Shower Thoughts


Les questions qu'on se pose sous la douche,
et les réponses qu'on leur donne autour d'un café

Qu’est-ce que l’Internet Literacy, et pourquoi s’en soucier ?


Le sujet brûlant des fake news, devenu si actuel et problématique qu’il a fini par provoquer une réponse des institutions européennes en la forme d’une consultation publique, possible préalable à une intervention législative, a du moins le mérite d’avoir (re)mis en lumière le constat suivant : Internet, objet multimédia (mais majoritairement textuel), parce qu’il présente des codes complexes qui lui sont propres (des mèmes, des protocoles, des manières de présenter l’information tenant à sa structure en hyperliens, etc.), fait courir le risque permanent, pour celui qui ne maîtrise pas ces éléments de langage, de se laisser piéger, malicieusement ou non.

De ce point de vue, l’époque semble appeler à une revalorisation de ce concept (déjà) un peu désuet qu’est l’Internet Literacy (ou Digital Literacy) : popularisée vers la fin des années 2000 par la publication d’un handbook du Conseil de l’Europe, la notion désigne, en somme, cette capacité à lire Internet, pour y naviguer de façon raisonnée et sécurisée, dont la possession constitue à l’évidence un atout de plus en plus décisif.

Les illustrations sont nombreuses, et extrêmement quotidiennes : savoir formuler une requête efficace sur un moteur de recherche ; savoir identifier un lien suspect sans l’ouvrir ; savoir mettre à profit les forums “techniques” pour comprendre et résoudre un problème logiciel ; savoir se poser les bonnes questions sur l’origine humaine ou automatisée de certains contenus… Elles font apparaître une variété d’enjeux tout aussi importante, de la protection de la vie privée jusqu’à la compétitivité d’un travailleur, d’une entreprise, voire d’une économie.

Ces compétences, bien que valorisées, sont paradoxalement souvent reléguées à l’autodidactisme et à la “culture geek” ; plus discrètes, moins impressionnantes que le code, il n’a, à notre connaissance, jamais été sérieusement envisagées de les enseigner. Se joue là cependant, à l’évidence, une part cruciale des réponses à bon nombre de sujets qui nous préoccupent, dont il serait judicieux de se saisir à un niveau plus qu’individuel : le droit, c’est après tout, aussi, ce qui détermine le contenu des programmes scolaires…

Des débuts prometteurs

Qu’est-ce que la “responsabilité de plein droit” du e-commerçant ?


L’article 15 de la loi pour la confiance dans l’économie numérique prévoit que “[le e-commerçant] est responsable de plein droit à l’égard de l’acheteur de la bonne exécution des obligations résultant du contrat, que ces obligations soient à exécuter par [lui]-même ou par d’autres prestataires de services, sans préjudice de son droit de recours contre ceux-ci. Toutefois, [il] peut s’exonérer de tout ou partie de sa responsabilité en apportant la preuve que l’inexécution ou la mauvaise exécution du contrat est imputable, soit à l’acheteur, soit au fait, imprévisible et insurmontable, d’un tiers étranger à la fourniture des prestations prévues au contrat, soit à un cas de force majeure.

La responsabilité “de plein droit” s’oppose classiquement à la responsabilité “pour faute”, en matière par exemple de responsabilité des parents du fait de leurs enfants depuis le fameux arrêt Bertrand de 1997. Est-ce à dire que le e-commerçant est systématiquement tenu d’une obligation de résultat ? La solution ferait frémir, et pour cause : dans le cas de services fournis en ligne, elle imposerait d’indemniser l’utilisateur dès lors que ces services sont temporairement inaccessibles, par exemple pour motif de maintenance.

Fort heureusement, tel n’est pas le sens de la responsabilité de plein droit, laquelle a trait non pas à la nature des obligations (de moyens ou de résultat), mais à l’imputation de la responsabilité qui résulte de leur inexécution, dans le souci d’une bonne indemnisation de la personne lésée : comme le parent, le e-commerçant est érigé en “guichet unique”, tenu d’assurer l’indemnisation quand bien même l’inexécution aurait pour origine le comportement de son sous-traitant (de son enfant) – à charge pour lui de se retourner ensuite contre ce sous-traitant. La responsabilité de plein droit est ainsi une responsabilité “du fait de”, ayant pour objet de distinguer entre la personne cause de l’inexécution et la personne chargée de l’indemnisation.

Encore faut-il, donc, caractériser une inexécution ! Si l’obligation de continuité du service, par exemple, ne s’analyse qu’en une obligation de moyens (comme c’est le cas en général), la simple fermeture temporaire pour maintenance ne saurait constituer une inexécution ; la question de l’imputation de la responsabilité sera dans ce cas sans objet, faute précisément de fait générateur de responsabilité. Pour le e-commerçant avisé, il y a donc lieu de définir d’autant mieux, dans les conditions générales qui le lient à l’utilisateur, la nature et l’étendue de ses obligations, pour couper court dans bien des litiges à toute application du fameux article 15.

Apprenez à jongler avec les notions du droit civil pour impressionner vos amis !

Comment prononce-t-on “Aeon” ?


Vous êtes arrivé(e) sur le site, vous avez lu son nom, et donc, forcément, vous l’avez pensé, voire dit tout haut. Mais comment l’avez-vous prononcé ?

Sébastien Chabal a un avis sur la question

“Aeon” est le nom latin du dieu phénicien “Eon”, dieu du temps éternel et de la prospérité, n’ayant ni commencement ni fin. Le mot “éon”, qui en est dérivé, désigne la plus grande unité de période de temps de l’échelle géologique et évoque un avenir empli de questions insondables (et juridiques).

Tout cela est bien joli, mais encore – comment le dire ? Nouvelles tech’ obligent, nous avons choisi de nous en remettre à une intelligence artificielle : la voix de Google Translate, comme vous pouvez l’entendre ci-dessous, adopte avec bonheur la même prononciation en français et en anglais. De part et d’autre de la Manche et de l’Atlantique, tout est simple finalement : dites donc Éonne !

Peut-on échapper au risque de surveillance par l’administration américaine ?


La surveillance des communications électroniques par le gouvernement des Etats-Unis a pour fondement légal le Foreign Intelligence Surveillance Act tel qu’amendé par le Patriot Act en 2001 à la suite des attaques du 11 septembre, ses modifications ultérieures ainsi que tout dernièrement par le USA Freedom Act de 2015. On retrouve aujourd’hui les dispositions pertinentes codifiées à l’article 1881 du Code des Etats-Unis.

Ce corpus législatif autorise le gouvernement américain à surveiller (selon certaines conditions et avec certaines limitations) les communications électroniques entre les Etats-Unis et l’étranger. Les autorités américaines peuvent ainsi enjoindre à toute société située sur le sol américain de lui donner accès aux informations et données dont elle aurait connaissance et qui transiteraient de l’étranger vers les Etats-Unis ou, inversement, des Etats-Unis vers l’étranger.

C’est notamment dans ce cadre que le programme PRISM de la NSA, révélé par Edward Snowden, a été développé, lequel a permis aux autorités américaines d’avoir accès à une quantité massive de données sur les citoyens et entreprises européens.

La problématique de la surveillance gouvernementale se fait particulièrement ressentir à l’occasion des prestations de services en cloud dont le principe de fonctionnement suppose le transfert des données de l’utilisateur vers les serveurs du prestataire. Ces serveurs peuvent se trouver à plusieurs endroits du globe mais sont assez fréquemment localisés aux Etats-Unis. Or, comme précédemment énoncé, dès qu’une donnée passe, même temporairement, par un serveur américain, celle-ci est susceptible d’être interceptée par les autorités américaines.

Dans les faits, il est très difficile d’échapper au risque de la surveillance des Etats-Unis dans la mesure où même si des données sont hébergées et stockées sur des serveurs européens, elles sont toujours susceptibles de transiter sur un serveur situé sur le sol américain, par exemple à l’occasion de services de maintenance à distance ou de sous-traitance d’opérations.

Le caractère tentaculaire de la loi encadrant la surveillance américaine et la circonstance que tous les leaders du numérique soient américains est une des raisons pour lesquelles l’Union Européenne tente désespérément de créer des conditions favorables à l’émergence d’un cloud 100% européen. Dans l’attente de l’émergence d’un tel service, peu de mesures concrètes et efficaces peuvent être prises pour échapper à la possibilité que des informations stratégiques et confidentielles terminent dans des mains autres que celles de leurs destinataires souhaités.

Comment lutter contre une telle compétence ?

“Smart cities” : quel impact du GDPR sur les règles de la commande publique ?


L’exemple édifiant du premier “quartier connecté” commandé à Alphabet, société du groupe Google, par la ville de Toronto, interroge de façon plus générale sur la prise en compte de la réglementation des traitements de données à caractère personnel dans le cadre des marchés publics : les projets de smart cities, même de moindre envergure, mobilisent en effet par définition un grand nombre de ces traitements, visant par exemple à optimiser les flux de circulation automobile ou la distribution de l’énergie (smart grids).

Au regard des catégories historiques de la réglementation (reprises pour l’essentiel dans le nouveau règlement général sur la protection des données), l’Etat ou la collectivité territoriale qui est à l’initiative d’un tel projet sera de toute évidence désigné comme responsable des traitements mis en oeuvre (éventuellement de façon conjointe avec la ou les société(s) prestataire(s)). Il en découle, pour ce responsable, l’obligation de s’assurer (et de pouvoir démontrer) que le projet est bien conforme aux exigences de la protection des données à caractère personnel ; en particulier, il s’agira, au titre de l’obligation de privacy by design et by default, d’opter constamment pour les solutions les plus respectueuses de cette protection.

Du point de vue des procédures de la commande publique, cela signifie prendre en compte ces aspects réglementaires depuis la détermination des critères de mise en concurrence jusqu’au choix final du prestataire et de son projet : toutes choses égales par ailleurs, ce choix ne pourra ainsi porter que sur le projet le plus protecteur, à savoir notamment le plus économe en traitements et le plus sécurisé. Pour satisfaire par ailleurs au principe de transparence et d’accountability, il conviendra donc d’accorder une importance toute particulière à la rédaction d’un volet “Données personnelles” du cahier des charges – davantage en tous cas que ne l’ont fait, outre-atlantique, les commanditaires torontois (voir l’annexe C de l’appel d’offres publié)…

Quant au prestataire candidat, il va sans dire que la compliance représente ici encore, dans son intérêt, un argument commercial décisif.

Et le GDPR dans tout ça ?

Quelle condition de licéité pour les traitements automatiques de données personnelles réalisés par les serveurs ?

En discuter
3 commentaires

Tout traitement de données personnelles doit être fondé sur une condition de licéité (article 7 de la LIL, article 6 du RGPD). Tout traitement ? Un traitement pourtant universel résiste peut-être encore et toujours à l’envahisseur (le droit de la protection des données personnelles). Or, l’article 13 du GDPR impose au responsable de traitement, au titre de son obligation d’information, de clairement indiquer les bases légales de tous les traitements effectués. Afin d’assurer une conformité totale au GDPR, il est donc essentiel de déterminer la condition de licéité applicable à ce traitement récalcitrant.

Le traitement en question face au droit des données personnelles

Afin d’expliquer ce dont il retourne, il est nécessaire de revenir aux fondamentaux du fonctionnement du web : lorsque vous tentez d’accéder à une URL, https://aeonlaw.eu par exemple, vous envoyez une requête HTTP au serveur hébergeant le site en question. Cette requête contient plusieurs paramètres, qui sont automatiquement envoyés par votre navigateur et automatiquement enregistrés par le serveur destinataire de la requête pour traitement de celle-ci. Parmi ces paramètres, votre adresse IP, votre système d’exploitation, la version de votre navigateur Internet, et bien entendu, des métadonnées telles que la date et l’heure exacte (à la seconde près) de votre requête. Or, l’on sait que l’adresse IP est généralement considérée comme une donnée personnelle. C’est a fortiori le cas lorsqu’il est possible d’obtenir l’identité d’une personne auprès des fournisseurs d’accès à Internet, comme en France. Ainsi, tout site Internet que vous visitez collecte automatiquement certaines données qui peuvent permettre de vous identifier. La question est donc : quelle condition de licéité pour ces traitements automatiques réalisés par des serveurs ?

Il n’y a en effet ni consentement (qui doit être explicite et éclairé), ni contrat (puisque vous n’avez pas encore accédé au site), qui sont les deux options les plus courantes. Reste ainsi l’intérêt légitime du responsable de traitement. Cela pourrait se tenir (après tout, le traitement est automatique et nécessaire à l’accès au site), si ce n’est que le responsable du traitement n’est pas si facile à déterminer que cela : en effet, dans beaucoup de cas, l’éditeur du site n’est pas le propriétaire du serveur, qui appartient plutôt à un prestataire d’hébergement. Celui-ci contrôle son serveur de manière autonome, notamment en ce qui concerne la durée de conservation de ces données. Ainsi, à la question de la condition de licéité applicable à ces traitements s’ajoute celle de savoir qui est le responsable du traitement : une fois n’est pas coutume, cette Shower Thought se conclut donc sans réponse mais avec encore plus de questionnements.

Vous à la fin de cette Shower Thought

Pourquoi la neutralité du net importera plus qu’on ne le pense ?


Ces deux dernières années, Elon Musk s’est fortement positionné dans la marche vers l’humanité augmentée en annonçant la création de Neuralink, société dont l’objectif affiché est de créer la première interface homme-machine. Par delà toutes les problématiques éthiques qu’une telle technologie est susceptible de susciter, notamment au regard de son accessibilité, l’on peut anticiper que dans l’hypothèse où elle verrait le jour, la neutralité du net jouerait un rôle clef dans la préservation de l’égalité entre les individus.

La raison est simple : si l’humanité est effectivement destinée à améliorer ses capacités cognitives grâce à l’échange d’information sur Internet, l’inégalité dans la vitesse de connexion aura un impact direct sur ces capacités. Certains auront accès à une bande passante élevée et pourront tirer profit de toute l’amélioration cognitive possible, alors que d’autres, avec une connexion moins rapide, seront limités dans leur “intelligence“.

Cet argument peut également être étendu à toute amélioration humaine non cognitive qui nécessiterait un accès à Internet.

De l’intérêt, donc, d’ériger le principe de neutralité du net en droit fondamental. Encore pouvons-nous nous réjouir de vivre en France où la loi pour une République numérique du 7 octobre 2016 a montré qu’on y était à tout le moins sensible.

Aujourd’hui les robots, demain les humains ?

Les bandeaux cookies seront-ils bientôt has been ?


La proposition de règlement “Vie privée et communications électroniques” présentée le 10 janvier 2017 par la Commission européenne prévoit de nouvelles règles en matière de cookies et techniques de traçage assimilées, inspirées, de l’aveu même du législateur unioniste, par un souci de simplification de la conformité. Les principaux éléments de cette réforme trouvent leur siège respectif dans l’article 9.2 de la proposition, précisant que le consentement de l’utilisateur au stockage et à la lecture des cookies peut être valablement donné (et partant, prouvé) au moyen de réglages appropriés du logiciel de navigation de cet utilisateur, et dans son article 10, imposant aux éditeurs de tels logiciels d’afficher une information circonstanciée relativement aux cookies.

D’emblée la question se pose donc : les éditeurs de sites pourront-ils, si ce régime est adopté, se dispenser du fameux “bandeau cookie”, généralisé en pratique depuis la directive 2009/136/CE, laquelle a érigé le consentement préalable de l’utilisateur en principe pour une grande majorité des cookies ?

Rien n’est moins sûr. D’abord, cette possibilité de consentir par le biais des réglages d’un navigateur n’est pas si nouvelle – en France, du moins, où le législateur l’a prévue, à l’article 32.II de la loi “Informatique & Libertés”, depuis l’ordonnance n° 2011-1012 du 24 août 2011 transposant la directive de 2009 précitée ; la CNIL n’en a pas moins, pour autant, persisté à recommander l’usage des bandeaux, dans sa fameuse délibération du 5 décembre 2013.

D’autre part, les services émetteurs de cookies demeureront responsables en cas de dépôt ou de lecture de cookies sans consentement valable, là où ce consentement est légalement imposé. Dès lors, s’en remettre intégralement, à cet égard, aux réglages et à l’information prévus par des éditeurs de logiciels, personnes tierces dont rien ne permet a priori de présumer de la conformité aux yeux des autorités de contrôle, et avec lesquels, surtout, aucune forme de garantie n’est contractée, peut représenter un risque non maîtrisé. Quitte à jouer “ceinture et bretelles”, le bandeau cookie a donc sans doute encore de beaux jours devant lui…

L’Armure de la Conformité (vue d’artiste)

Conditions de licéité et finalités du traitement de données personnelles, quelles différences ?


Le RGPD, à l’instar de la Loi informatique et libertés, prévoit une liste limitative de conditions auxquelles un traitement de données personnelles peut être licite. L’article 6 du RGPD, applicable à partir du 25 mai 2018, précise ainsi 6 conditions alternatives, parmi lesquelles la première est le consentement de la personne dont les données sont traitées. Parmi les autres conditions de licéité, le RGPD considère notamment que sera licite un traitement nécessaire “à l’exécution d’un contrat auquel la personne concernée est partie“, “au respect d’une obligation légale“, “à la sauvegarde des intérêts vitaux de la personne concernée“, “à l’exécution d’une mission d’intérêt public” ou encore “aux fins des intérêts légitimes poursuivis par le responsable du traitement“.

Force est de constater que la différence entre ces conditions de licéité du traitement de données personnelles et les finalités de ce traitement semble ténue. Il sera rappelé qu’un traitement licite est en effet effectué dans le but d’atteindre des finalités délimitées par le responsable de traitement. Or, les conditions de licéité alternatives au consentement paraissent toutes se confondre avec la finalité du traitement qu’elles permettent de rendre licite : le traitement de données personnelles effectué aux fins des intérêts légitimes poursuivis par le responsable du traitement est licite de part sa finalité même, les fins des intérêts légitimes poursuivis par le responsable du traitement.

In fine, il y a évidemment une distinction, en ce que la finalité doit être beaucoup plus précise que la condition de licéité. Il est cependant possible de considérer que les conditions de licéité constituent des catégories de finalités, le raisonnement intervenant en deux temps : (i) définir la finalité, et (ii) en déduire la condition de licéité applicable.

La réconciliation entre finalités et conditions de licéité

Peut-on confisquer un site Internet ?


L’article 131-21 du Code pénal précise que la peine complémentaire de confiscation “porte sur tous les biens meubles ou immeubles, quelle qu’en soit la nature, divis ou indivis, ayant servi à commettre l’infraction ou qui étaient destinés à la commettre, et dont le condamné est propriétaire ou, sous réserve des droits du propriétaire de bonne foi, dont il a la libre disposition“. Dans les cas d’infractions pénales commises sur Internet, toujours plus nombreux et variés, certaines composantes du site Internet (en particulier son nom de domaine) peuvent à l’évidence être qualifiées de “biens meubles [immatériels] ayant servi à commettre l’infraction“.

Dès lors, la loi pénale, bien que d’interprétation stricte, ne paraît en rien exclure la confiscation, notamment, du nom de domaine d’un site illicite. Compte tenu du champ d’application de cette peine complémentaire (“de plein droit pour les crimes et pour les délits punis d’une peine d’emprisonnement d’une durée supérieure à un an, à l’exception des délits de presse“), celle-ci pourra être prononcée, par exemple, à l’égard d’un site constitutif d’une usurpation d’identité numérique (article 226-4-1 du Code pénal) ou encore d’un site diffusant de la contrefaçon (articles L. 335-2 du Code de la propriété intellectuelle).

La partie civile ou le ministère public pourraient y trouver une véritable utilité, soit que ce nom de domaine désigne nommément la victime pour lui causer du tort (usurpation d’identité numérique), soit qu’il constitue un point de ralliement bien connu pour un certain public (diffusion de contrefaçon).

Saisir l’immatériel : c’est plus simple en droit

Nous n'avons plus de Shower Thoughts supplémentaires à vous montrer !