Droit Du Numérique

Marcel MORITZ 2021/2022
Grands principes européens du

droit du numérique
Clef moodle : x9tczp
Examen : 1 seule question a traiter transversalement, sujet de réflexion en 1h (peut être en 2 parties si on veut) = pas pure
connaissance, balaye plusieurs parties du cours, construire un petit argumentaire structuré.
Introduction
I. A LA RECHERCHE D’UNE DÉFINITION DES GRANDS PRINCIPES DU DROIT
EUROPÉEN DU NUMÉRIQUE.
A. Le droit du numérique existe t-il ?

Qu’est ce qu’on appelle le numérique ? C’est un mode de stockage et de transmission de l’information qui prend la forme d’un
language binaire. Ces beat sont regroupés en paquet de 8, on prend une valeur de 0 et 1, on a 256 combinaisons possibles. 256
combinaisons on peut coder des valeurs numériques, lettres de l’alphabet etc… avec 1 octet on peut exprimer qlq chose.
Se dvlp un autre type d’informatique qui dépasse le language binaire, pas composé de beats : l’informatique quantique, ne repose
sur un état binaire. Cela permet à l’avenir des capacités d’analyses et de calculs que le language binaire peut pas faire, il faut des
capacités de stockage plus importante etc… il faut changer de language donc informatique quantique pour permettre au processeur
d’être dans plusieurs états.
Le numérique on l’oppose à l’analogique : l’analogique est de representer l’information non pas avec un language binaire mais
avec un rapport proportionnel entre l’information originelle et sa représentation informatique/matérialisée = si on prend
l’information d’un disque vinyl l’information prend une forme de sinusoïde, courbe avec beaucoup d’états possibles. Dans une
VHS il y a des courbes magnétiques qui dessinent l’information.
Le numérique rend de nvx usages possibles, ce n’est pas juste une technologie, en ce sens la technologie n’est pas neutre : le
numérique a amené avec lui de nvx usages, des NTIC (nouvelles technologies de l’information et de la communication).
Si on voulait être précis juridiquement, c’est le fait d’étudier les usages du numérique, en tant que technologie soi-même non.
Quels sont les usages nouveaux permis par le numérique ? Le numérique par essence facilite le transfert d’informations.
Internet repose sur une technologie de transfert de données, c’est un protocole TCPIP qui permet de communiquer de manière
extrêmement fiable entre logiciels situés sur des ordi distants des paquets de données, avec des temps d’échanges extrêmement
courts + système décentralisé fiable, grâce au language binaire.
Bcp d’usages nvx sont apparus grâce à ce transfert d’information facilité, tout a commencé avec des emails pour arriver aux
réseaux sociaux, à la musique/vidéos en ligne. En l’espace d’une seule décennie (2000/2010) a découvert l’usage grand public du
mail.
La compression numérique est peu abordée mais est centrale pour comprendre les enjeux du numérique : sans compression
numérique il n’y aurait pas l’ensemble des services qu’on connait.
Ca marche de 2 manières :
-perte d’informations : supprime des info inutiles, ex : enregistrement sonore, supprimer les aigus si on écoute que du
grave.
-L’information utile grâce à des algorithmes de traitement on va la simplifier : ex photo, sur forme analogique ca
serait tel pixel telle couleur, pour chaque couleur un code RVB - sous forme numérique on délimite un espace, un champ, quelle
partie du ciel X lui appliquer une couleur. On passe d’une info volumineuse à + simple, une zone une couleur.
Il y a des puristes de l’argentique etc mais le numérique l’emporte sur la capacité à stocker le max d’info. Ca facilite le transfert
d’info, TNT par ex.
Page 1 sur 59
Ces usages ont connu un tournant en 2000. En 1996 il y avait - de 50 millions d’internautes dans le monde, en 2001 ils sont 10X +
nombreux, ajd ils sont 100X + nombreux. Tt ça pas possible sans compression num, ni protocole TCPIP.
QUID DU DROIT DU NUMÉRIQUE ? DOIT-IL EXISTER UN DROIT DU NUMÉRIQUE, DES USAGES DU NUMÉRIQUE ?
Il n’y a pas spécialement de raisons de règlementer la technologie en tant que tel (ex : code de la route mais pas la voiture en elle-
même).
Faut-il un droit des usages du numérique ?
1. La nécessité d’un droit spéci que en l’absence de neutralité technologique.

Dans la doctrine des années 90 et début 2000 bcp d’auteurs évoquaient l’absence d’un droit du numérique, ils invoquaient « la
neutralité technologique ». L’idée de cette neutralité était de se dire que le numéro, internet, tt ça ne relève pas d’un droit spécial
et qu’on peut très bien utiliser un droit commun ou un droit pré-existant.
Bcp de gens soulignent qu’entre internet X minitel pas de différences : minitel n’a pas eu de droit spécifique, quand il y a eu des
contentieux afférent au minitel, les juges ont pris le droit préexistant et l’ont appliqué aux besoins en se modifiant un peu.
Loi de liberté de la presse, 1881 : infractions très connues = diffamation, injures, incitation à la haine.
Loi doublement mensongère, 1er article porte sur la liberté tt le reste des restrictions. Même ds la version de l’époque cette loi
porte sur les discours publiques, affichage, presse. En 1881 n’est pas une loi sur la liberté de la presse mais des médias en général
pcq cette loi a été appliquée à la radio, télé, minitel. Le juge a dans un premier temps utilisé ça.
Internet repose sur un système d’échange décentralisé dans lequel il n’y a svt pas d’éditeur professionnel (TF1, Le Monde, NRJ),
qui endossent la responsabilité éditoriale. Si on voulait diffuser une information à un grand publique il fallait un chaine de télé,
radio ou journal pour relayer ladite info. Explique pq les grandes fortunes investissaient dans les médias.
Cela soulève des nouvelles problématiques de responsabilité.
Internet change notre pdv sur le rôle de l’état : les états interviennent peu sur les échanges d’informations qui existent sur internet.
Cette forme de neutralité est montrée du doigt, les utopies du départ du lancement d’internet sont loin, on voit des propos qui
devraient faire l’objet de sanctions, le droit pénal a du mal à s’appliquer, une forme d’anonymat qui permet tous les excès, la
puissance publique a du mal à reconquérir ce quelle a abandonné il y a 20 ans.
La technologie n’est en définitive pas neutre, c’était une erreur de penser cela car internet n’est pas un média comme les autres. Au
delà d’enlever cette responsabilité éditoriale internet change radicalement nos sociétés, notre façon de penser et ce que nous
sommes au point de remettre en cause les fondements de notre démocratie.
Ex : les bulles filtrantes, phénomène de + en + documenté, Eli Pariser a publié un livre, the Filter bubble - what the Internet is
hiding from you ?, aussi fait un TEDX.
Dit qu’il faut faire attention aux algorithmes de suggestion de contenu sur internet pcq sur internet le contenu qu’on voit n’est pas
celui du voisin. Cet algorithme sert à nous garder connecté. Il explique que cela créé une bulle de filtre, une bulle informationnelle
dans laquelle il y a nous entouré de contenu susceptible de nous plaire. Ce qui est gênant avec cette bulle est de ne pas voir ce qu’il
y a à l’extérieur de notre bulle. Il dit qu’il y a des algorithmes qui décident ce qui doit rentrer ds notre bulle et ce qui ne doit pas
rentrer, pas juste envie d’être conforter dans ses idées mais aussi d’être perturbé.
Assiste à des événements importants (prise du capitole aux USA, antivax etc…) : tout ça est lié à ce phénomène de bulle. Les gens
qui ont pris le capitole étaient convaincu d’être là pour sauver la démocratie américaine. Bulle de filtre est un danger terrible pour
la démocratie, cela a réussi à tuer en une décennie le pluralisme d’informations alors que ça a mis du temps à arriver, surtout avec
des discours anti-média.
Internet, réseaux sociaux, numérique ça n’a pas simplement changé la façon de communiquer, pas média comme les autres, a
changé notre société en profondeur. Pour ça qu’on s’est rendu qu’il fallait un droit des usages du numérique afin de garder un
contrôle.
2. Droit du numérique ou droit des usages du numérique ?
IL Y A T-IL UN DROIT UNIFORME DES USAGES DU NUMÉRIQUE ?

Important de classer parce que affecte à chaque classement un régime juridique, permet de qualifier et appliquer le droit.
Existe t il une boite usages du numérique ? NON, parce que si on prend le protocole TCPIP / Internet, on peut envoyer des
mails, regarder la télé en direct/replay, peut regarder Netflix… ces usages ne sont pas soumis au même droit.
Page 2 sur 59
fi
Cette problématique de classification est centrale, l’état est encore dépassé. Ex : la vidéo sur internet peut prendre des formes
différentes = télé direct / replay, plateforme de streaming à la demande, plateforme type YouTube, video sur réseau social
(TikTok)… ces types de vidéos ne sont pas soumises au même droit, pourtant pour le consommateur final cela reste des vidéos.
Le CSA : en ce qui concerne la régulation des contenus audiovisuels sur internet il y a du retard parce que débordé par la
technologie.
Le CSA né avec la liberation de la télé et donc du contrôle, né en meme temps que la libération des ondes. Ensuite sont arrivées les
télévisions de rattrapages, M6 a commencé à diffuser sur internet en replay certain de ses programmes. Pris le CSA et lui a aussi
incombé la télé de rattrapage + télé classique.
Sont arrivés d’autre acteurs qui n’ont pas de convention avec le CSA (Netflix, youporn…) peut pas les contrôler.
Le CSA se réveille sous l’impulsion de l’UE : directive SMA, modifiée en 2018, impose d’étendre aux plateformes de partage de
vidéos et à certains services de média sociaux pour avoir + de contrôle sur les contenus pour lutter contre les discours haineux et
protéger les enfants. Directive transposée en France le 21 dec 2020.
Cette transposition va amener à terme la disparition du CSA afin d’amener une nouvelle source : ARCOM (Autorité de régulation
de la communication audiovisuelle et numérique).
L’ARCOM gardera une compétence concernant sur les contenus audiovisuels, un droit du numérique pour un usage du numérique.
B. Un droit « européen » du numérique ?

Quand on évoque le droit européen, c’est le droit issu du conseil de l’Europe + de la convention européenne des droits de l’homme
+ de la JP.
1. Droit du conseil de l’Europe.

La volonté politique de Churchill de l’époque était d’avoir en Europe une association d’état la + forte possible. En 1950 la Turquie
rejoint le conseil de l’Europe + 1996 c’est la Russie qui rejoint ledit conseil. Le conseil de l’Europe a beaucoup de diversité de
culture et de pays.
Le conseil de l’Europe a joué un rôle déterminant dans le droit du numérique. Matières de protection des données perso par ex.
RGPD (règlement général sur la protection de données) : sanction prononcée sur ce RGPD, la CNIL luxembourgeoise a
sanctionné Amazon par ex.
Avant la directive de 1995 il y avait déjà une convention du conseil de l’Europe pour la protection des données à caractère
personnel, ouverte à la signature le 28 JANV 1981.
Il y a un article qui porte sur la qualité des données avec un certain nombre de principes évoqués dans cet art 5 (licéité, respect des
finalités, adéquation des données par rapport à ces finalités, exactitude, mise à jour des données traitées, durée de conservation
limitée).
Article 5, conv. 1981 : « Les donn es caract re personnel faisant l'objet d'un traitement automatis sont:
a. obtenues et trait es loyalement et licitement;
b. enregistr es pour des finalit s d termin es et l gitimes et ne sont pas utilis es de mani re incompatible avec ces
finalit s;
c. ad quates, pertinentes et non excessives par rapport aux finalit s pour lesquelles elles sont enregistr es;
d. exactes et si n cessaire mises jour;
e. conserv es sous une forme permettant l'identification des personnes concern es pendant une dur e n'exc dant pas celle
n cessaire aux finalit s pour lesquelles elles sont enregistr es. »
Article 5, RGPD de l’UE 2016 : « Les données à caractère personnel doivent être :
a) traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence);
b) collectées pour des finalités déterminées, explicites et légitimes, et ne pas être traitées ultérieurement d'une manière
incompatible avec ces finalités; le traitement ultérieur à des fins archivistique dans l'intérêt public, à des fins de recherche
scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément à l'article 89, paragraphe 1, comme
incompatible avec les finalités initiales (limitation des finalités);
c) adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées
(minimisation des données);
d) exactes et, si nécessaire, tenues à jour; toutes les mesures raisonnables doivent être prises pour que les données à
caractère personnel qui sont inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans
tarder (exactitude);
Page 3 sur 59
é
é
é
é
é
é
é
é
é
é
à
à
é
è
é
é
é
é
é
é
è
é
é
é
é
e) conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle
nécessaire au regard des finalités pour lesquelles elles sont traitées; les données à caractère personnel peuvent être conservées pour
des durées plus longues dans la mesure où elles seront traitées exclusivement à des fins archivistique dans l'intérêt public, à des
fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, pour autant que
soient mises en œuvre les mesures techniques et organisationnelles appropriées requises par le présent règlement afin de garantir
les droits et libertés de la personne concernée (limitation de la conservation);
f) traitées de façon à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le
traitement non autorisé ou illicite et contre la perte, la destruction ou les dégâts d'origine accidentelle, à l'aide de mesures
techniques ou organisationnelles appropriées (intégrité et confidentialité);
Mettre cet art 5 en parallèle de l’art 5 du RGPD de l’UE de 2016, quasiment les mêmes mots, même principes. On parle de DACP
(données à caractères personnelles, terme juridique), identifier ou individualiser qlq. Tte l’économie numérique repose sur ces
DACP pcq ce sont ces DACP qui vont permettre d’individualiser le contenu qu’on voit (bulle filtrante) + pub ciblée qui est le
moteur de l’économie numérique.
Les données intéressaient surtt la puissance publique, les états/administrations pour protéger le citoyen des abus éventuels de
l’administration que ce texte a été pensé. 40 ans plus tard tjrs applicable.
La convention de 1981 a été à de nombreuses reprises actualisées, conv. 108 reste un outil important en matière de protection X
données perso. Le droit Euro s’intéresse à des objets du numérique de nombreuses manières : il y a des recommandations publiées
(ex : 1990, reco (90)08 sur l’impact des technologies sur les services de santé).
Il y a aussi la conv. du 23 NOV 2001 du conseil de l’Europe sur la cyber criminalité : sujet contemporain, en 1997 a été par le
conseil de l’Europe une conférence sur le thème « Internet et démocratie » = un sujet de 2021. Il y a bcp de publication sur ce
sujet.
Exemples :
-28 JANV 2021 : des lignes directrices du conseil de l’Europe sur la reconnaissance faciale.
-JUIN 2021 : publié un guide sur l’intelligence artificielle, intitulé « Intelligence artificielle, droit de l’Homme,
démocratie et état de droit ».
Le conseil de l’Europe et sa cour européenne des droits de l’homme sont confrontés à un problème : l’harmonisation du droit et de
la JP de la CEDH dans un contexte de 47 états qui ont un rapport aux technologies / numérique assez différent.
Un certain nb de pays membres du conseil de l’Europe, il y a pour certains pays des valeurs communes (fr, Italie, all…),
néanmoins, le cas est différent avec la Turquie X Russie. En Russie, l’usage d’un VPN est interdit et pénalement sanctionné depuis
le 1er NOV 2017.
Def VPN (virtual private network) : quand envoie une requête sur internet l’ordi envoie une requête de carte postale, requête par
sur le serveur et revient en clair. Avec un VPN la demande ne part pas en clair, elle est chiffrée, un VPN permet d’accéder à
différent serveur privé dans le monde.
Avantages VPN :
-qlq qui se met entre vous et le serveur peut pas voir la requête ou difficilement.
-permet de domicilier fictivement dans n’importe quel pays, de na pas avoir de géofencing.
Inconvénients VPN :
-rend plus complexe la surveillance de masse des états. Quand même cassable par la NSA par ex.
-Russie interdit l’usage des VPN depuis 2017, pour faciliter la surveillance d’internet et de ce qui s’y passe ; vendredi 3
sept 2021, gendarme des télécoms russes a annoncé avoir bloqué 6 logiciels de VPN parmi les + utilisés en Russie. Mise en
exécution des menaces et du blocage des VPN.
-Turquie a régulièrement bloqué l’accès a certain média sociaux instagram/skype/twitter par ex. 2017 le blocage de
Wikipédia. 1er OCT 2020 : nouvelle législation qui concerne les réseaux sociaux, à partir d’1 million de connection par jour
doivent avoir un rpz officiel en Turquie + obéir aux demandes de retraite contenue sous 48H + 4Million d’euro d’amende pour
Page 4 sur 59
chaque contenu non retiré + invitation à stocker les données dans le pays dans des serveurs où le pays a accès, pour renforcer le
contrôle du pays.
2. Le droit de l’Union Européenne.

Plus que 27 états et a éliminé des états ayant différentes opinions + les 27 états sont + ou - d’accord sur les libertés num.
L’UE a historiquement un but, qui est un but économique = le marché unique. l’UE a été intéressée par le marché unique, que ce
soit celui de la donnée (directive 1995) ou que ce soit le commerce électronique avec la directive du 8 JUIN 2000 (2000/31), qui
est une directive « relative à certains aspects juridiques des services de la société de l’information, et notamment du commerce
électronique, dans le marché intérieur ».
Sans réglementation de ce marché le marché unique disparait : l’intérêt est que les mêmes règles s’appliquent partout pour que les
données puissent passer sans contrainte, donc marché unique de la donnée, prendre les données de consommateur et les partager
entre eux.
L’UE dispose également d’un outil important : la CJUE. CJUE est importante pcq c’est intéressé au droit du numérique dans bcp
d’affaires mais avec assez svt une vision qui n’est pas purement économique.
Exemples :
-JP rendue par la CJUE, 16 JUIL 2020 : SCHREMS 2. C’est un activiste des libertés numériques, a saisi la CJUE avec
un argumentaire simple sur un sujet : une DACP (nom, email…) peut être transféré d’un pays membre de l’UE à un autre sans trop
de difficulté, dès lors que la donné quitte l’UE cela est plus compliqué pcq sort du champ du RGPD, il faut que l’état de
destination offre une protection équivalente.
l’UE acceptait un mécanisme « privacy shield » = un accord entre l’UE et la chambre américaine de commerce (FTC) = idée est
qu’une entreprise américaine va a la FTC et dmd des données sur l’Europe, en signant un papier il s’engage à respecter les droits
de l’UE.
SCHREMS saisit la CJUE et dit qu’aux USA il y a la NSA qui pratique la surveillance de masse, surveillance des données
indifférenciées de l’état, ca a été dit par Edward SNOWDEN, la NSA a dit publiquement qu’elle espionnait.
Ainsi, privacy shield ok mais vrai problème est le gvt américain lui même, pcq données stockées sur des serveurs de la NSA. L’UE
refuse la surveillance de masse, les USA la pratique donc privacy shield doit être annulée. La CJUE invalide la privacy shield.
Il y a une dimension pol, l’UE veut mieux protéger les libertés numériques que ce qu’il se fait aux USA.
Cette décision a un angle économique et aussi politique.
-JP rendue par la CJUE, 6 OCT 2020 : porte sur la surveillance de masse, décision par laquelle CJUE s’oppose à ce que
les états ordonnent aux opérateurs télécoms la collecte « généralisée et indifférenciée des données de connection et de location des
utilisations, sauf pour une durée limité ou de façon ciblée, notamment en cas de menaces graves pour la sécurité nationale ».
Le Conseil d’Etat rep qu’en gros avec le plan Vigipirate c’est pas possible et qu’il faut voir ça plus tard. La surveillance de masse
existe en France depuis la loi renseignement de 2015, tout les renseignements passent dans une boite noire et sur laquelle tourne
des algorithmes de détection, d’échanges…
Dans cette 2ème décision on voit que l’UE s’intéresse de + en + aux enjeux du numérique, l’UE est un peu attaquée… pcq avoir
eu le marché unique l’UE est arrivée à une forme de saturation et doit intervenir ailleurs.
C.
De grands principes ?
LA NOTION DE GRANDS PRINCIPES A-T-ELLE UN SENS ?
Un principe est qlq chose qui devrait être immuable, doit être appliqué dans l’absolu (PFRLR). On retrouve cette notion dans le
TUE article 6 qui évoque le terme de principe.
CES PRINCIPES S’APPLIQUENT T IL DE MANIÈRE PARFAIT HOMOGÈNES AUX TECHNOLOGIES NUMÉRIQUES OU AU

CONTRAIRE LES TECHNOLOGIES NUMÉRIQUES NE SONT ELLES PAS DE NATURE À REMETTRE EN CAUSE CERTAINS
PRINCIPES ?
La liberté d’expression : art 10 de la conv. euro des droits de l’Homme, art 11 de la charte des droits fondamentaux de l’UE qui
porte sur la liberté d’expression et d’informations.
Cette liberté d’expression faisait l’objet d’une interprétation assez homogène. Il était cohérent de parler de principe de la liberté
d’expression.
La cour euro des droits de l’homme a été saisi en matière de liberté de la presse X média + a rendu l’arrêt du 7 DEC 1976 « arrêt
HANDYSIDE » = affaire d’un livre à destination de la jeunesse anglaise, voulait répondre à un certain nb de questions que se
posent les jeunes, avec des sujets liés à la contraception, avortement, pornographie, homosexualité, masturbation…
Page 5 sur 59
Ce livre a été attaqué comme constituant une forme d’abus de liberté d’expression. La CEDH rend cet arrêt, constitue la pierre
angulaire de la liberté d’expression + l’appréhension de la cour sur ce sujet, il y a des méta-droits.
La CEDH dit que la liberté d’expression vaut pour toutes les idées, et aussi pour les idées qui choquent. La liberté d’expression est
presque de la « méta-liberté », une liberté dans laquelle il y a des libertés et des droits, la liberté d’expression conditionne le
pluralisme, la tolérance, l’ouverture d’esprit. Cela conditionne la démocratie. Il y a un vrai principe très fort.
La CEDH va ensuite réitérer sa JP y compris face aux technologies numériques, par ex la CEDH a rendu un arrêt le 18 DEC 2012,
« YLDIRIM contre TURQUIE, 63111/10 », dans lequel elle a été interrogée sur la question du blocage de site internet en
Turquie.
La cour a précisé que la liberté d’expression doit s’appliquer dans les média traditionnels comme sur internet. Oui, il y a des
grands principes absolus comme la liberté d’expression.
Néanmoins, cette théorie qui indique avoir de grands principes non affectés par la technologie numérisée est remis en cause par
des autres JP : même année que la JP YLDIRIM la CEDH a rendu un autre arrêt, 13 JUIL 2012, « mouvement raëlien suisse
contre Suisse, 16354/06 », affaire qui concernait la licéité de ce site (mvt qui veut entretenir de bonnes relations avec les extra
terrestres). Ce site est considéré comme portant atteinte aux bonnes moeurs etc + pouvant perturber les mineurs.
La chambre de la CEDH accepte le blocage de ce site, considérant notamment qu’internet revêt des spécificités par rapport à
d’autre moyen de diffusion, par rapport à d’autre moyen de diffusion.
Internet permet une plus grande diffusion, asynchrone + du fait que l’info est accessible à tous y compris par les mineurs; cela
oblige les juges a adapter les principes, un principe qu’on adapte ou qu’on transforme est un peu moins un principe, les
technologies numériques ne sont pas neutres, impactent les principes numériques.
Plus les réseaux sociaux se dvlp, plus les médias traditionnels perdent de l’audience, plus les juges vont être obligés d’adapter les
principes au particularisme de ces technologies.
Quand l’info en ligne est marginale pas de soucis mais quand le média se développe, il faut voir la nécessité de contrôler tout ça +
la possibilité de contrôler.
On peut se demander si le principe de la liberté d’expression est appliqué pareil au sein des pays membres de l’UE mais aussi dans
le Conseil de l’Europe. Il y a des pays qui n’ont pas le même pdv sur l’expression en ligne (France, Russie…) = pas les mêmes
politiques publiques.
Même en France la liberté d’expression en ligne connaît un certain nb de limitations loin d’être anecdotiques, qui peuvent
surprendre : ordonnance de référé rendu par le TGI de Paris, 14 OCT 2011, COP WATCH : une pratique ancienne (« cop
watching ») développée aux USA avec des bavures policières, des groupes surveillaient les pratiques policières avec parfois des
pratiques extrêmes comme le fait de filmer les interventions des policiers, mettre en ligne, ficher les policiers… tt ça dès les 90s.
En France aussi ce mvt s’est développé avec un site internet qui fiche les policiers et leurs pratiques, le site évoquait le cas d’un
policier qui avait un tatouage néo-nazi. Ce site certain le considérait comme utilité publique et d’autre comme une atteinte à la
protection des policiers. Ce site a été mis en justice, Claude Guéant en qualité de ministre de l’intérieur à saisi le TGI et dmd que
soit bloqué l’accès au site Cop Watch. Le TGI fait droit à cette demande + ordonne la mise en place de mesures d’accès restrictives
à ce site.
Au niveau de l’UE il s’agit de la même chose, la liberté d’expression en tant que principe est atténuée ds un certain nb de cas : là
aussi on peut douter de l’existence/autorité de ce principe. La CJUE a rendu un arrêt le 13 MAI 2014, Costeja contre
Espagne : affaire dite du droit aux déréférencement, Mr.Costeja avait été saisi en 90s de ses biens immobiliers, sa maison a été
saisi/vendu qui a été publié dans un journal, la version numérique de ce journal été disponible en ligne. Comme conséquences
quand tapait son nom on avait l’info sur la saisie/vente de sa maison. Il saisit la CNIL espagnole en évoquant son droit à l’oubli, il
ne s’agit pas d’effacer l’action d’internet mais slmnt que cette info ne soit plus accessible via le site internet.
La justice espagnole va remonter question préjudicielle à la CJUE, à cette occasion la cour rendra un arrêt intéressant en disant que
l’exploitant d’un moteur de recherches est tenu d’une obligation de suppression de résultat dans certain cas. La cour va
simplement préciser que cette obligation ne s’appliquerait pas si « pour des raisons particulières, telles que le rôle joué par ladite
personne dans la vie publique, l’ingérence dans ses droits fondamentaux est justifiée par l’intérêt prépondérant du public à avoir
du fait de cette inclusion (dans le moteur de recherche) accès à l’information en question ».
Cela veut dire que ce n’est pas un droit absolu, pas pcq on est cité dans une page qu’on peut demander directement le
déréférencement. Peut déduire 2 choses :
-le droit à l’oubli s’oppose au droit à l’information, la cour veut concilier les 2.
-globalement l’importance que joue la personne dans la vie publique est un exemple d’hypothèse où on va venir limiter
le droit au déréférencement. Juste un exemple, probablement d’autre cas dans lesquelles on va pas appliquer le déréférencement
pcq d’autre cas avec d’autre droits/libertés qui vont primer.
Page 6 sur 59
La cour de justice se contente d’un exemple, il a fallu ensuite que les CNIL européennes se réunissent à l’époque (le G29, groupe
de 29 de l’article de la directive de 1995, ajd le CEPD). A fixé une liste de critères en matière de déréférencement :
-est ce que la personne concernée mène une vie publique ?
-est ce que les données ont été collectées au moment où la personne était mineure ? Droit au déréférencement renforcé
s’agissant des mineurs.
-est ce que se sont des données publiées à des fins journalistiques ?
-est ce que les données concernent une condamnation pénale ?
….
Vient préciser le « telles que » : cette précision amène des réflexions :
-un peu gênant d’avoir un arrêt de la CJUE qui fixe un principe en disant que cela à des limites, sans dire lesquelles.
-que ce soit des autorités admin indépendantes qui viennent lister ces atténuations à ce principe du déréférencement.
-quel est l’étendu du principe de ce droit au déréférencement ? Vu le nombres d’atténuations peut être pas un principe,
insuffisamment tranché pour vrmnt parler de principe, trop de places pour les cas particuliers.
Position sur le privacy shield où la CJUE met à terre ce mécanisme de libre échange entre l’UE et les USA avec la protection des
données. Aurait dû voir une rupture de ces échanges, malgré la décision de la CJUE les échanges ont continué, pcq sinon il y aurait
bcp de manifestations afin d’avoir les réseaux sociaux par ex. En terme d’effectivité le principe est discutable.
Le 6 OCT 2020, arrêt contre la surveillance de masse et la collecte indifférenciée des informations : la CJUE l’interdit, l’arrêt
fait 85 pages pcq bcp d’exceptions, de choses qui font que les états qui le veulent pourront continuer à pratiquer la surveillance de
masse : le conseil d’état a validé la surveillance de masse avec le risque d’attentat.
Terme de « grands principes » est gênant, aurait fallu parler des principaux enjeux juridiques du droit du numérique, mais pas des
principes. Si on voulait donner un intitulé exact : intro aux principaux enjeux juridiques des usages du droit numérique en droit de
l’UE + droit européen.
II. LE DROIT DU NUMÉRIQUE, À LA RECHERCHE D’UN ÉQUILIBRE ENTRE LA PUISSANCE PUBLIQUE ET

LES ACTEURS PRIVÉS.
Le droit est un équilibre, la balance de la justice. Cet équilibre n’est pas tjrs égalitaire, entre 2 particuliers l’équilibre est supposé
être égalitaire, il y a des relations déséquilibrées. Le droit admin est un droit déséquilibré, ce qui le rend si peu intuitif.
PQ CERTAIN DROITS SONT DÉSÉQUILIBRÉS ?

La satisfaction du contrat social, le fait que nous acceptions de nous soumettre en tant qu’individu dans l’intérêt général à la
puissance publique, nous acceptons son autorité + ou - facilement, pcq cette puissance publique conserve l’intérêt général qui est
supérieur à la somme des intérêts particuliers.
Rappel important pcq légitime un certain nb de mesures, mesures de restrictions apportées aux libertés et ceux dans des domaines
variés. Ex : raisons sanitaires il y a un couvre feu…
De la même manière on va aller imposer un contrôle sur les médias, par exemple imposer des conventions aux chaînes de radio/
télé, imposer la loi de 1881 sur la presse écrite.
Ex : télé, son contrôle passe par des conventions, elles naissent avec la libéralisation des ondes. Ces conventions se justifient par la
nécessité de protéger la jeunesse, sauvegarder le pluralisme. Mais ces conventions difficiles à faire accepter au secteur privé. Pour
faire s’engager Bouygues / TF1 aux conventions ils ont trouvé qlq chose : pour pouvoir émettre une radio/télé à besoin d’une
fréquence hertzienne, capacité de l’air à faire circuler des ondes.
Début des 80s a dit si vous voulez émettre il faut utiliser ces fréquences qui font parti du domaine public hertzien, si TF1 veut
émettre elle droit les utiliser et pour les utiliser il faut une convention, qui est donnée par une autorité, en 1989 le CSA. Grâce à
cette idée, l’état a réussi à garder une emprise sur les médias développés dans les 80s.
Page 7 sur 59
Les technologies numériques n’ont pas besoin fondamentalement de l’accord de l’Etat, le réseau internet est décentralisé, qui n’est
pas « naturellement » entre les mains de l’Etat mais plutôt d’entreprises privées.
Notamment à cause de ça la puissance publique se trouve affaiblie, elle manque de prise sur ces technologies. Les entreprises du
numérique, les GAFA, ne sont pas juste des entreprises privées comme les autres. Ces géants du numérique ont un poids, une
doctrine qui les distinguent des autres entreprises privées, au point de venir concurrencer la puissance publique.
A. Des acteurs au poids économique majeur.

Ces GAFA, GAFAM, GAFAMI ont un poids énorme. Ex : Google réalise un chiffre d’affaire de 182 milliards de chiffres d’affaire
pour 40 milliards de bénéfices en 2020. Globalement le PIB du Portugal. L’ensemble des richesses produites au Portugal en 1
année sont à peu près équivalente à l’ensemble des richesses produites / générées par Google en 1 année.
La capitalisation boursière est encore + impressionnante ne représentante pas slmnt ce que l’entreprise pèse économiquement mais
est aussi ce que l’entreprise sera dans les années à venir pour les investisseurs. L’entreprise avec la + importante capitalisation
boursière est Apple avec 2 244 milliards, cette capitalisation est quasiment le PIB de la France. Si on voulait racheter Apple
l’ensemble des richesses produites en 1 an en France permettrait à peine de se payer Apple.
Dans les 10 premières capitalisations du monde il n’y a quasiment que des entreprises dans le domaine de la technologie : Saudi
Aramco (pétrole) + Tesla.
Il y a une dizaine d’années tout était différent, avant était essentiellement dans la banque / énergies / que Microsoft qui était dans
ce domaine (3ème). Non seulement les + grandes entreprises du monde sont dans le domaine de la technologie mais elles sont en
plus toutes bcp plus riches que ce qu’était les entreprises les + riches d’il y a 15 ans.
On assiste à des acteurs économiques qui n’ont plus le poids d’une entreprise classique, plus comparable au poids d’un état :
nécessité du droit européen pcq la régulation de ces acteurs peut difficilement être nationale, pcq certains états sont plus faibles
que ces entreprises.
Les puissances publiques ont a nouveau un poids suffisant s’il y a une réunion d’états, l’échelon adapté est supra national. On
constate en matière de protection des données personnelles grâce à l’UE, en 2014 la CNIL en France avait sanctionné
Google qui a l’époque était record : 150 000 euros. Dérisoire face à une entreprise comme ça.
Grâce au RGPD le plafond a augmenté, ajd est 4% du chiffre d’affaire mondial : les autorités de contrôles sont pédagogues donc
pas plus haut. En 2019 la CNIL a puni google de 50 millions, cet été le 16 Juillet la CNIL Luxembourgeoise a battu le nv
record contre Amazon avec 746 millions d’euros d’amendes administratives. Elles peuvent aller + loin, au plafond des 4% on
peut sanctionner google a hauteur de 12,8 milliards d’euros.
Grâce à l’UE est passée d’amendes admin ridicules à des amendes qui peuvent être significatives, amendes qui peuvent être
prononcées la même dans plusieurs états membres = un cumul.
L’UE agi souvent contre les GAFA sur la base de la réglementation anti-trust, droit de la concurrence. A ce titre, Google a déjà été
condamné à payer + de 8 milliard d’euro au titre des sanctions prononcées par l’UE.
Peut en déduire que + forts ensemble, l’UE a + d’autorité pour mettre ses entreprises dans le rang. Peut aussi se dire qu’il y a ces
dernières années une volonté des états, parfois collectivement au travers de l’UE, de reprendre en mains les géants du numérique.
Il y a une sorte de mécanisme d’auto-défense qui s’est mis en place, comme si qu’on s’était rendu compte que ces entreprises
peuvent faire du tort à la puissance publique/états.
De ce pdv la dernière actualité vient des USA, 6 OCT 2020 : la chambre des représentants du parlement américain a produit
un rapport consultable en ligne (469 pages) qui consiste en une enquête parlementaire de 16 mois. Il y a bcp de critiques des
géants du numérique + suggèrent en ccl que ces entreprises « pourraient se croire hors de portée de supervision démocratique ». Le
rapport fini par conclure en disant que parmi les solutions possibles/envisageables il y a le démantèlement pur et simple de ces
géants du numérique, démantèlement avec pour certaines activités une nationalisation.
Même aux USA qui pourront ont un profit de ces entreprises, le poids de ces entreprises commencent à poser pb, à questionner.
Ces entreprises jouent un rôle trop important à certain égard.
Ex : Amazon, leur activité principale qui est la cash machine et AWS (Amazon web services) qui fait de l’hébergement de données
au profit de structure publique. D’après les dernières données publiées il y a plus de 6500 agences gouvernementales / structures
publiques qui hébergent leur données chez Amazon, y compris la SNCF et d’autre services publiques fr.
Quand l’état fr a pris un cloud pour les données de santé on a confié les données à Microsoft : pose des questions en terme de
souveraineté. Tout ça ne serait pas si grave s’il y avait une forme de dépendance éco et que ces entreprises étaient juste là pour
gagner de l’argent, mais pas le cas.
Page 8 sur 59
B. DES ACTEURS AVEC UNE VISION POLITIQUE.

Ex : Google, cette entreprise à une histoire singulières qui mérité d’être rappelée. D’abord, parmi les co-fondateurs il y a des gens
avec des histoires particulières. Cowen + Schmidt ont tjrs été des clefs dans le développement de Google + ont écrit un livre
ensemble publié en 2014, « Google : the new digital edge », avec comme sous titre « we shaping the future of people, nation, and
business ».
Jared Cowen est un h d’affaire né en 1981 qui avant d’être chez Google a été conseiller spécial d’Hillary Clinton avec comme
spécialité au sein de la maison blanche le contre terrorisme en Asie centrale + Asie du Sud. A également travaillé sur la répression
des oppositions dans les pays totalitaires + sur la manière dont on pouvait en tant qu’état dynamiser ces oppositions.
Eric Schmidt a une histoire temporellement opposée pcq après avoir développé ses services chez Google est devenu directeur d’un
comité pour le pentagone américain avec comme mission d’étudier l’apport des innovations technologies à l’armée américaine.
2 personnes qui ont servi l’état américain dans ses activités les - transparentes. Parmi les fondateurs de Google il y a des gens qui
ont une histoire personnelle très forte avec l’Etat américain, les services de renseignements américains. Cette histoire en réalité
apparait bien dans la lecture du livre.
Dans ce livre, il n’est pas juste question de business. Google n’est pas une entreprise comme les autres pcq a tjrs eu la volonté de
transformer en profondeur la société (dit dans le livre). L’idée de Google a rapidement été de remplacer la puissance publique
dans de nombreux aspects. C’est en ce sens qu’elle n’est pas comme les autres, elle n’est pas juste là pour l’argent.
La volonté de google était de virer la puissance publique + prendre le rôle de l’Etat.
Ces entreprises se développent dans les années 2000 pile quand se développe la NSA, la surveillance dépasse + quand l’état
américain a besoin de bcp de données personnelles : l’Etat américain voit d’un bon oeil le développement de ces entreprises qui
vont collecter bcp de données personnelles. Tt ça facilite le travail des services de renseignements. Les gens se surveilleront eux-
mêmes.
Toutes les thématiques liées à la ville intelligente : l’idée est de rendre la ville meilleure grâce aux données. Ex : dire qu’on
monitor le trafic automobile grâce à des capteurs et en fonction du trafic automobile on va adapter la durée des feux rouges. À
Sangdo en Corée, il y a par ex des télé-consultations de chez vous.
La ville intelligente est mono-sémique + la ville intelligente est une ville où des entreprises privées vont exploiter des données
pour fournir des services publiques améliorées. C’est un outil pour écarter la puissance publique et remplacer cette dernière
par des services techno-centrés.
La vidéo protection intelligente : sujet intéressant + voit cette dépossession de la puissance publique, en qlq années le nombre de
caméras de video protections n’a cessé d’augmenter. Certaines villes possèdes plusieurs milliers de caméras (Nice). Les
technologies se sont développées, transportées (drones) + body cam. Tout ça est relié à un pc sécurité avec des agents qui
regardent.
Or, les activités de police ne sont pas déléguantes : on ne peut pas payer les entreprises privées pr regarder, vu le nombre de
caméras, c’est compliqué et manque d’agents. Bcp d’entreprises de développement des algorithmes qui vont automatiser le
contrôle, détecter les comportements anormaux. L’idée est d’avoir un pré-filtrage, ne montrer aux agents que les choses qui ont
un intérêt. Ex : dispersion de foule, amas de foule, ouverture de portières répétés. Ils savent aussi détecter des objets en temps réel.
De manière général le public demande de la transparence, ça ne le dérange pas d’être surveillé mais veulent juste ne pas voir qu’ils
sont surveillés.
Le souci est que ces technologies peuvent avoir l’effet de déléguer au privé des choses qui normalement ne devraient pas l’être :
via l’algorithme on dépossède la puissance publique d’une partie de sa compétence.
La technologie a aussi ses faiblesses + si n’est pas correctement surveillée peut donner lieu à des dérives.
Ex : algorithme qui a été vendu à la puissance publique aux USA, prédiction de crimes X délits (pred pol), envoie les policiers
patrouiller là où sont le + utiles. Analyse le nombre de crimes x délits commis, quel jour / heure = analyse statistique. Pred pol a
des limites qui ne sont pas neutres, cela comporte un biais d’échantillonnage. En envoyant des policiers dans des quartiers où il y
a bcp de crimes x délits alors + de policiers qui constateront encore + de crimes x délits, viendra un jour où 100% des policiers
seront là où il y a des crimes x délits.
Page 9 sur 59
Le souci est de faire trop confiance et quand ces technologies échappent au contrôle de la puissance publique.
QUAND UNE COMMUNE UTILISE UN SYSTÈME DE VIDEO PROTECTION INTELLIGENTE EST CE QU’ELLE COMPREND
RÉELLEMENT COMMENT FONCTIONNE CE SYSTÈME, CAPABLE DE COMPRENDRE LES BIAIS AINSI QUE DE LES
CORRIGER ?
Les crypto actifs, crypto monnaie : existe depuis assez longtemps, dès 2008, les premières lignes indiquent que les états sont
visés, entrainer une disruption sur un des fondements mêmes de la puissance publique et des états. Développe le bitcoin avec pour
intention de remettre en cause l’autorité des états. Pdt longtemps les états n’ont pas pris ça au sérieux. 13 ans plus tard après le
livre blanc de Nakamoto les états ne sont plus sereins, les crypto monnaie peuvent remplacer la monnaie publique, celle que les
états battent.
Avec un portefeuille bitcoin on peut payer ses courses. De nbx états ont annoncé vouloir encadre les crypto monnaie (USA,
Europe…). Par ex, la Turquie a été sérieusement mise en difficulté pcq leur monnaie a perdu + bcp de leurs riches personnes ont
investit dans le bitcoin pour pas perdre leur argent, la Turquie a interdit l’utilisation d’autre monnaie que la monnaie nationale pour
éviter cette fuite sur la crypto monnaie.
Les crypto monnaie deviennent une alternative pour certains pays, bcp de gens n’ont pas de compte bancaire mais peuvent avoir
accès à des crypto monnaie, cela devient une forme de monnaie comme les autres. Même une prérogative aussi solide que la
monnaie est attaquée par les technologies.
C. DES ACTEURS DOTÉS D’UN POUVOIR D’INFLUENCE POLITIQUE.

Bulle de filtre, polarisation de la société, prise du capitole…
Souvent les grands patrons de média ont une ambition politique, mais pas nécessairement tous. Ce qui est sûr est qu’ils ont une
influence politique qui passe par une forme de polarisation. Cette influence est réelle, elle a même potentiellement une montée
des extrêmes, que ce soit droite ou gauche. Elle pourrait être instrumentalisée, peut utiliser les réseaux sociaux à des fins
politiques.
Ces entreprises ont un impact sur notre relation à la puissance publique, une sorte de contrat social 2.0.
D. DES ACTEURS MAJEURS DU MONDE DU RENSEIGNEMENT.

La parte la plus obscure. Il y a le documentaire « nothing to hide » fait avec la quadrature du net, il y a des interviews de repentis
de la NSA qui expliquent cmnt toutes ces données collectées sont utilisées à des fins de renseignements.
Les acteurs du numérique ne sont pas des acteurs économique comme les autres. En 2017 le Danemark a nommé un
ambassadeur auprès de la Silicon Valley des GAFA. À la même période, le ministre des affaires étrangères Danois pour se
justifier à déclaré « ces sociétés sont devenues un type de nouvelles nations auxquelles nous devons nous confronter ».
Les puissances publiques ont été débordées, elles n’ont pas vu l’ampleur de l’impact des technologies. Plus on attend, plus il est
compliqué de réguler. Quand les usages sont là il est difficile de les remettre en cause.
Si en 2008 avait interdit les crypto monnaie directement alors il n’y aurait pas eu de soucis, c’était facile. Le lobbying a très bien
marché, l’UE a été naïve. Il y a les intérêts des entreprises, les relations internationales, la coopération en termes de
renseignements : amène du pragmatisme.
III. DE L’IMPOSSIBILITÉ D’UN PLAN.

La protection des données personnelles à l’air d’être du droit public, majoritairement vrai mais la protection des données
personnelles c’est des contrats, du droit privé.
Page 10 sur 59
Fiche n1 : les Summa divisio européennes du droit du

numérique.
Il faut des catégories pcq une fois qu’est rangé on sait quel régime lui donner. La neutralité technologique : nouveau truc qui
apparait, on le range dans la boite qui ressemble le plus. En rangeant dans des boites le juriste s’épargne la création d’un nouveau
régime juridique, pas besoin de créer un nouveau droit.
Dans les 90s il y a bcp d’auteurs de la doctrine juridique qui parlait de neutralité juridique, un média qui prend la suite logique de
média qui existait déjà avant. Cette neutralité juridique a souvent fonctionné, l’histoire du droit des media est marquée par de
nombreux succès de la neutralité technologique.
Loi de 1881, presse puis radio puis télé puis minitel… les technologies numériques n’ont pas su rentrer dans une catégorie pré-
existante. Ces technologies ont été si disruptives qu’elles ont nécessité la création de nouvelles catégories juridiques.
1. Une étape importante : la consécration des « services de la société de

l’information ».
On peut remonter à 1994 : publication d’une communication de la commission, appelée encore la commission des
communautés européennes, au parlement vers le comite éco X social pour le comité des régions, appelée « vers la société de
l’information en Europe, un plan d’action ».
En 1995 on se rend compte que le monde de la communication va changer, qu’internet va se développer et changer notre société.
Très peu de foyers connectés en Europe à cette période mais la technologie est là.
2 ans plus tard cette communication va donner naissance à une résolution C320 du 28 OCT 1996. Une résolution est une
publicité exprimée publiquement sur une question, les résolutions du parlement conduisent ensuite des actions de la part des états-
membres et/ou de l’UE. Cette résolution dit « considérant qu’il est clair qu’internet sera la lingua Franca de mvt inter planétaire ».
En 1996 il y a la demande une coopération internationale sur un domaine de la société d’information.
Point 29 de la résolution : « demande en particulier que l'intervention des pouvoirs publics dans le domaine de la société de
l'information, notamment en ce qui concerne la propriété intellectuelle, les droits des citoyens et la lutte contre la
criminalité, et plus précisément l'utilisation d'Internet, fasse l'objet d'une coopération internationale en vue de définir les
règles régissant l'action à mener par les pouvoirs publics pour protéger les individus et la société dans son ensemble contre
les pratiques criminelles ou malhonnêtes, sans restreindre le droit légitime des utilisateurs d'échanger des informations et
de communiquer librement sur les réseaux interconnectés, ni étendre les restrictions nationales au-delà de l'espace
géographique à l'intérieur duquel elles sont justifiées ».
Dès 1996 il y a encore la « société de l’information » qui pose des pb juridiques nouveaux notamment dans la propriété
intellectuelle, criminalité + parlement veut une coopération sur le sujet.
Déclaration qui arrive tôt, les puissances avaient tardé à agir, mais l’UE a identifié le pb assez tôt. Néanmoins, ne l’a pas traité. En
France et dans d’autre pays membres on commence à s’intéresser au sujet, le 16 Juin 1996 un groupe de travail inter ministériel
va publier un rapport (dispo sur vie publique.fr) « internet : enjeux juridiques ». Ce rapport illustre ce qu’il se passe à
l’époque, les pays se posent la question de réglementer internet, l’UE n’a pas envie que les états membres commencent à
réglementer ce nouvel outil de communication. Si les em avaient réglementés chacun dans leur coin on aurait créé de nvelles
barrières au marché unique.
Directive du 20 JUIL 1998, 98/48 : une def de service de la société de l’information, ces services sont « des services fournis
normalement contre rémunération à distance par voie électronique et à la demande individuelle d’un destinataire de
service ». Avec cette nvelle directive qui modifie la directive 98/34 il y a de nouveaux services juridiques à l’information, qui se
caractérise principalement par l’existence d’une demande individuelle.
Très peu de juristes à l’époque ont vu ce qu’il se passait.
Le parlement n’a pas inventé grand chose : il existait la radio, diffusion télé visuelle, qui dans sa définition précisait que sont
exclus de cette catégorie les services fournis sur demande individuelle.
À partir de 1998 les choses sont claires : d’un côté la radio x télévision, des services dans lesquelles il y a un public simultané mais
qui n’est pas actif, celui de la radio/télé est passif. Les nvx services se caractérisent pas la demande individuelle : je clique sur un
Page 11 sur 59
lien, la page s’affiche, ma propre navigation. Cette dichotomie va donner naissance à deux régimes juridiques distincts : directive
du 9 JUIN 2000, sur le commerce électronique + surtt une directive qui évoque le cadre juridique de la société de l’information.
En résumé, à partir de la fin des années 90 début 2000, il y a la télé/radio avec public passif et la société d’information avec un
public actif qui choisit ce qui regarde X quand le regarde.
En France on parle de 2 choses :

-communication audiovisuelle : radio + télé.
-communication au public en ligne : se caractérise par les demandes individuelles.
Ces deux boites sont réunies ensemble dans une plus grande boite appelée la communication au public par voie électronique.
Selon la boite dans laquelle sera rangée, le régime juridique sera différent. Radio à la CSA, internet non… pas le même cadre
juridique ni même réglementation. Ce qui est fascinant avec ce système de boites est le fait d’hésiter entre quel régime ranger la
chose, il y a du flou.
2. LA NAISSANCE D’UNE ZONE D’OMBRE ENTRE SERVICE DE MÉDIA AUDIOVISUEL ET

SERVICE DE LA SOCIÉTÉ DE L’INFORMATION.
Dans une affaire du 2 JUIN 2005, Mediakable : un service proposé par Madiakable, vidéos payantes appelées filmtime, pouvait
payer pour regarder un film en particulier, un peu comme si on pouvait payer Canal+ au film et non avec un abonnement mensuel.
Ce n’était pas l’ancêtre de Netflix, il y avait une programmation avec une soixantaine de film diffusé sur le service + le
téléspectateur payait pour voir tel ou tel film selon un horaire de diffusion prédéterminé.
La Cour de justice a du trancher pour dire si était de la communication audiovisuelle ou si était un service de la société de
l’information, ce qui juridiquement changeait tout. En pratique cette s’est solutionnée de manière simple pcq comme il y a des
horaires, les programmes n’étaient pas fournis sur demande individuelle, donc communication audiovisuelle, avec un public
simultané.
À la même époque, 2005/2006/2007 un certain nb de chaines de télé développent le service de vidéos à la demande, fin 2005 TF1
lance TF1Vision où on peut voir des programmes à la demande. En 2008 la même chose avec M6Replay.
Ce que fait TF1 en 2005 est disruptif : des programmes fournis sur demande individuelle.
Idée : si un programme qui avait été diffusé sur la télé il devrait se retrouver régit par le CSA quel que soit son module de
diffusion. l’UE a adopté une directive le 11 DEC 2007 qui s’appelle la directive « service de média audiovisuel ». Cette
directive est importante pcq vient ranger dans la catégorie audiovisuelle les services de média audiovisuels à la demande (SMAD).
Services qui prennent leur source dans un catalogue de programme sélectionné par le fournisseur de service, services non linéaires,
choisis au moment de la demande de l’utilisateur.
Les boites qui avaient été créées fin des 90s dès le milieu des années 2000 n’étaient déjà plus efficaces.
A partir de 2007 on se retrouver avec une trichotomie : radio diffusion classique / services de la société de l’information / les
SMAD. Les SMAD vont se situer entre les 2 autres pour les réglementations.
Par rapport à l’UE, les quota d’oeuvres/d’expressions européennes, vont s’appliquer aux SMAD alors que les quotas ne vont pas
s’appliquer aux services de société de l’info.
En France transposition de la directive de 2007 par une loi du 5 MARS 2009, cette catégorie de SMAD va être définie comme
des services qui fournissent à la demande un accès à un catalogue de programme dont la sélection X organisation sont controlées
par l’éditeur de services. On va ajouter que sont exclus de la catégorie des SMAD un certain nb de services, notamment les
services « consistants à fournir ou à diffuser du contenu audiovisuel créé par des utilisateurs privés à des fins de partage et
d’échanges au sein de communautés d’intérêts ». Exclusion de YouTube, Dailymotion….
En France bcp de gens ont crié au scandale en disant qu’il s’agissait d’un cadeau à Dailymotion pcq est une entreprise fr qui a tenu
tête à YouTube pdt lgts, au niveau mondial à aussi été ds une situation égalitaire par rapport à YouTube. L’état Fr en 2009
s’introduit dans le capital de Dailymotion par l’intermédiaire d’unes structure : le fond stratégique d’investissement, tenu entre la
caisse des dépôts et l’état français.
Page 12 sur 59
L’état français est un actionnaire important de Dailymotion, l’état fr sent que la vidéo en ligne va devenir importante et ne veut pas
que les américains deviennent aussi les maitres du monde en matière de plateformes de partage de vidéos en ligne. Face à
Dailymotion il y a YouTube, créé en Fev 2005, ce site est racheté par google en 2006 pour 1.65 Milliards de dollar, énorme pr une
entreprise créée un an plus tôt.
En 2009 l’état fr à un intérêt à ne pas embêter Dailymotion, quand écarte Dailymotion X YouTube des SMAD entraine une
réglementation assouplie, mais dans la directive de 2007 il y a des considérants annonçant le contenu réglementaire X
considérant n°16 qui indique que « au fin de la présente directive la définition du service de média audiovisuel devrait couvrir
exclusivement les services de média audiovisuels, que ce soit de la radio diffusion télévisuelle ou à la demande, qui sont des
médias de masse, c’est à dire qui sont destinés à être reçu par une part importante de la population et qui sont susceptibles d’avoir
sur elle un impact manifeste ».
Le même considérant va inviter les états à exclure des SMAD les services de partage et d’échanges au sein de communauté
d’intérêts. Quand en 2009 on exclu Dailymotion, ça arrange l’état fr mais pas un cadeau pcq était prévu par la directive dans ses
considérants.
En 2007 si on a exclu ces plateformes de partage, c’est parce qu’elles ne sont pas des médias de masse à l’époque. En une
dizaine d’années bcp de chose ont changé : Dailymotion n’est plus un concurrent crédible de YouTube, ce qui confirme l’adage
selon lequel « le meilleur prend tout ». Dans le domaine du droit du numérique on peut pas oublier le fait que les services qu’on a
face à soi sont des services qui deviennent monopolistique rapidement.
YouTube c’est 2 milliards de pers qui consultent le site tous les mois. Services disponibles dans + 100 pays, 80 langues, représente
plus d’un milliard d’heures de vidéos consommées chaque jour dans le monde. Bcp pour un média qui ne serait pas de masse, elles
sont devenues des médias de masse. Les bulles de filtre se construisent sur ces plateformes.
Une nvelle forme de catégorie : le phénomène des plateformes. On avait Internet, la communication audiovisuelle puis les
SMAD et se dvlp un nouveau truc, une 4ème boite appelée les plateformes : Facebook, Instagram sont considérés comme des
plateformes au sens juridique du terme, pareil pour YouTube.
3. LA PRISE EN COMPTE DU RÔLE CROISSANT DES PLATEFORMES (DE PARTAGE DE VIDÉOS).

YouTube a longtemps été dans une situation avantageuse. YouTube ne s’est pas vu appliquer les régime des SMAD, considéré
comme une exception. YouTube va aussi être considéré comme un simple hébergeur : hébergeurs / éditeurs de contenu et google
est un simple hébergeur de contenu mis en ligne sur YouTube, en gros il sera que peu responsable du contenu mis en ligne.
Quand YouTube était un petit site, vrmnt du partage de vidéos entre communautés, YouTube n’était pas un outil de distraction, ajd
c’en est un qui remplace la télévision, les outils de préconisation algorithmique ont pris une place importante sur YouTube. Ajd on
enchaine les vidéos, que souvent on choisi pas. YouTube est devenu un mass media.
L’UE a été obligée de réagir pour éviter que ces plateformes, notamment YouTube, ne remettent en cause le pluralisme,
l’exception culturelle européenne, pour lutter contre la désinformation, haine en ligne, porno / pédopornographie. A adopté une
directive du 14 NOV 2018, 2018/1808, « service de média audiovisuelle » : trouve une nvelle catégorie, les services de
plateformes de partages de vidéos.
Partage de vidéos se caractérise par la fourniture au grand public de programme et/ou de vidéos créées par l’utilisateur. On
retrouve le partage communautaire mais on y ajoute la notion de programme, le programme étant un élément d’une grille ou d’un
catalogue établit par un fournisseur de services de médias : un docu / fiction… Peut trouver des vidéos amateurs mais aussi des
programmes.
L’organisation de ces contenus ; que ce soit des programmes ou des vidéos fournies par le public, est déterminé par le fournisseur
de la plateforme, à l’aide de moyens automatiques qui vont préconiser des vidéos.
Ces plateformes avec cette directive de 2018 se voit imposer de nvelles obligations : les em doivent veiller à ce que ces
plateformes prennent des mesures appropriées pour protéger les mineurs, notamment pour les contenus violents… les em doivent
prendre les mesures nécessaires pour protéger le grand public des contenus qui incitent à la violation X haine, provoque au
terrorisme, ou infraction pédo pornographique.
La directive ne dit pas comment le faire mais dit qu’il faut protéger les mineurs et le public vis à vis de certains contenus. La
directive impose aux em de contraindre les plateformes à prendre certaines mesures, on doit imposer en tant qu’em des mesures
comme la mise en place de processus efficace de signalement, doit imposer aux plateformes le système de vérification de l’âge des
Page 13 sur 59
personnes avant de leur donner accès à des contenus susceptibles de nuire à l’épanouissement physique, moral ou mental des
mineurs.
Les em doivent imposer aux plateformes de prévoir des systèmes de contrôle parental ou de contraindre les plateformes à des
procédures transparentes de résolution de réclamation, comme la suppression de compte. Affaire de l’origine du monde, un prof
qui avait pour photo de profil « l’origine du monde » de Courbet, pas de pb de droit d’auteurs mais comme sexe féminin alors
suppression. Dit ce que les plateformes doivent faire sans dire comment.
La transposition est difficile, affaire Samuel Patty où il a fallu réagir pcq l’opinion publique était désireuse d’une meilleure
réglementation des plateformes. Doit supprimer dans un délai court les contenus signalés comme faisant l’apologie du terrorisme.
Ces plateformes mettent leur propre contrôle et supprimer d’elles mêmes ces contenus.
Conseil constit dit que la loi Avia est dangereuse pour la liberté d’expression pcq si on impose aux plateformes des sanctions
importantes lorsqu’elles ne retirent pas les contenus où il y a un soupçon d’incitation à la haine, les plateformes vont encore plus
développer le filtrage algorithmique (des robots qui détectent des contenus susceptibles d’être dangereux), donc invalidation de la
loi Avia.
Année 2020 tjrs pas de transposition de la directive de 2018. La solution est venue d’une adoption d’une ordonnance du 21
DEC 2020, 2020-1642, art 22 reprend les obligations de la directive + le conseil supérieur de l’audiovisuel qui doit veiller au
contenu sur les plateformes.
Pose des problèmes : le CSA est le conseil supérieur de l’audiovisuel, les plateformes ne sont pas dedans. Donne au CSA la
compétence d’encadrer les plateformes alors qu’elles ne sont pas des plateformes audiovisuelles, en pratique le CSA devra évoluer,
raison pour laquelle le CSA va devenir l’ARCOM dont la mission sera notamment de mieux réguler la communication numérique,
fusion du CSA et ADOPI mais est surtt un changement majeur de philosophie.
QUELLE AUTORITÉ POUR CETTE FUTURE ARCOM SUR LES PLATEFORMES ?

Si le CSA avait une autorité en matière de radio X télé, son autorité venait essentiellement de la rareté des fréquences. La
plateforme n’a pas besoin de fréquence hertzienne, comment imposer des obligations à ces plateformes, l’obligation d’aller
imposer un contrôle de la majorité des utilisateurs de site qui ont des contenus porno, svt qui ont des sociétés écrans / paradis
fiscaux / pas d’exéquatur.
Au tout début, il y avait la communication audiovisuelle, le CSA responsable de cette communication audiovisuelle. Ensuite, s’est
développés les services de la société de l’information, la communication au public en ligne, le CSA n’est pas compétent. Cette
dichotomie a volé en éclats avec le consécration des SMAD en peu de temps, puis les plateformes se sont développées (de vidéos
surtt), les plateformes n’étant pas dans la boite de communication audiovisuelle a dû créer une catégorie hybride, où le CSA
devient compétent sans en avoir les moyens forcément.
Page 14 sur 59
Fiche n2 : la responsabilité des acteurs techniques du

numérique.
On peut aussi les appeler prestataire technique du numérique. A partir du milieu des 90s l’UE développe la notion de services
de société de l’information, mieux appréhender le développement d’internet. Avec ces services de la société de l’info se
développe des nvx acteurs :
-les fournisseurs d’accès à un internet.
-les hébergeurs de sites internet.
Avant, il y avait le minitel mais il n’y avait pas de fournisseurs d’accès. Début des années 2000 change tout ça pcq le grand public
découvre internet, les entreprises veulent avoir leur site et même les particuliers, tout explose ainsi que l’importance éco.
QUE FAIRE DE CES NVX ACTEURS EN TERME DE RESPONSABILITÉ ?

Dans un premier temps, la doctrine dans la première moitié des 90s émet l’idée que ces acteurs techniques, notamment les
hébergeurs devraient être responsables des contenus auxquels ils donnent accès. Cette idée vient de la loi de 1881 sur la presse,
comporte un art 42 « la cascade de responsabilité » : la loi rend responsable à titre principal le directeur de la publication. La loi
envisage qu’à défaut du directeur de la publication soit responsable, l’auteur, et si à défaut de l’auteur qui peut être anonyme peut
voir l’imprimeur, à défaut de l’imprimeur s’il est inconnu peut agir contre le vendeur qui est responsable de ce qu’il vend.
La loi du 26 JUIL 1996 dite loi de réglementation des télécommunications va imposer une responsabilité assez forte au
fournisseur d’accès avec une possible responsabilité des fournisseurs d’accès s’ils laissent le public accéder à des sites ayant reçu
un avis défavorable émis par un comité chargé d’émettre des avis sur des sites internets.
Cette loi a été torpillée par le conseil constit ayant dans une décision du 23 JUIL 1996, a considéré que le législateur a été trop
loin en confiant à ce fameux comité « le comité supérieur de télématique » des pouvoirs trop larges pcq les avis de ce comité
auraient eu des conséquences potentiellement pénales, pcq sanction à ces fournisseurs d’accès.
Cette loi promulguée n’est pas un exemple isolé, à la même époque aux USA est adoptée le decency act, 8 FEV 1996, un texte
qui impose aux prestataires internet des obligations de contrôle et de filtrage, ce decency act est censuré par la cour suprême le 16
JUIN 1997, pour les motifs qui tiennent essentiellement du fait que la responsabilité pénale sera trop importante.
Après le decency act le parlement va adopter une loi radicalement différente, laxiste, peu de responsabilité sur les acteurs
techniques, le digital millenium copyright act, 1998. A Bruxelles quand on commence a parler de ces sujets en parlant d’adopter
une directive, les lobby sont très mobilisés, à l’époque les acteurs sont AOL, elles mettent tout en oeuvre pour que le régime de
responsabilité adopté soit un régime souple.
L’argumentaire pour faire adopter une directive est que si l’UE ne fait rien tous les em auront leur propre régulation, si les em ont
leur propre législation, il y aura des entraves au marché unique donc doit agir vite. Il faut adopter une directive souple pcq la
plupart des acteurs sont américains et que les lois sont souples, en Allemagne aussi, et que la souplesse est bon pour les affaires. `
L’UE adoptera une directive célèbre du 8 JUIN 2000, sur le commerce électronique : loi LCEN, 21 JUIN 2004. Cette directive
20 ans après est un hold up grâce à cette directive les entreprises du numérique disposeront d’une quasi impunité, directive sur
l’irresponsabilité
1. LA RESPONSABILITÉ DES HÉBERGEURS.
A. Le régime de quasi irresponsabilité de la directive sur
l’irresponsabilité.
Directive porte sur la responsabilité des prestataires de la société de l’information, dit au considérant 46 dit que « à fin de
bénéficier d’une limitation de responsabilité, le prestataire d’un service de la société de l’information consistant dans le stockage
d’informations doit, dès qu’il prend effectivement connaissance ou conscience du caractère illicite des activités, agir promptement
pour retirer les informations concernées ou rendre l’accès à celles ci impossible ».
Ce considérant va trouver son pendant normatif dans l’art 14 de la directive qui porte sur l’hébergement dit que l’hébergeur n’est
pas responsable s’il n’a pas connaissance de l’activité ou l’information illicite, ou si dès lors qu’il y a cette connaissance le
prestataire a agi promptement pour retirer les informations et rendre l’accès à celles ci impossible.
Page 15 sur 59
Il s’agit du régime de responsabilité le plus favorable possible pour les hébergeurs. Ce texte signifie qu’on peut héberger
n’importe quoi, ne devient responsable qu’à partir du moment où il y a une connaissance réelle de l’illicéité de ce qu’on héberge,
et à partir de ce moment il suffit d’agir promptement (sans délai) pour se dégager de sa responsabilité.
Un hébergeur est qlq qui est payé pour stocker et rendre accessible un site internet. Cette irresponsabilité à un sens pcq il n’y a pas
encore les réseaux sociaux. À l’époque, Google vient de louer ses premiers locaux, a slmnt 8 salariés, peut pas imaginer YouTube
etc…
L’art 15 de la directive ajoute au profit des hébergeurs et des fournisseurs d’accès n’ont pas d’obligations générales de
surveillance, pas a chercher par eux même, filtrer le contenu…
B. L’interprétation jurisprudentielle de la directive 2000/31. i. i. La définition des

hébergeurs.
Entre 2000 X 2010 de nvx services apparaissent, impact majeur sur la notion d’hébergeur. En 2000 un hébergeur est qlq qu’on
paye pour héberger son site internet, progressivement bcp de services qui vont se développer, ex arrêt 23 MARS 2010 de la
CJEU, Louis Vuitton contre Google : Louis Vuitton se rend compte que quand on tape LV sur Google on tombe en
référencement prioritaire sur un site de contrefaçon, attaque en justice non pas le contrefacteur mais Google en disant que google
vend ces emplacements publicitaires, gagnent de l’argent, donc devriez être responsables des mots clefs utilisés, qui étaient Louis
Vuitton / LV / contre-façon
Question de la qualification juridique de Google dans le cadre de cette activité de référencement prioritaire : quand google se fait
de l’argent sur chaque clic, google est un hébergeur ou un éditeur, quelle est la responsabilité ? Les avocats vont plaider sur le
régime de l’hébergeur, Google est l’hébergeur donc un simple prestataire technique, le client remplit le formulaire avec les mots
clefs choisis et les algorithmes vont faire le travail.
Les avocats de LV diront que google a une responsabilité d’éditeur, google détermine l’ordre d’affichage des résultats en
fonction de ces mots-clefs, google gagne de l’argent avec ces mots clefs.
La CJUE va donner raison à google et va le considérer comme hébergeur, prestataire intermédiaire et considérant que google n’a
pas un rôle suffisamment actif pour être responsable, sauf à prouver une faute spécifique, ce qui n’est pas le cas en l’espèce.
Arrêt 12 JUIL 2011, CJUE, Loréal contre EBAY, C324-09 : même problématique de contrefaçon de marque et considère
qu’Ebay est un simple hébergeur donc pas responsable sauf à avoir connaissance de l’illicite de l’information.
Ces JP vont avoir un effet boule de neige, les réseaux sociaux sont de simple hébergeurs etc….
ii. L’absence
d’obligations de surveillance et de filtrage
La directive art 15 prévoit une absence d’obligations générales de surveillance. Assez logique s’agissant des hébergeurs
classiques. Se posait la question qlq années après la directive des années 2000 s’il fallait continuer cette non obligation de
surveillance s’agissant des réseaux sociaux.
Les réseaux sociaux reposent sur une réalité économique différente, l’hébergeur est payé pour héberger le site. Quand publie des
choses sur un réseau social on ne paye pas le réseau, il gagne de l’argent grâce au contenu publié. La logique éco est complètement
différente.
Il aurait fallu imposer une vraie responsabilité à ces acteurs, arrêt 16 FEV 2012, C360-10, Sabam contre Netlog : Sabam est
une société de gestion de droit, Netlog est un réseau social type My Space. Sur ces espaces de réseaux sociaux, il y avait des contre
façons d’oeuvre notamment musicaux qui pouvaient être téléchargés. La cour de justice doit se pencher sur la resp de Netlog,
réseau social gratuit.
La cour de justice précise que Netlog n’a pas d’obligation de filtrage, que ce serait disproportionné et donc serait excessif par
rapport à la liberté de recevoir ou communiquer des informations, ne veut pas dire que ces hébergeurs ne peuvent jamais être
contraints de filtrer, on ne peut pas leur imposer d’obligations générales de surveillance et de filtrage.
Avec ces JP, les géants de l’économie juridique du web 2.0 vont se trouver très peu responsables des contenus avec une absence
d’obligations de surveillance sur ce qu’il se passe chez eux. Est discutable pcq leur modèle éco est différent des hébergeurs de
2000.
Page 16 sur 59
Concrètement va amener à une forme de banalisation de la violation du droit d’auteurs, et surtout des acteurs (Facebook
google…) qui vont gagner bcp d’argent grâce à cette violation du droit d’auteurs devenus quasi systématique. Avec cette
directive de 2000, on dynamise ces entreprises et leur permettre de gagner bcp d’argent.
Ajd plus slmnt le pb de violation du droit d’auteur, un pb de polarisation de la société, fake news, bulle de filtre… ces hébergeurs
qui sont des RS en grande partie influencent.
C. LES QUESTIONNEMENTS ACTUELS SUR LA RESPONSABILITÉ

DES HÉBERGEURS.
Le pb est en particulier un pb de limitation des contenus haineux, de préservation du pluralisme, ni plus ni moins que la question
de la préservation de la démocratie. Cette trop grande irresponsabilité des hébergeurs peut menacer la démocratie.
COMMENT REVENIR SUR CETTE IRRESPONSABILITÉ ?

Ne peut pas être facile, donc a commencé à prôner l’auto régulation. En 2016 l’UE a fait signer à Facebook / Twitter /
Youtube / Microsoft un code de conduite pour lutter contre les contenus haineux, avec notamment l’engagement de mettre en
place des mesures plus efficaces à la fois pour le signalement des contenus illicites et la suppression des contenus haineux /
illicites.
La directive de 2000 dans son art 16 prévoit déjà le dvlpmnt de code de conduite, soft law en la matière. La où en 2016 40% des
contenus signalés étaient évalués dans les 24h par les plateformes, est passé à 90% en 2020. Les taux de contenus ont bcp
augmentés.
Cette régulation fonctionne un peu et les plateformes n’y sont pas pour rien si ça fonctionne, ces grandes plateformes savent que si
elles ne s’auto régulent pas un minimum alors ça ne finira plus par être de l’auto régulation mais du droit positif, avec des
sanctions et des amendes. Il y a ajd trop de contenus haineux, des délais de suppression trop long + une situation ambiguë où il y a
un auto contrôle trop poussé (suppression de contenus qui n’ont pas de raisons d’être supprimés) et de l’autre des fausses info qui
souvent vont rester longtemps.
Il y a une évolution jurisprudentielle : la cour de justice a rendu un arrêt le 3 OCT 2019, Facebook : arrêt où la cour estime
qu’il est possible pour les juges d’enjoindre à un hébergeur de « supprimer des contenus identiques ou équivalent à un autre
contenu déjà jugé illicite et cela au niveau mondial ». La cour estime que « les injonctions de retraits doivent même s’étendre au
contenu qui sont des contenus équivalents à ceux déjà déclarer illicite », des contenus qui même sont présentés de manière
différentes portent sur le même type de message.
Obligation de Notice and Take down, à une obligation de Notice and stay down. S’il y a une fausse information et que cette
fausse info a été jugée illicite et qu’un contenu a été supprimé par l’hébergeur sur décision de justice, il devra s’assurer que cette
info est bien supprimée + non remise + que des info analogues ne seront pas publiées.
L’obligation de filtrage et de surveillance qui est exclu en 2000 revient. La CJUE au détour d’un petit arrêt passé inaperçu impose
une responsabilité renforcée.
Il existe ajd au sein de l’UE un projet ambitieux, appelé le digital services act package, ensemble formé par deux règlements,
dont les projets ont été présentés le 15 DEC 2020 :
Ce qui veut dire que l’obligation de filtrage et de surveillance qui était exclus en 2000, revient. C’est ici une forme de contrôle sur
le contenu. La CJ au détour d’un petit arrêt impose non pas une obligation générale de surveillance mais une responsabilité
renforcée.
Il existe ajd au sein de l’UE un projet ambitieux, le « digital service act package », qui est un ensemble formé par deux règlements
dont les projets ont été présentés le 15 décembre 2020. Les deux règlements :
- Digital Service Act (DSA)
- Digital Service Markets Act (DMA)
Le DMA est un règlement portant essentiellement sur les problématiques du droit des concurrences, l’idée étant t’attaquer les
plateformes sur la base du droit de la concurrence. Le Digital service act vise lui à renforcer les obligations imposées aux
plateformes avec de nouvelle obligations de transparence, de nouvelles garanties pour les consommateurs, mais aussi des mesures
Page 17 sur 59
contre les contenus illicites avec des procédures de signalement renforcés (des délais impératifs et avec des signaleurs de
confiance).
Autorité particulière en matière de signalement de confiance : services où les signalements devront être étudiés de manière
importante. Parmi les signaleurs de confiance il peut y avoir les gestionnaires de droit d’auteurs (SACEM), des associations de
luttes contre le racisme / antisémitisme / protection des mineurs / droits des femmes…
Ce règlement DSA envisage une responsabilisation plus accrue et pour certains hébergeurs mettrait fin à cette quasi totale
irresponsabilité. Les projets ont été publiés fin de 2020, 2021 est une année de concertation et pourrait prendre effet en 2022.
Le texte DSA fait un distinguo entre les plateformes classiques et les très grosses plateformes, celles qui sont vues / consultées par
le + grand nombre d’internautes, une accountability renforcée, l’auto responsabilisation, n’est pas juste de l’auto régulation.
Dans la directive de 2000 il y a aussi les FAI, le régime est là aussi un régime assez large de responsabilité.
2. La responsabilité des FAI (fournisseurs d’accès à internet).

Peuvent restreindre l’accès à Internet, à ce titre on aurait pu imaginer une resp assez forte mais non. Néanmoins, la directive
adopte le même régime large de resp + la même absence de surveillance générale de ce qu’il se passe sur le réseau.
A. UN RÉGIME DE LARGE IRRESPONSABILITÉ.
Art 15 directive vise les prestataires techniques dans son ensemble (hébergeurs, FAI) et n’ont pas d’obligations générales de
surveillance ni d’obligations générales de rechercher des faits / circonstances révélant des activités générales illicites.
Il y a sur le papier une absence globale d’obligation de surveillance qui peut s’expliquer à l’époque par une doctrine qui est celle
du simple transfert : ceux qui font du simple transfert n’ont pas de resp par rapport à ces informations transférées. Aux USA, la
justice avait refusé d’imposer à un fournisseur d’accès de bloquer l’accès à un site qui vendait des tshirts humoristiques en lien
avec les attentats d’Oklahoma City. La directive de 2000 s’inspire de ce que existe ailleurs et en particulier du droit américain, en
posant ce principe.
La position américaine pouvait se discuter, notamment par rapport à la position française qui avec la loi 1981 démontre une resp
historiques ancrée des acteurs techniques de la presse écrite. Aurait pu imaginer qu’au niveau de l’UE il pu y avoir une adoption
différente pour ces acteurs techniques. Cela sera fait en partie avec la possibilité d’un filtrage sous condition.
B. LA POSSIBILITÉ D’UN FILTRAGE SOUS CONDITION.

Affaire Copwatch, le juge des référés avait admis la possibilité à un FAI de bloquer l’accès à un ou plusieurs sites. Cette position
est bien ancrée pcq le tribunal judiciaire de Paris se prononcera sur le filtrage des sites pornos pour ceux qui ne regardent pas un
contrôle effectif de la majorité.
CETTE POSITION FR EST ELLE ISOLÉE OU CONFORME AU DROIT DE L’UE ?

Oui, arrêt Scarlett contre Sabam, CJUE, 24 NOV 2011 : la CJUE doit se prononcer sur une affaire qui dmd le filtrage faite par
Sabam, société de gestion collective de droit, agi contre Scarlett qui est fournisseur d’accès belge pour lui dmd de filtrer l’accès à
des sites sur lesquels ont peu télécharger illégalement des contenus protégés par le droit d’auteur. La CJUE rend un arrêt qui a été
mal compris, cet arrêt précise que le droit de l’UE doit être interprété comme s’opposant à la mise en place d’un filtrage :
-de ttes les communications électroniques qui transitent par ces services,
-à l’égard de tte sa clientèle,
-à titre préventif,
-à ses frais exclusifs,
-sans limitation dans le temps.
Doctrine pensait que la CJUE s’opposait au filtrage et donc sauvegarde de la neutralité du net, mais en réalité la CJUE pose des
conditions. On se rend compte qu’elle ne protège pas la liberté d’expression mais la liberté du commerce X industrie, la liberté
d’entreprise. La 1ère est la + importante est que le fournisseur d’accès soit indemnisé, pas très protecteur des libertés.
Page 18 sur 59
Affaire CJUE 27 Mars 2014, TelekableWin c314/12 : protection de la propriété intellectuelle, Telekable demandait une
injonction de bloquer l’accès à un site internet qui permettait de visionner des films en violation de ses droits d’exploitation. Les
droits fonda reconnus par l’UE n’interdisent pas à un juge d’enjoindre un FAI de bloquer l’accès à un site sous certaines
conditions, notamment, qu’il soit indemnisé + que soit fait un distinguo entre le filtrage des contenus licites X illicites.
C. LA NOTION DE FOURNISSEUR D’ACCÈS À UN INTERNET.

Quand on parle de FAI on pense à une entreprise, qui contre un paiement permet un accès à un Internet, en réalité de nbx accès à
Internet ne sont pas directement payant. La CJUE a du se pencher sur cette question, la def du FAI et est ce qu’un fournisseur à
titre gracieux d’un accès à Internet relève du droit de la directive.
Arrêt CJUE 15 SEPT 2016, Mc Fadden c/ Sony Music : un entrepreneur qui a une entreprise de sonorisation X illumination,
dans son magasin à du Wifi qu’il met à disposition de ses clients X ceux autour du magasin, en accès libre / anonyme / non
protégé. Son accès internet sera utilisé pour téléchargé illégalement de la musique + question posée sera la resp éventuelle de Mc
Fadden + est ce qu’il pouvait mettre gratuitement à disposition son accès internet.
La CJUE estime que l’accès à Internet est gratuit chez Mc Fadden mais que cet accès en réalité à une finalité économique : attirer
les clients. La CJUE considère qu’un tel accès à Internet doit nécessairement être sécurisé avec une combinaison Id + MDP
unique qui permettent de retracer les connexions X retrouver la personne qui aurait par ex téléchargé illégalement un contenu
grâce à cette connexion, afin de protéger de manière effective le droit fondamental à la protection de la propriété intellectuelle. La
Cour impose que soit mis en place des mécanismes d’identification des utilisateurs afin d’empêcher utilisation anonyme afin que
les ayants-droits puissent aller dvt la justice.
Cette affaire aboutit que les Hotspot ouverts anonymes / gratuits / libres ne sont pas conformes au droit de l’UE. Cette JP est peu
respectée = bcp d’entreprises préfèrent ne pas être conforme à cette JP pour ne pas gêner les clients. Les entreprises décident de
filtrer eux mêmes l’accès internet. À l’époque la cour n’a pas suivi les ccl de son avocat général X avait préconisé qu’on puisse
garder des Hotspot publics.
3. La
responsabilité des autres prestataires techniques.
Il existe des prestataires techniques comme les prestataires de caching, la mise en mémoire cache (stockage temporaire) + ttes les
activités de transmission / d’informations de la transmission sur les réseaux (art 12).
Pour ces acteurs qui transmettent cela, la resp est inexistante, ces acteurs ne deviennent responsable qu’à partir du moment où ils
agissent sur le contenu même de l’information. Si en transmettant l’information elle est modifiée alors les acteurs deviennent des
éditeurs, deviennent responsables.
Concerne aussi le volume d’informations concernées, engendre une situation économiquement avantageuse, les GAFAM (Google,
Fb, Amazon) vont énormément investir dans les infrastructures autant de caching ou de fibre optique, notamment les câbles sous
marins.
Il y a ajd + de 400 câbles sous marins, 1er câble posé en 1850, a fonctionné pdt 11 min. Ajd, ils sont en grande partie posé par fb,
google, microsoft : fb X microsoft ont travaillé ensemble en 2016/2017 pour poser un câble transatlantique de 6600 km
(Portugal / Virginia Beach), exploité en Fev 2018, capable de transférer 160 terrabeat/sec, câble Maréa.
Ce câble prouve plusieurs choses :
-les grandes infrastructures dont dépend Internet ne sont pas mises en place par les états : pas la puissance publique qui
met en place ces infrastructures X exploitent mais géants du numérique. Ajd puissance publique se trouve tributaire
d’infrastructures qui appartiennent aux grandes entreprises.
Le câble Maréa comporte 8 paires de fibre optique, sur ces 8 paires il y en a une qui a fait l’objet d’une concession : à Amazon. Ne
doit pas imaginer que les géants du numérique travaillent isolément, agissent ensemble sans la puissance publique.
-Cable Dunante, relie les USA à St Hilaire, opérationnel depuis 2021, le + performant. Sur ce projet, Google a travaillé
avec Orange. Orange est un petit peu l’état fr, les opérations continuent avec un autre câble google potentiellement utilisable en
2022.
En 2018 choix de la resp forte des prestataires, ou si avait fait le choix Pol d’investir de l’argent publique à ça et donc à laissé la
place aux entreprises dont on est tributaires.
Page 19 sur 59
4. La
transposition de la directive 2000/31.
Aurait du intervenir avant le 17 JANV 2002, mais durant la loi LCEN du 21 JUIN 2004. Une transposition difficilement lisible,
pcq il y a des choses codifiées, d’autre non codifiées donc uniquement présentes dans la loi + art 6 de la loi (question de la resp des
prestataires techniques), fait 1 page et demi X illisible pcq renvoi à d’autres arts.
A inséré dans la loi LCEN un point 5 de l’art 6, précise ce qu’on entend par notification d’un contenu illicite. S’il est une
personne physique, le notifiant doit mentionner nom + prénom + email / si pers morale alors doit mentionner la dénomination
sociale exacte, forme sociale, adresse email + décrire précisément le contenu litigeux avec la localisation précise (URL) +
mentionner les motifs légaux pour lesquels ce contenu devrait être retiré ou rendu inaccessible + joindre copie de la
correspondance adressé à l’auteur X éditeur qui demande le retrait / modification du contenu ou justifier que l’auteur / éditeur n’a
pas pu être contacté. À défaut, la notification à l’hébergeur n’est pas valable.
En ccl, l’UE a choisi une solution souple, qui quand elle a été adopté avec la directive était une solution assez acceptable X
cohérente. Une 20aine d’années + tard a favorisé la naissance de géants du numérique à tel point qu’ajd les définitions qui étaient
celles de 2000 sont en pratique assez différente.
Ajd ts l’enjeu du droit de l’UE X DSA / DMA est de reprendre la main sur les grandes entreprises qui ont eu la belle vie avec un
régime de resp très souple. N’est il pas déjà trop tard ? Jusqu’où avons nu une aptitude à réglementer les plateformes ?
A une époque les « médias » étaient tributaires d’infrastructures qui étaient publiques (ondes hertziennes), l’état avait de la
pression sur les entreprises en pouvant stopper les aides publiques. Ajd, la puissance publique est tributaire des infrastructures
exploitées par ces entreprises. Demain, l’ARCOM sera le gendarme des plateformes et devra négocier avec Google, Netflix… quel
sera son moyen de coercition ?
Google dit que les nations telles que connues mtn disparaitront à cause des technologies. Sans les données à caractères perso on
aurait pas autant de soucis.
Page 20 sur 59
Fiche n3 : le droit applicable au traitement de DACP

(données à caractère personnel)
Traitement de DACP : toute opération qui porte sur une donnée à caractère personnelle, collecter c’est traiter, effacer aussi. Tt ce
qu’on peut faire avec une donnée (extraire des infos, analyser…) sont des traitements de données à caractère perso.
A tendance a faire l’analogie avec la loi informatique et liberté initiale : notion d’informations nominatives. On peut s’imaginer
qu’une donnée à caractère perso suppose qu’on peut mettre un nom X prénom à la pers, rattacher l’info a un individu désigné. La
DACP permet d’identifier directement ou indirectement mais permet surtt d’individualiser la personne = donnée identifiante ou
individualisante.
Ajd bcp d’entreprises font du profilage grâce à l’adresse mac du tel. Des personnes arrivent à récupérer ce signal, envoyé à une
petite dizaine de mètres. Si on met un dispositif technique permettant de récupérer cette adresse mac, cela permet de savoir que le
tel avec l’adresse mac n°…. est passé à proximité du renifleur. Dans le cas d’un supermarché, grâce aux renifleurs et la mise en
commun des données, on pourra savoir que le n°…. Mac est rentré à telle heure, resté cmb de temps dans tels rayons… et partit à
quelle h = tt ça sans que la personne sache qu’on a été suivi.
Permet aux supermarchés de profiler les consommateurs X cmb de temps X quel rayons vont le plus etc… = du profilage. Le
supermarché ne saura jamais qui est derrière le tel sauf si au moyen du passage en caisse arrive à faire matcher la carte de fidélité
X n° MAC.
Grâce à ses données on reconnait les habitudes de consommation d’une personne. Même si pas capable de mettre nom X prénom
sur une donnée, l’important est le traitement de données. Est exactement ce que font les acteurs d’internet, ils veulent savoir que
derrière l’écran de l’ordi on aime quoi.
Google / Fb / Amazon ont vocation a exploiter des info mises en ligne, cela représente des énormes quantités de données, les
derniers chiffres officiellement publiés l’ont été par Fb (500 terra octets de données perso, multipliés x10 depuis) = la masse de ces
données personnelles est énorme. Si elles entreprennent dans les réseaux, notamment dans les cadres sous marins est en grande
partie pour ne pas assécher la source inépuisable des données perso.
Jusqu’en 2019 était écrit que Fb était « gratuit X le sera tjrs » mais faux pcq si vrmnt gratuit cela voudrait dire qu’il n’y aurait pas
de finalité éco et cmnt Facebook aurait de l’argent pour fabriquer ts ces data centers, câbles sous marins etc…
Le cout économique de ces infrastructures est conséquent, rien que l’électricité. Facebook n’est pas gratuit pcq le consommateur
est le produit. En une décennie, cette « gratuité » s’est imposée comme un standard. À l’origine, la plupart des services étaient
payants, il fallait payer l’hébergement d’un blog, etc…
Au tout début des années 2000 la « gratuité » s’est imposée comme une norme pcq Google a été le 1er a croire en un moteur de
recherche « gratuit », dans son sillage ce modèle a imposé la gratuité de dizaine de services (email, stockage cloud, traducteur,
plan, RS). Ajd, payer pour avoir accès un nb de services en ligne est devenu un acte militant,
Si c’est gratuit, c’est pcq ces services valorisent ces DACP, elles ont eu longtemps une valeur limitée, pdt lgts les modèles
d’entreprises comme Google / Fb ont laissé sceptiques les analystes éco qui se sont dmd cmb de temps ça pouvait durer. Ces
entreprises ont réussi à collecter encore + de données, pcq le nb d’utilisateurs a augmenté X données de + en + présentes, mais
aussi X surtt pcq les capacités d’analyses de ces données se sont incroyablement améliorées.
Il y a une double combinaison : + de données X capacités d’analyses meilleures qu’il y a 10 ans. Cette multiplication de données
permet de mieux profiler X mieux anticiper ce que pourrait être les désirs de consommateurs. Ces désirs seront ensuite vendus de
+ en + chers. Google / Fb ne vendent pas les données, range les consommateurs dans une catégorie X mettre en relation avec
des annonceurs qui pourraient avoir un lien avec nos données.
« Data is like crude » : les data sont du pétrole brut, elles n’ont de valeur que si elles peuvent être valorisées. Ajd, la plupart des
profils publicitaires sont commercialisées grâce au RTB, (réal time bidding). Les publicités vues sur internet sont quasi
systématiquement des pub personnalisées + ont fait l’objet d’enchères en tant réel. Ajd est capable de mettre le profil d’un
consommateur aux enchères afin de réussir à mieux proposer des pubs.
La CNIL a été farfouiller dans les catégories publicitaires proposées par Google : la CNIL s’est rendue compte que parmi les
catégories publicitaires de Google, certaines posent des pb, boite n°113, catégorie n°202, n°238, N°421, N°429…
Au sein de l’UE, ces catégories sont des catégories sensibles, la CNIL dit que l’utilisation de ces sous catégories ne peuvent pas
être utilisées en Europe : traduit la précision du ciblage. Un utilisateur peut se trouver dans plusieurs catégories.
COMMENT OBTENIR TTES CES INFOS ?
Page 21 sur 59
On les obtient en partie grâce à l’analyse de l’historique internet X cookies, qui permettent de mieux connaître les goûts pcq ils
sont capables de communiquer entre eux. Les experts considèrent que 80% des cookies sont devenus inutiles :
-certains sont idiots, si se connecte avec GMAIL alors inutiles.
-fingerprinting : analyse des informations techniques de notre utilisation. Donne l’adresse IP, info liées à l’affichage
écran. Les paramètres écrans sont uniques, l’ordinateur a une configuration quasi unique au monde, comme si on laissait son
empreinte digitale, peut être suivi d’un site à l’autre donc plus besoin de cookies. Le VPN est inutile pcq données machine restent,
seule solution est de changer les paramètres machines régulièrement.
Ce profilage est difficile à s’en défaire, les cookies sont un outil, le RTB est présent. Les catégories publicitaires sont aussi
généralement générées par des algorithmes en fonction des tendances, tout ça sans supervision humaine.
En 2017, un petit scandale a éclaté, et a découvert que les principaux RS dont FB avait permis a des annonceurs de cibler des
catégories de pers problématiques (racisme, antisémite) pcq algorithme avaient vu une tendance pour ce contenu donc généré des
catégories publicitaires proposées des annonceurs.
Les DACP sont la base de tout, si l’économie gratuite à su se développer, c’est grâce à ces données à caractère perso, il faut
encadrer l’activité de ces grandes plateformes. La protection des données perso est devenu un outil de réglementation des
entreprises alors qu’à l’origine pas ça du tout, la protection des DACP était presque du droit admin, protéger les administrés contre
les abus de l’administration : cet aspect s’est délité, la protection des DACP est un encadrement des activités éco privées.
1. UNE APPROCHE HISTORIQUE DE LA PROTECTION DES DACP.

En France, il y a loi de 1978, Informatique et Libertés, certains pensent qu’il s’agit de la 1ère loi au monde sur ce sujet, l’histoire
de la protection des données perso remontent à la fin des 60s ; l’ordinateur connait un dvlptment, commence a être utilisé par les
états / puissances publiques. A l’époque, on ne parle pas d’ordi perso,
Au début des 70s il y a des projets ds les communautés euro, menés par les ministères de l’Intérieur, vise à dvlper des fichiers
admin, l’ordinateur est entre les mains de l’Etat. Des réflexions commencent à être engagées, amène le Conseil de l’Europe a
intervenir.
A. LES PREMIÈRES LÉGISLATIONS ÉTRANGÈRES ET L’INTERVENTION DU CONSEIL

DE L’EUROPE.
C’est en Allemagne qu’est adopté les premières lois, en 1970 un land va adopter le 1er acte législatif au monde visant à encadrer
le traitement automatisé des données perso dans le secteur publique. L’Allemagne a une histoire sombre avec le fichage de la pop,
donc nécessaire. Au RU, il y a au début des 70s un comité (Younger comity) qui va rendre un rapport sur ce qui pourrait être les
bases d’une législation européenne sur ce qui pourrait être le traitement de données, la Suède va elle aussi légiférer, comme l’All
en 1973 sur la protection des DACP.
C’est le moment que choisi le Conseil de l’Europe pour adopter une résolution qui a pour vocation de fixer un cadre dans lequel
pourront se positionner les états qui le souhaitent, donner des orientations.
1ère résolution, 26 SEPT 1973 + 2ème résolution, 1974 :

-1ère : vise les traitements faits dans le secteur privé, ce qui est à l’époque audacieux pcq le matériel informatique est
essentiellement aux mains du secteur publique. Pas impossible que politiquement le sujet des traitements par le secteur publique
ait été + délicat, a été + simple de commencer par ça au Conseil de l’Europe.
En lisant ces résolutions, on a l’impression de lire le droit positif actuel. D’abord, les termes utilisés sont modernes : données de
caractère personnel = le conseil de l’Europe a déjà les bons mots. On trouve aussi des principes :
-principe selon lequel les informations qui sont enregistrées doivent être exactes X tenues à jour.
-principe selon lequel les informations doivent adéquates X pertinentes par rapport à la finalité recherchée
-principe disant que les informations doivent être obtenues de bonne foi.
-principe d’une limitation dans le temps du stockage de ces données
-principe selon lequel ces données ne doivent pas être utilisées à d‘autre fin que celles pour lesquelles elles
ont été enregistrées
Page 22 sur 59
-principe selon lequel la pers concernée à un droit d’information.
-principe de données mises à jour.
-principe de sécurisation des données.
Les mêmes principes en 1974, qui traite du domaine public.
Dès 1973, il y a des principes tjrs applicables, dès les 70s le conseil de l’Europe distingue les traitements faits par le secteur privé
X publique, reste en partie actuel pcq ajd au niveau de l’UE il y a le RGPD qui s’applique a tt le secteur privé et un peu public X
directive police publique.
B. LA GENÈSE DE LA PROTECTION DES DACP EN FRANCE.

Au début des 70s ministre de l’Intérieur a un ordi qu’il partage avec les autres ministères, veut dvlp un système automatisé,
SAFARI : idée de centraliser dans cet ordi les fiches de police. Les fiches veulent être centralisées au ministère de l’intérieur X
surtt les classer par personne pour faire des regroupements grâce au num de sécurité sociale.
L’idée est de centraliser plein d’info le concernant avec comme dénominateur le numéro de sécurité sociale : ce projet est lancé au
tt début des 70s, en 74 un informateur appel le journal Le Monde sur ce projet secret SAFARI, il explique aux journalistes du
Monde cmnt fonctionne ce système + sa dangerosité, Philippe Boucher va écrire un article « SAFARI ou la chasse aux français »,
va lancer la réflexion autour de la question de la protection des DACP.
C’est en 2011 qu’il révélera ses sources, des informaticiens du ministère. L’article va faire grand bruit pcq sort de la WW2 et tt le
monde se souvient des dangers du fichage d’une pop. A l’époque cet article fera bcp de bruits, Pompidou décède qlq jours après
cet art, VGE démine le terrain en créant une commission parlementaire, rédige un rapport: la commission informative des
libertés. En 1976, le rapport est rendu et préconise 2 choses :
-légiférer sur ce sujet
-créer une autorité admin indépendante, 1978 Loi informatique et libertés + création de la CNIL.
Copier/collet du travail du conseil de l’Europe.
C. LA CONVENTION 108 DU CONSEIL DE L’EUROPE.

28 JANV 1981 le conseil de l’Europe ouvre à la signature la conv 108, conv pour la protection des pers à l’égard du traitement
automatisé des DACP.
Conv qui en synthèse reprend en grande partie ce qui était déjà dans la résolution dès 1973/1974 tt en ajoutant des précisions
issues de la législation fr, conv 108 : interdiction du traitement des données sensibles (religion, origine raciale…). Elle s’intéresse
aussi aux flux trans-fontaliers de données + pose principe selon lequel il est possible de restreindre le transfert international
de données si le pays destinataire de ces données n’offrent pas une protection équivalente.
Cette convention 108 reste ajd applicable, a été modifiée + protocole additionnel en 2011 + modernisation importante en 2018,
reste tjrs un outil important en terme d’harmonisation de la protection des données perso.
En plus de l’harmonisation, elle s’applique de manière uniforme à tous les traitements, faits par des pers publiques ou privées +
qlq soit les finalités, qu’ils aient des finalités de police / justice ou de marketing privé. Cette convention est aussi signée par les em
de l’Europe + ouverte à la signature des états-tiers (Uruguay, Tunisie, Maurice, Maroc, Argentine) = des pays qui ont fait le choix
de venir volontairement signer / ratifier cette conv 108. La conv 108 garantit des protections équivalentes.
D’autre pays n’ont pas ratifié mais sont observateurs, USA / Corée du Sud / Australie / Brésil / Canada.
D. L’INTERVENTION TARDIVE DE L’UE ET LA DIRECTIVE DU 24 OCTOBRE 1995.

Cette directive intervient tard, 20 ans après les 1ères législations. Si elle intervient aussi tard en bonne partie pcq le Conseil de
l’Europe avait fait un bon travail donc UE pas dans l’urgence pour agir.
Page 23 sur 59
L’UE s’est réveillée pcq Internet commence à se développer à l’époque, ttes ces données constituent un marché, qui vaudra bcp.
L’UE se dit que s’il n’y a pas de directive il y a un risque de cloisonner le marché unique le Conseil de l’Europe a propose conv
108 mais laisse bcp de marges de manoeuvre aux em.
La philosophie de la directive de 1995 ne ressemble à pas à celle du conseil de l’Europe, philosophie est le libre échange, une
forme d’harmonisation. Cette directive de 1995 a des points interessants qui constituent de vrais apports, mais un texte qui vise à
protéger le marché unique numérique :
-le champ territorial de la directive : s’applique même si le resp du traitement n’est pas situé dans l’Union, mais s’il
utilise des moyens qui ont sont situés sur le territoire de la commu de l’UE. La directive permet une forme d’extra territorialité,
entreprise américaine qui a un serveur en Belgique.
-Art 29 de la directive, art 29 créé un groupe formé par les autorités de protection de données perso, forment un groupe
appelé le groupe de l’article 29 qui rendra des avis, considérations, travail d’harmonisation de l’interprétation du droit en matière
de DACP, il va jouer un pole important.
Ex : le G29 va décider que les DACP pouvait être individualisantes et non identifiantes.
Texte porté par des objectifs éco, raison pour laquelle la directive écarte de son champ d’application des domaines importants
comme sécurité publique, défense, sureté de l’état ou pénal.
RQ 1 : même si la directive n’apporte que peu de choses, elle fait partie des transpositions les + tardive en droit interne (loi du 6
aout 2004, aurait du être transposée dans un délai de 3 ans en principe).
Les français qui avaient « inventé » la protection des DACP considéraient qu’il n’y avait pas grand chose à modifier donc la
transposition pas urgente.
Ce délai n’a pas eu d’impact, la cour de justice à considéré que la transposition était quand même invocable (arrêt 20 MAI 2003,
radio autrichienne, qui autorise l’invocabilitié).
RQ 2 : cette directive laisse bcp de marge de manoeuvre aux em, parfois sur des sujets importants voire très importants : la
directive ne précise pas les sanctions applicables, em restent libres de choisir les sanctions les + adaptées : laisser cette question à
l’appréciation des em dénote un manque d’harmonisation.
RQ 3 : n’est pas un texte de protection des libertés individuelles, un texte de libre échange. Est la raison pr laquelle la charte des
droits fondamentaux de l’UE adoptée le 7 DEC 2000, comporte l’art 8 relatif à la protection des DACP pour compenser le fait
que dans la directive il n’est pas question de ses droits pour les individus mais davantage pr les entreprises.
Dans l’art 8 prévoit que « tte personne à droit à la protection des DACP la concernant », la protection des DACP est un droit
fondamental.
« Ces données doivent être traitées conformément à un certain nombres de règles : loyauté du traitement + finalité
déterminé + consentement ou autre base légale de la personne ».
Cet article précise que ces droits sont protégés par une autorité indépendante, dans chaque em il en faut une.
RQ 4 : ce texte exclu les traitements en matière de police X justice + exclu largement les traitements de données par les instances
communautaires elles-mêmes.
Adoption règlement 18 DEC 2000 qui s’applique aux instances communautaires : spécifique du traitement des DACP par les
instances, avec la naissance d’un contrôleur européen pour les données qui doit s’assurer du respect de ce règlement par les
institutions européennes.
Avec le temps la directive va vite se trouver dépassée pcq entre 1995 / 2000 le contexte économique a changé, une économie
dominée par les entreprises américaines donc de nvx enjeux.
La directive de 1995 est inadaptée parce qu’elle s’applique géographiquement aux entreprises qui ont un moyen de traitement au
sein de l’UE, sauf si ce moyen de traitement est un simple moyen de transit.
Le champ d’application territorial du texte n’est pas adapté à cette nouvelle économie numérique dominée par les USA.
Le fait que cette directive repose encore sur une formalité préalable pose problème, les formalités préalables où on déclare ses
traitements voire faire autoriser pose un soucis.
Double conséquence négative :
-ces déclarations préalables ont un sens quand ces traitements restent limitées. Quand il y a des millions de demandes
chaque année il y a une incapacité des organes de contrôle à tout vérifier, une logique d’enregistrement sans contrôle.
Les entreprises pouvaient croire légitimement que le numéro de confirmation pouvait permettre une forme d’exonération, mais en
principe ne correspond à rien
Page 24 sur 59
-art 24 directive renvoyait aux em le soin de « prendre des mesures appropriées » pour appliquer la directive. Dans
de nombreux états les mesures appropriées n’ont pas été présentes, souvent trop légères.
Jusqu’en 2010 en France la sanction max était de 150 000 d’amende. Il fallait harmoniser les sanctions X les augmenter très
sérieusement.
Le fait d’utiliser une directive montre aussi le manque de sévérité, il aurait fallu prendre un règlement. L’idée d’un règlement est
évoqué dès 2010, à la fois tôt en se disant qu’il entrera en vigueur en 2018, mais tard quand on se dit que google règne depuis
début 2000 et Facebook installé en Europe en 2007.
Les négociations vont durer 4 ans (2012/2016), près de 4000 amendements (records avec l’agriculture commune). Les grandes
entreprises vont débourser des millions en lobbying pour défendre les intérêts de chacun. Les intérêts éco vont être très importants
pcq peuvent détruire ou enrichir une entreprise.
Ex : comment définir la donnée de Santé ? Une donnée qu’on ne peut pas traiter normalement, le lobbying a consisté en
multipliant les exceptions + création des données de « bien-être » qui auraient pu être traité pcq vrmnt de la santé.
Affaire SNODEN : révèlent au monde que les entreprises ne prennent pas les données uniquement pr le capitalisme mais aussi pr
la sécurité nationale d’anti terrorisme, détournée.
va aussi remettre sous la lumière que les données perso ne sont pas juste des données éco, un droit de la personnalité, élément de
ce que nous sommes, une géopolitique de la donnée.
27 AVRIL 2016, directive police-justice (2016/680). La directive a été publiée le même jour que le RGPD.
Porte sur le traitement de données à des fins de prévention X détection à des fins pénales, prévention des menaces à la sécurité
publique… important dans le domaine pénale X justice X menaces variées pour l’état de droit.
S’il n’y avait pas eu l’affaire Snoden alors directive n’aurait jamais eu lieu, mais a considéré qu’au niveau de l’UE les DACP
n’étaient pas qu’économique, mais aussi un droit de la personnalité susceptible d’être très largement limité par la puissance
publique.
A mis en lumière ce besoin de protection X origine de la protection des DACP + le signe d’un virage « social » de l’UE, pas
qu’un marché mais se préoccupe d’autres enjeux en matière de liberté publique.
2. Le règlement général sur la protection des données.

Le RGPD est gigantesque, 99 arts, 173 considérants, pour bcp considéré comme une révolution des protections des DACP au sein
de l’UE.
En réalité le RGPD n’apporte pas tant de choses que ça, en comparaison avec la directive 95 X années 80 (conv 108).
Il y a bcp d’entreprises, établissements publics qui ont découvert la protection des DACP avec le RGPD, comme s’il n’y avait rien
avant, mais est faux. Les grands principes (finalité, proportionnalité, durée de conservation des données, transparence) étaient
déjà là avant le RGPD. Passe de 150 000 euros d’amendes à 4% de chiffre d’affaire, et pr ceux qui n’ont pas de chiffre d’affaire est
20 million d’€, ça est nouveau + important.
L’autre nouveauté est le fait qu’est développé la privacy by design, responsabiliser les responsables de traitement, auto-
responsabilisation passe par 2 choses : nominations de délégués à la protection des données + la réalisation d’études d’impact
(PIA), qui remplace les déclarations préalables.
3ème nouveauté est son extra territorialité, s’applique en dehors de l’UE très largement.
A. LES NOTIONS CLEFS

Voir moodle tableau.
Le champ d’application matériel s’applique aux traitements des DACP, automatisé ou pas. Par traitement des DACP on entend un
ensemble d’opération ou une opération qui porte sur une donnée (anonymisation, pseudonimisation…).
Une DACP c’est une donnée d’après le texte qui « concerne une personne identifiée ou identifiable » (ex : n° de sécu, identité
physique…), ce texte n’est pas précis. Pas tout compris a ce qu’est une DACP. En lisant le RGPD a l’impression qu’une DACP ne
permet qu’une identification (nom-prénom), or, n’est pas le cas pcq d’abord le règlement est comme un tout, éclairé par ses
considérations, dans le considérant 26 on voit qu’il faut « prendre l’ensemble des moyens utilisables pour la
reconnaissance ». En croisant les données on peut être + précis.
Ladania Suine se rend compte qu’on peut acheter les listes électorales + ficher des hôpitaux, qui peuvent ts les deux être vendus,
donc en croisant les 2 peut identifier les gens et les reconnaitre. Elle va retrouver le gouverneur qui avait fait la présentation sur
Page 25 sur 59
l’anonymisation, rend les informations découvertes audit gouverneur en lui démontrant que ça ne fonctionne pas.
Elle fait une thèse, prof à Harvard, découvre le croisement de données qu’il ne faut pas regarder de manière isolée.
Le G29 a rendu en 2014 un avis sur les techniques d’anonymisation, quand elle est anonymisée n’est plus personnelle et vice-
versa, si elle est anonymisée, impossible d’individualiser la personne + corréler des infos + déduire des infos d’un individu
(profiler) alors il faudrait parler d’identifiable, profilable.
La cour de justice n’aide pas bcp, elle dit qu’une adresse IP est une donnée personnelle si cette adresse IP rend la personne
identifiable, si le fournisseur d’accès à Internet dispose de moyen d’identification de la personne. Idiot pcq sous entend qu’une
adresse IP est parfois une DACP, d’autre fois ne l’est pas. L’adresse IP permet d’individualiser, suivre les traces d’individu sur
Internet.
Le champ d’application territorial : une des faiblesses est que des entreprises américaines n’étaient pas soumises au texte, le
RGPD change la donne : le règlement s’applique si le responsable de traitement est dans l’UE + s’applique aussi quand le resp de
traitement proposent des biens/services à des personnes se trouvant dans l’UE ou au comportement de personnes se trouvant dans
l’UE (call center marocain qui appelle des européens). Est la volonté de mieux contrôler les entreprises américaines, mais aussi
pour les autres.
La chose la - vu dans le RGPD, alors qu’est la nouveauté la + saillante du texte.
Impose notre vision de la protection des DACP à travers le monde alors qu’on voudrait pas subir la même chose envers les autres.
Cloud Act : loi américaine adoptée au même moment que le RGPD, oblige les entreprises américaines à collaborer avec la
justice américaine afin de livrer les données des clients même si elles sont hébergées hors des USA. Est un texte territorial,
une forme de réponse diplomatique pcq on impose le RGPD eux imposent leur surveillance de masse.
Un cloud souverain n’est pas juste un cloud qui héberge les données en Europe, mais est soumis uniquement au droit de l’UE.
Notion de responsable de traitement et de sous traitant, est juridiquement responsable + devra payer l’amende administrative.
Est celui qui détermine les finalités X moyen du traitement. Dit ce qu’on doit traiter, pour quelle fin, combien de temps…
Le sous traitant est qlq qui travaille sur ordre du responsable de traitement, pour son compte. Ce sous traitant peut être situé au sein
de l’Union, peut être un call center, un hébergeur.. il peut aussi être situé ailleurs que dans l’UE. Ce qu’il faut comprendre est que
comme le RGPD s’applique largement de manière territoriale, il va s’appliquer aussi à tous les contrats de sous traitance. Cela veut
dire que le responsable du traitement est responsable de son propre traitement + de l’intégralité de ses sous traitants.
Cela signifie que le responsable de traitement doit s’assurer que le RGPD est assuré par le sous traitement avec +ieurs solutions :
-si le sous traitant est dans l’UE alors pas de soucis pcq la donnée ne quitte pas l’UE.
-si le sous traitant n’est pas dans l’UE alors va falloir dans le contrat responsable/sous traitant mettre des clauses
contractuelles qui garantiront une équivalence de la protection = des clauses contractuelles types. Elles imposent le RGPD à des
milliers de sous traitant partout dans le monde.
Il y a une double extra territorialité, responsable X sous traitants.
B. PRINCIPALES CONDITIONS DE LICÉITÉ.

Art 5 RGPD : principes connus en France connu avec la loi de 78 + conv 108 + résolution 73/74 conseil de l’Europe.
art 5 dit que : « L'intégration économique et sociale résultant du fonctionnement du marché intérieur a conduit à une
augmentation substantielle des flux transfrontaliers de données à caractère personnel. Les échanges de données à caractère
personnel entre acteurs publics et privés, y compris les personnes physiques, les associations et les entreprises, se sont
intensifiés dans l'ensemble de l'Union. Le droit de l'Union appelle les autorités nationales des États membres à coopérer et
à échanger des données à caractère personnel, afin d'être en mesure de remplir leurs missions ou d'accomplir des tâches
pour le compte d'une autorité d'un autre État membre »
A quoi vont servir les données que je veux traiter ? Ces finalités doivent être limitées X en fonction de ça doit appliquer les
principes (exactes, minimiser, transparence…)
Il faut souligner que ces finalités sont définis par le responsable de traitement, il a une marge de manoeuvre.
Ex : boulanger avec une carte de fidélité, peut on demander la date de naissance ? OUI, pcq cadeau le jour d’anniv alors il y a une
finalité à dmd l’information. Dans le monde des entreprises numériques, la finalité pour savoir la date de naissance est de tt savoir
de nous, + on en sait peut mieux profiler.
Ex : carrefour, CNIL a condamné carrefour a + 3 millions d’€, des données plus exactes avec des clients qui ne venaient plus, pas
limitée dans le temps de la conservation a valu à carrefour cette sanction
Page 26 sur 59
Cmb de temps peut on garder nos données ? Dépend de ce qu’on vend, si est svt acheté ou pas.
Ce qui est + nv est la redéfinition des bases légales. Est ce qui va fonder le traitement, son socle juridique. + svt, est le
consentement de la personne à propos du traitement qui l’a concerne. Il faut un consentement libre et éclairé, qui ne l’est jamais
en réalité.
Il faudrait que les conditions puissent être comprises, qu’on sache vrmnt ce que devienne nos données, mais ajd les traitements
sont si complexes qu’il est difficile d’expliquer ça clairement au consommateur.
Comment garantir un consentement éclairé ? Grâce à des pubs / vidéos etc (ce que font le GAFA).
Néanmoins, il faudrait que le consentement soit libre et est difficile de ne pas avoir gmail, ni de réseaux sociaux.
Base légale fragile pcq peut être remis en cause X peut être révocable, on peut retirer notre consentement, signifie qu’il faut
effacer nos données après ça.
Il y a des situations où le consentement ne devrait pas être utilisé, ex : badgeuse (ttes les heures X nos noms) et cela ne doit pas
reposer sur le consentement pcq 1/ consentement des employés peut être refusé - 2/ consentement ne peut pas être libre et éclairé.
Autre base légale : « les intérêts légitimes poursuivis par les responsables de traitement ». Le texte ne définie pas clairement ce
qu’est un « intérêt légitime », ex : la badgeuse. Google pourrait parler d’un intérêt légitime, là pour gagner de l’argent, mais n’est
pas admissible dans l’intérêt légitime.
D’autre base légale comme la mission d’intérêt public, l’archivage de contrat, responsabilité légale de garantie (Kya, 7 ans de
garantie, donc peut garder pdt 7 ans les données).
Les données sensibles : toutes les données sur l’opinion religieuse, race, santé, sécurité sociale, empreinte biométrique = pas nv
pcq existe déjà dans les 70s.
Ttes ces données là leur traitement est interdit, en principe, pcq il y a plusieurs exceptions.
En rendant public les données personnelles, par ex donnée de santé, peuvent être utilisées une fois la publication autorisée.
La donnée de santé se définit comme toute donnée permettant de tirer une conclusion sur l’état de santé d’un individu. Ces
données valent cher pcq elles ont un intérêt éco majeur, dans la banque / assurance / mutuelle…
En tant que personne concernée par le traitement on a des droits :

-droit à la transparence et à l’information : droit à l’information, art 13 = la pers concernée peut connaitre les
finalités du traitement, base légale du traitement, identité du traitement. Ajd on recommande de mettre des tableaux informations
(cmb de temps sont gardées les données, les droits par rapport à elle, avec qui elles sont partagées…).
-droit d’accès et de rectification, de limitation du traitement, de portabilité, droit des décisions et de refus des
décisions : le droit d’accès est un droit permettant d’interroger le traitant, savoir les destina paires des données, le destinataire…
est comme la transparence.
Le souci avec le droit d’accès est que porte sur les données primaires, les données que le responsable de traitement a directement
eu auprès de nous. Ce qu’on ne va pas savoir sera ce qu’il va fait ensuite, avec les données secondaires (données de profilage),
aimerait savoir dans quelle catégorie je suis rangée chez Google.
Concernant le droit des rectification, s’agit pour mettre les données mis à jour, aide le conservateur de traitement à garder à jour
ses données, existe depuis 1970.
Droit à l’effacement si les données ne sont plus nécessaires, traitement illicite… ce droit est aussi appelé droit à l’oubli, qui est
composé du droit d’effacement X droit de déréférencement. Ce droit ne s’applique pas quand doit prévaloir la liberté d’expression
et d’information, cela signifie que quand on demande l’effacement des données d’info à Google, il peut s’y opposer si la liberté
d’expression doit prévaloir.
Droit à la limitation du traitement : droit conservatoire, gèle des données. Utilisé s’il y a une procédure en cours contre une
entreprise (ex : carrefour X CNIL), pdt la durée carrefour ne peut plus utiliser les données mais gelées, inutilisable le temps de la
procédure pour avoir une sanction.
Droit à la portabilité : créé en 2016, loi république numérique + présent dans le RGPD, entré en application 2 ans avent le
RGPD. L’idée est de permettre de changer de prestataire + rapidement, emmené auprès d’un autre service. Si on veut se
Page 27 sur 59
débarrasser de gmail on peut prendre nos emails et les emmener chez un autre hébergeur. Est supposé marcher comme ça pour
plein de services, le souci est qu’avec Facebook on peut le faire techniquement mais qu’allons nous en faire, qui est le concurrent
de Fb, donc pas de vrai droit à la portabilité, à cause de limite concurrentielle.
Ce droit est un droit dévoyé, utilisé pour récupérer ses données dans l’hypothèse où veut supprimer un compte et veut récupérer
nos données. (Ex : google take out).
La portabilité ne donne pas accès aux données secondaires, mais accès aux données primaires parfois oubliées (Fb ne découvrira
rien, mais Google peut récupérer donnée de géolocalisation de données par ex).
Droit de refuser les décisions automatisées : les décisions de profilages… celles qui affectent la personne peut refuser les
automatisme (sauf consentement par ex).
Les décisions automatisées sont ajd une des + grandes problématiques du droit de l’UE, le RGPD n’est pas suffisant pcq est
entouré de décisions prises par des algorithmes, qui ont un impact fort sur nos vies (ex : bulle de filtre).
Dire qu’à l’avenir, à chaque fois qu’une décision repose sur un algorithme, devrait avoir un bouton neutre de manière à choisir si
on veut voir un contenu reposant sur l’algorithme ou neutre.
Le RGPD entame qlq choses autour des décisions automatisées mais pas suffisant. En France, on interdit les décisions admin
fondées sur ces décisions automatisées, mais en même temps il y a Parcoursup, une décision fondée sur un algorithme.
Droit à ce que les données soient sécurisées : le RGPD va loin, énormément de cyber-attaque etc.. art 32 RGPD : il faut adapter
la sécurisation au risque. Si on traite des données sensibles alors il faut une sécurité importante. Si on doit stocker des données de
santé il faut une certification, n’importe qui ne peut pas le faire.
Idée est de garantir la confidentialité, résilience, intégrité et disponibilité des données. Il y a des attaques qui visent l’intégrité des
données, d’autre qui visent pas l’intégrité des données mais slmnt les disponibilités (surcharge un serveur de données).
Cette précision se double d’une notification, de communication des incidents en matière de vol de données. Avec le RGPD si on se
fait voler les données et qu’il y a un risque pour le droit et liberté des personnes, doit être notifié en dessous de 72h notifié à la
CNIL, si ce risque est élevé il faut en plus communiquer à la personne concernée.
Ajd il faut se dmd le degré de risque : si elles sont chiffrées avec bonne clef de chiffrement 0 risques donc osef, si risque élevé
comme donnée de santé il faut dire à la CNIL + personne. Art 33 + 34 RGPD.
Pdt des années en cas de vol de données les entreprises le + svt faisaient rien, le cachait et croisait les doigts pr que rien n’arrive.
Ajd il y a + de cyber attaques, et mtn ne sont plus cachées. La plupart des cyber attaques utilisent le social engineering, utilisation
des faiblesses humaines (faux ordres de virements…).
C. LES EXIGENCES COMPLÉMENTAIRES IMPOSÉES À CERTAINS TRAITEMENT DE DACP.

Privacy by design est le fait pour un responsable de traitement de prendre en compte la protection des DACP dès la
conception du produit / service, ex : biométrie Apple, de base n’est pas acceptable (finalité X dangerosité du traitement n’est pas
suffisant), est tlmnt sécurisé qu’il n’y a rien à dire.
Traitement faits par des organismes publics (CT, établissements publics…) doivent avoir un DPO. En pratique, il y a bcp de
travail. Il y a deux types de traitements à grande échelle qui nécessitent un DPO :
-traitement de données sensibles à grande échelle
-suivis réguliers et systématiques à grande échelle
A grande échelle se fait par rapport à un bassin de population, ex : Ilévia est un traitement à grande échelle.
DPO n’est pas le responsable de traitement, il aide les responsables du traitement, s’assure de la conformité + met en place les
mesures adaptées (registre de traitement, étude d’impact, droits des pers respectés).
Cette personne peut être une DPO interne (employé de la structure) ou externe. Le choix dépend en grande partie de la taille de la
structure, si est petite structure alors plutôt externe, grande structure plutôt interne.
Le DPO est aussi un intermédiaire important pour la CNIL, pcq avant perdait bcp de temps quand faisait des contrôles à trouver
les bons interlocuteurs, l’avantage d’une DPO est qu’il est facile à trouver.
Le DPO doit être enregistré auprès de la CNIL.
L’autre aspect de la privacy by design est la PIA (privacy impact assessment), audit de préalable : expliquer pq et cmnt le
traitement sera conforme. Les risques, la contre-mesures. Il y a 9 critères et si rempli deux des critères il y a un audit de préalable :
-profilage
-données sensibles : badgeuse biométrique, personne vulnérable + usage innovant
Page 28 sur 59
-données à large échelle : données de santé, donc sensible, issus de patients il y a 3 critères donc audit de préalable.
-personnes vulnérables
-surveillance systématique
-usage innovant
Si 2 exemples il faut un PIA, peut être fait n’importe comment (papier par ex) ou sur la CNIL un logiciel open source pour faire un
PIA. Outil de simplification des contrôles, contacte par appel ou email, gain de temps. Demande de faire le travail de mise en
conformité en amont du traitement de données.
D. LES RISQUES DE SANCTION AU CAS DE NON CONFORMITÉ.

Si on ne respecte pas tout ce qui est dis plus haut, encoure des sanctions de l’art 83 RGPD (20 million, 4% chiffre d’affaire
mondial annuel…), là où les entreprises ont peur. La conformité à 100% n’existent pas.
La CNIL demande une correction sous un délai de 2 mois pour se conformer, néanmoins si pas de DPO, PIA ou collecte de
données sensibles non autorisées est fini. En France, il y a sanction pénale jusqu’à 5 ans.
Une donnée illicite est une donnée hors du commerce donc pas de contrat dessus, peut pas les apporter en industrie.
Décision 2019 CNIL à hauteur de 50 millions c/ Google, CE confirme en 2020 la sanction : a été la + grosse sanction jamais
infligé pcq bcp d’états en regardé la France en mode c’est énorme alors que loin des 4% du chiffre annuel.
2020, 100 millions c/ Google pour une violation afférente aux cookies, confirmé par le CE encore.
3 millions contre Carrefour banque, bcp pour eux. L’impact en terme de réputation est énorme, clients se sont rendus compte des
abus.
Oct 2020, H&M, sanctionné par le Haut commissaire à la protection des données de Hamburg à hauteur de 35 millions d’€,
énorme pour l’entreprise. Une des sanctions les + proches.
Amazon, 756 millions d’€ fait par le Luxembourg : reste peu surtout si on voit avec le droit de la concurrence. Google a eu + de 8
milliards d’€ de sanction dans ce droit.
Rien n’interdit plusieurs autorités de contrôles de plusieurs états membres de sanctionner la même entreprise pour le même fait,
em peuvent ruiner Google.
Le RGPD apporte des nouveautés importantes + pourraient être des avancées significatives.
Finalement, le RGPD est aussi décevant :
-cette privacy by design est un concept nord-américain, un aveu de faiblesse et d’impuissance, l’auto régulation est un
combat d’échec.
Demander aux entreprises de s’auto-réguler est la preuve que pas été capable d’imposer les textes, pas capable en tant que
puissance publique de faire son travail.
2e critique à l’encontre du RGPD : le texte dans son ensemble comporte de nombreux points d’ombre. De nombreuses notions
sont floues, parmi celles-ci on retrouve la notion d’intérêt légitime.
L’intérêt légitime = l’une des bases légales. Mais jusqu’où l’intérêt légitime peut avoir une définition large ? Peut-on
considérer que l’intérêt économique de Google et Facebook constitue un intérêt légitime ? Se pose aussi le pb du
consentement car c’est une base légale qui pose un problème en économie car celui-ci peut être révoqué. On peut révoquer notre
consentement, donc dès lors le traitement n’a plus de base légale.
Dans le RGPD on nous dit par exemple dans considérant 47 « qu’un tel intérêt légitime pourrait par exemple exister lorsqu’il
existe une relation pertinente et appropriée entre la personne concernée et le responsable du traitement dans des situations
telles que celles où la personne concernée est un client responsable du client ou est à son service ». => compliqué de
compréhension, ça veut dire quoi une relation pertinente et appropriée ? On en sait rien !
Ce considérant 47 continue : « le traitement des données personnelles à des fins de prospection peut être considérée comme
étant réalisée pour répondre à un intérêt légitime ». => l’intérêt légitime peut recevoir une définition très large.
Page 29 sur 59
Heureusement les autorités de contrôle ont une vision + restrictives de l’intérêt légitime. Mais cela est fragile, que dira le juge
quand il sera saisi de cette question ? C’est pourtant une notion cruciale dont les portes sont grandes ouvertes.
La notion de risque élevé est une notion qui apparait souvent dans le RGPD. Par exemple, on parle de risque élevé quand il faut
informer les personnes concernées quand il y a un vol de donnée, mais ce risque élevé n’est pas défini dans le règlement. De la
même manière le traitement de données à grande échelle, la notion de grande échelle n’est pas non plus définie par le règlement.
On peut se demander si c’est normal qu’un texte si important n’est pas été capable de définir lui-même des concepts aussi
essentiels. Aussi, on peut parler de la notion clé de la DACP, la définition de cette notion dans le RGDP est imprécise et parfois
improductive. Les concepts ne sont pas très précis, et c’est souvent fait exprès pour laisser la marge aux autorités de contrôle.
3e critique à l’encontre du RGPD : l’harmonisation à certain égard reste insuffisante, surtout pour un règlement. On est passé
d’une directive à un règlement, on aurait pu imaginer une grande précision du texte, qu’on nous explique exactement ce qu’on
peut faire ou non. Au lieu de ça, le texte a laissé une marge de manœuvre aux EM sur les sujets parfois importants. Par exemple
l’âge de la majorité numérique est fixé par défaut à 16 ans. Mais cet âge est prévu dans le texte qu’il peut être abaissé jusqu’à 13
ans.
Conséquence ? les EM ont adoptés des âges de majorité numérique qui sont très différent, certains pays ont gardés les 16 ans du
RGPD (Allemagne, PB, Hongrie), d’autres ont été au maximum de la souplesse en adoptant l’âge de 13 ans (Irlande, Espagne,
Pologne) et d’autres pays ont adoptés des âges entre les deux : la France a adopté une majorité numérique à 13 ans.
Tout cela signifie que pour un acteur économique, cela fait un sacré foutoir. Car si on propose nos services à destination de mineur
de l’UE, dans certains pays on pourra recueillir le consentement dès 16 ans, d’autres dès 13 ans etc.
Conséquence : bcp d’acteur économique vont s’affranchir de ces règles nationales et vont faire des arbitrages (= le risk
management). Et donc ces acteurs vont prendre le risque, et ne vont pas adapter leur règlement d’utilisation en fonction du pays,
mais vont avoir un règlement globale et au pire si ils se font sanctionner c’est pas grave. On peut donc se demander pq on s’est pas
mis d’accord sur un âge précis.
Les états ont aussi une marge de manœuvre en terme de renforcement des exigences de protection. On touche à des choses
essentielles, par exemple l’article 9.4 encadre les données sensibles (= données de santé, opinion politique etc.). Sur ces sujets,
les EM peuvent si ils le souhaitent introduire des conditions supplémentaires y compris des limitations additionnelles.
Concrètement, un état pourrait interdir si il le souhaite totalement les traitements de données biométriques.
Cela signifie qu’une entreprise qui veut traiter des données sensibles, elle ne peut pas se contenter d’analyser le RGDP mais doit
aller voir dans l’ensemble des législations des EM pour voir si il y a des interdictions supplémentaire/ conditions. Ce n’est pas
l’esprit d’un règlement !
Conséquence de tout ça : en France on a adopté la loi du 20 juin 2018 qui est une loi de transposition du RGDP, c’est en
pratique impossible car un règlement ne se transpose pas, mais vu qu’il y avait un certain nombre de point où la marge de
manœuvre était large les EM devaient préciser par exemple la majorité numérique. => la visibilité du droit est discutable, on se
retrouve avec le code de la PDCP on aura la loi et la RGDP.
Aussi, ce règlement exclut largement de nombreux traitement de puissance publique. Mais attention, le règlement n’exclut par les
personnes publiques. Mais le RGDP exclut un certain nbr d’activité liée à la puissance publique lié au considérant 13 du RGPD.
Concrètement ce sont les activités de sécurité publique, de défense, de sureté de l’état ou encore des activités de l’état dans le
domaine pénal. Tout comme ces activités étaient exclus du champ de la directive de 95. Ce n’est pas nouveau, mais c’est
discutable notamment si on compare le droit de l’UE et le droit européen. Pq ? Car la convention 108 du conseil de l’Europe
n’exclut pas ces traitements de puissance publique, il y a une vraie opposition politique profonde.
3. La directive « police justice »

Directive 2016/680 du 17 avril 2016, elle a été adoptée en même temps que le RGPD. Cette directive est à peine + légère que le
RGPD, on a 107 considérants et 65 articles. Cette directive a pour vocation de compléter le champ d’application du règlement.
A. LE CHAMP D’APPLICATION DE LA DIRECTIVE
L’article 1 de la directive définit son champ d’application. Il dispose que la directive s’applique aux traitements de DACP par les
autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ou
Page 30 sur 59
d’exécution de sanction pénale, y compris la protection contre les menaces pour la sécurité publique et la prévention de telle
menace.
Il faut donc remplir deux conditions pour entrer dans le champ d’application de la directive:
- Le traitement doit poursuivre une des finalités évoquées : concrètement sont visées les traitements en matière pénales,
les traitements en constatation, le traitement des mesures d’application des peines. Donc très large : part des constatation pénale
jusqu’à l’application des peines. On peut aussi citer les activités préventives contre les menaces sur la sécurité publique, dès lors
que ces menaces sont susceptible d’une qualification pénale. Le maintien de l’ordre, dès lors qu’il a une visé qui est d’éviter des
infractions pénales, est concernée par cette directive.
- La directive renvoi au traitement fait par une autorité compétente : cette notion d’autorité compétente peut
s’appliquer aux autorités publiques (autorité judiciaire, police etc.).
Mais par autorité compétente on peut aussi très bien entendre les organismes ou entité à qui un EM confit des prérogatives de
puissance publique. Par exemple, la SNCF et la RATP disposent de services internes de sécurité. Ces services se voient confier des
prérogatives de puissance publique.
Au passage, il y a un certain nombre de traitement qui échappe à la fois au RGPD et à la directive police justice : les traitements
liés à la sureté de l’état, traitement lié à la défense nationale. Ces traitements sont des traitements qui sont purement régaliens, et
laissé à l’appréciation des EM. Cela signifie qu’en France ces traitements sont régis par la loi informatique et liberté.
B. LES NOTIONS CLÉS DE LA DIRECTIVE
On a l’impression que cette directive est un copié collé du RGDP. On retrouve exactement les mêmes définitions pour les
mêmes concepts clés (les DACP, la notion de traitement, la notion de responsable du traitement, de sous-traitant).
On va trouver ensuite les mêmes principes de licité des traitements. L’article 4 de la directive pose les pcp relatif au traitement
des DACP et quand on le lit on a l’impression de retrouver les mêmes principes que dans le RGDP. Mais il manque des choses,
par exemple dans l’article 4 de la directive il manque le principe de transparence (alors que notion fondamentale).
De la même manière, la directive nous dit que les données doivent être non-excessives alors que dans le RGPD on nous dit que les
données collectées doivent être limitées à ce qui est nécessaire. En d’autres termes, la directive permet à la fois de collecter + de
données sous réserve qu’elle ne soient pas excessive, et le tout sans être obligé d’être transparent. Très clairement, la directive est
moins protectrice que le RGPD.
Aussi l’article 15 de la directive porte sur le droit d’accès, qui est une condition importante dans le RGPD et n’a pas de
condition (« vous avez un droit d’accès. »), alors que dans l’article 15 on a un droit d’accès mais ce droit peut être limité voir
totalement restreint. En d’autres termes, la directive reprend le RGPD mais avec une dégradation évidente des droits des
personnes concernées.
C. LES OBLIGATIONS INDUITES POUR LES RESPONSABLES DU TRAITEMENT
Ces obligations ressemblent à celles du RGPD. On va trouver notamment l’obligation de protéger les données dès la conception et
par défaut (article 20 de la directive), tenu d’un registre des activités d’un traitement (article 24), coopération avec l’autorité de
contrôle (article 26), sécurisation des données (article 29), notification des incidents/ violation de données en cas de risque à
l’autorité de contrôle en cas de risque élevée à la personne concernée, transfert internationaux de données encadrées => bref, c’est
tout comme dans le RGPD. Mais, il faudra chercher les erreurs car on a des obligations spécifiques à cette directive.
Par exemple, « le cas échéant et dans la mesure du possible opérer une distinction claire entre les DACP des différents
catégories des personnes concernées » (art 6).
Par exemple, en matière pénale les données peuvent concernées une personnes reconnues coupables mais les traitements peuvent
aussi concernées les victimes d’une infraction pénale, ou les tiers à cette infraction pénale. On comprend que ce sont trois
catégories différentes : auteur, victime, tiers. Et normalement on devrait pas traiter ces données de la même manière. Sauf que
l’article 6 utilise le terme « dans la mesure du possible » ; ces mots sont utilisés 10 fois dans la directive, c’est extrêmement flou.
Ces termes on va le retrouver aussi dans l’article 7 « dans la mesure du possible, il faut séparer les données fondés sur des
faits et les données fondées sur les appréciations personnelles et vérifier la qualité des données » ; dans le règlement les
choses sont claires (les données doivent être exactes et tenues à jour) alors qu’ici on laisse une marge de manœuvre.
Page 31 sur 59
L’article 8 concerne la licéité du traitement c’est sa « nécessité à l’exécution d’une mission effectuée par une autorité
compétente ». En d’autres termes, pas besoin de base légale : on a pas besoin de consentement, d’intérêt légitime, la base légale
est la nécessité du traitement. Quant aux données sensibles (article 10) ces derniers peuvent être traités en « cas de nécessité
absolue sous réserve de garantie appropriée » => parmi ces conditions il y a par exemple le fait que les données aient été
manifestement rendue publique par les personnes concernées. Cela permet un profilage à des fins de suretés et de sécurité
relativement facile
D. UN BILAN NUANCÉ
On peut voir les choses de deux manières :
-La directive de 2016 est un progrès. Rappelons que la directive de 95 excluait les activités de police, désormais ce n’est
plus le cas.
-Mais en réalité, l’UE bride le RGPD lorsqu’il s’agit d’appliquer ses pcp en matière de police et justice pénale.
L’exemple le plus cruel est celui de la transparence : c’est un principe fondamental dans le RGPD, mais aussi dans la convention
108 , c’est un principe qui est purement et simplement occulté par la directive police justice. C’est un détail, mais c’est un
symbole important. La question des DACP est une question de droit fondamental, ces données font parties de nos libertés
fondamentales.
La directive laisse énormément de marge de manœuvre aux EM dans le cadre de leur transposition. Par exemple en matière
de délai, la directive prévoit une mesure de sécurité qui est la journalisation des traitements. Cela veut dire que les opérations de
collecte, de modification, de consultation et même les transferts des données doivent faire l’objet d’un journal automatisé =>
garanti de l’état de droit. Cette garantie de la journalisation est importante, mais seulement en droit français (et la directive le
permet), cette journalisation est prévue qu’elle soit faite au plus tard en 2026. En d’autres termes, 10 ans après l’adoption de la
directive.
Enfin, la question des sanctions est importantes. Le RGPD est précis en terme de sanction, fixe des sanctions en plafond. La
directive elle vise les sanctions dans son article 67, elle laisse aux EM le choix des sanctions à adopter.
4. la CEDH et les chiers de police

L’UE n’est pas assez protectrice face aux fichiers de police. Longtemps, elle n’a pas du tout protégée ces fichiers. Ajd elle protège
mais avec une directive faible => protection insuffisante. Donc cela laisse une marge de manœuvre à la CEDH pcq dans la
convention EDH il existe un article 8 qui est le droit au respect de la vie privée et familiale, cet article peut tout à fait être
invoqué face aux abus éventuels des fichiers de police.
Un exemple : arrêt de la CEDH 24 janvier 2019 « Catt c/ RU », dans cet arrêt Catt est un militant pro-paix qui en 2005 a
commencé à prendre part à des manifestations contre une usine d’armement au RU.
Ces manifestations ont déployés les forces de l’ordre, et les manifestations ont été fichées par la police. Monsieur Catt a été fiché
par la police britannique sans pour autant n’avoir jamais été condamné. En mars 2010, en vertu de la loi du RU sur la protection
des données, il va demander la communication des informations que la police dispose sur son compte. La police va alors lui
révéler que son nom apparait dans 66 inscriptions entre mars 2005 et octobre 2009. Ces inscriptions concernent pour certaines sa
participation à la manifestation autour de l’usine d’armement, mais aussi 13 autres manifestations. Et toutes ces informations
étaient conservées dans une base de donnée concernant l’extrémisme nationale avec d’autres informations comme sa date de
naissance, son adresse, son aspect physique. Évidemment, Monsieur Catt demande l’effacement de ces informations mais le RU
refuse. D’où la saisine de la CEDH sur le fondement de l’article 8§2 de la CEDH, en disant que ces données ne sont pas
nécessaires et doivent donc être supprimées.
La Cour considère que ces informations sont particulièrement sensibles. Elle estime que la collecte en elle-même de ces
informations étaient justifiées, mais par contre la conservation de ces informations ne l’étaient pas, elle rajoute qu’il est bien peu
probable que Monsieur Catt ne commette des infractions pénales dans le futur car il a 94 ans. Cette affaire est emblématique de la
manière dont peuvent être traités ces données, de l’accumulation des données sensibles par la puissance publique et également
l’inutilité de la conservation de ces données. Cela révèle aussi le fait que tout cela n’aurait pas apparu au grand jour si on avait pas
un militant qui avait saisi la CEDH.
Autre exemple : arrêt K c/ France CEDH 18 avril 2013, dans cet arrêt il s’agit d’une personne contre laquelle a été menée une
enquête pour des faits de vol de livre et dans le cadre de cette enquête, les services d’enquête ont prélevé les empreintes digitales
de la personne. En 2005, une décision de relax intervient mais la même années, la personne est de nouveau placé en garde à vue
pour vol de livre, l’affaire est classée sans suite. La personne considère que ses empreintes digitales ne soient pas conservées par la
Page 32 sur 59
fi
possible car il a pas été condamné !
Au final la réponse des autorités judiciaires : refus d’effacement motivé par l’intérêt des services d’enquête. Le potentiel voleur de
livre saisit la CEDH, elle estime que la conservation de ses empreintes digitales est parfaitement disproportionnées et pas
nécessaires dans une société démocratique au regard du fait que la personne a été soupçonné mais n’a pas été condamnée. La Cour
rappelle aussi que la durée d’archivage de ces données est limitée dans le temps mais est de 25 ans, la Cour précise que les
demandes d’effacement ont des chances d’aboutir qui sont hypothétiques. En d’autres termes, la conservation de 25 ans est
devenu une sorte de norme. Or garde pendant 25 ans les empreintes d’une personne qui a été soupçonnée est clairement
disproportionnée.
-La Convention européenne des DH et la CEDH constitue des remparts utiles aux lacunes du droit de l’UE. Mais nuance :
rare sont les personnes qui vont saisir la CEDH. Il y a évidemment une démarche militante.
5. Une pluralité de texte sécuritaire : l’exemple de la directive PNR

Le fichier des passagers (« passager name record » = PNR). À l’origine, ce sont les USA qui ont mis en place le système PNR
après les attentats du 11 septembre. Ce système est l’archétype d’une surveillance de masse qui n’est pas très utile.
C’est une loi américaine qui impose aux compagnies aérienne sous peine d’amende de fournir au département de la
sécurité intérieure des données communiquées par les passagers au moment de la réservation.
Ces données sont la date de voyage, l’itinéraire, l’adresse, le numéro de téléphone, moyen de paiement, le nom des personnes qui
voyages ensemble, les coordonnées où la personne va résider aux USA, les services demandés à bord (les préférences alimentaires,
les éventuels problèmes de santé). Ce sont des données nombreuses et sensibles.
À l’époque après le 11 septembre, la CNIL a été critique contre cette loi PNR. Parce qu’il y a des données sensibles, mais aussi
pcq tout simplement c’est un détournement de finalité dans le sens que ces données sont collectés par les compagnies aériennes
pour des fins commerciales et qu’ensuite ces données sont détournées à des fins de sécurité et de lutte anti-terroriste. Bref, la CNIL
considère que c’est un traitement illégal et cela a certainement provoqué quelques sueurs froides chez Air-France.
Pq ? car Air France est une compagnie française, soumise au droit français, la CNIL peut venir la sanctionner, mais en desservant
des villes aux USA, elle suis soumisse aussi au PNR. Si elle décide de ne pas appliquer le PNR => fin des voyages aux USA.
Donc les compagnies aériennes n’ont pas eu le choix.
L’UE, notamment la Commission, a passé un accord avec les USA conclu le 28 mai 2004, qui prévoit certaines garanties. On a
limité le nombre de données collectées, il y a en a qu’une trentaine. On a imposé aux USA un filtrage des données sensibles, mais
sans aucune garantie. On a également limité les finalités : lutte contre le terrorisme et lutte contre la grande criminalité.
Enfin, on a prévu un effacement au bout de 3 ans et demi de ces données. Mais tout cela repose sur la bonne foi des services
américains parce que personne n’a autorité pour aller vérifier que ce qui a été négocié en 2004 était effectivement respecté aux
USA. Cela pose un certain nombre de pb, par exemple sur les finalités. Les USA ne devraient se servir de ces données que pour
traquer les terroristes/ les grands criminels. Imaginons qu’un patron d’une grande entreprise européenne se rend tout à coup et
fréquemment dans une ville américaine dans laquelle se trouve un de ses principaux concurrents. On pourrait imaginer que ce type
de voyage préfigure un potentiel achat. Qui nous garantit que ces données de voyage ne sont pas utilisés aux fins d’anticiper
des comportements économiques ?
Cet accord de 2004 est un accord a minima, et il a été soumis à la CJUE. Cet accord a été annulé le 30 mai 2006 pour un motif
qui est ahurissant : cet accord était fondé sur la directive de 1995. Or, le champ de l’accord est hors de la directive de 1995. Il a
donc fallu un autre accord en juillet 2007, qui reprend la même logique que 2004, il a été modifié en 2011. Cet accord reprend
l’accord de 2004 avec un peu plus de garanti : on va limiter un peu plus le nombre de données.
On a adopté au sein de l’UE une directive 2016/681 du 27 avril 2016 « directive relative à l’utilisation des données des
dossiers passagers ». Dans cette directive on trouve une obligation faite aux EM de traiter les dossiers des passagers des
compagnies aériennes à des fins de lutte antiterroriste et de détection des formes grave de criminalité, données qui doivent être
collectées auprès des compagnies aériennes pour tous les vols à destination de l’UE ou en partance de l’UE et avec un système de
partage des données entre tous les EM. => bref, le PNR des USA transposé au sein de l’UE
Les informations sont conservées pendant 5 ans, au bout de 6 mois les données font l’objet d’un masquage. La directive a été
transposé en France par une loi de 30 octobre 2017 (la loi LCI) et deux décrets du 3 aout 2018. En pratique, la France avait déjà
dès 2014 un système PNR à titre expérimental donc la transposition était simple.
Il y a 20 ans on critiquait les américains de leur système contraire à nos valeurs, alors qu’ajd on a le même système.
L’exemple du PNR pourrait être un cas isolé, mais il ne l’est pas. Il y a d’assez nombreux exemple de forme de surveillance de
masse qui après avoir été critiquée et rejetée ont été banalisés dans notre droit.
Par exemple, le système de suivi des transactions bancaires est un système que l’on utilise pour faire des virements internationaux.
Ce système est un système qui est exploité par une société belge détenu par les plus grandes banques mondiales. Mais ce système
Page 33 sur 59
est entièrement back up sur des systèmes qui se trouvent aux USA, on a découvert en 2006 que les services d’enseignement des
USA utilisaient les données de ce système. Cela peut servir à faire de l’intelligence économique, de l’espionnage industriel etc. on
aurait pu imaginer en 2006 que cette affaire serve de détonateur, et qu’on se dise que finalement ce n’est pas normal que les
services de renseignements américains aillent piocher dans ces données.
Au lieu de ça on a passé un accord en 2010 dans lequel les USA s’engagent à limiter l’utilisation de ces données (notamment à des
fins de lutte antiterroriste) mais c’est tout.
Mais là encore, quelles sont les garanties ?
Fiche n°4 : la cybercriminalité et la cyber sécurité
Entre les USA et l’UE c’est un jeu de politique : on a besoin de leur service de renseignement, on critique leur méthode mais on
veut faire comme eux. Mais reste que les services de renseignements posent problème, notamment sur la question de l’intelligence
économique. Toutes ces données auxquelles les américains ont accès permettent de faire de l’espionnage industriel.
En France la cybercriminalité est un sujet qu’on a abordé de manière précoce avec une loi GODFRIN du 5 janvier 1988,
notamment pcq à l’époque on développe le minitel. Cette loi interdit et sanctionne le fait de pénétrer dans un système
d’information. Elle va aussi sanctionner le fait de nuire au fonctionnement normal d’un SI.
Ajd les enjeux sont différents de ceux des années 80, tout d’abord pcq la cybercriminalité est ajd un phénomène international : les
attaques se déroulent via le réseau internet, ce qui va permettre de multiplier les délits dans nbr pays. Souvent les cybercriminels
sont installés dans des pays où ils savent qu’ils vont avoir une certaine immunité.
Par exemple, quand un rançongiciel a été lancé en 2014 à l’assaut de milliers de système d’information dans le monde entier, ce
rancongiciel a été lancé depuis le territoire ukrainien notamment dans la Crimée. C’est un territoire où l’Ukraine n’avait pas
d’autorité, ainsi que la Russie.
Ce cyber crime est devenu une activité + que rentable. Entre 2016 et 2018 un rencongiciel appelé LOCKY chiffrait des données
de système informatique et demandait un paiement en crypto monnaie en échange de la clé d’information. Ce logiciel a fait + de
5000 victimes officiels dans le monde, mais on peut estimer le nombre de victime à au moins + 10 000. Souvent ces attaques ont
visés de grandes entreprises, des services publiques causant parfois des préjudices économiques importants. Dans cet affaire ce
sont deux juges français qui ont obtenu l’extradition d’un auteur de rencongiciel.
Document à aller voir si jamais approfondir : site du Sénat rapport juillet 2020 « cybercriminalité : un défi à relever au niveau
national et européen »
Évidemment, face à ces enjeux les réponses ne peuvent plus être nationales !
I. LA CONVENTION DU CONSEIL DE L’EUROPE SUR LA CYBERCRIMINALITÉ

Cette convention dite de Budapest a été adopté le 23 novembre 2001 et a été signée par 67 états, car elle a été ouverte à la
signature des pays tiers. C’est l’outil international le + efficace en terme de lutte contre la CC.
Ce texte comporte 48 articles avec de nombreuses dispositions avec la sanction des accès illégaux dans un système informatique,
la lutte contre la pédo-pornographie, les infractions en matière de propriété intellectuelle, l’entraide internationale etc. Bref bcp de
chose, avec aussi des protocoles qui se sont ajoutés avec le temps. Par exemple on aura un protocole additionnel pour la lutte
contre le comportement raciste et xénophobe.
Les USA font parties de cette convention. Cette convention n’est pas juste des obligations qu’on imposent, il est extrêmement
vivant et pragmatique. Par exemple, la convention a institué un réseau 24/7 qui est un point de contact joignable 24H/24-7J/7 qui
va assurer une assistance en matière d’infraction pénale dans le cyber espace. En France, ce point de contact est l’office central de
lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC).
Page 34 sur 59
Dans le cadre de cette convention la lutte contre la cybercriminalité fait l’objet de conférence internationale, les conférences
octopus, qui sont organisées chaque années et portent sur l’actualité du cyber crime, les dernières évolutions du cyber crime, les
réponses étatiques etc. On retrouve dans ces conférences on retrouve des ministres, des ONG, des entreprises privées etc. Cette
convention est globalement un succès à la fois par son contenu et par son mode opératoire. Mais elle est aussi critiquée notamment
par la Russie qui en 2019 a adopté une résolution en vue d’établir une convention des NU en matière de lutte c/ la
cybercriminalité, bref un outil concurrent dans le cadre des NU.
Pq ? pour diviser et affaiblir la convention de Budapest, sachant qu’elle n’a ni signé ni ratifié la convention. Si la Russie cherche à
déstabiliser cette convention c’est pcq elle voit que c’est en train de devenir un outil mondial qui ne cesse de se renforcer. En 2017,
ont été adopté des négociations en vue d’adopter un deuxième protocole additionnel à cette convention, ces négociations visant à
mettre en place une véritable entraide des signataires, avec la composition d’équipe conjointe, une coopération en matière de
données entre les différents signataires de la convention.
II. LES PRINCIPALES SOURCES ISSUES DE L’UNION EUROPÉENNE

Le rôle du conseil de l’Europe a été précurseur. La lutte contre la cybercriminalité est un sujet qui est arrivé tardivement au niveau
de l’UE avec une succession de texte dans les années 2010 qui sont assez précis dans leur champ d’application.
Parmi les grands textes sectoriels, on va trouver :
- Une directive 2011/93 du 13 décembre 2011 qui porte sur les abus sexuels et exploitation sexuel des enfants.
- Une directive 40 du 12 aout 2013 qui vise les EM à renforcer leur législation en matière de cyber attaques à
grande échelle, elle va être à l’origine en 2015 d’un renforcement en France des sanctions de la loi GODFRIN en matière
d’attaque contre les logiciels de l’état.
- Une directive 2016/1148 du 6 juillet 2016, la directive « NIS » qui vise à renforcer le niveau de sécurité des
réseaux.
- Une directive 2019/713 du 17 avril 2019 sur la fraude aux instruments de paiement en ligne.
- Un règlement 2019/881 du 17 avril 2019 « servor security act », c’est le règlement qui concerne l’ENICA (agence
de l’UE contre la cybercriminalité).
III. LES ACTEURS EUROPÉENS DE LA CYBER SÉCURITÉ

Dès 1996 l’UE se dote d’un comité d’expert qui va progressivement se transformer en un ensemble d’agence qui vont contribuer à
lutter contre la cyber criminalité et sécurisé cyber sécurité
A. LE EC3 (CENTRE EUROPÉEN DE LUTTE CONTRE LA CYBER CRIMINALITÉ) ET EUROPOL

Europol est un organe de soutient des services de police des états-membres spécialisés dans la lutte contre la criminalité
organisée et lutte contre le terrorisme. Est un organe de soutient qui peut intervenir dès lors que plusieurs états-membres de
l’UE sont concernés par une lutte anti criminalité ou anti terroriste.
Europol est très important (1300 personnes qui y travaillent + financièrement de 140 Million d’€ / an). A été créé en 1998 + très
logiquement va intégrer dès l’origine la lutte contre la cyber criminalité avec au début quelques experts spécialisés, et ensuite avec
la création en 2013 du EC3 qui institutionnaliser cet aspect du travail.
Depuis sa création l’EC3 a été impliqué dans des opérations policières qui sont croissantes en nombre, à sa création en 2013 EC3 a
été impliqué dans 57 affaires de cybercriminalité, les derniers chiffres sont +400 affaires aujourd’hui.
La cyber criminalité a beaucoup augmenté, liée au fait qu’avec le RGPD est oblige de notifier ce vol de données donc augmentent
le nombre d’affaires + augmentation de télé travail donc + du cyber attaque + la vente en ligne se développe toujours + enjeu
géostratégique de la cybercriminalité. L’EC3 est une composante d’EUROPOL qui est spécialisé en cyber crime.
l’EC3 met à la dispo des états-membres des capacités techniques, réalise un travail d’appui des autorités nationales en la
matière, par ex, dans le domaine du déchiffrement. En France a l’ANSI, qui comporte 600 agences donc beaucoup de choses.
Ex : encrochat = un service de messagerie sécurisé / chiffré, cette entreprise vend aussi un téléphone super sécurisé avec son
abonnement, qui donne accès à cette messagerie chiffrée. Ce téléphone ne va plus avoir de micro ni appareil photo + va installer
un système d’exploitation miroir par rapport à Android, 1000€ le tel + abonnement de 1500€ pour 6 mois.
Ce tel est fait pour les gens qui ont des choses à se reprocher et qui veulent payer cher pour avoir de la confidentialité.
Ça s’est bien vendu (environ 50 000 tel en circulation dans le monde, rien qu’au Pays Bas 12 000 de ces tel étaient actifs).
La JIRS de Lille va être saisie en 2018, et les spécialistes vont se rendre compte que les protocoles de chiffrement utilisés sont de
très haut niveau, vont saisir EUROPOL et particulièrement EC3, cette équipe de gendarmes x spécialistes vont parvenir à casser
Page 35 sur 59
les fameuses clefs de chiffrement d’encrochat. Les gendarmes vont découvrir beaucoup de criminels / décliquetants qui se croient
à l’abris et échangent de manière transparente sur les livraisons de drogue / prostitution / assassinat / armes…
Là où la coopération ont se mettre en place et fonctionner, les enquêteurs de là où c’est tel sont le + utilisés, pendant des mois ils
vont se mettre à écouter les mess échangés, en tout sont 120 Millions de mess interceptés en temps réel par les enquêteurs, avec
même en France la création en mars 2020 d’une cellule nationale (EMMA 95) avec + 60 gendarmes affectés à temps plein à
l’interception X analyse des mess France d’encrochat, le tout partagés avec les autres état-membre X EUROPOL.
En juin 2020 est fini, un mess aux usagers de l’Apple, mess d’alerte la sécurité du tel est compromise il faut jeter le tel, le travail
de collecte d’infos est fini donc passe à l’offensive. + de 1000 arrestations, 100 tonnes de cocagne saisies, 1 tonne de
méthamphétamines, 10aines d’armes a feux auto + explosifs, + 80 véhicules / bateaux haut de gamme saisi, 25 Million d’€ X des
conteneurs au pays bas transformé en salle de torture, 7 conteneurs, des chefs de gang arrêtés + plein d’assassinat arrêté,
continuent toujours d’interpeller.
En janvier 2021 des gens arrêtés près de valenciennes spécialisés dans les go fats + saisi une trentaine de fusils d’assauts.
Cette affaire démontre à quel point la coopération européenne es importante parce que l’EC3 a permis l’échange d’info entre
polices européennes.
Pour autant encrochat a été transformé par SKY ECC, « la plateforme de messagerie la + sure qu’on peut acheter », total
anonymat équipement vendu en bitcoin + 2000€ d’abonnement. La encore plusieurs services de police de plusieurs états qui vont
collaborer par le biais d’Europol + EC3 qui vont s’attaquer aux clefs de chiffrement et va aboutir a beaucoup d’interpellations avec
la surveillance de 70 000 utilisateurs, notamment le 9 mars 2021 grâce à la surveillance de ce système soi disant sécurisé, a saisi
27 tonnes de cocagne à Anvers.
Europol X EC3 est important en matière de coopération des forces de l’ordre au sein de l’UE.
B. EUROJUST ET LE PARQUET EUROPÉEN.

Créé en 2002 par une décision du conseil, Agence de l’UE pour la Coopération Judiciaire en Matière Pénale.
Eurojust est une entité de concertation des parquets nationaux de l’UE, dont le rôle a été étendu par le traité de Lisbonne et qui a la
capacité de demander aux état-membres d’initier une enquête pénale et qui peut désormais ouvrir elle même cette enquête, et ça
depuis Lisbonne.
On est avec eurojust en train de s’attaquer à une prérogative régalienne, la raison pour laquelle eurojust ne peut pas déclencher elle
même de poursuite pénale mais seulement une enquête, s’agissant des poursuites pénales eurojust peut juste proposer.
Eurojust travaille aussi sur la fraude corruption blanchiment et toutes les infractions pénales au détriment des intérêts financiers de
l’UE. Eurojust ressemble à un parquet européen qui serait bridé par souci de ne pas empiéter sur une préro régalienne des états-
membres, pour ça qu’eurojust est pour le soutien, la coopération qui peut prendre que des initiatives.
240 personnes qui travaillent à La Haye, institution importante parce que a fait prendre conscience aux états-membres de
l’importance d’une coopération pénale au niveau de l’UE. Sous cet angle eurojust a été précurseur d’une institution en tain de
prendre de l’importance qi est le parquet européen.
Est une institution nouvelle, a fonctionné en juin 2021 avec 22 états-membres participants pour l’instant. Est un parquet
indépendant + décentralisé de l’UE avec une compétence large, compétence de recherche de poursuite des auteurs d’infraction
en vue de leur traduction en justice.
Avec le parquet européen va plus loin qu’eurojust parce que a un véritable pouvoir de traduction en justices des infractions. Ce
parquet européen est généraliste, pouvoir centralisé, est compétent en matière d’infraction qui portent atteinte spécifiquement au
budget de l’UE, si le parquet européen a un pouvoir de poursuite est parce que est au nom de l’UE. Il faut voir comment il va se
développer mais est un organe indépendant des autorités européennes X nationales + prouve l’importance de l’UE dans le domaine
pénal.
C. ENISA
Créé par un règlement du 10 MARS 2004, agence de l’UE pour la cyber sécurité.
Page 36 sur 59
Est un centre d’expertise en matin§re de cyber sécurité qui aide l’UE en tant qu’institution et les états-membres a être mieux
équipés et préparer en matière de cyber sécurité. ENISA aide à mieux prévenir les problèmes de cyber sécurité + fournit des
conseils de sécurité publique au secteur public ou privé, passe par des exercices de cyber sécurité, élaboration de stratégie
nationale en la matière + rédaction de rapports/études sur des sujets tel que la protection des données, le cloud, identification
électronique, cyber sécurité dans la santé.
Beaucoup de communication sur les bonnes pratiques. En 2016 le budget de l’ENISA était de 11 Million d’€, aujourd'hui est de
23 Millions X 120 agents.
Est passé de la cyber criminalité à la cyber sécurité, progressivement au niveau de l’UE la place pour la cyber sécurité grandit, au
début était une logique répressive, progressivement des obligations en matière de cyber sécurité, demande aux entreprises /
secteurs publics d’être proactifs.
Ne s’agit plus de bien réagir quand on se fait attaquer mais d’éviter de se faire attaquer. Est une action préventive qui se prouve
par la création d’obligations renforcées pour certains acteurs, certains sont soumis à des exigences particulières en matière de
cyber sécurité. Ces acteurs sont les Opérateurs de Services Essentiels.
4. LES OSE.
Ils illustrent le glissement vers les obligations de cyber sécurité, ils naissent avec une directive du 6 Juillet 2016, directive NIS
(network and informations systems), cette directive créée cette catégories de OSE « un opérateur de services essentiels
réponds à 3 critères, une entité qui fournit un service essentiel au maintien d’activité sociétale et / ou économiques
critiques. Est une activité tributaire des réseaux et des systèmes d’informations. Une activité sur laquelle un incident aurai
tun effet disruptif important sur la fourniture du service ».
N’est pas très précis + est une directive donc marge de manoeuvre pour la transposition. En France une loi du 26 FEV 2018, et
n’améliore pas ces opérateurs? La liste de ses OSE est classée secret défense + fait partie du protocole de sécurité. Pour autant se
doute de qui peut être concerné par ses exigences.
En France depuis 2013 avec une loi programmation militaire il y avait déjà une catégorie analogue, OIV (opérateur
d’importance vital) est similaire à l’OSE. Pour une fois, c’est la France qui a inspiré l’UE. Peut imaginer que OIV/OSE des acteurs
dans domaines industriels « sensibles » (défense, aéro spatial (THALES), aéronautique (AIRBUS), domaine de la santé).
Que doivent faire ces structures ?
Respecter des règles en matière de cyber sécurité qui sont en France imposées par le PM, règles en matière de gouvernance des
réseaux, défense des systèmes d’info, règles techniques et organisationnelles. Elles vont viser davantage le facteur humain (mdp
trop fragile, gens qui s’épanche sur les RS)
Les OSE ont des obligations à respecter, ces obligations doivent être respectées sous peine de sanction avec des amendes (OSE
100 milles € amende max, OIV peut aller. + loin), amendes applicables dès lors que remplies pas des obligations qui peuvent faire
l’objet de contrôle, les OSE doivent se laisser auditer.
Prévoit qu’en cas d’attaques les OSE doivent procéder à une déclaration auprès de l’autorité nationale compétente, en France
auprès de l’ANSI. Les OSE ont parmi leurs actionnaires l’état ou/et parmi leur clients l’état. Tout ça vise à coté des OSE les
fournisseurs de services numériques, ont les mêmes obligations que les OSE (remplir certaines conditions, se faire auditer
régulièrement etc…)
Le fournisseur de services numériques vise les moteurs de recherches, services clouds, marketplace mais pas les RS qui ne sont
pas considérés comme tel, lobbying semble avoir été discutable. Des obligations précises et applicables dans beaucoup de
domaine, télécommunication, hébergement de données, domaine de l’énergie etc…
5. DEMAIN, LA DIRECTIVE NIS 2 ?

Directive déjà en cours de révision, 16 décembre 2020 a été présente une proposition de directive révisée, NIS 2 avec un certain
nombre de nouveauté qu’il faut prendre avec précaution.
Un élargissement des secteurs critiques, avec certains secteurs industriels a nouveau avec l’eau potable / énergie / transports /
banques, ajoute les eaux usées + une extension vers les administrations.
Une dichotomie entre les OSE et les Opérateurs de services importants, qui seraient une catégorie inférieure, soumis à des
obligations - élevées, dedans se trouverait les RS.
Page 37 sur 59
Un certain nombre d’obligations notamment obligations de sécurisation étendue à l’ensemble de la chaine
d’approvisionnement et de fournisseur. Ne sécurise plus slmnt l’opérateur lui même mais aussi ceux dont l’opérateur est
tributaire.
La directive NIS ne vise pas seulement les données personnelles mais toutes les données de manière générale.
Directive qui va engendrer des couts importants pour les acteurs concernés, la commission estime que les couts seront négligeables
par rapport à ce que coute les cyber attaques, aujourd'hui elles ont réellement un cout important.
Ces texte, directive NIS projet NIS, rôle de l’ENISA, est le reflet des évolutions en matière de cyber criminalité / cyber sécurité.
Pdt longtemps la cyber sécurité était laissée à l’appréciation des entreprises, des établissements publics, avec un petit peu la
logique que si on se fait attaquer est notre problème, si pas assez sécurisé est aussi le problème. Pour quoi pendant longtemps la
cyber sécurité a reposé sur une démarche volontaire des organismes publics X privés, qui prennent toujours souvent la forme de
certification. Il existe des normes de certification, norme ISO 27001.
Cette norme est une démarche volontaire, une certification où l’on paye pour ça. Si respecte ttes les règles aura le label.
Aujourd'hui les cyber attaques font beaucoup de dégâts collatéraux, elles ne vont pas simplement nuire au patrimoine de l’entité
qui est attaqué, aujourd'hui les grandes cyber attaque sont souvent le fait de groupe pro, organisé; qui agissent de + en + au
minimum avec la bénédiction d’un certain nombre d’états voire sur leurs ordres.
Affaire Solarwinds : grande entreprise américaine des 90s, fournis des outils de gestion info X surveillance à distance, utilisé
pour gérer le système info de beaucoup d’entreprises.
a fait l’objet d’une attaque, un malware installé dans une MAJ piégée qui a ouvert une porte dérobée dans l’ensemble des réseaux
des entreprises X structures publiques victimes permettant ainsi à des pirates infos d’espionner ces entreprises et de collecter les
mails échangés via les réseaux infectés.
Cette bague d’or a frappé 18 000 clients dans le monde, dont une centaine d’entreprises américaines, ainsi que de nombreuses
agence gvmentales américaines qui utilisent les services d’Orion.
Une enquête a été diligentée aux Usa notamment, au regard des enjeux e ce genre d’attaques à la fois en terme de menaces
industrielles mais aussi au regard de l’impact sur la confidentialité du fonctionnement d’agence gvemental dont on n’a pas dit quel
pouvait être ces agences. En avril 2021 Biden a pris la parole pour accuser ouvertement le service russe des renseignements
extérieurs,
Le président de Microsoft a été interrogé sur cette attaque et sur les moyens liés à cette attaque, a estimé que cette attaque sur
Solarwinds avait nécessité l’implication de 1000 ingénieurs qui auraient travaillés ensemble, semble est très organisé. La Russie
nie en bloc, Poutine a dit que les accusations américaines étaient délirantes.
Si on ajoute que microsoft a été attaqué par des hackers chinois vraisemblememeènt avec la bénédiction de leur gouvernement
(révélé en mars 2021) on est face à une nouvelle forme de guerre : la cyber guerre, qui va chercher à attraper des secrets industriels
/ espionnage industriels, est presque le - grave - une nature disruptive, porter atteinte au fonctionnement de système qui sont
« essentiels ». On imagine facilement ce que pourrait donner s’il y avait une attaque cyber qui vise une centrale nucléaire, RATP,
télécom garantie d’un chaos. Le but est de déstabiliser la puissance publique.
La directive NIS et NIS 2 anticipe ces risques, contre ces risques là que l’UE a adopté ces directives + contre ça qu’a été étendre
les obligations de cyber sécurité. Va vers des mesures proactives et ne les laissent plus aux entreprises.
Est passé de quelque chose qui était une lutte contre la cyber criminalité à des véritables obligations à la cyber sécurité qui vont
s’étendre davantage.
Page 38 sur 59
Fiche n°5 : La difficile protection de la propriété

intellectuelle face aux technologies numériques.
Une évolution très importante, depuis les premier texte en la matière, directive du 14 MAI 1991, porte sur la protection de
l’oeuvre numérique.
La question s’est déplacée, lutte contre les atteintes au droit d’auteur / contrefaçon, même si la question de l’oeuvre numérique 30
ans + tard pose toujours des questions.
Ex : en 2018 a été vendue un portrait réalisé par une IA, portrait d’un personnalité fictive (Edmond de Bellamy), réalisé sur la
base de 15 000 portraits synthétisés par une IA. A été vendue 45 fois l’estimation X a posé de nvelles questions par rapports à la
protection de ce type d’oeuvre, a té faite par une IA mais développé par des humains, le collectif obvious.
Cet exemple de tableau réalisé par une IA demande qui est le propriétaire originelle de l’oeuvre, le créateur de l’IA, l’IA
elle même, les propriétaires des oeuvres qui ont Nourri l’IA ?
Les technologies numériques sont à des nombreuses égards disruptives, parmi les ex de disruptions il y a le fait que grâce aux
technologies numériques on va pouvoir beaucoup + facilement transmettre / échanger des contenus protégés par le droit d’auteur.
A la fois parce que l’info en réseau va le permettre (échanges de pair à pair). Un ensemble de compression numérique, qui va
faciliter les transferts de contenu, souvent protégé par le droit d’auteur.
Jusque dans les 90s il était facile de gérer les problème de copie d’œuvre parce que une copie d’oeuvre nécessitait un support.
Ex : les supports cassettes, une cassette audio vierge pouvait la payer. Maintenant peut taxer les disques durs, mais taxation
négligeable par rapport à la capacité d’atteinte aux droits d’auteurs. Un disque dur d’ordi sert à plein de choses et pas
nécessairement a violer le droit d’auteur, la logique de taxation du support est conservée mais n’est proportionnellement plus une
solution.
L’UE s’est intéressée à la protection de la propriété intellectuelle, parce que est un marché important + doit être harmonisé.
Directive 2001 / 29, harmonisation de certains aspects du droit d’auteur et du droit voisin dans la société de l’information.
Directive a été complété et précisé par deux autres directives en 2004 et 2019.
I. L’AFFIRMATION D’UN PRINCIPE LARGE DE PROTECTION ET D’EXCEPTIONS SUR MESURES : LA

DIRECTIVE 2001 / 29.
Cette directive est le premier grand pas dans la protection intellectuelle, directive DADVSI.
Un texte assez protecteur + limité dans son champ d’application parce que porte uniquement sur le droit d’auteur et le droit voisin.
N’ont pas toute la propriété intellectuelle. La PI est un ensemble vaste, propriété industrielle et propriété littéraire X artistique.
Dans la propriété littéraire et artistique mets les droits d’auteurs X droit voisin, contrairement à la propriété industrielles les
oeuvres sont protégées du seul fait de leur originalité. La directive de 2001 prévoit un certain d’éléments pour adapter le droit
d’auteur et voisins aux enjeux du numérique. Vise notamment les mesures techniques de protection (MTP).
Les MTP sont connus sous les DRM (digital right management), pour protéger les droits d’auteurs et voisins dans la société
d'informations pensent aux MTP, des mesures logicielles qui vont limiter techniquement le nombre de copies d’une oeuvre, sphère
géographique de l’utilisation de cette oeuvre.
Dans les 2000 va mettre en place des MTP dans les titres musicaux que l’on peut acheter sur des plateformes comme iTunes.
L’idée est d’empêcher quelqu’un qui a acheté un album sur iTunes de faire des copies pour le donner à des amis et le transmettre
partout..
La directive dans son art 6 vise à protéger ces MTP et demande aux états-membres de sanctionner le contournement des MTP X
sanctionner la mise sur le marché d’outil de contournement desdits MTP. Imagine à l’époque que les oeuvres en ligne auront les
MTP et suffiront à empêcher les usages illicites. Loi du premier Aout 2006 (Droit d’auteur et droits voisins dans la société de
l’information) avec la création d’un article dans le code de la proépnté intellectuelle, L 335-2-1.
Cet article est inapplicable parce que le texte vise à sanctionner les logiciels de contournement de MTP et + généralement les
logiciels de pair à pair. En réalité, rien n’est jamais en matière de pair à pair fait pour manifestement violer le droit d’auteur, est
une conséquence.
Page 39 sur 59
La directive de 2001 va rappeler un certain nombre de droit classique (communication/ reproduis ton au public) + précise dans son
art 5 les limitations possibles au droit patrimoniaux, en prévoit 20, des exceptions liées la copie privée ou bibliothèque..
Ces 20 exceptions sont optionnelles se sont les états-membres qui sont libres de piocher dans ses exceptions celles qu’ils veulent
introduire dans leur droit interne, est loin d’une véritable harmonisation en matière de droit d’auteur. Pour les sanctions, l’art 8
laisse aussi le choix aux états-membres doivent être efficaces + proportionnées + dissuasives.
Cette directive est importante parce que est la première, volumineuse mais est décevante.
II. DIRECTIVE 2004 / 48 RELATIVE AU RESPECT DU DROIT DE PROPRIÉTÉ

INTELLECTUELLE.
3 années seulement, à cette époque représente une éternité parce que une grosse accélération des réseaux etc.. l’innovation et le
création sont aujourd'hui découragés par les atteintes à la propriété intellectuelle ce qui limite les investissements, l’UE essaye de
se battre pour l’impératif économique.
Il y a un niveau élevé d’harmonisation, une directive à la carte, la directive de 2004 sera complémentaire à la directive de
2001.
Comprend que cette directive vient combler le vide de celle de 2001. Celle de 2004 vient viser généralement les droits de
propriété intellectuelle, couvre aussi la propriété industrielle. La directive de 2004 comporte essentiellement des mesures
procédurales probatoires qui peuvent sembler arides mais en fait centrales.
D’abord, l’art 7 de la directive considère qu’il faut avant toute action au fond permettre à une partie au requête de
demander à l’autorité judiciaire de lui permettre de conserver des éléments de preuve nécessaire, cet art 7 va se traduire par
un développement de référés (mesures d’urgences) qui vont permettre de constater l’atteinte à un droit de propriété intellectuelle et
cela de manière non contradictoire.
L’art 9 de la directive permet toujours via une ordonnance de référé de formuler des injonctions à l’encontre
d’intermédiaire dont les services sont utilisés pour porter atteinte à un droit de propriété intellectuelle.
Cela va permettre d’aller par ex demander à un fournisseur d’accès de bloquer l’accès à certain site, et concrètement sur la base de
la transposition de cette directive de 2004 enjoint en référé à des fournisseurs d’accès à des sites de téléchargement de contenus
illicites. En droit interne art L336-2 CPI.
III. DIRECTIVE SUR LE DROIT D’AUTEUR DANS LE MARCHÉ UNIQUE NUMÉRIQUE, 2019 / 790, 17 AVRIL
2019.
Directive de 2019 vient modi er 2 directives précédentes : celle de 1996 et celle de 2001. C’est un texte ambitieux et important
(86 considérant, 36 articles), qui essaye d’adapter le droit aux évolution technologiques. L’ambition est af chée par le considérant
3 qui rappelle que l’évolution rapide des technologies continue à modi er la manière dont les oeuvres et autres objets protégés
sont créés, produits, distribués et exploités. « Une insécurité juridique subsiste tant pour les titulaires de droits que pour les
utilisateurs, en ce qui concerne certaines utilisations, notamment transfrontières d’oeuvres et autres objets protégés dans
l’environnement numérique ». Cette directive, comme souvent, est le fruit d’un compromis.
Celui-ci est tellement dif cile à trouver en la matière, et il y a tellement de lobbying, que cette directive a failli ne jamais voir le
jour. Ce texte a été débattu très longtemps : il a été d’abord rejeté une première fois par le Parlement européen (en juillet 2018), à
318 contre et 272 pour. Mais le Parlement a changé d’avis pour nir par adopter cette directive, preuve que la protection des droits
d’auteurs est un sujet complexe, avec beaucoup d’enjeux économiques, et qui a des impacts importants sur des acteurs importants.
C’est un texte extraordinairement disparate. Par exemple, les articles 3 et 4 portent sur la fouille de texte et de données (data
mining). C’est un enjeu important dans le domaine de la recherche scienti que.
L’article 5 est aussi intéressant : il porte sur l’utilisation d’oeuvres dans le cadre d’enseignements numériques et
transfrontières. Concrètement, c’est un article qui a pour but de faciliter le développement des cours en ligne. Mais on va étudier
ici les articles 15 et 17. L’article 15 car il crée un nouveau droit voisin, celui des éditeurs de publication de presse, et crée une
responsabilité des sites de partage.
A) L’article 15, un nouveau droit voisin des éditeurs de publication de presse
Page 40 sur 59
fi
fi
fi
fi
fi
fi
Un droit voisin est un type de droit consacré en France par la loi du 3 juillet 1985. Les droits voisins sont accordés à différentes
catégories de personnes qui gravitent autour des auteurs. Le droit d’auteur protège les oeuvres originales des auteurs. Mais ces
auteurs sont souvent entourés d’autres personnes qui vont donner vie à ces oeuvres d’une certaine manière. Les plus connus sont
les artistes interprètes : l’auteur compose et écrit une chanson, mais il a besoin de l’artiste interprète pour lui donner vie. Ce sont
également les producteurs en matière cinégraphique.
Également les entreprises de communication audiovisuelle. Concrètement, une entreprise de communication audiovisuelle
dispose d’un droit qui est voisin. Ce droit est purement patrimonial : c’est le droit de s’opposer à l’exploitation par les tiers de
ses programmes, c’est prévu au Code de la propriété intellectuelle à l’article L. 216-1. Il n’y a pas de composante morale dans
ce droit, il n’y qu’une portée patrimoniale à ce droit.
DOIT-ON ACCORDER UN DROIT ANALOGUE AUX ENTREPRISES ÉDITRICES DE PRESSE S’AGISSANT DES CONTENUS
PUBLIÉS EN LIGNE ?
La problématique est d’importance parce qu’en fait, on a énormément de contenus publiés sur internet par des entreprises éditrices
de presse. Et ces contenus sont souvent ensuite repris par d’autres sites, notamment dans le cadre de veilles d’actualité. Et le
problème est notamment celui de Google actualité qui justement crée une revue de presse sur la base d’articles ou d’éléments
d’articles publiés par des entreprises éditrices. Or, jusqu’à présent, ces entreprises éditrices de presse n’avaient pas moyen de ce
défendre face à ces pratiques.
Il fallait donc réagir. C’est la raison pour laquelle cet article 15 va essayer de les protéger, en créant à leur pro t un nouveau
droit voisin. Cet article 15 crée un monopole au pro t des entreprises éditrices de presse, mais aussi aux agences de presse,
un monopole qui prend donc la forme d'un droit patrimonial (droit de s’opposer à la reprise de ces contenus) sur internet
par des fournisseurs de services de la société de l’information. Ce monopole a une durée de 2 ans et va permettre la mise en
place de contrats qui vont permettre de valoriser ce contenu.
Le problème de ce monopole est qu’il est relativement limité en pratique. Mais ce qui est ici en cause n’est pas forcément sa durée.
Le problème principal, c’est que ce monopole comporte un certain nombre de limites. Cet article 15 ne vise pas la communication
par hyperlien, ni aux mots- isolés, ni aux très courts extraits. L’idée est de permettre de continuer la diffusion d’informations
Ce qu’on veut éviter c’est la reprise de contenu protégé, de contenu éditoriaux et que des sites, sous prétexte d’agréger des
actualités, pillent des contenus et les investissements qui sont opérants.
Il y a un acteur qui était debout contre cet article 15 : Google. C’était l’entreprise qui était ciblé par cet article puisque sur le site
de Google actualité on retrouvait non seulement une liste d’actualité mais aussi une liste de contenu repris dans les sites
d’information. Le but de Google actualité était d’éviter à l’utilisateur d’aller sur un site spécial, et d’avoir directement accès sur la
page de Google.
En France on a très rapidement transposé cette directive, on l’attendait avec impatience ! Cette transposition est entrée en
vigueur n octobre 2019 (donc très rapidement). Elle date d’une loi du 24 juillet 2019 (qui est une transposition de l’article 15)
et entrée en vigueur n octobre.
Comment a réagi Google ? il a réagi avec une annonce publique, un communiqué de presse du 25 septembre 2019, dans lequel
il a annoncé qu’il allait modi er pour la France l’af chage des actualités au sein de son moteur de recherche. Google a annoncé
qu’il supprimerait les extraits d’articles, les miniatures des photos et qu’il se contenterait des liens hypertextes donc qu’il se
conformerait aux exceptions prévues par la directive. Le but de Google était clairement d’adapter son service que de donner
un euro à des presses.
Le communiqué de presse est intéressant, ce n’est pas un hasard que Google était sévère avec la France puisque celle-ci était la 1e
à transposer la directive : c’était pour prouver aux autres EM que Google n’allait pas payer les agences de presse.
B) L’Article 17, nouvelle responsabilité pour les sites de partages

Cet article 17 vise ces grands acteurs du numérique, ces grandes plateformes qui gagnent bcp d’argent en exploitant des
contenus audiovisuel/ musicaux qui sont souvent des contenus qui violent le droit d’auteur. Ces plateformes (YouTube,
Page 41 sur 59
fi
fi
fi
fi
fi
fi
Dailymotion) ont une obligation qui est extrêmement limitée au regard de leur qualité juridique qui est une qualité d’hébergeur.
Ces plateformes gagnent de l’argent avec leur contenu en ligne.
Face à ce constat, on a développé les obligations des hébergeurs avec notamment l’obligation de supprimer des contenus
illicites une fois qu’ils ont été noti ées, mais aussi de maintenir hors ligne ces contenus (c’est l’arrêt Facebook CJUE du 3
octobre 2019). Malgré tout, cela ne suf t pas ! Ce régime des hébergeurs reste excessivement favorable, le problème se pose
devant les contenus haineux / sexuels etc. Mais cette irresponsabilité pose aussi problème en matière de droit d’auteur.
C’est pourquoi l’article 17 crée une nouvelle responsabilité. Cette responsabilité s’applique aux sites qui sont des services de
partage de contenu en ligne, ce sont des fournisseurs de services de partage de contenu en ligne. Qu’est-ce que c’est ? C’est un
« fournisseur d’un service de la société d’information dont l’objectif principal est stocke et donne au public l’accès à une
quantité importante d’œuvre protégé par le droit d’auteur ainsi que d’autres objets protégés qui ont été téléversés par ces
utilisateurs, qu’il organise et promeut à des ns lucratives ». Globalement, 3 choses clés :
-Ce sont les utilisateurs qui téléversent des contenus : c’est ce qui permet de quali er le service comme hébergeur au
point de vue juridique.
-L’opérateur doit avoir un but lucratif : cet article ne visera pas les services purement communautaires.
-L’opérateur joue un rôle d’organisation et de promotion : par exemple, de la part de YouTube il y a clairement un rôle
d’organisation et de promotion
Remarque : nalement on s’est peut-être trompé de combat, si il y a un rôle d’organisation et de promotion, on aurait dû dire dès le
début qu’on était en présence d’un opérateur ! C’est à l’époque ce qui avait été plaidé.
Dès lors qu’on a ces trois choses clés réunies, on va pouvoir appliquer l’article 17. Cet article dit que ces opérateurs sont
responsables de la mise à disposition des contenus téléversés, tjrs au sens du droit d’auteur. En d’autres termes on a en n
Google responsable des contenus qui violent le droit d’auteur et qui sont mis en ligne sur YouTube.
Mais l’article 17 comporte des exceptions, puisque cette responsabilité est écartée dans 3 hypothèses :
!Si l’opérateur a fourni ses meilleurs efforts pour obtenir une autorisation.
!Si l’opérateur a fourni ses meilleurs efforts pour garantir l’indisponibilité de ces matériaux
!Si l’opérateur a agi promptement des réceptions de la noti cation des titulaires de droits pour bloquer l’accès à ce
site et qu’il a fourni ses meilleurs efforts pour empêcher qu’ils soient de nouveau téléversé.
QUELLES SONT LES OBLIGATIONS IMPOSÉES À CES NOUVEAUX FOURNISSEURS DE PARTAGE DE

CONTENU EN LIGNE ?
-Ils vont simplement devoir rechercher un accord avec les titulaires de droit.
-Pour le reste, ils doivent simplement fournir leur meilleur effort pour réagir promptement pour faire
disparaitre les contenus qui violent le droit d’auteur.
En d’autres termes, ils n’ont ni à fournir les meilleurs efforts pour garantir l’indisponibilité de ces matériaux et à fournir
leur meilleurs efforts pour empêcher qu’ils ne sont téléversé.
On a un article 17 à géométrie variable : s’applique aux grands fournisseurs qui sont eux bien installés, et article 17,6 plus « light
» aux petits opérateurs que l’on va protéger pour permettre leur développement et leur permettre de venir concurrencer les grands
acteurs historiques.
Ces obligations allégés de l’article 17,6 sont à la fois pragmatique et cynique. Pq ? pcq c’est un aveu de l’UE qu’on est bien
conscient que les grands services en ligne, si elles sont si grandes et riches c’est pcq elles violent systématiquement le droit
d’auteur. Mais on est aussi conscient que si on interdit à tous le monde de violer le droit d’auteur, les gros vont rester gros et les
Page 42 sur 59
fi
fi
fi
fi
fi
fi
fi
petits ne vont pas savoir se développer.
Or que veut l’UE ? Elle veut de la concurrence, l’un des gros problème dans le numérique est qu’il n’y a pas de
concurrence. Et donc ce qu’on fait est que les nouvelles entreprises ont le droit de moins respecter le droit d’auteur que les
autres. Mais les défenseurs du droit d’auteur n’ont pas appréciés.
Une partie de la doctrine, qui en analysant cette directive, considèrent que cette directive amène à une situation paradoxale dans
laquelle ces hébergeurs ont plus des obligations vis-à-vis des droits d’auteurs que vis-à-vis des contenus haineux, diffamatoires,
injurieux etc. face à ces enjeux, il reste des hébergeurs avec des responsabilités extrêmement limitées ! Demain, le règlement
DSA va probablement venir renforcer ces obligations. Mais ajd la situation est paradoxale : un service comme Google a plus
d’obligation vis-à-vis des auteurs que vis-à-vis des contenus haineux et racistes.
Cet article 17 n’a pas été aussi vite transposé en France, ce nouveau régime de responsabilité a été transposé par une
ordonnance du 12 mai 2021 (transposition de cet article 17 à 23 de la directive). On est donc dans les délais juste : on avait
jusqu’au 7 juin pour transposer.
IV. QUELQUES PRÉCISIONS DE LA CJUE EN MATIÈRE DE PROPRIÉTÉ INTELLECTUELLE

Comme dans les autres domaines, la CJUE par sa JP a un impact fort sur l’application du droit que l’on étudie. La CJUE va
harmoniser par son interprétation. Certaines de ces JP sont importantes, c’est le cas de deux sujets parmi d’autres qui sont
majeures : La question du juge territorialement compétent et La dé nition de la notion de communication au public.
A) La question du juge territorialement compétent en matière de contrefaçon

C’est une question qui est fréquente quand on s’intéresse à des services en ligne pcq là aussi le numérique est disruptif (ne pas
mettre dans la copie d’examen). Pq ? pcq avant quand une contrefaçon était commise, cet acte avait une territorialité dans le sens
où si par exemple on gravait des musiques sur un CD et qu’on les revendait dans une boutique, c’était l’adresse de la boutique qui
était prise. Avec le numérique, un contenu contrefaisant va généralement être disponible sans limitation de lieu et sera d’ailleurs
souvent disponible dans plusieurs pays.
Quel est le juge compétent dans ce cas ? Spontanément on a envie de dire que n’importe quel juge est compétent, puisque le juge
est compétent dès que le contenu est disponible dans son ressort. On a envie de cette solution car elle est très avantageuse pour la
personne qui va ester en justice : elle pourra saisir la juridiction la plus proche d’elle à moins qu’elle ne préfère faire du forum
shopping, puisque si n’importe quel juge est compétent on pourra choisir sa juridiction. => c’est la solution adoptée par la CJUE
dans un arrêt du 3 octobre 2013 affaire C170/12 « Peter Pinckney ».
Contexte : Peter est un musicien qui habite à Toulouse et qui découvre que ses chansons ont été reproduites sans son accord par
une société autrichienne qui a pressé les CD puis commercialisé par des sociétés britanniques par l’intermédiaire de différents sites
internes. 3 scénarios possibles : compétence des juridictions françaises, juridiction autrichienne et juridiction anglaise. La CA de
Toulouse avait estimé que les juridictions françaises n’étaient pas compétentes au motif que il fallait prendre en considération le
lieu du domicile du défendeur, et qu’en l’occurrence le défendeur n’était pas français.
L’affaire fait l’objet d’une saisine de la Cour de cassation et d’une question préjudicielle posée à la Cour. La CJUE, au contraire de
la CA de Toulouse, jugeait que l’œuvre contrefaite est accessible via internet dans le ressort de la juridiction saisie ce qui
rend cette juridiction compétente. Cette juridiction n’est compétente cependant que pour le seul dommage causé dans le
territoire de l’EM dont la juridiction relève. La Cour de cassation va faire application de cette JP dans deux arrêts du même jour
du 22 janvier 2014.
La CJUE va enfoncer le clou dans une autre affaire du 22 janvier 2015, une affaire qui concerne la mise en ligne de
photographie sur un site internet. La CJUE estime que dès lors que les photographies sont accessibles dans un EM, dès lors
cette juridiction est compétente pour connaitre du litige. Tjrs, la juridiction sera compétente que pour le dommage effectué
sur le territoire de l’EM.
Page 43 sur 59
fi
B) La détermination de la notion de communication au public
Dans la directive de 2001, celle relative au droit d’auteur, est prévu que les EM prévoient pr les auteurs d’autoriser ou
d’interdire toute communication de leur œuvre au public y compris par la mise en disposition sur internet. Quand les
auteurs autorisent : élaboration d’un contrat, qui déclenchera la énumération des auteurs.
Reste à savoir ce que veut dire la « communication au public ». La CJUE a eu à connaitre de cette notion, et en a donné une
dé nition qui est très large et très extensive. La 1e JP est celle du 7 décembre 2006 C306/05 de la CJUE « SGAE ». Question
préjudicielle posée sur l’utilisation de télévision et de musique d’ambiance dans les hôtels. Est-ce que la mise à disposition
du public des contenus par les téléviseurs d’hôtel et par la insonorisation des espaces, est-ce que c’est la communication à
un public ? La CJUE répond positivement, oui c’est bien une communication à un nouveau public qui nécessite donc une
autorisation. Est-ce que c’est une solution cohérente ? Oui car nalement c’est un service dans l’hôtel que d’avoir une TV, ça
ajoute qqch, c’est un service supplémentaire de l’hôtel (on peut très bien s’en passer !) et ça va apporter de la plus-value à l’hôtel.
2e JP est celle de la CJUE qui rend un arrêt le 7 mars 2013 C607/11 « ITV go Casting », la question était de savoir si le
streaming vidéo est une nouvelle communication au public. Là encore, la CJUE répond af rmativement, quelque soit la forme
du streaming.
3e JP de la CJUE du 14 juin 2017 C610/15 « ZIGGO », dans cet affaire la question est de savoir si une plateforme de partage
(pair to pair) doit être considéré comme effectuant un acte de communication au public. Là encore, la CJUE répond par
l’af rmative. En l’espèce, il s’agissait d’une grande plateforme comportant des milliers de pair to pair.
4e JP de la CJUE du 7 aout 2018 C161/17 « « DRIK RENCKHOFF ». Dans cette affaire était en cause un site internet d’une
école qui mettait à disposition un exposé rédigé par une élève dans le cadre d’un atelier linguistique. Dans cet exposé, cette élève
avait inséré une photographie issu d’un site internet propriété de Drik Renckhoff. Ce Monsieur attaque le land en Allemagne pour
avoir commis un acte de contrefaçon et réclame 400e de DI.
La CJUE estime qu’effectivement en l’occurrence la notion de communication au public doit s’appliquer en l’espèce et qu’il a
donc bien communication au public du fait de cet acte de reprise sur un site internet tiers d’une photographie préalablement mise
en ligne. En l’espèce, la discussion reposait sur le fait que M. R. avait mis en ligne sa photo sur internet, nalement ce qu’à fait
l’école est de la republier. Mais la Cour précise que c’est sans importance, puisque justement l’auteur d’une œuvre doit pouvoir
mettre n à tous moment à son exploitation sous forme numérique. Ce qui signi e que l’auteur d’une œuvre doit pouvoir
interdire toute utilisation future de son œuvre sous forme numérique, sous peine que cette œuvre lui échappe.
La CJUE a adopté une vision extrêmement large de la communication au public. En adoptant cette vision large, elle a renforcé
la protection des auteurs ! Au point d’ailleurs que cette attitude a été critiquée par ceux qui défendent la liberté d’exploitation des
œuvre en ligne, dans lesquels on retrouve les géants du numérique qui valorisent ces œuvres et gagnent de l’argent avec.
Parenthèse : en même temps que se développait ces notions protectrices de l’auteur, est né aux USA la notion des « creatives
commons ». Ce sont des licences d’utilisation et de réutilisation des œuvres qui prennent la forme de petit logos que l’on peut
apposer en tant qu’auteur sur une œuvre que l’on veut diffuser. Cette notion est une forme d’application des logiciels libres aux
œuvres. Les creatives commons permettent par exemple d’indiquer que l’on ne veut pas d’utiliser lucrative de notre œuvre. Ces
licences sont toutes des dégradations du droit d’auteur : rien ne protège mieux notre œuvre que de ne rien faire et de faire valoir
notre droit d’auteur. Ces licences ont été développé aux USA, dans le milieu universitaire, Californie => ça sent l’emprunte des
géants du numérique. Comme nalement une manière de lutter contre la dé nition très large de la dé nition de « communication
au public » par la CJUE.
Il y a des limites à cette interprétation large de la communication au public. La CJUE a rendu le 2 avril 2020 C763/18
« STIM » qui soulève la question de savoir si la location d’un véhicule équipé d’un poste de radio, est-ce que ça constitue un
acte de communication au public ?
La question est importante : si la CJUE avait répondu favorablement, ça aurait signi er que tous les loueurs de véhicule auraient
dû payer les sociétés de gestion collective pour avoir le droit de louer ces véhicules.
La CJUE répond sans grande suspens par la négative ! Et pour arriver à cette ccl, la CJUE explique que ce sont des particuliers
qui louent majoritairement ces véhicules, qui les utilisent à des ns personnels, avec des membres de la famille et qui vont donc
recevoir les programmes de radio exactement comme à domicile ! En d’autres termes, il n’y aurait pas de nouveau public =>
motivation bancale mais de bon sens. Cette solution en s’applique que dans les hypothèses qui sont des hypothèses d’utilisation à
Page 44 sur 59
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
des ns privées/ familiales des voitures de location. Si un chauffeur de taxi mets de la musique dans son véhicule, on retombe dans
la logique de la JP de 2006 : c’est un service additionnel qui n’est pas nécessaire.
Aujourd’hui sur ce sujet-là on est en retard, la SACEM (société des auteurs, compositeurs et éditeurs) réclame des paiements
quand sont insonorisés des bus / transports scolaires. Cela est prévu et il y a des contrôles. Par contre, elle n’est pas vraiment
exigeante s’agissant des taxis car en terme de contrôle c’est compliqué ! En Belgique, la SABAM elle applique des redevances
dans les taxis et VTC de 41e par an.
Conclusion
On a au niveau de l’UE une protection des auteurs qui est globalement efficace notamment à travers de la définition très large
de la communication au public. Cette protection efficace on l’a développé depuis une vingtaine d’année puisque c’est un enjeu
économique (but : protéger le marché unique). C’est une protection pragmatique avec notamment des actions, des procédures
dédiés (au saisi contrefaçon).
Le problème est celui posé par ces « hébergeurs » qui vivent très largement de la contrefaçon. Que cela soit des plateformes
de pair to pair, ou que ce soient les grandes plateformes contre lesquels la directive de 2019 essaye de lutter sans pour autant que
cela soit d’une très grande efficacité, puisqu’elle comporte quand même bcp de zone de flou (notamment avec les best efforts
qui seront exploités en justice).
Il faut aussi parler de la stimulation de la création. La propriété intellectuelle est aussi un marché qu’il faut savoir stimuler. Ce
n’est pas tout de taper contre les acteurs qui contrefont, mais il faut encourager les offres légales.
Il faut stimuler l’importance de la directive 2018/1808 SMA du 14 novembre 2018. Elle comporte un article 13 qui crée des
quotas applicables aux fournisseurs de service de médias. Ces fournisseurs quand ils fournissent des médias audiovisuels à la
demande, doivent proposer au moins 30% d’œuvre européenne dans leur catalogue et doivent garantir une mise en valeur
de ces œuvres. Concrètement, cette directive impose à Netflix, Amazon de respecter l’exception culturelle européenne et
d’intégrer des œuvres européennes. Cette directive de 2018 n’est qu’une directive, les EM ont la possibilité de renforcer ces
obligations.
C’est exactement ce qu’il s’est passé avec le décret du 22 juin 2021 « SMAD » (service de média audiovisuel à la demande) qui
est entré en vigueur le 1e juillet 2021 et qui s’applique à tous les éditeurs de SMAD qui sont établis en France ou qui diffuse
leur programme en France au-delà de 10 œuvre cinématographique ou audiovisuel. Concrètement cela vise donc des services
comme Amazon Prime, Canal +, Netflix etc. Quant aux plateformes de partage de vidéos, comme YT, ce ne sont pas forcément
des SMAD mais peuvent le devenir s’il y a une logique éditoriale.
Ce décret va plus loin que la directive. La directive vise un pourcentage d’œuvre et pas un pourcentage d’investissement en
chiffre d’affaires. En France, on a décidé d’imposer ce plancher de 30% mais aussi d’imposer une obligation de contribution au
développement de la production d’œuvre cinématographique européenne.
Selon le décret, les services de SMAD doivent consacrer entre 20 et 25% de leur chiffre d’affaires à la production d’œuvre
cinématographique et audiovisuelle européenne et 85% de ces sommes doit être affecté spécifiquement à des œuvres françaises.
Évidemment, lever de bouclier de la Commission européenne qui estime que c’est scandaleux car la France a modifié l’esprit de la
directive.
Ce décret pose deux problèmes essentiels :
" Comment on calcule le chiffre d’affaires ? Si l’UE a été prudente en s’intéressant simplement au volume des
œuvres c’est pcq les SMAD ne sont pas tjrs très transparent en ce qui concerne leur chiffre d’affaires, et que pour certains
services, la définition du chiffre d’affaires réalisé pays par pays n’est pas tjrs en réalité extrêmement facile.
" Entre 20 et 25% : le décret fixe une fourchette, ce qui amène la question de qui va contribuer à hauteur de 25%. On
a fixé une fourchette car on a voulu laisser au ministère de la culture de négocier une contribution variable en fonction d’avantage
en termes de chronologie des médias.
L’idée est la suivante : ajd un film est soumis à une chronologie des médias, celle-ci veut qu’il soit diffusé d’abord en salle, puis
en DVD et en téléchargement licite, puis sur des chaines de TV premium, et enfin à la TV et sur les services de VOD.
Concrètement, un film est dispo en VOD 36 mois après sa sortie en salle. Cette chronologie des médias a été pensé pour
protéger les intérêts économiques des acteurs économiques. Cette chronologie des médias va être aménagée en fonction des
chiffres d’affaires reversés à la production française. En gros, si on verse que 20% on gagne – de mois sur la chronologie des
médias. Or pour Netflix pour pouvoir rapidement mettre des nouveaux films a décidé de prendre 25%. Ce que veut Netflix est que
si un film ou une production audiovisuelle est financé par ses soins, et que ce film sort en salle, il doit être dispo sur sa
plateforme après 12 mois. Le souci est que Netlfix s’est engagé et depuis le ministère de la culture ne dit plus grand-chose. A tel
point que le 24 aout N a déposé un recours gracieux contre le décret. Accusant ce décret de ne pas être précis, ce recours
Page 45 sur 59
fi
gracieux n’a pas fait l’objet d’une réponse du ministère de la culturel (silence vaut refus), cela veut dire qu’on est un délai de
recours potentiel face à un refus
Page 46 sur 59
Fiche n°6 : l’intelligence artificielle
C’est un sujet autour duquel il y a eu bcp d’actualité qui occupe largement à la fois le Conseil de l’Europe comme l’UE pcq l’IA
soulève des interrogations à la fois s’agissant des DH, des libertés (angle Conseil de l’Europe) mais aussi des problématiques
économiques (de marché, lié à la compétitivité = UE).
I. QUELQUES PRÉCISIONS SÉMANTIQUES

C’est un sujet tout sauf récent. L’IA on en parle depuis les années 50, le terme même d’IA né en 1956 sous le clavier d’un
chercheur américain John McCarthy qui présente dans la conférence de Dartmouth un principe informatique et algorithme
d’élagage alpha béta qui est un algorithme d’évaluation qui joue un rôle important sur le développement de l’IA (notamment dans
le domaine des jeux d’échec). En 1970, il reçoit le prix Turing qui est un prix accordé à une personne pour sa contribution à la
communauté informatique.
Si l’IA est à la « mode » aujourd’hui c’est pcq ces applications industrielles ont énormément évoluées. Ces applications sont
variées et nombreuses, que cela soit la conduite autonome de véhicule, de métro, d’avion, que cela soit aussi dans le domaine
de la surveillance avec la reconnaissance faciale, la reconnaissance de comportement anormaux. Mais aussi dans le domaine
des tchat bot (robots qui nous parlent). Que cela soit aussi dans l’analyse d’image médicale, radio ou scanner, où là clairement
l’IA fait des progrès fulgurants. Ajd l’IA est un vrai marché industriel. Un des leaders mondiaux s’appelle IBM, si ajd on parle
des GAFAMI au lieu des GAFAM est à cause de l’importance de l’IBM. => l’IA est ajd un marché économique !
Derrière l’IA il y a aussi une grande diversité structurelle. L’IA est un terme de communication. La réalité derrière le mot l’IA
est plurielle. L’IA peut par exemple reposer sur l’apprentissage supervisé, cad que l’humain va apprendre au programme à
reconnaitre certains objets, à savoir quand il fait bien ou quand il fait mal. D’autres reposes sur l’apprentissage profond et le réseau
de neurone, ici l’algorithme va être réellement susceptible d’apprendre tout seul, de créer.
Le deep learning semble être la vraie IA : cela suppose que l’algorithme apprenne des infos enregistrées de ses expériences et
adaptent sa façon « penser ».
Ex : a appris a un algorithme de distinguer un chat et un chien, pour arriver à ce résultat on a montré des photos de chats / chiens et
on lui a dit à chaque fois tu as raison ou tort. L’algorithme va être capable d’utiliser certaines variables, d’ajuster leur importance
pour arriver au bon résultat.
Ce que va faire l’algorithme est de comprendre par lui même que les chats ont des oreilles généralement triangulaires, il va donner
un certain poids à cette variable et qu’il va lui même se doter d’outils lui permettant d’identi er cette variable, il va apprendre à
reconnaitre les triangles et estimer que s’il a reconnu 2 objets triangulaires ressemblant à des oreilles alors la probabilité d’un chat
sera de tel % = Un réseau neuronal.
Ce deep learning simule l’intelligence humaine, l’humain prend des critères de formes / taille / sons pour distinguer si est un choix
ou chien.
Ce deep learning pose des problèmes d’un point de vue juridique différent parce que c’est un algorithme basique, forgé par
l’homme intégralement parce que cet algorithme là on ne sait pas forcément l’expliquer. Ne sait pas forcément expliquer comment
l’algorithme dé nit le chat ou le chien, sait juste que ça fonctionne correctement.
En 2016, Alphago de Google a réussi à battre les meilleurs champions, le jeu de go contrairement aux échecs nécessite de la
créativité, comment Alphago a gagné, dif cile parce que ne savent pas l’expliquer, a ni par créer sa « propre » intelligence.
1. Est ce que c’est vraiment une intelligence ?

Il y a une réelle lenteur d’apprentissage, a besoin de beaucoup d’images, contenus, données pour que l’algorithme arrive à des
résultats satisfaisants. Le co-créateur de Siri a expliqué que pour entraîner un système a reconnaitre des chats il avait fallu donner
100 000 images de chats (apprentissage supervisé) le taux de réussite était de 95%, bien mais - qu’un humain.
L’intelligence est quelque chose qui est par essence d’ordre multiple, il n’y a pas qu’une intelligence. Qu’est ce que ça veut dire
de considérer quelque d’intelligent ? 80s, Gardner en 1983 a publié un livre sur la théorie des intelligences multiples, il
critique dans ce livre l’usage des thèses d’intelligence utilisés de manière massive, il explique que cela n’est pas pertinent pour
tous les élèves, pour lui il y a plusieurs intelligences. Dans son premier livre en compte 7, plus 2 de plus. Ces intelligences sont par
Page 47 sur 59
fi
fi
fi
fi
ex linguistiques, mathématiques, musicale, corporelle, intra-personnelle (capacité à nouer des relations avec d’autres personnes)
qui pourrait être la + importante. Cette intelligence intra personnelle suppose la possibilité de comprendre l’autre, une forme
d’empathie dont une machine n’est pas capable.
Facteur éthique morale : dans notre société est important, vient dénoter culture / éducation, différente d’une personne à l’autre,
l’IA au stade actuel de son développement on peut en douter. Cela questionne quant à son comportement.
Ex : si a un véhicule avec une conduite autonome et que le véhicule se trouve dans un accident inévitable et qu’il y a des options
d’accidents : doit foncer dans un mur pour ne pas tuer les passants ou choisir de tuer les passants plutôt que moi ?
En faisant une analyse froide comme une IA elle va considérer qu’une mère X enfant est + grave qu’une personne âgée, me
prendre le mur l’accident risque d’être fatal pour le conducteur est passager donc la grand-mère va die.
En tant que conducteur d’un véhicule on fera tout pour éviter de tuer quelqu’un au risque de se mettre soi même en danger.
Le mot intelligence ne semble donc pas si correct.
2. Cette intelligence est elle vraiment artificielle ?

Peut douter de cette arti cialité, la plupart de ces algorithmes sont des algorithmes apprenants qui apprennent grâce à l’homme,
l’arti cialité apparait que quand il y a du deep learning, réseaux neuronaux où il y aune forme d’arti cialité.
Aujourd'hui les algorithmes apprenant sont quali és d’IA alors qu’est pas totalement correct.
L’UE a aussi quelques dif cultés avec le terme d’IA et ne partage pas cette expression.
II. QUELQUES PRÉCISIONS SUR LES ENJEUX JURIDIQUES AUTOUR DE CETTE IA.
l’IA soulève de nombreux questionnements juridiques, d’abord le 1er sujet est la question de la responsabilité. Cette question est
centrale, globalement quand on a une nouvelle technologie on aime bien ré échir par assimilation, analogie avec des règles
juridiques pré-établies, des règles qu’on connait bien.
3 scénarios :
-responsabilité du concepteur de l’IA : logique des produits défectueux, une IA devrait bien fonctionner sinon elle est
défectueuse et donc le concepteur serait responsable.
-raisonner par le régime de la responsabilité du fait des choses que l’on a sous sa garde : est responsable des
dommages que l’on cause + des dommages causés des personnes dont on doit répondre ou des choses que l’on a sous sa garde.
Pourquoi de ne pas considérer sur la base de ce principe que l’utilisateur de l’IA en est le gardien donc en est le responsable.
-pourrait considérer que l’IA devrait avoir sa propre personnalité juridique : l’IA deviendrait une personne morale.
Elle aurait son propre patrimoine.
Ces scénarios amènent des responsabilités différentes et des pdvs différents. Cette question de la responsabilité doit et sera
tranchée, l’UE a mis un projet de texte qui permettra d’avoir un texte clair sur cette question. En attendant cette réponse claire un
certain nombre de projets industriels sont limités, le Droit freine l’innovation.
Ex : conduite autonome des véhicules. Globalement, est a peu près opérationnel depuis 6/7 ans. Quel est le frein ? Est juridique,
par exemple Tesla a du renommer son système parce que auto-pilote en terme de responsabilité cela laissait croire qu’il y avait
réellement une capacité de conduire autonome alors que doit régulièrement toucher le volant régulièrement pour montrer que reste
maitre de son véhicule parce que démontre qu’est toujours responsable.
Ainsi, le constructeur du véhicule est handicapé parce que a fait une technologie qu’il ne peut pas vendre parce que ne peut pas
l’utiliser juridiquement.
Le problème est le même avec beaucoup d’autres IA : dans le domaine médical, IBM a développé une IA Watson dans le
domaine médical, l’IA est capable de diagnostic dans des domaines comme cancérologie, radiologie classique avec une
performance meilleure que celle de l’humain d’après les spécialistes. Concrètement, aujourd'hui ce qui fait qu’on a toujours des
Page 48 sur 59
fi
fi
fi
fi
fl
fi
humains est la question de la responsabilité parce que doit avoir un responsable. En pratique beaucoup d’images sont réalisées
par une IA.
Après la question de la responsabilité, il y a la question de la remise en cause par l’IA de la puissance publique, la question de
la souveraineté. l’IA à la capacité de remettre en cause les fondements même de notre contrat social parce que elle est capable
d’intervenir dans des domaines qui en principe réservé à la sphère régalienne (domaine de la sécurité publique avec les vidéos,
système juridique avec des systèmes qui aident les magistrats, administration).
Ex : video protection intelligente répond à une problématique qui est très facile à comprendre, il y a dans de nombreuses villes
l’installation d’un nombre élevé de caméras (Nice). Juridiquement, ce type de surveillance de l’espace public n’est en principe pas
déléguante au privé mais seulement déléguer l’installation des caméras, les fournitures. Le visionnaire t la surveillance effective de
l’espace public n’est pas déléguable au privé.
Pour autant, on estime qu’un humain peut regarder 16 écrans à la fois, donc pour quelques milliers de caméras il faut une centaine
d’agents ce qui est impossible parce que trop cher, et la plupart de ces agents vont s’ennuyer parce que beaucoup d’endroits où ne
se passent rien. Comme ne peut pas déléguer au privé il faut utiliser une IA qui va analyser les ux numériques en temps réel X
dans ces ux va rechercher des comportements anormaux, certains objets (couteaux, armes à feu). L’analyse sait aussi étudier des
scènes pour voir des comportements anormaux.
L’IA est capable de montrer aux opérateurs uniquement les images susceptibles de révéler des infractions. La surveillance
de l’espace publique ne se délègue pas mais en l’occurence c’est comme si était le cas, certes pas à une personne privée mais
par un algorithme développé par une entreprise privée.
Quand l’algorithme signale quelque chose et qu’il y a une interpellation qui a décidé de ce signalement ? Un algorithme
développé par une entreprise privée qui a engendré l’interpellation. Parfois l’algorithme a été auto-apprenant et ne sait même pas
comment il fonctionne = sujet de l’exploitabilité de l’algorithme, quelqu’un sera signalé mais parfois personne ne sera capable
d’expliquer pourquoi cette personne a été signalée.
Predpol (cf cours) : fulloscopie, peut-on prédire les futurs crimes ?, parle dans cette vidéo parle de Predpol. Fonctionne comme
les répliques sismiques. Été a la base un système développé par des universitaires, plusieurs services ont acheté cette solution qui
avait été remise en cause à cause de biais dans l’apprentissage : le système va envoyer des policiers là où il y a le + de crimes X
délits. Le système va envoyer + de policiers qui vont ampli er le biais parce que vont constater toujours + de crimes X délits donc
intensi e les policiers dans les quartiers des minorités.
Le risque que font peser ces algorithmes surtout quand ils se développe sans contrôle de la puissance publique est que
parfois la sécurité peut être remise en cause.
Dans le domaine de la justice il y a de la même manière des solutions qui se développent et créent le même nombre de problèmes :
des magistrats ont développés leurs propres solutions d’aide à la rédaction de solutions pour gagner du temps donc ces décisions
ne sont plus totalement rendues par un humain mais assistés par une machine.
Parfois des problèmes de droit d’auteur, l’IA peut elle créer des oeuvres ? Cf to oeuvre d’art.
Question de la protection des DACP : pour entrainer l’IA il faut beaucoup de données, ces données peuvent être parfois
personnelles mais pas toujours. Pour la reconnaissance faciale, on en a besoin.
Face à un problème de régime industriel majeur, des entreprises tels que Thalès pour entrainer leurs entreprises ont besoin e
beaucoup de données qui sont généralement des données personnelles. Les ingénieurs ce qu’ils veulent est disposer de base de
données d’images importantes; plus ils ont d’images plus ils sont capables d’af ner l’algorithme. Ils n’ont pas le droit ils
doivent faire ces tests sur des cobayes, cela limite énormément les possibilités de développement de ce type d’IA.
En Asie, toutes ces questions ne se posent pas.
A certains égards l’IA peut être une aide, peut déstructurer complètement le monde du travail. Est ce que les médecins auront
encore un travail, les CV seront peut être balayés par une IA qui pré-sélectionnera des types de candidats. Quels freins doit être
posé pour préserver l’accès au marché du travail. Quid de la dignité de la personne humaine ?
La question de l’explicabilité des algorithmes et de la transparence des algorithmes : le fait qu’on soit capable de savoir
expliquer comment avec des données d’entrée on est arrivé aux données de sorties, par quelle logique / raisonnement ces
données d’entrée ont données naissance à ce résultat de sortie. Pour un certain nombre d’algorithme il y a un certain nombre de
critères qui seront sélectionnés.
Page 49 sur 59
fi
fl
fi
fi
fl
Dans une logique de deep learning c’est l’algorithme lui même qui va dé nir des critères et qui va les pondérer. Ces critères ont
encore du mal à être expliqués par les humains, des IA fonctionnent en boite noire, des IA dont la logique d’apprentissage /
critères / pondération des critères n’est pas connue ou très dif cile à connaitre. Si on veut contester une décision prise par l’IA
on a besoin d’attaquer ces critères, mal pondérés, pas pertinents… l’explicabilité de l’algorithme est nécessaire pour pouvoir
attaquer les décisions qui résultent de l’algorithme.
Le dé majeur est d’être capable aujourd'hui d’opérer cette quadrature du cercle entre d’un côté la performance de
l’algorithmes de l’autre son explicabilié puis sa sécurité.
Un algorithme performant n’est pas nécessairement explicable et un algorithme explicable bride aussi sa performance.
Pour la question de la sécurité, trop de transparence peut y nuire. Un algorithme qui détecte des comportements anormaux sur
des images de video protection s'il est totalement transparent on sait aussi le contourner parce que on connait ses faiblesses. D’un
point de vue juridique l’exploitabilité et la transparence sont majeurs.
QUE FAIT L’UE, LE CONSEIL DE L’EUROPE ?
III. LES ORIENTATIONS DU CONSEIL DE L’EUROPE ET DE SES ORGANES.

Pour le Conseil de l’Europe, l’intelligence arti cielle est un sujet fort. A tel point que sur le site du Conseil de l’Europe, on
retrouve une partie du site spéci quement dédiée à ces problématiques. Le Conseil de l’Europe a notamment créé un comité dédié,
le « Comité ad-hoc sur l’intelligence arti cielle » (CAHAI). Il s’agit d’un comité intergouvernemental formé d’experts qui sont
chargés d’étudier l’élaboration d’un cadre juridique en matière d’intelligence arti cielle, avec comme objectif la protection des
droits de l’homme, de la démocratie et de l’Etat de droit, à la lumière des dé s de l’intelligence arti cielle.
Ses travaux ont commencé avec des travaux collectifs et des ré exions entamées en 2021, et qui se sont concrétisés par une
conférence internationale sur les dé s actuels et futurs des politiques coordonnées en matière de réglementation de l’IA qui s’est
tenue le 26 octobre 2021 (sur le site du Conseil de l’Europe).
En la matière, cette conférence a spéci quement porté sur la conception de bonnes pratiques pour encadrer l’IA, dans une
perspective durable, et de se concentrer en particulier sur les effets sociaux de l’intelligence arti cielle (notamment la question de
la potentielle surveillance algorithmique).
Tout cela a pour but de créer un cadre normatif, une véritable convention, comme la convention 108 en matière de protection
des données personnelles. En attendant d’avoir une convention un jour, on a déjà un certain nombre de recommandations, de
chartes... qui ne sont pas des outils contraignants, mais qui sont les prémisses de quelque chose qui sera demain une probable
convention. Ces réponses thématiques interviennent dans des domaines de prédilection du Conseil de l’Europe : les droits de
l’homme et la justice.
A. L’intervention du Conseil de l’Europe dans le domaine des droits de l’homme

Dans le domaine des droits de l’homme, on a assisté à une évolution importante en 2020.
Une recommandation du Conseil des ministres d’avril 2020 (Recommandation sur les impacts des systèmes algorithmiques sur les
droits de l’homme, lien sur Moodle). Dans cette recommandation, il est conseillé aux gouvernements des Etats membres de veiller
à la transparence des décisions prises par des algorithmes, de veiller à ce qu’existent des recours effectifs contre ces décisions.
La recommandation conseille également que soient réalisées des études d’impact sur les droits de l’homme. La recommandation
encourage également à veiller à la non-discrimination, notamment au biais algorithmique qui pourrait engendrer des
discriminations. Tous ces principes, toutes ces recommandations, doit s’appliquer à la fois aux Etats membres eux-même, mais
aussi aux acteurs publics comme privés qui pouvaient mettre en oeuvre de tels algorithmes.
Cette recommandation précise que la responsabilité de l’Etat ou du secteur privé peut être engagée si ces principes ne sont pas
respectés. Le point 10 de la recommandation à cet égard est très intéressant : « Lorsque les systèmes algorithmiques sont
susceptibles d’avoir un impact négatif sur les droits de l’homme d’un individu, d’un groupe particulier, ou sur l’ensemble
de la population, y compris sur les processus démocratiques ou l’Etat de droit, ces impacts engagent les obligations des
Etats et les responsabilités du secteur privé vis-à-vis des droits humains ».
On a ici une obligation qui est donc très large. Et en lisant cette recommandation, cela fait écho à un certain nombre de
problématiques contemporaines : les enjeux du ltrage de contenu par un certain nombre de services, et notamment par les réseaux
Page 50 sur 59
fi
fi
fi
fi
fi
fi
fi
fi
fl
fi
fi
fi
fi
fi
sociaux. Et effectivement, de tels algorithmes qui créent un phénomène de bulle ltrante, cet algorithme va avoir pour effet de
polariser potentiellement la société, de créer une chambre d’écho (confortation des opinions). On a là les prémisses de ce que
pourrait être une responsabilité accrue des plateformes, des réseaux sociaux, en matière d’utilisation d’algorithmes. On pense
aussi par exemple aux enjeux des algorithmes de surveillance : par exemple la reconnaissance faciale, surtout si elle est
accompagnée d’un système de « scoring », comme en Chine.
A noter que en France, nous avons déjà rencontré en jurisprudence cette problématique, et pas n’importe où : au niveau
constitutionnel dans le cadre d’une décision du Conseil constitutionnel du 12 juin 2018, qui porte sur la modi cation de la loi
informatique et libertés suite à l’adoption du RGPD. Et le Conseil constitutionnel a notamment été saisi sur la manière dont on
a « transposé » les enjeux relatifs aux algorithmes.
Et dans le cadre de sa décision, le Conseil constitutionnel a d’abord souligné l’importance de la transparence des algorithmes,
notamment quand ils sont utilisés par l’administration, et en soulignant que l’administration ne doit pas utiliser comme seule
base d’une décision administrative individuelle un algorithme auto-apprenant. En effet, s’il est auto-apprenant, il n’y a pas de
transparence, et comme on est censé pouvoir faire un recours, on est censé avoir la possibilité de contester cette décision, et il
faut pour cela pouvoir contester les motifs, ce raisonnement. Si ce raisonnement n’est pas connu, il va être dif cile d’attaquer
la décision prise sur la base de cet algorithme. Et donc, en droit interne, c’est déjà une question qui a été dans le débat, et qui a
été tranchée par le Conseil constitutionnel.
Il y a également, dans le domaine des droits de l’homme, les travaux de l’Assemblée parlementaire du Conseil de l’Europe
(L’Assemblée parlementaire est une assemblée composée de différents parlementaires composés par les parlements nationaux des
47 Etats membres, au total il y a 324 parlementaires, et cette assemblée se réunit 4 fois par an à Strasbourg pendant une semaine,
le temps de débattre de sujets d’actualité, d’élaborer des rapports, et d’adopter au nal des résolutions. C’est un organe dont le
terme est mal choisi, car ce n’est pas un organe législatif : c’est un « simple » organe de discussion). Il a adopté le 20 octobre
2020 une série de résolutions et de recommandations portant sur l’intelligence arti cielle. Au programme de ces
recommandations et résolutions, 7 grandes thématiques :
-la gouvernance démocratique de l’intelligence arti cielle
-la prévention des discriminations
-la justice par algorithme
-l’intelligence arti cielle dans le domaine de la santé
-l’intelligence arti cielle et les marchés du travail : amis ou ennemis ?
-les véhicules autonomes
-l’interface cerveau-machine.
L’idée, c’est que tout cela débouche à terme vers un texte général, une convention.
B. L’intervention du Conseil de l’Europe dans le domaine de la justice

Ce domaine intéresse le Conseil de l’Europe, car il y existe un organe dédié à la justice : c’est la CEPEJ : la Commission
européenne pour l’ef cacité de la justice. Et cette CEPEJ a adopté deux textes importants : d’abord les 3 et 4 décembre 2018
a été adoptée une charte éthique européenne d’utilisation de l’IA dans les systèmes judiciaires et leur environnement avec
un certain nombre de grands principes développés dans cette charte, 5 principes :
-le respect des droits fondamentaux (avec une approche d’éthique dès la conception du produit)
-le principe de non-discrimination
-le principe de qualité et de sécurité (notamment en ce qui concerne les sources qui sont utilisées, les décisions de
justice qui sont utilisées)
Page 51 sur 59
fi
fi
fi
fi
fi
fi
fi
fi
fi
-le principe de transparence, de neutralité et d’intégrité intellectuelle (éviter les boîtes noires, faire
en sorte que l’algorithme soit transparent).
-le principe de maîtrise par l’utilisateur.
Le 8 décembre 2020, la CEPEJ a adopté une étude de faisabilité pour la mise en place éventuelle d’un mécanisme de certi cation
des outils d’IA, et spéci quement des outils d’IA dans le domaine de la justice. Depuis, les travaux sont en cours, mais cette
démarche est intéressante : si elle était fructueuse, le Conseil de l’Europe pourrait être pionnier en matière de certi cation
d’intelligence arti cielle. Et c’est a priori extrêmement prometteur.
Le RGPD accorde une place très importante à la certi cation. Et pour l’IA, il est tout à fait possible que la certi cation devienne
un outil de conformité.
La certi cation, c’est un audit, généralement mené par une entreprise privée qui va venir véri er le respect d’un certain nombre
de contraintes qui ne sont pas des contraintes de pur droit positif, mais qui sont des contraintes qui vont au-delà du droit positif. Le
domaine dans lequel la certi cation a le plus été utilisé est le domaine agro-alimentaire, avec des certi cations liées à
l’agriculture biologique, liée à des labels (label rouge par exemple) ou à des engagements sociaux (commerce équitable par
exemple). Dans tous ces domaines, la certi cation engendre l’attribution d’un label. Et ça marche plutôt bien : beaucoup de
consommateur vont acheter des produits labellisés sans savoir d’ailleurs quelle certi cation est attachée à ces produits.
Aujourd’hui, de plus en plus de textes prônent cette certi cation, car c’est une manière d’encourager les fabricants, les
producteurs, à mettre en place de bonnes pratiques et à valoriser économiquement ces bonnes pratiques. C’est une forme de soft-
law, d’encouragement.
Cette certi cation est une démarche volontaire, volonté d’apporter une plus-value caractérisée par un label.
Mais parfois, la certi cation c’est aussi la délégation du contrôle de la conformité à un organisme privé. Et dans ce cas, on est
plus dans quelque chose qui est de l’ordre de la soft law, mais on est bien dans le contrôle de la conformité. L’exemple est celui
des certi cats de navigabilité, que ce soient d’ailleurs de bateaux ou de navigabilité aérienne. Quand on monte dans un airbus,
celui-ci a fait l’objet d’un certi cat. Qui a procédé à cette certi cation ? C’est un organisme privé qui, par délégation de la
puissance publique, accorde ces fameux certi cats de navigabilité. Par exemple, Bureau Veritas a délégation de la puissance
publique pour délivrer des certi cats, et béné cie donc d’une délégation de puissance publique dans ce cadre.
A certains égards, la certi cation est aussi un voeu d’impuissance. C’est quelque chose qu’on aime bien prôner quand le droit
positif n’est pas suf sant. Par exemple, en matière de cybersécurité, les obligations sont des obligations assez récentes (les OIV en
France et les OSE au niveau européen). Mais encore une fois, ce sont des règles qui ne s’appliquent qu’à certains opérateurs. Et
pour les autres ? Il y a des règles ISO, qui sont des règles de certi cation : on accepte en tant qu’entreprise de se dire que la
cybersécurité c’est important, et donc on va payer une entreprise pour se faire certi er ISO. Ainsi, il ne faudrait pas que la
certi cation devienne un prétexte pour ne pas légiférer.
IV. LES ORIENTATIONS DE L’UNION EUROPÉENNE (2017-2020)

Sur cette période 2017-2020, l’Union européenne s’est mis assez subitement à s’intéresser fortement aux thématiques liées à
l’intelligence arti cielle, notamment avec comme point de départ un rapport, déposé le 27 janvier 2017, par une euro-députée
Mady Delvaux : euro-députée luxembourgeoise qui a déposé au Parlement européen un rapport, qui est resté un rapport fondateur,
concernant plus particulièrement le droit civil et la robotique. Ce rapport dit notamment qu'il faudrait créer un régime d’assurance
robotique avec une police d’assurance pour les robots autonomes, qui devrait être souscrite par le fabriquant du robot, et que ce
mécanisme assuranciel pourrait être compensé par un mécanisme de fonds d’indemnisation.
Ce rapport a eu le mérite de déclencher des débats sur la nécessité impérieuse d’agir rapidement sur le sujet de l’intelligence
arti cielle.
Première étape : 25 avril 2018.

La présentation, par la Commission, d’une stratégie en matière d’intelligence arti cielle. Une stratégie visant à augmenter les
investissements de l’Union dans la recherche en matière d’intelligence arti cielle, ce qui va concrètement se caractériser par le
développement de projets de recherche autour de ces problématiques. Et depuis quelques années, il y a de plus en plus de projets
de recherche nancés par l’Union européenne. Parmi ces outils, l’UE nance des projets « Horizon Europe » : ce sont des projets
de recherche qui mélangent entreprises privées et acteurs institutionnels de la recherche (universités).
Page 52 sur 59
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
Ensuite, elle a travaillé sur un certain nombre d’exigences éthiques et juridiques. Et cela a donné naissance, le 8 avril 2019, a
des lignes directrices pour une IA de con ance avec un certain nombre de thématiques, d’enjeux étudiés, avec à chaque fois des
recommandations. Et on retrouve les sujets liés à la responsabilité, à la transparence, à la vie privée, au contrôle humain, à la
sécurité, à la non- discrimination, etc.
Puis les choses se sont accélérées : le 12 février 2020, le Parlement européen a pris une résolution relative aux procédés de prise
de décision automatisé, avec une focale sur la protection du consommateur et la libre circulation des biens et des services. Et en
parallèle, le 19 février 2020, la Commission a élaboré et publié un livre blanc sur l’intelligence arti cielle, qui constitue d’une
certaine manière les prémisses d’une future réglementation.
Que dit ce livre blanc et quelles sont les questions qu’il soulève ? D’abord, ce livre blanc propose une véritable dé nition de
l’intelligence arti cielle, ce qui est en réalité bien plus complexe et audacieux qu’on pourrait l’imaginer, car il n’y a pas de
consensus sur ce qu’est une intelligence arti cielle et comment on doit la dé nir. Effectivement, pour la première fois, on a les
prémisses de dé nition, avec une indifférence de forme de l’intelligence arti cielle : pour l’UE, elle peut prendre la forme d’un
robot (solution hardware), ou aussi d’un logiciel (solution software). Et pour le reste, l’IA est dé nie par une nalité : l’IA reçoit
un objectif complexe, des moyens déterminés (le fait pour l’IA d’acquérir des données, de les interpréter, et des moyens qui
reposent sur une logique probabiliste : elle va déterminer la meilleure action à prendre pour atteindre l’objectif donné).
L’objectif posé en 2020 par l’UE est de nancer cela pour un total de plus de 20 milliards d’euros par an pendant 10 ans, le
but étant donc que l’UE devienne un champion mondial de l’IA en stimulant la recherche dans le domaine.
Au passage, on peut être sceptique sur ces nancements et sur la possibilité qu’on soit champions de l’IA. En effet, il y a des
contraintes au sein de l’UE à propos des données d’entraînement. Et le RGPD en la matière est assez contraignant. L’UE est ainsi
« entre deux chaises », entre l’envie d'un côté de devenir un leader mondial de l’IA, mais de l’autre côté les contraintes juridiques,
que ce sont elles qui vont peser sur l’IA elle-même, ou que celles qui limitent l’accès à des données d’entraînement.
V. Le projet de règlement sur l’IA (21 avril 2021)

La Commission européenne a publié le 21 avril 2021 un projet de règlement en vue d’adopter des règles harmonisées
concernant l’intelligence arti cielle. Ce règlement est intéressant à plusieurs égards. D’abord, il y a un espèce de mélange entre
le droit positif, l’éthique, l’accompliance, qui nalement n’est pas sans rappeler le RGPD mais qui serait nalement un peu plus
poussé que dans le RGPD.
Finalement, face à ces enjeux technologiques, le droit n’avait pas forcément toutes les réponses, et on ne pouvait pas faire
l’économie d’une forme d’auto- responsabilisation, comme-ci on devait nécessairement passer par cette forme d’auto-régulation,
ces règles éthiques ne pouvaient pas apporter de réponses juridiques à ces questions. C’est intéressant car, à certains égards,
le droit positif ne suf t plus, et c’est pour ça qu’on va aller vers des logiques de responsabilisation, de certi cation, une
approche plus éthique.
On voit par exemple en matière d’utilisation des algorithmes par les réseaux sociaux, à quel point cette soft-law, cet
encouragement éthique, ne fonctionne pas si bien. En réalité, on peut s’interroger si ce n’est pas peut-être faire un peu trop
con ance aux opérateurs économiques, ne risque-t-on pas d’être déçu ? Le risque est réel.
Il y a notamment la question de la responsabilité qui est traitée d’une manière nalement relativement inattendue, avec la
distinction de différents types d’IA en fonction des risques que ces IA engendrent. Là aussi, le règlement sur l’IA est très largement
inspiré de ce qu’on connaît en pratique en matière de protection des données personnelles, une approche fondée sur le risque
« risk based approach ». En matière d’IA, c’est la même chose : on va aussi raisonner par rapport aux risques. Et dans le projet
de règlement, il y a 4 grandes catégories d’IA qui sont distinguées :
-L’IA engendrant un risque inacceptable :
Il s’agit des IA qui exploitent la vulnérabilité des enfants, des personnes en situation de handicap. Des IA de notation sociale
(« scoring ») provenant des autorités publiques. Il s’agit aussi des IA qui vont utiliser des mécanismes de reconnaissance faciale
couplés à des base de données en temps réel. Le projet de règlement vise à exonérer les IA qui viseraient à chercher un enfant
disparu, à localiser un suspect dans certaines affaires, comme par exemple dans des affaires de terrorisme. Ainsi, il y a
quelques atténuations. Ces IA doivent purement et simplement être interdites.
Page 53 sur 59
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
-L’IA à risque élevé :
C’est notamment l’utilisation de l’IA dans le cadre de l’authenti cation biométrique, dans le cadre de la gestion automatisée
d’infrastructures critiques (eau, électricité), en vue de l’affectation dans les établissements d’enseignement, l’utilisation de l’IA
pour la gestion des ressources humaines, pour l’accès à certains services publics, ou encore le crédit bancaire, pour les missions
de police (contrôle aux frontières, gestion des ux migratoires...)... Toutes les IA qui engendrent des risques élevés pour les droits
et libertés des personnes. Et peut-être également, même si ça fait l’objet de débats, toutes les IA qui sont susceptibles
d’engendrer un préjudice corporel aux personnes, par exemple une IA de conduite autonome de véhicule.
Ainsi, on inclurait pour celles-ci des règles de traçabilités, de robustesse, de transparence renforcée, et évidemment une
responsabilité particulière qui serait une responsabilité objective, en d’autres termes une responsabilité sans-faute. Il y aurait ainsi
une sorte d’indemnisation automatisée.
L’IA à risque faible : La Commission cite l’exemple d’un robot conversationnel : il peut donner de mauvais conseils par
exemple. Ainsi, il y a une responsabilité moindre, et il y a surtout une exigence de transparence soulignée par la Commission.
-L’IA à risque minimal : Par exemple : Les ltres anti-spam.

Ici, on aurait une responsabilité a priori extrêmement limitée.
Ce qui gure dans le texte également, ce sont des sanctions, en cas de non-respect des règles de transparence, de sécurité, qui vont
être prévues par le règlement. Et là, on va aller très loin : le règlement, en l’état actuel, prévoit des sanctions qui peuvent aller
jusqu’à 30 millions d’euros ou 6% du chiffre d’affaires, ce qui rappelle le RGPD. Ainsi, avec de tels risques, les industriels vont
être à la manoeuvre pour essayer de limiter les risques liés à ce texte.
Dans le projet de règlement, il y a également une grande place accordée à la soft-law, et notamment à l’élaboration de codes de
conduites facultatifs. On essaye donc d’encourager nalement l’auto-contrôle, de responsabiliser les acteurs, là aussi comme on
le fait en matière de protection des données personnelles.
Ce projet de règlement, à peine divulgué, à déjà été très largement critiqué, de toutes parts.
Il a été critiqué par les industriels parce que ce texte serait, à de nombreux égards, trop contraignant, avec des sanctions trop
importantes, des coûts de mise en conformité trop élevés. Tout cela engendrerait une baisse des investissements, avec donc le
risque de voir les innovations se faire ailleurs qu’au sein de l’Union européenne, dans des pays dans lesquels il y a moins de
contraintes juridiques.
En effet, nous voulons une protection juridique forte au sein de l’UE, mais ça se fait au détriment de la compétitivité, dans
un secteur qui lui est mondial.
Ce texte ne satisfait pas non plus les associations et les défenseurs des libertés numériques. Un certain nombre d’associations
dont Amnesty International, mais aussi par exemple le Comité européen de la protection des données (nouveau nom du G27,
ensemble des autorités administratives indépendantes de protection des données personnelles).
Ils estiment par exemple que la liste des IA à risque élevé n’est pas suf sant, il manque un certain nombre de choses. Il semble y
avoir une in uence du lobbying.
Par exemple, sont considérées comme risque élevé les IA relatives au crédit bancaire, mais pas relatives aux assurances. Ainsi, une
banque qui utilise du scoring, c’est un risque élevé, mais une assurance, ça ne l’est pas. Et on arrive pas à comprendre pourquoi les
assurances seraient mieux traitées que les banques.
Ces mêmes ONG critiquent également par exemple que dans la liste des choses inacceptables, il manque des choses : est considéré
comme inacceptable le scoring social quand il est mis en oeuvre par des autorités publiques. Sauf que le scoring mis en oeuvre par
des entreprises privées n’est pas considéré comme risque inacceptable.
Idem par exemple s’agissant de l’analyse des émotions : des algorithmes susceptibles de déduire des émotions sur la photo d’une
personne devraient également gurer dans la liste des algorithmes avec risque inacceptable.
Certains critiquent également le fait que l’authenti cation biométrique en temps réel soit interdite, mais que soit autorisée les
authenti cations biométriques qui ne sont pas en temps réel, ce qui laisse la porte ouverte à une reconnaissance faciale légèrement
différée.
Page 54 sur 59
fi
fi
fl
fi
fl
fi
fi
fi
fi
fi
FICHE N°7 : La protection de la vie privée en ligne

La protection de la vie privée en ligne est bien-sûr en partie la protection des données personnelles. Toute donnée qui permet
d’identifier individuellement un individu est une donnée personnelle. Mais il y a également d’autres enjeux qui ont été pris en
compte par l’UE, notamment dans le cadre d’une directive, qui s’appelle la directive e-privacy de 2002.
I. LA DIRECTIVE VIE PRIVÉE ET COMMUNICATIONS ÉLECTRONIQUES DU 12 JUILLET 2002 : DIRECTIVE 2002/58

Cette directive qu’on pratique toutes et tous : on trouve notamment l’obligation pour les opérateurs de téléphonie mobile de
permettre les appels masqués ou encore de permettre la facturation non-détaillée. Mais les deux points les plus connus par les
juristes ne sont pas ceux-là, ce sont les articles 5 et 13.
L’article 5 prévoit que les cookies doivent faire l’objet d’une information claire et complète, qu’ils doivent pouvoir être
refusés, sauf s’ils ont comme but exclusif de faciliter la transmission d’une communication ou s’ils sont strictement
nécessaires à la fourniture d’un service.
Cela veut dire que depuis 2002, le texte est assez clair : un cookie, s’il n’est pas nécessaire d’un point de vue technique, doit faire
l’objet d’un consentement. Ça fait donc 20 ans que cela est précisé dans la directive. Et pourtant, pendant plus de 15 ans, on a soit
eu 0 information sur les sites, soit, à partir de 2015, on a vu se développer des bandeaux qui disent en gros que si on continue de
naviguer, on accepte les cookies. Et ce bandeau, c’est la CNIL qui l’a recommandé en 2015. Pourtant, quand on lit la directive, le
cookie doit faire l’objet d’un consentement.
Il a fallu attendre une décision : CJUE, 1er octobre 2019, Planet 49, C-673/17 : la CJ précise que, sauf exception (cookies
techniques), le placement de cookies requiert le consentement actif des internautes.
Cette décision de 2019 n’invente rien, elle ne fait que rappeler une exigence qui figure noir sur blanc dans une directive de 2002.
Mais cette décision, d’un coup, va être très commentée et faire beaucoup de bruit, et va rappeler en réalité à de nombreux éditeurs
de site qu’ils ne sont pas en conformité.
A l’occasion de cette jurisprudence, la CNIL va actualiser son site internet, et souligner l’exigence du consentement, et préciser
que ce consentement doit pouvoir être accepté ou refusé. Et c’est là, avec cette décision de la CJ, que subitement, ont fleuri de
nouveaux types de bandeaux cookies.
C’est devenu un bazar innommable. La CNIL s’est mise à sanctionner les entreprises qui ne respecteraient pas cette obligation de
recueillir le consentement. Le 7 décembre 2020, elle a prononcé 3 sanctions : 2 contre Google (100 millions d’euros), 1 contre
Amazon (35 millions d’euros).
Pourquoi ces sanctions ?
Pour toujours les mêmes motifs : l’utilisation de cookies publicitaires, sans avoir en préalable recueilli le consentement
expresse, libre et éclairé de la personne.
Les sanctions continuent de pleuvoir : sanction CNIL du 27 juillet 2021 (délibération 2021-01) contre une société du Figaro de
50 000 euros.
Comment la CNIL peut-elle sanctionner ?
Elle le fait sur la base de l’article 82 de la loi informatique et libertés, puisqu’il transpose la directive de 2002. Et donc, sur
cette base, la CNIL est compétente.
Morale de l’histoire, aujourd’hui, tout le monde est affolé par ces histoire de cookies. Et il y a du grand n’importe quoi.
Que faut-il faire ? Il faut regarder quel type de cookies est utilisé : est-ce que ce sont des cookies purement techniques, ou ce sont
des cookies de profilage, et notamment de profilage publicitaire.
Si ce sont uniquement des cookies techniques (mesure d’audience, ou pour la sauvegarde d’un panier d’achat) : ce type de cookie,
purement technique, ne nécessite aucun consentement. Au mieux, c’est bien d’informer les gens, mais il n’y a pas besoin de
consentement. On pourrait donc en réalité, sur de nombreux sites, ne pas avoir du tout de bandeau cookie.
Par contre, si on utilise des cookies de profilage publicitaire par exemple, là il faut demander le consentement, et ce
consentement doit pouvoir être accepté ou refusé.
Certains sites adoptent une troisième voie, qui est un peu bizarre : sur certains sites, on sépare les cookies dans le bandeau : pour
certains cookies on demande d’accepter ou de refuser, et pour d’autres cookies, qui sont des cookies techniques, on ne demande
par de consentir, c’est de l’intérêt légitime.
C’est un peu bizarre, car la directive n’évoque pas cela, c’est le RGPD qui évoque cela. C’est donc un peu une confusion entre la
directive de 2002 et le RGPD.
Cela étant, en pratique, les cookies techniques correspondent bien, en réalité, à une sorte d’intérêt légitime. Mais généralement, ces
cookies techniques ne permettent pas d’individualiser une personne : ce ne sont donc pas des données personnelles.
Il y a également la pratique des cookies wall : si on ne consent pas, on doit payer. C’est encore une autre pratique.
La CNIL, et le Conseil d’Etat (en tant que juge d’appel des décisions de la CNIL), l’année dernière, a validé le principe de ces
cookies wall, considérant qu’on pouvait interdire l’accès à un site à une personne qui n’accepterait pas de donner son
consentement à l’installation de certains cookies.
Page 55 sur 59
Ce qui au passage est relativement cohérent : le suivi de notre navigation est une ressource pour l’exploitant du site. Ne pas
accepter ce profilage, c’est priver l’éditeur du site d’une ressource.
Cette directive de 2002 montre parfois comment le droit de l’UE a du mal à rentrer dans les moeurs.
II. LE PROJET DE RÈGLEMENT E-PRIVACY

L’idée de ce projet de règlement est de remplacer la directive de 2002, pour permettre une plus grande harmonisation. Cette
proposition de règlement a été publiée le 10 janvier 2017, il y a donc bientôt 5 ans. Et normalement la logique était d’adopter cette
proposition de règlement à peu près en même temps que le RGPD. Et c’est logique car ce règlement serait un complément assez
naturel du RGPD.
Ce projet de règlement vise un certain nombre de nouveautés. Il s’agit d’élargir le champ de la directive. De nouveaux acteurs, et
le règlement viserait les services de messagerie en ligne du type Whatsapp, Skype, etc. Aujourd’hui, ces services de messagerie en
ligne collectent de très nombreuses informations sans forcément que ce soit toujours fait de manière transparente.
C’est notamment le cas des métadonnées : ce sont les numéros appelés, la localisation, la date, l’horodatage... Ces métadonnées
sont utilisées de manière un peu trop libre par ces entreprises alors qu’elles permettent de disposer d’informations extrêmement
précises sur un individu : ses activités, ses habitudes, ses rapports sociaux, les cercles de personnes qui sont autour d’une personne.
Or la directive de 2002 ne visait pas ces acteurs à ce moment là, car tout simplement parce que ces acteurs n’existaient pas.
Ainsi, il faudrait pouvoir obliger ces acteurs à réclamer le consentement des utilisateurs.
Ce règlement vise également parmi ces objectifs à encadrer les nouvelles formes de traçage, de pistage, en d’autres termes les
suivis qui ne sont pas liés aux cookies. Le cookie, en 2002, était le seul moyen de suivre la navigation d’un internaute.
Aujourd’hui, on estime que les suivis de navigation se fait plus que pour 50% par les cookies, le reste c’est déjà d’autres outils. Et
Google a annoncé que d’ici 2-3 ans, ils n’utiliseront plus du tout de cookies. Comment vont-ils faire sans cookies ? Il existe
d’autres méthodes. Il y a le finger-printing (voir précédemment) qui permet de suivre sans avoir à installer quoi que ce soit. Le
règlement doit viser aussi ces nouvelles formes de traçage qui n’existaient pas en 2002 mais qui deviennent de plus en plus
importantes.
Le problème du règlement, c’est que ces bonnes intentions se trouvent à certains égards potentiellement anéanties par un certain
nombre de choses discutables. Par exemple, le projet de règlement vise à simplifier le recueil du consentement aux cookies en
intégrant ce consentement à la configuration même du navigateur. Sur le papier, ça a l’air bien, et ça éviterait d’avoir sur
chaque site internet ce bandeau qui occupe la moitié de la page. Sauf que ça ne marchera pas comme ça. Si on refuse les cookies, il
y a un certain nombre de sites qui seront inaccessibles.
Ce texte, notamment à cause de cette mesure, a été très critiqué. Ce texte risque fort de faciliter la vie des géants du
numérique et aussi de renforcer la position dominante d’un certain nombre d’entreprises qui fournissent les navigateurs :
Google, Apple, Microsoft et Mozilla.
Ce sont eux qui deviendraient les gardiens du temple des cookies, ce serait leur donner un peu trop d’importance. Ce texte
risque d’encourager les géants du numérique, qui sont à la fois des fournisseurs de contenus et des fournisseurs de navigateurs
(avec moteurs de recherche).
Le Conseil de l’UE a publié un communiqué de presse 10 février 2021 pour annoncer l’accord des États-membres pour une
proposition de règlement. Et depuis, rien du tout. Et il semblerait que le règlement soit encore au point mort. Le texte est
probablement « mal-né ».
Page 56 sur 59
FICHE N° 8 : L’Union européenne et le droit de la concurrence sur le marché du

numérique
Jusqu’à présent, il n’y avait pas vraiment de principes spécifiques, de droit spécial de la concurrence, dans le domaine du
numérique. Jusqu’à présent, ce qu’on constatait, c’était l’application du droit de la concurrence général au domaine du numérique.
Pas de droit spécial.
Or, les choses sont entrain de changer, car on va adopter prochainement le Digital Market Act (DMA) qui vient en complément
d’un autre projet de règlement du Digital Services Act (DSA). Nous assistons à la naissance d’un droit spécial de la concurrence
au niveau de l’UE. Et il était temps, car dans le domaine du numérique, naturellement, les entreprises sont poussées au monopole,
ou à l’oligopole, aux positions dominantes.
C’est inhérent à la nature même des technologies numériques et du marché unique des technologies numériques. Les spécialistes
économiques disent que dans ce domaine, c’est « the winner takes all ». Dans ce domaine, naturellement, les entreprises sont
poussées à devenir dominante.
Il n’y a pas beaucoup d’entreprises qui vont l’emporter dans un marché déterminé. Et on le constate partout : avec les solutions
logicielles (hégémonie totale de Windows et Microsoft dans les périodes 90-2000, et ensuite l’OS d’Apple mais qui représente que
5-6%), les moteurs de recherche (plus de 90% des recherches sur Internet passent par Google), les réseaux sociaux (il y a
plusieurs réseaux sociaux, mais il n’y en a qu’un par type de contenu : chacun son modèle économique, son type de contenu, et sa
clientèle par tranche d’âge).
Le problème, avec ces positions dominantes, c’est qu’elles vont engendrer de potentiels abus. D’abord des abus lié au
comportement de l’entreprise sur le marché vis-à-vis de ses concurrents. C’est le cas avec Facebook avec le rachat
systématique des choses qui pourraient lui faire de l’ombre : il a racheté Instagram et Whatsapp.
Les entreprises se placent donc en défenseur de leur monopole. Quant au comportement vis-à-vis des consommateurs, ce n’est
pas mieux : la plupart de ces entreprises disposent aujourd’hui de leur propre écosystème, que ce soit un écosystème software ou
hardware.
En matière software, il y a l’écosystème numérique (Google par exemple) : c’est certes un moteur de recherche, au départ, c’est
une quarantaine de services différents : Drive, traduction, Gmail... Si on veut bénéficier de ces fonctionnalités, il faut
impérativement disposer d’un compte Gmail. Hardware c’est le même sujet : verrouillage hardware des équipements ordinateur
d’Apple.
La lutte contre les abus de position dominante : Google. A été sanctionné a hauteur d’un montant de 8 milliard sd’euros avec 3
sanctions médiatisées :
-2018 : 4.34 milliards d’euro, a reproché un abus de position dominante dans son exploitation d’Android, a été accusé
d’utiliser cette position pour renforcer se services de recherches en ligne.
A été contesté par Google, a donné lieu a une audience qui s’est tenue en octobre 2021 devant le tribunal de l’UE avec une défense
originale : considère qu’il n’était pas en position de perturber le marché parce que a coté il y a Apple et dans la motivation de
la sanction la commission n’aurait pas intégré l’importance d’IOS.
Il y a tout un débat est ce qu’il faut comparer Android à IOS ?
Face a cette défense la Commission considère qu’est pas pertinent parce que les parts de marché sont en faveur d’Android, 30%
IOS le reste pour Android, en France est 80% Android.
L’affaire est en délibéré actuellement.
-2017 : 1ère sanction, 2.42 milliard d’euros, sanction toujours contre Google toujours pour abus de position dominante,
cette fois est le comparateur Google Shopping au coeur des débats.
Cette sanction aussi fait l’objet d'un appel, a été con rmée le 10 Novembre 2021.
-2019 : toujours pour abus de position dominante, 1.49 milliards d’euros, dans le domaine de la publicité en ligne avec
Adsense.
Appel interjeté, audience 2022.
Autre sanction contre d’autres grandes entreprises, Intel sanctionné en 2009 à hauteur d’un tout petit + d’1 milliard d’euros, à
l’époque un record. Cette fois était une pratique sur des rabais accordé aux fabricants à condition que ces fabricants
s’approvisionnent exclusivement auprès d’Intel.
EN 2004 sanction Microsoft, 297 millions d’euro, Windows avec Windows media Viewer qui était incorporé par défaut dans
Windows donc abus de position dominante.
Page 57 sur 59
fi
Les RS ne font pas partie de ceux ayant des amendes mais ne va pas durer : en juin 2021 la commission a dit qu’elle lançait une
enquête contre Facebook qui fait de l’abus de position dominante dans le cadre de publicité + utilisation des DACP à des
ns de publicités, préalables à une potentielle sanction.
Les abus de position dominante sont un point de vigilance, mais il y a d’autre pratiques anti-concurrentielles qui peuvent poser
problème : dumping scal => aide scal accordée par certain états, Apple a fait l’objet d’une sanction en 2016, sanction
record dans le domaine d’aides d’états irrégulière = 13 milliard d’euros.
Apple a rapatrié en Irlande ses revenus européens + revenus du Moyen-Orient + Indien, tout ça grâce à un rapport scal passé avec
Dublin = payé beaucoup - d’impôts.
Ce type d’optimisation scale pas qu’Apple qui l’a pratique, un sport national pour les entreprises numériques + facile de
délocaliser son impôt. Permis les astuces les + simples il y a le paiement de licence sur les marques.
En 2018 Google a déclaré en France un chiffre d’affaire de 411 millions d’Euros, a payé 17 millions d’euro d’impôts en France,
faible pour une entreprise comme Google.
Pour Apple, les 13 milliards ont fait l’objet d’une procédure en appel, les avocats d’Apple sont ok parce que le tribunal de l’UE a
ordonné le remboursement de ces 13 milliards estiment que la Commission n’avait pas réussi à démontrer l’existence d’un
avantage économique sélectif, en gros les concurrents pouvaient faire pareil donc pas de violation. L’Irlande est aussi satisfaite.
Les enjeux scaux sont aussi des enjeux importants. Il faudrait adopter au sein de l’UE des règles harmonisées, ce qui n’est pas le
cas pour le moment.
La commission avait dévoilé en mars 2018 un projet de taxe sur les services numériques, cette taxe aurait pris la forme d’une at
taxe, c'est à dire une taxe qu’on applique de manière xe, 3%. Non pas 3% sur les béné ces mais sur le chiffre d’affaire. La France
n’a pas attendu et a adopté en Juillet 2019 sa propre taxe, anticipant cette at taxe européenne, probablement raison parce que
l’UE depuis 2018 n’a pas avancé sur le sujet, derrière il y a des soucis diplomatiques.
Il y a des enjeux spéci ques dans le domaine du numérique pour la concurrence.

Au delà de ces enjeux spéci ques il y a un droit spécial qui voit le jour. Les choses vont évoluer parce que il y a ce fameux
projet de règlement digital market act, DSA package. Naissance d’un droit spécial de la concurrence au niveau de l’UE. Le
numérique permet d’assister à la naissance d’un droit spécial.
Ex : sur la responsabilité il y a eu une période de naïveté donc développe un droit spécial qui a du être renforcé etc.
Le règlement Digital Market Act vise a créer un droit asymétrique de la concurrence dans le domaine du numérique : ce
règlement vise à créer des règles spéci ques en droit de la concurrence applicables à certains acteurs pour freiner ces gros acteurs
et les obliger à laisser de la place à des acteurs + petits.
Normalement le droit de la concurrence s’applique à tout le monde de la même manière (cf droit des ententes), ici il y a une
sélection entre acteur économiques puissants et les autres.
Ces acteurs puissants sont les très grandes plateformes, Gatekeepers (les contrôles d’accès, ceux qui ont une capacité de
contrôler l’accès d’opérateur sur un marché) = Google est un Gatekeeper parce que a la capacité de permettre à certains acteurs
de rentrer sur le marché ou d’empêcher.
La dé nition des gatekeepers : 3 conditions :
-un impact signi catif sur le marché intérieur : considère que cette condition est remplie si l’acteur est présent dans au
moins 3 états-membres, ou si son chiffre d’affaire moyen au cours des 3 dernières années dans l’espace économique
européen est supérieur à 65 milliard d’euros.
On vise les très grandes entreprises
-plateforme doit servir de passerelle importante en terme de nombre d’utilisateurs : une présomption si la plateforme
a + 45 millions d’acteurs actifs par mois, X + 10 000 utilisateurs actifs professionnel au cours de la dernière année.
-La position de la plateforme soit bien établie : si les seuils de passerelles importants ont été atteints depuis les 3
derniers exercices.
=> compliqué de dé nir un Gatekeeper mais on vise Google, les gros RS, les grosses plateformes de vente en ligne. La
Commission qui identi era elle même les gatekeepers + désignera pour ces entreprises les services pertinents.
Page 58 sur 59
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fi
fl
fi
fi
fl
Les obligations imposées au Gatekeeper : vont être liées au non-croisements de DACP, bien cloisonner les DACP. Il y a déjà
une atténuation importante parce qu’avec le consentement des personnes le croisement pourrait intervenir.
Autre obligation est de permettre aux utilisateurs pro d’utiliser d’autre services donc pas d’exclusivité aux utilisateurs pro.
Ou encore renforcer la transparence notamment sur les prix en matière publicitaire, de manière à être + transparent vis a vis des
annonceurs.
Les sanctions risquent a priori d’être importantes, jusque’à 10% du chiffre d’affaire. Sans compter que la commission envisage de
pouvoir imposer des segmentations, imposer à un acteur de se séparer d’une partie de son activité si on estime que par
nature le poids de l’entreprise est excessif + ne permet pas une libre concurrence (question aux USA concernant Facebook de
se séparer d’Instagram).
Avec ce digital market act va permettre de répondre à un certain nombre de questions, question des Appstore : aujourd'hui il y a
beaucoup de débats sur la rémunération des développeurs sur ce monopole, l’Appstore serait concerné au titre de Conseil de
Sécurité Gatekeepers parce que rempli les conditions sur le chiffre d’affaire, d’ancienneté + nombre d’utilisateurs pro et non pro.
Conclusion :
Neutralité technologique et son inexistence : il y a des principes qui se sont développés face aux technologiques numérique, ont
été portés à la fois par l’UE X le conseil de l’Europe + un début parce que d’autre naissent et évoluent (responsabilité des
hébergeurs).
Un droit spécial s’est développé malgré tout.
Ces principes qui se sont développés sont différents selon l’UE ou le Conseil de l’Europe : des principes échappent au conseil
de l’Europe (droit de la concurrence), sur de nombreux autres sujets il ya une complémentarité, une sorte de dialogue entre l’UE
et le conseil de l’Europe donc peut parler de principe européen, avec deux approches différentes.
Le conseil de l’Europe est dans une approche sur l’état de droit, les sujets comme la lutte contre la cybercriminalité, la protection
des DACP. Le conseil de l’Europe a une approche humaniste (comme avec l’IA).
L’UE a une approche + axée sur le marché (protection des DACP, RGPD, IA, droit de la concurrence) = approche + économique.
Finalement, l’UE progressivement tend elle aussi souvent par le prisme économique a développé les aspects qui sont + de
l’humanité numérique (protection des droits et libertés, quand on veut taper sur une plateforme parce que elle des algorithmes
parce que vont booster des messages et ont enfermer d’autres on se demande qu’elle approche il faut adopter autant sanction
économique que protection de la liberté).
Entre l’UE et le conseil e l’Europe il y a une synergie : il faut préserver la souveraineté, l’état de droit, le contrat social. Les +
grandes victimes du numérique pourraient pas être les consommateurs mais les institutions elles mêmes. Les technologies sont
disruptives, engendrent la naissance de droits sociaux.
S’il y a un sujet où la disruption est majeure c’est la question de la souveraineté.
Il y a d’autre sujets à venir, ex : la politique monétaire. l’UE repose en partie sur ça, la banque centrale européenne assure la
stabilité nancière de l’espace européen. Sujet de la question de la con ance des institutions, l’euro est un succès. Cette con ance
se traduit par des taux d’intérêts bas, l’euro est un outil monétaire solide, il béné cie à toute l’UE.
Le 14 Juillet 2021 la banque centrale européenne a annoncé le début d’un projet pilote sur 2 ans en vu de lancer un euro
numérique => est trop tard, aujourd'hui il y a le dvlpment de crypto-actifs, aujourd'hui la valorisation complète de l’ensemble des
actifs crypto représente 3 mille milliards d’euro. Est dans un modèle différent qu’un modèle traditionnel, la BCE inspire con ance.
Bitcoins repose que sur la con ance qu'on accorde en la technique, 3 mille milliards d’euro qui repose sur une technologie, dans
2 ans à quoi ressemblera ce marché des crypto actif : vraie question est de savoir ce qu’il va rester aux états, à la scalité.
Tant que les crypto actifs ne sont que des spéculations, les états pouvaient s’y retrouver parce que va acheter — revendre,
pluvalue qu’on va dépenser donc convertir, le crypto actif doit retrouver le chemin classique de la banque via un virement.
Aujourd'hui il y a de + en + de paiements direct en crypto, des commerçants qui acceptent le paiement en crypto => est la vraie
révolution. Si les crypto actifs ne sont plus que des spéculations mais une monnaie d’échange que restera t il à l’état ?
Évidemment pourrait se dire qu’est génial mais part vers la non existence d’état.
Tout est possible pour permettre demain l’avènement d’une scté technocentrée dans laquelle les algorithmes remplaceront la
puissance publique. Mais a t on envie d’y aller ?
Structure exam : se retrouver dans le raisonnement, mise en évidence les étapes de raisonnement.
Page 59 sur 59
fi
fi
fi
fi
fi
fi
fi

Droit Du Numérique

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Droit Du Numérique

Transféré par

Droits d'auteur :

Formats disponibles

Marcel MORITZ 2021/2022

Grands principes européens du

A. Le droit du numérique existe t-il ?

1. La nécessité d’un droit spéci que en l’absence de neutralité technologique.

2. Droit du numérique ou droit des usages du numérique ?

IL Y A T-IL UN DROIT UNIFORME DES USAGES DU NUMÉRIQUE ?

B. Un droit « européen » du numérique ?

1. Droit du conseil de l’Europe.

2. Le droit de l’Union Européenne.

CES PRINCIPES S’APPLIQUENT T IL DE MANIÈRE PARFAIT HOMOGÈNES AUX TECHNOLOGIES NUMÉRIQUES OU AU

II. LE DROIT DU NUMÉRIQUE, À LA RECHERCHE D’UN ÉQUILIBRE ENTRE LA PUISSANCE PUBLIQUE ET

PQ CERTAIN DROITS SONT DÉSÉQUILIBRÉS ?

A. Des acteurs au poids économique majeur.

B. DES ACTEURS AVEC UNE VISION POLITIQUE.

C. DES ACTEURS DOTÉS D’UN POUVOIR D’INFLUENCE POLITIQUE.

D. DES ACTEURS MAJEURS DU MONDE DU RENSEIGNEMENT.

III. DE L’IMPOSSIBILITÉ D’UN PLAN.

Fiche n1 : les Summa divisio européennes du droit du

1. Une étape importante : la consécration des « services de la société de

En France on parle de 2 choses :

2. LA NAISSANCE D’UNE ZONE D’OMBRE ENTRE SERVICE DE MÉDIA AUDIOVISUEL ET

3. LA PRISE EN COMPTE DU RÔLE CROISSANT DES PLATEFORMES (DE PARTAGE DE VIDÉOS).

QUELLE AUTORITÉ POUR CETTE FUTURE ARCOM SUR LES PLATEFORMES ?

Fiche n2 : la responsabilité des acteurs techniques du

QUE FAIRE DE CES NVX ACTEURS EN TERME DE RESPONSABILITÉ ?

B. L’interprétation jurisprudentielle de la directive 2000/31. i. i. La définition des

C. LES QUESTIONNEMENTS ACTUELS SUR LA RESPONSABILITÉ

COMMENT REVENIR SUR CETTE IRRESPONSABILITÉ ?

2. La responsabilité des FAI (fournisseurs d’accès à internet).

A. UN RÉGIME DE LARGE IRRESPONSABILITÉ.

B. LA POSSIBILITÉ D’UN FILTRAGE SOUS CONDITION.

CETTE POSITION FR EST ELLE ISOLÉE OU CONFORME AU DROIT DE L’UE ?

C. LA NOTION DE FOURNISSEUR D’ACCÈS À UN INTERNET.

Fiche n3 : le droit applicable au traitement de DACP

COMMENT OBTENIR TTES CES INFOS ?

1. UNE APPROCHE HISTORIQUE DE LA PROTECTION DES DACP.

A. LES PREMIÈRES LÉGISLATIONS ÉTRANGÈRES ET L’INTERVENTION DU CONSEIL

1ère résolution, 26 SEPT 1973 + 2ème résolution, 1974 :

B. LA GENÈSE DE LA PROTECTION DES DACP EN FRANCE.

C. LA CONVENTION 108 DU CONSEIL DE L’EUROPE.

D. L’INTERVENTION TARDIVE DE L’UE ET LA DIRECTIVE DU 24 OCTOBRE 1995.

2. Le règlement général sur la protection des données.

A. LES NOTIONS CLEFS

B. PRINCIPALES CONDITIONS DE LICÉITÉ.

En tant que personne concernée par le traitement on a des droits :

C. LES EXIGENCES COMPLÉMENTAIRES IMPOSÉES À CERTAINS TRAITEMENT DE DACP.

D. LES RISQUES DE SANCTION AU CAS DE NON CONFORMITÉ.

3. La directive « police justice »

A. LE CHAMP D’APPLICATION DE LA DIRECTIVE

B. LES NOTIONS CLÉS DE LA DIRECTIVE

C. LES OBLIGATIONS INDUITES POUR LES RESPONSABLES DU TRAITEMENT

On peut voir les choses de deux manières :

4. la CEDH et les chiers de police

5. Une pluralité de texte sécuritaire : l’exemple de la directive PNR

Fiche n°4 : la cybercriminalité et la cyber sécurité

I. LA CONVENTION DU CONSEIL DE L’EUROPE SUR LA CYBERCRIMINALITÉ

II. LES PRINCIPALES SOURCES ISSUES DE L’UNION EUROPÉENNE

III. LES ACTEURS EUROPÉENS DE LA CYBER SÉCURITÉ

A. LE EC3 (CENTRE EUROPÉEN DE LUTTE CONTRE LA CYBER CRIMINALITÉ) ET EUROPOL

B. EUROJUST ET LE PARQUET EUROPÉEN.

5. DEMAIN, LA DIRECTIVE NIS 2 ?

Fiche n°5 : La difficile protection de la propriété

I. L’AFFIRMATION D’UN PRINCIPE LARGE DE PROTECTION ET D’EXCEPTIONS SUR MESURES : LA