Messages les plus consultés

lundi 31 juillet 2017

Après le Parlement européen, le CESE publie un avis sur l’intelligence artificielle (IA)


Après les recommandations sur la robotique, émises par le Parlement européen en février dernier (1), le Comité économique social et européen (CESE) vient de se prononcer sur ce sujet dans un avis publié le 31 mai 2017. (2)

L’intelligence artificielle (IA), comme toutes les technologies de rupture, présente de multiples avantages dans de nombreux domaines (industrie, services, éducation, etc.), mais pose également des risques et des défis en matière de sécurité, de contrôle des robots intelligents et de l’IA, ainsi qu’en matière d’éthique et de protection de la vie privée, sans oublier les impacts sur la société et l’économie.


IA et enjeux de société

Le CESE a relevé onze domaines dans lesquels l’IA soulève des enjeux de société et pour lesquels des réponses doivent être apportées : l’éthique ; la sécurité ; la vie privée ; la transparence et l’obligation de rendre des comptes ; le travail ; l’éducation et les compétences ; l’(in)égalité et l’inclusion ; la législation et la réglementation ; la gouvernance et la démocratie ; la guerre ; la superintelligence.


IA et travail : la seconde ère du machinisme

Le CESE se penche également sur l’incidence de l’IA sur le travail, à savoir, l’emploi, les conditions de travail et les régimes sociaux. Selon Erik Brynjolfsson et Andrew McAfee, professeurs à MIT et auteurs de “The Second Machine Age”, il existe une différence majeure entre la première et la seconde ère du machinisme. La première ère du machinisme a consisté dans le remplacement de la force musculaire (animale, humaine) par les machines. Les répercussions ont porté principalement sur les travailleurs manuels et peu qualifiés. Or avec la seconde ère du machinisme, tous les secteurs de l’industrie et de l’économie sont concernés. Les machines “intelligentes” développent des compétences cognitives et peuvent réaliser des prestations intellectuelles. Ainsi, les répercussions porteront non seulement sur les travailleurs peu qualifiés, mais aussi sur les travailleurs diplômés.

De nombreuses catégories d’emplois, aujourd’hui tenus par des humains, devraient disparaître dans les décennies à venir, au profit de robots plus ou moins intelligents et plus ou loins autonomes. Toutefois, de nouveaux emplois devraient voir le jour, bien que l’on ne soit pas en mesure aujourd’hui de prédire leur nature ou leur nombre. En conséquence, l’un des points fondamentaux sera de permettre au plus grand nombre d’acquérir et de développer des compétences numériques.


IA et réglementation

Un autre point abordé par le CESE concerne la réglementation. Le Comité a d’ores et déjà identifié 39 règlements, directives, déclarations et communications qui devront être révisés ou adaptés par l’UE, ainsi que la Charte européenne des droits fondamentaux pour prendre en compte l’IA.


Des préconisations communes à celles du Parlement européen

Certaines des préconisations du Comité rejoignent celles émises par le Parlement européen. Le CESE préconise notamment :

    - l’instauration d’un code européen de déontologie pour le développement, le déploiement et l’utilisation de l’IA, “afin que les systèmes d’IA demeurent, tout au long de leur processus d’exploitation, compatibles avec les principes de dignité humaine, d’intégrité, de liberté, de respect de la vie privée, de diversité culturelle et d’égalité entre hommes et femmes, ainsi qu’avec les droits fondamentaux”. Ainsi, les questions éthiques concernant le développement de l’IA doivent être abordées. Les systèmes d’IA doivent être développés et déployés “dans les limites de nos normes, valeurs et libertés fondamentales et des droits de l’homme”. Ces règles devraient s’appliquer, de manière uniforme, à l’échelle mondiale ;

    - la mise en place d’un système européen de normalisation pour la vérification, la validation et le contrôle des systèmes d’IA, fondé sur des normes de sécurité, de transparence, d’intelligibilité et d’obligation de rendre des comptes. Le Comité reconnaît que la robotique doit être réglementée au niveau pan-européen, notamment pour des raisons concurrentielles sur le marché mondial.


Mais une divergence de fond sur le statut juridique du robot

Enfin, et contrairement au Parlement européen, le Comité se prononce contre la création d’une personnalité juridique spécifique pour les robots. Le CESE prône une approche dite “human-in-command” de l’IA, reposant sur un développement responsable, sûr et utile de l’IA, dans le cadre duquel “les machines resteraient les machines, sous le contrôle permanent des humains”. Pour le CESE, une personne physique devra toujours rester responsable en dernier ressort.


     Le Comité économique social et européen, en qualité de représentant de la société civile européenne souhaite poursuivre la réflexion sur l’IA en y associant toutes les parties prenantes concernées dans les domaines de la politique, de l’économie et de l’industrie, la santé et l’éducation notamment. En effet, compte tenu de la nature transverse des questions posées par l’évolution de l’IA et de ses impacts multiples sur la société, le débat doit couvrir tous les pans de la société sur lesquels l’IA est susceptible d’avoir une incidence.

                                                                      * * * * * * * * * * * *

(1) “Résolution du Parlement européen du 16 février 2017 contenant des recommandations à la Commission concernant des règles de droit civil sur la robotique” (2015/2103(INL)), et voir notre article “De la science-fiction au droit : vers un cadre juridique européen de la robotique à l’aube d’une nouvelle révolution industrielle” publié en mai 2017

(2) Avis du Comité économique et social européen “L’intelligence artificielle – Les retombées de l’intelligence artificielle pour le marché unique (numérique), la production, la consommation, l’emploi et la société”, 31 mai 2017, (INT/806 – EESC-2016-05369-00-00-AC-TRA (NL))



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juillet 2017

jeudi 20 juillet 2017

Plateformes en ligne : le Parlement européen pour une évolution de leur régime de responsabilité


Répondant à une communication de la Commission européenne du 25 mai 2016, le Parlement européen a voté, le 15 juin 2017, une résolution dans laquelle les euro-députés se sont prononcés en faveur de la responsabilisation des plateformes en ligne concernant le respect du droit d’auteur, la lutte contre les contenus illégaux, et la protection des mineurs et des consommateurs. (1)


La définition du terme “plateforme”


Les euro-députés constatent tout d’abord la difficulté de donner une définition unique de la notion de plateforme en ligne “qui soit juridiquement pertinente et à l’épreuve du temps, compte tenu de facteurs tels que la grande variété des plateformes en ligne et de leurs domaines d’activités ou encore l’évolution rapide de l’environnement numérique à l’échelle mondiale”. Les plateformes, B-to-C ou B-to-B, englobent en effet un large éventail d’activités telles que moteurs de recherche, réseaux sociaux, commerce électronique, communication et médias, paiement en ligne, etc. Il est donc difficile de créer des règles applicables aux différents types de plateformes et il semble plus approprié de les aborder de manière sectorielle.

Il existe néanmoins des caractéristiques communes aux plateformes, telles que par exemple, la possibilité de mettre en relation différents types d’utilisateurs, d’offrir des services en ligne adaptés à leurs préférences et fondés sur des données fournies par les utilisateurs, de classer ou de référencer des contenus, notamment au moyen d’algorithmes.


L’évolution du régime de responsabilité des intermédiaires

Les plateformes en ligne qui hébergent des contenus fournis par des tiers-utilisateurs bénéficient actuellement du régime de responsabilité des hébergeurs, prévu à l’article 14 de la directive du 8 juin 2000 sur le commerce électronique (2) (transposée en droit français par la loi du 21 juin 2004 pour la confiance dans l’économie numérique). (3)

En vertu de ce régime de responsabilité, les hébergeurs ne peuvent voir leur responsabilité engagée pour les contenus hébergés sur leurs serveurs que s’ils en avaient une connaissance effective, ou si après avoir été informés de leur caractère manifestement illicite, ils n’ont pas supprimé l’accès à ces contenus.

La jurisprudence a été amenée à définir les contours de la notion d’hébergeur, et plus particulièrement les cas dans lesquels leur responsabilité pouvait être engagée, à savoir, lorsque l’hébergeur (ou la plateforme) a connaissance des contenus hébergés par la notification de leur caractère manifestement illicite, par une modération de ces contenus avant leur mise en ligne, voire par une intervention sur ces contenus (référencement par exemple). (4)

Même si le régime de responsabilité spécifique des hébergeurs est adapté à l’activité des plateformes en ligne, pour autant qu’elles n’interviennent pas sur les contenus hébergés, avec le temps les plateformes ont réalisé de plus en plus d’opérations sur les contenus hébergés, afin d’améliorer leur référencement et/ou de le monétiser via des bannières publicitaires et autres actions marketing de plus en plus ciblées.

Selon les euro-députés, le développement durable et la confiance des consommateurs dans les plateformes en ligne nécessite un environnement réglementaire “efficace et attrayant”. Les euro-députés proposent alors de préciser les obligations des intermédiaires, notamment en responsabilisant les plateformes qui ne jouent pas un rôle neutre au sens de la directive du 8 juin 2000 sur le commerce électronique, qui ne pourraient plus bénéficier du régime de responsabilité aménagé.

A cette fin, les euro-députés demandent à la Commission de formuler “des orientations sur la mise en œuvre du cadre de responsabilité des intermédiaires afin de permettre aux plateformes en ligne de respecter leurs obligations ainsi que les règles relatives à la responsabilité", notamment en clarifiant les procédures de notification et de retrait de contenus et en présentant des orientations sur les mesures volontaires de lutte contre ces contenus.


Plateformes en ligne et partage de contenus culturels

L’évolution de la responsabilité des plateformes est une demande importante du Parlement notamment pour les industries culturelles et créatives, avec un renforcement des mesures de lutte contre les contenus en ligne illégaux et dangereux – une référence étant faite à la proposition de directive SMA (services de médias audiovisuels) et aux mesures pour les plateformes de partage de vidéos, concernant la protection des mineurs et le retrait des contenus associés à des discours haineux.

Par ailleurs, constatant que bien que l’on n’ait jamais autant consommé de contenus issus de la création, par l’intermédiaire de plateformes de mise à disposition de contenu par les utilisateurs  (tels que Youtube ou Dailymotion par exemple) et les services d’agrégation de contenus, les secteurs de la création ne bénéficient pas d’une augmentation de leurs revenus proportionnée à cette augmentation de la consommation.

Alors que plusieurs textes européens sont en cours d’examen au Parlement, les euro-députés souhaitent un renforcement de la sécurité juridique et du “respect envers les titulaires de droits”. Selon les euro-députés, les plateformes qui hébergent un volume important d’oeuvres protégées, mises à la disposition du public, devraient conclure des accords de licence avec les titulaires de droits correspondants, (à moins qu’elles ne soient pas actives et qu’elles relèvent du régime de responsabilité prévu à l’article 14 de la directive de juin 2000), en vue de partager avec les auteurs, créateurs et titulaires de droits correspondants une juste part des bénéfices engendrés.

De telles initiatives commencent ainsi à voir le jour, telle la plateforme de streaming musical Spotify, qui a annoncé récemment la création d'un fonds de 43 millions de dollars pour améliorer la rémunération des droits d'auteur d'artistes américains. (5)


Plateformes et algorithmes

Les euro-députés rappellent enfin l’importance de préciser les méthodes de prise de décision fondée sur des algorithmes et de promouvoir la transparence quant à leur utilisation de ces algorithmes. L’accent doit être mis sur les risques d’erreur et de distorsion dans l’utilisation des algorithmes afin de prévenir toute discrimination ou pratique déloyale et toute atteinte à la vie privée. Le Parlement demande à la Commission européenne de mener une enquête sur les erreurs possibles et l’exploitation des algorithmes et de créer des conditions de concurrence équitables pour des services en ligne et hors ligne comparables.


Bien que les résolutions ne soient pas des actes réglementaires contraignants - les résolutions ne créent pas d’obligations juridiques mais ont une valeur politique et indicative -, ce texte a pour objet de communiquer la position des députés européens à la Commission. Celle-ci s’en inspirera lors de sa proposition de révision de la directive e-commerce qui devrait intervenir dans les mois à venir.

                                                             * * * * * * * * * * * *

(1) Résolution du Parlement européen du 15 juin 2017 sur “Les plateformes en ligne et le marché unique numérique” et Communication de la Commission du 25 mai 2016 sur “Les plateformes en ligne et le marché unique numérique – Perspectives et défis pour l’Europe

(2) Directive 2000/31/CE du Parlement européen et du Conseil du 8 juin 2000 relative à certains aspects juridiques des services de la société de l'information, et notamment du commerce électronique, dans le marché intérieur («directive sur le commerce électronique»)

(3) L’article 6 I 2 de la LCEN dispose que “Les personnes physiques ou morales qui assurent, même à titre gratuit, pour mise à disposition du public par des services de communication au public en ligne, le stockage de signaux, d'écrits, d'images, de sons ou de messages de toute nature fournis par des destinataires de ces services ne peuvent pas voir leur responsabilité civile engagée du fait des activités ou des informations stockées à la demande d'un destinataire de ces services si elles n'avaient pas effectivement connaissance de leur caractère illicite ou de faits et circonstances faisant apparaître ce caractère ou si, dès le moment où elles en ont eu cette connaissance, elles ont agi promptement pour retirer ces données ou en rendre l'accès impossible.
L'alinéa précédent ne s'applique pas lorsque le destinataire du service agit sous l'autorité ou le contrôle de la personne visée audit alinéa.


(4) Voir par exemple TGI Paris, ordonnance du 15 novembre 2004, Jurisdata 2004 n°258504 ; CA Paris, 4é ch.A, 7 juin 2006, Tiscali Media c. Dargaud ; CA Paris, Pôle 5 ch.1, 2 déc. 2014, TF1 et autres c. Dailymotion

(5) “Spotify crée un fonds de 43 millions de dollars pour indemniser les artistes”, in La Tribune 30 mai 2017



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juillet 2017

jeudi 13 juillet 2017

Entrée en application du RGPD en mai 2018 : comment organiser votre mise en conformité au règlement européen ?


Le règlement général sur la protection des données (RGPD) entrera en application dans tous les pays de l’Union européenne dans moins d’un an, le 25 mai 2018. (1) Il s’agit d’une profonde réforme du droit de la protection des données personnelles qui nécessite, pour les organismes - entreprises, associations et administrations -, de prendre des mesures de mise en conformité afin d’être prêt en mai 2018. De nombreuses différences existent entre la loi Informatique et Libertés et le règlement européen. Notamment, le règlement, qui prend en compte l’évolution des technologies et des modes de traitement des données, a pour ambition de renforcer les droits des personnes concernées sur leurs données, par des règles plus claires relatives au consentement à la collecte et au traitement des données personnelles, mais aussi concernant les politiques de protection des données des entreprises.

Les organismes sont désormais soumis à un nouveau principe de responsabilité (“accountability”) applicable à la protection des données dans l’entreprise. Ce principe de responsabilité se traduit par la mise en place de procédures nouvelles, telles que la prise en compte de la protection des données dès la conception d’un produit ou d’un service (“privacy by design”), la réalisation d’analyses d’impact relatives à la protection des données lorsque le traitement est susceptible d’engendrer des risques pour les droits des personnes concernées, la tenue d’un registre des traitements et des procédures mises en place, l’obligation de notifier les violations de données personnelles (à la suite d’une faille de sécurité ou d’une cyberattaque par exemple).

Pour rappel, le montant des sanctions pour violation des dispositions du RGPD sera beaucoup plus élevé qu’actuellement, puisqu’il pourra atteindre, suivant la nature de l’infraction, entre 10 millions d’euros ou 2% du chiffre d’affaires mondial de l’entreprise, et 20 millions d’euros ou 4% du chiffre d’affaires mondial de l’entreprise…

La CNIL en France, et les membres du G29 (CNIL européennes) travaillent activement pour aider les organismes à se préparer à la mise en conformité au RGPD. La CNIL a publié un plan pour aider les organismes à s’organiser pour se préparer à la mise en conformité au RGPD. Par ailleurs, les membres du G29 ont adopté des lignes directrices dont l’objet est de préciser certaines notions nouvelles du règlement.


1. Le plan de mise en conformité préconisé par la CNIL

La Commission nationale de l’informatique et des libertés a publié un plan pour aider les organismes à préparer la mise en conformité au RGPD. (2) Celui-ci se décline en six étapes, comme suit :

    - Etape 1 : désigner un “pilote” à la conformité - CIL ou futur DPO
Compte tenu de la complexité de la mise en oeuvre de la conformité au RGPD, une personne doit être désignée pour piloter cette phase. Cette personne, - correspondant informatique et libertés (CIL), futur délégué à la protection des données (DPD ou DPO) ou conseil externe -, exercera une mission d’information, de conseil et de contrôle en interne et permettra d'organiser et coordonner les actions de mise en conformité à mener.

    - Etape 2 : cartographier les traitements de données personnelles
Pour mesurer concrètement l’impact du règlement européen sur la protection des données traitées par l’entreprise, les traitements réalisés doivent être recensés dans un registre.

    - Etape 3 : prioriser les actions à mener
Sur la base des traitements recensés, les actions de conformité à mettre en oeuvre pourront être identifiées. Ces actions seront classées par ordre de priorité, au regard des risques des traitements réalisés, sur les droits et les libertés des personnes concernées.

    - Etape 4 : gérer les risques
Si des traitements de données personnelles susceptibles d'engendrer des risques élevés pour les droits et libertés des personnes concernées ont été identifiés, une analyse d'impact sur la protection des données (DPIA) devra être réalisée pour chacun de ces traitements. A cette fin, les organismes peuvent se référer aux lignes directrices sur les analyses d’impact relatives à la protection des données pour les guider dans la mise en oeuvre de ces nouvelles procédures (voir ci-après).

    - Etape 5 : organiser les processus internes
Pour assurer un haut niveau de protection des données personnelles en permanence, des procédures internes devront être prévues. Ces procédures devront garantir la prise en compte de la protection des données à tout moment, en considérant l’ensemble des événements qui peuvent survenir au cours de la vie d’un traitement (tels que faille de sécurité, gestion des demande de rectification ou d’accès, modification des données collectées, etc.).

    - Etape 6 : documenter la conformité
Pour démontrer la conformité de l’entreprise au règlement, il conviendra de constituer et regrouper la documentation nécessaire (procédures internes, analyses d’impact, documents d’audit interne, etc.). Ces documents devront être mis à jour régulièrement.


2. Les lignes directrices élaborées par les membres du G29 au 30 juin 2017

Les membres du G29 ont publié plusieurs documents de support à la mise en oeuvre du règlement dont l’objet est de clarifier les nouveaux principes à mettre en oeuvre. Ces lignes directrices (“guidelines”) doivent accompagner les organismes dans leurs travaux de mise en conformité au RGPD. Fin juin 2017, les lignes directrices suivantes étaient publiées :

    - Lignes directrices sur les analyses d’impact relatives à la protection des données
Ces lignes directrices détaillent les types de traitements concernés par une analyse d’impact, les méthodologies existantes pour réaliser une analyse d’impact, les règles selon lesquelles une analyse d’impact doit être publiée et/ou communiquée à l’autorité de contrôle, et les règles selon lesquelles l’autorité de contrôle doit être consultée en cas de traitement potentiellement à risques.

La notion d’analyse d’impact relative à la protection des données (Data Protection Impact Assessment (DPIA) est définie à l’article 35 du RGPD. L’analyse d’impact a pour objet de décrire le traitement envisagé, évaluer la nécessité et la proportionnalité du traitement, et doit permettre de gérer les risques sur les droits et libertés des individus, générés par ce traitement de données.

L’analyse d’impact est l’un des mécanismes prévus dans le cadre de la notion de responsabilité, permettant aux responsables de traitement de se mettre en conformité et de démontrer que des mesures appropriées ont été prévues pour assurer cette conformité au règlement. Le non-respect de l’obligation de réaliser une analyse d’impact est passible, pour l’organisme fautif, d’une amende administrative pouvant s’élever à 10 millions d’euros ou 2% de son chiffre d’affaires mondial de l’année précédente.

    - Lignes directrices relatives au délégué à la protection des données
Ces lignes directrices détaillent les conditions de désignation d’un délégué à la protection des données (DPD ou DPO - data protection officer), ainsi que le rôle et les missions du DPO. La notion et les fonctions du délégué à la protection des données sont prévues aux articles 37 à 39 du règlement européen.

Dans le cadre de l’obligation générale de conformité au RGPD, certains organismes - responsables de traitement et sous-traitants, devront nommer un délégué à la protection des données. Bien que ce concept ne soit pas nouveau (cf le correspondant informatique et libertés - CIL, en France), la désignation d’un DPO n’était pas obligatoire en vertu de la directive de 1995.

Le DPO permet aux organismes d’assurer leur conformité au règlement européen (fonctions d’audit par exemple, de relais entre les différents départements de l’entreprise, avec les autorités de contrôle, et avec les personnes concernées). En revanche, comme le CIL, le DPO ne peut être tenu responsable en cas de non-conformité de l’organisme à la règlementation. Le responsable de traitement, ou le sous-traitant, reste responsable de la conformité au règlement et à sa mise en oeuvre.

    - Lignes directrices sur le droit à la portabilité des données

Ces lignes directrices définissent la notion de droit à la portabilité des données, identifient les principaux éléments de ce nouveau droit, identifient les situations quand ce droit doit s’appliquer, définissent comment les règles relatives aux droits des personnes concernées s’appliquent au droit à la portabilité des données, et enfin, définissent comment les données doivent être communiquées.

Le droit à la portabilité des données est prévu à l’article 20 du règlement européen. Contrairement au droit d’accès, prévu dans la directive de 1995, ce nouveau droit permet aux personnes concernées de recevoir les données fournies au responsable de traitement, dans un format structuré et lisible par la machine et de transmettre ces données à un nouveau responsable de traitement. Le droit à la portabilité des données sera utilisé en cas de passage d’un fournisseur à un autre, mais pas uniquement.

    - Lignes directrices sur l’autorité du chef de file

Le règlement européen crée la notion d’autorité de contrôle chef de file, pour les traitements de données transfrontaliers.

Ces lignes directrices permettent d’identifier l’autorité chef de file compétente pour les traitements de données transfrontaliers, notamment lorsque le lieu de l’établissement principal du responsable de traitement est différent de son siège européen, lorsque plusieurs sociétés sont concernées au sein d’un groupe, ou lorsqu’il y a plusieurs responsables de traitement conjoints. La situation des sous-traitants est également abordée. 

D’autres lignes directrices sont en cours d’élaboration : lignes directrices sur la certification, lignes directrices concernant la notification de violations de données personnelles, lignes directrices sur le consentement des personnes, enfin lignes directrices sur le profilage.


                                                                * * * * * * * * * * * *

(1) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD)

(2) Voir site de la CNIL

(3) Lignes directrices disponibles, en anglais, sur le site de la CNIL : Guidelines on Data Protection Impact Assessment (DPIA) and determining whether processing is “likely to result in a high risk” for the purposes of Regulation 2016/679 ; Guidelines on Data Protection Officers (“DPOs”) ; Guidelines on the right to data portability ; Guidelines for identifying a controller or processor’s lead supervisory authority


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juillet 2017

jeudi 15 juin 2017

Gérer et protéger ses données à l’ère du numérique : un impératif de bonne gouvernance pour l’entreprise

Le constat n’est plus neuf : nous vivons désormais dans une économie de la donnée (ou de l’information). Ainsi, un article récemment publié dans l’hebdomadaire The Economist était intitulé “The worlds most valuable resource is no longer oil, but data” (la ressource la plus précieuse dans le monde n’est plus le pétrole, mais la donnée). (1)

Nous vivons également dans une société du partage, où internet, les réseaux sociaux et les sites de “peer-to-peer” remettent en cause la notion de propriété, qu’il s’agisse de la propriété des données, ou la propriété intellectuelle.
 
Une grande partie des données produites ou collectées par les entreprises (données de savoir-faire, données économiques, données personnelles) reste protégée, et leur divulgation non-autorisée est sanctionnée. Toutefois, l’entreprise doit mettre en oeuvre les moyens adéquats pour que cette protection soit effective, sous peine de voir son image de marque dégradée, de perdre des marchés, ou même de voir sa responsabilité engagée en cas d’atteinte à la sécurité des données personnelles de ses salariés et clients. Or, de grands volumes de données confidentielles se retrouvent en accès libre ou à la vente sur internet. La fuite de données peut engager la responsabilité de la personne à l’origine de cette fuite (ou vol de données), mais aussi celle du responsable du traitement en cas de fuite de données personnelles.

Dans le présent article, nous identifions les différentes catégories de données protégées et les règlementations qui leur sont applicables, puis compte tenu des risques juridiques, économiques et technologiques engendrés par les fuites de données, nous rappelons la nécessité de définir et déployer une politique de gouvernance des données et de l’information au sein de l’entreprise. (2)


1. Différentes catégories de données soumises à des règlementations distinctes

Les données produites et collectées par les entreprises sont de natures diverses. Celles-ci comprennent notamment les données industrielles (informations et données relatives aux produits et services développés et commercialisés par l’entreprise, à ses procédés de production, à son savoir-faire spécifique, les brevets, les dessins et modèles), les données économiques (données financières, les marques), les données commerciales (listes de clients, contrats), enfin, les données personnelles des salariées et des clients et prospects.

Même si toutes ces données ne sont pas nécessairement protégées, l’ensemble des données de l’entreprise relèvent de son identité ou de sa spécificité et permettent de la distinguer de ses concurrentes. Plus particulièrement, dans une économie de marché, son savoir-faire lui permet de créer un avantage concurrentiel, économique et industriel, qui peut être sévèrement altéré en cas de violation de ces données.

            1.1 L’évolution de la protection juridique des secrets d’affaires

Une première catégorie de données concerne les secrets d’affaires.

La valeur, et donc la protection des secrets d’affaires, repose en grande partie sur la confidentialité.

Les secrets d’affaires sont protégés en droit français, notamment sur le fondement de la concurrence déloyale, lorsqu’il peut être démontré qu’une personne (concurrent, salarié) a utilisé des données ou informations d’une entreprise A au bénéfice d’une entreprise B, et au détriment de la première. L’entreprise A, (victime du “vol” de données) doit toutefois prouver le détournement de ses données (par exemple, son fichier clients) et pouvoir démontrer un préjudice commercial (baisse de chiffre d’affaires, atteinte à son image de marque), en lien avec le détournement de données.

Suivant le type d’atteinte en cause, des poursuites pénales peuvent également être engagées sur les fondements suivants :
            - la violation du secret professionnel (art. 226-13 du code pénal : “La révélation d'une information à caractère secret par une personne qui en est dépositaire soit par état ou par profession, soit en raison d'une fonction ou d'une mission temporaire, est punie d'un an d'emprisonnement et de 15 000 euros d’amende.”),
            - la violation du secret des correspondances (art. 226-15 : “Le fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d'en prendre frauduleusement connaissance, est puni d'un an d'emprisonnement et de 45 000 euros d'amende.
Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de divulguer des correspondances émises, transmises ou reçues par la voie électronique ou de procéder à l'installation d'appareils de nature à permettre la réalisation de telles interceptions.”),
            - l’abus de confiance (art. 314-1 : “(…) le fait par une personne de détourner, au préjudice d'autrui, des fonds, des valeurs ou un bien quelconque qui lui ont été remis et qu'elle a acceptés à charge de les rendre, de les représenter ou d'en faire un usage déterminé.
L'abus de confiance est puni de trois ans d'emprisonnement et de 375 000 euros d’amende.”),
            - l’atteinte ou le maintien frauduleux dans un système de traitement automatisé de données (STAD), (art. 323-1 : “Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 60 000 d’amende.”) (3),
            - l’usurpation d’identité numérique, par des actions de phishing par exemple, (art. 226-4-1 : “Le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15.000 d’amende.
Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne.”) (4).

Des poursuites peuvent aussi être engagées sur le fondement du vol, de l’escroquerie, de la contrefaçon (voir ci-dessous).

Cependant, la protection des secrets d’affaires est aujourd’hui imparfaite, tant en droit français, qu’à l’international. En effet, chaque pays tend à avoir sa propre définition de la notion de “secrets d’affaires” et ne leur accorde pas le même niveau de protection. Des améliorations étaient donc nécessaires.

Plusieurs propositions de lois relatives à la protection des secrets d’affaires ont été déposées en France, entre 2009 et 2015. La dernière tentative remonte au projet de loi pour la croissance (loi “Macron" (5), dans lequel un chapitre sur la protection du secret des affaires avait été proposé, sans suite.

Finalement, au niveau européen, la directive sur la protection des savoir-faire et des secrets d’affaires a été adoptée le 8 juin 2016. (6) L’objet de cette directive est d’établir une définition “homogène” du secret d’affaires, élaborée de façon à couvrir non seulement le savoir-faire, mais aussi les informations commerciales et technologiques, sous réserve de leur valeur commerciale et de l’intérêt à les garder confidentiels.

Le secret d’affaires est défini comme comprenant : “des informations qui répondent à toutes les conditions suivantes :
a) elles sont secrètes en ce sens que, dans leur globalité ou dans la configuration et l'assemblage exacts de leurs éléments, elles ne sont pas généralement connues des personnes appartenant aux milieux qui s'occupent normalement du genre d'informations en question, ou ne leur sont pas aisément accessibles,
b) elles ont une valeur commerciale parce qu'elles sont secrètes,
c) elles ont fait l'objet, de la part de la personne qui en a le contrôle de façon licite, de dispositions raisonnables, compte tenu des circonstances, destinées à les garder secrètes." (7)

La directive sur les secrets d’affaires doit être transposée dans les droits des Etats membres au plus tard le 9 juin 2018.

            1.2 Les développements et inventions protégés par le droit de la propriété intellectuelle et industrielle

Les données et informations de l’entreprise comprennent également des documents, produits et services qui font partie intégrante de son savoir-faire, et sont protégés par le droit de la propriété intellectuelle. Il peut s’agir de documents produits par la société, de logiciels, de bases de données, de produits pouvant être protégés par le droit des dessins et modèles et/ou par le droit des brevets, sous réserve évidemment de remplir les conditions requises pour bénéficier de cette protection.

Contrairement aux secrets d’affaires, les données et informations protégées par le droit de la propriété intellectuelle ne sont pas confidentielles et ont vocation à être diffusées et/ou commercialisées. Toutefois, leur diffusion ne doit pas pour autant porter atteinte à leur protection juridique.

Pour rappel, l’utilisation des logiciels et des bases de données est soumise à des conditions de licence (même pour les logiciels open source) ; la reproduction et la réutilisation de documents est généralement soumise à l’autorisation préalable de leur auteur (ou de l’entreprise au sein de laquelle ces documents ont été développés) ; et la fabrication de produits brevetés par un tiers est également soumise à des accords contractuels.

L’utilisation, la reproduction, la diffusion non autorisée d’oeuvres protégées par le droit de la propriété intellectuelle relève de la contrefaçon. (8) En droit français, le délit de contrefaçon est sanctionné par une amende maximale de 300.000 euros et puni de trois ans d’emprisonnement.

            1.3 Les données à caractère personnel

Enfin, les données à caractère personnel ont leur propre régime de protection, avec la loi Informatique et Libertés en France, bientôt remplacée par le Règlement général européen sur la protection des données (RGPD), devant entrer en application le 26 mai 2018. (9)

Les données à caractère personnel sont définies comme toutes données pouvant identifier une personne physique, directement ou indirectement. Ces données comprennent les nom, prénoms, adresse, date de naissance, numéros de téléphone, de sécurité sociale, de compte bancaire, les données de biométrie (empreintes digitales, voix), etc.

Les données à caractère personnel sont la “propriété” de leurs titulaires. Les entreprises collectent toutes des données personnelles, qu’il s’agisse des données de leurs employés ou des données de leurs clients et prospects, ou dans le domaine de la santé, des données de patients. Or, en qualité de responsables de traitement de ces données, les entreprises sont soumises à des obligations de protection des données, qui recouvrent notamment l’obligation d’intégrité des données, de confidentialité et de sécurité.

Ainsi, l’entreprise, responsable de traitement est tenue de protéger les données personnelles contre la perte, la destruction ou les dégâts d’origine accidentelle pouvant intervenir.

Le RGPD comprend une série de règles strictes, incombant au responsable du traitement, concernant la sécurité des données, sous réserve “de l'état des connaissances, des coûts de mise en œuvre et de la nature, de la portée, du contexte et des finalités du traitement ainsi que des risques.

Cette obligation de sécurité couvre les données elles-mêmes, les moyens techniques pour assurer leur conservation et leur accessibilité, et les règles d’accès.

Ainsi, l’article 32 du RGPD dispose que “1. (…) le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins :
            a) la pseudonymisation et le chiffrement des données à caractère personnel ;
            b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement ;
             c) des moyens permettant de rétablir la disponibilité des données à caractère personnel et l'accès à celles-ci dans des délais appropriés en cas d'incident physique ou technique ;
            d) une procédure visant à tester, à analyser et à évaluer régulièrement l'efficacité des mesures techniques et organisationnelles pour assurer la sécurité du traitement. (…)
4. Le responsable du traitement et le sous-traitant prennent des mesures afin de garantir que toute personne physique agissant sous l'autorité du responsable du traitement ou sous celle du sous-traitant, qui a accès à des données à caractère personnel, ne les traite pas, excepté sur instruction du responsable du traitement, (…).

En cas de violation de données à caractère personnel, et dès lors que cette violation est susceptible d'engendrer un risque pour les droits et libertés des personnes physiques, le responsable du traitement est tenu de notifier la violation à l'autorité de contrôle compétente (en France, la CNIL) dans les meilleurs délais. (art 33 du RGPD)

Toute violation des dispositions relatives à la sécurité des données (articles 32 et suivants du RGDP) est passible d’une amende administrative d’un montant maximum de 10.000.000 d’euros ou 2% du chiffre d’affaires annuel mondial de l’entreprise. (art 83 du RGPD)

Compte tenu des risque commerciaux et industriels, ainsi que des risques de mise en cause de la responsabilité de l’entreprise, il est donc impératif de définir et déployer des mesures de protection des données et des secrets d’affaires de l’entreprise.


2. Comment protéger l’entreprise : la mise en oeuvre d’une politique de gouvernance des données

L’entreprise se doit de protéger ses données contre leur divulgation non autorisée et/ou non maîtrisée.

La divulgation non autorisée des données peut non seulement avoir pour conséquence des pertes de marché dues à la perte des avantages industriels et commerciaux de l’entreprise ; mais comme nous l’avons vu ci-dessus, celle-ci peut également voir sa responsabilité engagée en sa qualité de responsable de traitement, en cas de divulgation non autorisée de données à caractère personnel.

Les cas de fuites de données peuvent être dus à des actes malveillants. Ils sont aussi trop souvent dus à des négligences au sein de l’entreprise, telles que l’absence de politique de gestion des informations, des systèmes d’information (SI) défaillants (pare-feux non à jour, mauvaise gestion des droits d’accès aux équipements et des mots de passe).

            2.1 Définir la politique de protection des données de l’entreprise

A l’ère de l’open space, de l’aplanissement de la pyramide hiérarchique et de la fin du management en silos, la définition d’une politique rigoureuse de gouvernance des données reste indispensable, et ce quelle que soit la taille de l’entreprise. En effet, tous les collaborateurs et intervenants de l’entreprise n’ont pas vocation à avoir accès à toutes les données de l’entreprise.

Les risques de divulgation d’informations sont multiples et comprennent par exemple :
            - la communication non autorisée par des employés, ex-employés, consultants, intérimaires, stagiaires, ou prestataires, à des tiers (clients, concurrents, …), que cette communication soit malveillante ou négligente,
            - les discussions ou réunions d’affaires entre collègues, et les entretiens téléphoniques, dans des espaces publics (restaurant, train, avion),

mais aussi, tous détournements de nature informatique, tels que :
            - les fuites de données sur internet (serveurs non ou mal protégés), et les cyberattaques informatiques (hacking), ou
            - le détournement frauduleux de données suite à des campagnes de phishing. (10)

Les différentes parties prenantes de l’entreprise doivent contribuer à la définition de la politique de gouvernance des données : la direction des systèmes d’information (DSI), mais également les directions juridique, financières, RH, marketing, ventes, le cas échéant R&D.

La sensibilisation doit comprendre des règles relatives à la destruction (suppression) de documents, et des règles absolues relatives à l’interdiction de mettre des données et informations en ligne, sur des systèmes ouverts.

Enfin, il convient d’être particulièrement attentif à la gestion des départs de l’entreprise et des fins de contrats, afin de minimiser les fuites de données (secrets d’affaires, listes de clients, listes de contrats, etc.).

Cette politique pourra comporter une charte de gouvernance des données qui, telle que la charte informatique, devrait être distribuée et signée par chaque collaborateur et intervenant dans l’entreprise. L’objet de ce document est de sensibiliser chaque collaborateur à la valeur des données et du savoir-faire de l’entreprise. L’entreprise peut même compléter cette action de sensibilisation avec un tutoriel consacré à la bonne gestion des données.

            2.2 Définir les règles techniques de protection des données de l’entreprise

La politique de protection des données de l’entreprise doit également comprendre des règles techniques. Celles-ci se recoupent largement avec les règles devant figurer dans la charte informatique de l’entreprise.

Ces règles comprennent notamment :
            - la gestion des identifiants et des mots de passe,
            - la clôture des comptes utilisateur dès le départ d’un employé, consultant, etc.,
            - les règles applicables à l’utilisation, par les intervenants dans l’entreprise (employés, consultants), de leurs propres appareils - ou politique de BYOD (Bring your own device),

mais également les règles applicables aux collaborateurs de la DSI :
            - une obligation de confidentialité renforcée,
            - les règles de mise en oeuvre des nouvelles versions des logiciels utilisés, y compris des pare-feux,
            - les règles applicables à l’utilisation des services en cloud et des accès à ces services,
            - les conditions d’accès (physique et technique) aux serveurs, etc.


Des volumes massifs de données confidentielles, secrets d’affaires mais aussi données personnelles, dérobées, copiées, voire même fuitées, se retrouvent sur internet, en accès libre ou stockées dans le “dark web” et disponibles à la revente par des malfaiteurs. La mise en oeuvre, au sein de l’entreprise, d’une politique robuste de protection des données a une double finalité : sensibiliser les collaborateurs à la valeur du savoir-faire et des données de leur entreprise, et minimiser les fuites de données. La définition et la mise en oeuvre d’une politique de protection des données est enfin un moyen pour l’entreprise, et ses dirigeants, de limiter leur responsabilité en cas de violation de données personnelles. 

                                                                        * * * * * * * * * * * *  

(1) “The world’s most valuable resource is no longer oil, but data” in The Economist, 6 mai 2017

(2) Pour rappel, une “donnée” est généralement considérée comme un élément brut, non interprété ; alors qu’une “information” est une donnée interprétée, analysée. Les textes ne font pas nécessairement la distinction entre ces deux notions et nous utilisons ici le terme donnée pour couvrir indifféremment les notions de donnée et d’information.

(3) Loi n°88-19 du 5 janvier 1988, dite Loi Godfrain, modifiée par la loi n°2012-410 du 27 mars 2012 relative à la protection de l'identité

(4) Loi n°2011-267 du 14 mars 2011 d'orientation et de programmation pour la performance de la sécurité intérieure

(5) Loi n°2015-990 du 6 août 2015 pour la croissance, l’activité et l’égalité des chances économiques (Loi “Macron”)

(6) Directive (UE) 2016/943 du Parlement européen et du Conseil du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d'affaires) contre l'obtention, l'utilisation et la divulgation illicites

(7) Directive du 8 juin 2016, art 2. Définitions

(8) La contrefaçon est définie à l’article L335-2 du code de la propriété intellectuelle

(9) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données ou RGPD)

(10) Voir à ce sujet “Le facteur humain est de plus en plus au coeur des cyberattaques”, in L’Usine Digitale, 9 juin 2017


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Juin 2017

 

samedi 6 mai 2017

De la science-fiction au droit : vers un cadre juridique européen de la robotique à l’aube d’une nouvelle révolution industrielle


Le 16 février 2017, le Parlement européen a adopté une résolution comprenant une série de recommandations à l’attention de la Commission européenne, relatives aux règles de droit civil en matière de robotique. (1) Par le biais de ce document, le Parlement demande à la Commission de présenter une proposition de directive sur la base de ces recommandations. Ce texte a été adopté après deux ans de discussions, cette durée ayant été nécessaire pour mener une réflexion riche et approfondie sur un sujet protéiforme, amené à révolutionner notre société civile, industrielle et économique.

La robotique recouvre non seulement les robots, l’intelligence artificielle, mais également les bots, les drones, les véhicules autonomes. Ce domaine soulève des questions éthiques et juridiques qu’il est nécessaire d’aborder dès maintenant à un niveau supra national, sachant que la robotique est déjà très présente dans les secteurs de l’industrie automobile et de l’électronique.

La résolution du Parlement souligne notamment la nécessité de définir un cadre éthique autour de la conception, la programmation et l’utilisation des robots, de définir un cadre légal autour de la robotique pour permettre son développement harmonisé et juridiquement sécurisé, et enfin de définir de nouvelles règles de responsabilité pour les actes réalisés par les robots intelligents.


1. Un cadre éthique qui s’appuie sur les lois de la robotique d’Asimov

La “bonne” science-fiction s’avère souvent prémonitoire de l’évolution technologique et sociologique. De nombreux outils technologiques de plus en plus complexes apparaissent peu à peu dans notre univers quotidien, inspirés des “gadgets” communicants de la saga Star Trek (smart phones et objets connectés), en passant par les films Minority Report et Moneyball (analyse prédictive), ou 2001 l’Odyssée de l’Espace et I, Robot (robots intelligents). (2)

Dans ce sens, Issac Asimov, célèbre auteur de science-fiction du XXé siècle, a défini les trois lois de la robotique, régissant les relations entre l’homme et le robot :
    1. un robot ne peut porter atteinte à un être humain, ni, en restant passif, permettre qu'un être humain soit exposé au danger ;
    2. un robot doit obéir aux ordres qui lui sont donnés par un être humain, sauf si de tels ordres entrent en conflit avec la première loi ;
    3. un robot doit protéger son existence tant que cette protection n'entre pas en conflit avec la première ou la deuxième loi. (3)

Ces lois ont été reprises par les membres du Parlement européen pour établir les fondements de leurs recommandations sur l’ébauche du droit civil européen de la robotique, rappelant au passage “les valeurs humanistes intrinsèquement européennes et universelles qui caractérisent la contribution de l’Europe à la société”. Ces lois doivent s’appliquer en particulier aux concepteurs, aux fabricants et aux opérateurs de robots.

Sur la base de ces fondements, le Parlement européen recommande de développer un cadre éthique clair, précis et efficace applicable à la conception, au développement, à la production, à l’utilisation et à la modification des robots.

Les robots doivent être au service de l’homme, en réalisant des tâches répétitives, difficiles ou dangereuses par exemple. Mais la robotique, par ses implications sociales, médicales et bioéthiques, pose également des risques sociétaux aux humains, notamment en matière de liberté, de sécurité, de santé, du respect de la vie privée et de la protection des données personnelles, de l’intégrité et de la dignité.

Concrètement, la résolution du Parlement comprend en annexe une charte sur la robotique, composée d’un code de conduite éthique pour les ingénieurs en robotique, d’un code de déontologie pour les comités d’éthique de la recherche, et des licences-types pour les concepteurs de robots et les utilisateurs.

Le code de conduite éthique pour les ingénieurs en robotique couvre toutes les activités de recherche et développement et rappelle l’obligation pour les chercheurs et les concepteurs de “la nécessité de respecter la dignité, la vie privée et la sécurité des personnes”. Ce cadre éthique de référence devrait se fonder sur les principes de bienfaisance (les robots agissent au mieux des intérêts de l’homme), de non-malfaisance (les robots ne doivent pas nuire à l’homme), d’autonomie (la capacité de prendre une décision en connaissance de cause et sans contrainte quant aux modalités d’interaction avec les robots), et de justice (répartition équitable des bénéfices liés à la robotique ; caractère abordable des robots utilisés dans la santé). Le code pose également les principes de droits fondamentaux, de précaution, de transparence, de sécurité, de réversibilité, de protection de la vie privée.

Le code de déontologie pour les comités d’éthique de la recherche met en avant le principe d’indépendance, afin d’éviter les conflits d’intérêts entre les chercheurs et les examinateurs du protocole d’éthique, et entre les examinateurs et les structures de gouvernance organisationnelles. Le code définit par ailleurs le rôle et la composition d’un comité d’éthique de la recherche ainsi que des règles de contrôle.


2. Les fondations d’un cadre juridique : définir la notion de robot et garantir le développement de la cyber-technologie

La résolution du Parlement comprend également plusieurs recommandations ayant pour objet de poser les bases d’un cadre juridique adapté à la robotique, harmonisé dans l’Union. Ces règles de droit doivent permettre l’utilisation transfrontalière des robots (principe de reconnaissance mutuelle), en évitant la fragmentation du marché européen.

    - La notion de “robot intelligent”
Le Parlement demande à la Commission de proposer des définitions communes au sein de l’Union européenne concernant les notions de systèmes cyber-physiques, de systèmes autonomes et de robots autonomes et intelligents, et leurs sous-catégories. Ainsi un “robot intelligent” comprendrait les caractéristiques suivantes :
. acquisition d’autonomie grâce à des capteurs et/ou à l’échange de données avec l’environnement (interconnectivité),
. capacité d’auto-apprentissage à travers l’expérience et les interactions,
. existence d’une enveloppe physique, même réduite,
. capacité d’adaptation de son comportement et de ses actes à son environnement, et
. non vivant au sens biologique du terme.

Un système d’immatriculation communautaire de certaines catégories de robots “avancés” pourrait être créé.

    - Les droits de propriété intellectuelle
Le Parlement attire par ailleurs l’attention sur la nécessité d’aborder la question des droits de propriété intellectuelle dans le domaine de la robotique, par une approche transversale et technologiquement neutre sur les divers secteurs dans lesquels la robotique pourra être utilisée.

    - Le droit au respect de la vie privée et la protection des données personnelles
L’application du droit au respect de la vie privée et de la protection des données personnelles dans les relations entre les humains et les robots est essentielle. En effet, les robots qui seront utilisés par les particuliers dans un environnement domestique pour un usage quotidien (véhicules autonomes, robots domestiques, robots de soins à la personne et robots médicaux) collecteront et traiteront des données personnelles. Ces robots seront généralement connectés, les données pourront donc être non seulement analysées mais également partagées.

Les règles communautaires sur le droit au respect de la vie privée ainsi que les dispositions du règlement général sur la protection des données (RGPD), notamment les règles relatives à la sécurité des systèmes, doivent s’appliquer à la robotique. Cependant, ces règles doivent pouvoir être complétées si nécessaire, pour prendre en compte les spécificités de la robotique.

    - Les questions de normalisation, sûreté et sécurité
Le développement de la robotique passe par l’élaboration de normes techniques harmonisées au niveau international pour éviter le morcellement du marché européen, garantir un niveau élevé de sécurité des produits et de protection des consommateurs. Par ailleurs, la communication entre les robots impliquera l’adoption de normes ouvertes et leur interopérabilité.

Afin d’éviter la fragmentation du marché européen, les tests, certificats et accords de mise de robots sur le marché, réalisés dans un pays, devraient être reconnus dans les autres Etats-membres.

    - L’éducation et l’emploi
La généralisation de l’utilisation des robots va entraîner une nouvelle révolution industrielle et sociétale. Même si l’impact réel sur l’emploi n’est pas encore connu, les emplois les moins qualifiés seront les plus affectés ainsi que les industries à forte densité de main-d’oeuvre. La robotisation induira notamment une plus grande flexibilité des compétences. A ce titre, le Parlement demande à la Commission de faire un suivi sur les évolutions à moyen et long terme concernant l’impact de la robotique sur l’emploi, et de supporter la formation au numérique afin d’aligner le marché de l’emploi sur la demande à venir.

Enfin, le Parlement recommande la création d’une Agence européenne pour la robotique et l’intelligence artificielle pour apporter une expertise technique, éthique et réglementaire aux niveaux communautaire et nationaux.


3. La question de la responsabilité : un robot autonome peut-il être assimilé à une personne responsable de ses actes ?

Un robot autonome (capacité d’adaptation, d’apprentissage) peut prendre des décisions et les mettre en pratique de manière indépendante. Son comportement comprend donc un certain degré d’imprévisibilité. Cette autonomie est néanmoins purement technique. En outre, plus un robot est autonome, moins il peut être considéré comme un outil contrôlé par un tiers (fabricant, opérateur, propriétaire). Ainsi, un statut spécifique - la personne électronique - pourrait être créé pour les robots autonomes.

Les règles juridiques actuelles en matière de responsabilité ne sont pas adaptées aux robots autonomes. Ceux-ci ne peuvent être reconnus responsables de leurs actes en cas de dommage causé à un tiers. En l’état actuel du droit, la responsabilité repose sur l’homme, à savoir le fabricant (responsabilité du fait des produits), l’opérateur, le propriétaire ou l’utilisateur du robot (responsabilité en cas de dommage). Le cas du robot autonome n’est donc pas couvert.

Le Parlement demande une évaluation de l’environnement de la responsabilité afin de déterminer le régime le plus approprié au domaine : responsabilité objective (rapporter la preuve du dommage, le dysfonctionnement du robot et le lien de causalité entre le dysfonctionnement et le dommage), ou régime de responsabilité basée sur la gestion du risque (capacité à gérer le risque et ses répercussions).

La responsabilité des personnes devrait être proportionnelle au niveau d’instructions données et d’autonomie du robot (plus un robot est autonome, plus la responsabilité de la personne l’ayant formé sera élevée). En parallèle, un système spécifique d’assurance des robots devra être mis en place.


    En conclusion, cette résolution du Parlement européen parvient à proposer des orientations pratiques sur un sujet éminemment complexe, dont nous ne connaissons pas encore tous les impacts sur notre société. Le mérite de ce document est de réaliser une synthèse des problématiques posées par la robotique. Cette résolution propose les grandes lignes d’un cadre juridique dont l’objet est de sécuriser le développement de la robotique et de ses multiples usages, et pose les fondements éthiques nécessaires pour éviter les dérives et tenter de circonscrire les craintes liées aux conséquences d’un développement incontrôlé de l’intelligence artificielle. La balle est désormais dans le camp de la Commission européenne pour proposer une directive dans des délais raisonnables, afin que l’Europe ne soit pas prise de court face à une évolution très rapide dans ce domaine.


                                                                       * * * * * * * * * * * *

(1) “Résolution du Parlement européen du 16 février 2017 contenant des recommandations à la Commission concernant des règles de droit civil sur la robotique” (2015/2103(INL))

(2) Ces films sont, pour la plupart, adaptés de livres : Minority Report (par Philip K. Dick, publié en 1956!) ; Moneyball (The Art of Winning an Unfair Game, par Michael Lewis, publié en 2003) ; I, Robot (par Eando Binder publié en 1939 et réécrit par Isaac Asimov en 1950)

(3) Les trois lois de la robotique d’Asimov apparaissent dans Cercle Vicieux (Runaround), publié en 1942.



Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2017

jeudi 6 avril 2017

Publication du décret sur la transparence de la publicité en ligne


La procédure d’achat d’espace publicitaire est régie par la loi du 29 janvier 1993, dite “Loi Sapin”. Cette loi a mis en place l’obligation pour les parties (annonceur, mandataire/régie publicitaire, vendeur d’espaces publicitaires) de conclure des contrats, le principe de la transparence des prix des espaces publicitaires (communication des factures par le vendeur d’espaces à l’annonceur), et a imposé l’obligation de rendre compte “directement à l'annonceur dans le mois qui suit la diffusion du message publicitaire des conditions dans lesquelles les prestations ont été effectuées”. (1) Alors que l’application de ces dispositions aux messages publicitaires diffusés sur les médias “traditionnels” ne posait pas de question, son application à la diffusion de publicités sur internet et aux plateformes d’ad exchange restait contestée, cette loi ayant été adoptée avant l’essor d’internet.

Jusqu’à récemment, le marché de la publicité en ligne restait limité en volume. Cependant, ce marché représente désormais 3,5 milliards d’euros par an en France, un montant supérieur à celui du marché de la publicité télévisée. (2) La croissance du marché de la publicité en ligne est par ailleurs soumise à une multiplication des intermédiaires et à un volume de fraude élevé (fraude au clic généré par des robots et venant gonfler artificiellement les sommes facturées aux annonceurs). (3)

La loi Macron du 6 août 2015 a mis fin aux doutes quant à l’application de la loi Sapin à la publicité en ligne, en modifiant l’article 23 de la loi Sapin pour l’étendre au secteur de la publicité digitale. Les modalités des obligations de compte rendu des conditions de réalisation de la prestation de diffusion devaient toutefois être précisées par décret. (4) Ce décret a finalement été signé le 9 février 2017, soit plus de 18 mois après l’adoption de la loi Macron. (5)

Les deux points principaux à retenir sont l’étendue de l’obligation de rendre compte à l’annonceur des modalités de la diffusion à la publicité en ligne, et une large obligation de transparence et de lutte contre la fraude imposée aux vendeurs d’espaces non garantis.


1. L’obligation de rendre compte aux annonceurs des modalités de la diffusion de leurs campagnes de publicité en ligne (art. 1 et 2)

Les nouvelles dispositions prévues par le décret du 9 février 2017 s’appliquent à la “publicité digitale”, entendue de manière très large, puisqu’elle comprend “la diffusion de messages sur tous supports connectés à internet, tels qu’ordinateurs, tablettes, téléphones mobiles, téléviseurs et panneaux numériques.” Cette définition n’est pas limitative et pourra en principe s’appliquer à tous nouveaux modes de diffusion connectée.

Désormais, le vendeur d’espaces publicitaires en ligne est tenu de communiquer un compte rendu à l’annonceur, dans le mois qui suit la diffusion du message publicitaire.

Ce compte rendu “précise la date et les emplacements de diffusion des annonces, le prix global de la campagne, ainsi que le prix unitaire des espaces publicitaires facturés.”

En revanche, “les sites ou ensemble des sites internet sur lesquels les annonces sont diffusées peuvent être regroupés en fonction de leur nature ou de leurs contenus éditoriaux.”


2. Une obligation de transparence et de lutte contre la fraude imposée aux vendeurs d’espaces non garantis (enchères)

Le décret distingue entre la vente d’espaces en ligne sur des sites internet (art. 2), et la vente de “prestations en temps réel sur des espaces non garantis, notamment pas des mécanismes d’enchères” (art. 3). Ces services d’achat d’espaces automatisés (telles que les plateformes d’achat programmatique en “real time bidding” - RTB, par exemple), bien que très utilisés par les annonceurs, leur donnent très peu de visibilité sur les espaces sur lesquels leurs annonces seront diffusées et sur l’exécution effective de la prestation. C’est donc sur ce type de prestation que l’obligation de transparence est la plus poussée, afin notamment de lutter contre la fraude (fraude au clic ou diffusion sur des site illicites).

L’obligation du vendeur d’espaces publicitaires de fournir un compte rendu à l’annonceur s’applique donc également aux ventes automatisées d’espaces. Pour ce type de prestations, les informations requises sont plus détaillées, et portent sur l’exécution effective des prestations et leurs caractéristiques, sur la qualité technique des prestations, et sur les moyens mis en oeuvre pour protéger l’image de marque de l’annonceur. 


Ce compte rendu doit comporter notamment les informations suivantes :

    - Concernant l’exécution effective des prestations et leurs caractéristiques, le compte rendu inclut les sites ou ensembles de sites de diffusion publicitaire, le contenu des messages publicitaires diffusés, les formats utilisés, et le montant global facturé pour une même campagne .

Le compte rendu doit également préciser le nombre d’affichages publicitaires réalisés (nombre d’impressions ou de pages vues), le nombre de clics ou d’actions ou “toute autre unité de mesure justifiant l’exécution des prestations”, ainsi que le montant global facturé pour la campagne publicitaire.

    - Concernant la qualité technique des prestations, le vendeur d’espaces publicitaires doit informer l’annonceur sur les outils technologiques utilisés, ainsi que sur les prestataires techniques  d’une part, et les conseils d’autre part, engagés dans la réalisation des prestations. En outre, les résultats obtenus, par rapport aux objectifs quantitatifs définis avant la campagne, devront être communiqués.

    - Concernant les moyens mis en oeuvre pour protéger l’image de marque de l’annonceur, le vendeur d’espaces publicitaires doit désormais mettre en oeuvre des mesures pour éviter la diffusion de messages publicitaires sur des supports illicites (par exemple sites de vente de biens contrefaits ou de services peer-to-peer illicites), ou signalés par l’annonceur comme préjudiciables à son image de marque et à sa réputation (par exemple restriction de diffusion sur des sites pour adultes).

L’annonceur doit pouvoir accéder aux outils de compte rendu qui seraient mis à la disposition du mandataire.

Enfin, en cas d’adhésion du vendeur d’espaces publicitaires à une charte de bonnes pratiques  applicable au secteur de la publicité digitale (par exemple, la "Charte de bonnes pratiques" de l’IAB France), les conditions de mise en oeuvre des engagements imposés par la charte devront être précisées dans ce compte rendu.


    Le décret sur les prestations de publicité digitale entre en application à compter du 1er janvier 2018.

Il convient de noter que ses dispositions ne s’appliquent pas aux vendeurs d’espaces publicitaires établis dans un Etat membre de l’Union européenne ou de l’Espace économique européen soumis à des obligations équivalentes de compte rendu, en application de leur réglementation nationale. En revanche, si une telle réglementation n’existe pas dans le pays d’établissement du vendeur d’espaces publicitaires (UE ou EEE), les dispositions de la loi Sapin modifiée, complétées par le présent décret lui seront applicables.

En conclusion, si ce décret impose aux vendeurs d’espaces publicitaires en ligne des formalités de suivi et de compte rendu plus strictes et complètes, les annonceurs pourront ainsi bénéficier de plus de transparence sur les conditions de diffusion de leurs publicités et sur leurs engagements financiers, en espérant que ces règles de transparence permettront de réduire effectivement les pratiques frauduleuses.

                                                                * * * * * * * * * * * *

(1) Loi n°93-122 du 29 janvier 1993 modifiée relative à la prévention de la corruption et à la transparence de la vie économique et des procédures publiques (dite “Loi Sapin”), articles 20 et s.

(2) “Quand la publicité sur internet se donne des gages de bonne conduite”, et “Transparence de la publicité en ligne : les annonceurs haussent le ton”, in Les Echos, 24 novembre 2016

(3) D’après le rapport de la World Federation of Advertisers (WFA) du 6 juin 2016, entre 10 et 30% des publicités en ligne étaient sujettes à des pratiques frauduleuses (fraude au clic publicitaire).

(4) Loi n°2015-990 du 6 août 2015 pour la croissance, l’activité et l’égalité des chances économiques (dite “Loi Macron”)

(5) Décret n°2017-159 du 9 février 2017 relatif aux prestations de publicité digitale


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2017