Académique Documents
Professionnel Documents
Culture Documents
Introduction
I. A LA RECHERCHE D’UNE DÉFINITION DES GRANDS PRINCIPES DU DROIT
EUROPÉEN DU NUMÉRIQUE.
Quels sont les usages nouveaux permis par le numérique ? Le numérique par essence facilite le transfert d’informations.
Internet repose sur une technologie de transfert de données, c’est un protocole TCPIP qui permet de communiquer de manière
extrêmement fiable entre logiciels situés sur des ordi distants des paquets de données, avec des temps d’échanges extrêmement
courts + système décentralisé fiable, grâce au language binaire.
Bcp d’usages nvx sont apparus grâce à ce transfert d’information facilité, tout a commencé avec des emails pour arriver aux
réseaux sociaux, à la musique/vidéos en ligne. En l’espace d’une seule décennie (2000/2010) a découvert l’usage grand public du
mail.
La compression numérique est peu abordée mais est centrale pour comprendre les enjeux du numérique : sans compression
numérique il n’y aurait pas l’ensemble des services qu’on connait.
Ca marche de 2 manières :
-perte d’informations : supprime des info inutiles, ex : enregistrement sonore, supprimer les aigus si on écoute que du
grave.
-L’information utile grâce à des algorithmes de traitement on va la simplifier : ex photo, sur forme analogique ca
serait tel pixel telle couleur, pour chaque couleur un code RVB - sous forme numérique on délimite un espace, un champ, quelle
partie du ciel X lui appliquer une couleur. On passe d’une info volumineuse à + simple, une zone une couleur.
Il y a des puristes de l’argentique etc mais le numérique l’emporte sur la capacité à stocker le max d’info. Ca facilite le transfert
d’info, TNT par ex.
Page 1 sur 59
Marcel MORITZ 2021/2022
Ces usages ont connu un tournant en 2000. En 1996 il y avait - de 50 millions d’internautes dans le monde, en 2001 ils sont 10X +
nombreux, ajd ils sont 100X + nombreux. Tt ça pas possible sans compression num, ni protocole TCPIP.
QUID DU DROIT DU NUMÉRIQUE ? DOIT-IL EXISTER UN DROIT DU NUMÉRIQUE, DES USAGES DU NUMÉRIQUE ?
Il n’y a pas spécialement de raisons de règlementer la technologie en tant que tel (ex : code de la route mais pas la voiture en elle-
même).
Faut-il un droit des usages du numérique ?
Ex : les bulles filtrantes, phénomène de + en + documenté, Eli Pariser a publié un livre, the Filter bubble - what the Internet is
hiding from you ?, aussi fait un TEDX.
Dit qu’il faut faire attention aux algorithmes de suggestion de contenu sur internet pcq sur internet le contenu qu’on voit n’est pas
celui du voisin. Cet algorithme sert à nous garder connecté. Il explique que cela créé une bulle de filtre, une bulle informationnelle
dans laquelle il y a nous entouré de contenu susceptible de nous plaire. Ce qui est gênant avec cette bulle est de ne pas voir ce qu’il
y a à l’extérieur de notre bulle. Il dit qu’il y a des algorithmes qui décident ce qui doit rentrer ds notre bulle et ce qui ne doit pas
rentrer, pas juste envie d’être conforter dans ses idées mais aussi d’être perturbé.
Assiste à des événements importants (prise du capitole aux USA, antivax etc…) : tout ça est lié à ce phénomène de bulle. Les gens
qui ont pris le capitole étaient convaincu d’être là pour sauver la démocratie américaine. Bulle de filtre est un danger terrible pour
la démocratie, cela a réussi à tuer en une décennie le pluralisme d’informations alors que ça a mis du temps à arriver, surtout avec
des discours anti-média.
Internet, réseaux sociaux, numérique ça n’a pas simplement changé la façon de communiquer, pas média comme les autres, a
changé notre société en profondeur. Pour ça qu’on s’est rendu qu’il fallait un droit des usages du numérique afin de garder un
contrôle.
Page 2 sur 59
fi
Marcel MORITZ 2021/2022
Cette problématique de classification est centrale, l’état est encore dépassé. Ex : la vidéo sur internet peut prendre des formes
différentes = télé direct / replay, plateforme de streaming à la demande, plateforme type YouTube, video sur réseau social
(TikTok)… ces types de vidéos ne sont pas soumises au même droit, pourtant pour le consommateur final cela reste des vidéos.
Le CSA : en ce qui concerne la régulation des contenus audiovisuels sur internet il y a du retard parce que débordé par la
technologie.
Le CSA né avec la liberation de la télé et donc du contrôle, né en meme temps que la libération des ondes. Ensuite sont arrivées les
télévisions de rattrapages, M6 a commencé à diffuser sur internet en replay certain de ses programmes. Pris le CSA et lui a aussi
incombé la télé de rattrapage + télé classique.
Sont arrivés d’autre acteurs qui n’ont pas de convention avec le CSA (Netflix, youporn…) peut pas les contrôler.
Le CSA se réveille sous l’impulsion de l’UE : directive SMA, modifiée en 2018, impose d’étendre aux plateformes de partage de
vidéos et à certains services de média sociaux pour avoir + de contrôle sur les contenus pour lutter contre les discours haineux et
protéger les enfants. Directive transposée en France le 21 dec 2020.
Cette transposition va amener à terme la disparition du CSA afin d’amener une nouvelle source : ARCOM (Autorité de régulation
de la communication audiovisuelle et numérique).
L’ARCOM gardera une compétence concernant sur les contenus audiovisuels, un droit du numérique pour un usage du numérique.
RGPD (règlement général sur la protection de données) : sanction prononcée sur ce RGPD, la CNIL luxembourgeoise a
sanctionné Amazon par ex.
Avant la directive de 1995 il y avait déjà une convention du conseil de l’Europe pour la protection des données à caractère
personnel, ouverte à la signature le 28 JANV 1981.
Il y a un article qui porte sur la qualité des données avec un certain nombre de principes évoqués dans cet art 5 (licéité, respect des
finalités, adéquation des données par rapport à ces finalités, exactitude, mise à jour des données traitées, durée de conservation
limitée).
Article 5, conv. 1981 : « Les donn es caract re personnel faisant l'objet d'un traitement automatis sont:
a. obtenues et trait es loyalement et licitement;
b. enregistr es pour des finalit s d termin es et l gitimes et ne sont pas utilis es de mani re incompatible avec ces
finalit s;
c. ad quates, pertinentes et non excessives par rapport aux finalit s pour lesquelles elles sont enregistr es;
d. exactes et si n cessaire mises jour;
e. conserv es sous une forme permettant l'identification des personnes concern es pendant une dur e n'exc dant pas celle
n cessaire aux finalit s pour lesquelles elles sont enregistr es. »
Article 5, RGPD de l’UE 2016 : « Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière
incompatible avec ces finalités; le traitement ultérieur à des fins archivistique dans l'intérêt public, à des fins de recherche
scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément à l'article 89, paragraphe 1, comme
incompatible avec les finalités initiales (limitation des finalités);
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées
(minimisation des données);
d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à
caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans
tarder (exactitude);
Page 3 sur 59
é
é
é
é
é
é
é
é
é
é
à
à
é
è
é
é
é
é
é
é
è
é
é
é
é
Marcel MORITZ 2021/2022
e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle
nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour
des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistique dans l'intérêt public, à des
fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que
soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir
les droits et libertés de la personne concernée (limitation de la conservation);
f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le
traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures
techniques ou organisationnelles appropriées (intégrité et confidentialité);
Mettre cet art 5 en parallèle de l’art 5 du RGPD de l’UE de 2016, quasiment les mêmes mots, même principes. On parle de DACP
(données à caractères personnelles, terme juridique), identifier ou individualiser qlq. Tte l’économie numérique repose sur ces
DACP pcq ce sont ces DACP qui vont permettre d’individualiser le contenu qu’on voit (bulle filtrante) + pub ciblée qui est le
moteur de l’économie numérique.
Les données intéressaient surtt la puissance publique, les états/administrations pour protéger le citoyen des abus éventuels de
l’administration que ce texte a été pensé. 40 ans plus tard tjrs applicable.
La convention de 1981 a été à de nombreuses reprises actualisées, conv. 108 reste un outil important en matière de protection X
données perso. Le droit Euro s’intéresse à des objets du numérique de nombreuses manières : il y a des recommandations publiées
(ex : 1990, reco (90)08 sur l’impact des technologies sur les services de santé).
Il y a aussi la conv. du 23 NOV 2001 du conseil de l’Europe sur la cyber criminalité : sujet contemporain, en 1997 a été par le
conseil de l’Europe une conférence sur le thème « Internet et démocratie » = un sujet de 2021. Il y a bcp de publication sur ce
sujet.
Exemples :
-28 JANV 2021 : des lignes directrices du conseil de l’Europe sur la reconnaissance faciale.
-JUIN 2021 : publié un guide sur l’intelligence artificielle, intitulé « Intelligence artificielle, droit de l’Homme,
démocratie et état de droit ».
Le conseil de l’Europe et sa cour européenne des droits de l’homme sont confrontés à un problème : l’harmonisation du droit et de
la JP de la CEDH dans un contexte de 47 états qui ont un rapport aux technologies / numérique assez différent.
Un certain nb de pays membres du conseil de l’Europe, il y a pour certains pays des valeurs communes (fr, Italie, all…),
néanmoins, le cas est différent avec la Turquie X Russie. En Russie, l’usage d’un VPN est interdit et pénalement sanctionné depuis
le 1er NOV 2017.
Def VPN (virtual private network) : quand envoie une requête sur internet l’ordi envoie une requête de carte postale, requête par
sur le serveur et revient en clair. Avec un VPN la demande ne part pas en clair, elle est chiffrée, un VPN permet d’accéder à
différent serveur privé dans le monde.
Avantages VPN :
-qlq qui se met entre vous et le serveur peut pas voir la requête ou difficilement.
-permet de domicilier fictivement dans n’importe quel pays, de na pas avoir de géofencing.
Inconvénients VPN :
-rend plus complexe la surveillance de masse des états. Quand même cassable par la NSA par ex.
-Russie interdit l’usage des VPN depuis 2017, pour faciliter la surveillance d’internet et de ce qui s’y passe ; vendredi 3
sept 2021, gendarme des télécoms russes a annoncé avoir bloqué 6 logiciels de VPN parmi les + utilisés en Russie. Mise en
exécution des menaces et du blocage des VPN.
-Turquie a régulièrement bloqué l’accès a certain média sociaux instagram/skype/twitter par ex. 2017 le blocage de
Wikipédia. 1er OCT 2020 : nouvelle législation qui concerne les réseaux sociaux, à partir d’1 million de connection par jour
doivent avoir un rpz officiel en Turquie + obéir aux demandes de retraite contenue sous 48H + 4Million d’euro d’amende pour
Page 4 sur 59
Marcel MORITZ 2021/2022
chaque contenu non retiré + invitation à stocker les données dans le pays dans des serveurs où le pays a accès, pour renforcer le
contrôle du pays.
L’UE dispose également d’un outil important : la CJUE. CJUE est importante pcq c’est intéressé au droit du numérique dans bcp
d’affaires mais avec assez svt une vision qui n’est pas purement économique.
Exemples :
-JP rendue par la CJUE, 16 JUIL 2020 : SCHREMS 2. C’est un activiste des libertés numériques, a saisi la CJUE avec
un argumentaire simple sur un sujet : une DACP (nom, email…) peut être transféré d’un pays membre de l’UE à un autre sans trop
de difficulté, dès lors que la donné quitte l’UE cela est plus compliqué pcq sort du champ du RGPD, il faut que l’état de
destination offre une protection équivalente.
l’UE acceptait un mécanisme « privacy shield » = un accord entre l’UE et la chambre américaine de commerce (FTC) = idée est
qu’une entreprise américaine va a la FTC et dmd des données sur l’Europe, en signant un papier il s’engage à respecter les droits
de l’UE.
SCHREMS saisit la CJUE et dit qu’aux USA il y a la NSA qui pratique la surveillance de masse, surveillance des données
indifférenciées de l’état, ca a été dit par Edward SNOWDEN, la NSA a dit publiquement qu’elle espionnait.
Ainsi, privacy shield ok mais vrai problème est le gvt américain lui même, pcq données stockées sur des serveurs de la NSA. L’UE
refuse la surveillance de masse, les USA la pratique donc privacy shield doit être annulée. La CJUE invalide la privacy shield.
Il y a une dimension pol, l’UE veut mieux protéger les libertés numériques que ce qu’il se fait aux USA.
Cette décision a un angle économique et aussi politique.
-JP rendue par la CJUE, 6 OCT 2020 : porte sur la surveillance de masse, décision par laquelle CJUE s’oppose à ce que
les états ordonnent aux opérateurs télécoms la collecte « généralisée et indifférenciée des données de connection et de location des
utilisations, sauf pour une durée limité ou de façon ciblée, notamment en cas de menaces graves pour la sécurité nationale ».
Le Conseil d’Etat rep qu’en gros avec le plan Vigipirate c’est pas possible et qu’il faut voir ça plus tard. La surveillance de masse
existe en France depuis la loi renseignement de 2015, tout les renseignements passent dans une boite noire et sur laquelle tourne
des algorithmes de détection, d’échanges…
Dans cette 2ème décision on voit que l’UE s’intéresse de + en + aux enjeux du numérique, l’UE est un peu attaquée… pcq avoir
eu le marché unique l’UE est arrivée à une forme de saturation et doit intervenir ailleurs.
C.
De grands principes ?
LA NOTION DE GRANDS PRINCIPES A-T-ELLE UN SENS ?
Un principe est qlq chose qui devrait être immuable, doit être appliqué dans l’absolu (PFRLR). On retrouve cette notion dans le
TUE article 6 qui évoque le terme de principe.
Page 5 sur 59
Marcel MORITZ 2021/2022
Ce livre a été attaqué comme constituant une forme d’abus de liberté d’expression. La CEDH rend cet arrêt, constitue la pierre
angulaire de la liberté d’expression + l’appréhension de la cour sur ce sujet, il y a des méta-droits.
La CEDH dit que la liberté d’expression vaut pour toutes les idées, et aussi pour les idées qui choquent. La liberté d’expression est
presque de la « méta-liberté », une liberté dans laquelle il y a des libertés et des droits, la liberté d’expression conditionne le
pluralisme, la tolérance, l’ouverture d’esprit. Cela conditionne la démocratie. Il y a un vrai principe très fort.
La CEDH va ensuite réitérer sa JP y compris face aux technologies numériques, par ex la CEDH a rendu un arrêt le 18 DEC 2012,
« YLDIRIM contre TURQUIE, 63111/10 », dans lequel elle a été interrogée sur la question du blocage de site internet en
Turquie.
La cour a précisé que la liberté d’expression doit s’appliquer dans les média traditionnels comme sur internet. Oui, il y a des
grands principes absolus comme la liberté d’expression.
Néanmoins, cette théorie qui indique avoir de grands principes non affectés par la technologie numérisée est remis en cause par
des autres JP : même année que la JP YLDIRIM la CEDH a rendu un autre arrêt, 13 JUIL 2012, « mouvement raëlien suisse
contre Suisse, 16354/06 », affaire qui concernait la licéité de ce site (mvt qui veut entretenir de bonnes relations avec les extra
terrestres). Ce site est considéré comme portant atteinte aux bonnes moeurs etc + pouvant perturber les mineurs.
La chambre de la CEDH accepte le blocage de ce site, considérant notamment qu’internet revêt des spécificités par rapport à
d’autre moyen de diffusion, par rapport à d’autre moyen de diffusion.
Internet permet une plus grande diffusion, asynchrone + du fait que l’info est accessible à tous y compris par les mineurs; cela
oblige les juges a adapter les principes, un principe qu’on adapte ou qu’on transforme est un peu moins un principe, les
technologies numériques ne sont pas neutres, impactent les principes numériques.
Plus les réseaux sociaux se dvlp, plus les médias traditionnels perdent de l’audience, plus les juges vont être obligés d’adapter les
principes au particularisme de ces technologies.
Quand l’info en ligne est marginale pas de soucis mais quand le média se développe, il faut voir la nécessité de contrôler tout ça +
la possibilité de contrôler.
On peut se demander si le principe de la liberté d’expression est appliqué pareil au sein des pays membres de l’UE mais aussi dans
le Conseil de l’Europe. Il y a des pays qui n’ont pas le même pdv sur l’expression en ligne (France, Russie…) = pas les mêmes
politiques publiques.
Même en France la liberté d’expression en ligne connaît un certain nb de limitations loin d’être anecdotiques, qui peuvent
surprendre : ordonnance de référé rendu par le TGI de Paris, 14 OCT 2011, COP WATCH : une pratique ancienne (« cop
watching ») développée aux USA avec des bavures policières, des groupes surveillaient les pratiques policières avec parfois des
pratiques extrêmes comme le fait de filmer les interventions des policiers, mettre en ligne, ficher les policiers… tt ça dès les 90s.
En France aussi ce mvt s’est développé avec un site internet qui fiche les policiers et leurs pratiques, le site évoquait le cas d’un
policier qui avait un tatouage néo-nazi. Ce site certain le considérait comme utilité publique et d’autre comme une atteinte à la
protection des policiers. Ce site a été mis en justice, Claude Guéant en qualité de ministre de l’intérieur à saisi le TGI et dmd que
soit bloqué l’accès au site Cop Watch. Le TGI fait droit à cette demande + ordonne la mise en place de mesures d’accès restrictives
à ce site.
Au niveau de l’UE il s’agit de la même chose, la liberté d’expression en tant que principe est atténuée ds un certain nb de cas : là
aussi on peut douter de l’existence/autorité de ce principe. La CJUE a rendu un arrêt le 13 MAI 2014, Costeja contre
Espagne : affaire dite du droit aux déréférencement, Mr.Costeja avait été saisi en 90s de ses biens immobiliers, sa maison a été
saisi/vendu qui a été publié dans un journal, la version numérique de ce journal été disponible en ligne. Comme conséquences
quand tapait son nom on avait l’info sur la saisie/vente de sa maison. Il saisit la CNIL espagnole en évoquant son droit à l’oubli, il
ne s’agit pas d’effacer l’action d’internet mais slmnt que cette info ne soit plus accessible via le site internet.
La justice espagnole va remonter question préjudicielle à la CJUE, à cette occasion la cour rendra un arrêt intéressant en disant que
l’exploitant d’un moteur de recherches est tenu d’une obligation de suppression de résultat dans certain cas. La cour va
simplement préciser que cette obligation ne s’appliquerait pas si « pour des raisons particulières, telles que le rôle joué par ladite
personne dans la vie publique, l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant du public à avoir
du fait de cette inclusion (dans le moteur de recherche) accès à l’information en question ».
Cela veut dire que ce n’est pas un droit absolu, pas pcq on est cité dans une page qu’on peut demander directement le
déréférencement. Peut déduire 2 choses :
-le droit à l’oubli s’oppose au droit à l’information, la cour veut concilier les 2.
-globalement l’importance que joue la personne dans la vie publique est un exemple d’hypothèse où on va venir limiter
le droit au déréférencement. Juste un exemple, probablement d’autre cas dans lesquelles on va pas appliquer le déréférencement
pcq d’autre cas avec d’autre droits/libertés qui vont primer.
Page 6 sur 59
Marcel MORITZ 2021/2022
La cour de justice se contente d’un exemple, il a fallu ensuite que les CNIL européennes se réunissent à l’époque (le G29, groupe
de 29 de l’article de la directive de 1995, ajd le CEPD). A fixé une liste de critères en matière de déréférencement :
-est ce que la personne concernée mène une vie publique ?
-est ce que les données ont été collectées au moment où la personne était mineure ? Droit au déréférencement renforcé
s’agissant des mineurs.
-est ce que se sont des données publiées à des fins journalistiques ?
-est ce que les données concernent une condamnation pénale ?
….
Vient préciser le « telles que » : cette précision amène des réflexions :
-un peu gênant d’avoir un arrêt de la CJUE qui fixe un principe en disant que cela à des limites, sans dire lesquelles.
-que ce soit des autorités admin indépendantes qui viennent lister ces atténuations à ce principe du déréférencement.
-quel est l’étendu du principe de ce droit au déréférencement ? Vu le nombres d’atténuations peut être pas un principe,
insuffisamment tranché pour vrmnt parler de principe, trop de places pour les cas particuliers.
Position sur le privacy shield où la CJUE met à terre ce mécanisme de libre échange entre l’UE et les USA avec la protection des
données. Aurait dû voir une rupture de ces échanges, malgré la décision de la CJUE les échanges ont continué, pcq sinon il y aurait
bcp de manifestations afin d’avoir les réseaux sociaux par ex. En terme d’effectivité le principe est discutable.
Le 6 OCT 2020, arrêt contre la surveillance de masse et la collecte indifférenciée des informations : la CJUE l’interdit, l’arrêt
fait 85 pages pcq bcp d’exceptions, de choses qui font que les états qui le veulent pourront continuer à pratiquer la surveillance de
masse : le conseil d’état a validé la surveillance de masse avec le risque d’attentat.
Terme de « grands principes » est gênant, aurait fallu parler des principaux enjeux juridiques du droit du numérique, mais pas des
principes. Si on voulait donner un intitulé exact : intro aux principaux enjeux juridiques des usages du droit numérique en droit de
l’UE + droit européen.
Ex : télé, son contrôle passe par des conventions, elles naissent avec la libéralisation des ondes. Ces conventions se justifient par la
nécessité de protéger la jeunesse, sauvegarder le pluralisme. Mais ces conventions difficiles à faire accepter au secteur privé. Pour
faire s’engager Bouygues / TF1 aux conventions ils ont trouvé qlq chose : pour pouvoir émettre une radio/télé à besoin d’une
fréquence hertzienne, capacité de l’air à faire circuler des ondes.
Début des 80s a dit si vous voulez émettre il faut utiliser ces fréquences qui font parti du domaine public hertzien, si TF1 veut
émettre elle droit les utiliser et pour les utiliser il faut une convention, qui est donnée par une autorité, en 1989 le CSA. Grâce à
cette idée, l’état a réussi à garder une emprise sur les médias développés dans les 80s.
Page 7 sur 59
Marcel MORITZ 2021/2022
Les technologies numériques n’ont pas besoin fondamentalement de l’accord de l’Etat, le réseau internet est décentralisé, qui n’est
pas « naturellement » entre les mains de l’Etat mais plutôt d’entreprises privées.
Notamment à cause de ça la puissance publique se trouve affaiblie, elle manque de prise sur ces technologies. Les entreprises du
numérique, les GAFA, ne sont pas juste des entreprises privées comme les autres. Ces géants du numérique ont un poids, une
doctrine qui les distinguent des autres entreprises privées, au point de venir concurrencer la puissance publique.
Peut en déduire que + forts ensemble, l’UE a + d’autorité pour mettre ses entreprises dans le rang. Peut aussi se dire qu’il y a ces
dernières années une volonté des états, parfois collectivement au travers de l’UE, de reprendre en mains les géants du numérique.
Il y a une sorte de mécanisme d’auto-défense qui s’est mis en place, comme si qu’on s’était rendu compte que ces entreprises
peuvent faire du tort à la puissance publique/états.
De ce pdv la dernière actualité vient des USA, 6 OCT 2020 : la chambre des représentants du parlement américain a produit
un rapport consultable en ligne (469 pages) qui consiste en une enquête parlementaire de 16 mois. Il y a bcp de critiques des
géants du numérique + suggèrent en ccl que ces entreprises « pourraient se croire hors de portée de supervision démocratique ». Le
rapport fini par conclure en disant que parmi les solutions possibles/envisageables il y a le démantèlement pur et simple de ces
géants du numérique, démantèlement avec pour certaines activités une nationalisation.
Même aux USA qui pourront ont un profit de ces entreprises, le poids de ces entreprises commencent à poser pb, à questionner.
Ces entreprises jouent un rôle trop important à certain égard.
Ex : Amazon, leur activité principale qui est la cash machine et AWS (Amazon web services) qui fait de l’hébergement de données
au profit de structure publique. D’après les dernières données publiées il y a plus de 6500 agences gouvernementales / structures
publiques qui hébergent leur données chez Amazon, y compris la SNCF et d’autre services publiques fr.
Quand l’état fr a pris un cloud pour les données de santé on a confié les données à Microsoft : pose des questions en terme de
souveraineté. Tout ça ne serait pas si grave s’il y avait une forme de dépendance éco et que ces entreprises étaient juste là pour
gagner de l’argent, mais pas le cas.
Page 8 sur 59
Marcel MORITZ 2021/2022
Toutes les thématiques liées à la ville intelligente : l’idée est de rendre la ville meilleure grâce aux données. Ex : dire qu’on
monitor le trafic automobile grâce à des capteurs et en fonction du trafic automobile on va adapter la durée des feux rouges. À
Sangdo en Corée, il y a par ex des télé-consultations de chez vous.
La ville intelligente est mono-sémique + la ville intelligente est une ville où des entreprises privées vont exploiter des données
pour fournir des services publiques améliorées. C’est un outil pour écarter la puissance publique et remplacer cette dernière
par des services techno-centrés.
La vidéo protection intelligente : sujet intéressant + voit cette dépossession de la puissance publique, en qlq années le nombre de
caméras de video protections n’a cessé d’augmenter. Certaines villes possèdes plusieurs milliers de caméras (Nice). Les
technologies se sont développées, transportées (drones) + body cam. Tout ça est relié à un pc sécurité avec des agents qui
regardent.
Or, les activités de police ne sont pas déléguantes : on ne peut pas payer les entreprises privées pr regarder, vu le nombre de
caméras, c’est compliqué et manque d’agents. Bcp d’entreprises de développement des algorithmes qui vont automatiser le
contrôle, détecter les comportements anormaux. L’idée est d’avoir un pré-filtrage, ne montrer aux agents que les choses qui ont
un intérêt. Ex : dispersion de foule, amas de foule, ouverture de portières répétés. Ils savent aussi détecter des objets en temps réel.
De manière général le public demande de la transparence, ça ne le dérange pas d’être surveillé mais veulent juste ne pas voir qu’ils
sont surveillés.
Le souci est que ces technologies peuvent avoir l’effet de déléguer au privé des choses qui normalement ne devraient pas l’être :
via l’algorithme on dépossède la puissance publique d’une partie de sa compétence.
La technologie a aussi ses faiblesses + si n’est pas correctement surveillée peut donner lieu à des dérives.
Ex : algorithme qui a été vendu à la puissance publique aux USA, prédiction de crimes X délits (pred pol), envoie les policiers
patrouiller là où sont le + utiles. Analyse le nombre de crimes x délits commis, quel jour / heure = analyse statistique. Pred pol a
des limites qui ne sont pas neutres, cela comporte un biais d’échantillonnage. En envoyant des policiers dans des quartiers où il y
a bcp de crimes x délits alors + de policiers qui constateront encore + de crimes x délits, viendra un jour où 100% des policiers
seront là où il y a des crimes x délits.
Page 9 sur 59
Marcel MORITZ 2021/2022
Le souci est de faire trop confiance et quand ces technologies échappent au contrôle de la puissance publique.
QUAND UNE COMMUNE UTILISE UN SYSTÈME DE VIDEO PROTECTION INTELLIGENTE EST CE QU’ELLE COMPREND
RÉELLEMENT COMMENT FONCTIONNE CE SYSTÈME, CAPABLE DE COMPRENDRE LES BIAIS AINSI QUE DE LES
CORRIGER ?
Les crypto actifs, crypto monnaie : existe depuis assez longtemps, dès 2008, les premières lignes indiquent que les états sont
visés, entrainer une disruption sur un des fondements mêmes de la puissance publique et des états. Développe le bitcoin avec pour
intention de remettre en cause l’autorité des états. Pdt longtemps les états n’ont pas pris ça au sérieux. 13 ans plus tard après le
livre blanc de Nakamoto les états ne sont plus sereins, les crypto monnaie peuvent remplacer la monnaie publique, celle que les
états battent.
Avec un portefeuille bitcoin on peut payer ses courses. De nbx états ont annoncé vouloir encadre les crypto monnaie (USA,
Europe…). Par ex, la Turquie a été sérieusement mise en difficulté pcq leur monnaie a perdu + bcp de leurs riches personnes ont
investit dans le bitcoin pour pas perdre leur argent, la Turquie a interdit l’utilisation d’autre monnaie que la monnaie nationale pour
éviter cette fuite sur la crypto monnaie.
Les crypto monnaie deviennent une alternative pour certains pays, bcp de gens n’ont pas de compte bancaire mais peuvent avoir
accès à des crypto monnaie, cela devient une forme de monnaie comme les autres. Même une prérogative aussi solide que la
monnaie est attaquée par les technologies.
Page 10 sur 59
Marcel MORITZ 2021/2022
Déclaration qui arrive tôt, les puissances avaient tardé à agir, mais l’UE a identifié le pb assez tôt. Néanmoins, ne l’a pas traité. En
France et dans d’autre pays membres on commence à s’intéresser au sujet, le 16 Juin 1996 un groupe de travail inter ministériel
va publier un rapport (dispo sur vie publique.fr) « internet : enjeux juridiques ». Ce rapport illustre ce qu’il se passe à
l’époque, les pays se posent la question de réglementer internet, l’UE n’a pas envie que les états membres commencent à
réglementer ce nouvel outil de communication. Si les em avaient réglementés chacun dans leur coin on aurait créé de nvelles
barrières au marché unique.
Directive du 20 JUIL 1998, 98/48 : une def de service de la société de l’information, ces services sont « des services fournis
normalement contre rémunération à distance par voie électronique et à la demande individuelle d’un destinataire de
service ». Avec cette nvelle directive qui modifie la directive 98/34 il y a de nouveaux services juridiques à l’information, qui se
caractérise principalement par l’existence d’une demande individuelle.
Très peu de juristes à l’époque ont vu ce qu’il se passait.
Le parlement n’a pas inventé grand chose : il existait la radio, diffusion télé visuelle, qui dans sa définition précisait que sont
exclus de cette catégorie les services fournis sur demande individuelle.
À partir de 1998 les choses sont claires : d’un côté la radio x télévision, des services dans lesquelles il y a un public simultané mais
qui n’est pas actif, celui de la radio/télé est passif. Les nvx services se caractérisent pas la demande individuelle : je clique sur un
Page 11 sur 59
Marcel MORITZ 2021/2022
lien, la page s’affiche, ma propre navigation. Cette dichotomie va donner naissance à deux régimes juridiques distincts : directive
du 9 JUIN 2000, sur le commerce électronique + surtt une directive qui évoque le cadre juridique de la société de l’information.
En résumé, à partir de la fin des années 90 début 2000, il y a la télé/radio avec public passif et la société d’information avec un
public actif qui choisit ce qui regarde X quand le regarde.
A partir de 2007 on se retrouver avec une trichotomie : radio diffusion classique / services de la société de l’information / les
SMAD. Les SMAD vont se situer entre les 2 autres pour les réglementations.
Par rapport à l’UE, les quota d’oeuvres/d’expressions européennes, vont s’appliquer aux SMAD alors que les quotas ne vont pas
s’appliquer aux services de société de l’info.
En France transposition de la directive de 2007 par une loi du 5 MARS 2009, cette catégorie de SMAD va être définie comme
des services qui fournissent à la demande un accès à un catalogue de programme dont la sélection X organisation sont controlées
par l’éditeur de services. On va ajouter que sont exclus de la catégorie des SMAD un certain nb de services, notamment les
services « consistants à fournir ou à diffuser du contenu audiovisuel créé par des utilisateurs privés à des fins de partage et
d’échanges au sein de communautés d’intérêts ». Exclusion de YouTube, Dailymotion….
En France bcp de gens ont crié au scandale en disant qu’il s’agissait d’un cadeau à Dailymotion pcq est une entreprise fr qui a tenu
tête à YouTube pdt lgts, au niveau mondial à aussi été ds une situation égalitaire par rapport à YouTube. L’état Fr en 2009
s’introduit dans le capital de Dailymotion par l’intermédiaire d’unes structure : le fond stratégique d’investissement, tenu entre la
caisse des dépôts et l’état français.
Page 12 sur 59
Marcel MORITZ 2021/2022
L’état français est un actionnaire important de Dailymotion, l’état fr sent que la vidéo en ligne va devenir importante et ne veut pas
que les américains deviennent aussi les maitres du monde en matière de plateformes de partage de vidéos en ligne. Face à
Dailymotion il y a YouTube, créé en Fev 2005, ce site est racheté par google en 2006 pour 1.65 Milliards de dollar, énorme pr une
entreprise créée un an plus tôt.
En 2009 l’état fr à un intérêt à ne pas embêter Dailymotion, quand écarte Dailymotion X YouTube des SMAD entraine une
réglementation assouplie, mais dans la directive de 2007 il y a des considérants annonçant le contenu réglementaire X
considérant n°16 qui indique que « au fin de la présente directive la définition du service de média audiovisuel devrait couvrir
exclusivement les services de média audiovisuels, que ce soit de la radio diffusion télévisuelle ou à la demande, qui sont des
médias de masse, c’est à dire qui sont destinés à être reçu par une part importante de la population et qui sont susceptibles d’avoir
sur elle un impact manifeste ».
Le même considérant va inviter les états à exclure des SMAD les services de partage et d’échanges au sein de communauté
d’intérêts. Quand en 2009 on exclu Dailymotion, ça arrange l’état fr mais pas un cadeau pcq était prévu par la directive dans ses
considérants.
En 2007 si on a exclu ces plateformes de partage, c’est parce qu’elles ne sont pas des médias de masse à l’époque. En une
dizaine d’années bcp de chose ont changé : Dailymotion n’est plus un concurrent crédible de YouTube, ce qui confirme l’adage
selon lequel « le meilleur prend tout ». Dans le domaine du droit du numérique on peut pas oublier le fait que les services qu’on a
face à soi sont des services qui deviennent monopolistique rapidement.
YouTube c’est 2 milliards de pers qui consultent le site tous les mois. Services disponibles dans + 100 pays, 80 langues, représente
plus d’un milliard d’heures de vidéos consommées chaque jour dans le monde. Bcp pour un média qui ne serait pas de masse, elles
sont devenues des médias de masse. Les bulles de filtre se construisent sur ces plateformes.
Une nvelle forme de catégorie : le phénomène des plateformes. On avait Internet, la communication audiovisuelle puis les
SMAD et se dvlp un nouveau truc, une 4ème boite appelée les plateformes : Facebook, Instagram sont considérés comme des
plateformes au sens juridique du terme, pareil pour YouTube.
Page 13 sur 59
Marcel MORITZ 2021/2022
personnes avant de leur donner accès à des contenus susceptibles de nuire à l’épanouissement physique, moral ou mental des
mineurs.
Les em doivent imposer aux plateformes de prévoir des systèmes de contrôle parental ou de contraindre les plateformes à des
procédures transparentes de résolution de réclamation, comme la suppression de compte. Affaire de l’origine du monde, un prof
qui avait pour photo de profil « l’origine du monde » de Courbet, pas de pb de droit d’auteurs mais comme sexe féminin alors
suppression. Dit ce que les plateformes doivent faire sans dire comment.
La transposition est difficile, affaire Samuel Patty où il a fallu réagir pcq l’opinion publique était désireuse d’une meilleure
réglementation des plateformes. Doit supprimer dans un délai court les contenus signalés comme faisant l’apologie du terrorisme.
Ces plateformes mettent leur propre contrôle et supprimer d’elles mêmes ces contenus.
Conseil constit dit que la loi Avia est dangereuse pour la liberté d’expression pcq si on impose aux plateformes des sanctions
importantes lorsqu’elles ne retirent pas les contenus où il y a un soupçon d’incitation à la haine, les plateformes vont encore plus
développer le filtrage algorithmique (des robots qui détectent des contenus susceptibles d’être dangereux), donc invalidation de la
loi Avia.
Année 2020 tjrs pas de transposition de la directive de 2018. La solution est venue d’une adoption d’une ordonnance du 21
DEC 2020, 2020-1642, art 22 reprend les obligations de la directive + le conseil supérieur de l’audiovisuel qui doit veiller au
contenu sur les plateformes.
Pose des problèmes : le CSA est le conseil supérieur de l’audiovisuel, les plateformes ne sont pas dedans. Donne au CSA la
compétence d’encadrer les plateformes alors qu’elles ne sont pas des plateformes audiovisuelles, en pratique le CSA devra évoluer,
raison pour laquelle le CSA va devenir l’ARCOM dont la mission sera notamment de mieux réguler la communication numérique,
fusion du CSA et ADOPI mais est surtt un changement majeur de philosophie.
Au tout début, il y avait la communication audiovisuelle, le CSA responsable de cette communication audiovisuelle. Ensuite, s’est
développés les services de la société de l’information, la communication au public en ligne, le CSA n’est pas compétent. Cette
dichotomie a volé en éclats avec le consécration des SMAD en peu de temps, puis les plateformes se sont développées (de vidéos
surtt), les plateformes n’étant pas dans la boite de communication audiovisuelle a dû créer une catégorie hybride, où le CSA
devient compétent sans en avoir les moyens forcément.
Page 14 sur 59
Marcel MORITZ 2021/2022
Directive porte sur la responsabilité des prestataires de la société de l’information, dit au considérant 46 dit que « à fin de
bénéficier d’une limitation de responsabilité, le prestataire d’un service de la société de l’information consistant dans le stockage
d’informations doit, dès qu’il prend effectivement connaissance ou conscience du caractère illicite des activités, agir promptement
pour retirer les informations concernées ou rendre l’accès à celles ci impossible ».
Ce considérant va trouver son pendant normatif dans l’art 14 de la directive qui porte sur l’hébergement dit que l’hébergeur n’est
pas responsable s’il n’a pas connaissance de l’activité ou l’information illicite, ou si dès lors qu’il y a cette connaissance le
prestataire a agi promptement pour retirer les informations et rendre l’accès à celles ci impossible.
Page 15 sur 59
Marcel MORITZ 2021/2022
Il s’agit du régime de responsabilité le plus favorable possible pour les hébergeurs. Ce texte signifie qu’on peut héberger
n’importe quoi, ne devient responsable qu’à partir du moment où il y a une connaissance réelle de l’illicéité de ce qu’on héberge,
et à partir de ce moment il suffit d’agir promptement (sans délai) pour se dégager de sa responsabilité.
Un hébergeur est qlq qui est payé pour stocker et rendre accessible un site internet. Cette irresponsabilité à un sens pcq il n’y a pas
encore les réseaux sociaux. À l’époque, Google vient de louer ses premiers locaux, a slmnt 8 salariés, peut pas imaginer YouTube
etc…
L’art 15 de la directive ajoute au profit des hébergeurs et des fournisseurs d’accès n’ont pas d’obligations générales de
surveillance, pas a chercher par eux même, filtrer le contenu…
ii. L’absence
d’obligations de surveillance et de filtrage
La directive art 15 prévoit une absence d’obligations générales de surveillance. Assez logique s’agissant des hébergeurs
classiques. Se posait la question qlq années après la directive des années 2000 s’il fallait continuer cette non obligation de
surveillance s’agissant des réseaux sociaux.
Les réseaux sociaux reposent sur une réalité économique différente, l’hébergeur est payé pour héberger le site. Quand publie des
choses sur un réseau social on ne paye pas le réseau, il gagne de l’argent grâce au contenu publié. La logique éco est complètement
différente.
Il aurait fallu imposer une vraie responsabilité à ces acteurs, arrêt 16 FEV 2012, C360-10, Sabam contre Netlog : Sabam est
une société de gestion de droit, Netlog est un réseau social type My Space. Sur ces espaces de réseaux sociaux, il y avait des contre
façons d’oeuvre notamment musicaux qui pouvaient être téléchargés. La cour de justice doit se pencher sur la resp de Netlog,
réseau social gratuit.
La cour de justice précise que Netlog n’a pas d’obligation de filtrage, que ce serait disproportionné et donc serait excessif par
rapport à la liberté de recevoir ou communiquer des informations, ne veut pas dire que ces hébergeurs ne peuvent jamais être
contraints de filtrer, on ne peut pas leur imposer d’obligations générales de surveillance et de filtrage.
Avec ces JP, les géants de l’économie juridique du web 2.0 vont se trouver très peu responsables des contenus avec une absence
d’obligations de surveillance sur ce qu’il se passe chez eux. Est discutable pcq leur modèle éco est différent des hébergeurs de
2000.
Page 16 sur 59
Marcel MORITZ 2021/2022
Concrètement va amener à une forme de banalisation de la violation du droit d’auteurs, et surtout des acteurs (Facebook
google…) qui vont gagner bcp d’argent grâce à cette violation du droit d’auteurs devenus quasi systématique. Avec cette
directive de 2000, on dynamise ces entreprises et leur permettre de gagner bcp d’argent.
Ajd plus slmnt le pb de violation du droit d’auteur, un pb de polarisation de la société, fake news, bulle de filtre… ces hébergeurs
qui sont des RS en grande partie influencent.
Il y a une évolution jurisprudentielle : la cour de justice a rendu un arrêt le 3 OCT 2019, Facebook : arrêt où la cour estime
qu’il est possible pour les juges d’enjoindre à un hébergeur de « supprimer des contenus identiques ou équivalent à un autre
contenu déjà jugé illicite et cela au niveau mondial ». La cour estime que « les injonctions de retraits doivent même s’étendre au
contenu qui sont des contenus équivalents à ceux déjà déclarer illicite », des contenus qui même sont présentés de manière
différentes portent sur le même type de message.
Obligation de Notice and Take down, à une obligation de Notice and stay down. S’il y a une fausse information et que cette
fausse info a été jugée illicite et qu’un contenu a été supprimé par l’hébergeur sur décision de justice, il devra s’assurer que cette
info est bien supprimée + non remise + que des info analogues ne seront pas publiées.
L’obligation de filtrage et de surveillance qui est exclu en 2000 revient. La CJUE au détour d’un petit arrêt passé inaperçu impose
une responsabilité renforcée.
Il existe ajd au sein de l’UE un projet ambitieux, appelé le digital services act package, ensemble formé par deux règlements,
dont les projets ont été présentés le 15 DEC 2020 :
Ce qui veut dire que l’obligation de filtrage et de surveillance qui était exclus en 2000, revient. C’est ici une forme de contrôle sur
le contenu. La CJ au détour d’un petit arrêt impose non pas une obligation générale de surveillance mais une responsabilité
renforcée.
Il existe ajd au sein de l’UE un projet ambitieux, le « digital service act package », qui est un ensemble formé par deux règlements
dont les projets ont été présentés le 15 décembre 2020. Les deux règlements :
- Digital Service Act (DSA)
- Digital Service Markets Act (DMA)
Le DMA est un règlement portant essentiellement sur les problématiques du droit des concurrences, l’idée étant t’attaquer les
plateformes sur la base du droit de la concurrence. Le Digital service act vise lui à renforcer les obligations imposées aux
plateformes avec de nouvelle obligations de transparence, de nouvelles garanties pour les consommateurs, mais aussi des mesures
Page 17 sur 59
Marcel MORITZ 2021/2022
contre les contenus illicites avec des procédures de signalement renforcés (des délais impératifs et avec des signaleurs de
confiance).
Autorité particulière en matière de signalement de confiance : services où les signalements devront être étudiés de manière
importante. Parmi les signaleurs de confiance il peut y avoir les gestionnaires de droit d’auteurs (SACEM), des associations de
luttes contre le racisme / antisémitisme / protection des mineurs / droits des femmes…
Ce règlement DSA envisage une responsabilisation plus accrue et pour certains hébergeurs mettrait fin à cette quasi totale
irresponsabilité. Les projets ont été publiés fin de 2020, 2021 est une année de concertation et pourrait prendre effet en 2022.
Le texte DSA fait un distinguo entre les plateformes classiques et les très grosses plateformes, celles qui sont vues / consultées par
le + grand nombre d’internautes, une accountability renforcée, l’auto responsabilisation, n’est pas juste de l’auto régulation.
Dans la directive de 2000 il y a aussi les FAI, le régime est là aussi un régime assez large de responsabilité.
Art 15 directive vise les prestataires techniques dans son ensemble (hébergeurs, FAI) et n’ont pas d’obligations générales de
surveillance ni d’obligations générales de rechercher des faits / circonstances révélant des activités générales illicites.
Il y a sur le papier une absence globale d’obligation de surveillance qui peut s’expliquer à l’époque par une doctrine qui est celle
du simple transfert : ceux qui font du simple transfert n’ont pas de resp par rapport à ces informations transférées. Aux USA, la
justice avait refusé d’imposer à un fournisseur d’accès de bloquer l’accès à un site qui vendait des tshirts humoristiques en lien
avec les attentats d’Oklahoma City. La directive de 2000 s’inspire de ce que existe ailleurs et en particulier du droit américain, en
posant ce principe.
La position américaine pouvait se discuter, notamment par rapport à la position française qui avec la loi 1981 démontre une resp
historiques ancrée des acteurs techniques de la presse écrite. Aurait pu imaginer qu’au niveau de l’UE il pu y avoir une adoption
différente pour ces acteurs techniques. Cela sera fait en partie avec la possibilité d’un filtrage sous condition.
Page 18 sur 59
Marcel MORITZ 2021/2022
Affaire CJUE 27 Mars 2014, TelekableWin c314/12 : protection de la propriété intellectuelle, Telekable demandait une
injonction de bloquer l’accès à un site internet qui permettait de visionner des films en violation de ses droits d’exploitation. Les
droits fonda reconnus par l’UE n’interdisent pas à un juge d’enjoindre un FAI de bloquer l’accès à un site sous certaines
conditions, notamment, qu’il soit indemnisé + que soit fait un distinguo entre le filtrage des contenus licites X illicites.
3. La
responsabilité des autres prestataires techniques.
Il existe des prestataires techniques comme les prestataires de caching, la mise en mémoire cache (stockage temporaire) + ttes les
activités de transmission / d’informations de la transmission sur les réseaux (art 12).
Pour ces acteurs qui transmettent cela, la resp est inexistante, ces acteurs ne deviennent responsable qu’à partir du moment où ils
agissent sur le contenu même de l’information. Si en transmettant l’information elle est modifiée alors les acteurs deviennent des
éditeurs, deviennent responsables.
Concerne aussi le volume d’informations concernées, engendre une situation économiquement avantageuse, les GAFAM (Google,
Fb, Amazon) vont énormément investir dans les infrastructures autant de caching ou de fibre optique, notamment les câbles sous
marins.
Il y a ajd + de 400 câbles sous marins, 1er câble posé en 1850, a fonctionné pdt 11 min. Ajd, ils sont en grande partie posé par fb,
google, microsoft : fb X microsoft ont travaillé ensemble en 2016/2017 pour poser un câble transatlantique de 6600 km
(Portugal / Virginia Beach), exploité en Fev 2018, capable de transférer 160 terrabeat/sec, câble Maréa.
Ce câble prouve plusieurs choses :
-les grandes infrastructures dont dépend Internet ne sont pas mises en place par les états : pas la puissance publique qui
met en place ces infrastructures X exploitent mais géants du numérique. Ajd puissance publique se trouve tributaire
d’infrastructures qui appartiennent aux grandes entreprises.
Le câble Maréa comporte 8 paires de fibre optique, sur ces 8 paires il y en a une qui a fait l’objet d’une concession : à Amazon. Ne
doit pas imaginer que les géants du numérique travaillent isolément, agissent ensemble sans la puissance publique.
-Cable Dunante, relie les USA à St Hilaire, opérationnel depuis 2021, le + performant. Sur ce projet, Google a travaillé
avec Orange. Orange est un petit peu l’état fr, les opérations continuent avec un autre câble google potentiellement utilisable en
2022.
En 2018 choix de la resp forte des prestataires, ou si avait fait le choix Pol d’investir de l’argent publique à ça et donc à laissé la
place aux entreprises dont on est tributaires.
Page 19 sur 59
Marcel MORITZ 2021/2022
4. La
transposition de la directive 2000/31.
Aurait du intervenir avant le 17 JANV 2002, mais durant la loi LCEN du 21 JUIN 2004. Une transposition difficilement lisible,
pcq il y a des choses codifiées, d’autre non codifiées donc uniquement présentes dans la loi + art 6 de la loi (question de la resp des
prestataires techniques), fait 1 page et demi X illisible pcq renvoi à d’autres arts.
A inséré dans la loi LCEN un point 5 de l’art 6, précise ce qu’on entend par notification d’un contenu illicite. S’il est une
personne physique, le notifiant doit mentionner nom + prénom + email / si pers morale alors doit mentionner la dénomination
sociale exacte, forme sociale, adresse email + décrire précisément le contenu litigeux avec la localisation précise (URL) +
mentionner les motifs légaux pour lesquels ce contenu devrait être retiré ou rendu inaccessible + joindre copie de la
correspondance adressé à l’auteur X éditeur qui demande le retrait / modification du contenu ou justifier que l’auteur / éditeur n’a
pas pu être contacté. À défaut, la notification à l’hébergeur n’est pas valable.
En ccl, l’UE a choisi une solution souple, qui quand elle a été adopté avec la directive était une solution assez acceptable X
cohérente. Une 20aine d’années + tard a favorisé la naissance de géants du numérique à tel point qu’ajd les définitions qui étaient
celles de 2000 sont en pratique assez différente.
Ajd ts l’enjeu du droit de l’UE X DSA / DMA est de reprendre la main sur les grandes entreprises qui ont eu la belle vie avec un
régime de resp très souple. N’est il pas déjà trop tard ? Jusqu’où avons nu une aptitude à réglementer les plateformes ?
A une époque les « médias » étaient tributaires d’infrastructures qui étaient publiques (ondes hertziennes), l’état avait de la
pression sur les entreprises en pouvant stopper les aides publiques. Ajd, la puissance publique est tributaire des infrastructures
exploitées par ces entreprises. Demain, l’ARCOM sera le gendarme des plateformes et devra négocier avec Google, Netflix… quel
sera son moyen de coercition ?
Google dit que les nations telles que connues mtn disparaitront à cause des technologies. Sans les données à caractères perso on
aurait pas autant de soucis.
Page 20 sur 59
Marcel MORITZ 2021/2022
Page 21 sur 59
Marcel MORITZ 2021/2022
On les obtient en partie grâce à l’analyse de l’historique internet X cookies, qui permettent de mieux connaître les goûts pcq ils
sont capables de communiquer entre eux. Les experts considèrent que 80% des cookies sont devenus inutiles :
-certains sont idiots, si se connecte avec GMAIL alors inutiles.
-fingerprinting : analyse des informations techniques de notre utilisation. Donne l’adresse IP, info liées à l’affichage
écran. Les paramètres écrans sont uniques, l’ordinateur a une configuration quasi unique au monde, comme si on laissait son
empreinte digitale, peut être suivi d’un site à l’autre donc plus besoin de cookies. Le VPN est inutile pcq données machine restent,
seule solution est de changer les paramètres machines régulièrement.
Ce profilage est difficile à s’en défaire, les cookies sont un outil, le RTB est présent. Les catégories publicitaires sont aussi
généralement générées par des algorithmes en fonction des tendances, tout ça sans supervision humaine.
En 2017, un petit scandale a éclaté, et a découvert que les principaux RS dont FB avait permis a des annonceurs de cibler des
catégories de pers problématiques (racisme, antisémite) pcq algorithme avaient vu une tendance pour ce contenu donc généré des
catégories publicitaires proposées des annonceurs.
Les DACP sont la base de tout, si l’économie gratuite à su se développer, c’est grâce à ces données à caractère perso, il faut
encadrer l’activité de ces grandes plateformes. La protection des données perso est devenu un outil de réglementation des
entreprises alors qu’à l’origine pas ça du tout, la protection des DACP était presque du droit admin, protéger les administrés contre
les abus de l’administration : cet aspect s’est délité, la protection des DACP est un encadrement des activités éco privées.
Page 23 sur 59
Marcel MORITZ 2021/2022
L’UE s’est réveillée pcq Internet commence à se développer à l’époque, ttes ces données constituent un marché, qui vaudra bcp.
L’UE se dit que s’il n’y a pas de directive il y a un risque de cloisonner le marché unique le Conseil de l’Europe a propose conv
108 mais laisse bcp de marges de manoeuvre aux em.
La philosophie de la directive de 1995 ne ressemble à pas à celle du conseil de l’Europe, philosophie est le libre échange, une
forme d’harmonisation. Cette directive de 1995 a des points interessants qui constituent de vrais apports, mais un texte qui vise à
protéger le marché unique numérique :
-le champ territorial de la directive : s’applique même si le resp du traitement n’est pas situé dans l’Union, mais s’il
utilise des moyens qui ont sont situés sur le territoire de la commu de l’UE. La directive permet une forme d’extra territorialité,
entreprise américaine qui a un serveur en Belgique.
-Art 29 de la directive, art 29 créé un groupe formé par les autorités de protection de données perso, forment un groupe
appelé le groupe de l’article 29 qui rendra des avis, considérations, travail d’harmonisation de l’interprétation du droit en matière
de DACP, il va jouer un pole important.
Ex : le G29 va décider que les DACP pouvait être individualisantes et non identifiantes.
Texte porté par des objectifs éco, raison pour laquelle la directive écarte de son champ d’application des domaines importants
comme sécurité publique, défense, sureté de l’état ou pénal.
RQ 1 : même si la directive n’apporte que peu de choses, elle fait partie des transpositions les + tardive en droit interne (loi du 6
aout 2004, aurait du être transposée dans un délai de 3 ans en principe).
Les français qui avaient « inventé » la protection des DACP considéraient qu’il n’y avait pas grand chose à modifier donc la
transposition pas urgente.
Ce délai n’a pas eu d’impact, la cour de justice à considéré que la transposition était quand même invocable (arrêt 20 MAI 2003,
radio autrichienne, qui autorise l’invocabilitié).
RQ 2 : cette directive laisse bcp de marge de manoeuvre aux em, parfois sur des sujets importants voire très importants : la
directive ne précise pas les sanctions applicables, em restent libres de choisir les sanctions les + adaptées : laisser cette question à
l’appréciation des em dénote un manque d’harmonisation.
RQ 3 : n’est pas un texte de protection des libertés individuelles, un texte de libre échange. Est la raison pr laquelle la charte des
droits fondamentaux de l’UE adoptée le 7 DEC 2000, comporte l’art 8 relatif à la protection des DACP pour compenser le fait
que dans la directive il n’est pas question de ses droits pour les individus mais davantage pr les entreprises.
Dans l’art 8 prévoit que « tte personne à droit à la protection des DACP la concernant », la protection des DACP est un droit
fondamental.
« Ces données doivent être traitées conformément à un certain nombres de règles : loyauté du traitement + finalité
déterminé + consentement ou autre base légale de la personne ».
Cet article précise que ces droits sont protégés par une autorité indépendante, dans chaque em il en faut une.
RQ 4 : ce texte exclu les traitements en matière de police X justice + exclu largement les traitements de données par les instances
communautaires elles-mêmes.
Adoption règlement 18 DEC 2000 qui s’applique aux instances communautaires : spécifique du traitement des DACP par les
instances, avec la naissance d’un contrôleur européen pour les données qui doit s’assurer du respect de ce règlement par les
institutions européennes.
Avec le temps la directive va vite se trouver dépassée pcq entre 1995 / 2000 le contexte économique a changé, une économie
dominée par les entreprises américaines donc de nvx enjeux.
La directive de 1995 est inadaptée parce qu’elle s’applique géographiquement aux entreprises qui ont un moyen de traitement au
sein de l’UE, sauf si ce moyen de traitement est un simple moyen de transit.
Le champ d’application territorial du texte n’est pas adapté à cette nouvelle économie numérique dominée par les USA.
Le fait que cette directive repose encore sur une formalité préalable pose problème, les formalités préalables où on déclare ses
traitements voire faire autoriser pose un soucis.
Double conséquence négative :
-ces déclarations préalables ont un sens quand ces traitements restent limitées. Quand il y a des millions de demandes
chaque année il y a une incapacité des organes de contrôle à tout vérifier, une logique d’enregistrement sans contrôle.
Les entreprises pouvaient croire légitimement que le numéro de confirmation pouvait permettre une forme d’exonération, mais en
principe ne correspond à rien
Page 24 sur 59
Marcel MORITZ 2021/2022
-art 24 directive renvoyait aux em le soin de « prendre des mesures appropriées » pour appliquer la directive. Dans
de nombreux états les mesures appropriées n’ont pas été présentes, souvent trop légères.
Jusqu’en 2010 en France la sanction max était de 150 000 d’amende. Il fallait harmoniser les sanctions X les augmenter très
sérieusement.
Le fait d’utiliser une directive montre aussi le manque de sévérité, il aurait fallu prendre un règlement. L’idée d’un règlement est
évoqué dès 2010, à la fois tôt en se disant qu’il entrera en vigueur en 2018, mais tard quand on se dit que google règne depuis
début 2000 et Facebook installé en Europe en 2007.
Les négociations vont durer 4 ans (2012/2016), près de 4000 amendements (records avec l’agriculture commune). Les grandes
entreprises vont débourser des millions en lobbying pour défendre les intérêts de chacun. Les intérêts éco vont être très importants
pcq peuvent détruire ou enrichir une entreprise.
Ex : comment définir la donnée de Santé ? Une donnée qu’on ne peut pas traiter normalement, le lobbying a consisté en
multipliant les exceptions + création des données de « bien-être » qui auraient pu être traité pcq vrmnt de la santé.
Affaire SNODEN : révèlent au monde que les entreprises ne prennent pas les données uniquement pr le capitalisme mais aussi pr
la sécurité nationale d’anti terrorisme, détournée.
va aussi remettre sous la lumière que les données perso ne sont pas juste des données éco, un droit de la personnalité, élément de
ce que nous sommes, une géopolitique de la donnée.
27 AVRIL 2016, directive police-justice (2016/680). La directive a été publiée le même jour que le RGPD.
Porte sur le traitement de données à des fins de prévention X détection à des fins pénales, prévention des menaces à la sécurité
publique… important dans le domaine pénale X justice X menaces variées pour l’état de droit.
S’il n’y avait pas eu l’affaire Snoden alors directive n’aurait jamais eu lieu, mais a considéré qu’au niveau de l’UE les DACP
n’étaient pas qu’économique, mais aussi un droit de la personnalité susceptible d’être très largement limité par la puissance
publique.
A mis en lumière ce besoin de protection X origine de la protection des DACP + le signe d’un virage « social » de l’UE, pas
qu’un marché mais se préoccupe d’autres enjeux en matière de liberté publique.
Page 25 sur 59
Marcel MORITZ 2021/2022
l’anonymisation, rend les informations découvertes audit gouverneur en lui démontrant que ça ne fonctionne pas.
Elle fait une thèse, prof à Harvard, découvre le croisement de données qu’il ne faut pas regarder de manière isolée.
Le G29 a rendu en 2014 un avis sur les techniques d’anonymisation, quand elle est anonymisée n’est plus personnelle et vice-
versa, si elle est anonymisée, impossible d’individualiser la personne + corréler des infos + déduire des infos d’un individu
(profiler) alors il faudrait parler d’identifiable, profilable.
La cour de justice n’aide pas bcp, elle dit qu’une adresse IP est une donnée personnelle si cette adresse IP rend la personne
identifiable, si le fournisseur d’accès à Internet dispose de moyen d’identification de la personne. Idiot pcq sous entend qu’une
adresse IP est parfois une DACP, d’autre fois ne l’est pas. L’adresse IP permet d’individualiser, suivre les traces d’individu sur
Internet.
Le champ d’application territorial : une des faiblesses est que des entreprises américaines n’étaient pas soumises au texte, le
RGPD change la donne : le règlement s’applique si le responsable de traitement est dans l’UE + s’applique aussi quand le resp de
traitement proposent des biens/services à des personnes se trouvant dans l’UE ou au comportement de personnes se trouvant dans
l’UE (call center marocain qui appelle des européens). Est la volonté de mieux contrôler les entreprises américaines, mais aussi
pour les autres.
La chose la - vu dans le RGPD, alors qu’est la nouveauté la + saillante du texte.
Impose notre vision de la protection des DACP à travers le monde alors qu’on voudrait pas subir la même chose envers les autres.
Cloud Act : loi américaine adoptée au même moment que le RGPD, oblige les entreprises américaines à collaborer avec la
justice américaine afin de livrer les données des clients même si elles sont hébergées hors des USA. Est un texte territorial,
une forme de réponse diplomatique pcq on impose le RGPD eux imposent leur surveillance de masse.
Un cloud souverain n’est pas juste un cloud qui héberge les données en Europe, mais est soumis uniquement au droit de l’UE.
Notion de responsable de traitement et de sous traitant, est juridiquement responsable + devra payer l’amende administrative.
Est celui qui détermine les finalités X moyen du traitement. Dit ce qu’on doit traiter, pour quelle fin, combien de temps…
Le sous traitant est qlq qui travaille sur ordre du responsable de traitement, pour son compte. Ce sous traitant peut être situé au sein
de l’Union, peut être un call center, un hébergeur.. il peut aussi être situé ailleurs que dans l’UE. Ce qu’il faut comprendre est que
comme le RGPD s’applique largement de manière territoriale, il va s’appliquer aussi à tous les contrats de sous traitance. Cela veut
dire que le responsable du traitement est responsable de son propre traitement + de l’intégralité de ses sous traitants.
Cela signifie que le responsable de traitement doit s’assurer que le RGPD est assuré par le sous traitement avec +ieurs solutions :
-si le sous traitant est dans l’UE alors pas de soucis pcq la donnée ne quitte pas l’UE.
-si le sous traitant n’est pas dans l’UE alors va falloir dans le contrat responsable/sous traitant mettre des clauses
contractuelles qui garantiront une équivalence de la protection = des clauses contractuelles types. Elles imposent le RGPD à des
milliers de sous traitant partout dans le monde.
Il y a une double extra territorialité, responsable X sous traitants.
Page 26 sur 59
Marcel MORITZ 2021/2022
Cmb de temps peut on garder nos données ? Dépend de ce qu’on vend, si est svt acheté ou pas.
Ce qui est + nv est la redéfinition des bases légales. Est ce qui va fonder le traitement, son socle juridique. + svt, est le
consentement de la personne à propos du traitement qui l’a concerne. Il faut un consentement libre et éclairé, qui ne l’est jamais
en réalité.
Il faudrait que les conditions puissent être comprises, qu’on sache vrmnt ce que devienne nos données, mais ajd les traitements
sont si complexes qu’il est difficile d’expliquer ça clairement au consommateur.
Comment garantir un consentement éclairé ? Grâce à des pubs / vidéos etc (ce que font le GAFA).
Néanmoins, il faudrait que le consentement soit libre et est difficile de ne pas avoir gmail, ni de réseaux sociaux.
Base légale fragile pcq peut être remis en cause X peut être révocable, on peut retirer notre consentement, signifie qu’il faut
effacer nos données après ça.
Il y a des situations où le consentement ne devrait pas être utilisé, ex : badgeuse (ttes les heures X nos noms) et cela ne doit pas
reposer sur le consentement pcq 1/ consentement des employés peut être refusé - 2/ consentement ne peut pas être libre et éclairé.
Autre base légale : « les intérêts légitimes poursuivis par les responsables de traitement ». Le texte ne définie pas clairement ce
qu’est un « intérêt légitime », ex : la badgeuse. Google pourrait parler d’un intérêt légitime, là pour gagner de l’argent, mais n’est
pas admissible dans l’intérêt légitime.
D’autre base légale comme la mission d’intérêt public, l’archivage de contrat, responsabilité légale de garantie (Kya, 7 ans de
garantie, donc peut garder pdt 7 ans les données).
Les données sensibles : toutes les données sur l’opinion religieuse, race, santé, sécurité sociale, empreinte biométrique = pas nv
pcq existe déjà dans les 70s.
Ttes ces données là leur traitement est interdit, en principe, pcq il y a plusieurs exceptions.
En rendant public les données personnelles, par ex donnée de santé, peuvent être utilisées une fois la publication autorisée.
La donnée de santé se définit comme toute donnée permettant de tirer une conclusion sur l’état de santé d’un individu. Ces
données valent cher pcq elles ont un intérêt éco majeur, dans la banque / assurance / mutuelle…
Page 27 sur 59
Marcel MORITZ 2021/2022
débarrasser de gmail on peut prendre nos emails et les emmener chez un autre hébergeur. Est supposé marcher comme ça pour
plein de services, le souci est qu’avec Facebook on peut le faire techniquement mais qu’allons nous en faire, qui est le concurrent
de Fb, donc pas de vrai droit à la portabilité, à cause de limite concurrentielle.
Ce droit est un droit dévoyé, utilisé pour récupérer ses données dans l’hypothèse où veut supprimer un compte et veut récupérer
nos données. (Ex : google take out).
La portabilité ne donne pas accès aux données secondaires, mais accès aux données primaires parfois oubliées (Fb ne découvrira
rien, mais Google peut récupérer donnée de géolocalisation de données par ex).
Droit de refuser les décisions automatisées : les décisions de profilages… celles qui affectent la personne peut refuser les
automatisme (sauf consentement par ex).
Les décisions automatisées sont ajd une des + grandes problématiques du droit de l’UE, le RGPD n’est pas suffisant pcq est
entouré de décisions prises par des algorithmes, qui ont un impact fort sur nos vies (ex : bulle de filtre).
Dire qu’à l’avenir, à chaque fois qu’une décision repose sur un algorithme, devrait avoir un bouton neutre de manière à choisir si
on veut voir un contenu reposant sur l’algorithme ou neutre.
Le RGPD entame qlq choses autour des décisions automatisées mais pas suffisant. En France, on interdit les décisions admin
fondées sur ces décisions automatisées, mais en même temps il y a Parcoursup, une décision fondée sur un algorithme.
Droit à ce que les données soient sécurisées : le RGPD va loin, énormément de cyber-attaque etc.. art 32 RGPD : il faut adapter
la sécurisation au risque. Si on traite des données sensibles alors il faut une sécurité importante. Si on doit stocker des données de
santé il faut une certification, n’importe qui ne peut pas le faire.
Idée est de garantir la confidentialité, résilience, intégrité et disponibilité des données. Il y a des attaques qui visent l’intégrité des
données, d’autre qui visent pas l’intégrité des données mais slmnt les disponibilités (surcharge un serveur de données).
Cette précision se double d’une notification, de communication des incidents en matière de vol de données. Avec le RGPD si on se
fait voler les données et qu’il y a un risque pour le droit et liberté des personnes, doit être notifié en dessous de 72h notifié à la
CNIL, si ce risque est élevé il faut en plus communiquer à la personne concernée.
Ajd il faut se dmd le degré de risque : si elles sont chiffrées avec bonne clef de chiffrement 0 risques donc osef, si risque élevé
comme donnée de santé il faut dire à la CNIL + personne. Art 33 + 34 RGPD.
Pdt des années en cas de vol de données les entreprises le + svt faisaient rien, le cachait et croisait les doigts pr que rien n’arrive.
Ajd il y a + de cyber attaques, et mtn ne sont plus cachées. La plupart des cyber attaques utilisent le social engineering, utilisation
des faiblesses humaines (faux ordres de virements…).
Page 28 sur 59
Marcel MORITZ 2021/2022
-données à large échelle : données de santé, donc sensible, issus de patients il y a 3 critères donc audit de préalable.
-personnes vulnérables
-surveillance systématique
-usage innovant
Si 2 exemples il faut un PIA, peut être fait n’importe comment (papier par ex) ou sur la CNIL un logiciel open source pour faire un
PIA. Outil de simplification des contrôles, contacte par appel ou email, gain de temps. Demande de faire le travail de mise en
conformité en amont du traitement de données.
Le RGPD apporte des nouveautés importantes + pourraient être des avancées significatives.
Finalement, le RGPD est aussi décevant :
-cette privacy by design est un concept nord-américain, un aveu de faiblesse et d’impuissance, l’auto régulation est un
combat d’échec.
Demander aux entreprises de s’auto-réguler est la preuve que pas été capable d’imposer les textes, pas capable en tant que
puissance publique de faire son travail.
2e critique à l’encontre du RGPD : le texte dans son ensemble comporte de nombreux points d’ombre. De nombreuses notions
sont floues, parmi celles-ci on retrouve la notion d’intérêt légitime.
L’intérêt légitime = l’une des bases légales. Mais jusqu’où l’intérêt légitime peut avoir une définition large ? Peut-on
considérer que l’intérêt économique de Google et Facebook constitue un intérêt légitime ? Se pose aussi le pb du
consentement car c’est une base légale qui pose un problème en économie car celui-ci peut être révoqué. On peut révoquer notre
consentement, donc dès lors le traitement n’a plus de base légale.
Dans le RGPD on nous dit par exemple dans considérant 47 « qu’un tel intérêt légitime pourrait par exemple exister lorsqu’il
existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations
telles que celles où la personne concernée est un client responsable du client ou est à son service ». => compliqué de
compréhension, ça veut dire quoi une relation pertinente et appropriée ? On en sait rien !
Ce considérant 47 continue : « le traitement des données personnelles à des fins de prospection peut être considérée comme
étant réalisée pour répondre à un intérêt légitime ». => l’intérêt légitime peut recevoir une définition très large.
Page 29 sur 59
Marcel MORITZ 2021/2022
Heureusement les autorités de contrôle ont une vision + restrictives de l’intérêt légitime. Mais cela est fragile, que dira le juge
quand il sera saisi de cette question ? C’est pourtant une notion cruciale dont les portes sont grandes ouvertes.
La notion de risque élevé est une notion qui apparait souvent dans le RGPD. Par exemple, on parle de risque élevé quand il faut
informer les personnes concernées quand il y a un vol de donnée, mais ce risque élevé n’est pas défini dans le règlement. De la
même manière le traitement de données à grande échelle, la notion de grande échelle n’est pas non plus définie par le règlement.
On peut se demander si c’est normal qu’un texte si important n’est pas été capable de définir lui-même des concepts aussi
essentiels. Aussi, on peut parler de la notion clé de la DACP, la définition de cette notion dans le RGDP est imprécise et parfois
improductive. Les concepts ne sont pas très précis, et c’est souvent fait exprès pour laisser la marge aux autorités de contrôle.
3e critique à l’encontre du RGPD : l’harmonisation à certain égard reste insuffisante, surtout pour un règlement. On est passé
d’une directive à un règlement, on aurait pu imaginer une grande précision du texte, qu’on nous explique exactement ce qu’on
peut faire ou non. Au lieu de ça, le texte a laissé une marge de manœuvre aux EM sur les sujets parfois importants. Par exemple
l’âge de la majorité numérique est fixé par défaut à 16 ans. Mais cet âge est prévu dans le texte qu’il peut être abaissé jusqu’à 13
ans.
Conséquence ? les EM ont adoptés des âges de majorité numérique qui sont très différent, certains pays ont gardés les 16 ans du
RGPD (Allemagne, PB, Hongrie), d’autres ont été au maximum de la souplesse en adoptant l’âge de 13 ans (Irlande, Espagne,
Pologne) et d’autres pays ont adoptés des âges entre les deux : la France a adopté une majorité numérique à 13 ans.
Tout cela signifie que pour un acteur économique, cela fait un sacré foutoir. Car si on propose nos services à destination de mineur
de l’UE, dans certains pays on pourra recueillir le consentement dès 16 ans, d’autres dès 13 ans etc.
Conséquence : bcp d’acteur économique vont s’affranchir de ces règles nationales et vont faire des arbitrages (= le risk
management). Et donc ces acteurs vont prendre le risque, et ne vont pas adapter leur règlement d’utilisation en fonction du pays,
mais vont avoir un règlement globale et au pire si ils se font sanctionner c’est pas grave. On peut donc se demander pq on s’est pas
mis d’accord sur un âge précis.
Les états ont aussi une marge de manœuvre en terme de renforcement des exigences de protection. On touche à des choses
essentielles, par exemple l’article 9.4 encadre les données sensibles (= données de santé, opinion politique etc.). Sur ces sujets,
les EM peuvent si ils le souhaitent introduire des conditions supplémentaires y compris des limitations additionnelles.
Concrètement, un état pourrait interdir si il le souhaite totalement les traitements de données biométriques.
Cela signifie qu’une entreprise qui veut traiter des données sensibles, elle ne peut pas se contenter d’analyser le RGDP mais doit
aller voir dans l’ensemble des législations des EM pour voir si il y a des interdictions supplémentaire/ conditions. Ce n’est pas
l’esprit d’un règlement !
Conséquence de tout ça : en France on a adopté la loi du 20 juin 2018 qui est une loi de transposition du RGDP, c’est en
pratique impossible car un règlement ne se transpose pas, mais vu qu’il y avait un certain nombre de point où la marge de
manœuvre était large les EM devaient préciser par exemple la majorité numérique. => la visibilité du droit est discutable, on se
retrouve avec le code de la PDCP on aura la loi et la RGDP.
Aussi, ce règlement exclut largement de nombreux traitement de puissance publique. Mais attention, le règlement n’exclut par les
personnes publiques. Mais le RGDP exclut un certain nbr d’activité liée à la puissance publique lié au considérant 13 du RGPD.
Concrètement ce sont les activités de sécurité publique, de défense, de sureté de l’état ou encore des activités de l’état dans le
domaine pénal. Tout comme ces activités étaient exclus du champ de la directive de 95. Ce n’est pas nouveau, mais c’est
discutable notamment si on compare le droit de l’UE et le droit européen. Pq ? Car la convention 108 du conseil de l’Europe
n’exclut pas ces traitements de puissance publique, il y a une vraie opposition politique profonde.
L’article 1 de la directive définit son champ d’application. Il dispose que la directive s’applique aux traitements de DACP par les
autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ou
Page 30 sur 59
Marcel MORITZ 2021/2022
d’exécution de sanction pénale, y compris la protection contre les menaces pour la sécurité publique et la prévention de telle
menace.
Il faut donc remplir deux conditions pour entrer dans le champ d’application de la directive:
- Le traitement doit poursuivre une des finalités évoquées : concrètement sont visées les traitements en matière pénales,
les traitements en constatation, le traitement des mesures d’application des peines. Donc très large : part des constatation pénale
jusqu’à l’application des peines. On peut aussi citer les activités préventives contre les menaces sur la sécurité publique, dès lors
que ces menaces sont susceptible d’une qualification pénale. Le maintien de l’ordre, dès lors qu’il a une visé qui est d’éviter des
infractions pénales, est concernée par cette directive.
- La directive renvoi au traitement fait par une autorité compétente : cette notion d’autorité compétente peut
s’appliquer aux autorités publiques (autorité judiciaire, police etc.).
Mais par autorité compétente on peut aussi très bien entendre les organismes ou entité à qui un EM confit des prérogatives de
puissance publique. Par exemple, la SNCF et la RATP disposent de services internes de sécurité. Ces services se voient confier des
prérogatives de puissance publique.
Au passage, il y a un certain nombre de traitement qui échappe à la fois au RGPD et à la directive police justice : les traitements
liés à la sureté de l’état, traitement lié à la défense nationale. Ces traitements sont des traitements qui sont purement régaliens, et
laissé à l’appréciation des EM. Cela signifie qu’en France ces traitements sont régis par la loi informatique et liberté.
On a l’impression que cette directive est un copié collé du RGDP. On retrouve exactement les mêmes définitions pour les
mêmes concepts clés (les DACP, la notion de traitement, la notion de responsable du traitement, de sous-traitant).
On va trouver ensuite les mêmes principes de licité des traitements. L’article 4 de la directive pose les pcp relatif au traitement
des DACP et quand on le lit on a l’impression de retrouver les mêmes principes que dans le RGDP. Mais il manque des choses,
par exemple dans l’article 4 de la directive il manque le principe de transparence (alors que notion fondamentale).
De la même manière, la directive nous dit que les données doivent être non-excessives alors que dans le RGPD on nous dit que les
données collectées doivent être limitées à ce qui est nécessaire. En d’autres termes, la directive permet à la fois de collecter + de
données sous réserve qu’elle ne soient pas excessive, et le tout sans être obligé d’être transparent. Très clairement, la directive est
moins protectrice que le RGPD.
Aussi l’article 15 de la directive porte sur le droit d’accès, qui est une condition importante dans le RGPD et n’a pas de
condition (« vous avez un droit d’accès. »), alors que dans l’article 15 on a un droit d’accès mais ce droit peut être limité voir
totalement restreint. En d’autres termes, la directive reprend le RGPD mais avec une dégradation évidente des droits des
personnes concernées.
Ces obligations ressemblent à celles du RGPD. On va trouver notamment l’obligation de protéger les données dès la conception et
par défaut (article 20 de la directive), tenu d’un registre des activités d’un traitement (article 24), coopération avec l’autorité de
contrôle (article 26), sécurisation des données (article 29), notification des incidents/ violation de données en cas de risque à
l’autorité de contrôle en cas de risque élevée à la personne concernée, transfert internationaux de données encadrées => bref, c’est
tout comme dans le RGPD. Mais, il faudra chercher les erreurs car on a des obligations spécifiques à cette directive.
Par exemple, « le cas échéant et dans la mesure du possible opérer une distinction claire entre les DACP des différents
catégories des personnes concernées » (art 6).
Par exemple, en matière pénale les données peuvent concernées une personnes reconnues coupables mais les traitements peuvent
aussi concernées les victimes d’une infraction pénale, ou les tiers à cette infraction pénale. On comprend que ce sont trois
catégories différentes : auteur, victime, tiers. Et normalement on devrait pas traiter ces données de la même manière. Sauf que
l’article 6 utilise le terme « dans la mesure du possible » ; ces mots sont utilisés 10 fois dans la directive, c’est extrêmement flou.
Ces termes on va le retrouver aussi dans l’article 7 « dans la mesure du possible, il faut séparer les données fondés sur des
faits et les données fondées sur les appréciations personnelles et vérifier la qualité des données » ; dans le règlement les
choses sont claires (les données doivent être exactes et tenues à jour) alors qu’ici on laisse une marge de manœuvre.
Page 31 sur 59
Marcel MORITZ 2021/2022
L’article 8 concerne la licéité du traitement c’est sa « nécessité à l’exécution d’une mission effectuée par une autorité
compétente ». En d’autres termes, pas besoin de base légale : on a pas besoin de consentement, d’intérêt légitime, la base légale
est la nécessité du traitement. Quant aux données sensibles (article 10) ces derniers peuvent être traités en « cas de nécessité
absolue sous réserve de garantie appropriée » => parmi ces conditions il y a par exemple le fait que les données aient été
manifestement rendue publique par les personnes concernées. Cela permet un profilage à des fins de suretés et de sécurité
relativement facile
D. UN BILAN NUANCÉ
-La directive de 2016 est un progrès. Rappelons que la directive de 95 excluait les activités de police, désormais ce n’est
plus le cas.
-Mais en réalité, l’UE bride le RGPD lorsqu’il s’agit d’appliquer ses pcp en matière de police et justice pénale.
L’exemple le plus cruel est celui de la transparence : c’est un principe fondamental dans le RGPD, mais aussi dans la convention
108 , c’est un principe qui est purement et simplement occulté par la directive police justice. C’est un détail, mais c’est un
symbole important. La question des DACP est une question de droit fondamental, ces données font parties de nos libertés
fondamentales.
La directive laisse énormément de marge de manœuvre aux EM dans le cadre de leur transposition. Par exemple en matière
de délai, la directive prévoit une mesure de sécurité qui est la journalisation des traitements. Cela veut dire que les opérations de
collecte, de modification, de consultation et même les transferts des données doivent faire l’objet d’un journal automatisé =>
garanti de l’état de droit. Cette garantie de la journalisation est importante, mais seulement en droit français (et la directive le
permet), cette journalisation est prévue qu’elle soit faite au plus tard en 2026. En d’autres termes, 10 ans après l’adoption de la
directive.
Enfin, la question des sanctions est importantes. Le RGPD est précis en terme de sanction, fixe des sanctions en plafond. La
directive elle vise les sanctions dans son article 67, elle laisse aux EM le choix des sanctions à adopter.
Page 32 sur 59
fi
Marcel MORITZ 2021/2022
possible car il a pas été condamné !
Au final la réponse des autorités judiciaires : refus d’effacement motivé par l’intérêt des services d’enquête. Le potentiel voleur de
livre saisit la CEDH, elle estime que la conservation de ses empreintes digitales est parfaitement disproportionnées et pas
nécessaires dans une société démocratique au regard du fait que la personne a été soupçonné mais n’a pas été condamnée. La Cour
rappelle aussi que la durée d’archivage de ces données est limitée dans le temps mais est de 25 ans, la Cour précise que les
demandes d’effacement ont des chances d’aboutir qui sont hypothétiques. En d’autres termes, la conservation de 25 ans est
devenu une sorte de norme. Or garde pendant 25 ans les empreintes d’une personne qui a été soupçonnée est clairement
disproportionnée.
-La Convention européenne des DH et la CEDH constitue des remparts utiles aux lacunes du droit de l’UE. Mais nuance :
rare sont les personnes qui vont saisir la CEDH. Il y a évidemment une démarche militante.
Entre les USA et l’UE c’est un jeu de politique : on a besoin de leur service de renseignement, on critique leur méthode mais on
veut faire comme eux. Mais reste que les services de renseignements posent problème, notamment sur la question de l’intelligence
économique. Toutes ces données auxquelles les américains ont accès permettent de faire de l’espionnage industriel.
En France la cybercriminalité est un sujet qu’on a abordé de manière précoce avec une loi GODFRIN du 5 janvier 1988,
notamment pcq à l’époque on développe le minitel. Cette loi interdit et sanctionne le fait de pénétrer dans un système
d’information. Elle va aussi sanctionner le fait de nuire au fonctionnement normal d’un SI.
Ajd les enjeux sont différents de ceux des années 80, tout d’abord pcq la cybercriminalité est ajd un phénomène international : les
attaques se déroulent via le réseau internet, ce qui va permettre de multiplier les délits dans nbr pays. Souvent les cybercriminels
sont installés dans des pays où ils savent qu’ils vont avoir une certaine immunité.
Par exemple, quand un rançongiciel a été lancé en 2014 à l’assaut de milliers de système d’information dans le monde entier, ce
rancongiciel a été lancé depuis le territoire ukrainien notamment dans la Crimée. C’est un territoire où l’Ukraine n’avait pas
d’autorité, ainsi que la Russie.
Ce cyber crime est devenu une activité + que rentable. Entre 2016 et 2018 un rencongiciel appelé LOCKY chiffrait des données
de système informatique et demandait un paiement en crypto monnaie en échange de la clé d’information. Ce logiciel a fait + de
5000 victimes officiels dans le monde, mais on peut estimer le nombre de victime à au moins + 10 000. Souvent ces attaques ont
visés de grandes entreprises, des services publiques causant parfois des préjudices économiques importants. Dans cet affaire ce
sont deux juges français qui ont obtenu l’extradition d’un auteur de rencongiciel.
Document à aller voir si jamais approfondir : site du Sénat rapport juillet 2020 « cybercriminalité : un défi à relever au niveau
national et européen »
Évidemment, face à ces enjeux les réponses ne peuvent plus être nationales !
- Une directive 2011/93 du 13 décembre 2011 qui porte sur les abus sexuels et exploitation sexuel des enfants.
- Une directive 40 du 12 aout 2013 qui vise les EM à renforcer leur législation en matière de cyber attaques à
grande échelle, elle va être à l’origine en 2015 d’un renforcement en France des sanctions de la loi GODFRIN en matière
d’attaque contre les logiciels de l’état.
- Une directive 2016/1148 du 6 juillet 2016, la directive « NIS » qui vise à renforcer le niveau de sécurité des
réseaux.
- Une directive 2019/713 du 17 avril 2019 sur la fraude aux instruments de paiement en ligne.
- Un règlement 2019/881 du 17 avril 2019 « servor security act », c’est le règlement qui concerne l’ENICA (agence
de l’UE contre la cybercriminalité).
Pour autant encrochat a été transformé par SKY ECC, « la plateforme de messagerie la + sure qu’on peut acheter », total
anonymat équipement vendu en bitcoin + 2000€ d’abonnement. La encore plusieurs services de police de plusieurs états qui vont
collaborer par le biais d’Europol + EC3 qui vont s’attaquer aux clefs de chiffrement et va aboutir a beaucoup d’interpellations avec
la surveillance de 70 000 utilisateurs, notamment le 9 mars 2021 grâce à la surveillance de ce système soi disant sécurisé, a saisi
27 tonnes de cocagne à Anvers.
Europol X EC3 est important en matière de coopération des forces de l’ordre au sein de l’UE.
C. ENISA
Créé par un règlement du 10 MARS 2004, agence de l’UE pour la cyber sécurité.
Page 36 sur 59
Marcel MORITZ 2021/2022
Est un centre d’expertise en matin§re de cyber sécurité qui aide l’UE en tant qu’institution et les états-membres a être mieux
équipés et préparer en matière de cyber sécurité. ENISA aide à mieux prévenir les problèmes de cyber sécurité + fournit des
conseils de sécurité publique au secteur public ou privé, passe par des exercices de cyber sécurité, élaboration de stratégie
nationale en la matière + rédaction de rapports/études sur des sujets tel que la protection des données, le cloud, identification
électronique, cyber sécurité dans la santé.
Beaucoup de communication sur les bonnes pratiques. En 2016 le budget de l’ENISA était de 11 Million d’€, aujourd'hui est de
23 Millions X 120 agents.
Est passé de la cyber criminalité à la cyber sécurité, progressivement au niveau de l’UE la place pour la cyber sécurité grandit, au
début était une logique répressive, progressivement des obligations en matière de cyber sécurité, demande aux entreprises /
secteurs publics d’être proactifs.
Ne s’agit plus de bien réagir quand on se fait attaquer mais d’éviter de se faire attaquer. Est une action préventive qui se prouve
par la création d’obligations renforcées pour certains acteurs, certains sont soumis à des exigences particulières en matière de
cyber sécurité. Ces acteurs sont les Opérateurs de Services Essentiels.
4. LES OSE.
Ils illustrent le glissement vers les obligations de cyber sécurité, ils naissent avec une directive du 6 Juillet 2016, directive NIS
(network and informations systems), cette directive créée cette catégories de OSE « un opérateur de services essentiels
réponds à 3 critères, une entité qui fournit un service essentiel au maintien d’activité sociétale et / ou économiques
critiques. Est une activité tributaire des réseaux et des systèmes d’informations. Une activité sur laquelle un incident aurai
tun effet disruptif important sur la fourniture du service ».
N’est pas très précis + est une directive donc marge de manoeuvre pour la transposition. En France une loi du 26 FEV 2018, et
n’améliore pas ces opérateurs? La liste de ses OSE est classée secret défense + fait partie du protocole de sécurité. Pour autant se
doute de qui peut être concerné par ses exigences.
En France depuis 2013 avec une loi programmation militaire il y avait déjà une catégorie analogue, OIV (opérateur
d’importance vital) est similaire à l’OSE. Pour une fois, c’est la France qui a inspiré l’UE. Peut imaginer que OIV/OSE des acteurs
dans domaines industriels « sensibles » (défense, aéro spatial (THALES), aéronautique (AIRBUS), domaine de la santé).
Que doivent faire ces structures ?
Respecter des règles en matière de cyber sécurité qui sont en France imposées par le PM, règles en matière de gouvernance des
réseaux, défense des systèmes d’info, règles techniques et organisationnelles. Elles vont viser davantage le facteur humain (mdp
trop fragile, gens qui s’épanche sur les RS)
Les OSE ont des obligations à respecter, ces obligations doivent être respectées sous peine de sanction avec des amendes (OSE
100 milles € amende max, OIV peut aller. + loin), amendes applicables dès lors que remplies pas des obligations qui peuvent faire
l’objet de contrôle, les OSE doivent se laisser auditer.
Prévoit qu’en cas d’attaques les OSE doivent procéder à une déclaration auprès de l’autorité nationale compétente, en France
auprès de l’ANSI. Les OSE ont parmi leurs actionnaires l’état ou/et parmi leur clients l’état. Tout ça vise à coté des OSE les
fournisseurs de services numériques, ont les mêmes obligations que les OSE (remplir certaines conditions, se faire auditer
régulièrement etc…)
Le fournisseur de services numériques vise les moteurs de recherches, services clouds, marketplace mais pas les RS qui ne sont
pas considérés comme tel, lobbying semble avoir été discutable. Des obligations précises et applicables dans beaucoup de
domaine, télécommunication, hébergement de données, domaine de l’énergie etc…
Page 37 sur 59
Marcel MORITZ 2021/2022
Un certain nombre d’obligations notamment obligations de sécurisation étendue à l’ensemble de la chaine
d’approvisionnement et de fournisseur. Ne sécurise plus slmnt l’opérateur lui même mais aussi ceux dont l’opérateur est
tributaire.
La directive NIS ne vise pas seulement les données personnelles mais toutes les données de manière générale.
Directive qui va engendrer des couts importants pour les acteurs concernés, la commission estime que les couts seront négligeables
par rapport à ce que coute les cyber attaques, aujourd'hui elles ont réellement un cout important.
Ces texte, directive NIS projet NIS, rôle de l’ENISA, est le reflet des évolutions en matière de cyber criminalité / cyber sécurité.
Pdt longtemps la cyber sécurité était laissée à l’appréciation des entreprises, des établissements publics, avec un petit peu la
logique que si on se fait attaquer est notre problème, si pas assez sécurisé est aussi le problème. Pour quoi pendant longtemps la
cyber sécurité a reposé sur une démarche volontaire des organismes publics X privés, qui prennent toujours souvent la forme de
certification. Il existe des normes de certification, norme ISO 27001.
Cette norme est une démarche volontaire, une certification où l’on paye pour ça. Si respecte ttes les règles aura le label.
Aujourd'hui les cyber attaques font beaucoup de dégâts collatéraux, elles ne vont pas simplement nuire au patrimoine de l’entité
qui est attaqué, aujourd'hui les grandes cyber attaque sont souvent le fait de groupe pro, organisé; qui agissent de + en + au
minimum avec la bénédiction d’un certain nombre d’états voire sur leurs ordres.
Affaire Solarwinds : grande entreprise américaine des 90s, fournis des outils de gestion info X surveillance à distance, utilisé
pour gérer le système info de beaucoup d’entreprises.
a fait l’objet d’une attaque, un malware installé dans une MAJ piégée qui a ouvert une porte dérobée dans l’ensemble des réseaux
des entreprises X structures publiques victimes permettant ainsi à des pirates infos d’espionner ces entreprises et de collecter les
mails échangés via les réseaux infectés.
Cette bague d’or a frappé 18 000 clients dans le monde, dont une centaine d’entreprises américaines, ainsi que de nombreuses
agence gvmentales américaines qui utilisent les services d’Orion.
Une enquête a été diligentée aux Usa notamment, au regard des enjeux e ce genre d’attaques à la fois en terme de menaces
industrielles mais aussi au regard de l’impact sur la confidentialité du fonctionnement d’agence gvemental dont on n’a pas dit quel
pouvait être ces agences. En avril 2021 Biden a pris la parole pour accuser ouvertement le service russe des renseignements
extérieurs,
Le président de Microsoft a été interrogé sur cette attaque et sur les moyens liés à cette attaque, a estimé que cette attaque sur
Solarwinds avait nécessité l’implication de 1000 ingénieurs qui auraient travaillés ensemble, semble est très organisé. La Russie
nie en bloc, Poutine a dit que les accusations américaines étaient délirantes.
Si on ajoute que microsoft a été attaqué par des hackers chinois vraisemblememeènt avec la bénédiction de leur gouvernement
(révélé en mars 2021) on est face à une nouvelle forme de guerre : la cyber guerre, qui va chercher à attraper des secrets industriels
/ espionnage industriels, est presque le - grave - une nature disruptive, porter atteinte au fonctionnement de système qui sont
« essentiels ». On imagine facilement ce que pourrait donner s’il y avait une attaque cyber qui vise une centrale nucléaire, RATP,
télécom garantie d’un chaos. Le but est de déstabiliser la puissance publique.
La directive NIS et NIS 2 anticipe ces risques, contre ces risques là que l’UE a adopté ces directives + contre ça qu’a été étendre
les obligations de cyber sécurité. Va vers des mesures proactives et ne les laissent plus aux entreprises.
Est passé de quelque chose qui était une lutte contre la cyber criminalité à des véritables obligations à la cyber sécurité qui vont
s’étendre davantage.
Page 38 sur 59
Marcel MORITZ 2021/2022
Une évolution très importante, depuis les premier texte en la matière, directive du 14 MAI 1991, porte sur la protection de
l’oeuvre numérique.
La question s’est déplacée, lutte contre les atteintes au droit d’auteur / contrefaçon, même si la question de l’oeuvre numérique 30
ans + tard pose toujours des questions.
Ex : en 2018 a été vendue un portrait réalisé par une IA, portrait d’un personnalité fictive (Edmond de Bellamy), réalisé sur la
base de 15 000 portraits synthétisés par une IA. A été vendue 45 fois l’estimation X a posé de nvelles questions par rapports à la
protection de ce type d’oeuvre, a té faite par une IA mais développé par des humains, le collectif obvious.
Cet exemple de tableau réalisé par une IA demande qui est le propriétaire originelle de l’oeuvre, le créateur de l’IA, l’IA
elle même, les propriétaires des oeuvres qui ont Nourri l’IA ?
Les technologies numériques sont à des nombreuses égards disruptives, parmi les ex de disruptions il y a le fait que grâce aux
technologies numériques on va pouvoir beaucoup + facilement transmettre / échanger des contenus protégés par le droit d’auteur.
A la fois parce que l’info en réseau va le permettre (échanges de pair à pair). Un ensemble de compression numérique, qui va
faciliter les transferts de contenu, souvent protégé par le droit d’auteur.
Jusque dans les 90s il était facile de gérer les problème de copie d’œuvre parce que une copie d’oeuvre nécessitait un support.
Ex : les supports cassettes, une cassette audio vierge pouvait la payer. Maintenant peut taxer les disques durs, mais taxation
négligeable par rapport à la capacité d’atteinte aux droits d’auteurs. Un disque dur d’ordi sert à plein de choses et pas
nécessairement a violer le droit d’auteur, la logique de taxation du support est conservée mais n’est proportionnellement plus une
solution.
L’UE s’est intéressée à la protection de la propriété intellectuelle, parce que est un marché important + doit être harmonisé.
Directive 2001 / 29, harmonisation de certains aspects du droit d’auteur et du droit voisin dans la société de l’information.
Directive a été complété et précisé par deux autres directives en 2004 et 2019.
Page 39 sur 59
Marcel MORITZ 2021/2022
La directive de 2001 va rappeler un certain nombre de droit classique (communication/ reproduis ton au public) + précise dans son
art 5 les limitations possibles au droit patrimoniaux, en prévoit 20, des exceptions liées la copie privée ou bibliothèque..
Ces 20 exceptions sont optionnelles se sont les états-membres qui sont libres de piocher dans ses exceptions celles qu’ils veulent
introduire dans leur droit interne, est loin d’une véritable harmonisation en matière de droit d’auteur. Pour les sanctions, l’art 8
laisse aussi le choix aux états-membres doivent être efficaces + proportionnées + dissuasives.
Cette directive est importante parce que est la première, volumineuse mais est décevante.
III. DIRECTIVE SUR LE DROIT D’AUTEUR DANS LE MARCHÉ UNIQUE NUMÉRIQUE, 2019 / 790, 17 AVRIL
2019.
Directive de 2019 vient modi er 2 directives précédentes : celle de 1996 et celle de 2001. C’est un texte ambitieux et important
(86 considérant, 36 articles), qui essaye d’adapter le droit aux évolution technologiques. L’ambition est af chée par le considérant
3 qui rappelle que l’évolution rapide des technologies continue à modi er la manière dont les oeuvres et autres objets protégés
sont créés, produits, distribués et exploités. « Une insécurité juridique subsiste tant pour les titulaires de droits que pour les
utilisateurs, en ce qui concerne certaines utilisations, notamment transfrontières d’oeuvres et autres objets protégés dans
l’environnement numérique ». Cette directive, comme souvent, est le fruit d’un compromis.
Celui-ci est tellement dif cile à trouver en la matière, et il y a tellement de lobbying, que cette directive a failli ne jamais voir le
jour. Ce texte a été débattu très longtemps : il a été d’abord rejeté une première fois par le Parlement européen (en juillet 2018), à
318 contre et 272 pour. Mais le Parlement a changé d’avis pour nir par adopter cette directive, preuve que la protection des droits
d’auteurs est un sujet complexe, avec beaucoup d’enjeux économiques, et qui a des impacts importants sur des acteurs importants.
C’est un texte extraordinairement disparate. Par exemple, les articles 3 et 4 portent sur la fouille de texte et de données (data
mining). C’est un enjeu important dans le domaine de la recherche scienti que.
L’article 5 est aussi intéressant : il porte sur l’utilisation d’oeuvres dans le cadre d’enseignements numériques et
transfrontières. Concrètement, c’est un article qui a pour but de faciliter le développement des cours en ligne. Mais on va étudier
ici les articles 15 et 17. L’article 15 car il crée un nouveau droit voisin, celui des éditeurs de publication de presse, et crée une
responsabilité des sites de partage.
Page 40 sur 59
fi
fi
fi
fi
fi
fi
Marcel MORITZ 2021/2022
Un droit voisin est un type de droit consacré en France par la loi du 3 juillet 1985. Les droits voisins sont accordés à différentes
catégories de personnes qui gravitent autour des auteurs. Le droit d’auteur protège les oeuvres originales des auteurs. Mais ces
auteurs sont souvent entourés d’autres personnes qui vont donner vie à ces oeuvres d’une certaine manière. Les plus connus sont
les artistes interprètes : l’auteur compose et écrit une chanson, mais il a besoin de l’artiste interprète pour lui donner vie. Ce sont
également les producteurs en matière cinégraphique.
Également les entreprises de communication audiovisuelle. Concrètement, une entreprise de communication audiovisuelle
dispose d’un droit qui est voisin. Ce droit est purement patrimonial : c’est le droit de s’opposer à l’exploitation par les tiers de
ses programmes, c’est prévu au Code de la propriété intellectuelle à l’article L. 216-1. Il n’y a pas de composante morale dans
ce droit, il n’y qu’une portée patrimoniale à ce droit.
DOIT-ON ACCORDER UN DROIT ANALOGUE AUX ENTREPRISES ÉDITRICES DE PRESSE S’AGISSANT DES CONTENUS
PUBLIÉS EN LIGNE ?
La problématique est d’importance parce qu’en fait, on a énormément de contenus publiés sur internet par des entreprises éditrices
de presse. Et ces contenus sont souvent ensuite repris par d’autres sites, notamment dans le cadre de veilles d’actualité. Et le
problème est notamment celui de Google actualité qui justement crée une revue de presse sur la base d’articles ou d’éléments
d’articles publiés par des entreprises éditrices. Or, jusqu’à présent, ces entreprises éditrices de presse n’avaient pas moyen de ce
défendre face à ces pratiques.
Il fallait donc réagir. C’est la raison pour laquelle cet article 15 va essayer de les protéger, en créant à leur pro t un nouveau
droit voisin. Cet article 15 crée un monopole au pro t des entreprises éditrices de presse, mais aussi aux agences de presse,
un monopole qui prend donc la forme d'un droit patrimonial (droit de s’opposer à la reprise de ces contenus) sur internet
par des fournisseurs de services de la société de l’information. Ce monopole a une durée de 2 ans et va permettre la mise en
place de contrats qui vont permettre de valoriser ce contenu.
Le problème de ce monopole est qu’il est relativement limité en pratique. Mais ce qui est ici en cause n’est pas forcément sa durée.
Le problème principal, c’est que ce monopole comporte un certain nombre de limites. Cet article 15 ne vise pas la communication
par hyperlien, ni aux mots- isolés, ni aux très courts extraits. L’idée est de permettre de continuer la diffusion d’informations
Ce qu’on veut éviter c’est la reprise de contenu protégé, de contenu éditoriaux et que des sites, sous prétexte d’agréger des
actualités, pillent des contenus et les investissements qui sont opérants.
Il y a un acteur qui était debout contre cet article 15 : Google. C’était l’entreprise qui était ciblé par cet article puisque sur le site
de Google actualité on retrouvait non seulement une liste d’actualité mais aussi une liste de contenu repris dans les sites
d’information. Le but de Google actualité était d’éviter à l’utilisateur d’aller sur un site spécial, et d’avoir directement accès sur la
page de Google.
En France on a très rapidement transposé cette directive, on l’attendait avec impatience ! Cette transposition est entrée en
vigueur n octobre 2019 (donc très rapidement). Elle date d’une loi du 24 juillet 2019 (qui est une transposition de l’article 15)
et entrée en vigueur n octobre.
Comment a réagi Google ? il a réagi avec une annonce publique, un communiqué de presse du 25 septembre 2019, dans lequel
il a annoncé qu’il allait modi er pour la France l’af chage des actualités au sein de son moteur de recherche. Google a annoncé
qu’il supprimerait les extraits d’articles, les miniatures des photos et qu’il se contenterait des liens hypertextes donc qu’il se
conformerait aux exceptions prévues par la directive. Le but de Google était clairement d’adapter son service que de donner
un euro à des presses.
Le communiqué de presse est intéressant, ce n’est pas un hasard que Google était sévère avec la France puisque celle-ci était la 1e
à transposer la directive : c’était pour prouver aux autres EM que Google n’allait pas payer les agences de presse.
Page 41 sur 59
fi
fi
fi
fi
fi
fi
Marcel MORITZ 2021/2022
Dailymotion) ont une obligation qui est extrêmement limitée au regard de leur qualité juridique qui est une qualité d’hébergeur.
Ces plateformes gagnent de l’argent avec leur contenu en ligne.
Face à ce constat, on a développé les obligations des hébergeurs avec notamment l’obligation de supprimer des contenus
illicites une fois qu’ils ont été noti ées, mais aussi de maintenir hors ligne ces contenus (c’est l’arrêt Facebook CJUE du 3
octobre 2019). Malgré tout, cela ne suf t pas ! Ce régime des hébergeurs reste excessivement favorable, le problème se pose
devant les contenus haineux / sexuels etc. Mais cette irresponsabilité pose aussi problème en matière de droit d’auteur.
C’est pourquoi l’article 17 crée une nouvelle responsabilité. Cette responsabilité s’applique aux sites qui sont des services de
partage de contenu en ligne, ce sont des fournisseurs de services de partage de contenu en ligne. Qu’est-ce que c’est ? C’est un
« fournisseur d’un service de la société d’information dont l’objectif principal est stocke et donne au public l’accès à une
quantité importante d’œuvre protégé par le droit d’auteur ainsi que d’autres objets protégés qui ont été téléversés par ces
utilisateurs, qu’il organise et promeut à des ns lucratives ». Globalement, 3 choses clés :
-Ce sont les utilisateurs qui téléversent des contenus : c’est ce qui permet de quali er le service comme hébergeur au
point de vue juridique.
-L’opérateur doit avoir un but lucratif : cet article ne visera pas les services purement communautaires.
-L’opérateur joue un rôle d’organisation et de promotion : par exemple, de la part de YouTube il y a clairement un rôle
d’organisation et de promotion
Remarque : nalement on s’est peut-être trompé de combat, si il y a un rôle d’organisation et de promotion, on aurait dû dire dès le
début qu’on était en présence d’un opérateur ! C’est à l’époque ce qui avait été plaidé.
Dès lors qu’on a ces trois choses clés réunies, on va pouvoir appliquer l’article 17. Cet article dit que ces opérateurs sont
responsables de la mise à disposition des contenus téléversés, tjrs au sens du droit d’auteur. En d’autres termes on a en n
Google responsable des contenus qui violent le droit d’auteur et qui sont mis en ligne sur YouTube.
Mais l’article 17 comporte des exceptions, puisque cette responsabilité est écartée dans 3 hypothèses :
!Si l’opérateur a fourni ses meilleurs efforts pour obtenir une autorisation.
!Si l’opérateur a fourni ses meilleurs efforts pour garantir l’indisponibilité de ces matériaux
!Si l’opérateur a agi promptement des réceptions de la noti cation des titulaires de droits pour bloquer l’accès à ce
site et qu’il a fourni ses meilleurs efforts pour empêcher qu’ils soient de nouveau téléversé.
-Ils vont simplement devoir rechercher un accord avec les titulaires de droit.
-Pour le reste, ils doivent simplement fournir leur meilleur effort pour réagir promptement pour faire
disparaitre les contenus qui violent le droit d’auteur.
En d’autres termes, ils n’ont ni à fournir les meilleurs efforts pour garantir l’indisponibilité de ces matériaux et à fournir
leur meilleurs efforts pour empêcher qu’ils ne sont téléversé.
On a un article 17 à géométrie variable : s’applique aux grands fournisseurs qui sont eux bien installés, et article 17,6 plus « light
» aux petits opérateurs que l’on va protéger pour permettre leur développement et leur permettre de venir concurrencer les grands
acteurs historiques.
Ces obligations allégés de l’article 17,6 sont à la fois pragmatique et cynique. Pq ? pcq c’est un aveu de l’UE qu’on est bien
conscient que les grands services en ligne, si elles sont si grandes et riches c’est pcq elles violent systématiquement le droit
d’auteur. Mais on est aussi conscient que si on interdit à tous le monde de violer le droit d’auteur, les gros vont rester gros et les
Page 42 sur 59
fi
fi
fi
fi
fi
fi
fi
Marcel MORITZ 2021/2022
petits ne vont pas savoir se développer.
Or que veut l’UE ? Elle veut de la concurrence, l’un des gros problème dans le numérique est qu’il n’y a pas de
concurrence. Et donc ce qu’on fait est que les nouvelles entreprises ont le droit de moins respecter le droit d’auteur que les
autres. Mais les défenseurs du droit d’auteur n’ont pas appréciés.
Une partie de la doctrine, qui en analysant cette directive, considèrent que cette directive amène à une situation paradoxale dans
laquelle ces hébergeurs ont plus des obligations vis-à-vis des droits d’auteurs que vis-à-vis des contenus haineux, diffamatoires,
injurieux etc. face à ces enjeux, il reste des hébergeurs avec des responsabilités extrêmement limitées ! Demain, le règlement
DSA va probablement venir renforcer ces obligations. Mais ajd la situation est paradoxale : un service comme Google a plus
d’obligation vis-à-vis des auteurs que vis-à-vis des contenus haineux et racistes.
Cet article 17 n’a pas été aussi vite transposé en France, ce nouveau régime de responsabilité a été transposé par une
ordonnance du 12 mai 2021 (transposition de cet article 17 à 23 de la directive). On est donc dans les délais juste : on avait
jusqu’au 7 juin pour transposer.
Quel est le juge compétent dans ce cas ? Spontanément on a envie de dire que n’importe quel juge est compétent, puisque le juge
est compétent dès que le contenu est disponible dans son ressort. On a envie de cette solution car elle est très avantageuse pour la
personne qui va ester en justice : elle pourra saisir la juridiction la plus proche d’elle à moins qu’elle ne préfère faire du forum
shopping, puisque si n’importe quel juge est compétent on pourra choisir sa juridiction. => c’est la solution adoptée par la CJUE
dans un arrêt du 3 octobre 2013 affaire C170/12 « Peter Pinckney ».
Contexte : Peter est un musicien qui habite à Toulouse et qui découvre que ses chansons ont été reproduites sans son accord par
une société autrichienne qui a pressé les CD puis commercialisé par des sociétés britanniques par l’intermédiaire de différents sites
internes. 3 scénarios possibles : compétence des juridictions françaises, juridiction autrichienne et juridiction anglaise. La CA de
Toulouse avait estimé que les juridictions françaises n’étaient pas compétentes au motif que il fallait prendre en considération le
lieu du domicile du défendeur, et qu’en l’occurrence le défendeur n’était pas français.
L’affaire fait l’objet d’une saisine de la Cour de cassation et d’une question préjudicielle posée à la Cour. La CJUE, au contraire de
la CA de Toulouse, jugeait que l’œuvre contrefaite est accessible via internet dans le ressort de la juridiction saisie ce qui
rend cette juridiction compétente. Cette juridiction n’est compétente cependant que pour le seul dommage causé dans le
territoire de l’EM dont la juridiction relève. La Cour de cassation va faire application de cette JP dans deux arrêts du même jour
du 22 janvier 2014.
La CJUE va enfoncer le clou dans une autre affaire du 22 janvier 2015, une affaire qui concerne la mise en ligne de
photographie sur un site internet. La CJUE estime que dès lors que les photographies sont accessibles dans un EM, dès lors
cette juridiction est compétente pour connaitre du litige. Tjrs, la juridiction sera compétente que pour le dommage effectué
sur le territoire de l’EM.
Page 43 sur 59
fi
Marcel MORITZ 2021/2022
B) La détermination de la notion de communication au public
Dans la directive de 2001, celle relative au droit d’auteur, est prévu que les EM prévoient pr les auteurs d’autoriser ou
d’interdire toute communication de leur œuvre au public y compris par la mise en disposition sur internet. Quand les
auteurs autorisent : élaboration d’un contrat, qui déclenchera la énumération des auteurs.
Reste à savoir ce que veut dire la « communication au public ». La CJUE a eu à connaitre de cette notion, et en a donné une
dé nition qui est très large et très extensive. La 1e JP est celle du 7 décembre 2006 C306/05 de la CJUE « SGAE ». Question
préjudicielle posée sur l’utilisation de télévision et de musique d’ambiance dans les hôtels. Est-ce que la mise à disposition
du public des contenus par les téléviseurs d’hôtel et par la insonorisation des espaces, est-ce que c’est la communication à
un public ? La CJUE répond positivement, oui c’est bien une communication à un nouveau public qui nécessite donc une
autorisation. Est-ce que c’est une solution cohérente ? Oui car nalement c’est un service dans l’hôtel que d’avoir une TV, ça
ajoute qqch, c’est un service supplémentaire de l’hôtel (on peut très bien s’en passer !) et ça va apporter de la plus-value à l’hôtel.
2e JP est celle de la CJUE qui rend un arrêt le 7 mars 2013 C607/11 « ITV go Casting », la question était de savoir si le
streaming vidéo est une nouvelle communication au public. Là encore, la CJUE répond af rmativement, quelque soit la forme
du streaming.
3e JP de la CJUE du 14 juin 2017 C610/15 « ZIGGO », dans cet affaire la question est de savoir si une plateforme de partage
(pair to pair) doit être considéré comme effectuant un acte de communication au public. Là encore, la CJUE répond par
l’af rmative. En l’espèce, il s’agissait d’une grande plateforme comportant des milliers de pair to pair.
4e JP de la CJUE du 7 aout 2018 C161/17 « « DRIK RENCKHOFF ». Dans cette affaire était en cause un site internet d’une
école qui mettait à disposition un exposé rédigé par une élève dans le cadre d’un atelier linguistique. Dans cet exposé, cette élève
avait inséré une photographie issu d’un site internet propriété de Drik Renckhoff. Ce Monsieur attaque le land en Allemagne pour
avoir commis un acte de contrefaçon et réclame 400e de DI.
La CJUE estime qu’effectivement en l’occurrence la notion de communication au public doit s’appliquer en l’espèce et qu’il a
donc bien communication au public du fait de cet acte de reprise sur un site internet tiers d’une photographie préalablement mise
en ligne. En l’espèce, la discussion reposait sur le fait que M. R. avait mis en ligne sa photo sur internet, nalement ce qu’à fait
l’école est de la republier. Mais la Cour précise que c’est sans importance, puisque justement l’auteur d’une œuvre doit pouvoir
mettre n à tous moment à son exploitation sous forme numérique. Ce qui signi e que l’auteur d’une œuvre doit pouvoir
interdire toute utilisation future de son œuvre sous forme numérique, sous peine que cette œuvre lui échappe.
La CJUE a adopté une vision extrêmement large de la communication au public. En adoptant cette vision large, elle a renforcé
la protection des auteurs ! Au point d’ailleurs que cette attitude a été critiquée par ceux qui défendent la liberté d’exploitation des
œuvre en ligne, dans lesquels on retrouve les géants du numérique qui valorisent ces œuvres et gagnent de l’argent avec.
Parenthèse : en même temps que se développait ces notions protectrices de l’auteur, est né aux USA la notion des « creatives
commons ». Ce sont des licences d’utilisation et de réutilisation des œuvres qui prennent la forme de petit logos que l’on peut
apposer en tant qu’auteur sur une œuvre que l’on veut diffuser. Cette notion est une forme d’application des logiciels libres aux
œuvres. Les creatives commons permettent par exemple d’indiquer que l’on ne veut pas d’utiliser lucrative de notre œuvre. Ces
licences sont toutes des dégradations du droit d’auteur : rien ne protège mieux notre œuvre que de ne rien faire et de faire valoir
notre droit d’auteur. Ces licences ont été développé aux USA, dans le milieu universitaire, Californie => ça sent l’emprunte des
géants du numérique. Comme nalement une manière de lutter contre la dé nition très large de la dé nition de « communication
au public » par la CJUE.
Il y a des limites à cette interprétation large de la communication au public. La CJUE a rendu le 2 avril 2020 C763/18
« STIM » qui soulève la question de savoir si la location d’un véhicule équipé d’un poste de radio, est-ce que ça constitue un
acte de communication au public ?
La question est importante : si la CJUE avait répondu favorablement, ça aurait signi er que tous les loueurs de véhicule auraient
dû payer les sociétés de gestion collective pour avoir le droit de louer ces véhicules.
La CJUE répond sans grande suspens par la négative ! Et pour arriver à cette ccl, la CJUE explique que ce sont des particuliers
qui louent majoritairement ces véhicules, qui les utilisent à des ns personnels, avec des membres de la famille et qui vont donc
recevoir les programmes de radio exactement comme à domicile ! En d’autres termes, il n’y aurait pas de nouveau public =>
motivation bancale mais de bon sens. Cette solution en s’applique que dans les hypothèses qui sont des hypothèses d’utilisation à
Page 44 sur 59
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
Marcel MORITZ 2021/2022
des ns privées/ familiales des voitures de location. Si un chauffeur de taxi mets de la musique dans son véhicule, on retombe dans
la logique de la JP de 2006 : c’est un service additionnel qui n’est pas nécessaire.
Aujourd’hui sur ce sujet-là on est en retard, la SACEM (société des auteurs, compositeurs et éditeurs) réclame des paiements
quand sont insonorisés des bus / transports scolaires. Cela est prévu et il y a des contrôles. Par contre, elle n’est pas vraiment
exigeante s’agissant des taxis car en terme de contrôle c’est compliqué ! En Belgique, la SABAM elle applique des redevances
dans les taxis et VTC de 41e par an.
Conclusion
On a au niveau de l’UE une protection des auteurs qui est globalement efficace notamment à travers de la définition très large
de la communication au public. Cette protection efficace on l’a développé depuis une vingtaine d’année puisque c’est un enjeu
économique (but : protéger le marché unique). C’est une protection pragmatique avec notamment des actions, des procédures
dédiés (au saisi contrefaçon).
Le problème est celui posé par ces « hébergeurs » qui vivent très largement de la contrefaçon. Que cela soit des plateformes
de pair to pair, ou que ce soient les grandes plateformes contre lesquels la directive de 2019 essaye de lutter sans pour autant que
cela soit d’une très grande efficacité, puisqu’elle comporte quand même bcp de zone de flou (notamment avec les best efforts
qui seront exploités en justice).
Il faut aussi parler de la stimulation de la création. La propriété intellectuelle est aussi un marché qu’il faut savoir stimuler. Ce
n’est pas tout de taper contre les acteurs qui contrefont, mais il faut encourager les offres légales.
Il faut stimuler l’importance de la directive 2018/1808 SMA du 14 novembre 2018. Elle comporte un article 13 qui crée des
quotas applicables aux fournisseurs de service de médias. Ces fournisseurs quand ils fournissent des médias audiovisuels à la
demande, doivent proposer au moins 30% d’œuvre européenne dans leur catalogue et doivent garantir une mise en valeur
de ces œuvres. Concrètement, cette directive impose à Netflix, Amazon de respecter l’exception culturelle européenne et
d’intégrer des œuvres européennes. Cette directive de 2018 n’est qu’une directive, les EM ont la possibilité de renforcer ces
obligations.
C’est exactement ce qu’il s’est passé avec le décret du 22 juin 2021 « SMAD » (service de média audiovisuel à la demande) qui
est entré en vigueur le 1e juillet 2021 et qui s’applique à tous les éditeurs de SMAD qui sont établis en France ou qui diffuse
leur programme en France au-delà de 10 œuvre cinématographique ou audiovisuel. Concrètement cela vise donc des services
comme Amazon Prime, Canal +, Netflix etc. Quant aux plateformes de partage de vidéos, comme YT, ce ne sont pas forcément
des SMAD mais peuvent le devenir s’il y a une logique éditoriale.
Ce décret va plus loin que la directive. La directive vise un pourcentage d’œuvre et pas un pourcentage d’investissement en
chiffre d’affaires. En France, on a décidé d’imposer ce plancher de 30% mais aussi d’imposer une obligation de contribution au
développement de la production d’œuvre cinématographique européenne.
Selon le décret, les services de SMAD doivent consacrer entre 20 et 25% de leur chiffre d’affaires à la production d’œuvre
cinématographique et audiovisuelle européenne et 85% de ces sommes doit être affecté spécifiquement à des œuvres françaises.
Évidemment, lever de bouclier de la Commission européenne qui estime que c’est scandaleux car la France a modifié l’esprit de la
directive.
Ce décret pose deux problèmes essentiels :
" Comment on calcule le chiffre d’affaires ? Si l’UE a été prudente en s’intéressant simplement au volume des
œuvres c’est pcq les SMAD ne sont pas tjrs très transparent en ce qui concerne leur chiffre d’affaires, et que pour certains
services, la définition du chiffre d’affaires réalisé pays par pays n’est pas tjrs en réalité extrêmement facile.
" Entre 20 et 25% : le décret fixe une fourchette, ce qui amène la question de qui va contribuer à hauteur de 25%. On
a fixé une fourchette car on a voulu laisser au ministère de la culture de négocier une contribution variable en fonction d’avantage
en termes de chronologie des médias.
L’idée est la suivante : ajd un film est soumis à une chronologie des médias, celle-ci veut qu’il soit diffusé d’abord en salle, puis
en DVD et en téléchargement licite, puis sur des chaines de TV premium, et enfin à la TV et sur les services de VOD.
Concrètement, un film est dispo en VOD 36 mois après sa sortie en salle. Cette chronologie des médias a été pensé pour
protéger les intérêts économiques des acteurs économiques. Cette chronologie des médias va être aménagée en fonction des
chiffres d’affaires reversés à la production française. En gros, si on verse que 20% on gagne – de mois sur la chronologie des
médias. Or pour Netflix pour pouvoir rapidement mettre des nouveaux films a décidé de prendre 25%. Ce que veut Netflix est que
si un film ou une production audiovisuelle est financé par ses soins, et que ce film sort en salle, il doit être dispo sur sa
plateforme après 12 mois. Le souci est que Netlfix s’est engagé et depuis le ministère de la culture ne dit plus grand-chose. A tel
point que le 24 aout N a déposé un recours gracieux contre le décret. Accusant ce décret de ne pas être précis, ce recours
Page 45 sur 59
fi
Marcel MORITZ 2021/2022
gracieux n’a pas fait l’objet d’une réponse du ministère de la culturel (silence vaut refus), cela veut dire qu’on est un délai de
recours potentiel face à un refus
Page 46 sur 59
Marcel MORITZ 2021/2022
C’est un sujet autour duquel il y a eu bcp d’actualité qui occupe largement à la fois le Conseil de l’Europe comme l’UE pcq l’IA
soulève des interrogations à la fois s’agissant des DH, des libertés (angle Conseil de l’Europe) mais aussi des problématiques
économiques (de marché, lié à la compétitivité = UE).
Si l’IA est à la « mode » aujourd’hui c’est pcq ces applications industrielles ont énormément évoluées. Ces applications sont
variées et nombreuses, que cela soit la conduite autonome de véhicule, de métro, d’avion, que cela soit aussi dans le domaine
de la surveillance avec la reconnaissance faciale, la reconnaissance de comportement anormaux. Mais aussi dans le domaine
des tchat bot (robots qui nous parlent). Que cela soit aussi dans l’analyse d’image médicale, radio ou scanner, où là clairement
l’IA fait des progrès fulgurants. Ajd l’IA est un vrai marché industriel. Un des leaders mondiaux s’appelle IBM, si ajd on parle
des GAFAMI au lieu des GAFAM est à cause de l’importance de l’IBM. => l’IA est ajd un marché économique !
Derrière l’IA il y a aussi une grande diversité structurelle. L’IA est un terme de communication. La réalité derrière le mot l’IA
est plurielle. L’IA peut par exemple reposer sur l’apprentissage supervisé, cad que l’humain va apprendre au programme à
reconnaitre certains objets, à savoir quand il fait bien ou quand il fait mal. D’autres reposes sur l’apprentissage profond et le réseau
de neurone, ici l’algorithme va être réellement susceptible d’apprendre tout seul, de créer.
Le deep learning semble être la vraie IA : cela suppose que l’algorithme apprenne des infos enregistrées de ses expériences et
adaptent sa façon « penser ».
Ex : a appris a un algorithme de distinguer un chat et un chien, pour arriver à ce résultat on a montré des photos de chats / chiens et
on lui a dit à chaque fois tu as raison ou tort. L’algorithme va être capable d’utiliser certaines variables, d’ajuster leur importance
pour arriver au bon résultat.
Ce que va faire l’algorithme est de comprendre par lui même que les chats ont des oreilles généralement triangulaires, il va donner
un certain poids à cette variable et qu’il va lui même se doter d’outils lui permettant d’identi er cette variable, il va apprendre à
reconnaitre les triangles et estimer que s’il a reconnu 2 objets triangulaires ressemblant à des oreilles alors la probabilité d’un chat
sera de tel % = Un réseau neuronal.
Ce deep learning simule l’intelligence humaine, l’humain prend des critères de formes / taille / sons pour distinguer si est un choix
ou chien.
Ce deep learning pose des problèmes d’un point de vue juridique différent parce que c’est un algorithme basique, forgé par
l’homme intégralement parce que cet algorithme là on ne sait pas forcément l’expliquer. Ne sait pas forcément expliquer comment
l’algorithme dé nit le chat ou le chien, sait juste que ça fonctionne correctement.
En 2016, Alphago de Google a réussi à battre les meilleurs champions, le jeu de go contrairement aux échecs nécessite de la
créativité, comment Alphago a gagné, dif cile parce que ne savent pas l’expliquer, a ni par créer sa « propre » intelligence.
L’intelligence est quelque chose qui est par essence d’ordre multiple, il n’y a pas qu’une intelligence. Qu’est ce que ça veut dire
de considérer quelque d’intelligent ? 80s, Gardner en 1983 a publié un livre sur la théorie des intelligences multiples, il
critique dans ce livre l’usage des thèses d’intelligence utilisés de manière massive, il explique que cela n’est pas pertinent pour
tous les élèves, pour lui il y a plusieurs intelligences. Dans son premier livre en compte 7, plus 2 de plus. Ces intelligences sont par
Page 47 sur 59
fi
fi
fi
fi
Marcel MORITZ 2021/2022
ex linguistiques, mathématiques, musicale, corporelle, intra-personnelle (capacité à nouer des relations avec d’autres personnes)
qui pourrait être la + importante. Cette intelligence intra personnelle suppose la possibilité de comprendre l’autre, une forme
d’empathie dont une machine n’est pas capable.
Facteur éthique morale : dans notre société est important, vient dénoter culture / éducation, différente d’une personne à l’autre,
l’IA au stade actuel de son développement on peut en douter. Cela questionne quant à son comportement.
Ex : si a un véhicule avec une conduite autonome et que le véhicule se trouve dans un accident inévitable et qu’il y a des options
d’accidents : doit foncer dans un mur pour ne pas tuer les passants ou choisir de tuer les passants plutôt que moi ?
En faisant une analyse froide comme une IA elle va considérer qu’une mère X enfant est + grave qu’une personne âgée, me
prendre le mur l’accident risque d’être fatal pour le conducteur est passager donc la grand-mère va die.
En tant que conducteur d’un véhicule on fera tout pour éviter de tuer quelqu’un au risque de se mettre soi même en danger.
Le mot intelligence ne semble donc pas si correct.
L’UE a aussi quelques dif cultés avec le terme d’IA et ne partage pas cette expression.
II. QUELQUES PRÉCISIONS SUR LES ENJEUX JURIDIQUES AUTOUR DE CETTE IA.
l’IA soulève de nombreux questionnements juridiques, d’abord le 1er sujet est la question de la responsabilité. Cette question est
centrale, globalement quand on a une nouvelle technologie on aime bien ré échir par assimilation, analogie avec des règles
juridiques pré-établies, des règles qu’on connait bien.
3 scénarios :
-responsabilité du concepteur de l’IA : logique des produits défectueux, une IA devrait bien fonctionner sinon elle est
défectueuse et donc le concepteur serait responsable.
-raisonner par le régime de la responsabilité du fait des choses que l’on a sous sa garde : est responsable des
dommages que l’on cause + des dommages causés des personnes dont on doit répondre ou des choses que l’on a sous sa garde.
Pourquoi de ne pas considérer sur la base de ce principe que l’utilisateur de l’IA en est le gardien donc en est le responsable.
-pourrait considérer que l’IA devrait avoir sa propre personnalité juridique : l’IA deviendrait une personne morale.
Elle aurait son propre patrimoine.
Ces scénarios amènent des responsabilités différentes et des pdvs différents. Cette question de la responsabilité doit et sera
tranchée, l’UE a mis un projet de texte qui permettra d’avoir un texte clair sur cette question. En attendant cette réponse claire un
certain nombre de projets industriels sont limités, le Droit freine l’innovation.
Ex : conduite autonome des véhicules. Globalement, est a peu près opérationnel depuis 6/7 ans. Quel est le frein ? Est juridique,
par exemple Tesla a du renommer son système parce que auto-pilote en terme de responsabilité cela laissait croire qu’il y avait
réellement une capacité de conduire autonome alors que doit régulièrement toucher le volant régulièrement pour montrer que reste
maitre de son véhicule parce que démontre qu’est toujours responsable.
Ainsi, le constructeur du véhicule est handicapé parce que a fait une technologie qu’il ne peut pas vendre parce que ne peut pas
l’utiliser juridiquement.
Le problème est le même avec beaucoup d’autres IA : dans le domaine médical, IBM a développé une IA Watson dans le
domaine médical, l’IA est capable de diagnostic dans des domaines comme cancérologie, radiologie classique avec une
performance meilleure que celle de l’humain d’après les spécialistes. Concrètement, aujourd'hui ce qui fait qu’on a toujours des
Page 48 sur 59
fi
fi
fi
fi
fl
fi
Marcel MORITZ 2021/2022
humains est la question de la responsabilité parce que doit avoir un responsable. En pratique beaucoup d’images sont réalisées
par une IA.
Après la question de la responsabilité, il y a la question de la remise en cause par l’IA de la puissance publique, la question de
la souveraineté. l’IA à la capacité de remettre en cause les fondements même de notre contrat social parce que elle est capable
d’intervenir dans des domaines qui en principe réservé à la sphère régalienne (domaine de la sécurité publique avec les vidéos,
système juridique avec des systèmes qui aident les magistrats, administration).
Ex : video protection intelligente répond à une problématique qui est très facile à comprendre, il y a dans de nombreuses villes
l’installation d’un nombre élevé de caméras (Nice). Juridiquement, ce type de surveillance de l’espace public n’est en principe pas
déléguante au privé mais seulement déléguer l’installation des caméras, les fournitures. Le visionnaire t la surveillance effective de
l’espace public n’est pas déléguable au privé.
Pour autant, on estime qu’un humain peut regarder 16 écrans à la fois, donc pour quelques milliers de caméras il faut une centaine
d’agents ce qui est impossible parce que trop cher, et la plupart de ces agents vont s’ennuyer parce que beaucoup d’endroits où ne
se passent rien. Comme ne peut pas déléguer au privé il faut utiliser une IA qui va analyser les ux numériques en temps réel X
dans ces ux va rechercher des comportements anormaux, certains objets (couteaux, armes à feu). L’analyse sait aussi étudier des
scènes pour voir des comportements anormaux.
L’IA est capable de montrer aux opérateurs uniquement les images susceptibles de révéler des infractions. La surveillance
de l’espace publique ne se délègue pas mais en l’occurence c’est comme si était le cas, certes pas à une personne privée mais
par un algorithme développé par une entreprise privée.
Quand l’algorithme signale quelque chose et qu’il y a une interpellation qui a décidé de ce signalement ? Un algorithme
développé par une entreprise privée qui a engendré l’interpellation. Parfois l’algorithme a été auto-apprenant et ne sait même pas
comment il fonctionne = sujet de l’exploitabilité de l’algorithme, quelqu’un sera signalé mais parfois personne ne sera capable
d’expliquer pourquoi cette personne a été signalée.
Predpol (cf cours) : fulloscopie, peut-on prédire les futurs crimes ?, parle dans cette vidéo parle de Predpol. Fonctionne comme
les répliques sismiques. Été a la base un système développé par des universitaires, plusieurs services ont acheté cette solution qui
avait été remise en cause à cause de biais dans l’apprentissage : le système va envoyer des policiers là où il y a le + de crimes X
délits. Le système va envoyer + de policiers qui vont ampli er le biais parce que vont constater toujours + de crimes X délits donc
intensi e les policiers dans les quartiers des minorités.
Le risque que font peser ces algorithmes surtout quand ils se développe sans contrôle de la puissance publique est que
parfois la sécurité peut être remise en cause.
Dans le domaine de la justice il y a de la même manière des solutions qui se développent et créent le même nombre de problèmes :
des magistrats ont développés leurs propres solutions d’aide à la rédaction de solutions pour gagner du temps donc ces décisions
ne sont plus totalement rendues par un humain mais assistés par une machine.
Parfois des problèmes de droit d’auteur, l’IA peut elle créer des oeuvres ? Cf to oeuvre d’art.
Question de la protection des DACP : pour entrainer l’IA il faut beaucoup de données, ces données peuvent être parfois
personnelles mais pas toujours. Pour la reconnaissance faciale, on en a besoin.
Face à un problème de régime industriel majeur, des entreprises tels que Thalès pour entrainer leurs entreprises ont besoin e
beaucoup de données qui sont généralement des données personnelles. Les ingénieurs ce qu’ils veulent est disposer de base de
données d’images importantes; plus ils ont d’images plus ils sont capables d’af ner l’algorithme. Ils n’ont pas le droit ils
doivent faire ces tests sur des cobayes, cela limite énormément les possibilités de développement de ce type d’IA.
En Asie, toutes ces questions ne se posent pas.
A certains égards l’IA peut être une aide, peut déstructurer complètement le monde du travail. Est ce que les médecins auront
encore un travail, les CV seront peut être balayés par une IA qui pré-sélectionnera des types de candidats. Quels freins doit être
posé pour préserver l’accès au marché du travail. Quid de la dignité de la personne humaine ?
La question de l’explicabilité des algorithmes et de la transparence des algorithmes : le fait qu’on soit capable de savoir
expliquer comment avec des données d’entrée on est arrivé aux données de sorties, par quelle logique / raisonnement ces
données d’entrée ont données naissance à ce résultat de sortie. Pour un certain nombre d’algorithme il y a un certain nombre de
critères qui seront sélectionnés.
Page 49 sur 59
fi
fl
fi
fi
fl
Marcel MORITZ 2021/2022
Dans une logique de deep learning c’est l’algorithme lui même qui va dé nir des critères et qui va les pondérer. Ces critères ont
encore du mal à être expliqués par les humains, des IA fonctionnent en boite noire, des IA dont la logique d’apprentissage /
critères / pondération des critères n’est pas connue ou très dif cile à connaitre. Si on veut contester une décision prise par l’IA
on a besoin d’attaquer ces critères, mal pondérés, pas pertinents… l’explicabilité de l’algorithme est nécessaire pour pouvoir
attaquer les décisions qui résultent de l’algorithme.
Le dé majeur est d’être capable aujourd'hui d’opérer cette quadrature du cercle entre d’un côté la performance de
l’algorithmes de l’autre son explicabilié puis sa sécurité.
Un algorithme performant n’est pas nécessairement explicable et un algorithme explicable bride aussi sa performance.
Pour la question de la sécurité, trop de transparence peut y nuire. Un algorithme qui détecte des comportements anormaux sur
des images de video protection s'il est totalement transparent on sait aussi le contourner parce que on connait ses faiblesses. D’un
point de vue juridique l’exploitabilité et la transparence sont majeurs.
En la matière, cette conférence a spéci quement porté sur la conception de bonnes pratiques pour encadrer l’IA, dans une
perspective durable, et de se concentrer en particulier sur les effets sociaux de l’intelligence arti cielle (notamment la question de
la potentielle surveillance algorithmique).
Tout cela a pour but de créer un cadre normatif, une véritable convention, comme la convention 108 en matière de protection
des données personnelles. En attendant d’avoir une convention un jour, on a déjà un certain nombre de recommandations, de
chartes... qui ne sont pas des outils contraignants, mais qui sont les prémisses de quelque chose qui sera demain une probable
convention. Ces réponses thématiques interviennent dans des domaines de prédilection du Conseil de l’Europe : les droits de
l’homme et la justice.
Une recommandation du Conseil des ministres d’avril 2020 (Recommandation sur les impacts des systèmes algorithmiques sur les
droits de l’homme, lien sur Moodle). Dans cette recommandation, il est conseillé aux gouvernements des Etats membres de veiller
à la transparence des décisions prises par des algorithmes, de veiller à ce qu’existent des recours effectifs contre ces décisions.
La recommandation conseille également que soient réalisées des études d’impact sur les droits de l’homme. La recommandation
encourage également à veiller à la non-discrimination, notamment au biais algorithmique qui pourrait engendrer des
discriminations. Tous ces principes, toutes ces recommandations, doit s’appliquer à la fois aux Etats membres eux-même, mais
aussi aux acteurs publics comme privés qui pouvaient mettre en oeuvre de tels algorithmes.
Cette recommandation précise que la responsabilité de l’Etat ou du secteur privé peut être engagée si ces principes ne sont pas
respectés. Le point 10 de la recommandation à cet égard est très intéressant : « Lorsque les systèmes algorithmiques sont
susceptibles d’avoir un impact négatif sur les droits de l’homme d’un individu, d’un groupe particulier, ou sur l’ensemble
de la population, y compris sur les processus démocratiques ou l’Etat de droit, ces impacts engagent les obligations des
Etats et les responsabilités du secteur privé vis-à-vis des droits humains ».
On a ici une obligation qui est donc très large. Et en lisant cette recommandation, cela fait écho à un certain nombre de
problématiques contemporaines : les enjeux du ltrage de contenu par un certain nombre de services, et notamment par les réseaux
Page 50 sur 59
fi
fi
fi
fi
fi
fi
fi
fi
fl
fi
fi
fi
fi
fi
Marcel MORITZ 2021/2022
sociaux. Et effectivement, de tels algorithmes qui créent un phénomène de bulle ltrante, cet algorithme va avoir pour effet de
polariser potentiellement la société, de créer une chambre d’écho (confortation des opinions). On a là les prémisses de ce que
pourrait être une responsabilité accrue des plateformes, des réseaux sociaux, en matière d’utilisation d’algorithmes. On pense
aussi par exemple aux enjeux des algorithmes de surveillance : par exemple la reconnaissance faciale, surtout si elle est
accompagnée d’un système de « scoring », comme en Chine.
A noter que en France, nous avons déjà rencontré en jurisprudence cette problématique, et pas n’importe où : au niveau
constitutionnel dans le cadre d’une décision du Conseil constitutionnel du 12 juin 2018, qui porte sur la modi cation de la loi
informatique et libertés suite à l’adoption du RGPD. Et le Conseil constitutionnel a notamment été saisi sur la manière dont on
a « transposé » les enjeux relatifs aux algorithmes.
Et dans le cadre de sa décision, le Conseil constitutionnel a d’abord souligné l’importance de la transparence des algorithmes,
notamment quand ils sont utilisés par l’administration, et en soulignant que l’administration ne doit pas utiliser comme seule
base d’une décision administrative individuelle un algorithme auto-apprenant. En effet, s’il est auto-apprenant, il n’y a pas de
transparence, et comme on est censé pouvoir faire un recours, on est censé avoir la possibilité de contester cette décision, et il
faut pour cela pouvoir contester les motifs, ce raisonnement. Si ce raisonnement n’est pas connu, il va être dif cile d’attaquer
la décision prise sur la base de cet algorithme. Et donc, en droit interne, c’est déjà une question qui a été dans le débat, et qui a
été tranchée par le Conseil constitutionnel.
Il y a également, dans le domaine des droits de l’homme, les travaux de l’Assemblée parlementaire du Conseil de l’Europe
(L’Assemblée parlementaire est une assemblée composée de différents parlementaires composés par les parlements nationaux des
47 Etats membres, au total il y a 324 parlementaires, et cette assemblée se réunit 4 fois par an à Strasbourg pendant une semaine,
le temps de débattre de sujets d’actualité, d’élaborer des rapports, et d’adopter au nal des résolutions. C’est un organe dont le
terme est mal choisi, car ce n’est pas un organe législatif : c’est un « simple » organe de discussion). Il a adopté le 20 octobre
2020 une série de résolutions et de recommandations portant sur l’intelligence arti cielle. Au programme de ces
recommandations et résolutions, 7 grandes thématiques :
-l’interface cerveau-machine.
L’idée, c’est que tout cela débouche à terme vers un texte général, une convention.
-le respect des droits fondamentaux (avec une approche d’éthique dès la conception du produit)
-le principe de qualité et de sécurité (notamment en ce qui concerne les sources qui sont utilisées, les décisions de
justice qui sont utilisées)
Page 51 sur 59
fi
fi
fi
fi
fi
fi
fi
fi
fi
Marcel MORITZ 2021/2022
-le principe de transparence, de neutralité et d’intégrité intellectuelle (éviter les boîtes noires, faire
en sorte que l’algorithme soit transparent).
Le 8 décembre 2020, la CEPEJ a adopté une étude de faisabilité pour la mise en place éventuelle d’un mécanisme de certi cation
des outils d’IA, et spéci quement des outils d’IA dans le domaine de la justice. Depuis, les travaux sont en cours, mais cette
démarche est intéressante : si elle était fructueuse, le Conseil de l’Europe pourrait être pionnier en matière de certi cation
d’intelligence arti cielle. Et c’est a priori extrêmement prometteur.
Le RGPD accorde une place très importante à la certi cation. Et pour l’IA, il est tout à fait possible que la certi cation devienne
un outil de conformité.
La certi cation, c’est un audit, généralement mené par une entreprise privée qui va venir véri er le respect d’un certain nombre
de contraintes qui ne sont pas des contraintes de pur droit positif, mais qui sont des contraintes qui vont au-delà du droit positif. Le
domaine dans lequel la certi cation a le plus été utilisé est le domaine agro-alimentaire, avec des certi cations liées à
l’agriculture biologique, liée à des labels (label rouge par exemple) ou à des engagements sociaux (commerce équitable par
exemple). Dans tous ces domaines, la certi cation engendre l’attribution d’un label. Et ça marche plutôt bien : beaucoup de
consommateur vont acheter des produits labellisés sans savoir d’ailleurs quelle certi cation est attachée à ces produits.
Aujourd’hui, de plus en plus de textes prônent cette certi cation, car c’est une manière d’encourager les fabricants, les
producteurs, à mettre en place de bonnes pratiques et à valoriser économiquement ces bonnes pratiques. C’est une forme de soft-
law, d’encouragement.
Cette certi cation est une démarche volontaire, volonté d’apporter une plus-value caractérisée par un label.
Mais parfois, la certi cation c’est aussi la délégation du contrôle de la conformité à un organisme privé. Et dans ce cas, on est
plus dans quelque chose qui est de l’ordre de la soft law, mais on est bien dans le contrôle de la conformité. L’exemple est celui
des certi cats de navigabilité, que ce soient d’ailleurs de bateaux ou de navigabilité aérienne. Quand on monte dans un airbus,
celui-ci a fait l’objet d’un certi cat. Qui a procédé à cette certi cation ? C’est un organisme privé qui, par délégation de la
puissance publique, accorde ces fameux certi cats de navigabilité. Par exemple, Bureau Veritas a délégation de la puissance
publique pour délivrer des certi cats, et béné cie donc d’une délégation de puissance publique dans ce cadre.
A certains égards, la certi cation est aussi un voeu d’impuissance. C’est quelque chose qu’on aime bien prôner quand le droit
positif n’est pas suf sant. Par exemple, en matière de cybersécurité, les obligations sont des obligations assez récentes (les OIV en
France et les OSE au niveau européen). Mais encore une fois, ce sont des règles qui ne s’appliquent qu’à certains opérateurs. Et
pour les autres ? Il y a des règles ISO, qui sont des règles de certi cation : on accepte en tant qu’entreprise de se dire que la
cybersécurité c’est important, et donc on va payer une entreprise pour se faire certi er ISO. Ainsi, il ne faudrait pas que la
certi cation devienne un prétexte pour ne pas légiférer.
Ce rapport a eu le mérite de déclencher des débats sur la nécessité impérieuse d’agir rapidement sur le sujet de l’intelligence
arti cielle.
Puis les choses se sont accélérées : le 12 février 2020, le Parlement européen a pris une résolution relative aux procédés de prise
de décision automatisé, avec une focale sur la protection du consommateur et la libre circulation des biens et des services. Et en
parallèle, le 19 février 2020, la Commission a élaboré et publié un livre blanc sur l’intelligence arti cielle, qui constitue d’une
certaine manière les prémisses d’une future réglementation.
Que dit ce livre blanc et quelles sont les questions qu’il soulève ? D’abord, ce livre blanc propose une véritable dé nition de
l’intelligence arti cielle, ce qui est en réalité bien plus complexe et audacieux qu’on pourrait l’imaginer, car il n’y a pas de
consensus sur ce qu’est une intelligence arti cielle et comment on doit la dé nir. Effectivement, pour la première fois, on a les
prémisses de dé nition, avec une indifférence de forme de l’intelligence arti cielle : pour l’UE, elle peut prendre la forme d’un
robot (solution hardware), ou aussi d’un logiciel (solution software). Et pour le reste, l’IA est dé nie par une nalité : l’IA reçoit
un objectif complexe, des moyens déterminés (le fait pour l’IA d’acquérir des données, de les interpréter, et des moyens qui
reposent sur une logique probabiliste : elle va déterminer la meilleure action à prendre pour atteindre l’objectif donné).
L’objectif posé en 2020 par l’UE est de nancer cela pour un total de plus de 20 milliards d’euros par an pendant 10 ans, le
but étant donc que l’UE devienne un champion mondial de l’IA en stimulant la recherche dans le domaine.
Au passage, on peut être sceptique sur ces nancements et sur la possibilité qu’on soit champions de l’IA. En effet, il y a des
contraintes au sein de l’UE à propos des données d’entraînement. Et le RGPD en la matière est assez contraignant. L’UE est ainsi
« entre deux chaises », entre l’envie d'un côté de devenir un leader mondial de l’IA, mais de l’autre côté les contraintes juridiques,
que ce sont elles qui vont peser sur l’IA elle-même, ou que celles qui limitent l’accès à des données d’entraînement.
On voit par exemple en matière d’utilisation des algorithmes par les réseaux sociaux, à quel point cette soft-law, cet
encouragement éthique, ne fonctionne pas si bien. En réalité, on peut s’interroger si ce n’est pas peut-être faire un peu trop
con ance aux opérateurs économiques, ne risque-t-on pas d’être déçu ? Le risque est réel.
Il y a notamment la question de la responsabilité qui est traitée d’une manière nalement relativement inattendue, avec la
distinction de différents types d’IA en fonction des risques que ces IA engendrent. Là aussi, le règlement sur l’IA est très largement
inspiré de ce qu’on connaît en pratique en matière de protection des données personnelles, une approche fondée sur le risque
« risk based approach ». En matière d’IA, c’est la même chose : on va aussi raisonner par rapport aux risques. Et dans le projet
de règlement, il y a 4 grandes catégories d’IA qui sont distinguées :
Il s’agit des IA qui exploitent la vulnérabilité des enfants, des personnes en situation de handicap. Des IA de notation sociale
(« scoring ») provenant des autorités publiques. Il s’agit aussi des IA qui vont utiliser des mécanismes de reconnaissance faciale
couplés à des base de données en temps réel. Le projet de règlement vise à exonérer les IA qui viseraient à chercher un enfant
disparu, à localiser un suspect dans certaines affaires, comme par exemple dans des affaires de terrorisme. Ainsi, il y a
quelques atténuations. Ces IA doivent purement et simplement être interdites.
Page 53 sur 59
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
Marcel MORITZ 2021/2022
-L’IA à risque élevé :
C’est notamment l’utilisation de l’IA dans le cadre de l’authenti cation biométrique, dans le cadre de la gestion automatisée
d’infrastructures critiques (eau, électricité), en vue de l’affectation dans les établissements d’enseignement, l’utilisation de l’IA
pour la gestion des ressources humaines, pour l’accès à certains services publics, ou encore le crédit bancaire, pour les missions
de police (contrôle aux frontières, gestion des ux migratoires...)... Toutes les IA qui engendrent des risques élevés pour les droits
et libertés des personnes. Et peut-être également, même si ça fait l’objet de débats, toutes les IA qui sont susceptibles
d’engendrer un préjudice corporel aux personnes, par exemple une IA de conduite autonome de véhicule.
Ainsi, on inclurait pour celles-ci des règles de traçabilités, de robustesse, de transparence renforcée, et évidemment une
responsabilité particulière qui serait une responsabilité objective, en d’autres termes une responsabilité sans-faute. Il y aurait ainsi
une sorte d’indemnisation automatisée.
L’IA à risque faible : La Commission cite l’exemple d’un robot conversationnel : il peut donner de mauvais conseils par
exemple. Ainsi, il y a une responsabilité moindre, et il y a surtout une exigence de transparence soulignée par la Commission.
Ce qui gure dans le texte également, ce sont des sanctions, en cas de non-respect des règles de transparence, de sécurité, qui vont
être prévues par le règlement. Et là, on va aller très loin : le règlement, en l’état actuel, prévoit des sanctions qui peuvent aller
jusqu’à 30 millions d’euros ou 6% du chiffre d’affaires, ce qui rappelle le RGPD. Ainsi, avec de tels risques, les industriels vont
être à la manoeuvre pour essayer de limiter les risques liés à ce texte.
Dans le projet de règlement, il y a également une grande place accordée à la soft-law, et notamment à l’élaboration de codes de
conduites facultatifs. On essaye donc d’encourager nalement l’auto-contrôle, de responsabiliser les acteurs, là aussi comme on
le fait en matière de protection des données personnelles.
Ce projet de règlement, à peine divulgué, à déjà été très largement critiqué, de toutes parts.
Il a été critiqué par les industriels parce que ce texte serait, à de nombreux égards, trop contraignant, avec des sanctions trop
importantes, des coûts de mise en conformité trop élevés. Tout cela engendrerait une baisse des investissements, avec donc le
risque de voir les innovations se faire ailleurs qu’au sein de l’Union européenne, dans des pays dans lesquels il y a moins de
contraintes juridiques.
En effet, nous voulons une protection juridique forte au sein de l’UE, mais ça se fait au détriment de la compétitivité, dans
un secteur qui lui est mondial.
Ce texte ne satisfait pas non plus les associations et les défenseurs des libertés numériques. Un certain nombre d’associations
dont Amnesty International, mais aussi par exemple le Comité européen de la protection des données (nouveau nom du G27,
ensemble des autorités administratives indépendantes de protection des données personnelles).
Ils estiment par exemple que la liste des IA à risque élevé n’est pas suf sant, il manque un certain nombre de choses. Il semble y
avoir une in uence du lobbying.
Par exemple, sont considérées comme risque élevé les IA relatives au crédit bancaire, mais pas relatives aux assurances. Ainsi, une
banque qui utilise du scoring, c’est un risque élevé, mais une assurance, ça ne l’est pas. Et on arrive pas à comprendre pourquoi les
assurances seraient mieux traitées que les banques.
Ces mêmes ONG critiquent également par exemple que dans la liste des choses inacceptables, il manque des choses : est considéré
comme inacceptable le scoring social quand il est mis en oeuvre par des autorités publiques. Sauf que le scoring mis en oeuvre par
des entreprises privées n’est pas considéré comme risque inacceptable.
Idem par exemple s’agissant de l’analyse des émotions : des algorithmes susceptibles de déduire des émotions sur la photo d’une
personne devraient également gurer dans la liste des algorithmes avec risque inacceptable.
Certains critiquent également le fait que l’authenti cation biométrique en temps réel soit interdite, mais que soit autorisée les
authenti cations biométriques qui ne sont pas en temps réel, ce qui laisse la porte ouverte à une reconnaissance faciale légèrement
différée.
Page 54 sur 59
fi
fi
fl
fi
fl
fi
fi
fi
fi
fi
Marcel MORITZ 2021/2022
Page 55 sur 59
Marcel MORITZ 2021/2022
Ce qui au passage est relativement cohérent : le suivi de notre navigation est une ressource pour l’exploitant du site. Ne pas
accepter ce profilage, c’est priver l’éditeur du site d’une ressource.
Cette directive de 2002 montre parfois comment le droit de l’UE a du mal à rentrer dans les moeurs.
Page 56 sur 59
Marcel MORITZ 2021/2022
La lutte contre les abus de position dominante : Google. A été sanctionné a hauteur d’un montant de 8 milliard sd’euros avec 3
sanctions médiatisées :
-2018 : 4.34 milliards d’euro, a reproché un abus de position dominante dans son exploitation d’Android, a été accusé
d’utiliser cette position pour renforcer se services de recherches en ligne.
A été contesté par Google, a donné lieu a une audience qui s’est tenue en octobre 2021 devant le tribunal de l’UE avec une défense
originale : considère qu’il n’était pas en position de perturber le marché parce que a coté il y a Apple et dans la motivation de
la sanction la commission n’aurait pas intégré l’importance d’IOS.
Il y a tout un débat est ce qu’il faut comparer Android à IOS ?
Face a cette défense la Commission considère qu’est pas pertinent parce que les parts de marché sont en faveur d’Android, 30%
IOS le reste pour Android, en France est 80% Android.
L’affaire est en délibéré actuellement.
-2017 : 1ère sanction, 2.42 milliard d’euros, sanction toujours contre Google toujours pour abus de position dominante,
cette fois est le comparateur Google Shopping au coeur des débats.
Cette sanction aussi fait l’objet d'un appel, a été con rmée le 10 Novembre 2021.
-2019 : toujours pour abus de position dominante, 1.49 milliards d’euros, dans le domaine de la publicité en ligne avec
Adsense.
Appel interjeté, audience 2022.
Autre sanction contre d’autres grandes entreprises, Intel sanctionné en 2009 à hauteur d’un tout petit + d’1 milliard d’euros, à
l’époque un record. Cette fois était une pratique sur des rabais accordé aux fabricants à condition que ces fabricants
s’approvisionnent exclusivement auprès d’Intel.
EN 2004 sanction Microsoft, 297 millions d’euro, Windows avec Windows media Viewer qui était incorporé par défaut dans
Windows donc abus de position dominante.
Page 57 sur 59
fi
Marcel MORITZ 2021/2022
Les RS ne font pas partie de ceux ayant des amendes mais ne va pas durer : en juin 2021 la commission a dit qu’elle lançait une
enquête contre Facebook qui fait de l’abus de position dominante dans le cadre de publicité + utilisation des DACP à des
ns de publicités, préalables à une potentielle sanction.
Les abus de position dominante sont un point de vigilance, mais il y a d’autre pratiques anti-concurrentielles qui peuvent poser
problème : dumping scal => aide scal accordée par certain états, Apple a fait l’objet d’une sanction en 2016, sanction
record dans le domaine d’aides d’états irrégulière = 13 milliard d’euros.
Apple a rapatrié en Irlande ses revenus européens + revenus du Moyen-Orient + Indien, tout ça grâce à un rapport scal passé avec
Dublin = payé beaucoup - d’impôts.
Ce type d’optimisation scale pas qu’Apple qui l’a pratique, un sport national pour les entreprises numériques + facile de
délocaliser son impôt. Permis les astuces les + simples il y a le paiement de licence sur les marques.
En 2018 Google a déclaré en France un chiffre d’affaire de 411 millions d’Euros, a payé 17 millions d’euro d’impôts en France,
faible pour une entreprise comme Google.
Pour Apple, les 13 milliards ont fait l’objet d’une procédure en appel, les avocats d’Apple sont ok parce que le tribunal de l’UE a
ordonné le remboursement de ces 13 milliards estiment que la Commission n’avait pas réussi à démontrer l’existence d’un
avantage économique sélectif, en gros les concurrents pouvaient faire pareil donc pas de violation. L’Irlande est aussi satisfaite.
Les enjeux scaux sont aussi des enjeux importants. Il faudrait adopter au sein de l’UE des règles harmonisées, ce qui n’est pas le
cas pour le moment.
La commission avait dévoilé en mars 2018 un projet de taxe sur les services numériques, cette taxe aurait pris la forme d’une at
taxe, c'est à dire une taxe qu’on applique de manière xe, 3%. Non pas 3% sur les béné ces mais sur le chiffre d’affaire. La France
n’a pas attendu et a adopté en Juillet 2019 sa propre taxe, anticipant cette at taxe européenne, probablement raison parce que
l’UE depuis 2018 n’a pas avancé sur le sujet, derrière il y a des soucis diplomatiques.
Le règlement Digital Market Act vise a créer un droit asymétrique de la concurrence dans le domaine du numérique : ce
règlement vise à créer des règles spéci ques en droit de la concurrence applicables à certains acteurs pour freiner ces gros acteurs
et les obliger à laisser de la place à des acteurs + petits.
Normalement le droit de la concurrence s’applique à tout le monde de la même manière (cf droit des ententes), ici il y a une
sélection entre acteur économiques puissants et les autres.
Ces acteurs puissants sont les très grandes plateformes, Gatekeepers (les contrôles d’accès, ceux qui ont une capacité de
contrôler l’accès d’opérateur sur un marché) = Google est un Gatekeeper parce que a la capacité de permettre à certains acteurs
de rentrer sur le marché ou d’empêcher.
-un impact signi catif sur le marché intérieur : considère que cette condition est remplie si l’acteur est présent dans au
moins 3 états-membres, ou si son chiffre d’affaire moyen au cours des 3 dernières années dans l’espace économique
européen est supérieur à 65 milliard d’euros.
On vise les très grandes entreprises
-plateforme doit servir de passerelle importante en terme de nombre d’utilisateurs : une présomption si la plateforme
a + 45 millions d’acteurs actifs par mois, X + 10 000 utilisateurs actifs professionnel au cours de la dernière année.
-La position de la plateforme soit bien établie : si les seuils de passerelles importants ont été atteints depuis les 3
derniers exercices.
=> compliqué de dé nir un Gatekeeper mais on vise Google, les gros RS, les grosses plateformes de vente en ligne. La
Commission qui identi era elle même les gatekeepers + désignera pour ces entreprises les services pertinents.
Page 58 sur 59
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fl
fi
fi
fl
Marcel MORITZ 2021/2022
Les obligations imposées au Gatekeeper : vont être liées au non-croisements de DACP, bien cloisonner les DACP. Il y a déjà
une atténuation importante parce qu’avec le consentement des personnes le croisement pourrait intervenir.
Autre obligation est de permettre aux utilisateurs pro d’utiliser d’autre services donc pas d’exclusivité aux utilisateurs pro.
Ou encore renforcer la transparence notamment sur les prix en matière publicitaire, de manière à être + transparent vis a vis des
annonceurs.
Les sanctions risquent a priori d’être importantes, jusque’à 10% du chiffre d’affaire. Sans compter que la commission envisage de
pouvoir imposer des segmentations, imposer à un acteur de se séparer d’une partie de son activité si on estime que par
nature le poids de l’entreprise est excessif + ne permet pas une libre concurrence (question aux USA concernant Facebook de
se séparer d’Instagram).
Avec ce digital market act va permettre de répondre à un certain nombre de questions, question des Appstore : aujourd'hui il y a
beaucoup de débats sur la rémunération des développeurs sur ce monopole, l’Appstore serait concerné au titre de Conseil de
Sécurité Gatekeepers parce que rempli les conditions sur le chiffre d’affaire, d’ancienneté + nombre d’utilisateurs pro et non pro.
Conclusion :
Neutralité technologique et son inexistence : il y a des principes qui se sont développés face aux technologiques numérique, ont
été portés à la fois par l’UE X le conseil de l’Europe + un début parce que d’autre naissent et évoluent (responsabilité des
hébergeurs).
Un droit spécial s’est développé malgré tout.
Ces principes qui se sont développés sont différents selon l’UE ou le Conseil de l’Europe : des principes échappent au conseil
de l’Europe (droit de la concurrence), sur de nombreux autres sujets il ya une complémentarité, une sorte de dialogue entre l’UE
et le conseil de l’Europe donc peut parler de principe européen, avec deux approches différentes.
Le conseil de l’Europe est dans une approche sur l’état de droit, les sujets comme la lutte contre la cybercriminalité, la protection
des DACP. Le conseil de l’Europe a une approche humaniste (comme avec l’IA).
L’UE a une approche + axée sur le marché (protection des DACP, RGPD, IA, droit de la concurrence) = approche + économique.
Finalement, l’UE progressivement tend elle aussi souvent par le prisme économique a développé les aspects qui sont + de
l’humanité numérique (protection des droits et libertés, quand on veut taper sur une plateforme parce que elle des algorithmes
parce que vont booster des messages et ont enfermer d’autres on se demande qu’elle approche il faut adopter autant sanction
économique que protection de la liberté).
Entre l’UE et le conseil e l’Europe il y a une synergie : il faut préserver la souveraineté, l’état de droit, le contrat social. Les +
grandes victimes du numérique pourraient pas être les consommateurs mais les institutions elles mêmes. Les technologies sont
disruptives, engendrent la naissance de droits sociaux.
S’il y a un sujet où la disruption est majeure c’est la question de la souveraineté.
Il y a d’autre sujets à venir, ex : la politique monétaire. l’UE repose en partie sur ça, la banque centrale européenne assure la
stabilité nancière de l’espace européen. Sujet de la question de la con ance des institutions, l’euro est un succès. Cette con ance
se traduit par des taux d’intérêts bas, l’euro est un outil monétaire solide, il béné cie à toute l’UE.
Le 14 Juillet 2021 la banque centrale européenne a annoncé le début d’un projet pilote sur 2 ans en vu de lancer un euro
numérique => est trop tard, aujourd'hui il y a le dvlpment de crypto-actifs, aujourd'hui la valorisation complète de l’ensemble des
actifs crypto représente 3 mille milliards d’euro. Est dans un modèle différent qu’un modèle traditionnel, la BCE inspire con ance.
Bitcoins repose que sur la con ance qu'on accorde en la technique, 3 mille milliards d’euro qui repose sur une technologie, dans
2 ans à quoi ressemblera ce marché des crypto actif : vraie question est de savoir ce qu’il va rester aux états, à la scalité.
Tant que les crypto actifs ne sont que des spéculations, les états pouvaient s’y retrouver parce que va acheter — revendre,
pluvalue qu’on va dépenser donc convertir, le crypto actif doit retrouver le chemin classique de la banque via un virement.
Aujourd'hui il y a de + en + de paiements direct en crypto, des commerçants qui acceptent le paiement en crypto => est la vraie
révolution. Si les crypto actifs ne sont plus que des spéculations mais une monnaie d’échange que restera t il à l’état ?
Évidemment pourrait se dire qu’est génial mais part vers la non existence d’état.
Tout est possible pour permettre demain l’avènement d’une scté technocentrée dans laquelle les algorithmes remplaceront la
puissance publique. Mais a t on envie d’y aller ?
Structure exam : se retrouver dans le raisonnement, mise en évidence les étapes de raisonnement.
Page 59 sur 59
fi
fi
fi
fi
fi
fi
fi