C’est officiellement la rentrée (on espère que vous avez pu passer des moments reposants malgré la situation sanitaire), et la Maj fait donc aussi son retour ! Avec une édition de rentrée concentrée sur l’actu de l’été, qui a été bien mouvementé. Sans plus attendre, plongeons dans le vif du sujet.
La plus grosse news de l’été est probablement le bis repetita de Max Schrems, cet avocat autrichien qui lutte contre les transferts de données personnelles aux États-Unis. Après avoir obtenu en 2015 l’annulation de l’accord Safe Harbor qui permettait des transferts de données facilités pour les États-Unis, Schrems a obtenu cet été la tête du Privacy Shield, l’accord de remplacement. L’arrêt fleuve vaut le détour : aux détours d’une cinglante critique du régime de surveillance américain, la CJUE réaffirme qu’il est de la responsabilité du responsable de traitement de s’assurer que le pays dans lequel on transfert des données assure le respect de certains droits fondamentaux, tels que le droit à un recours effectif. L’arrêt confirme par ailleurs la validité des clauses contractuelles standard, tout en précisant qu’elles doivent être effectivement appliquées et qu’elles contiennent notamment un engagement de s’assurer que le pays de destination du transfert doit assurer le respect de certains droits fondamentaux… L’arrêt précise qu’il est possible de continuer à transférer des données à condition de prendre “des mesures supplémentaires suffisantes pour garantir une telle protection” : la question à 1000 points est donc de déterminer ce que peuvent être de telles mesures. Pour aller plus loin : la FAQ très instructive de l’EDPB, la lecture de Theodore Christakis, celle de Linklaters qui délimite la notion de “transfer impact assessment”, et bien entendu le communiqué de Schrems lui-même. À noter qu’une nouvelle version des clauses contractuelles standard était en cours d’élaboration et devrait prochainement voir le jour en tenant compte de l’arrêt et que les discussions entre la Commission et les USA continuent. Surtout, Schrems a enchainé avec le dépôt de 101 plaintes contre diverses entreprises qui continuaient de transférer des données à Facebook et Google sur le fondement du Privacy Shield (dans sa FAQ, l’EDPB précise qu’il n’y a pas de période de grâce).
Autre énorme sujet de l’été, la concurrence, ou plutôt la domination des GAFAM sur tout ce qu’ils touchent. Ça commence (ou plutôt ça continue) avec des accusations de résultats de recherche biaisés en sa propre faveur par Google ; il y a également des accusations à l’encontre d’Amazon d’avoir organisé de faux rendez-vous d’investissement dans des startups pour ensuite copier leurs services. Il y a surtout deux sujets qui montent fort et seront centraux pour les mois et années à venir. Le premier concerne la plainte déposée par Slack contre Microsoft : Slack accuse le géant qui connait déjà bien le droit de la concurrence d’abuser de sa position dominante pour imposer son logiciel Teams aux dépens de ses concurrents (tels que Slack). Le sujet sous-jacent est extrêmement intéressant : Teams était une solution à part et a été intégrée à la suite Office gratuitement (un peu comme Google Meet qui nous suit désormais partout). S’il est clair que cela rend la vie dur aux concurrents, il y a de vrais arguments de liberté de commerce à opposer. Surtout, le consommateur en sort gagnant, du moins à court terme. Toute la question sera ainsi de déterminer si sur le long terme de tels paquetages sont susceptibles de tuer la concurrence ou non. Le second sujet concerne les app stores et la main-mise d’Apple et Google sur leurs stores respectifs. Avec ce qui s’est révélée être une campagne patiemment orchestrée depuis des mois, Epic Games, l’éditeur du célèbre jeu vidéo Fortnite, a effectué une mise à jour de son jeu qui contrevenait aux règles de Google et Apple en outrepassant leur système de paiement, qui permet aux deux géants de prélever un pourcentage de chaque transaction. La mise à jour a en conséquence été bloquée et Epic a riposté en déposant des plaintes en droit de la concurrence et une campagne de com’ #freefortnite. Le sujet dépasse cependant les histoires de gros sous : c’est tout le modèle des kiosques qui est ainsi remis en question. Si Apple et Google imposent leurs règles, c’est bien entendu pour se rémunérer, mais aussi pour garantir la sécurité et la fiabilité des apps disponibles au téléchargement. Il y a un vrai contrôle a priori et une garantie de qualité qui seront perdus si le modèle des apps stores est complètement remis en cause. Super thread Twitter sur la complexité du sujet par l’avocat Alexandre Archambault.
Dernier gros sujet de l’été, la souveraineté numérique et la balkanisation du web. Le mythe du web en tant que gigantesque terrain de jeu mondial est enterré de longue date, notamment depuis l’érection de la grande muraille virtuelle chinoise. On ne peut cependant que s’inquiéter de l’accélération du morcellement du web, et l’affaire Tik Tok renforce cette inquiétude. Elle se résume simplement : se fondant sur des raisons officielles de sécurité nationale, Donald Trump a ordonné à la maison mère de Tik Tok, ByteDance, de vendre tout le business US du réseau social sous peine d’interdiction d’exercer aux USA. Microsoft serait en cours de discussion, et le rachat pourrait en fait concerner toute l’activité de Tik Tok, qui riposte judiciairement.AU-delà des débats sur l’éventuel bien-fondé, à la fois technique (il n’est pas incongru de penser que Tik Tok transmet des données au gouvernement chinois) et politique (si la Chine bloque des apps US, pourquoi les US ne feraient pas de même ; il semble en plus que Mark Zuckerberg a fait du lobbying à ce sujet, Tik Tok marchant sur les platebandes d’Instagram), de la décision, c’est bien la construction de frontières virtuelles sur le web qui nous chagrine.
Trois énormes sujets, et pourtant on est loin d’avoir fini, voici maintenant toutes les autres petites news de l’été : Apple a atteint une valorisation de 2 billions de dollars ; une IA a battu un pilote de chasse dans une simulation de combat aérien – remake de Top Gun à venir ? ; Elon Musk a fait une démo de Neuralink sur des cochons, et ça ne casse pas 3 pattes à un canard ; la filiale santé d’Alphabet Verily se lance dans l’assurance ; le sujet de la rémunération des éditeurs de presse par les GAFAM continue de faire rage en France, et s’étend désormais à l’Australie ; Twitter a été hacké par des jeunes ayant obtenu accès à un logiciel interne, tout en restant en attente d’une sanction RGPD par la CNIL irlandaise qui tarde ; Twitter n’a en revanche pas eu à attendre la sanction de la FTC de 250 millions de dollars pour utilisation abusive de données personnelles ; Facebook va connaitre un redressement fiscal de 106 millions d’euros ; des anti-vaccins attaquent le réseau social en justice pour censure : les réseaux sociaux sont vraiment entre le marteau et l’enclume sur la modération ; un nouveau modèle de compréhension du langage naturel nommé GPT-3 fait le buzz grâce à des performances exceptionnelles ; le port généralisé du masque est un frein au développement de la reconnaissance faciale ; et les patrons de Facebook, Google, Apple et Amazon ont été entendus une nouvelle fois par les parlementaires américains.
De notre côté de l’Atlantique, on se penche enfin sur la transposition de l’exception de text and data mining ; le rapport Perben sur l’avenir de la profession d’avocat a été remis au Garde des Sceaux ; on a déploré la mort de la grande Gisèle Halimi – nécrologie américaine ; outre la décision Privacy Shield, la CJUE a aussi maltraité la Commission en annulant la décision de redressement fiscal d’Apple ; la CNIL n’a pas chômé avec une mise en demeure publique contre StopCovid, une sanction de 250 000 euros contre Spartoo, la publication des principales arnaques RGPD, la publication d’un guide sur les durées de conservation et même un guide d’utilisation de WiFi publics ; la thèse d’Arash Derambarsh a été annulée pour plagiat, un fait rarissime ; Facebook attaque la Commission européenne pour atteinte à la vie privée, considérant que des demandes de communication de documents dans le cadre d’une enquête de concurrence portent atteinte à la vie privée de ses salariés ; l’UE a utilisé pour la première fois de sa faculté de prononcer des sanctions contre des responsables de cyberattaques ; le rachat de Fitbit par Google va évidemment être scruté à l’aune du droit de la concurrence ; le CSA a mis en place l’observatoire de la haine en ligne prévu par ce qu’il reste de la loi Avia ; et la publicité ciblée arrive sur la télé.
Phew ! Bravo si vous êtes arrivé(e) jusqu’ici. Si vous en voulez encore, il y a notre sélection de lectures ci dessous. Et sinon on se dit à très vite !
Faites la Maj, et à la semaine prochaine !