Flash Tech n°2018-09

Flash Tech n°2018-09

Crédit photo : Javier Morales

SOMMAIRE

Régulation et Gouvernance

– Privacy Shield : la Commission européenne et les Etats-Unis réaffirment leur attachement à l’accord

– Fiscalité du numérique : des sénateurs appellent l’UE à abandonner son projet

– Le nouvel accord commercial nord-américain (AEUMC) intègre des dispositions sur le numérique

– Protection des données : des auditions au Congrès soulignent les divergences entre acteurs

– Neutralité du net : poursuite des actions en justice

– Conférence à la Federal Trade Commission (FTC) sur la propriété intellectuelle « au 21ème siècle »

Technologies

– Le Massachusetts Institute of Technology va investir 1 Md USD dans l’intelligence artificielle

Entreprises

– Nouvelles fuites de données exposant des dizaines de millions d’usagers de Facebook et Google

– Uber a obtenu de la justice que ses chauffeurs ne puissent pas poursuivre l’entreprise via une class-action

– IBM a racheté l’entreprise de solutions open-source Red Hat pour le montant record de 34 Mds USD

– Résultats T3 de quelques entreprises du secteur tech

Relais d’opinion

– L’institut IA Now a organisé sa 3ème conférence annuelle sur l’intelligence artificielle

– Avant les élections de mi-mandat, l’American Enterprise Institute (AEI) fait le point sur les enjeux tech


REGULATION ET GOUVERNANCE

Privacy Shield : la Commission européenne et les Etats-Unis réaffirment leur attachement à l’accord, mais des éléments restent à préciser

Les 18 et 19 octobre 2018, à Bruxelles, l’exécutif américain et la Commission européenne ont conduit la deuxième évaluation de l’accord du Privacy Shield ou Bouclier de Protection des données U.E. – Etats-Unis. Les Etats-Unis étaient représentés par le Secrétaire au Commerce, Wilbur Ross et l’U.E. par la Commissaire Věra Jourová. Dans un communiqué commun, les deux représentants se sont félicités de la croissance du nombre d’entreprises participantes (« près de 4 000 » actuellement), qui souligne « l’importance vitale du Privacy Shield dans le commerce et la protection des données transatlantiques ». L’exécutif américain et la Commission européenne ont considéré que malgré certains points à clarifier, plusieurs initiatives récentes de l’administration américaine étaient des signaux positifs, notamment : (i) la nomination de Manisha Singh en tant que médiatrice temporaire (ombuds-person), chargée de traiter les requêtes de ressortissants européens concernant l’accès à leurs données par les autorités (avec la promesse américaine qu’un Sous-Secrétaire permanent au sein du Département d’Etat américain sera nommé pour occuper cette fonction de manière continue) ; (ii) la confirmation, au Sénat américain, de trois membres auprès du Privacy and Civil Liberties Oversight Board (PCLOB), qui rend à nouveau opérationnelle cette agence bipartisane chargée de veiller à ce que l’administration n’empiète pas de manière excessive sur les libertés individuelles dans le cadre de la lutte contre le terrorisme ; (iii) l’engagement du Département au Commerce (DOC) d’exclure du Privacy Shield les entreprises qui n’auraient pas respecté certaines des obligations de l’accord, sans plus de précisions.

D’ici la fin de l’année, la Commission européenne publiera un rapport sur le fonctionnement du Privacy Shield. Pour rappel, le Privacy Shield instaure depuis 2016 un mécanisme d’auto-certification pour les entreprises américaines et européennes souhaitant transférer des données personnelles depuis l’Europe vers les Etats-Unis et vice versa. Les entreprises qui choisissent d’adhérer au Privacy Shield s’engagent à respecter un cahier des charges qui garantit un niveau de protection jugé suffisant aux données des ressortissants européens. Côté américain, ce mécanisme est supervisé par le DOC et le DOS.

Fiscalité du numérique : des sénateurs estiment que le projet européen constituerait une barrière commerciale

Le comité sénatorial aux finances a adressé une lettre au président de Conseil européen et au président de la Commission européenne afin de demander l’abandon du projet européen de fiscalité du numérique. La lettre est signée par le président et le co-président du comité sénatorial, les sénateurs Orrin Haatch (R.-Utah) et Ron Wyden (D.-Oregon). Dans une critique bipartisane du projet, les sénateurs estiment que le projet « a été conçu pour cibler les entreprises américaines et affaiblir les normes internationales en matière de fiscalité, tout en créant des barrières significatives au commerce transatlantique ». Ils reprennent ainsi une analyse du Peterson Institute, en estimant que le projet européen pourrait contrevenir aux règles l’Organisation Mondiale du Commerce. La lettre semble également s’inspirer des arguments développés par des lobbys conservateurs tels qu’énoncés en août 2018 (cf. Flash Tech n°2018-07) ainsi que par un document à charge de la Tax Foundation. Les sénateurs exhortent l’UE à focaliser ses efforts dans les négociations internationales animées par l’OCDE sur la fiscalité du numérique.

La position des sénateurs conforte celle du Secrétaire au Trésor américain, Steven Mnuchin, qui a réaffirmé son opposition à « toute initiative unilatérale ». Fin octobre, l’annonce de la proposition de taxe digitale du Royaume-Uni a donné une nouvelle actualité au sujet, les parties prenantes américaines observant que l’initiative européenne est loin d’être isolée.

Le nouvel accord commercial nord-américain (AEUMC) intègre des dispositions sur l’économie numérique

Au sein du nouvel accord commercial trilatéral appelé « Accord entre les Etats-Unis, le Mexique, et le Canada » (AEUMC) qui a été dévoilé le 30 septembre et qui devrait se substituer à l’ALENA, des dispositions importantes ont été prévues sur des aspects clés de l’économie numérique. Il s’agit en général d’étendre à l’ensemble de l’espace nord-américain certains principes clés de la réglementation numérique actuellement en vigueur aux Etats-Unis.

L’AEUMC intègre des dispositions similaires à celles contenues dans l’Accord de partenariat transpacifique (ou TPP, négocié sous la présidence Obama avant un retrait des Etats-Unis décidé par D. Trump en janvier 2017). Dans le détail, on peut citer : (i) l’extension de l’exemption de droits de douane et de l’interdiction de mesures discriminatoires aux produits numériques (e-books, vidéos, musique, jeux vidéo, logiciels) ; (ii) l’interdiction d’imposer des règles de localisation des données ; (iii) la limitation de la compétence des autorités publiques à exiger la divulgation des codes informatiques et algorithmes ; (iv) la limitation de la responsabilité civile des plateformes numériques concernant les contenus publiés par leurs usagers ; (v) des dispositions sur la protection des données personnelles, où la promotion de l’interopérabilité des différents cadres nationaux (en conformité avec le cadre OCDE en ce qui concerne la circulation des données) est encouragée ; (vi) l’extension à 70 ans de la période de protection du copyright ; (vii) la facilitation de l’accès aux trois marchés pour les opérateurs télécom.

Par ailleurs, une liste de « terrains de coopération réglementaire » est dressée : protection des données, cyber sécurité, identité numérique, e-gouvernement. Cela étant, l’accord insiste sur l’importance d’une régulation limitée : « the Parties shall endeavor to encourage development by the private sector of methods of self-regulation that foster digital trade, including codes of conduct, model contracts, guidelines and enforcement mechanisms » (article 19.14.d).

Enfin, sur la question de la protection des données personnelles, des grands principes sont posés (« limitation on collection, choice, data quality, purpose specification, use limitation, security safeguards, transparency, individual participation, and accountability ») mais l’élément nouveau est la valorisation de l’APEC Privacy Framework qui est un mécanisme visant à promouvoir les bonnes pratiques en la matière tout en s’assurant de l’interopérabilité des régimes nationaux de la vingtaine de pays-membres de l’APEC (Coopération économique pour l’Asie-Pacifique) dont font partie les Etats-Unis, le Canada et le Mexique.

Protection des données : des auditions au Congrès soulignent les divergences entre les opérateurs privés et les associations

Fin septembre et début octobre, le comité sénatorial au commerce, à la science et aux transports a organisé deux auditions sur la question de la protection des données qui ont successivement donné la parole aux opérateurs privés (Google, Amazon, Twitter, Apple, Charter Communications, AT&T) puis à la société civile (think tanks, chercheurs, activistes), avec la participation notable de Andrea Jelinek, la présidente de l’European Data Protection Board (EDPB) qui coordonne les autorités de protection des données au sein de l’U.E.

Opérateurs privés et associations se disent favorables à une loi fédérale qui imposerait des exigences de transparence (ex. : règles d’utilisation compréhensibles, notification des usagers en cas de fuite) et renforcerait les droits des consommateurs (ex. : consentement en cas de partage des données, droit d’accès et de correction des données, portabilité), mais le consensus s’estompe lorsqu’il s’agit d’apprécier l’intérêt d’adopter une législation similaire au RGPD en Europe ou au CCPA en Californie (cf. Flash Tech n°2018-06).

Les opérateurs privés considèrent que le RGPD, au moins dans sa rédaction très détaillée, n’est pas un modèle à suivre du fait des « coûts élevés » de mise en conformité (selon le représentant d’Alphabet, « Google employees spent hundreds of years of human time to comply with GDPR »), bien que certaines entreprises sont plus nuancées à ce propos (Apple, IBM, Charter). L’industrie estime globalement qu’une réglementation précise de type RGPD « freinerait l’innovation et constituerait une barrière à l’entrée pour les PME » (AT&T). Ainsi les entreprises plaident pour une règlementation sous la forme de principes généraux, pour ne pas faire de distinction entre les business models et pour empêcher les Etats fédérés d’adopter des règles plus strictes.

A contrario, les personnalités de la société civile interrogées soutiennent une législation adaptée au contexte américain mais aussi ambitieuse que le RGPD, avec des sanctions lourdes en cas de manquement aux obligations, grâce à un renforcement des organes de contrôle (Federal Trade Commission et Procureurs généraux). La présidente de l’EDPB a balayé les plaintes de Google sur les coûts de mise en œuvre en expliquant que si l’entreprise était en conformité avec la directive préalable au RGPD, elle aurait eu peu de peine à respecter la loi aujourd’hui.

Les associations américaines appellent à rejeter l’idée de règles uniformes à toutes les entreprises car cela reviendrait à opter pour « le plus petit dénominateur commun alors que les business models basés sur l’exploitation des données sont ceux qui posent le plus de questions » (Laura Moy, professeure de droit). En revanche, il existe des divergences sur le fait d’empêcher un Etat d’adopter des règles sur le sujet. La présidente de Center for Democracy & Technology (CDT), Nuala O’Connor, estime qu’une telle disposition serait pertinente pour des raisons d’interopérabilité et de libre circulation des données, à la condition que le régime fédéral soit très protecteur. De son côté, Laura Moy estime que les Etats fédérés doivent continuer à être des « laboratoires des politiques publiques », dans un contexte où de nouvelles problématiques sur la question risque d’émerger. L’un des défenseurs du CCPA en Californie, Alastair McTaggart, a estimé qu’il n’y avait aucune raison de concéder ce point aux entreprises alors qu’elles sont « d’ores et déjà en train d’essayer de modifier la loi californienne avant son entrée en vigueur en 2020 ».

Neutralité du net : les actions en justice se poursuivent et la Californie trouve un accord temporaire avec le DOJ

Le 30 septembre, peu après la promulgation de la loi californienne sur la neutralité du net (cf. Flash Tech n°2018-08), le Département à la Justice (DOJ) a annoncé le dépôt d’une plainte contre l’Etat de Californie car cette loi « entrave l’approche fédérale de dérégulation appliquée à l’Internet » . La plainte du DOJ est appuyée par la Federal Communications Commission (FCC), à l’origine de la suppression des règles de neutralité du net au niveau fédéral. L’administration est également soutenue par les entreprises de télécoms qui, de leur côté, ont intenté une action en justice contre l’Etat du Vermont dont le gouverneur a signé une loi et un décret visant à conditionner l’accès au marché public à l’adoption de règles de neutralité du net.

En parallèle, la FCC fait l’objet d’une plainte des Etats fédérés et d’associations pour avoir supprimé les règles de neutralité du net ; les parties devraient être entendues en décembre lors d’une audience à la Cour d’appel du District de Columbia.

Dans l’attente de ce procès en appel, le DOJ et la Californie ont trouvé, le 26 octobre 2018, un accord temporaire. La Californie s’engage à ne pas faire appliquer son texte sur la neutralité du net en échange d’un arrêt des poursuites du DOJ et ce, jusqu’à ce qu’un juge ait pu se prononcer sur la suppression des règles de neutralité du net au niveau fédéral. Pour Ajit Pai, président de la FCC, cet accord est un coup dur pour les défenseurs de la neutralité du net. Il reviendra au système judiciaire américain de se prononcer sur deux points : la compétence d’une agence fédérale à édicter ces règles sur la neutralité du net et la compétence des Etats à légiférer de leur côté.

Conférence à la Federal Trade Commission sur la propriété intellectuelle

La Federal Trade Commission (FTC), l’autorité indépendante en charge de faire appliquer le droit de la concurrence aux Etats-Unis, a tenu les 23 et 24 octobre 2018 des auditions sur le rôle de la propriété intellectuelle comme outil de promotion de l’innovation et d’amélioration des offres faites aux consommateurs. Cette conférence s’inscrivait dans le cadre du cycle de discussions publiques sur le thème « compétition et protection des consommateurs au 21ème siècle » organisé par la FTC.

Parmi les différents sujets évoqués, la Commission a interrogé les experts sur le fait de savoir si les brevets étaient un outil de stimulation et de récompense de l’innovation ou au contraire un frein. Les experts convoqués ont cherché à montrer que le système était positif et qu’il permettait d’inciter les innovateurs tout en contribuant au financement de la R&D. Il a également été question de la qualité des brevets délivrés par l’USPTO (Bureau américain des brevets et des marques de commerce), et des décisions du PTAB (Commission d’appel des brevets interne à l’Office).

Il a également été procédé à l’inventaire et à une revue des effets de l’American Invent Act récemment adopté ainsi que de récents arrêts de la Cour Suprême qui devaient remédier aux faiblesses du système américain. Il a été rappelé que des études montrent que depuis ces évolutions, la rédaction des demandes de brevets était plus précise et de meilleure qualité, et les procès étaient moins nombreux (de la part des patent trolls, entre autres).

Les représentants de l’Office américain (Commissaire des brevets et juge en chef du PTAB) ont reconnu que le système des brevets restait perfectible. Ils ont mis en avant les dernières réformes procédurales du PTAB qui permettront de corriger les vives critiques essuyées par le PTAB ces derniers mois.


TECHNOLOGIES

Le Massachusetts Institute of Technology va investir 1 Md USD dans ses activités liées à l’intelligence artificielle

Le Massachusetts Institute of Technology (MIT) a annoncé son projet d’allouer 1 Mds USD à ses activités en matière d’informatique et d’intelligence artificielle. Il s’agit d’un montant record pour une université américaine et correspondrait, pour le MIT, à un doublement de ces capacités de recherche actuels. 50 postes de chercheurs seront créés d’ici 2022, ainsi qu’un nouveau campus, le Schwarzman College of Computing, du nom du donateur le plus généreux et PDG du fonds d’investissement Blackstone. L’université a indiqué qu’il s’agit de son plus grand projet de réorganisation depuis 1950.


ENTREPRISES

Nouvelles fuites de données exposant des dizaines de millions d’usagers de Facebook et Google

Le 28 septembre 2018, Facebook a annoncé que les comptes de 50 M d’usagers du réseau social ont été victimes d’une attaque de pirates informatiques qui ont pu accéder à leurs comptes personnels en exploitant une faille d’une fonction permettant de savoir ce que d’autres utilisateurs voient d’un profil. Se servant de cette faille, les pirates ont récolté les clés numériques qui permettent aux usagers de ne pas avoir à se reconnecter formellement à chaque fois qu’ils accèdent aux services de la plateforme. L’entreprise a expliqué que 30 M d’usagers ont été « réellement » impactés (c’est-à-dire que leurs données personnelles ont été volées), dont environ 5 M d’Européens. Facebook a affirmé avoir corrigé le bug informatique et a demandé à plus de 90 M d’usagers de se reconnecter à leurs comptes. L’entreprise a alerté les services de sécurité américains ainsi que l’autorité de protection des données irlandaise car l’entreprise a son siège européen en Irlande.

La fuite de données concernant Google est de moindre ampleur car elle se restreint aux données du réseau social Google+ et concerne les données d’identités (nom, sexe, âge, emploi, …) de 500 000 d’usagers, même si Google dit ne pas être en mesure de déterminer ni si des données ont bel et bien été volées ni qui sont les usagers concernés. En revanche, les critiques se sont attardées sur la tentative de Google de dissimuler l’existence de cette faille de sécurité découverte en mars 2018, au moment de l’affaire Cambridge Analytica. Il s’agissait pour l’entreprise de ne pas souffrir de la mauvaise presse ciblant Facebook. Des enquêtes ont été ouvertes par des autorités de protection des données en Europe (à noter que les faits se sont déroulés avant l’entrée en vigueur du RGPD) et Google a désormais   l’intention de fermer Google+ d’ici août 2019 car le réseau social n’a jamais réussi à trouver son public. Comme le reconnaît Google, « 90% des usagers de Google + restent moins de 5 secondes lorsqu’ils se connectent au réseau social ».

Bien que les conséquences financières de ces deux affaires restent à préciser, elles interviennent dans un contexte de forte sensibilité sur cette thématique aux Etats-Unis et alors que Yahoo a récemment accepté de payer 50 M USD afin de mettre fin à des poursuites liées à deux fuites de données (la première avait exposé 3 Mds d’utilisateurs en 2013 et la seconde concernait 500 M de personnes en 2016).

Gig economy : Uber obtient de la justice que ses chauffeurs ne puissent poursuivre l’entreprise via une class-action

Selon la Cour d’appel fédérale pour le 9ème circuit (San Francisco), les chauffeurs en contrat avec Uber ne peuvent assigner collectivement l’entreprise en justice afin de contester leur statut de contractuels et ainsi obtenir un reclassement en tant que salariés de Uber. La décision de la Cour est motivée par le fait que le contrat signé entre Uber et ses chauffeurs stipule que ces derniers renoncent à leur droit au recours collectif, ou class-action, un mécanisme qui permet aux plaignants d’obtenir des réparations plus élevées tout en minimisant leurs frais de procédures. Cette disposition contractuelle avait été rejetée par le juge de première instance qui estimait que Uber ne pouvait pas contraindre les chauffeurs à renoncer à leur droit au recours collectif, lequel serait couvert par le National Labor Relations Act (NLRA). Cette interprétation du juge de première instance avait déjà été annulée en 2016 par la Cour d’appel fédérale. Mais, en confirmant à nouveau sa décision, l’interprétation de la Cour d’appel devrait à présent faire jurisprudence. En effet, la Cour s’est appuyée sur une décision de la Cour suprême, rendue en mai 2018 et qui abonde dans le même sens (Corp. v. Lewis). Il est à noter que la décision de la Cour suprême a opposé les juges conservateurs (majoritaires) aux juges libéraux.

Il s’agit d’une victoire juridique pour Uber, dans un contexte où l’entreprise cherche à préparer au mieux son introduction en bourse en début d’année 2019. Pour autant, cela ne signifie pas la fin des poursuites pour l’entreprise car plusieurs chauffeurs, soutenus par des organisations, ont l’intention de poursuivre individuellement l’entreprise.

IBM a racheté l’entreprise d’open-source Red Hat pour le montant record de 34 Mds USD

Le 28 octobre 2018, IBM a annoncé le rachat de Red Hat, une des entreprises leader dans le domaine des logiciels libres (open source). Le montant du rachat (34 Mds USD) est historique pour IBM qui espère s’appuyer sur Red Hat pour se renforcer dans le marché porteur du cloud-computing.

Résultats T3 de quelques entreprises du secteur tech

Plusieurs entreprises cotées en bourse ont publiées leurs résultats du 3ème trimestre. Amazon a enregistré une hausse de son chiffre d’affaires de 29% au troisième trimestre, atteignant un CA total 56,58 Mds USD et un bénéfice de 2,99 Mds USD. La croissance d’Amazon est tirée par ses activités de cloud-computing : les bénéfices d’Amazon Web Service ont augmenté de 77% par rapport à la même période lors de l’exercice précédent. Au cours de ce trimestre, Amazon a également connu une forte hausse de ses activités de distribution en Amérique du Nord (+35%). Le CA d’Alphabet, maison-mère de Google, a enregistré une hausse de 21% à 33,7 Mds USD, avec un bénéfice net de 9,2 Mds USD.

Du coté des réseaux sociaux, Twitter et Snap connaissent un déclin du nombre de leurs usagers mais les résultats financiers sont en phase avec les prévisions des marchés. Snap a perdu 5 millions d’utilisateurs entre mars et octobre 2018, mais l’entreprise est parvenue à ramener ses pertes nettes à 325,1 M USD, avec un CA de 297,7 M USD. Twitter a également enregistré une baisse du nombre de ses utilisateurs actifs au cours du troisième trimestre mais ses revenus ont satisfait les marchés grâce à une hausse du CA liée à la publicité sur son réseau (+29% par rapport à l’année précédente, à 750 M USD).

Enfin, Tesla a présenté un résultat positif pour la première fois en deux ans, avec un bénéfice net de 312 M USD au troisième trimestre.


RELAIS D’OPINION

L’institut IA Now a organisé sa 3ème conférence annuelle sur l’intelligence artificielle

Le 16 octobre 2018, le think tank AI Now a organisé sa conférence annuelle sur l’intelligence artificielle (IA). AI Now est rattaché à la New York University (NYU) et s’est imposé comme un cercle de réflexion clé sur le sujet de l’impact sociétal de l’IA. Cette troisième édition de l’événement a proposé un contre-narratif à l’enthousiasme ambiant autour de l’IA, rappelant ses limites techniques et les dangers d’une application hâtive et non supervisée des systèmes de décisions automatisées, en particulier dans le secteur public. Les intervenants qui se sont succédés ont appelé à démystifier l’IA, notamment en distinguant ce qui relève des progrès de l’automatisation et ce qui relève d’une « idéologie » présentant l’IA comme une « solution magique » qui serait plus efficace et neutre que les humains, lesquels perdraient en utilité dans ce scénario. L’événement s’est ainsi attardé à mettre en avant les limites actuelles des systèmes d’IA afin de mieux renvoyer à leurs responsabilités les concepteurs et les acheteurs de ces produits, avec un focus sur les techniques de reconnaissance faciale et les applications militaires de l’IA.

A l’approche des élections de mi-mandat, l’American Enterprise Institute (AEI) fait le point sur les enjeux tech

Dans son papier sur les enjeux « tech » des mid-terms, le think tank conservateur précise que ces enjeux seront relégués au second plan au profit d’autres considérations (pouvoir d’achat, protection sociale, sécurité, etc.) car les politiques numériques et télécoms font en général l’objet d’un consensus bipartisan, à l’exception de quelques sujets et en dépit d’approches différentes, notamment sur le rôle de l’Etat fédéral. Dans ce contexte, selon l’analyste Roslyn Layton, les deux sujets numériques qui suscitent le plus d’intérêt sont la protection des données et la neutralité du net. Dans le premier cas, un consensus est possible et les deux partis se disent prêts à travailler ensemble. Dans le cas de la neutralité du net, on assisterait à un clivage politique fort, « alimenté par le camp démocrate. »

COMMENTS

WORDPRESS: 0
DISQUS: 1