La Maj d'

La newsletter d'actu techno-juridique : tous les mardis matin à 9h, faites la mise à jour !

En cliquant sur “S’abonner”, vous consentez à recevoir la newsletter d’Aeon (la “Maj”) chaque mardi matin à l’adresse email que vous avez indiquée. Les données saisies dans les champs ci-dessus nous sont nécessaires pour vous adresser la Maj par l’intermédiaire de notre prestataire MailChimp, et ne sont utilisées qu’à cette fin.

Vous consentez également à ce que MailChimp collecte, par l’intermédiaire d’un traceur placé dans l’email contenant la newsletter, des informations relatives à l’ouverture de cet email et à votre lecture de la Maj. Ces informations ne sont utilisées par Aeon qu’aux fins d’améliorer la Maj et son contenu, et ne sont partagées avec aucun tiers hormis le prestataire MailChimp.

Si vous souhaitez lire la Maj sans que ces informations soient collectées, notez que vous pouvez la retrouver à tout moment à cette adresse aeonlaw.eu/maj. Vous pouvez également vous abonner au flux RSS de cette page pour être averti de chaque nouvelle Maj dès sa parution, en cliquant ici !

Pour plus d’informations, consultez la Politique de Confidentialité d’Aeon en cliquant ici.


Celle qui ne fera pas de blague sur les cookies – Maj du 19/11/19

L'actu en bref

Cette semaine aura été placée sous le thème de la cybersécurité, ou plutôt de ses failles, avec une gigantesque attaque par déni de service contre le parti travailliste britannique, la révélation d’une attaque (attribuée à la Corée du Nord) ayant détruit la base de données de l’administration hongroise et l’immobilisation par un rançongiciel du CHU de Rouen. Également la semaine de la surveillance : surveillance des réseaux sociaux par le fisc adoptée par l’Assemblée nationale ; surveillance par la reconnaissance faciale, sujet d’un débat public initié par la CNIL avec une prise de position ferme ; surveillance alléguée de données de santé de millions d’étasuniens par Google – il ne s’agirait en fait que d’une prestation de services Cloud à un prestataire hospitalier. Google qui aura aussi été le centre des discussions avec l’élargissement des enquêtes américaines sur des abus de position dominante à Android, l’annonce de l’entrée dans le domaine du bancaire et l’annonce par la Cour Suprême qu’elle se saisira du dossier de droit d’auteur sur Java opposant le géant à Oracle. Notons également le lancement d’un réseau social alternatif par le fondateur de Wikipédia ; l’ouverture d’une consultation publique par Twitter sur ses politiques de retraits de contenus ; l’ouverture d’une consultation publique par l’office étasunien de propriété intellectuelle sur le copyright des créations non-assistées de l’intelligence artificielle – sur le sujet, on vous renvoie au rapport de notre asso cousine ThinkH+ (cité par le Rapport Villani), auquel nous avons participé ; la contestation par Amazon des conditions d’attribution (jugées politiquement biaisées) du marché public du Pentagone attribué à Microsoft – et au passage un bel article du Monde sur comment un libraire est devenu géant de la défense ; et la note de 650 millions de dollars en redressement de cotisations sociales impayées adressée par l’État du New Jersey à Uber. De notre côté, notons simplement l’adoption d’une nouvelle directive de protection des consommateursle texte ; la poursuite des discussion sur ePrivacy, dont voici la dernière version ; et la tenue des assises des relations entre magistrats et avocats. On se quitte sur un focus sur l’espoir français du eSport, Vitality, et sur un article sur la politisation des memes – pour le plaisir, en voici un non politisé. Oh, et dernière chance pour vous inscrire pour le procès fictif sur la justice privée que nous organisons au Village de la Legaltech la semaine prochaine !

Faites la Maj, et à la semaine prochaine !

Cette semaine, on vous parle de cookies, et on a décidé de le faire sans y mettre de blague. Pas de gag visuel impliquant un biscuit sablé aux pépites de chocolat, pas de mème à l’ancienne sur une photo de Vladimir Poutine ou de son équivalent fictionnel – non, rien de tout ça. Déjà parce qu’en ce domaine, en fait de blagues, il y a longtemps qu’on a fait le tour (et l’on plaidera volontiers coupable d’y avoir cédé nous-mêmes à l’occasion), mais aussi, il faut bien le dire, parce que les cookies ne sont plus tellement un sujet de rigolade.

Le sac de nœuds de la réglementation

Ils ne font plus trop rire le juriste, d’abord. Cousin turbulent de la réglementation des traitements de données à caractère personnel, le corps de règles applicables aux cookies (et aux traceurs assimilés) n’est aujourd’hui qu’un désespérant sac de nœuds. Fruit d’une directive vieille de près de vingt ans, déjà révisée en 2009, à moitié transposée (la notion de « faciliter » la communication électronique, pour les cookies exemptés de consentement, ayant ainsi survécu de manière assez inexplicable dans la loi Informatique & Libertés, y compris à sa dernière réécriture), le cadre juridique applicable fait l’objet d’une double interprétation par la CNIL et le CEPD (ci-devant le G29), sur bien des points contradictoire, ou à tout le moins mal alignée.

Témoignent de cette impasse les atermoiements de ladite CNIL, dont la position historique sur le consentement par poursuite de la navigation, contra legem (il faut bien le dire) depuis l’entrée en application du RGPD (et cependant partagée par l’autorité espagnole), lui aura récemment valu une procédure contentieuse. Quant au projet de règlement dit « e-Privacy », censé venir remettre un peu d’ordre (et d’unité) dans ces transpositions et pratiques nationales de l’actuelle directive, initialement attendu pour une entrée en vigueur concomitante à celle du RGPD, il semble être resté coincé quelque part dans le tunnel législatif, au beau milieu d’une interminable bataille de lobbys.

Que faire alors, que conseiller ? Anticiper le nouveau régime du « consentement conforme RGPD » ? Encore faudrait-il savoir à quoi ce dernier peut ressembler en matière de cookies. Même les bannières et splash screens les plus détaillés, fièrement affichés par les sites désireux de se mettre à la pointe, ne font probablement pas grand-chose pour la vie privée, lorsqu’une décision éclairée prendrait plus de temps, à ce compte, que la lecture de l’article de presse dissimulé derrière l’interface – de l’importance de la forme des choix, certes, mais un choix, quel qu’il soit, requiert de fait un temps qui n’est que rarement celui d’Internet. Voici donc un juriste un peu usé, un peu miné, en tous cas pas bien jovial ni très confiant.

Le monde du traçage en péril

Mais ils ne font plus rire les internautes non plus, les cookies, ni même les éditeurs de sites – et surtout pas ceux de la presse en ligne. Quoi qu’on en pense, après la défaite cuisante des droits voisins, les revenus publicitaires générés via la monétisation des données des visiteurs demeurent le dernier nerf de la guerre pour les sites d’information et de divertissement, auxquels le prix d’un abonnement paraît de fait insuffisant à fonder un vrai modèle économique pour la majorité.

Problème : les internautes n’en veulent plus, de ce traçage, et s’y opposent à grands coups d’ad blockers. Solution : leurrer les ad blockers ? Il y en a qui ont essayé : ils ont eu des problèmes (faute de blagues cookies, on se reporte vers les valeurs sûres de l’humour à la française) – le site d’investigation Reflets dénonçait ainsi récemment le cas du site Libération, dont l’annonce spectaculaire du retrait total des traceurs dissimulait en réalité un simple trucage d’URL, ouvertement revendiqué par la Data Management Platform sous-traitante dudit journal. Et vous trouvez ça drôle ? Il faut reconnaître qu’on voit difficilement, à ce jour, de quels financements pourront se prévaloir les sites éditoriaux lorsque l’application du « vrai » consentement RGPD sera exigée, sans tomber dans le pur financement d’Etat ni le pur « mécénat » privé, également contestables en démocratie. Peut-être le marché s’adaptera-t-il, une donnée qualifiée, devenue plus rare, devenant plus chère ; peut-être un tout autre modèle émergera-t-il, pour l’heure encore inconnu.

En attendant, la patate chaude revient à notre juriste maussade. Le projet de règlement e-Privacy (encore lui) a été amendé, dans sa dernière version, pour indiquer que les cookies utilisés par les sites dont le modèle économique dépend directement de la monétisation de données relatives à leurs internautes (tels que ceux de la presse en ligne) peuvent être considérés comme « nécessaires à la fourniture d’un service à la demande de l’utilisateur », et, à ce titre, non pas exemptés de consentement, mais du moins sujets à un consentement simplifié. Une évolution audacieuse, quand on sait que le CEPD excluait clairement, il y a peu, l’application de la base légale de l’article 6.1.b) du GPDR à de tels cas de nécessité « financière ». Rira bien qui rira le dernier ?

Au fait, savez-vous pourquoi les cookies s’appellent cookies ? La théorie la plus répandue voudrait qu’il s’agisse d’une référence aux magic cookies, aussi appelés fortune cookies, qui contiennent, à l’instar de ceux qui nous intéressent, de courts messages textuels sibyllins ; ils auraient été ainsi baptisés par d’anciens programmeurs Unix. Même cette histoire n’est pas très drôle, finalement – alors on va compter sur vous : si vous avez une vraie bonne blague sur les cookies, vous savez où nous écrire ; nous publierons la meilleure dans la prochaine Maj.

Le Gif de la semaine


À la semaine prochaine, sans craquer sous la pression !