Uncategorized | Valentin Boullier

Archives par catégorie : Uncategorized

Focus sur le Congressional Artificial Intelligence Caucus avril 10, 2018

« (1) ARTIFICIAL INTELLIGENCE.—The term “artificial intelligence” includes the following: (A) Any artificial systems that perform tasks under varying and unpredictable circumstances, without significant human oversight, or that can learn from their experience and improve their performance. Such systems may be developed in computer software, physical hardware, or other contexts not yet contemplated. They may solve tasks requiring human-like perception, cognition, planning, learning, communication, or physical action. In general, the more human-like the system within the context of its tasks, the more it can be said to use artificial intelligence ». H.R. 4625, Sec. 3, (a), (1), (A).

Actuellement au cœur des débats publics, la thématique de l’intelligence artificielle s’insère durablement dans la sphère politique, comme le montre notamment la présentation du rapport Donner un sens à l’intelligence artificielle – Pour une stratégie nationale et européenne par le député Cédric Villani le 5 avril dernier. Pour autant, l’année précédente avait également été riche pour cette thématique, et, en France, le rapport d’information de la députée Claude de Ganay et de la sénatrice Dominique Gillot (Rapport au nom de l’Office parlementaire d’évaluation des choix scientifique et technologiques – Pour une intelligence artificielle maîtrisée, utile et démystifiée) fut enregistré à la présidence du Sénat en mars 2017.

Aux États-Unis, le député John K. Delaney (Congressman du 6ème district du Maryland, parti démocrate) créa le 24 mai 2017 l’Artificial Intelligence Caucus avec pour objectif de réunir des experts du milieu académique et des secteurs public et privé sur le thème de l’intelligence artificielle afin de renseigner efficacement les députés et sénateurs sur le sujet. Comme le note le débuté Delaney, « … En tant que législateurs, notre choix est soit d’être pris au pied levé, soit d’anticiper de manière proactive comment les choses vont changer et de travailler sur des politiques intelligentes pour s’assurer que le pays en profite autant que possible …(1) ».

L‘AI Caucus est actuellement présidé par les députés John K. Delaney et Pete Olson (Congressman du 22ème district du Texas, parti républicain) et réunit, en plus des deux co-chairs, dix-huit députés, dont Ted Lieu (député membre du parti démocrate, farouche opposant à la surveillance de masse et député à l’origine de l’ENCRYPT Act of 2016 qui visait à empêcher les États de demander ou d’imposer un affaiblissement des mesures de sécurité d’un produit ou d’un service dans le but d’opérer une surveillance).

Outre l’attention du public captée par les promesses d’un monde meilleur grâce à la technologie ou par les avertissements liés à un coup d’État robotique, l’intérêt des législateurs pour la thématique de l’intelligence artificielle peut être démontré par le dépôt récent de plusieurs propositions de loi. La H.R. 4625 (FUTURE of Artificial Intelligence Act of 2017, également dénommée Fundamentally Understanding The Usability and Realistic Evolution of Artificial Intelligence Act of 2017) a ainsi été introduite en décembre 2017 par le député John K. Delaney dans le but de créer une commission qui aurait pour mission de formuler des recommandations et des lignes directrices afin de « promouvoir l’investissement et la compétitivité des États-Unis dans la technologie, à adapter la main-d’œuvre américaine, à empêcher les préjugés … et à protéger le droit à la vie privée des personnes (2) ». La commission serait alors instaurée par le Secretary of Commerce sous le nom de Federal Advisory Committee on the Development and Implementation of Artificial Intelligence.

L’intelligence artificielle fait également l’objet d’autres propositions de lois émanant de parlementaires non-membres du AI Caucus. Ainsi, la proposition de loi H.R. 5356 (National Security Commission Artificial Intelligence Act of 2018), introduite par la députée Elise M. Stefanik (21ème district de New York, parti républicain) vise à établir une commission temporaire, indépendante et rattachée à la branche exécutive : la National Security Commission on Artificial Intelligence. Celle-ci serait chargée d’examiner les avancées, méthodes et moyens en matière d’intelligence artificielle et de machine learning en prenant en compte les besoins en matière de sécurité nationale – laquelle inclut les risques économiques. Les membres de la commission, au nombre de onze, seraient alors nommés par le Secretary of Defense et par les chairmen et les ranking minority members des commissions parlementaires relatives aux forces armées. Enfin, notons la rédaction d’un rapport dans les 180 jours suivant l’entrée en vigueur de la loi.

Parmi les autres propositions de loi, notons l’existence de la H.R. 4829 (Artificial Intelligence Job Opportunities and Background Summary Act of 2018) qui vise à la production d’un rapport relatif à l’intelligence artificielle afin de préparer la main d’œuvre au développement de celle-ci.

Notes :

Artificial Intelligence Caucus, House of Representatives, <https://artificialintelligencecaucus-delaney.house.gov/>
Intelligence artificielle : présentation du rapport de Cédric Villani, consultable à l’adresse <http://www2.assemblee-nationale.fr/15/les-delegations-comite-et-office-parlementaire/office-parlementaire-d-evaluation-des-choix-scientifiques-et-technologiques/secretariat/a-la-une/intelligence-artificielle-presentation-du-rapport-de-cedric-villani>
Intelligence artificielle maîtrisée, utile et démystifiée, <http://www.assemblee-nationale.fr/14/rap-off/i4594-tI.asp#P282_14308>
(1) Communiqué de presse, « Delaney Launches Bipartisan Artifical Intelligence (AI) Caucus for 115th Congress », publié le 24 mai 2017, consulté le 10 avril 2018, consultable à l’adresse <https://artificialintelligencecaucus-delaney.house.gov/media-center/press-releases/delaney-launches-ai-caucus>
(2) ROSS (M.), « U.S. Needs Sharper Focus on Artificial Intelligence Policy: Lawmaker », publié le 23 février 2018, consulté le 10 avril 2018, consultable à l’adresse <https://www.bna.com/us-needs-sharper-b57982089177/>

The House of Representatives and the Internet of Things: full speed ahead! octobre 6, 2016

Last week, the House of Representatives passed a resolution related to the Internet of Things (IoT). Introduced in House on September 7th by Rep. Leonard Lance (Republican) and co-sponsored by one republican and two democrats, it has been referred to the House Committee on Energy and Commerce the same day. This is one year after a similar resolution was passed by the Senate in nearly identical terms by Sen. Deb Fischer (republican). In January 2015, a congresswoman and the Chairman of the Subcommittee on Intellectual Property, Courts and the Internet had launched the Congressional Caucus on the Internet of Things.

The International Telecommunication Union defines the Internet of Things as « a global infrastructure for the information society, enabling advanced services by interconnecting (physical and virtual) things based on existing and evolving interoperable information and communication technologies » (ITU, recommendation ITU-T Y.2060, Overview of the Internet of Things, June 2012). Despite its importance and its growth, the IoT had not received, until now, the proper attention by the representatives and the Administration, as officials were more focused on big data (see Obama’s January, 17th speech and several reports: PODESTA (J)., PRITZKER (P.), et alii, Big Data: Seizing Opportunities, Preserving Values, may 2014, 85p. and MUÑOZ (C.), SMITH (M.), PATIL (DJ), Big Data: A Report on Algorithmic Systems, Opportunity, and Civil Rights, Executive Office of the President, may 2016).

By this resolution (H. Res. 847), the House fully recognizes the potential of the IoT, that could « generate trillions of dollars in economic opportunity ». The House calls for a national strategy to encourage the development of the IoT « in a way that maximizes the promise connected technologies hold to empower consumers … ». Beyond consumers, it is the opinion of the House that the IoT shall empower citizens, and may cut « waste, fraud, and abuse … ». According to the House, the Government should also develops its collaboration with the private sector. The main issues about the IoT, privacy and cybersecurity, are also considered and the House encourages businesses to implement « reasonable privacy and cybersecurity practices and protect consumers’ personal information to increase confidence, trust, and acceptance of this emerging market ».

The Center for Data Innovation, which called for a national strategy a year before in its report « Why Countries Need National Strategies for the Internet of Things », congratulated the House.

On a blog post, Intel also congratulated the House and highlighted the importance to adopter the DIGIT Act in a near future. The Developing Innovation and Growing the Internet of Things Act, introduced in Senate by Sen. Deb Fisher (S. 2067; the DIGIT Act has been introduced in House by Rep. Erik Paulsen – H.R. 5117), if passed, would require the Department of Commerce to set up a working group in order to deliver recommendations and report to the Congress about the IoT.

SOURCES:

H. Res. 847-Expressing the sense of the House of Representatives about a national strategy for the Internet of Things to promote economic growth and consumer empowerment, <https://www.congress.gov/bill/114th-congress/house-resolution/847>
Obama’s speech: <https://www.washingtonpost.com/politics/full-text-of-president-obamas-jan-17-speech-on-nsa-reforms/2014/01/17/fa33590a-7f8c-11e3-9556-4a4bf7bcbd84_story.html>
PODESTA (J)., PRITZKER (P.), et alii, Big Data: Seizing Opportunities, Preserving Values, may 2014, 85p.
MUÑOZ (C.), SMITH (M.), PATIL (DJ), Big Data: A Report on Algorithmic Systems, Opportunity, and Civil Rights, Executive Office of the President, may 2016, 29p.
DICKMAN (M.), blogs.intel.com, America’s Path Progresses to a National “Internet of Things” Strategy, September 14th, 2016, <http://blogs.intel.com/policy/2016/09/14/americas-path-progresses-national-internet-things-strategy/>
NEW (J.), www.datainnovation.com, Congress Just Got Serious About a National Strategy for the Internet of Things, September 12th, 2016, <https://www.datainnovation.org/2016/09/congress-just-got-serious-about-a-national-strategy-for-the-internet-of-things/>
NEW (J.), CASTRO (D.), Center for Data Innovation, Why Countries Need National Strategies for the Internet of Things, December 16th, 2016, http://www2.datainnovation.org/2015-national-iot-strategies.pdf>
Press release, U.S. Reps. DelBene and Issa announce Creation of the Congressional Internet of Things Caucus, January 13rd, 2015, <https://delbene.house.gov/media-center/press-releases/us-reps-delbene-and-issa-announce-creation-of-the-congressional-internet>

Oregon v. Nascimento : précision sur la notion d’autorisation en matière de délits informatiques aux USA août 16, 2016

Le 21 juillet 2016, la Cour suprême de l’Oregon a rendu un arrêt permettant de mieux apprécier la notion d' »autorisation » en matière de délits informatiques (computer crime).

Le dirigeant d’un magasin avait constaté des irrégularités , le fond de caisse étant anormalement bas, tandis que la vente de billets de loterie était en hausse de manière inhabituelle. Celui-ci, après avoir mené une enquête, s’aperçut que les irrégularités pouvaient être constatées lors du jour de présence d’une employée. Il vérifia les caméras de surveillance, qui montrèrent ladite employée imprimer des billets de loterie pour son usage personnel tout en omettant de payer pour les tickets. Le manager du magasin affirma avoir autorisé l’employée à utiliser le terminal de loterie, mais confirma l’existence d’une règle du magasin : aucun employé ne pouvait utiliser le terminal pour acheter des billets pour son propre compte durant le temps de travail.

L’employée fut accusée d’avoir violé l‘ORS 164.377 (Oregon Revised Statutes). Le débat se cristallisa autour des sections 2 et 4 des statuts :

(2) Any person commits computer crime who knowingly accesses, attempts to access or uses, or attempts to use, any computer, computer system, computer network or any part thereof for the purpose of:
(a) Devising or executing any scheme or artifice to defraud;
(b) Obtaining money, property or services by means of false or fraudulent pretenses, representations or promises; or
(c) Committing theft, including, but not limited to, theft of proprietary information or theft of an intimate image.

(4) Any person who knowingly and without authorization uses, accesses or attempts to access any computer, computer system, computer network, or any computer software, program, documentation or data contained in such computer, computer system or computer network, commits computer crime.

La section 4 fut longuement débattue, en raison de l’expression « sans autorisation ». En effet, l’employée disposait-elle de l’autorisation nécessaire pour utiliser le terminal ? Celle-ci était certes autorisée à l’utiliser, mais l’utilisation qu’elle en a fait, non autorisée, permettait-elle de la condamner en invoquant la section 4, si l’on détermine que le vol de tickets de loterie n’est pas autorisé ?

En première instance, le tribunal condamna l’employée pour vol – ce qui n’est pas contesté – et pour avoir accéder au terminal sans autorisation. L’employée contesta cela : selon elle, son supérieur hiérarchique lui avait donné l’autorisation d’utiliser le terminal de loterie. La Cour d’appel, dans un arrêt en date du 4 février 2015 (State of Oregon v. Caryn Aline Nascimento, In the Court of Appeals of the State of Oregon) confirma le jugement de première instance. Une petition for review fut déposée, et l‘EFF déposa un amicus curiae. La question posée à la Cour suprême de l’Oregon était simple : « une employée autorisée par son employeur à utiliser un ordinateur viole-t-elle l’ORS 164.377(4) en utilisant celui-ci pour accomplir un objectif non permis ? »

Pour l‘EFF, le danger est simple :

This case is dangerous because it gives employers—and website owners—the power to make behavior illegal just by stating in a written computer use policy that it’s not allowed. For example, a worker could be prosecuted for reading personal email or checking the score of a baseball game if her employer’s policy says that company computers may be used only for work-related purposes.
WILLIAMS (J.), www.eff.org, EFF Urges Oregon Supreme Court To Review Troubling Computer Crime Decision, publié le 13 mai 2015, consultable à l’adresse <https://www.eff.org/deeplinks/2015/05/eff-urges-oregon-supreme-court-review-troubling-computer-crime-decision>

Pour l‘EFF, l’interprétation de l’ORS 164.277(4) par l’Etat de l’Oregon pouvait engendrer des conséquences particulièrement néfastes.

La Cour suprême de l’Oregon reconnaît que l’interprétation par l’Etat de l’Oregon est extensive, et soutient les arguments de l’employée, en affirmant que l’utilisation du terminal de loterie était une utilisation autorisée par l’employeur, l’employée ayant en effet été autorisée à imprimer des tickets via ce terminal. La Cour reprend même l’argument de l‘EFF, en estimant que l’adoption de l’interprétation faite par l’Etat de l’Oregon pourrait permettre l’engagement de poursuites contre des employés ayant envoyé un courriel privé via leur ordinateur de travail, dans l’hypothèse où cette utilisation ne serait pas autorisée par l’employeur. La Cour suprême prend soin de noter qu’en l’espèce, l’employée n’avait pas contourné des mesures de sécurité : le mot de passe était entré chaque matin par un manager, laissant ainsi l’utilisation libre pour les employés devant se servir du terminal. Ainsi, l’utilisation du terminal était illicite, mais l’employée n’avait pas accédé au terminal sans autorisation. La juridiction suprême de l’Oregon souligne également que « l’histoire législative » est en faveur de l’employée.

SOURCES :

L’arrêt du 21 juillet 2016 est librement consultable sur Justia US Law à l’adresse <http://law.justia.com/cases/oregon/supreme-court/2016/s063197.html>
L’arrêt de la Cour d’appel est consultable à l’adresse <https://www.eff.org/document/nascimento-court-appeals-decision>
FARIVAR (C.), www.arstechnica.com, Clerk printed lottery tockets she didn’t pay for but didn’t break hacking law, publié le 2 août 2016, consultable à l’adresse <http://arstechnica.com/tech-policy/2016/08/court-store-clerk-who-stole-lottery-tickets-didnt-violate-state-hacking-law/>
WILLIAMS (J.), www.eff.org, EFF Urges Oregon Supreme Court To Review Troubling Computer Crime Decision, publié le 13 mai 2015, consultable à l’adresse <https://www.eff.org/deeplinks/2015/05/eff-urges-oregon-supreme-court-review-troubling-computer-crime-decision>
WILLIAMS (J.), www.eff.orf, Victory! Oregon Supreme Court Agrees that Violating a Company Rule is Not a Computer Crime, publié le 2 août 2016, consultable à l’adresse <https://www.eff.org/deeplinks/2016/08/victory-oregon-supreme-court-agrees-violating-company-rule-not-computer-crime>

ICANN et transition : les dernières actualités mai 4, 2016

Le 10 mars 2016, l‘ICANN adressait au gouvernement américain une proposition de plan de transition. Celui-ci nourrit deux ambitions : d’une part, opérer la transition des fonctions IANA, pour l’instant sous contrôle américain, et, d’autre part, doter l‘ICANN d’une plus grande indépendance. L’objectif primaire est donc d’opérer une transition entre un modèle sous contrôle américain et un modèle « multistakeholder » affranchi de tout contrôle gouvernemental. Cet objectif de transition est présent depuis la création de l‘ICANN, en 1998. Malheureusement, celui-ci a sans cesse été repoussé, le gouvernement américain privilégiant la conclusion d’accord entre l‘ICANN – société américaine – et la NTIA (National Telecommunication and Information Administration).

Cependant, la position du gouvernement américain était de plus en plus inconfortable, notamment suite aux événements de 2013 et aux pressions en découlant. L’essentiel de ces pressions proviennent notamment de l’Union européen, qui cherche à doter l‘ICANN d’une plus grande indépendance. C’est ainsi que le 14 mars 2014, la NTIA a annoncé sa volonté d’engager, de manière concrète, la transition tant convoitée. L‘ICANN a donc été chargée d’élaborer un plan de transition, basé notamment sur les opinions de plusieurs groupes ou communities. L’objectif de cette task force est simple : proposer un plan permettant à l‘ICANN d’assurer la gestion des fonctions IANA, afin que la NTIA ne soit plus en charge de celles-ci. Le groupe à l’origine de la proposition de plan est constitué de trois communities : la Domain Names Community, l‘Internet Number Community, et la Protocol Parameters Registries Community. Ces trois groupes forment l‘ICG (IANA Stewardship Transition Coordination Group). Le plan devant être soumis devait satisfaire à plusieurs exigences provenant de l‘IANA. L‘ICG devait ainsi :

être composé de communities bénéficiant d’un support communautaire;
élaborer un plan basé sur un modèle multiparties;
assurer, dans son plan, la « sécurité, la stabilité et la résilience » du DNS;
respecter les besoins et attentes des clients globaux et des partenaires des services IANA;
maintenir un Internet « ouvert »;
« ne pas remplacer le rôle de la NTIA par un gouvernement ou une organisation gouvernementale ».

Ces exigences sont similaires aux exigences formulées antérieurement par la NTIA, et ont toujours servi de « fil rouge » dans la conduite de la transition.

Le plan proposé par l‘ICANN et l‘ICG est complexe -plus de 210 pages- et est librement consultable sur le site de l‘ICANN, à cette adresse (fichier .pdf).

L’enjeu est de taille, mais l’échéance approche rapidement, la fin du contrat liant l‘ICANN et la NTIA étant fixée au mois de septembre 2016.

Les réactions à ce plan de transition ont été nombreuses. La réaction la plus importante est sans doute celle de Lawrence E. Strickling (Assistant Secretary of Commerce for Communications and Information), qui souligne l’importance du travail effectué par la communauté Internet et estime que le Department of Commerce étudiera, dans un délai de 90 jours, le plan de transition. Lawrence E. Strickling rappelle également, dans sa déclaration, que l’Inde s’est prononcée en faveur du modèle multiparties. Cependant, il souligne également la place de la Chine dans le débat, qui « fait partie des pays qui ont envoyés des messages contradictoires quant à sa position sur ledit modèle.

La réaction française est tout autre, le Monde faisant état d’une réticence française au nouveau plan de transition : « Le Quai d’Orsay se dit aujourd’hui déçu par les modalités de la future organisation et dénonce notamment la mainmise des géants américains du Net » (l’article est à lire à cette adresse).

Le Communiqué de Moscou aborde également le sujet de la gouvernance de l’Internet. En son point 12, les Ministres des affaires étrangères de la Russie, de l’Inde et de la Chine notent notamment qu’ils sont convaincus « que tous les États devraient participer à son de l’Internet évolution et à son fonctionnement, sur un pied d’égalité ». Ils soulignent également, ce à quoi les États-Unis se sont toujours opposés, la nécessité d’internationaliser l’Internet et de développer le rôle de l’ITU (International Telecommunication Union).

L’avis du Congrès américain sur le plan de transition est donc particulièrement attendu.

Sources :

ANONYME, communiqué de presse de l’ICANN, www.icann.org, « Plan to Transition Stewardship of Key Internet Functions Sent to the U.S. Government », mis en ligne le 10 mars 2016, consulté le 4 mai 2016, consultable à l’adresse <https://www.icann.org/news/announcement-2016-03-10-en>

CHAFFIN (Z.), www.lemonde.com, « Paris dénonce une « privatisation » de la gouvernance d’Internet », mis en ligne le 24 mars 2016, consulté le 4 mai 2016, consultable à l’adresse <http://www.lemonde.fr/economie/article/2016/03/24/icann-paris-denonce-une-privatisation-de-la-gouvernance-d-internet_4889567_3234.html>

DANIELS (M.), www.thehill.com, « This summer, Congress must take sure the internet stays free », mis en ligne le 27 avril 2016, consulté le 4 mai 2016, consultable à l’adresse <http://thehill.com/blogs/pundits-blog/technology/277806-this-summer-congress-must-make-sure-the-internet-stays-free>

GROSS (A.), www.circleid.com, « Internet Governance in Transition: The ITU as a Battleground for Rival Visions », mis en ligne le 29 avril 2016, consulté le 4 mai 2016, consultable à l’adresse <http://www.circleid.com/posts/20160429_internet_governance_in_transition_itu_battleground_rival_visions/>

Joint Communiqué of the 14th Meeting of the Foreign Ministers of the Russian Federation, the Republic of India and the People’s Republic of China, www.mea.gov.in, mis en ligne le 18 avril 2016, consulté le 4 mai 2016, consultable à l’adresse <http://www.mea.gov.in/bilateral-documents.htm?dtl/26628/Joint+Communiqu+of+the+14th+Meeting+of+the+Foreign+Ministers+of+the+Russian+Federation+the+Republic+of+India+and+the+Peoples+Republic+of+China>

SCHAEFER (B. D.), ROSENZWEIG (P.), www.heritage.org, « ICANN Transition Proposal: The U.S. Should Proceed with Caution », mis en ligne le 4 avril 2016, consulte le 4 mai 2016, consultable à l’adresse <http://www.heritage.org/research/reports/2016/04/icann-transition-proposal-the-us-should-proceed-with-caution>

STRICKLING (L. E.) – déclaration, www.ntia.doc.gov, « Remarks of Assistant Secretary Strickling at the Information Technology and Innovation Foundation 03/17/2016 », mis en ligne le 17 mars 2016, consulté le 4 mai 2016, consultable à l’adresse <https://www.ntia.doc.gov/speechtestimony/2016/remarks-assistant-secretary-strickling-information-technology-and-innovation-fo>

SUKUMAR (A.M.), SARAN (S.), www.thewire.in, « What the Moscow Communique on Internet Governance Says About India’s Role in the Global Order », mis en ligne le 19 avril 2016, consulté le 4 mai 2016, consultable à l’adresse <http://thewire.in/2016/04/19/what-the-moscow-communique-says-about-indias-role-in-the-global-order-30364/>

TAYLOR (D.), MIKUL (C.), « ICANN sets course for change of Internet stewardship », mis en ligne le 7 avril 2016, consulté le 4 mai 2016, consultable à l’adresse <http://www.lexology.com/library/detail.aspx?g=b8f5da45-7169-4e39-9834-f84b9f318518>

Des nouvelles de Californie : l’AB-1681 avril 6, 2016

Mise à jour du 14 avril 2016 : l’AB-1681 a été rejetée en comité. L’EFF note cependant que le député à l’origine du texte souhaite redéposer une proposition de loi similaire à la prochaine session.

Si le litige entre Apple et le FBI est actuellement au centre de toutes les attentions, il serait regrettable de détourner le regard de propositions de lois relatives au chiffrage des téléphones. En effet, l’actualité législative fédérée est particulièrement soutenue ces derniers temps. Ainsi, un représentant à l’Assemblée de Californie a récemment introduit une proposition de loi, l’AB-1681.

La législation de la Californie, terre de la Silicon Valley et bastion des géants du numérique, est souvent mise en avant pour son habilité à comprendre les enjeux du numérique tout en sauvegardant les droits et libertés fondamentaux. Ainsi, la Californie a récemment adopté plusieurs propositions de lois permettant une meilleure protection de ceux-ci, comme la SB-74 (interception des communications électroniques d’un téléphone possible seulement après l’obtention d’un mandat), l’AB-856 (interdiction de la captation d’images à partir d’un drone), l’AB-1116 (prohibition des enregistrements de conversations privées par une smart TV), la SB-34 (plaques d’immatriculation), la SB-249 (consultation des permis de conduire), ou encore la SB-178. Cette dernière est la plus ambitieuse : elle impose notamment l’obtention d’un mandat avant toute interception de communications électroniques. Appelée « CALECPA », pour « California Electronic Communications Protection Act », en référence au célèbre Electronic Communications Protection Act de 1986, cette loi a été largement saluée par les associations de défense des libertés, comme l’ACLU ou l’EFF. Celle-ci a en effet restreint les possibilités d’interception de communications par les agences gouvernementales. Elle est cependant critiquée pour son inefficacité et a été sérieusement amendée par le US Patriot Act. Devant un panorama californien aussi favorable aux droits et libertés fondamentaux, il est intéressant de noter que l’État de Californie a parfois été le laboratoire de nouvelles technologies pouvant gravement attenter aux libertés.

Cette proposition de loi tente, au nom de la lutte contre le trafic d’êtres humains, d’empêcher les constructeurs et les développeurs de système d’exploitation de téléphones de mettre en œuvre des capacités de chiffrage trop élaborées. En effet, lorsque cette proposition de loi a été déposée, celle-ci prévoyait une forte amende (2500 dollars pour chaque smartphone vendu ou mis en leasing) lorsque les deux acteurs mentionnés étaient dans l’impossibilité de décrypter ou de débloquer les smartphones. Au vu des actualités impliquant Apple et le FBI, l’enjeu est de taille. Très vite, les associations de défense des libertés, comme l’EFF, se sont inquiétées des dérives possibles.

Au cours du processus législatif, la proposition a été profondément remaniée. Par des amendements en date du 8 et du 28 mars, les constructeurs et les développeurs du système d’exploitation ne s’exposent plus qu’à 2500 dollars d’amende à chaque instance engagée lorsque ceux-ci ont été dans l’incapacité de débloquer ou décrypter le smartphone malgré l’existence d’une ordonnance judiciaire – ce qui réduit très nettement l’impact de la proposition. La proposition prend soin de préciser qu’en cas de condamnation, le constructeur ou le développeur du système d’exploitation ne pourront pas répercuter l’amende sur le consommateur.

Une proposition de loi similaire a été déposée dans l’État de New York. L’AB-8093 prévoit que « tout smartphone assemblé après le premier janvier 2016 [la date n’a pas été modifié depuis le dépôt de la proposition à l’Assemblée de l’État de New York, ndlr] devra pouvoir être décrypté ou débloqué par son fabricant ou le développeur du système d’exploitation ». La sanction à cette obligation consisterait au paiement d’une amende de 5000 dollars par téléphone vendu ou proposé en leasing, si le vendeur savait au moment de la vente (ou du leasing) que le téléphone ne pouvait pas être débloqué ou déchiffrer. En revanche, une « immunité » serait instituée, dans l’hypothèse où le téléphone ne peut être débloqué ou déchiffré en raison du comportement de l’acheteur : ainsi, si ce dernier rend son téléphone indéchiffrable (par exemple, en rajoutant des programmes permettant d’assurer un chiffrage incassable par le développeur ou le fabricant), la responsabilité du fabricant ou du développeur du système d’exploitation ne pourrait être engagée. Cette immunité ne serait valable que si ces « actions » n’ont pas été autorisées par ces derniers.

Une autre proposition de loi rassure cependant les associations de défense des libertés : le Encrypt Act of 2016 (Ensuring National Constitutional Rights for Your Private Telecommunications Act of 2016 – il est intéressant de noter que le nom de la proposition mentionne le terme constitutional : ainsi, les auteurs semblent considérer que la surveillance porte atteinte aux amendements de la Constitution impactant la privacy comme le quatrième amendement). Cette proposition de loi, déposée à la Chambre des représentants par plusieurs députés – dont un californien – vise à empêcher, entre autres, les États fédérés d’imposer aux constructeurs/développeurs de systèmes d’exploitation l’altération ou le développement de fonctionnalités de sécurité afin de permettre la surveillance des utilisateurs ou une fouille physique de l’appareil. De même, cette loi pourrait empêcher les agences gouvernementales de décrypter ou de « rendre intelligibles » des informations chiffrées. Enfin, un État fédéré ne pourrait interdire la vente d’un produit possédant des capacités de chiffrage.

Sources :

-Texte de l’AB-1681 : https://leginfo.legislature.ca.gov/faces/billTextClient.xhtml?bill_id=201520160AB1681

-Texte de l’AB-8093 : http://legislation.nysenate.gov/pdf/bills/2015/A8093

-Texte du H.R. 4528 : https://www.congress.gov/bill/114th-congress/house-bill/4528/text

-ANONYME, www.asmdc.org, Cooper Introduces Human Trafficking Evidentiary Access Legislation, mis en ligne le 20 janvier 2016, consulté le 31 mars 2016, accessible à l’adresse <http://asmdc.org/members/a09/news-room/press-releases/cooper-introduces-human-trafficking-evidentiary-access-legislation>

-ANONYME, eastcountytoday.net, AB 1681 : Assemblyman Wants to Ban Encrypted Phones, mis en ligne le 24 janvier 2016, consulté le 31 mars 2016, accessible à l’adresse <http://eastcountytoday.net/ab-1681-assemblyman-wants-to-ban-encrypted-phones/>

-BARRETT (B.), www.wired.com, New Bill Aims to Stop State-Level Decryption Before its Starts, mis en ligne le 10 février 2016, consulté le 31 mars 2016, accessible à l’adresse <http://www.wired.com/2016/02/encrypt-act-2016/>

-CROCKER (A.), www.eff.org, Worried about Apple ? California Has a Bill That Would Disable Encryption on all Smartphones, publié le 9 mars 2016, consulté le 31 mars 2016, accessible à l’adresse <https://www.eff.org/deeplinks/2016/03/worried-about-apple-california-has-bill-would-disable-encryption-all-phones>

-FARIVAR (C.), arstechnica.com, Yet another bill seeks to weaken encryption-by-default on smartphones, publié le 21 janvier 2016, consulté le 31 mars 2016, accessible à l’adresse <http://arstechnica.com/tech-policy/2016/01/yet-another-bill-seeks-to-weaken-encryption-by-default-on-smartphones/>

-KEATING (L.), www.techtimes.com, California Proposes A Bill That Would Ban The Sale Of Encrypted Smartphones, mis en ligne le 21 janvier 2016, consulté le 31 mars 20146, accessible à l’adresse <http://www.techtimes.com/articles/126659/20160121/california-proposes-bill-ban-sale-encrypted-smartphones.htm>

Fin de la collecte de masse des métadonnées téléphoniques aux Etats-Unis : un #epicwin ? décembre 2, 2015

Les agences de renseignements américaines ne peuvent plus, depuis le 29 novembre 2015, opérer la collecte et le stockage des métadonnées téléphoniques. Conséquence du US Freedom Act, entré en vigueur le 2 juin 2015, cet arrêt ne signifie pas pour autant la fin de la collecte massive de données par les agences de renseignements.

La collecte massive des métadonnées téléphoniques opérée par les agences américaines trouve son origine dans le FISA (Foreign Intelligence Surveillance Act of 1978, consultable ici), qui établit un régime de surveillance. Cette loi visait à mettre en oeuvre un système permettant de placer sous surveillance des personnes travaillant pour le compte d’une puissance étrangère (« agent of foreign power »). Cette expression recouvrait deux types de personnes : d’une part, un citoyen non-américain, agissant sur le territoire des Etats-Unis, et, d’autre part, toute personne (et donc, les citoyens non-américains et les citoyens américains) agissant pour le compte d’une puissance étrangère ou engagée dans une activité de sabotage ou de terrorisme. Cette loi présentait l’avantage d’éviter l’engagement d’une procédure judiciaire (sect. 102, (a), (1)).

Peu après les attaques du 11 septembre 2001, le US Patriot Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism) fut adopté. Celui-ci amenda le FISA. La section 215 du US Patriot Act inséra dans le FISA les sections 501 et 502. La section 501 indiquait notamment :

The Director of the Federal Bureau of Investigation or a designee of the Director (whose rank shall be no lower than Assistant Special Agent in Charge) may make an application for an order requiring the production of any tangible things (including books, records, papers, documents, and other items) for an investigation to protect against international terrorism or clandestine intelligence activities, provided that such investigation of a United States person is not conducted solely upon the basis of activities protected by the first amendment to the Constitution.

Section 501, (a), (1)

Pour les agences gouvernementales, la section 215 du US Patriot Act autorisait la collecte et le stockage des métadonnées téléphoniques des citoyens américains, l’objectif étant de lutter contre le terrorisme. La section 215 fut remise en question à de nombreuses reprises depuis la révélation des programmes de surveillance en 2013. Un membre de la Chambre des représentants, M. Jim Sensenbrenner – à l’origine du US Patriot Act -, élabora le US Freedom Act. Ce dernier fut adopté, malgré l’opposition de certaines personnalités civiles regrettant la suppression de ses dispositions les plus ambitieuses. Cette loi amende la section 501, supprimant la collecte et le stockage de masse :

(i) there are reasonable grounds to believe that
the call detail records sought to be produced based
on the specific selection term required under subpara-
graph (A) are relevant to such investigation; and
(ii) there is a reasonable, articulable suspicion
that such specific selection term is associated with
a foreign power engaged in international terrorism or
activities in preparation therefor, or an agent of a
foreign power engaged in international terrorism or
activities in preparation therefor; and.

US Freedom Act, Section 101 Additional requirements for call detail records, consultable ici (souligné par nos soins).

Il est également intéressant de noter que les métadonnées pouvant être réclamées aux opérateurs devront être « ciblées » : ainsi, toute surveillance de masse est exclue :

« a specific selection term to be used as the basis for the production of the tangible things sought ».

SEC. 103., (a).

La surveillance de masse relative aux métadonnées téléphoniques a donc cessé le 29 novembre. En effet, malgré l’entrée en vigueur du US Freedom Act, une période de transition avait été aménagée.

Cependant, la NSA bénéficie toujours d’un accès limité aux métadonnées téléphoniques, accès qui sera révoqué le 29 février 2016. A cette date, l’agence sera dans l’obligation de procéder à la suppression des métadonnées téléphoniques en sa possession.

Il convient de noter que l’arrêt de ce programme, s’il concerne aussi bien les citoyens américains que les citoyens non-américains, ne signifie pas pour autant la fin de la surveillance de masse : en effet, ces dispositions visent uniquement les métadonnées téléphoniques : ainsi, la NSA peut toujours opérer ses programmes de surveillance relatifs au web.

La collecte et le stockage des métadonnées téléphoniques avaient déjà été remis en cause par un arrêt en date du 7 mai 2015. Les juges avaient en effet estimé que le programme de surveillance outrepassait les dispositions prévues par la section 215 :

For the forgoing reasons, we conclude that the district court erred in ruling that § 215 authorizes the telephone metadata collection program, and instead hold that the telephone metadata program exceeds the scope of what Congree has authorized and therefore violates § 215. Accordingly, we VACATE the district court’s judgment dismissing the complaint and REMAND the case to the district court for further proceedings consistent with this opinion

United States Court of Appeals for the Second Circuit, Docket No. 14-42-cv, 7 mai 2015, consultable ici (fichier .pdf, consultable sur le site de l’EPIC).

Les appelants avaient par ailleurs soulevé les problématiques constitutionnelles posées par le programme de la NSA. Par cet arrêt, les juges avaient reconnu que les dispositions constitutionnelles étaient en effet impactées. Cependant, ils avaient également relevé qu’il ne leur appartenait pas de juger de la constitutionnalité du programme américain. Les juges renvoyaient alors au pouvoir législatif, et mentionnait explicitement le US Freedom Act.

Ideally, such issues should be resolved by the courts only after such debate, with due respect for any conclusions reached by the coordinate branches of government.

Pour aller plus loin :

ANONYME, Office of the Director of National Intelligence, « ODNI Announces Transition to New Telephone Metadata Program », www.icontherecord.tumblr.com, IC on the record, publié le 27 novembre 2015, consulté le 2 décembre 2015, consultable ici.
GREEN (D.), « Bulk Call Details Records Collection Ends : What that Means », www.eff.org, publié le 30 novembre 2015, consulté le 2 décembre 2015, consultable ici.
GULIANI (N. S.), « Renewed Calls for More Surveillance Aren’t Based in Reality », www.aclu.org, publié le 19 novembre 2015, consulté le 2 décembre 2015, consultable ici.
ANONYME, « Freedom Act Goes Into Effect, NSA Bulk Data Collection Ends », www.epic.org, publié le 30 novembre 2015, consulté le 2 décembre 2015, consultable ici.

Publication des orientations de la Commission européenne relatives aux transferts de données à caractère personnel novembre 10, 2015

La Commission européenne a publié, le 6 novembre, des orientations relatives aux transferts de données à caractère personnel entre les États membres de l’Union européenne et les États-Unis. En effet, suite à l’arrêt Schrems (C362-14) invalidant le Safe Harbor (« Sphère de sécurité »), de nombreuses questions avaient été soulevées au regard des transfert de données à caractère personnel. La Commission européenne délivre donc ses orientations afin que les entreprises utilisant la sphère de sécurité puissent continuer à exercer leur activité sereinement, en attendant la fin des négociations entre l’Union européenne et les États-Unis.

Dans cette communication, la Commission européenne rappelle que les négociations avec les États-Unis ont débuté dès janvier 2014. L’intérêt pour ces négociations a été rapidement ravivé après l’arrêt Schrems, le groupe de l’article 29 ayant, par le biais d’une déclaration en date du 16 octobre (disponible ici), rappelé que les autorités nationales de protection des données à caractère personnel seraient susceptibles de « prendre toutes les actions nécessaires et adéquates », dans l’hypothèse où une solution n’aurait pas été trouvée d’ici fin janvier 2016. Le communiqué indique également, de manière explicite, que des actions coercitives pourraient être menées dans cette hypothèse. Enfin, le groupe de travail de l’article 29 souligne la nécessité de relancer les négociations avec les États-Unis, en indiquant que « dans tous les cas, les transferts opérés sous l’égide du Safe Harbour après le jugement de la CUJE sont illégaux ».

La protection des intérêts économiques étant l’une des priorités de la Commission européenne, celle-ci indique que les transferts peuvent être opérés en attendant la conclusion d’un accord, dans le cadre des SCC (« Standard Contractual Clauses ») et des BCR (« Binding Corporate Rules »). Enfin, la Commission rappelle les hypothèses pour lesquelles des dérogations peuvent s’appliquer.

Les SCC peuvent être introduites « dans le but de compenser, de manière satisfaisante, l’absence d’un niveau adéquat de protection, en incluant les éléments essentiels de protection manquants dans une situation particulière donnée ». Des modèles de clauses sont disponibles dans la décision 2001/497/EC du 15 juin 2001 de la Commission européenne (disponible ici). L’intérêt des SCC est simple : en effet, celles-ci doivent être acceptées par les autorités nationales de protection. La Commission note cependant que ces autorités peuvent examiner à nouveau les SCC à la lumière de l’arrêt Schrems et porter une affaire devant la juridiction compétente. De même, elle précise que certains États dispose d’un stratagème de notification ou de pré-autorisation pour l’utilisation des SCC : « si les clauses ont été utilisées sans amendement, l’autorisation est en principe accordée automatiquement ».

Toujours au niveau contractuel, la Commission rappelle, dans sa communication, que les entreprises peuvent user d’arrangements contractuels ad hoc, afin de démontrer que les transferts sont opérés avec des garanties suffisantes au sens de l’article 26 de la directive 95/46/EC ». Cependant, dans cette hypothèse, ces clauses devront être examinées par l’autorité nationale de protection.

Outre les SCC, la Commission mentionne les BCR pouvant être mises en place par les sociétés d’un même groupe. Les citoyens peuvent aisément utiliser ces BCR pour assurer la protection de leurs données à caractère personnel : en effet, ceux-ci peuvent déposer un recours devant la juridiction compétente (ou devant l’autorité de protection nationale, comme la CNIL pour la France) dans le but de faire appliquer les BCR si celles-ci ne sont pas respectées par le groupe ou l’une de ses filiales. Cette possibilité est par ailleurs renforcée par la nomination d’une « entité » européenne par-devant laquelle le recours pourra être déposé. Ces BCR doivent par ailleurs répondre à plusieurs conditions formelles.

Des dérogations existent également : ainsi, une entreprise pourra opérer un transfert entre un État-membre de l’Union et un État tiers, notamment si la personne a donné son consentement – exprès – au transfert ou si celui-ci est « nécessaire pour l’exécution ou la conclusion d’un contrat ». D’autres dérogations peuvent être utilisées, comme la sauvegarde des « intérêts vitaux » de la personne. L’interprétation de ces dérogations est cependant stricte.

Les SCC, BCR et dérogations partagent des points communs : pour que ces outils puissent s’appliquer, et ainsi permettre le transfert de données à caractère personnel malgré l’invalidation du Safe Harbour, ceux-ci doivent répondre à deux conditions. D’une part, la collecte de données à caractère personnel et le traitement de celles-ci doivent être opérés par un responsable de traitement situé dans l’Union européenne dans le respect strict des dispositions en vigueur (par exemple, en France, la loi 78-17). D’autre part, les transferts réalisés doivent présenter des garanties suffisantes de protection. La Commission cite l’exemple des SCC ou des BCR, en expliquant que si « l’importateur de données estime que la législation applicable dans le pays de réception l’empêche de remplir ces obligations, il doit alors en informer promptement l’exportateur des données situé dans l’Union européenne ».

La communication de la Commission se conclut par le rappel de l’intensification des négociations débutées en 2013, suite à l’arrêt Schrems. La Commission indique également que l’objectif est de conclure les discussions et d’assurer le respect des conditions légales suite à la décision de la Cour dans les trois mois.

Pour aller plus loin :

Site de la Commission européenne, section « Protection of personal data », disponible ici.
SCOTT (M.), « Europe Seeks to Reach Data Transfer Pact by Early 2016 », www.nytimes.com, publié le 6 novembre 2015, consulté le 9 novembre 2015, disponible ici.
LOMAS (N.), « Europe Sets Out Three-Month Timetable To Seal New Data-Transfer Deal With U.S. », www.techcrunch.com, publié le 6 novembre 2015, consulté le 10 novembre 2015, disponible ici.
EUDES (Y.), « Données personnelles : la situation reste floue après l’annulation de l’accord Safe Harbor », www.lemonde.com, publié le 8 novembre 2015, consulté le 10 novembre 2015, disponible ici.

SB-741 : la Californie renforce les droits fondamentaux face aux technologies d’interception des communications électroniques (téléphone) octobre 16, 2015

Le gouverneur de Californie, M. Brown, a signé le 8 octobre la loi SB 741 qui vise à renforcer la protection des droits fondamentaux lorsque sont ordonnées des interceptions de communications électroniques sur un téléphone portable. Cette loi renforce considérablement le cadre législatif relatif aux technologies permettant l’interception de communications transmises entre téléphones portables, dont l’IMSI-catcher (international mobile subscriber information – catcher) est l’illustration la plus pertinente. Cette technologie permet à un opérateur d’intercepter des communications électroniques en utilisant un appareil se faisant passer pour une antenne de téléphonie mobile. Les données téléphoniques sont, par voie de conséquence, transmises à la fausse antenne.

« CCIT is a portable cell phone surveillance tool used by government agencies at the federal, state and local levels that generally consists of an antenna, a processor, and laptop computer for analysis and configuration. They work by emulating the operation of a cellular telephone network tower, which prompts nearby cell phones to switch over and communicate with it like it was the carrier’s nearest base station ».

Assembly Floor Analysis, 31 août 2015, Senate Third Readinf, SB 741 (Hill) As Amended August 31, 2015, Majority Vote. Le document est publi et peut être consulté sur le site web d’informations légales California Legislative Information (site officiel), ici.

Avec cette loi, la Californie souhaite maîtriser l’usage de telles technologies, en imposant aux « agencies » un cadre strict mettant l’accent sur l’information des citoyens.Cette loi s’articule sur deux points essentiels.

D’une part, elle impose de protéger les données interceptées par la mise en place de procédures : ainsi, des garanties « opérationnelles, administratives, techniques et physiques » doivent être implémentées afin de pouvoir protéger les données interceptées des intrusions et garantir leur exactitude. Il s’agit ainsi de pouvoir s’assurer que les données ne pourront être détruites ou modifiées.

D’autre part, et il s’agit là d’un point novateur, cette loi impose aux agences utilisant des technologies d’interception de données téléphoniques d’instaurer une politique d’utilisation permettant de garantir le respect des droits fondamentaux et notamment la vie privée des citoyens. Ainsi, les agences ayant recours à de tels procédés doivent informer les citoyens. Cette communication pourra, par exemple, être opérée grâce au site web de l’agence. Il est intéressant de noter que par « agence », cette loi inclut également les polices locales mais également le « county sheriff ». Les autorités locales californiennes se retrouvent soumises à cette loi, dans leur ensemble.

La loi s’intéresse particulièrement à la politique que doivent adopter les autorités locales. Ainsi, celle-ci devra répondre à plusieurs exigences formelles. La « politique » devra de ce fait impérativement préciser :

les buts rendant nécessaires l’utilisation de technologies d’interception de communications électroniques;
les qualités des employés autorisés, ainsi que leur formation;
la manière dont l’agence utilisera la technologie d’interception afin de garantir l’exactitude des informations ainsi interceptées, ainsi que la manière dont les techniques employées respecteront les lois en vigueur;
l’existence ou non d’une convention de partage avec d’autres agences. L’identité des agences avec qui les informations seront partagées devra être rendue publique. La politique devra également détailler s’il s’agit d’un partage de technologies ou d’informations interceptées grâce à ces technologies;
les modalités de partage avec d’autres agences (autorisations – restrictions);
enfin, la politique devra également détailler la durée d’interception ainsi que les modalités de destruction des informations.

La loi prend soin de préciser que les entités californiennes ne pourront acquérir une technologie d’interception seulement si celle-ci a été approuvée par le corps législatif, ou si une ordonnance ou une résolution l’approuve. Si ces conditions sont respectées, un county sheriff pourra acquérir une telle technologie. Le county sheriff devra notamment porter à la connaissance du public une telle acquisition.

Enfin, la loi précise la possibilité pour un citoyen d’obtenir réparation devant une juridiction, si celui-ci estime que ses droits ont été violés en raison du non-respect des modalités.

Il est également intéressant de noter que cette loi a suscité l’unanimité : en effet, soutenue par l’EFF (Electronic Frountier Foundation) et soumise à plusieurs votes (dont plusieurs comités), la proposition a été adoptée à l’unanimité (aucun « noes » n’a été enregistré). La Californie a adopté récemment plusieurs lois qui renforcent considérablement les droits et libertés fondamentaux : outre la SB 741, le Gouverneur a également signé la SB 178 (cf. post précédent), la SB 34 (relative à la reconnaissance des plaques d’immatriculation), et la SB 272 (« Disclosure of Enterprise Systems »). Si la Californie a été l’État précurseur sur de nombreux points, il semble qu’il soit également en pointe dans le renforcement des droits et libertés fondamentaux appliqués à la sphère du numérique. Vous pouvez consulter l’avis de l’EFF sur ces lois ici.

Pour aller plus loin :

SB 741 : Mobile communications : privacy, consultable ici.
FARIVAR (C.), « New California bill would require local approval for stingray use », arstechnica.com, publié le 16 avril 2015, consulté le 16 octobre 2015, consultable ici.
SEIPEL (T.), KURHI (E.), California digital privacy laws boosted, protecting consumers from Big Brother, big business », www.mercurynews.com, publié le 10 septembre 2015, consulté le 16 octobre 2015, consultable ici.
CAGLE (M.), « California Just Got a Privacy Upgrade – Alameda County, It’s Your Move », www.aclunc.org (site web de l’ACLU- Californie du Nord), publié le 13 octobre 2015, consulté le 16 octobre 2015, consultable ici.
MAAS (D.), « Success in Sacramento; Four new laws, One Veto – All Victories for Privacy and Transparency », www.eff.org, publié le 14 octobre 2015, consulté le 16 octobre 2015, consultable ici.
SEIPEL (T.), KURHI (E.), « Law Extends Privacy Rights to Electronic Data », www.officer.com (source : San José Mercury News), publié le 12 octobre 2015, consulté le 16 octobre 215, consultable ici.

Bref arrêt sur le H.R. 1428 Judicial Redress Act of 2015 septembre 21, 2015

Déposé à la Chambre des Représentants le 18 mars 2015, le Judicial Redress Act of 2015 a été approuvé par le House Judiciary Committee le 17 septembre. La proposition de loi sera donc bel et bien soumise au vote de la Chambre des Représentants. Louée par les grands acteurs du Web, cette proposition de loi vise, selon les mots de son rédacteur, M. Sensenbrenner – auteur du US Patriot Act mais également du USA Freedom Act-, à rendre possible la conclusion de l’Umbrella Agreement – censé accroître la protection des données personnelles – entre les États-Unis et l’Union européenne.

Actuellement, les États-Unis opèrent une distinction entre citoyens américains et citoyens étrangers pour l’accès aux données personnelles détenues par les agences fédérales, et ainsi empêchent les citoyens non-américains d’intenter un recours contre les agences fédérales si celles-ci refusent de leur accorder un acccès ou d’opérer une rectification sur lesdites données. Le Judicial Redress Act vise à abolir cette distinction, et donc à étendre aux citoyens non-américains les dispositions du Privacy Act of 1974. Cependant, cette extension ne pourra bénéficier qu’aux personnes étrangères citoyennes de pays ou d’une organisation économique régionale ayant conclu avec les États-Unis un accord prévoyant, sous condition de respect de certaines protections s’appliquant aux données personnelles, le transfert de données dans le but de « prévenir, enquêter, détecter, ou poursuivre des délits ». L’extension pourra également être applicable si un échange effectif de données a eu lieu dans le passé entre les États-Unis.

Ainsi, si cette proposition de loi est votée, les citoyens européens pourraient intenter une action contre les agences américaines en vue d’obtenir des dommages et intérêts :

« With respect to covered records, a covered person may bring a civil action against an agency and obtain civil remedies, in the same manner, to the same extent, and subject to the same limitations, including exemptions and exceptions »

Il est cependant nécessaire de noter que les exceptions à un tel droit s’appliqueraient aux citoyens américains comme aux citoyens non-américains : ainsi, ce droit ne pourrait s’exercer dans le cas où les données concernées touchent la sécurité nationale.

L’Union européenne n’est pas expréssement mentionnée dans la proposition. Pourtant, l’auteur du texte estime avoir rédigé cette proposition « sur-mesure » pour l’Union. En effet, dans un article publié dans The Hill, M. Sensenbrenner mentionne exclusivement l’Union européenne et indique que les citoyens américains disposent d’ores et déjà d’une action similaire en Europe. L’objectif de ce texte est simple, et l’auteur de celui-ci l’indique explicitement : d’une part, il s’agit de rétablir la confiance des européens dans les relations UE/US, et ainsi éviter de déstabiliser les intérêts américains en Europe, et, d’autre part, de permettre le transfert de données dans le but de protéger les États-Unis. Ainsi, si le rétablissement de la confiance de l’Union européenne réclame un tel texte pour permettre la continuation de transferts de données personnelles à destination des États-Unis, l’auteur estime que ce texte est amplement justifié.

« In many ways, it’s a privacy bill—backed and supported by many of our country’s top privacy advocates—but make no mistake, the Judicial Redress Act is a crucial element to our law enforcement strategy. »

SENSENBRENNER (J.), « The Judicial Redress Act is essential to U.S. law enforcement », www.thehill.com, publié le 17 septmbre 2015, consulté le 21 septembre 2015, disponible à l’adresse : <http://thehill.com/blogs/congress-blog/homeland-security/253874-the-judicial-redress-act-is-essential-to-us-law>

En effet, la Commission européenne a clairement indiqué que la conclusion de l’Umbrella Agreement ne pourrait être opérée que si le Judicial Redress Act était voté :

« The Umbrella Agreement will be signed and formally concluded only after the US Judicial Redress Bill, granting judicial redress rights to EU citizens, will have been adopted »

European Commission – Fact Sheet, « Questions and Answers on the EU-US data protection « Umbrella agreement », publié le 8 septembre 2015, consulté le 21 septembre 2015, disponible à l’adresse : <http://europa.eu/rapid/press-release_MEMO-15-5612_en.htm>

Les grands acteurs du Web ont favorablement accueilli la proposition. Ainsi, dans une lettre ouverte notamment cosignée par Facebook, Google, Microsoft, Yahoo, ou la U.S. Chamber of Commerce, ces acteurs soulignent les conséquences néfastes des révélations concernant la surveillance des communications électriques :

« The last two years have seen a significant erosion of global public trust in both the U.S. government and the the U.S. technology sector. As a result, U.S. companies across all sectors are suffering negative commercial consequences abroad, including loss of contracts […] ».

Lettre ouverte du 28 avril 2015, consultable ici (fichier .pdf).

Une fois de plus, c’est l’intérêt américain qui est mis en avant :

« Transnational data flows serve as a key component of the digital trade that increasingly drives U.S. economic growth. […] It will serve as a clear signal to our European allies that they can feel comfortable sharing critical law enforcement information across the Atlantic ».

En revanche, d’autres acteurs soulignent le fait que cette proposition de loi est limitée : ainsi, l’EPIC (Electronic Privacy Information Center) remarque que si le Privacy Act prévoit quatre possibilités d’intenter une action contre une agence, le Judicial Redress Act of 2015 n’en prévoit qu’une : la seule base légale pour une action intentée par un citoyen non-américain serait la divulgation de données personnelles sans son consentement (hors exceptions légales). De même, un citoyen non-américain ne pourrait, à titre d’illustration, intenter une action en raison d’un refus de délivrance de visa motivé par des données personnelles erronées. La recommandation principale de l’EPIC est donc simple : reconnaître aux citoyens non-américains les mêmes droits qu’un citoyen américain. D’autres recommandations sont également avancées par l’EPIC, toujours dans le but de mieux assurer la protection des citoyens non-américains. La lettre ouverte peut être librement consultée ici (fichier .pdf).

Pour aller plus loin :

H.R. 1428 To extend Privacy Act remedies to citizens of certified states, and for other purposes, consultable ici.
SENSENBRENNER (J.), « The Judicial Redress Act is essential to U.S. law enforcement », www.thehill.com, consultable ici.
SANKIN (A.), « Congress just took a major step to protect foreigners’ privacy », www.dailydot.com, consultable ici.
Site de l’EPIC.
GREENFIELD (H.), « Tech Industry Praises House Judiciary Committee Approval Of Judicial Redress Act », www.ccianet.org, consultable ici.
U.S. Code, Title 5, Section 552 & section 552(a), à lire ici.

Bref arrêt sur la proposition de loi relative à la suppression de la publicité commerciale dans les programmes jeunesse de la télévision publique septembre 17, 2015

La proposition de loi

La proposition de loi n°656, déposée à la présidence le 24 juillet 2015 et présentée par M. André Gattolin (Groupe Écologiste), sera discutée le 21 octobre 2015 au Sénat. Cette proposition de loi vise à limiter considérablement la publicité commerciale avant et après la diffusion de programmes jeunesse diffusés sur les chaînes de la télévision publique. De même, les spots publicitaires ne pourront plus être diffusés pendant un programme jeunesse, comme c’est le cas actuellement. Il est intéressant de noter que si cette proposition de loi concerne la télévision, elle concerne également les sites web qui diffusent des programmes jeunesse.

L’exposé des motifs souligne la forte exposition des enfants et des adolescents aux médias, et plus particulièrement à la télévision. Selon M. Gattolin, « la France fait partie des pays développés où les enfants et adolescents sont les plus exposés aux messages publicitaires ou commerciaux », et demeure un des principaux « marché enfants » en Europe. En effet, la publicité constitue un moyen privilégié pour exploiter la crédulité des mineurs (cf. les publicités proposant de composer un numéro téléphonique pour accéder à des services commerciaux). Ainsi, les mineurs deviennent exposés « de plein fouet aux sollicitations du marché » (GAUTELLIER (C.) « Consommation médiatique des jeunes, un double enjeu d’éducation et de régulation », Les Cahiers Dynamiques, 2/2010, n° 47, p. 38.). Une protection est donc nécessaire.

Quel est le régime de protection actuel ?

Cette protection est notamment mise en oeuvre par le CSA.

L’objectif est de protéger « l’épanouissement physique, mental ou moral des mineurs ». Si cette disposition (article 15 de la loi n°86-1067 du 30 septembre 1986 relative à la liberté de communication) s’applique aux programmes, les publicités doivent également s’abstenir de nuire à cet épanouissement. Le CSA remplit donc un rôle de « gardien ». En revanche, la signalétique, dorénavant posée comme une protection incontournable, ne s’applique pas aux publicités.

Le Conseil supérieur de l’audiovisuel apporte traditionnellement une vigilance particulière à l’encadrement des pratiques publicitaires principalement orientées vers les mineurs.

Recommandation n° 2006-4 du 7 juin 2006 aux éditeurs de services de télévision relative à des pratiques publicitaires liées à la diffusion d’oeuvres d’animation et de fiction à destination des mineurs.

La vigilance du CSA peut également être illustrée par la recommandation n° 2006-4 du 7 juin 2006 qui aborde le danger que peuvent constituer les produits dérivés. En effet, de nombreux programmes jeunesse comportent des personnages ou des objets qui font par ailleurs l’objet d’une exploitation commerciale : le CSA pointe donc le « risque de confusion dans l’esprit du jeune téléspectateur ». Ainsi, le CSA avait recommandé des règles relatives à la diffusion : « sa première diffusion ne doit pas avoir lieu pendant la période de lancement de la commercialisation de ce produit ou service sur le territoire national »; si les produits dérivés sont la conséquence d’une diffusion d’un programme, l’insertion de spots publicitaires est alors réglementée, et un délai de quarante-cinq minutes est imposé entre la diffusion du programme et la diffusion des sports publicitaires.

Enfin, afin de contrer les publicités pouvant avoir des effets redoutables sur des mineurs, le CSA a par exemple adopté une délibération enjoignant aux publicitaires de s’abstenir de créer et de diffuser des publicités relatives aux jeux d’argent ou de hasard utilisant des « personnages ou […] héros appartenant à l’univers des enfants ou des adolescents ou disposant d’une notoriété particulièrement forte auprès de ces publics » (délibération du 27 avril 2011 relative aux conditions de diffusion des communications commerciales en faveur desopérateurs de jeux d’argent et de hasard, II°, B; 2). De manière plus générale, la publicité doit s’abtenir de « porter un préjudice moral ou physique aux mineurs » :

A cette fin, elle ne doit pas :

1° Inciter directement les mineurs à l’achat d’un produit ou d’un service en exploitant leur inexpérience ou leur crédulité ;

2° Inciter directement les mineurs à persuader leurs parents ou des tiers d’acheter les produits ou les services concernés ;

3° Exploiter ou altérer la confiance particulière que les mineurs ont dans leurs parents, leurs enseignants ou d’autres personnes ;

4° Présenter sans motif des mineurs en situation dangereuse ».

Article 7 du Décret n°92-280 du 27 mars 1992 pris pour l’application des articles 27 et 33 de la loi n° 86-1067 du 30 septembre 1986 et fixant les principes généraux définissant les obligations des éditeurs de services en matière de publicité, de parrainage et de télé-achat (article modifié par le décret 2001-1331 2001-12-28 art. 2 et 4 JORF 29 décembre 2001).

Une protection européenne ?

La directive européenne 2010/13/UE aborde notamment le problème de la publicité.

Par conséquent, elles [les communications commerciales audiovisuelles] ne doivent pas inciter directement les mineurs à l’achat ou à la location d’un produit ou d’un service en exploitant leur crédulité, inciter directement les mineurs à persuader leurs parents ou des tiers d’acheter les produits ou les services faisant l’objet de la publicité, exploiter la confiance particulière que les mineurs ont dans leurs parents, leurs enseignants ou d’autres personnes, ou présenter sans motif des mineurs en situation dangereuse ».

Directive 2010/13/UE du Parlement européen et du Conseil du 10 mars 2010 visant à la coordination de certaines dispositions législatives, réglementaires et administratives des Etats membres relatives à la fourniture de services de médias audiovisuels.

Enfin, il peut être utile de mentionner la convention européenne sur la télévision transfrontalière qui mentionne, en son article 11, que « la publicité et le télé-achat destinés aux enfants ou faisant appel à des enfants doivent éviter de porter préjudice aux intérêts de ces derniers et tenir compte de leur sensibilité particulière ».

La protection des mineurs est actuellement mise en oeuvre par le CSA. Par exemple, l’Assemblée plénière était intervenue auprès de NT1, qui avait diffusé, en milieu de journée, une publicité destinée à un public adulte :

Il a considéré que ce manquement était d’autant plus regrettable que cette diffusion s’est déroulée à délai rapproché d’une série familiale et entre deux publicités en faveur de produits destinés en partie aux enfants.

Décision de l’Assemblée plénière du CSA du 1er octobre 2014, publiée le 23 octobre 2014, consultable ici.

La proposition de loi est donc radicale. Celle-ci pourrait modifier la loi de 1986. Il est à noter que la proposition de loi exclut les campagnes d’intérêt général ainsi que les « publicités non commerciales pour des biens ou services présentés sous leur appellation générique ». Si l’application de ce nouvel article VI bis de la loi de 1986 engendre des charges pour l’État, il est prévu une compensation par la création d’une « taxe additionnelle aux droits sur les tabacs ».

Pour aller plus loin :

Exemple de la Suisse : loi fédérale sur la radio et la télévision entrée en vigueur le 1er avril 2007, art. 13, al. 1er. Dossier à consulter ici.
Exemple de l’Allemagne : document à consulter ici (en Allemand).

Proposition de loi enregistrée à la Présidence du Sénat le 24 juillet 2015 relative à la suppression de la publicité commerciale dans les programmes jeunesse de la télévision public, site du Sénat.
Loi n° 86-1067 du 30 septembre 1986 relative à la liberté de communication.
Décret n°92-280 du 27 mars 1992 pris pour l’application des articles 27 et 33 de la loi n° 86-1067 du 30 septembre 1986 et fixant les principes généraux définissant les obligations des éditeurs de services en matière de publicité, de parrainage et de télé-achat.
Recommandation du 7 juin 2006 aux éditeurs de services de télévision relative à des pratiques publicitaire liées à la diffusion d’oeuvres d’animation et de fiction à destination des mineurs.
Recommandation n° 2006-4 du 7 juin 2006 aux éditeurs de services de télévision relative à des pratiques publicitaires liées à la diffusion d’oeuvres d’animation et de fiction à destination des mineurs.
Délibération n°2011-09 du 27 avril 2011 relative aux conditions de diffusion, par les services de télévision et de radio, des communications commerciales en faveur d’un opérateur de jeux d’argent et de hasard légalement autorisé.
Directive 2010/13/UE du Parlement européen et du Conseil du 10 mars 2010 visant à la coordination de certaines dispositions législtaives, réglementaires et administratives des Etats membres relatives à la fourniture de services de médias audiovisuels.
Convention européenne sur la télévision transfrontière.