligne (21 mai 2019), signée par 75 organisations de défense des libertés, organisations professionnelles, hébergeurs et fournisseurs d'accès Internet associatifs.

* 191 « Where equivalent services exist, the framework should take account of the emerging application of existing data portability rules and explore further options for facilitating data transfers and improve service interoperability where such interoperability makes sense, is technically feasible, and can increase consumer choice without hindering the ability of (in particular, smaller) companies to grow. Such initiatives could be accompanied by appropriate standardisation initiatives, and co-regulatory approaches ».