La Maj d'

La newsletter d'actu techno-juridique : tous les mardis matin à 9h, faites la mise à jour !

En cliquant sur “S’abonner”, vous consentez à recevoir la newsletter d’Aeon (la “Maj”) chaque mardi matin à l’adresse email que vous avez indiquée. Les données saisies dans les champs ci-dessus nous sont nécessaires pour vous adresser la Maj par l’intermédiaire de notre prestataire MailChimp, et ne sont utilisées qu’à cette fin.

Vous consentez également à ce que MailChimp collecte, par l’intermédiaire d’un traceur placé dans l’email contenant la newsletter, des informations relatives à l’ouverture de cet email et à votre lecture de la Maj. Ces informations ne sont utilisées par Aeon qu’aux fins d’améliorer la Maj et son contenu, et ne sont partagées avec aucun tiers hormis le prestataire MailChimp.

Si vous souhaitez lire la Maj sans que ces informations soient collectées, notez que vous pouvez la retrouver à tout moment à cette adresse aeonlaw.eu/maj. Vous pouvez également vous abonner au flux RSS de cette page pour être averti de chaque nouvelle Maj dès sa parution, en cliquant ici !

Pour plus d’informations, consultez la Politique de Confidentialité d’Aeon en cliquant ici.

Celle qui remonte la pente – Maj du 05/05/20

L'actu en bref

Cette semaine, on continue à être submergé de news COVID-19, dont les premières concernent toujours votre nouvelle série à rebondissements de l’été, le développement de StopCovid : alors que l’inventeur du Bluetooth se désole de le voir utilisé à des fins de traçage et que la CNCDH s’est fendue d’un avis très critique, StopCovid est désormais annoncée pour fin mai/début juin, a été détachée du projet de loi de prorogation de l’état d’urgence sanitaire (dont le texte, refusé lors d’un vote symbolique par le Sénat, est ici) et fera finalement l’objet d’un débat et d’un vote spécifiques. L’autre polémique de la semaine, c’est ce site “Désinfox” lancé par le gouvernement pour trier le vrai du faux dans les contenus sur le COVID-19 : la presse n’a pas tardé à vertement critiquer cette initiative qui pourrait très vite tomber dans la dérive dystopique de contrôle de l’information – la réaction de Libé, LeMonde.fr ou encore le Figaro (qui a connu une importante fuite de données), la réponse du gouvernement. Également une semaine intense dans le monde judiciaire, pourtant toujours à l’arrêt, comme le déplore la CNCDH et le constate le Sénat (p.45) – l’expérience de la reprise chez nos voisins belges n’est d’ailleurs pas heureuse : le Conseil d’État a rendu sa première décision pro-demandeurs depuis le début de la crise, enjoignant au gouvernement de préciser que le vélo est autorisé – l’interdiction avait été prononcée via Twitter par le Ministère de l’Intérieur ; la plainte de Molotov devant l’ADLC contre TF1 et M6 a été rejetée ; la Quadrature du net s’attaque aux drones de la préfecture de Paris et le navigateur Internet Brave aux États membres européens pour défaut de moyens accordés aux diverses CNIL – lire leur rapport sur le sujet. Pour clore la section COVID-19, notons que la pandémie touche aussi le secteur des startups, et notamment Lyft, Uber, Tripadvisor ou encore Deliveroo qui annoncent toutes d’importants licenciements, et que le gouvernement a refusé le chômage partiel à Amazon France (considérée par les États-Unis comme étant un marché notoire de contrefaçon). On note également une levée de 2 millions d’euros dans la legaltech par Séraphin Legal ; le veto de la vente du <.org> à un fonds d’investissement par l’ICANN ; et le refus par l’office américain des brevets d’accorder un brevet à une IA, dans la lignée de la solution européenne. On se quitte sur deux moyens de perdre votre temps grâce à l’IA : soit en vous perdant dans ces memes qui n’existent pas, soit en écoutant ces chansons entièrement générées par une machine.

Faites la Maj de chez vous, et à la semaine prochaine !

Si je te donne un cookie, je vais devoir en donner à tout le monde également“. Qui n’a jamais entendu cet argument dans la bouche d’une personne en position d’accepter ou refuser un quelconque bienfait – et n’en a senti, sur le moment, le caractère quelque peu arbitraire, en tous cas très discutable ? Il s’agit en effet d’une itération de l’argument dit de la pente glissante (ou slippery slope argument, si vous préférez la version sans sous-titres), généralement reconnu, en logique, comme un cas de raisonnement fallacieux : le problème est ici que l’on se refuse à voir la possibilité d’une ou plusieurs positions médianes entre un simple état de fait A (je te donne un cookie) et un autre état de fait B, assorti de conséquences intolérables (je me retrouve moralement voire juridiquement obligé à reproduire le même geste envers une quantité virtuellement illimitée de personnes).

L’exemple est grossier, en tous cas badin, on vous l’accorde. Il est pourtant symptomatique d’un certain type de rapport au monde, plus particulièrement au droit, et plus particulièrement encore au droit de la protection des données à caractère personnel et de la vie privée, dont l’actualité nous fournit quelques exemples.

Le malade et le mobile

En premier lieu, l’utilisation d’outils dits de “traçage” (souvent de manière assez impropre et excessivement anxiogène, lorsque ces outils reposent en réalité entièrement sur un stockage de l’information en local) dans le cadre de la lutte contre le développement de l’épidémie de Covid-19 : un argument régulièrement soulevé contre cette utilisation tient à l’accumulation de potentialités indésirables et mal maîtrisées tels que la surveillance d’employés par leurs employeurs, ou pire encore de citoyens par l’Etat et ses administrations.

Indésirables, nous ne le nions pas qu’elles le soient, ces potentialités ; mal maîtrisées, c’est déjà moins certain, et à cet égard le discours en question se fait souvent moins prolixe – ne pouvons-nous pas nous montrer imaginatifs dans la création de remparts techniques et sociaux (chinese walls) suffisamment étanches pour endiguer le partage des données avec ceux-là mêmes qui pourraient (selon nous) en mésuser ? Telle serait une position médiane entre l’état de fait A (la mise en œuvre d’une application de traçage) et l’état de fait B (constitué plus exactement d’une multiplicité de situations redoutées), qui permettrait de réaliser le premier sans nécessairement subir le second : il s’agit, en somme, de placer une cale dans la pente.

Autre exemple, lié cette fois aux mobilités (celles que nous retrouverons bientôt, avec un plaisir jamais aussi grand), aux données qu’elles génèrent, et à l’utilisation de ces données dans le cadre de projets souvent dits de “villes intelligentes”. Ces projets s’appuient en effet dans une large mesure sur la collecte de données détenues initialement par d’autres acteurs que la ville, tels que les prestataires de services de mobilité, et la réutilisation de ces données. Plus avancés outre-atlantique, certains de ces projets ont donné lieu à une levée de boucliers de la part d’acteurs agitant le spectre d’une société de la surveillance, renforcée par la captation de données de mobilité en temps réel.

Ici encore, il n’est pas question de nier la tendance croissante de l’utilisation de nouvelles technologies à des fins de surveillance. Cependant, comme en vérité n’importe quel autre argument, trop en user, c’est l’abîmer, ou du moins prendre le risque d’en diminuer le crédit. En l’occurrence, la position qui voudrait qu’au nom de cet argument soient systématiquement récusés tous projets impliquant la collecte de données de mobilité par une entité publique fait fi de bien des considérations intermédiaires : de quelles données de mobilité parle-t-on, tout d’abord ? Toutes ne sont pas aussi directement identifiantes. Est-il si radicalement impossible, ensuite, d’imaginer et mettre en œuvre des mesures organisationnelles aptes à réserver ces données à certains usages légitimes, tout en empêchant, par exemple, les services de police d’y avoir accès en l’absence d’une autorisation émise par l’autorité judiciaire ?

Toutes ces questions n’admettent de réponse, il est vrai, qu’au cas par cas. Or, c’est bien là le point qui devrait mettre en échec toute tentative de céder aux analyses de type “pente glissante” : le réel n’étant pas binaire, et admettant ordinairement une infinité de solutions intermédiaires, toute la beauté du jeu consiste à rechercher ces dernières pour ne pas fermer la porte à des états de fait positifs, innovants. Dans ce jeu, il est évident que le juriste a sa carte à jouer.

Prévenir n’est pas s’abstenir

Que dit le droit, précisément ? On serait tenté de répondre, à ce stade, que ce que nous avons jusqu’ici présenté comme “argument de la pente glissante” n’est en vérité qu’un vilain nom pour ce qu’il est autrement coutume d’appeler principe de précaution. Nous ne le croyons pas – ou alors, c’est au prix d’une dénaturation du second, de son contenu juridique du moins.

L’argument de la pente glissante a en effet pour conséquence une abstention quant à l’état de fait A, de peur de déclencher l’état de fait B : ne pas utiliser d’application de “traçage” ; ne pas laisser les villes collecter de données de mobilité. Le principe de précaution, à bien y regarder, ne dit pas exactement la même chose : que ce soit dans son expression internationale (la première, dans le principe 15 de la déclaration de Rio de 1992 : “pour protéger l’environnement, des mesures de précaution doivent être largement appliquées par les Etats selon leurs capacités. En cas de risque de dommages graves ou irréversibles, l’absence de certitude scientifique absolue ne doit pas servir de prétexte pour remettre à plus tard l’adoption de mesures effectives visant à prévenir la dégradation de l’environnement“) ou dans son expression nationale, constitutionnelle (article 5 de la Charte de l’environnement : “lorsque la réalisation d’un dommage, bien qu’incertaine en l’état des connaissances scientifiques, pourrait affecter de manière grave et irréversible l’environnement, les autorités publiques veillent, par application du principe de précaution et dans leurs domaines d’attributions, à la mise en œuvre de procédures d’évaluation des risques et à l’adoption de mesures provisoires et proportionnées afin de parer à la réalisation du dommage“), le principe de précaution n’invite pas à l’abstention, encore moins à l’inaction, mais bien, précisément, à l’adoption de mesures appropriées face aux risques, a fortiori lorsque ces derniers sont encore mal identifiés voire inconnus.

Le Règlement Général sur la Protection des Données, on ne se lasse pas de le rappeler, ne dit pas autre chose chose : son paradigme n’est pas celui de l’interdiction (si ce n’est à l’égard des données sensibles, mais la longue liste d’exceptions au principe vient largement tempérer ce constat) mais celui de la mitigation des risques. Bien peu de projets (pour ne pas dire aucun) devraient ainsi être entièrement abandonnés pour une “simple raison de RGPD” : comme la contrainte stimule l’imagination, il faut au contraire penser les mesures qui rendront le projet à la fois utile, efficace et légalement (et socialement) acceptable.

Il y a là, il est vrai, un exercice souvent plus dur (d’autant plus dur qu’il nécessite de se confronter à une contradiction parfois véhémente pour enrichir et affiner le projet ou l’outil concerné) que la posture consistant à se replier entièrement derrière des craintes générales et catégoriques. Le récent avis de la CNIL sur le projet d’application StopCovid, qui a surpris plus d’un praticien de la protection des données par son approche “ouverte quoique mesurée”, témoigne cependant de la pertinence de cette voie.

Ce qu'on lit cette semaine

"Covid-19 : sommes-nous devenus trop intolérants au risque ?" via Usbek & Rica : où l'on se demande ce qui est différent cette fois. #coronavirus #riskassessment #justeunegrippe
"« L’Etat n’est pas l’arbitre de l’information »" via LeMonde.fr : où l'on se demande s'il est bien raisonnable de distinguer le vrai du faux. #désinformation #censure #pravda
"How Well Can Algorithms Recognize Your Masked Face?" via Wired : où l'adoption du masque peut résoudre d'autres problèmes. #vidéosurveillance #reconnaissancefaciale #vengeurmasqué
"Why voting online is not the way to hold an election in a pandemic" via The Economist : où le confinement ne doit pas pousser à tout numériser. #voteélectronique #démocratie
"Silicon Valley is racing to build the next version of the Internet. Fortnite might get there first." via Washington Post : où l'on cherche le web 5.0. #internet #fortnite #metaverse

Le Gif de la semaine

À la semaine prochaine, avec un retour à la pêche !