Nous avions évoqué le sujet dans une Maj précédente : la frontière est un des grands enjeux des nouvelles technologies, puisque les interactions numériques ne connaissent pas de bordures, contrairement au droit. À l’époque, nous évoquions le contentieux opposant Microsoft au FBI. Aujourd’hui, nous attendons la publication d’une proposition de nouvelles règles de lutte anti-crime et anti-terrorisme de la Commission européenne. Dans les deux cas, un sujet cristallise l’attention : l’accès aux preuves.

La matérialité de la donnée

En effet, la difficulté des délits et des crimes complexes, commis sur plusieurs territoires, réside non seulement dans la détermination des territoires et droits pertinents pour leur poursuite, mais aussi dans la réunion des preuves nécessaires à ces poursuites. Dans un article cette semaine, le Monde parle de “guerre de la preuve numérique”, et pour cause : on oublie trop souvent dans notre monde numérique que la donnée est somme toute bien matérielle.

Matérielle parce qu’une donnée, in fine, ce n’est qu’un enregistrement sur un serveur. Il y a donc un support de mémoire quelque part dans le monde sur lequel la donnée est stockée sous forme binaire (un 0 ou un 1). Cela se traduit encore plus matériellement par des champs magnétiques polarisés négativement ou positivement (pour les disques durs) ou en modifiant la conductivité d’un transistor (mémoire flash, SSD). Pour les soutiens de théories visant à faire de la localisation des serveurs un élément déterminant de l’applicabilité du droit, il y a là un argument de taille, bien qu’il est toujours possible de répondre que toute la magie du numérique est de pouvoir dupliquer cet enregistrement matériel quasi instantanément n’importe où ailleurs.

Matérielle également parce qu’en reprenant un peu de hauteur, les données en cause sont le plus souvent détenues par un tiers, qu’il faut convaincre (ou forcer, selon les cas) à communiquer les données nécessaires pour la preuve de l’infraction. C’est afin de fluidifier les transferts de données aux fins de preuve que les États ne cessent de signer de accords de collaboration, au détriment de la protection de la vie privée – c’est notamment le but du récent CLOUD Act américain ou de la Directive européenne 2016/680 qui accompagne le GDPR.

Sécurité vs vie privée

Paradoxalement, alors qu’ils sont si souvent pointés du doigt pour leur gestion calamiteuse de nos données personnelles, les géants du net font figure de bons élèves lorsqu’il s’agit de l’accès à ces données. Depuis les révélations de Snowden, les entreprises du net n’ont de cesse de se battre contre l’accès aux données de leurs utilisateurs par les autorités judiciaires et policières, notamment par le biais de publications régulières au nom de la transparence, ou de batailles judiciaires allant parfois jusqu’aux plus hautes instances existantes, comme Microsoft avec le FBI. Apple et Google ne sont pas en reste, avec chacun son lot de procès de haute volée au nom des droits fondamentaux de leurs utilisateurs.

Plusieurs questions sont ainsi soulevées : les données personnelles doivent elles être protégées contre les entreprises qui les collectent, ou contre les autorités qui les requièrent, ou, in fine, contre les deux ? Dans ce cas, à qui se fier ? La divulgation de nos données à des fins de sécurité publique n’est-elle pas le début de la fin de la vie privée ? À l’inverse, les géants du net sont-ils vraiment un juste rempart contre les débordements sécuritaires ? Le balancement entre protection de la vie privée et garantie de la sécurité publique, entre intérêts personnels et intérêts publics, est ainsi cristallisé par le débat sur l’accès aux données, mais que privilégier ?

L’actu en bref

Cette semaine est à nouveau très chargée. News générales : le G29 a annoncé la création d’un groupe de travail sur les réseaux sociaux (PDF) ; la France ratifie le Protocole n°16 à la Convention européenne des droits de l’homme et déclenche son entrée en vigueur, permettant de demander des avis à la CEDH ; publication du rapport d’activité 2017 de la CNIL, qui compte parler IA et blockchain en 2018 ; outil pour savoir si vous êtes victime du scandale Cambridge Analytica ; YouTube collecterait des données personnelles de mineurs ; l’OPECST présente une excellente note récapitulative sur la blockchain ; Netflix interdit de Cannes. News législatives et réglementaires : la loi ratifiant l’ordonnance de réforme du droit des contrats a fait l’objet d’un accord et sera bientôt promulguée ; le projet de loi secret des affaires adopté à l’Assemblée et en première lecture au Sénat ; 22 États membres s’allient sur l’IA et sur la blockchain. Jurisprudence : Uber étant un service de transport, pas de nécessité de notification de réglementation spécifique à la Commission européenne (CJUE) ; SFR sanctionnée pour des clauses abusives ; Schrems s’attaque aux clauses contractuelles type ; la justice Russe a ordonné le blocage de Telegram. Enfin, nous soutenons l’initiative de crowdfunding de NextINpact et vous incitons à faire de même !

À ne pas rater cette semaine

Sinon cette semaine, on parle donc des difficultés d’accès à la preuve, avec un article du monde sur la guerre qui fait rage à ce sujet et la fuite des projets de la Commission européenne pour ramener la paix. Également au programme, un excellent article de Wired qui rappelle opportunément que Mark Zuckerberg ne fait que s’excuser depuis avant même la création de Facebook, un article tout aussi excellent de Motherboard sur le matériel utilisé pour miner du Bitcoin, et un article d’Axios sur l’espionnage industriel numérique. Enfin, nous parlons du projet européen de refonte du droit de la consommation et d’une prothèse pour augmenter le cerveau humain, pendant que Hugo vous propose de partir à l’aventure pour trouver la qualification juridique de Gmail. Indice : elle ne se trouve pas dans le droit positif, mais bien dans le prospectif.

Faites la Maj, et à la semaine prochaine !