Un décret muscle les capacités de collecte du Pôle d’Expertise de la Régulation Numérique (PEReN)

Un décret muscle les capacités de collecte des données par le Pôle d'expertise de la régulation numérique. Désormais, les CGU ne peuvent plus lui interdire de moissonner (« web scraping ») ces données aux fins de nourrir les réflexions portant sur la régulation des opérateurs.

PEReN ? Le Pôle d'expertise de la régulation numérique est né avec un décret du 31 août 2020. Ce service a compétence nationale est chargé « de fournir aux services de l'État une assistance technique dans les domaines du traitement des données, des data sciences et des procédés algorithmiques ». Un vaste chantier pour ce service d’appui rattaché au directeur général des entreprises, à Bercy.

Le décret de 2020 a défini quatre missions principales :

• « Il met à disposition desdits services de l'État une expertise et une assistance technique générale, notamment en matière d'analyses de données, de codes sources, de programmes informatiques, de traitements algorithmiques et d'audit des algorithmes utilisés par les plateformes numériques »
• « Il fournit, sur demande desdits services de l'État, une contribution et une expertise techniques dans le cadre de contrôles, enquêtes ou études menés sur les plateformes numériques »
• « Il anime des échanges réguliers avec lesdits services de l'État et bénéficie de leur expertise technique, afin de favoriser le partage d'informations, de codes sources et d'analyses développés par et avec ces services en matière de régulation des plateformes numériques »
• « Il contribue à l'animation d'un réseau d'experts publics en sciences des données et des traitements algorithmiques, en associant des représentants de la recherche et en lien, notamment, avec la direction interministérielle du numérique »

Ce service a déjà travaillé en 2021 avec la Hadopi pour analyser les contenus de YouTube. Un rapprochement qui a permis à l’autorité de publier une analyse de l’offre et de la consommation des vidéos proposées sur les chaînes sur la plateforme.

Le 23 avril dernier, au Journal officiel, un nouveau décret est venu aiguiser le dispositif en désignant la liste exhaustive des autorités administratives et publiques indépendantes pouvant faire appel à ce pôle. Ces autorités désignées par décret sont :

• L’Autorité de la concurrence (ADLC)
• L’Autorité des marchés financiers (AMF)
• L’Autorité nationale des jeux (ANJ)
• L’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep)
• L’Autorité de régulation de la communication audiovisuelle et numérique (ARCOM)
• L’Autorité de régulation des transports (ART)
• La Commission nationale de l'informatique et des libertés (CNIL)
• Le Défenseur des droits (DDD)

Le même décret définit surtout les méthodes de collecte de données pour l’expérimentation des outils liés à la régulation des opérateurs. Cette collecte vise à utiliser, concevoir ou évaluer « des outils techniques et ayant pour strict objet la réflexion portant sur la régulation des opérateurs ». Une phase qui passe par la manipulation de données à caractère personnel, et qui a nécessité la consultation de la CNIL, dont la délibération a elle aussi été publiée au JO. 

Casser la réticence des plateformes

Dans son avis, la CNIL note que le déploiement du PEReN a connu des difficultés opérationnelles durant ses premiers mois d’activités. Et pas des moindres, puisque des plateformes ont refusé de coopérer avec lui.

Le pôle « s'est ainsi vu refuser par un opérateur de plateforme l'accès à son interface de programmation (API) mise à disposition des chercheurs, tandis que les conditions générales d'utilisation (CGU) des services des plateformes numériques interdisent explicitement la collecte automatisée de données en dehors de telles API (moissonnage du web, ou web scraping) ».

Ce constat avait déjà été fait par le gouvernement lorsqu’il a initié le 9 juin 2021 une réforme du pôle d’expertise, par voie d’amendement : « la régulation des plateformes numériques suscite de redoutables difficultés en termes d’asymétrie d’information. Les autorités de régulation sont de plus en plus souvent placées dans une situation critique face à l’opacité des systèmes et la forte dépendance à la bonne volonté de ces acteurs. Pourtant leur importance dans la diffusion de contenus audiovisuels auprès du public ne cesse de croître, notamment auprès des jeunes, qu’il s’agisse de l’écoute de musique en ligne, de la consultation quotidienne de vidéos en ligne, des réseaux sociaux ou encore des jeux vidéo. »

L’amendement a donc autorisé le PEReN à pouvoir collecter les données publiquement accessibles « par l’intermédiaire des services des plateformes numériques afin de pouvoir réaliser des échantillons de test indemnes de tous biais et permettant une expérimentation de qualité, sans que les plateformes numériques ne puissent lui opposer un refus d’accès aux services existants de mise à disposition de ces données ou indirectement au travers des CGU ».

Cette réforme s’est matérialisée à l’article 36 de la loi du 25 octobre 2021 relative à la régulation et à la protection de l'accès aux œuvres culturelles à l'ère numérique. Il autorise le pôle à mettre en œuvre « des méthodes proportionnées de collecte automatisée de données publiquement accessibles », même lorsque ces méthodes impliquent la connexion à un compte.

En somme, le législateur a fait plier les résistances des plateformes en leur retirant la possibilité, par exemple via les CGU, de s’opposer au service ou de lui refuser l’accès aux API. Et le décret du 23 avril est venu préciser les modalités concrètes de cette collecte.

Quelles données ? Quels traitements ?

Le décret prévient dans ses premières lignes que la sélection des contenus à collecter devra s’opérer « de manière proportionnée et automatisée par application de critères techniques déterminés pour les besoins particuliers de chaque activité d'expérimentation ».

Cet automatisme est théoriquement très vaste, mais le texte d’application fixe des bornes, exigeant l’utilisation « d'échantillons de données statistiquement représentatifs de faible amplitude », tout en interdisant de recourir à un système de reconnaissance faciale ou d'identification vocale.

Le même décret prévient que les plateformes visées seront toujours alertées de ces mesures. Elles sauront les catégories de données collectées, les modalités de la collecte, les adresses IP utilisées pour ce moissonnage, une estimation du nombre de requêtes, les dates et plages horaires et enfin les coordonnées du responsable de l’expérimentation.

L’opérateur disposera alors de 6 semaines pour communiquer au pôle « ses observations relatives à la préservation de la sécurité de ses services et, le cas échéant, les informations nécessaires à l'utilisation de l'interface de programmation applicative mise à disposition pour la collecte de données, notamment la clé d'identification à cette interface ». Il devra de la même façon informer le même pôle « des problèmes dont il a connaissance concernant la qualité et les biais portant sur les données collectées ».

Concrètement, le décret autorise le pôle à chaluter :

• « Les données d'identification, déclarées par les titulaires de comptes ouverts sur les plateformes en ligne, telles qu'elles apparaissent sur ces comptes »
• « Les contenus, qui peuvent notamment être des écrits, des images, des photographies, des sons, des icônes ou des vidéos, publiquement accessibles (…) diffusés ou relayés au moyen de ces comptes, ainsi que les commentaires associés à ces contenus, y compris les messages diffusés par les plateformes en ligne »
• « Les métadonnées liées aux données (…) notamment les informations relatives aux dates et heures de leur création et les indicateurs d'audience associés ».

Un exemple de traitement, cité par la CNIL : « la présence de caractères numériques dans l'identifiant d'un compte de réseau social est un indicateur du caractère automatique d'un compte ». Autres exemples applicatifs cités par le gouvernement dans son amendement : « qualifier et mesurer objectivement l’efficacité des outils de modération mis en place par les réseaux sociaux », « mesurer la mise en avant des contenus par les moteurs de recherche et certains réseaux sociaux », « évaluer quantitativement et qualitativement la part et le type de contenus monétisés sur les plateformes numériques » et « retracer les origines des financements publicitaires des sites hébergeant des œuvres protégées, sans l’autorisation des ayants droit ». D’autres sont cités sur le site officiel du PEReN. 

Une fois les filets remontés, les données non nécessaires, celles étrangères aux finalités de l’expérimentation et les données sensibles au sens du RGPD (opinion syndicale, orientation sexuelle, etc.) devront être automatiquement supprimées. 

En somme, le dispositif s’articule en plusieurs traitements : collecte, tri sélectif, exploitation des données dans le cadre de l’expérimentation. Ces différentes étapes, lorsqu’elles relèveront du RGPD, n’exigeront pas le consentement des personnes concernées. Ces traitements reposeront en effet sur les missions d’intérêt public du PEReN, l’une des autres bases légales prévues par le règlement européen sur la protection des données à caractère personnel.

Un traitement possiblement massif

Pour la CNIL, « la nature de tels traitements est susceptible de porter atteinte à certains droits et libertés fondamentaux, dont la liberté d'expression et la liberté d'opinion ». Au regard du traitement possiblement « massif », l’autorité considère en conséquence que ces atteintes « ne peuvent être admises que si des garanties suffisantes sont prévues ».

Elle a réclamé « une attention particulière », aussi bien sur la transparence de ces traitements qu'aux principes de minimisation et de protection des données dès la conception.

Au rang des garanties, l’autorité relève que ces traitements ne pourront porter que sur les « contenus publiquement accessibles », ce qui exclut « les contenus faisant l'objet d'un accès restreint ». On pense ici aux comptes non publics sur Facebook, dont l’accès est subordonné à un feu vert du détenteur du compte. « Par ailleurs, ces données devront être détruites à l'issue des travaux d'expérimentation, au plus tard, au terme d'un délai de neuf mois après leur collecte ».

De même quand les agents du PEReN devront créer un compte, le décret leur interdit d’« entrer en relation avec d'autres détenteurs de compte, diffuser des contenus ou exercer une activité autre que celle prévue ».

La CNIL estime dans sa délibération qu’ « aucun traitement de données biométriques aux fins d'identifier une personne physique de manière unique ne devra être mis en œuvre ». Le décret se contente surtout d’interdire la reconnaissance vocale ou faciale… Le PEReN a indiqué en effet à l’autorité « que des algorithmes d'identification des traits physiques dont la finalité n'est pas l'identification des personnes pourraient être utilisés par le dispositif ».

La Commission a recommandé en retour « que ces techniques soient soumises à une analyse spécifique portant sur la présence de biais et les risques de discrimination des personnes lors des expérimentations prévues, notamment pour celles qui ont vocation à proposer des outils aux autorités habilitées à recourir au PEReN ».

Des garanties soulignées par la CNIL ont disparu

La même autorité avait relevé avec satisfaction qu’une information collective des personnes était prévue dans le projet de décret soumis à son examen. « L'article 10 du projet de décret prévoit que les personnes concernées sont informées au travers d'annonces écrites publiées sur le site web du PEReN ».

Seulement, le décret publié au Journal officiel ne prévoit plus un tel dispositif. L’article 10 a tout simplement sauté. Le décret n'en compte plus que 7, sans que l'on sache donc à quoi correspondait les 2 autres.

D’autres informations étaient tout autant prévues, notamment « une information générale » diffusée sur le site du PEReN « présentant notamment les différentes expérimentations, les sources de collecte et les droits des individus liés à la protection de données à caractère personnel les concernant ».

La Commission avait insisté pour que l’information soit rédigée en des termes compréhensibles… sans imaginer que cette disposition allait, elle aussi, disparaitre lors de la publication au Journal officiel. Il était envisagé la création d’une « liste repoussoir », pour permettre « aux personnes concernées de s'opposer à la collecte de leurs données sur les plateformes en ligne en fournissant leurs données d'identification sur les plateformes en amont des expérimentations ».

Ce droit d’opposition n’est plus prévu dans le décret au JO (mais sans doute reste-t-il en vigueur au regard de l'application directe du RGPD). Même constat pour la journalisation des traces, dont l’examen aurait permis, selon la CNIL, de « détecter d'éventuels comportements anormaux » afin de « générer des alertes ».