Condensé #32 - Semaine du 9 Janvier 2023

Le condensé de la semaine:

💰 Meta condamné à une amende de 390 millions d'euros: la fin de son modèle économique?

🔒 La nouvelle directive NIS II en matière de cybersécurité est publiée  

En une ligne dans le reste du monde.

Suivre sur Linkedin 💁‍♂️

Par Malik Aouadi.

Les lectures qui m'ont marqué récemment:

  1. Large Language Models Encode Clinical Knowledge , une étude publiée par Google sur l'utilisation de l'intelligence artificielle en médecine. Dans cette étude, un chatbot est entrainé pour répondre à des questions médicales fréquentes - des médecins interrogés sur ces réponses les estiment correctes à 92,6%, contre 92,9% pour les réponses fournies par d'autres médecins.

  2. Crypto These 2023, par Messari. Un rapport prévisionnel sur les tendances à venir dans le monde de la crypto en 2023.

💰 Meta condamné à une amende de 390 millions d'euros: la fin de son modèle économique?

Qu’un géant de la tech se voie condamné pour une violation des règles de protection des données, c’est relativement commun de nos jours. En outre, peu de sanctions ont un impact significatif sur ces entreprises. Pour autant, la décision rendue la semaine dernière, au-delà de sa lourdeur financière évidente, menace l’essence du business de l’empire de Mark Zuckerberg.

Le contexte

Cela fait plus de 4 ans que Meta est en conflit avec les régulateurs de l’Union européenne concernant la manière avec laquelle ses applications, Facebook et Instagram, collectent et traitent les données des utilisateurs afin de personnaliser leurs publicités. 

Mercredi passé, la Commission irlandaise de protection des données (DPC), agissant pour le compte de l’Union européenne, a indiqué que Meta avait manqué à ses obligations de transparence en se basant sur une base juridique erronée pour traiter les données personnelles à des fins de publicité ciblée. Cette décision est l’aboutissement de deux plaintes déposées  le 25 mai 2018 - jour d’entrée en vigueur du RGPD - contre Facebook et Instagram.Il était reproché à Meta d’avoir délibérément contourné l’obligation de consentement prévue par le texte européen en ajoutant une clause aux conditions générales d’utilisations de Facebook. 

La base légale qui justifie le traitement des données

Pour mieux comprendre le stratagème de Meta, il est nécessaire de revoir l'un des principes fondamentaux du RGPD.

La base légale autorisant le traitement des données est un concept crucial du texte européen. Pour faire simple, sans base légale, pas de traitement. Si la base légale utilisée n’est pas correctement choisie, pas de traitement non plus. A son article 6, le règlement européen institue 6 bases légales pour justifier du traitement des données personnelles:

➡️ Le consentement: La personne concernée a donné l'autorisation à l'organisation de traiter ses données personnelles pour une ou plusieurs activités de traitement. Le consentement doit être librement donné, clair et facile à retirer.

➡️ L’exécution d’un contrat: La gestion des données est indispensable pour parvenir à la conclusion ou à l'exécution d'un accord avec le sujet en question.

➡️ L’obligation légale: Le traitement en question doit être conçu pour remplir l'obligation légale imposée à l'organisme et ne doit pas viser un autre objectif. De plus, l'organisme doit s'assurer qu'il n'existe pas de méthode moins intrusive pour atteindre cet objectif que la mise en œuvre du traitement en question.

➡️ La poursuite d’une mission d’intérêt public: Il s'agit d'une opération de traitement qui serait menée par une entité gouvernementale ou une organisation agissant en tant que mandataire d'une entité gouvernementale.

➡️ La sauvegarde des intérêts vitaux: Il s'agit d'une opération de traitement exceptionnelle qui pourrait être requise pour préserver la vie d'une personne, le plus souvent dans les situations de soins médicaux d'urgence.

➡️L’intérêt légitime: Si l'intérêt légitime est invoqué comme justification légale du traitement, l'organisation doit évaluer si cette activité de traitement est nécessaire pour le fonctionnement de l'organisation et si elle prévaut sur les éventuels risques pour les droits et libertés de la personne concernée.

Il incombe à l’entreprise ou à l’organisation de déterminer la base légale appropriée pour le traitement des données à caractère personnel et de s’assurer qu’elle a une raison valable et légitime de le faire. Le RGPD exige que les entreprises et les organisations soient transparentes quant à l’utilisation qu’elles font des données personnelles et qu’elles fournissent aux individus des informations sur la base légale sur laquelle elles s’appuient pour justifier le traitement de leurs données

Ce qui est reproché à Meta

Le problème réside donc dans les conditions générales mises à jour par Meta quelques jours avant l’introduction du RGPD. Par ce procédé, Meta considérait que, en acceptant ces nouvelles conditions générales, un contrat était conclu entre l’organisation et l’utilisateur.

Dès lors, Meta soutenait que le traitement des données des utilisateurs dans le cadre de la fourniture de ses services Facebook et Instagram était nécessaire pour l’exécution de ce contrat, y compris la fourniture de services personnalisés et de publicité ciblée, de sorte que ce traitement était légal en vertu de l’article 6, paragraphe 1, point b) du RGPD (« l’exécution d’un contrat »).

Un raisonnement qui n’a pas du tout été suivi par l’Autorité irlandaise. La décision finale exige que Meta ne puisse pas utiliser les données personnelles pour des publicités basées sur un prétendu « contrat ». Les utilisateurs doivent donc disposer d’une option de consentement oui/non (système d’«opt-in»), faute de quoi Meta ne pourra pas utiliser leurs données pour des publicités personnalisées. De même, les utilisateurs doivent pouvoir retirer leur consentement à tout moment et Meta ne peut pas limiter les services proposés si les utilisateurs choisissent de le faire.

Meta dispose de trois mois pour se conformer à ces exigences.

la réaction

L'entreprise américaine a décidé de faire appel de la décision de la commission et des sanctions qui lui ont été imposées, exprimant son vif désaccord avec cette décision dans une déclaration. La société met en avant le manque de clarté réglementaire pour justifier le fait que la base juridique contractuelle sur laquelle elle s’appuie depuis 2018 pour obtenir le consentement des utilisateurs a été précédemment considérée comme acceptable par les régulateurs de l’UE.

Actuellement, Meta affirme que la pertinence de cette base juridique dans le cadre du RGPD est toujours discutée par les plus hautes juridictions de l’UE. Considérant que l’issue demeure incertaine, Meta estime qu’un appel permettra de démontrer que ses applications sont pleinement conformes au RGPD, ce qui impliquerait qu’aucune mise à jour de ces dernières n’est nécessaire.

Pourquoi meta veut éviter le consentement comme base légale

Conséquence : pas de publicités ciblées, moins de profits. Le refus de partager leurs données par un grand nombre d’utilisateurs aurait un impact dévastateur sur l’une des principales sources de revenus de Meta. Les données sur l’historique numérique des utilisateurs sont utilisées par les professionnels du marketing pour cibler les publicités auprès des personnes les plus enclines à consommer. En 2021, ces pratiques ont permis à Meta de générer 118 milliards de dollars de revenus.

La version iOS 14.5 d’Apple avait déclenché un effondrement inéluctable de la capacité de Facebook à collecter des données personnelles de ses utilisateurs. Jusqu’à cette mise à jour, des applications comme Facebook pouvaient automatiquement suivre ce que les utilisateurs regardaient sur leur téléphone et vendre des espaces publicitaires ciblés en conséquence. La mise à jour a été conçue de manière à ce que les utilisateurs soient invités à donner leur autorisation avant que le suivi ne soit effectué. Ainsi, près de 85% des utilisateurs du monde entier ont opté pour un « demander à l’application de ne pas suivre mes activités». 

Pour une entreprise telle que Facebook, dont le business model repose principalement sur la collecte, l’analyse, la vente et l’exploitation des données sur les préférences et les centres d’intérêt de ses utilisateurs, ces chiffres ont des conséquences catastrophiques - une perte d’environ 10 milliards de dollars en 2022. 

En plus de subir une baisse de ses revenus et d’avoir investi de manière considérable dans le développement de son métavers sans obtenir de véritable engouement en retour, Meta, la maison mère de Facebook, se retrouve maintenant menacée dans sa propre stratégie d’entreprise. La mise à mal de sa principale source de revenu, si le jugement est confirmé en appel, pourrait lui porter un coup fatal.

🔒 La nouvelle directive NIS II en matière de cybersécurité est publiée  

La semaine dernière, ce texte est venu mettre à jour la première version publiée en juin 2016. L’objectif de cette directive était de protéger les citoyens européens face aux menaces grandissantes de cyberattaques et autres menaces à l’encontre de leurs données personnelles.

Au fil des années, cette proposition initiale s’est vite retrouvée obsolète et inutile face aux avancées technologiques récentes.Le but de NIS II est simple: combler les vides laissés par son prédécesseur.

Twitter

Le texte

Comme la première version, NIS II est un ensemble de règles pour la gestion des incidents de cybersécurité. Elle comporte toutefois des modifications importantes qui visent à améliorer la réactivité et les capacités de réaction aux incidents des secteurs public et privé de l'Union européenne :

  • Le champ d’application de NIS 2 est plus large que ce que couvrait la première version du texte. Désormais, la directive classe les entités en deux catégories : les opérateurs de services essentiels et les entités importantes, en fonction de la mesure dans laquelle elles sont critiques au regard du secteur ou du type de service qu’elles fournissent, ainsi que de leur taille.
     

  • Elle inclut des obligations de vigilance autour des chaînes d’approvisionnement, ce qui implique notamment que les entités mettent en places des mesures spécifiques de gestion des cyber risques.
     

  • Elle impose aux organes de direction de mettre en place des mesures pour s'assurer que leur organisation respecte la législation. Si ces obligations ne sont pas respectées, ils peuvent être soumis à des amendes et à une interdiction temporaire d'exercer des fonctions de direction.
     

  • En matière de reports d’incident, de nouvelles règles obligent les entités à des délais précis de notification, notamment une obligation de notification initiale dans les 24 heures suivant la prise de connaissance d’un incident important.

De plus, l’une des nouveautés majeures de cette directive réside dans la capacité donnée aux Etats Membres d’infliger des amendes administratives d’au moins 10 millions d’euros ou jusqu’à 2% du chiffre d’affaires mondial d’une entité pour celles qui ne respectent pas les mesures instituées par le texte européen.

La directive NIS 2 a été publiée au Journal officiel le 27 décembre et entrera en vigueur 20 jours après sa publication. Les États membres de l'UE auront ensuite 21 mois pour transposer la directive en droit national

Dans le reste du monde:
 

  • La carte des pays les plus innovants du monde en 2022.
     

  • Justin Bieber s'approche d'un accord de 200 millions de dollars pour vendre ses droits musicaux au fonds blackstone de Hipgnosis.
     

  • Des pirates ont volé les coffres de mots de passe cryptés de LastPass, censé être l'app de protection des mots de passe la plus sécurisée.
     

  • L’Etat belge condamné par la CEDH dans une affaire l’opposant à la RTBF.
     

  • L'arène new-yorkaise du Madison Square Garden utilise la reconnaissance faciale pour bannir les ennemis de son propriétaire.
     

  • Le Conseil de l'UE s'apprête à réviser les dispositions relatives au cloud computing dans la nouvelle législation sur les données.
     

  • Amazon lance Inspire, sa fonctionnalité à la TikTok.
     

  • Mickey Mouse va entrer dans le domaine public.
     

  • Cette entreprise cybernétique "dystopique" aurait pu sauver les assassins du Mossad de l'exposition.
     

  • Des écoles américaines bloquent l'accès à ChatGPT.