Avocats, innovation et prospective
Avril 2020 #20-21

Le contenu de cette Newsletter a été préparé,
pour la majorité de ses articles, avant le 16 mars 2020.

La tibune Innovation

Consentement, volontariat et signature à l'aveugle en ligne : StopCovid ou l'occasion de donner à comprendre

Marie Potel1, CEO d'Amurabi

Marie Potel

Si le débat sur la future application StopCovid n'a finalement pas encore eu lieu à l'Assemblée nationale, les multiples tribunes, analyses de risques à destination des non spécialistes et lettre ouverte, mais aussi l'Avis de la CNIL et l'Avis du Conseil National du Numérique des 24 avril dernier démontrent une chose : l'exigence de clarté totale et d'accessibilité de l'information juridique sur et dans cette future application.

Pour autant, de multiples études démontrent depuis une dizaine d'années que les utilisateurs – nous tous – ne lisent pas les chartes de protection des données personnelles en ligne, acceptées à l'aveugle.

Si le consentement ne sera pas la base juridique du traitement pour StopCovid, ainsi que l'a précisé la CNIL, il n'en demeure pas moins que pour le téléchargement soit volontaire, il suppose la compréhension des faits et des enjeux, par tous.

Un défi pour tous les avocats, mais aussi une chance : s'appuyer sur une solide expertise pour la rendre accessible, donner à comprendre, autonomiser les citoyens pour que chacun puisse réellement se déterminer. Tout simplement un enjeu de démocratie, où les experts du droit ont un rôle essentiel.

Dans son Avis (CNIL, délib. n° 2020-046, 24 avr. 2020 portant avis sur un projet d'application mobile dénommée « StopCovid »), la CNIL a souligné l'importance de la transparence et l'exactitude de l'information fournie aux utilisateurs, qui devra être « compréhensible par le plus grand nombre, dans des termes clairs et simples » et le CCN recommande « l'inclusion, l'accessibilité et la loyauté de l'information » et une « expérience utilisateur » de nature à : « simplifier au maximum l'installation et l'utilisation de l'application en épurant son design et en utilisant le français facile à lire et à comprendre (FALC) ».

Pour autant, les confusions sont nombreuses. L'Institut des Droits Fondamentaux Numériques le relève parfaitement dans sa lettre ouverte (V. la Lettre dans la rubrique « L'invité de la Newsletter »).

Il est vrai que la simple description de ce que fera cette application est en soi un exercice d'accessibilité de la complexité : téléchargée volontairement, cette app a pour objectif de prévenir une personne qu'elle a été en contact avec une autre, qui a été testée positive, pour lui recommander de se faire tester ou de s'auto-confiner.

Comment ? Via le Bluetooth, un ensemble de pseudonymes attribués aux différents smartphones connectés, et un serveur central auquel les pseudonymes sont régulièrement remontés, chargé d'identifier les « matchs ».

En pratique ?
- L'app envoie régulièrement au serveur les pseudonymes de chaque portable ;
- Une personne testée positive pourra décider de faire remonter l'historique des pseudonymes enregistrés sur son portable au serveur central ;
- Le serveur central identifiera les « matchs » entre les pseudonymes envoyés régulièrement et l'historique des pseudonymes remontés en tant que « cas contact » (Source: protocole développé par l'équipe Privatics de l'Inria, disponible sous Github).

    • La personne positive ne sait pas quels sont les pseudonymes enregistrés sur son portable ;
    • Seul l'historique des pseudonymes « cas contacts » est partagé avec le serveur central, mais pas le pseudonyme du portable qui fait remonter ces données au serveur central. Il n'y aurait donc pas de lien entre un historique et une personne.

L'Avis de la CNIL du 24 avril 2020 le confirme : « toute l'architecture du dispositif envisagée tend à ne faire remonter au serveur central que les pseudonymes générés par les applications associées aux personnes avec lesquelles un individu infecté a été en contact, et non le pseudonyme de ce dernier. Ce procédé minimise le risque de réidentification de la personne infectée à l'origine d'une alerte, dans le plein respect des principes de protection des données personnelles ».

C'est clair si on se donne la peine de lire non seulement la description du Protocole ROBert, l'Avis de la CNIL, si on connait la définition de « pseudonyme », notamment éclairée par L'Opinion de l'ancien GP29 sur les techniques d'anonymisation, et les explications de la CNIL sur anonymisation versus pseudonymisation…

Le problème réside dans le fait que d'innombrables études ont démontré que l'immense majorité des utilisateurs cochent sans lire les chartes de protection des données personnelles des applications qu'ils téléchargent (ou des sites qu'ils consultent).

Une Étude récente de la Behavioral Insights Team commanditée par le Gouvernement britannique pour tester et définir des bonnes pratiques pour les conditions générales et chartes de protection des données personnelles en ligne, a fait le point sur les recherches pluridisciplinaires relatives à la lecture et à la compréhension de ces chartes. Si les taux de lecture « auto-reportés » varient selon les études (de 1 à 65 % des internautes selon Elshout et al en 2016), les taux observés sont tous très bas : moins de 1 %.2

Une réponse rationnelle, relève l'OCDE dans une étude sur l'amélioration des disclosures en ligne grâce aux sciences comportementales, compte tenu de l'effort et du temps requis pour lire des chartes très longues et denses.3

Pire, deux chercheurs de l'université de Berkeley et de Dresde considèrent que notre cerveau aurait été « entrainé à accepter, sans lire » les textes juridiques en ligne, autoritaires et en petits caractères.4

Or, compte tenu des enjeux de santé et de libertés publiques soulevés par StopCovid, il essentiel que les experts donnent à comprendre au plus grand nombre.

Il existe une méthodologie et des outils pour cela : le langage juridique clair. Souvent mal compris, voire méprisé, par les avocats qui y voient une sur-simplification des contenus juridiques au détriment de la précision et de l'exhasutivité, le langage clair est pourtant une discipline académique depuis plusieurs décennies qui consiste à « rédiger en des termes si clairs que le lecteur identifie immédiatement l'information, comprend facilement ce qu'il lit et détermine aisément ce qu'il doit faire. »

Simple, jamais simpliste : il s'agit de rendre accessible la complexité, en donnant à chacun des clés pour s'orienter et décider.

Par exemple :
• Que signifie « téléchargement volontaire » ?

    • « Vous êtes libre de télécharger ou non cette application. Cela veut dire que si vous ne la téléchargez pas, ça n'aura aucune conséquence négative sur vous. Concrètement, cette application n'est pas une condition d'accès à certains sites, ni à la liberté de circuler à partir du déconfinement, ni à l'accès aux soins, ni à l'accès à votre lieu de travail ni à quoi que ce soit d'autre. »

• Est-ce que mes déplacements seront enregistrés ?

    • « Non. Le Blue Tooth ne permet pas de déterminer où se trouve un portable à un instant T, mais de savoir avec quels autres objets connectés via Blue Tooth un portable a été en contact/à proximité .»

Les KPIs démontrent que cette méthodologie permet non seulement d'autonomiser les citoyens, mais aussi aux avocats et juristes de retrouver de la satisfaction dans leur métier. C'est aussi une belle occasion, bien au-delà de StopCovid et pour toutes les chartes en ligne, de redonner au droit et à ses experts toute la place qu'ils méritent : au cœur de notre société démocratique.


1. Marie Potel-Saville enseigne l'innovation juridique par le design à Sciences Po, Assas et Singapore Management University. Après 10 ans de barreau, 4 années d'exercice en tant que directeur juridique EMEA, et un master “Innovation by Design” à l'ENSCI, elle a fondé en 2018 une agence d'innovation juridique par le design: Amurabi. Sa thèse professionnelle “La forme de la norme pourrait-elle lui redonner sa fonction” est disponible ici.

2. Bakos, Yannis, Florencia Marotta-Wurgler, and David R. Trossen, “Does Anyone Read the Fine Print? Consumer Attention to Standard-Form Contracts” : The Journal of Legal Studies 43 (1) : 1– 35, 2014. - Bakos et Trossen ont analysé le comportement de 90 000 foyers aux Etats Unis par rapport aux contrats de licence de logiciels achetés en ligne: 1 ou 2 sur 1 000 ouvre le contrat…

3. 2 chercheurs de Canegie Mellon avaient calculé dès 2012 qu'il faudrait 76 jours ouvrés pour lire toutes les politiques de confidentialité que les internautes acceptent en une année.

4. S'appuyant sur la théorie du "dual process", ces chercheurs affirment que des décennies de contrats en petits caractères incompréhensibles auraient « appris à notre cerveau à ne pas lire » : chaque fois que notre cerveau identifie un contenu qui ressemble à un contrat, il envoie la réponse automatique cocher/signer sans lire.





C’est lÉgal ! Le podcast des avocats

Ludovic Blanc, avocat au barreau de Paris, président de l’ACEJA Paris et membre de l’Incubateur du barreau de Paris

Legal

« C’est légal ! » est une série de podcasts juridiques produite par Moustic, the Audio agency en collaboration avec Maître Ludovic Blanc, avocat au barreau de Paris, Président de l’ACEJA Paris et membre de l’incubateur du barreau de Paris. V. https://podcast.ausha.co/c-est-legal

L’idée est d’abord née d’une rencontre entre Yves Bongarçon, cofondateur de l’agence Moustic, et Ludovic Blanc. Yves, malheureusement parti trop tôt, n’aura pas vu le projet naître. C’est en effet avec Guillaume Derachinois, directeur général de l’agence Moustic, que le projet va effectivement voir le jour en fin d’année 2019. Pour Ludovic Blanc, cette série est plus qu’une occasion à saisir pour les avocats : elle est une opportunité. En effet, pour l’avocat, les chiffres parlent d’eux-mêmes :
- Selon une étude de HAVAS pour le Paris Podcast Festival 2019 :

  • Ce type de podcast connaît un immense succès auprès des jeunes, urbains, de catégorie CSP+, qui est un public précieux puisqu’il est connecté, influent et difficile à atteindre avec les moyens traditionnels des annonceurs - ce qui est d’autant plus vrai pour les avocats…
  • Le podcast est LE média en vogue depuis quelques années, en particulier le podcast natif qui jouit d’une audience hebdomadaire d’environ 3,4 millions de français ;

- Selon une récente étude de M6 Publicité pour l’Observatoire des Podcasts, bien que les podcasts natifs connaissent une inflation sans précédent (+ 67 % en un an), l’offre de podcasts juridique demeure marginale et la présence des avocats plus encore.
Au-delà de ces chiffres, Ludovic Blanc a remarqué que de nombreux podcasts nouvellement lancés présentent deux écueils. D’une part, certains relèvent parfois trop de l’artisanat pour espérer être pérennes. D’autre part, d’autres s’inscrivent manifestement trop dans la tendance pour atteindre l’objectif d’engagement à long terme que doit rechercher ce médium.
Pour la profession, s’emparer du podcast est un défi : celui de l’accessibilité de l’avocat. Pour chaque avocat, le podcast est en fait une formidable opportunité de communiquer :
- Le format éditorial du podcast engage son auteur. Avec plus de 80 % de notes ou commentaires, il crée un lien avec l’auditeur, ce que ne font pas les moyens traditionnels de communication ;

- La réalisation d’un podcast est optimisée :

  • L’avocat prépare son intervention en un temps record, l’équivalent de 5 000 signes étant suffisant pour occuper la durée moyenne des podcasts « C’est légal ! » ;
  • L’enregistrement de deux séquences suffit généralement pour obtenir un podcast de qualité ;
  • La publication du podcast ne prend, après l’ingénierie sonore, que quelques jours.

- Le médium qu’est le podcast est parfaitement adapté aux avocats puisqu’il s’agit de valoriser, par la parole, leur connaissance, leur expertise. C’est un outil d’inbound marketing idéal pour la profession d’autant plus que le ratio investissement temps (minimum) / impact (importance du public potentiel et potentiel de leads qualifiés) semble inégalé à l’heure actuelle.

Un podcast sur deux dure aujourd’hui plus de 20 minutes. L’enjeu, pour la série « C’est légal ! », est de rester sur un format de durée coïncidant avec les tendances de l’industrie musicale contemporaine qui situe la durée moyenne idéale d’une chanson, entre 3 et 6 minutes en moyenne. Cette durée n’est pas le fruit du hasard : l’attention d’un auditeur face à un support audio de type monologue n’est pas assurée au-delà.

Le travail d’ingénierie réalisé sur chaque podcast de la série « C’est légal ! » participe à capter sérieusement l’attention de l’auditeur : la réalisation finale a un rendu professionnel essentiel dans un environnement aussi foisonnant que celui des podcasts. Le résultat final apparaît ainsi particulièrement sérieux, ce qui est la moindre des attentes que pourraient avoir les auditeurs de podcasts d’avocats !

Autre avantage du podcast : il se présente comme un complément alternatif des supports textuels, écrits ou numériques, qui arrivent manifestement à saturation.

D’ailleurs, l’une des clefs des stratégies de référencement des années à venir passe par cette diversification et le podcast en est la figure de proue, si l’on en croit la stratégie menée depuis quelques mois par Google notamment, qui place régulièrement, dans les résultats de recherche de son moteur, des podcats…

Le podcast ayant toute sa place dans la stratégie digitale des entreprises (cible large, générateur de trafic mobile, écoute sérielle…), les avocats ne doivent pas attendre pour s’en saisir d’autant plus que si son usage se démocratise, ce marché n’est pas toujours pas mature.

La plateforme « C’est légal ! » facilite l’accès des avocats à ce médium.

Après le succès du lancement de cette série, Ludovic Blanc et Guillaume Derachinois réfléchissent à l’avenir de « C’est légal ! » et, en particulier, à son ouverture au plus grand nombre d’avocats pour une diffusion du droit la plus large possible.


La tribune 	Prospective

Ce qu'il faut savoir sur le premier recours en France contre la vidéosurveillance automatisée

Martin Drago, juriste et membre de l'association La Quadrature du Net

Le 20 janvier 2020, La Quadrature du Net a déposé avec la Ligue des droits de l'Homme un recours devant le tribunal administratif de Marseille pour demander l'annulation de la décision prise par la ville en 2019 d'installer un dispositif de vidéosurveillance automatisée. Alors que le débat se focalise sur la reconnaissance faciale, de nombreuses collectivités locales déploient d'autres types de surveillance algorithmiques et biométriques, tout aussi dangereux pour nos libertés mais qui ne font pourtant l'objet que d'une publicité limitée.

Laquadrature.net

Présenté comme un dispositif de « vidéoprotection intelligente », le dispositif installé par la mairie de Marseille en décembre 2019 est actuellement en phase d'expérimentation1. Dans son appel d'offres daté de 2015, la mairie énonce que celui-ci a pour objectif d'améliorer le système existant de vidéosurveillance et « d'identifier des évènements qui se produisent en temps réel (… ) afin d'alerter automatiquement les opérateurs, lesquels pourront réagir en direct »2.

À cet effet, il prévoit non seulement la détection automatique d'« objets abandonnés » et d'« individus au sol », mais aussi de graffitis et de « destruction de mobilier urbain ». Il permet par ailleurs, dans le cadre d'affaires judiciaires, d'effectuer des recherches dans les images préalablement enregistrées à partir de filtres comme la « description » ou la « photo » d'un individu. Enfin, dans le cadre d'une tranche « conditionnelle » du marché, la mairie souhaite installer un dispositif de « détection sonore » et de « comportements anormaux (bagarre/rixe, maraudage, agression) ».

Valenciennes, Toulouse, Nice, La Défense

De tels dispositifs de surveillance algorithmiques de l'espace public ne sont malheureusement pas la spécificité de Marseille. Dans le cadre du projet de veille et d'analyse lancé par La Quadrature du Net et d'autres organisations, intitulé « Technopolice », d'autres systèmes aux caractéristiques semblables ont été identifiés dans plusieurs grandes villes françaises : Valenciennes, avec l'entreprise Huawei, Toulouse avec IBM, ou encore à Nice et La Défense avec Thalès dans le cadre du projet dit « Safe City ».

De nombreux arguments juridiques soulignent pourtant l'illégalité de la plupart de ces dispositifs, dont certains ont déjà fait l'objet d'avertissement de la part de la CNIL3. Ce sont ces arguments que La Quadrature du Net et la Ligue des droits de l'Homme avancent dans leurs contentieux contre Marseille, et qui pourraient être réutilisés dans le cadre des autres villes.

Le premier est d'ordre procédural. Considérant que ces dispositifs ne sont que l'amélioration de leurs systèmes de vidéosurveillance, la plupart des acteurs concernés (et c'est le cas en l'espèce de Marseille) n'ont pas pris la peine de rédiger, avant leur mise en place, une étude d'impact ou de consulter la CNIL sur la légalité de leurs installations. Ces procédures sont pourtant souvent obligatoires pour de tels systèmes.

Pouvoirs de police délégués aux entreprises

Les arguments les plus intéressants concernent néanmoins la légalité interne des décisions de mise en place de la vidéosurveillance automatisée. Ainsi, ces dispositifs permettent soit, dans le cadre d'affaires judiciaires, de faire directement de la reconnaissance faciale, soit, plus généralement, d'individualiser une personne sur la voie publique à partir de son comportement, par exemple parce qu'elle a réalisé un graffiti ou s'est attaquée au mobilier urbain. Or, de tels traitements sont considérés comme traitant des données biométriques et requièrent alors la preuve, selon les termes de la directive « Police - justice », de la « nécessité absolue » du traitement4. Cette justification n'est jamais apportée. De tels systèmes conduisent par ailleurs à déléguer aux entreprises qui configurent les algorithmes de détection automatique de réels pouvoirs de police administrative et de surveillance. Ces pouvoirs devraient pourtant, selon la jurisprudence du Conseil constitutionnel, être réservés à la personne publique5. D'autres arguments existent également, sur l'absence de cadre légal approprié ou du caractère excessif des traitements de données réalisés par ces systèmes6.

Ainsi, alors même que ces dispositifs posent de nombreux risques pour nos libertés, leur déploiement continue en France, et dans la plus complète opacité.

La Quadrature du Net appelle à la résistance contre ces différents projets et à rejoindre la campagne Technopolice.


1. Un vaste système de vidéosurveillance biométrique à Marseille attaqué en justice : Le Monde, 21 janv. 2020.

2. V. les documents publiés sur la plateforme de documentation data.technopolice.fr.

3. Des micros dans la rue : la CNIL tire les oreilles (intelligentes) de Saint-Étienne : Télérama 29 oct. 2019.

4. PE et Cons. UE, dir. n° 2016/680, 27 avr. 2016.

5. Cons. constit., déc. n° 2011-625 DC, 10 mars 2011.

6. V. le recours publié dans le communiqué de La Quadrature du Net, Safe City à Marseille : Premier recours contre la vidéosurveillance automatisée, 20 janv. 2020.





Juriste augmenté : LegalEDHEC et l’AFJE publient un référentiel de compétences

LegalEDHEC EDHEC Business School

LegalEDHEC, en partenariat avec l’AFJE, crée le premier référentiel de compétences du « Juriste augmenté » et annonce le développement de sa plateforme de Talent Management du droit en partenariat avec Seraphin.Legal. V. l’enquête de Christophe Roquilly, professeur, directeur du Centre de recherche LegalEDHEC, EDHEC business school et Jérome Frizzera-Mogli, consultant : https://www.edhec.edu/sites/www.edhec-portail.pprod.net/files/etude_
integrale_juriste_augmente_final.pdf

couverture rapport

Le centre de recherche LegalEDHEC publie les résultats d'une enquête menée auprès de 100 leaders du droit pour identifier les compétences clés du « Juriste augmenté », en partenariat avec l'Association française des juristes d'entreprise (AFJE), et signe un partenariat avec Seraphin.Legal pour le développement du premier référentiel de compétences en ligne destiné à accompagner le marché du droit dans la gestion de ses talents. L'étude suggère que pour s'adapter à un environnement VUCA (Volatility, Uncertainty, Complexity, Ambiguity*), les praticiens du droit doivent développer des intelligences et compétences multiples. Si les soft skills sont considérés comme des prérequis pour être recruté, les digital skills apparaissent comme incontournables pour se démarquer.

Les conclusions de l'étude menée en partenariat avec l'AFJE

Le manager juridique : des compétences digitales au service de la prise de décision

Le Top 15 des compétences essentielles pour occuper une fonction de manager juridique ou performer en tant que juriste ou avocat révèle que la capacité à utiliser les outils digitaux est indispensable. Ce résultat n'annonce pour autant pas l'avènement du juriste codeur car ces compétences doivent lui permettre d'optimiser la gestion opérationnelle de son activité, son budget, son flux de travail, sa mobilité, et ses connaissances.

Outre l'usage, la capacité à identifier les bons outils sur le marché des legaltech, les tester, en identifier les risques et les opportunités, et les intégrer dans une stratégie de déploiement au sein de son organisation, est déterminante. On appréciera par exemple la capacité à optimiser la rédaction des contrats grâce à des outils digitaux. Mais cet usage nécessite une bonne appréhension des concepts technologiques et business, en particulier s'il s'agit de technologies disruptives. Le manager juridique ou l'associé (en cabinet ou en étude) doit être attentif aux risques juridiques inhérents à ces outils et à l'adaptation de son organisation aux enjeux portés par le digital. Dans ce Top 15, le seul soft skill attendu par le manager relève de la capacité décisionnelle.

L'intelligence émotionnelle, une compétence clé pour le jeune diplômé en droit

Les leaders du droit interrogés placent les soft skills très largement dans le Top 30 des compétences prioritaires pour les jeunes diplômés. Pour être recrutés, ils devront bénéficier d'excellentes qualités de communication et de pédagogie, de maîtrise de soi, de résilience et de discernement.

Les étudiants et jeunes professionnels auront intérêt à cultiver leur intelligence émotionnelle pour mieux servir l'intelligence collective. Une bonne pratique du droit doit être orientée sur l'intérêt du client, ce qui nécessite de l'humilité et une intégrité absolue.

Les compétences « business » jouent aussi un rôle prépondérant dans le recrutement :

  • La capacité à être un business partner ;
  • Pouvoir s'affirmer comme un négociateur ;
  • Cultiver son intelligence stratégique.

Partenariat avec Séraphin Legal : d'un référentiel de compétences des métiers du droit statique à une plateforme EDHEC de Talent Management du droit dynamique

Cette enquête a permis d'aboutir à un premier référentiel de 150 compétences clés du juriste augmenté disponible sur la plateforme https://alll.legal/

L'objectif est maintenant de passer d'un référentiel statique à un référentiel dynamique du Juriste Augmenté. Régulièrement mis à jour avec l'aide d'un comité d'experts, il sera accessible à tous. Sur la base de ce référentiel-marché EDHEC ouvert, directions juridiques, cabinets d'avocats et autres structures d'exercice du droit, pourront constituer leur propre référentiel-équipe et conduire des évaluations de compétences.

« Nous sommes ravis d'avoir signé ce partenariat avec Seraphin Legal qui va développer pour nous cette plateforme digitale pour créer un Référentiel dynamique. Seraphin est une legaltech reconnue du marché, qui dispose du savoir-faire agile pour développer notre projet », souligne Christophe Roquilly, professeur à l'EDHEC et directeur de LegalEDHEC.

« C'est avec une grande fierté et beaucoup d'enthousiasme que les équipes de Seraphin s'engagent dans ce projet de développement du premier référentiel dynamique du juriste augmenté. Depuis 3 ans que nous préfigurons un juriste augmenté par la technologie, nous contribuons au quotidien au développement de leurs digital skills et à la validation de leurs compétences avec AFNOR Certification. C'est très réjouissant de voir que des institutions reconnues dans la transformation des métiers du droit comme LegalEDHEC et l'AFJE s'impliquent dans une démarche globale et collaborative de management des compétences du juriste de demain » se réjouit Thomas Saint Aubin, directeur général de Seraphin.legal et créateur de la Legal Tech Academy.
Cette plateforme digitale devrait être disponible au printemps 2020.

Vers un outil de talent management en droit / juridique

L'objectif est de fournir aux recruteurs comme aux juristes un outil de Talent Management en droit. La prochaine étape pour LegalEDHEC consistera donc à développer un outil d'évaluation de compétences en ligne et à déployer une certification qui sera délivrée par l'EDHEC Business School : le ALL Certificate (Advanced Lawyer & Lawyering Certificate). Télécharger l'intégralité de l'étude


L'invité de la newsletter

« Stop Covid » : lettre ouverte de l'Institut des Droits Fondamentaux Numériques (iDFRights)

Jean-Marie Cavada, Me Laurent Vidal, Thomas Saint-Aubin et François Desnoyers, co-fondateurs de l'Institut des Droits Fondamentaux Numériques (iDFRights)

À paraître en mai 2020 à la Revue pratique de la prospective et de l'innovation : Le droit est mort, vive le droit !, par L. Vidal et T. Saint-Aubin : RPPI 2020, dossier 2

À l'occasion des débats #COVID19 sur le tracking de nos concitoyens, l'Institut pour les Droits Fondamentaux Numériques propose de profiter de ce cadre juridique d'exception pour consacrer une nouvelle déclinaison de la liberté d'aller et venir : celle d'aller et venir sans traçage numérique.

Mesdames et Messieurs les Parlementaires,

La quatrième génération des droits et libertés fondamentaux a déjà vu le jour. Elle est en marche, à grands pas : celle des droits et libertés numériques ! Ne nous y trompons pas, il ne s'agit pas d'une lubie de juristes auxquels se seraient ralliés quelques techniciens, mais d'un impératif catégorique au fondement du nouveau monde qui vient. Concilier avec discernement la préservation des droits et libertés fondamentaux avec l'utilisation des technologies pour lutter contre la crise sanitaire, voilà ce qui doit nous guider, être et demeurer notre objectif sur le long terme.

logo IDFRIGHTS

Depuis plusieurs semaines, notre Institut contribue au débat public et à cet objectif. Par ailleurs, il n'a de cesse, confronté à une profusion d'opinions parfois hâtives, tantôt exagérément alarmistes, tantôt naïves car peu au fait des réalités technologiques, de veiller à ce que les vraies questions soient posées.

Les confusions sont telles que beaucoup se focalisent sur les avantages et les inconvénients du traçage alors même que le protocole ROBERT (ROBust and privacy-presERving proximity Tracing), auquel travaille l'Inria, et sur lequel s'appuiera l'application “Stop Covid”, ne permet et ne suppose aucun traçage réel de l'individu. Pareillement, d'un point de vue juridique, les notions de volontariat et de consentement sont très différentes ainsi que l'a souligné très justement le Comité européen de la Protection des Données dans son avis du 15 mars dernier. Il est possible en effet d'être volontaire sans pour autant mesurer ou avoir réfléchi pleinement à l'étendue du consentement que l'on donne en s'engageant, d'où le choix par le gouvernement du volontariat.

Mais là encore, évitons de nous tromper d'enjeu en nous focalisant sur ce qui, en réalité, n'est pas l'essentiel aujourd'hui : au-delà du choix de la technologie retenue pour accompagner le déconfinement des français, saisissez l'occasion de ce vote, dans un cadre juridique d'exception, pour consacrer la reconnaissance de nouvelles libertés publiques, particulièrement nécessaires à notre temps, et valables au-delà de notre crise actuelle ou de l'application “Stop Covid”7 .

C'est pourquoi nous vous proposons, à l'occasion de ce vote historique, de consacrer une nouvelle déclinaison de la liberté fondamentale d'aller et venir : celle de se déplacer sans traçage numérique.

Nous croyons qu'il s'agit d'une occasion historique pour le Parlement français de proclamer, dès aujourd'hui et pour l'avenir, une liberté d'aller et venir sans être enchaîné à notre smartphone ou à tout autre support numérique, par exemple de type bracelet connecté, ces nouvelles formes de lien qui, tout à la fois, nous libèrent et nous enferment.

Même si le préalable du volontariat a été fort heureusement préféré pour l'utilisation de l'application gouvernementale à celui du consentement, toujours exposé à un risque de détournement, nous vous demandons d'aller au-delà et de consacrer la liberté de circuler sans traçage de nos déplacements individuels comme fondement premier de la société numérique que nous appelons de nos vœux et prérequis indispensable au déploiement de l'application “Stop Covid”. Consacrer cette liberté aura également une autre incidence forte quant aux libertés individuelles : celle d'éviter les questions des durées de conservation des données issues de ce traçage et de leur exploitation ultérieure à d'autres fins et pour d'autres générations.

Ce principe doit pouvoir s'appliquer dès à présent à la gouvernance de l'application “Stop Covid” afin que le monde qui vient ne soit pas ce mal qui vient .

Conscient de l'importance de la gouvernance de cette application dans notre sortie de crise et dans la préparation de notre monde numérique futur, l'Institut iDFRights proposera dans les tous prochains jours une proposition consacrée aux principes républicains et à l'innovation juridique qui doivent s'appliquer à cette gouvernance.


7. « Le mal qui vient», Pierre-Henri Castel, Éditions du cerf, essai, 2018.





Compliance officer : aprÈs le DPO, le CCO nouvel exemple d'avocat augmentÉ ?

Thomas Saint-Aubin, DPO externe, of-counsel Publica-Avocats, CEO et co-fondateur de Seraphin.legal

Thomas Saint-Aubin

Après l’avocat Data Protection Officer, un avocat Chief Compliance Officer externe (CCO) : ce serait une formidable opportunité à la fois pour le barreau et pour l’ensemble de l’écosystème LegalTech, afin de renforcer la conformité de nos entreprises. Depuis l’entrée en vigueur du RGPD, quelques avocats ont saisi en premier les opportunités de la PrivacyTech pour préfigurer un DPO augmenté par la technologie.

Au cours de la table ronde, plusieurs problématiques relatives aux innovations et à leurs usages ont été abordées.

Verrons-nous apparaître un avocat CCO, à l’image de ce que nous avons connu avec les DPO externes ?

Les synergies entre LegalTech, PrivacyTech et RegTech sont si nombreuses que l’ensemble permet d’appréhender un socle cohérent de solutions et d’innovations au service de la compétitivité de nos entreprises et de l’attractivité juridique de la France.
Les solutions RegiTech et LegalTech, combinées à l’ouverture en cours des API sur les données juridiques et les données légales des entreprises, permettent dès à présent de préfigurer un avocat augmenté : le Chief Compliance Officer (CCO) externe !

Module de cartographie et d’auto-évaluation des risques : une passerelle entre la RegTech et la LegalTech

L’auto-évaluation est une étape essentielle de la conformité. Grâce aux technologies, il est possible d’obtenir une évaluation, un scoring de son niveau de conformité, puis – dans un second temps – d’accélérer sa mise en conformité, par exemple en passant par un avocat pour accompagner cette mise en œuvre.

Pour proposer une offre forfaitaire et externalisée de Compliance Officer, l’avocat doit être en mesure de fournir des solutions d’autoévaluation et de génération d’actes pour documenter la conformité.

Pour y parvenir, Il doit au préalable pouvoir prendre le contrôle algorithmique de la technologie afin de traduire dans le code son propre raisonnement : en l’état de l’art, cela est parfaitement envisageable.

Avec l’aide des legaltech, il doit également être en capacité de traiter, en quasi temps-réel, des grands volumes de données pour confronter l’état du droit et de la norme à la compliance interne : avec l’ouverture progressive des APIs sur les sources de données en Europe et particulièrement en France, le momentum est idéal pour innover.

DPO augmenté : un premier exemple d’avocat augmenté par la PrivacyTech

Le RGPD est en ce sens un texte fondateur qui a catalysé la rencontre entre la tech et la compliance.

Alors que le RGPD a représenté une énorme opportunité business en Europe, les avocats se sont largement positionnés sur le marché du DPO externalisé. Le DPO augmenté est souvent un avocat qui dispose de sa propre solution PrivacyTech. Certains, comme Me Jean-Charles Simon ou Me Sylvain Staub, ont même créé leur propre solution avec succès (les pépites Mission RGPD et Legal Data Drive).

Business law : du DPO augmenté au CCO augmenté ?

Comme le rappelait Olivier Bénureau, fondateur du Magazine des Affaires, aux états-Unis, le Chief Compliance Officer (CCO) est indépendant de sa hiérarchie. En France ce n’est pas toujours le cas, notamment dans des grands groupes…

Quelles missions et compétences pour le CCO externe ?

Il s’agit notamment de mettre en place des programmes de compliance (risk mapping, formations), documenter les comportements répréhensibles et les enquêtes internes notamment via l’utilisation de procédures probatoires.

À l’occasion du dernier congrès ACE à Lyon, lors de la table-ronde sur la compliance, Me Feugère relevait « la légitimité de l’avocat à mener l’enquête interne, il dispose nativement de la délicatesse pour mener cette mission ». Valorisant la déontologie et le savoir-faire de l’avocat, via ethicorp.org, Me Feugère propose notamment la mise à disposition d’un déontologue référent et le traitement en quasi temps réel des alertes reçues sur les écarts de conformité.

Mais à condition d’intégrer et de s’approprier les technologies et les données disponibles, l’offre d’un avocat CCO peut aller bien au-delà du la conformité légale et règlementaire ou les questions de déontologie ou d’éthique des affaires. Ainsi, comme pour le DPO, la technologie va permettre aux avocats CCO de développer une offre de services autour de la compliance allant bien au-delà de la seule prestation juridique et de se positionner sur ce marché émergent.

La legaltech au service du juriste augmenté CCO externe

Certaines entreprises, utilisatrices de solutions RegTech et PrivacyTech, sont désormais capables de faire un scoring et de documenter leur conformité. Natixis est ainsi aujourd'hui en mesure de prendre en compte les évolutions quotidiennes du droit positif dans ses procédures de compliance. RegMind collecte et traite chaque jour les données massives de la régulation bancaire en France et à l’échelle européenne. Chaque article de compliance est connecté à un article du droit positif. Dès que la norme évolue, les personnes concernées sont informées. La compliance est gérée de manière dynamique et permet d’appréhender sa conformité « en temps réel ».

C’est dans cet esprit de préfiguration d’un CCO augmenté que Seraphin.legal et les RegTech distribuées sur le Legaltech.store s’associent pour proposer à quelques avocats du réseau Legal Tech Lawyer de venir concevoir les solutions qu’ils mettront à disposition de leurs clients.

Ce programme expérimental sera lancé en 2020 avec quelques avocats pilotes. Pour le généraliser et permettre à la profession d’en profiter, à la lecture du précédent DPO, il faudra probablement modifier le RIN.

Vers une modification du RIN pour consacrer l’avocat Chief Compliance Officer externe ?

Pour définir un véritable statut pour le CCO augmenté, il faudra que les institutions concernées se saisissent de la question pour offrir à la profession un nouveau levier business aux confins de la tech et du droit.

En effet, comme pour l’avocat DPO, il faudra peut-être passer par une modification du RIN pour permettre à la profession de se positionner sur ce marché émergent. Des dispositions ordinales particulières pourront garantir la compatibilité entre les règles déontologiques de la profession d’avocat et les missions du futur CCO externe de l’entreprise ou « commissaire du droit ».

Au-delà de la seule conformité, le prolongement du débat initié lors du RGPD autour de la régulation de l’IA et des Droits humains numériques (initiative #DigitalHumanRights notamment https://www.agoravox.fr/tribune-libre/article/digitalhumanrights-pour-une-218688) annonce de nombreuses initiatives de recherche et développement , pour faire en sorte qu’un cadre éthique et juridique soit possiblement appréhendé par la machine.

À terme, ce « droit nouveau », traduit dans le code, devra pouvoir faire l’objet d’un contrôle par un juriste, qui disposera de compétences numériques.

Plus que tout autre juriste, l’avocat CCO préfigurera ce juriste de demain.


Un œil sur…

Le CNB publie la 2e édition du guide sur la participation des avocats aux plateformes en ligne détenues par des tiers

Olivier Fontibus, président de la commission Exercice du droit du CNB

Guide

Les « legaltechs » ont développé dans un temps record de nouveaux outils numériques au service des professionnels du droit et des justiciables. Au regard de nos règles déontologiques et de celles qui encadrent l'exercice du droit définies par la loi du 31 décembre 1971, ces développements numériques tous azimuts, au-delà des évidents progrès qu'ils créent, engendrent encore aujourd'hui de réelles difficultés.

Ce second opus intitulé « Guide sur la participation des avocats aux plateformes en ligne détenues par des tiers » fait suite au « Guide sur la participation des avocats aux sites de tiers ». Fidèle à la conception pratique de la première édition, cette publication est conçue à l'adresse des avocats et des Ordres. Elle rappelle les principales règles professionnelles et déontologiques qui s'appliquent à la participation des avocats à des sites commerciaux de référencement et de mise en relation avec des usagers du droit. À cet effet, le guide définit une série de 16 recommandations précisant les conditions d'une participation à ces plateformes conforme à ces règles (RIN, L. 31 déc. 1971).

Comme l'indique son intitulé, cette édition actualisée intègre aussi les nouveaux enjeux liés au développement de la société numérique avec un rappel des textes encadrant l'activité des plateformes en ligne (RGPD, loyauté des plateformes...). Par ailleurs le guide aborde la question de la notation en ligne, sous l'angle de la protection de l'e-réputation des avocats.

Ce guide attendu par les avocats, compte tenu des sollicitations dont ils font l'objet, n'est pas une compilation d'interdictions. Il a pour but d'inciter les confrères à être présents sur Internet ; les avocats pourront notamment trouver des réponses à la question de la notation en ligne et la protection de leur e-réputation au regard de la jurisprudence récente du Conseil d'Etat.

Le guide est disponible ici


Le monde change

2020, le début de la fin des Cookies ?

Gérard Haas, avocat à la Cour, docteur en droit, associé fondateur du cabinet HAAS Avocats et Florian Perretin, juriste chez HAAS AVOCATS

Dans le cadre de son plan d'action sur le ciblage publicitaire, la CNIL a publié en juillet 2019 de nouvelles lignes directrices sur les cookies et autres traceurs rendues effectives au mois de janvier 2020. La question des modalités de recueil du consentement des internautes est au cœur de ce nouvel encadrement, ce qui impliquera la mise en œuvre de nouvelles pratiques pour les éditeurs de sites Internet.

G. Haas et F. Perretin

L'année 2020 marque indéniablement un tournant dans le traitement des « cookies », ces petits fichiers déposés sur le navigateur d'un internaute afin de pouvoir lui proposer certains services nécessaires au fonctionnement d'un site Internet (connexion, panier d'achat…), ou de réaliser des actions de marketing ciblées.

Dans un contexte nébuleux où le règlement « E-Privacy »8 se fait largement attendre, et ce malgré la récente tentative de compromis présentée par la présidence finlandaise du Conseil de l'Union européenne aux États membres le 18 septembre 20199, la CNIL a entendu imposer une nouvelle recette pour le traitement des cookies.

Après la saga des « SDK »10 du second semestre 2018, la Commission n'a pas caché sa volonté de renforcer la protection des internautes contre ce type de pratiques via la mise en place d'un plan d'action sur le ciblage publicitaire pour l'année 2019-202011. C'est dans cet élan que s'inscrivent les nouvelles lignes directrices de la CNIL du 4 juillet 201912 venant dépoussiérer l'ancienne délibération sur les cookies du 5 décembre 201313. Au moment de la publication de ces nouvelles directives, le régulateur avait accordé aux opérateurs une période d'adaptation de 6 mois pour anticiper ces changements, période d'adaptation qui s'est donc terminée en janvier 2020.

I. Panorama des principaux changements introduits par les nouvelles positions du régulateur

Sous le visa du RGPD14, la CNIL a fait évoluer sa doctrine en matière de recueil du consentement pour le dépôt des cookies et autres traceurs tout en réaffirmant les jalons déjà posés par la directive « E-Privacy » du 12 juillet 2002.

Pour rappel, le consentement est défini à l'article 4 paragraphe 11 du RGPD comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ». Pour être considéré comme valide, et constituer ainsi la base légale d'une opération de traitement, le consentement doit donc respecter quatre critères cumulatifs. Ces critères ont été étayés par le Groupe de travail de l'Article 29, devenu le Comité européen de la protection des données, au travers de lignes directrices dédiées au recueil du consentement15.

À l'aune de ces nouvelles attentes réglementaires, la CNIL s'est donc vue contrainte de revoir ses positions en matière de dépôt de cookies. Jusqu'à présent, le régulateur avait fait preuve d'un certain laxisme en admettant que la poursuite de la navigation sur un site Internet était à même de caractériser le consentement de l'Internaute pour le dépôt de cookies et autres traceurs. Désormais cette pratique est révolue, et le dépôt de nos pâtisseries virtuelles préférées sur nos terminaux devient conditionné à l'acceptation préalable de l'internaute, laquelle se matérialise généralement par le « clic » sur le bouton « J'accepte » du bandeau d'information relatif aux cookies qui devra être apparent dès la première page du site Internet visité.

Cette pratique, si insignifiante qu'elle puisse paraître, génère pourtant un bouleversement d'envergure pour les éditeurs de sites Internet. En effet, bon nombre d'entre eux se rémunèrent grâce aux encarts de publicité permise par le dépôt de cookies « commerciaux » opérant un ciblage marketing des internautes. La mise en place d'un système de régulation trop restrictif pourrait dès lors porter atteinte à leur modèle économique sur Internet. Les éditeurs de presse avaient par ailleurs déjà alerté le Parlement européen et au Conseil de l'UE en 201716 sur ce sujet.

On rappellera également que certaines opérations de lecture ou d'écriture de cookies sur un terminal sont exemptes du recueil du consentement préalable. Il s'agit des cas où le cookie a pour finalité exclusive :
• soit de permettre ou de faciliter la communication par voie électronique (ex : Cookie de session),
• soit lorsque le cookie est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur (ex : Cookie de panier d'achat pour une Marketplace).

Ces nouvelles lignes directrices contiennent par ailleurs d'autres avancées détaillées dans le tableau présenté ci-après : Tableau

II. Des ajustements spécifiques en fonction des secteurs d'activités concernés

Au regard de la situation exposée ci-avant, l'observateur aguerri notera que le régulateur, même s'il a densifié ses exigences en matière de dépôt des cookies, apporte aux acteurs concernés davantage de souplesse dans les modalités d'exécution des opérations d'écriture et de lecture des cookies, notamment concernant la détermination des durées de conservation applicables et du statut des différents opérateurs.

La CNIL a par ailleurs promis la tenue de plusieurs concertations avec les professionnels concernés afin de pouvoir proposer de nouvelles recommandations sur les modalités opérationnelles du recueil du consentement. Une consultation publique ouverte jusqu'au 25 février 2020 a été lancée afin de recueillir les différentes remarques des professionnels concernés17. On pourrait également espérer la rédaction de « Packs de conformité » spécifiques, applicables à des secteurs particuliers (notamment concernant les éditeurs de presse).

En tout état de cause, annoncer le début de la fin des cookies apparaît pour l'heure largement prématuré, dans la mesure où cette nouvelle prise de position du régulateur concerne principalement les cookies commerciaux utilisés à des fins de ciblage publicitaire. De plus, il convient de garder en mémoire l'idée que les technologies de tracking via les cookies, bien qu'efficaces, peuvent être dépassées. Les techniques de profilage en ligne se diversifient au service d'un marché de la publicité en ligne en croissance18. Le marketing de pointe s'intéresse notamment à l'exploitation des métadonnées de communication électronique, éléments techniques qui, une fois agrégés et traités selon des algorithmes puissants, permettent le tracking des internautes en l'absence de toute inscription d'information sur leurs terminaux19.

La recette des cookies semble donc s'améliorer pour les internautes, et exigera pour les éditeurs de site Internet un tour de main particulier afin de respecter les carcans de ce nouveau cadre contraignant.

Ce thème sera développé par le cabinet HAAS Avocats lors d'un webinar le 3 mars prochain, puis rediffusé jusqu'au 17 mars 2021.


8. Proposition de RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques»)

9. COM (2017) 10: Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL concerning the respect for private life and the protection of personal data in electronic communications and repealing Directive 2002/58/EC (Regulation on Privacy and Electronic Communications)

10. Software Development Kit, voir les mises en demeure publique des sociétés Fidzup, Teemo (juin 2018), SingleSpot et Vectaury (octobre 2018)

11. Ciblage publicitaire en ligne : quel plan d'action de la CNIL ? - 28 juin 2019

12. Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d'un utilisateur (notamment aux cookies et autres traceurs) (rectificatif)

13. Délibération n° 2013-378 du 5 décembre 2013 portant adoption d'une recommandation relative aux cookies et aux autres traceurs visés par l'article 32-II de la loi du 6 janvier 1978

14. Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE)

15. Lignes directrices sur le consentement au sens du règlement 2016/679, version révisée et adoptée le 10 avril 2018

16. Lettre ouverte au Parlement européen et au Conseil de l'Union : Confiance dans l'univers numérique, protection de la vie privée et presse, 29 mai 2018

17. https://www.cnil.fr/fr/la-cnil-lance-une-consultation-publique-sur-son-projet-de-recommandation-cookies-et-autres-traceurs

18. https://www.latribune.fr/technos-medias/internet/pourquoi-le-marche-de-la-publicite-digitale-ne-s-est-jamais-aussi-bien-porte-806238.html

19. V. not. https://amiunique.org/


-

Tous droits réservés © 2019 CONSEIL NATIONAL DES BARREAUX
Design graphique et réalisation : LCG CONCEPTS

LexisNexis