Numéro 57 - Semaine du 9 au 15 mai 2011

dimanche 15 mai 2011 • GF

L’actualité du droit des nouvelles technologies est dominée, cette semaine, par plusieurs affaires relatives à la protection des données personnelles.

Protection des données personnelles

D’abord, un rebondissement dans une affaire ancienne : les serveurs de Sony, stockant les données personnelles des utilisateurs de PlayStation et des services en ligne de l’opérateur japonais, ont été «piratés» et les malfaiteurs ont dérobé les données de plusieurs millions d’internautes. Sony a réagi de plusieurs manières : la société «chasse» les données volées sur le Web, pour les retirer lorsqu’elles sont publiées, offre une récompense à toute personne en mesure de lui apporter des éléments concernant l’acte de «piratage», et retarde le rétablissement de ses services jusqu’à ce qu’ils soient mieux sécurisés. Rappelons à ce titre que, selon le droit européen, le responsable du traitement des données personnelles d’autrui a l’obligation d’assurer la sécurité de ces données. Bien entendu, aucun système de protection informatique n’est en mesure d’assurer une sécurité parfaite ; l’obligation de sécurisation des données signifie donc que le responsable du traitement doit mettre en oeuvre tous les moyens nécessaires afin d’assurer la sécurité des données, et qu’il est juridiquement responsable en cas de fuite.

De son côté, le réseau de hackers Anonymous… a été hacké. Des centaines d’adresses IP ont été publiées, donnant ainsi aux autorités la possibilité d’identifier dans le monde réel des membres du groupe Anonymous. Qui est derrière cette opération ? À qui profite-t-elle ? Quelles en seront les conséquences ? Le réseau s’en remettra-t-il ?

Une autre polémique relative aux données personnelles touche Google et Facebook. On sait que les deux sociétés américaines s’affrontent pour la domination du Web social (mais se rejoignent volontiers lorsque leurs intérêts concordent), Facebook devenant petit à petit un «portail» vers d’autres contenus qui éloignerait les internautes du moteur de recherche de Google. Or, l’on a appris cette semaine que Facebook a financé une campagne de publicité contre Google. Cette campagne invitait à s’intéresser à la manière dont le service Google Circles révélait aux internautes des données relatives aux «amis de leurs amis». Pas de chance pour Facebook, le service de Google semble être conforme à la loi américaine.

Et c’est l’arroseur arrosé : Facebook se retrouve à son tour au centre d’un scandale relatif à la sécurisation des données de ses utilisateurs. Une faille de sécurité découverte par Symantec (l’éditeur de l’antivirus Norton) aurait permis à des applications tierces, par le truchement des applications publicitaires intégrées à Facebook, d’accéder aux profils des membres du réseau social. Facebook a corrigé la faille et conseille à ses membres de changer leur mot de passe. Toute la question, dans cette affaire, est celle de savoir si la faille a été effectivement exploitée pour obtenir frauduleusement des données personnelles. Le Congrès américain s’intéresse au problème et demande des explications à Facebook.

En France, la CNIL constate la baisse du niveau de protection des données personnelles par les moteurs de recherche, en réagissant à la décision de Yahoo! (dont nous avions parlé) d’augmenter la durée de la rétention des données personnelles des internautes.

De son côté, le groupe européen en charge des questions relatives à la protection des données personnelles (le «G29», créé par l’article 29 de la directive 1995/46), réagit à la polémique suscitée par la gestion des données de géolocalisation dans les terminaux mobiles Apple (dont nous avions également parlé, à plusieurs reprises). Le G29 devrait ainsi, dans un prochain avis, qualifier les données de géolocalisation de données personnelles, et préciser les conditions dans lesquelles leur collecte, leur traitement et leur stockage sont conformes au droit européen. Affaire à suivre.

Propriété intellectuelle

Changeons de sujet, et parlons un peu de propriété intellectuelle. Le système de la riposte graduée, que nous connaissons en droit français avec la loi Hadopi, vient d’être rejeté par le législateur belge. La question qui se pose désormais est donc celle de savoir quelle sera la réponse belge au phénomène du téléchargement illicite : filtrage ou licence globale ?

En France, selon une statistique récente, 50% des internautes avertis par l’Hadopi auraient cessé de télécharger des fichiers contrefaisants. D’un autre côté, sous pression constante des ayants droit, l’Hadopi envisage le filtrage des sites de streaming. Reste à savoir quelle sera la position des autorités européennes sur cette question, le filtrage n’étant possible que dans le cadre juridique défini par la directive «commerce électronique» de 2000.

Aux États-Unis, la répression bête et méchante continue, avec l’assignation de plusieurs FAI dans le but d’obtenir l’identité de plus de 23 000 internautes suspectés d’avoir téléchargé de manière illicite le film «The Expendables».

L’actualité du droit des nouvelles technologies est dominée, cette semaine, par plusieurs affaires relatives à la protection des données personnelles.

Protection des données personnelles

D’abord, un rebondissement dans une affaire ancienne : les serveurs de Sony, stockant les données personnelles des utilisateurs de PlayStation et des services en ligne de l’opérateur japonais, ont été «piratés» et les malfaiteurs ont dérobé les données de plusieurs millions d’internautes. Sony a réagi de plusieurs manières : la société «chasse» les données volées sur le Web, pour les retirer lorsqu’elles sont publiées, offre une récompense à toute personne en mesure de lui apporter des éléments concernant l’acte de «piratage», et retarde le rétablissement de ses services jusqu’à ce qu’ils soient mieux sécurisés. Rappelons à ce titre que, selon le droit européen, le responsable du traitement des données personnelles d’autrui a l’obligation d’assurer la sécurité de ces données. Bien entendu, aucun système de protection informatique n’est en mesure d’assurer une sécurité parfaite ; l’obligation de sécurisation des données signifie donc que le responsable du traitement doit mettre en oeuvre tous les moyens nécessaires afin d’assurer la sécurité des données, et qu’il est juridiquement responsable en cas de fuite.

De son côté, le réseau de hackers Anonymous… a été hacké. Des centaines d’adresses IP ont été publiées, donnant ainsi aux autorités la possibilité d’identifier dans le monde réel des membres du groupe Anonymous. Qui est derrière cette opération ? À qui profite-t-elle ? Quelles en seront les conséquences ? Le réseau s’en remettra-t-il ?

Une autre polémique relative aux données personnelles touche Google et Facebook. On sait que les deux sociétés américaines s’affrontent pour la domination du Web social (mais se rejoignent volontiers lorsque leurs intérêts concordent), Facebook devenant petit à petit un «portail» vers d’autres contenus qui éloignerait les internautes du moteur de recherche de Google. Or, l’on a appris cette semaine que Facebook a financé une campagne de publicité contre Google. Cette campagne invitait à s’intéresser à la manière dont le service Google Circles révélait aux internautes des données relatives aux «amis de leurs amis». Pas de chance pour Facebook, le service de Google semble être conforme à la loi américaine.

Et c’est l’arroseur arrosé : Facebook se retrouve à son tour au centre d’un scandale relatif à la sécurisation des données de ses utilisateurs. Une faille de sécurité découverte par Symantec (l’éditeur de l’antivirus Norton) aurait permis à des applications tierces, par le truchement des applications publicitaires intégrées à Facebook, d’accéder aux profils des membres du réseau social. Facebook a corrigé la faille et conseille à ses membres de changer leur mot de passe. Toute la question, dans cette affaire, est celle de savoir si la faille a été effectivement exploitée pour obtenir frauduleusement des données personnelles. Le Congrès américain s’intéresse au problème et demande des explications à Facebook.

En France, la CNIL constate la baisse du niveau de protection des données personnelles par les moteurs de recherche, en réagissant à la décision de Yahoo! (dont nous avions parlé) d’augmenter la durée de la rétention des données personnelles des internautes.

De son côté, le groupe européen en charge des questions relatives à la protection des données personnelles (le «G29», créé par l’article 29 de la directive 1995/46), réagit à la polémique suscitée par la gestion des données de géolocalisation dans les terminaux mobiles Apple (dont nous avions également parlé, à plusieurs reprises). Le G29 devrait ainsi, dans un prochain avis, qualifier les données de géolocalisation de données personnelles, et préciser les conditions dans lesquelles leur collecte, leur traitement et leur stockage sont conformes au droit européen. Affaire à suivre.

Propriété intellectuelle

Changeons de sujet, et parlons un peu de propriété intellectuelle. Le système de la riposte graduée, que nous connaissons en droit français avec la loi Hadopi, vient d’être rejeté par le législateur belge. La question qui se pose désormais est donc celle de savoir quelle sera la réponse belge au phénomène du téléchargement illicite : filtrage ou licence globale ?

En France, selon une statistique récente, 50% des internautes avertis par l’Hadopi auraient cessé de télécharger des fichiers contrefaisants. D’un autre côté, sous pression constante des ayants droit, l’Hadopi envisage le filtrage des sites de streaming. Reste à savoir quelle sera la position des autorités européennes sur cette question, le filtrage n’étant possible que dans le cadre juridique défini par la directive «commerce électronique» de 2000.

Aux États-Unis, la répression bête et méchante continue, avec l’assignation de plusieurs FAI dans le but d’obtenir l’identité de plus de 23 000 internautes suspectés d’avoir téléchargé de manière illicite le film «The Expendables».