IA, algorithmes & état de droit

Au programme :

  • Modération des contenus, extraterritorialité et CJUE – Analyse comparée des décisions du 3 octobre et du 24 septembre 2019, par Morgane Galfre
  • Les deepfakes, nouvelle arme de désinformation massive, dans le viseur du législateur californien, par Pierre Legros
  • La nouvelle politique de ciblage publicitaire du site de Libération – Un cas d’école pour illustrer le RGPD, par Jeremie Caffin

Modération des contenus, extraterritorialité et CJUE – Analyse comparée des décisions du 3 octobre et du 24 septembre 2019

Par Morgane Galfre 

 [ Deux salles, deux ambiances.] 

En 2016, Eva Glawischnig-Piesczek, députée du parti écologiste autrichien, somme Facebook de supprimer des messages à caractère haineux la concernant. Après une vaine tentative auprès de la plateforme, elle se tourne vers la justice autrichienne, allant jusque devant la Cour suprême autrichienne qui fait droit à sa demande. Face aux enjeux globaux que recouvre le litige, cette dernière saisi la Cour de Justice de l’Union Européenne (CJUE) d’une question préjudicielle pour interprétation de la Directive sur le commerce électronique. 

En principe, les réseaux sociaux sont considérés comme des hébergeurs au sens de la Directive susmentionnée. Aussi, ils bénéficient d’un régime d’exonération de responsabilité pour les contenus diffusés par leur intermédiaire dès lors qu’ils méconnaissent leur illicéité ou qu’il agit promptement pour retirer le contenu ou en rendre l’accès impossible. Cela implique que la victime de messages haineux n’aurait la possibilité de contraindre un réseau social tel que Facebook à la suppression des contenus litigieux. 

Dans sa décision du 3 octobre 2019, la CJUE tente donc de renforcer les moyens de défense face à ces incivilités numériques. En substance, elle reconnait que la possibilité pour les tribunaux d’un Etat membre d’enjoindre les réseaux sociaux de supprimer automatiquement un message déjà jugé illégal, ou tout autre « contenu équivalent » ne contrevient pas aux dispositions de la Directive. En l’espèce, il a été jugé que Facebook n’avait pas réagi promptement à la demande de suppression de la députée faisant ainsi tomber son exonération et qu’en ce sens il devait répondre à l’injonction qui lui était faite. 

La Cour va plus loin. En effet, elle admet que l’injonction d’une juridiction étatique pourrait contraindre les réseaux sociaux à supprimer les contenus litigieux à l’échelle mondiale. De cette manière, la CJUE consacre l’extraterritorialité des jurisprudences nationales en matière de modération des contenus. Cela n’est pas sans poser de difficultés puisque l’illicéité d’un contenu varie d’une législation étatique à une autre. Aussi, parce qu’ils sont illicites en France, des contenus parfaitement licites en Allemagne pourront y être retirés. Bien entendu, la liberté d’expression semble ici mise à mal. Fort heureusement, le dispositif n’est que facultatif. Les tribunaux nationaux se voient offrir la possibilité d’enjoindre ou non les réseaux sociaux et ce à l’échelle nationale ou à l’échelle globale. 

In fine, cela revient également à admettre la portée extraterritoriale de la Directive sur le Commerce électronique. 

Cette décision est à mettre en perspective avec une autre décision de la CJUE rendue à une semaine d’intervalle. En effet, dans un arrêt du 24 septembre 2019, la CJUE a du se prononcer sur l’interprétation du Règlement Général sur la Protection des Données à caractère personnel (RGPD) et plus particulièrement sur la portée géographique de son article 17.1.f. relatif au droit à l’effacement, « le droit à l’oubli ». Le droit à l’oubli permet à tout citoyen ou résident européen de demander à un moteur de recherche la suppression de données ou contenus le concernant. En l’espère, les contenus retirés ne l’étaient que sur l’extension française mais le simple fait d’utiliser une extension telle que Google.com permettait d’accéder aux informations litigieuses.  La CNIL a sommé la société Google de supprimer les contenus pour toutes les extensions, c’est-à-dire d’effacer les données à l’échelle globale. Google s’y refusait catégoriquement invoquant le champ d’application limité des dispositions du RGPD. 

A rebours de l’arrêt du 3 octobre 2019, la CJUE a confirmé le positionnement de Google et refuser d’étendre le champ d’application du droit à l’effacement à l’échelle globale. Cela signifie que contrairement à l’affaire Glawischnig-Piesczek, la Cour se refuse à admettre l’extraterritorialité de la modération des contenus. 

Alors que l’application du RGPD est cantonnée à l’Union Européenne, la Directive sur le Commerce électronique pourrait se targuer d’une application mondiale. L’analyse comparée de ces décisions laisse craindre une incohérence quant à l’application du droit européen. L’illicéité du contenu et l’absence d’injonction judiciaire peuvent être des éléments discriminants et explicatifs de cette distorsion. Cela signifierait que la décision de la Cour aurait été tout à fait différente si les contenus visés avaient été seulement indésirables sans être illicites. 

Sources :

  • Décision CJUE C18-18, 3 octobre 2019 – Affaire Glawischnig-Piesczek c. Facebook Ireland. 
  • Décision CJUE 507-17, 24 septembre 2019 – Affaire CNIL c. Google LLC.

 

Les deepfakes, nouvelle arme de désinformation massive, dans le viseur du législateur californien

Par Pierre Legros

  Ce 3 octobre 2019, le gouverneur de Californie a ratifié deux lois visant à lutter contre les deepfakes politiques et pornographiques : 

  • Le premier texte, l’Assembly Bill No. 730 (AB-730), rend illégale la diffusion avec malveillance réelle de « supports audio ou visuels matériellement trompeurs d’un candidat à un poste électif (…) dans l’intention de nuire à sa réputation ou de persuader un électeur de voter pour ou contre lui », dans les 60 jours précédent une élection.
  • Le second texte, l’Assembly Bill No. 620 (AB-602), créer un droit d’agir en justice, sur le plan civil, à tout « individu qui semble, à la suite de la numérisation, donner une performance qu’il n’a pas exécutée ou dans une représentation modifiée » contre une personne qui « crée et/ou divulgue intentionnellement des documents sexuellement explicites et (…) sait ou aurait dû raisonnablement savoir que la personne représentée dans ces documents n’a pas consenti à sa création ou à sa divulgation ». 

Du point de vue de la victime, la question se pose de savoir comment se concrétise une telle action, notamment sur le plan procédural.

S’agissant de l’AB-730, la loi expérimentale autorise un candidat à un poste électif, victime de deepfake, à solliciter une mesure injonctive ou autre indemnité équitable interdisant la distribution des médias audio ou visuels trompeurs. Le texte autorise également ledit candidat à intenter une action civile contre la personne physique ou morale ayant produit, distribué, publié ou diffuser le support visuel ou audio trompeur, en vue d’obtenir des dommages et intérêts. 

Néanmoins, par nécessité de limiter la restriction à la liberté d’expression, protégée par le premier amendement à la Constitution des Etats-Unis, la loi expérimentale se veut nécessairement enfermée dans un cadre restrictif. L’objectif est évidemment d’assurer une certaine proportionnalité dans l’atteinte portée à cette liberté fondamentale, au regard du but légitime poursuivi qu’est la lutte contre la désinformation et l’atteinte à la dignité, à l’honneur et à la réputation du candidat. Ainsi, est prévue une série d’exceptions contre lesquelles le candidat ne pourra agir, tels que : les vidéos de satire ou de parodie, la mention clairement indiquée du caractère altéré du contenu, etc.

L’action intentée par le candidat victime se voudra, néanmoins, difficile sur le terrain de la preuve. Ce dernier devra, non seulement, prouver la superposition d’images – autrement dit le caractère « trompeur » du fichier –, mais également, caractériser l’intention et plus encore la « malveillance réelle ». Le texte souligne d’ailleurs la nécessité d’apporter une preuve « claire et convaincante ». De plus, le cadre restrictif de 60 jours avant une élection, limite nécessairement l’efficacité pleine et entière de cette lutte aux deepfakes politiques.

La place centrale de la modération des plateformes de diffusion de contenus pose également problème en la matière. Le texte rappelle en effet l’existence de l’immunité des fournisseurs de services interactifs en vertu de la section 230 du titre 47 de la Loi sur la décence dans les communications – ou Communication Decency Act –. A titre d’illustration, Facebook avait refusé de retirer la vidéo où Nancy Pelosi, la présidente démocrate de la Chambre des représentants, apparaissant ivre, au cours d’un discours, au prétexte que celle-ci était simplement ralentie. En l’espèce, par la mention de cette immunité, le texte semble fidèle à la logique de déresponsabilisation des plateformes passives, tout en permettant subsidiairement à la victime de recourir à une demande d’injonction a posteriori.

S’agissant de l’AB-602, la victime de deepfakes pornographiques se voit en droit de réclamer :

  • Les éventuels gains de la personne à l’origine de la production ou de la diffusion du contenu illégal ;
  • La réparation des dommages économiques et non économiques causés par la divulgation du contenu illégal, y compris les dommages pour détresse émotionnelle, équivalent à un montant 
  • soit compris entre 1 500 dollars et  30 000 dollars, 
  • soit ne dépassant pas 150 000 dollars, si l’acte illégal a été commis avec malveillance ;
  • Des dommages punitifs ; et/ou 
  • Tout autre soulagement disponible, y compris l’injonction. 

Ce droit d’agir est toutefois enfermé dans un délai de trois ans après la date à laquelle « la création, le développement ou la divulgation non autorisés ont été découverts ou auraient dû être découverts avec l’exercice d’une diligence raisonnable ».

La difficulté de cette action résidera cependant dans la preuve de la « numérisation », qui est définie par le texte comme étant « la description de manière réaliste : des parties du corps nu d’un autre être humain en tant que parties du corps nu de l’individu représenté [ou] des parties du corps nu générées par ordinateur en tant que parties du corps nu de l’individu représenté ». Finalement, l’intérêt d’une telle loi pose question face à la législation existante pour lutter contre le phénomène de « revenge porn ». En effet, au-delà du plan civil, cette législation pénalise la diffusion d’image ou vidéo, à contenu sexuel, d’une autre personne, sans son consentement. Il serait tout à fait possible d’appliquer cette loi aux deepfakes pornographiques, ce qui simplifierait la preuve de l’infraction par la victime, en la limitant à l’absence de consentement. L’intérêt pourra néanmoins résulter d’un cumul des actions, au civil et au pénal et in fine conduire au cumul des sanctions.

Si la nécessité de lutter contre les deepfakes apparait indéniable, la question se pose de l’efficacité d’un tel dispositif législatif spécifique face à la technicité du procédé, notamment au regard des contraintes de preuves. 

Sources :

 

La nouvelle politique de ciblage publicitaire du site de Libération – Un cas d’école pour illustrer le RGPD

Par Jérémie Caffin

  Jeudi 10 octobre 2019, Libération a annoncé sur son site internet qu’à partir du 29 octobre, l’ensemble de ses abonnés bénéficieront d’un retrait des trackers publicitaires. Ces derniers continueront cependant d’être déposés, par défaut, chez les lecteurs non-abonnés, ce qui soulève des difficultés au regard du droit de la protection des données personnelles. En effet, l’article 4 §11 du règlement européen n°2016/679 UE (RGPD) dispose que le consentement doit être libre, spécifique, univoque et éclairé. Le dispositif prochainement mis en place par Libération semble problématique vis-à-vis de la validité du consentement des lecteurs non-abonnés. 

  • Liberté et spécificité du consentement

Un consentement libre requiert une véritable liberté de choix pour la personne concernée. Le refus ou le retrait de son consentement à la collecte des données ne doit donc lui causer aucun préjudice, comme l’impossibilité d’accéder au site internet recherché. Par ailleurs, la spécificité du consentement signifie que la personne concernée doit avoir la possibilité d’accepter ou de refuser la collecte de données personnelles pour chaque finalité.

Au moment de notre enquête, jeudi 10 octobre 2019, il était impossible d’accéder à l’option permettant de refuser spécifiquement le ciblage publicitaire. Néanmoins, le blocage de l’ensemble des cookies via un navigateur internet était opérationnel. Cette solution semble radicale puisqu’elle ne permet pas le dépôt des cookies de fonctionnement, ce qui entrave l’accès au site et contraint in fine la liberté et la spécificité du consentement. En revanche, à la date de la publication de cet article, le paramétrage des cookies depuis les conditions générales d’utilisation (CGU) du site de Libération fonctionne. Il est toutefois impossible d’affirmer si cela est le fruit d’un revirement de position de l’entreprise de presse, d’un bug d’affichage, d’une connexion internet trop lente ou encore d’un lien hypertexte. En tout état de cause, les recommandations de la Commission Nationale de l’Informatique et des Libertés (CNIL) sont claires : pour être spécifique, le consentement doit être décorrélé des CGU.

Ce cas illustre ainsi comment, en matière de protection des données personnelles, les problèmes techniques et juridiques sont étroitement liés. Ces derniers pouvant être le corolaire des premiers en portant atteinte à la validité du consentement.   

  • Univocité du consentement 

Pour que le consentement soit non-équivoque, celui-ci requiert une « déclaration » ou « un acte positif clair ». La Cour de Justice de l’Union Européenne a affirmé, dans un arrêt en date du 1er octobre 2019, que le consentement de l’utilisateur d’un site internet au placement et à la consultation de cookies n’est pas valablement donné au moyen d’une case cochée par défaut. Autrement dit, une case cochée par défaut du consentement requiert un acte positif clair afin de garantir sa liberté. Par ailleurs, dans ses lignes directrices du 4 juillet 2019, la CNIL a précisé que « le fait de continuer à naviguer sur un site web, d’utiliser une application mobile ou bien de faire défiler la page d’un site web ou d’une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable ». 

Or, la bannière sur le site internet de Libération indique que lorsque l’internaute y poursuit la navigation, celui-ci accepte les CGU et l’utilisation de cookies afin de réaliser des statistiques d’audiences. Les CGU précisent que les  données sont collectées également à des fins publicitaires. Si ces conditions offrent la possibilité pour le lecteur non-abonné de désactiver spécifiquement la publicité ciblée, l’option est toutefois activée par défaut.

Le maintien pour les lecteurs non-abonnés d’un système de consentement par navigation combiné à l’activation par défaut de la publicité ne parait donc pas compatible avec le droit de la protection des données personnelles. Pour une mise en conformité optimale, il serait ainsi préférable que la désactivation par défaut des trackeurs publicitaires bénéficient à tous les lecteurs de Libération, qu’ils soient abonnés ou non. Il serait également pertinent de séparer les conditions relatives à la collecte et au dépôt des cookies publicitaires des conditions générales d’utilisation afin de garantir un consentement éclairé et spécifique. Toutefois, il convient de préciser que Libération ne s’expose pas aux sanctions de la CNIL sur ce fondement. En effet, celle-ci entend sanctionner ces pratiques illicites liées aux traceurs publicitaires qu’à compter de juillet 2020. Par cette application différée de la législation, la CNIL souhaite laisser aux responsables de traitement un temps d’adaptation à la nouvelle réglementation. 

Enfin, cette affaire ouvre un autre débat ; il apparait tout à fait préoccupant de constater que la protection des données puisse être conditionnée à la fourniture de services onéreux. Verra-t-on se multiplier à l’avenir des services onéreux permettant l’optimisation de la protection de la vie privée sur Internet ?

Sources :