Numéro 37 // Jeudi 27 avril 2023
|
|
|
|
JEUX OLYMPIQUES ET PARALYMPIQUES 2024 : IMPACT DE LA NOUVELLE RÈGLEMENTATION SUR LES DONNÉES PERSONNELLES ET LA VIE PRIVÉE
|
|
|
|
Ce mois-ci, la Lettre du DPO a interrogé Jean Martinot, vice-président du Cercle de la Donnée (think-tank indépendant et interdisciplinaire produisant des réflexions prospectives sur la donnée et le numérique) et Frédéric Le Corre, spécialiste de l'écosystème sportif et co-fondateur de la société Whimup une plateforme sociale d’expérience de fans. Ils livrent à la Lettre du DPO leur témoignage respectif sur les enjeux forts en matière de protection des données personnelles qui découlent des dispositions de la loi relative aux jeux Olympiques et Paralympiques de 2024 et l’avenir de la diffusion des contenus sportifs dans l’univers numérique.
Un événement à la magnitude hors du commun dont la réussite impose une organisation et un encadrement juridique irréprochables. Un peu plus d’un an avant le début des jeux Olympiques et Paralympiques, qui seront accueillis en France du 26 juillet au 8 septembre 2024, et après l’adoption d’une première loi relative à l’organisation des jeux Olympiques et Paralympiques le 26 mars 2018, une seconde loi relative aux jeux vient d’être votée afin de compléter les mesures déjà adoptées. Cette loi vise à adapter certaines dispositions du droit français, dont le code civil, le code de la sécurité intérieure et le code de sport. De ce fait, elle présente des enjeux forts en matière de protection des données personnelles et de vie privée, en permettant notamment (i) de renforcer le dispositif de lutte contre le dopage en autorisant, sous certaines conditions, l’examen des caractéristiques génétiques ou la comparaison des empreintes génétiques du sportif dans le cadre des analyses antidopage, et (ii) de mettre en œuvre tous les moyens nécessaires afin d’assurer la sécurité des jeux, comme par exemple des scanners corporels à l’entrée de certains événements ou des dispositifs de vidéoprotection automatisée dans les lieux publics.
Les nouveaux dispositifs visent-ils à assurer la sécurité des grands événements ou à restreindre les libertés ? La loi crée un cadre expérimental permettant le recours, sous certaines conditions, à des traitements algorithmiques sur les images captées par les dispositifs de vidéoprotection ou des drones qui comportent des systèmes d’intelligence artificielle, appelés caméras « augmentées » ou « intelligentes ». Ils auront pour objet l’analyse automatique, par le biais d’algorithmes, des images en temps réel afin de détecter et signaler des évènements prédéterminés susceptibles de menacer la sécurité des personnes. Même si des garanties sont prévues par la loi en vue de limiter les risques d’atteinte aux données (l'absence de traitement des données biométriques, de rapprochement avec d’autres fichiers ou de décision automatique, etc.), certains acteurs, tels que l’assemblée générale du Conseil national des barreaux ou un collectif d’organisations internationales, s’opposent à l’introduction de la vidéoprotection automatisée que va permette cette loi – et pour cause ! La simple présence de ces dispositifs de vidéoprotection dans des zones accessibles au public pourrait effectivement avoir un effet négatif sur la volonté et la capacité des personnes à exercer leurs libertés civiques, de peur d’être identifiées, repérées ou même poursuivies à tort. Il est ainsi légitime de s’interroger sur le fait de savoir si les dispositions sécuritaires, sous couvert de « garantir la sécurité », ne pourraient pas avoir pour effet indésirable de « restreindre les libertés ».
Les caméras « augmentées » : thématique prioritaire de la CNIL en 2023. La thématique des caméras « augmentées » suscite l’intérêt de la CNIL depuis un moment, sachant qu’elle l’avait déjà inscrite comme un axe prioritaire de son plan stratégique pour la période de 2022 à 2024. Après avoir pris position sur cette technologie en juillet 2022, et compte tenu du fait que le recours à ce dispositif sera non seulement prévu lors des jeux Olympiques en 2024 mais aussi lors de la coupe du monde de rugby qui aura lieu du 8 septembre au 28 octobre 2023, la CNIL a finalement décidé de faire de ce sujet, pour 2023, une thématique prioritaire de ses contrôles afin de vérifier le respect du cadre légal par les acteurs publics.
Le Conseil constitutionnel est saisi de cette loi, qui va être complétée par décrets. Le texte a été adopté par le Parlement le 12 avril 2023, le Conseil constitutionnel a été saisi par plus de soixante députés. La procédure est en cours, certaines dispositions pourront donc être abrogées ou faire l’objet de réserve d’interprétation. Plusieurs décrets en Conseil d’Etat, qui seront pour la plupart pris après avis de la CNIL, seront ensuite attendus pour définir les conditions et modalités d’application de nombreux articles de cette loi.
Bonne lecture !
Matthieu Bourgeois et Laurent Badiane, associés en charge du département Immatériel & Numérique
Pour vous abonner, cliquez ici
|
|
|
|
"Le modèle « traditionnel » de diffusion de contenus sportifs par le biais de la télévision va s’équilibrer au profit de plateformes de streaming légales en OTT (over-the-top service) "
|
|
|
|
Frédéric Le Corre (spécialiste de l'écosystème sportif et cofondateur de Whimup, une plateforme sociale d’expérience de fans) revient en détail pour la Lettre du DPO sur son parcours et livre sa vision sur l’avenir de la diffusion des contenus sportifs dans l’univers numérique.
|
|
|
|
1/- Quel est votre parcours, et qu’est-ce qui vous a amené à vous intéresser au numérique et à la donnée ?
Titulaire d’un DESS en Economie du Sport (Univ. de Grenoble) et d’un diplôme d’école de commerce (Brest), passionné de sport, j’ai construit mon parcours professionnel dans l’écosystème du sport. Au sein de structures parapubliques, j’ai mené des missions multi-métiers pour l’organisation de grands événements en France (Championnats du Monde de Cyclisme 2000 et d’Athlétisme 2003, Coupe du Monde de Rugby 2007) et à l’international (Championnats d’Europe de Patinage Artistique 2005 et Jeux Olympiques d’Hiver 2006 en Italie, Jeux d’Asie 2006 au Qatar, Coupe du Monde des Clubs de la FIFA 2009 à Abu Dhabi, Championnats du Monde de Natation 2010 à Dubaï, CAN – « Coupe d’Afrique des Nations de Football » 2012 et 2017 au Gabon). J’ai également une expérience en agence conseil et marketing (Responsable marketing chez Havas Sports Italie et Directeur de projet chez Keneo).
C’est durant l’organisation de la dernière CAN de football, nommé Coordinateur Général de l’évènement (4 sites, +350.000 spectateurs), que j’ai pris conscience du gap existant dans l’expérience de fan entre ce que l’on proposait et le potentiel que pouvait générer le digital en matière d’engagement et de monétisation. Mais, entre la maturation de l’idée et le développement d’une solution à cette problématique, quelques années se sont passées…
Après avoir repris et consolidé deux entreprises dans la publicité numérique, j’ai, en parallèle, cofondé Whimup avec une équipe d’associés aux profils complémentaires. Il s’agit d’une plateforme sociale d’expérience de fans, pour répondre aux problématiques précédemment exposées ! Notre promesse est de mettre les fans au cœur de l’action par la gamification de l’expérience et générer de nouveaux revenus aux clubs. C’est ce projet qui m’a conduit à m’intéresser de plus près au numérique et à la donnée.
2/- Quelles sont vos responsabilités et les missions que vous menez, plus particulièrement actuellement ?
Déchargé de l’opérationnel du groupe Wijoo depuis le début de l’année, dont j’assure la présidence, je chasse les opportunités de croissance et de diversification. Pour Whimup, j’ai pris en main la start-up après une période de maturation et de développement du concept commercial. Plus particulièrement, en ce moment je démarche les clubs professionnels pour leur présenter le prototype sorti en début d’année. Les jalons sont posés pour une mise sur le marché de l’application en juillet de cette année à l’orée de la saison 2023/2024. Nous sommes actuellement en train de contractualiser nos premiers clients club, recrutons nos premiers coéquipier(e)s pour compléter l’équipe déjà en place, et avons lancé le processus de levée de fonds. Nous avons trois enjeux prioritaires :
- Démontrer la pertinence des mécaniques d’engagement par la gamification de l’expérience ;
- La monétisation de la cible des fans digitaux par des leviers softs et la distribution d’items virtuels innovants ;
- Valoriser les datas générées au sein de l’application.
L’univers du numérique et le ciblage de la génération Z amènent en permanence de nouvelles réflexions et un certain nombre de challenges au quotidien que l’on est amenés à confronter avec notre support juridique.
3/- Quel est votre vision sur l’avenir de l'économie numérique, notamment en ce qui concerne la diffusion de contenus ?
Je pense que le modèle « traditionnel » de diffusion de contenus sportifs par le biais de la télévision va s’équilibrer au profit de plateformes de streaming légales en OTT (over-the-top service) pour un certain nombre de raisons :
- la surabondance publicitaire dans les temps morts, qui pourraient être comblés par du contenu divertissant ou à plus forte valeur ajoutée (statistiques, capsules vidéo courtes…) ;
- les coûts d’accès aux événements sportifs télévisés sur les canaux traditionnels ;
- le besoin des jeunes générations de consommer différemment le sport (« snacking », « zapping », « scrolling »…)
- l’émergence de nouvelles plateformes qui proposent du contenu sportif de qualité (niveau de production visuelle et sonore, niveau et notoriété des intervenants journalistes et consultants…) et des abonnements à tarif accessible (l’exemple d’Amazon avec la Ligue 1) ;
- la possibilité via l’Internet d’intégrer aisément des contenus générés par d’autres canaux (jeux en ligne, interactions fans, outils de statistiques, publicité ciblée, etc.).
Dans quelques années, la proportion de personnes qui regarderont les jeux Olympiques ou la Coupe du Monde de Football depuis leur smartphone devrait dépasser les audiences télévisuelles, par un contenu enrichi et un accès de qualité permanent aux contenus (couverture 5G avec absence de latence et réduction de la consommation d’énergie). On peut même envisager une nouvelle révolution dans la consommation d’événements sportifs lorsque les contenus générés par les fans et ceux déjà en expérimentation générés par les joueurs seront diffusés via ces plateformes (dont l’activité est de plus en réglementée, notamment avec le Digital Markets Act (DMA) et le Digital Services Act (DSA) qui limitent la domination économique des grandes plateformes et la diffusion en ligne de contenus et produits illicites) et généreront de nouvelles formes d’interactions. En tout cas, c’est le pari que nous faisons chez Whimup !
|
|
|
|
LE NUMÉRIQUE POUR SÉCURISER LES JO 2024 : UNE LIGNE DE CRÊTE
|
|
|
|
Jean Martinot est Vice-Président du Cercle de la Donnée, un think-tank indépendant réunissant des professionnels qui s’intéressent aux usages de la donnée au-delà de sa seule dimension technologique, et qui produit des réflexions fouillées sur ses impacts sur les personnes et le monde qui les entoure. Il y préside actuellement un groupe de travail consacré à « l’empreinte de la donnée sur le vivant ». Passionné par la technologie et le sport, titulaire d’un diplôme d’ingénieur, ayant pratiqué 25 années de gymnastique en compétition, Jean Martinot travaille actuellement pour une fédération sportive dont il est le Responsable des Systèmes d’Information (« RSI ») et Délégué à la Protection des Données. Impliqué avec sa fédération sur la préparation des JO 2024, il a accepté de partager son point de vue à ce sujet auprès de la Lettre du DPO.
La difficile conciliation entre l’héritage passé et les impératifs juridiques en Union Européenne.
« Les jeux Olympiques se sont peu à peu hautement informatisés et, surtout, depuis ceux de Londres en 2012, cette informatique a migré vers des infrastructures infonuagiques. Désormais, ces technologies sont omniprésentes et certains opérateurs numériques se sont imposés comme fournisseurs officiels, comme la plateforme Alibaba qui héberge notamment le fichier comportant les données relatives aux personnes accréditées pour accéder aux manifestations sportives se déroulant pendant les jeux (notamment les policiers). En effet, choisi en 2019, le groupe chinois s’est vu confié la fourniture des services de billetterie pour les JO d’hiver s’étant tenu à Pékin en 2022, ce qui, selon certains, l’imposait comme fournisseur des JO de Paris 2024, et ce pour un large périmètre puisque Alibaba héberge également les applications du COJO (comité d’organisation des Jeux olympiques). Cet héritage a suscité d’âpres discussions, puisque le RGPD, qui s’applique aux données collectées dans le cadre des JO de Paris 2024, interdit les transferts en dehors de l’Union Européenne, notamment vers la Chine, sauf à les encadrer très strictement contractuellement et techniquement, ou si le pays destinataire bénéficie d’une législation jugée suffisamment protectrice en la matière. Sur ce point, tant que la Chine n’a pas décidé de faire évoluer sa réglementation, l’hébergement de données européennes, sur le territoire chinois, soulèvera des difficultés, raison pour laquelle, pour l’heure, certains estiment nécessaire de confier l’hébergement de ces données à un opérateur européen. »
Face à des menaces croissantes et sans précédent pour un événement sportif, le numérique est à la fois l’antidote et le poison.
« Pour sécuriser de vastes zones qui vont accueillir une affluence sans précédent, plus de 13 millions de billets sont mis en vente et 600 000 personnes sont attendus sur les quais de la Seine pour la cérémonie d’ouverture, avec des effectifs de police et sécurité qui, eux, ne sont pas sans limite, les autorités comptent sur le recours aux nouvelles technologies : caméras intelligentes (comprendre : munies de dispositif de reconnaissance faciale), drones, etc. Si ces technologies permettront effectivement, souvent, de décupler les capacités de contrôle et d’investigation pour lutter contre l’insécurité, elles concourront également à accroître la surface d’attaque. En effet, les grandes quantités de données collectées dans ce cadre sont accessibles à distance, ce qui facilite la tâche des tiers malveillants, ou même tout simplement augmente les probabilités d’une erreur humaine, pouvant donner lieu à une fuite ou une perte de données. Or, ce type d’incident peut ruiner des réputations ou empêcher un événement sportif de se dérouler convenablement. Ainsi, dans un monde de plus en plus connecté, la cybercriminalité devient le prolongement de la criminalité. C’est pour cette raison que le déploiement de ces technologies, lors d’un événement mondial, comme celui des JO 2024, doit s’accompagner de vastes moyens de protection et d’investigation numériques pour prévenir, mais aussi pour guérir, les victimes de cyberattaques. »
|
|
|
|
Les thématiques prioritaires de la CNIL pour 2023, des sujets à forts enjeux pour les personnes concernées
|
|
|
|
L’année 2023 sera l’occasion, pour la CNIL, de privilégier quatre nouveaux axes de contrôle. Le premier sujet est celui de l’utilisation de caméras « augmentées » ou « intelligentes » par les collectivités territoriales qui devront veiller à respecter strictement la réglementation nonobstant les impératifs de sécurité qui motivent leur mise en place. Le déploiement de ces caméras constitue un enjeu majeur pour les personnes concernées, surtout à l’approche des Jeux Olympiques de 2024. Le second sujet est celui de l’utilisation du fichier des incidents de crédit (découverts, crédits et surendettement), que doivent consulter les banques avant d’octroyer un crédit à un particulier. Ainsi, dès lors que l’inscription dans ce fichier est susceptible de priver des personnes d’un prêt, l’exactitude des données qui y figurent est primordial, rappelle la CNIL, qui focalisera notamment ses contrôles sur les habilitations d’accès au fichier et sa mise à jour régulière après résolution des incidents financiers. La gestion des dossiers de santé revient une fois encore parmi les thématiques prioritaires de la CNIL à l’heure où l’informatisation des données des patients se poursuit. Enfin, le quatrième et dernier sujet se concentre sur le traçage des utilisateurs par les applications mobiles aux fins de publicité, statistique et mise en place d’outils techniques. Pendant des cookies pour les sites web, la CNIL souhaite contrôler ces identifiants mis en place par les applications bien souvent en violation de la règlementation, les utilisateurs n’ayant ni consenti ni même été informés.
|
|
|
|
Géolocalisation : sanction de la CNIL à l’encontre de CITYSCOOT
|
|
|
|
Le 16 mars 2023 la CNIL a prononcé une sanction de 125 000 euros à l’encontre de la société CITYSCOOT spécialisée dans la location de scooters électriques en libre-service pour une courte durée. Lors du contrôle, déclenché dans le cadre des axes de contrôle prioritaires de la CNIL de 2020, il a été constaté que la société collectait des données de géolocalisation du scooter toutes les 30 secondes au cours de sa location et conservait l’historique des trajets. CITYSCOOT est ainsi sanctionnée pour avoir, d’une part, manqué à son obligation de minimisation des données collectées, un service identique sans géolocalisation quasi-permanente des clients pouvant être proposé. D’autre part, il lui est reproché un manquement à l’obligation d’encadrer contractuellement les traitements effectués par un sous-traitant conformément à l’article 28 du RGPD. Enfin, la CNIL reproche à CITYSCOOT d’avoir manqué à son obligation d’informer l’utilisateur, et d’obtenir son consentement, pour l’utilisation du mécanisme de reCAPCHA fourni par GOOGLE. Le 7 juillet 2022, la CNIL avait sanctionné la société UBEEQUO, loueur de voitures de courte durée, car elle géolocalisait aussi ses véhicules de manière quasi-permanente.
Pour en savoir plus, cliquez ici
|
|
|
|
Sécurité des données : mise à jour du guide de la CNIL
|
|
|
|
Le 3 avril dernier, la CNIL a annoncé avoir mis à jour son « guide de la sécurité des données personnelles » qui rappelle, à travers 17 fiches pratiques, les précautions élémentaires qui devraient être mises en œuvre de façon systématique ainsi que les mesures destinées à renforcer davantage la protection des données. Les principales mises à jour concernent les fiches n°2 « Authentifier les utilisateurs » (pour y intégrer notamment la notion d’entropie du mot de passe et abandonner l’obligation de renouvellement des mots de passe pour les comptes utilisateurs « classiques »), n°4 « tracer les opérations et gérer les incidents » (pour y intégrer des précisions en matière de journalisation), n°12 « encadrer les développements informatiques », et n°15 « sécuriser les échanges avec d’autres organismes », pour prendre en compte les évolutions et recommandations publiées par la CNIL sur ces sujets, tout au long de l’année.
Pour en savoir plus, cliquez ici
|
|
|
|
Mardi 23 mai 2023 à partir de 13h30 |
|
|
|
La CNIL organise un colloque pour ses 45 ans sur le thème « Agir pour un futur numérique responsable »
|
|
|
|
Les intervenants (chercheurs, avocats, journalistes et représentants d’organismes publics et privés) aborderont l’évolution des outils informatiques au cours de ces 45 dernières années, l’histoire de la première autorité administrative indépendante française créée par la loi Informatique et Libertés en 1978, mais également les perspectives et les innovations à venir.
Il est possible de suivre cet événement en ligne en s’inscrivant ici |
|
|
|
Le département Immatériel et Numérique de klein • wenner
Forte d’avocats expérimentés, experts en droit du numérique et du RGPD, l’équipe Immatériel & Numérique de klein • wenner a développé une pratique transversale inédite en droit de la donnée. En lien avec d’autres experts (cybersécurité, SI/gouvernance des données), elle propose une approche globale permettant de traiter l’ensemble des questions liées aux données (privacy, propriété intellectuelle, cybersécurité, et open data* – *avec l’équipe Droit public du cabinet).
|
|
|
|
La Lettre du DPO est une publication de klein • wenner qui traite vos données conformément à la règlementation protégeant les données à caractère personnel. Pour en savoir plus, cliquez ici
|
|
|
|
|
|
|
|
