Shadow banned

Vinted a été condamnée à une amende de 2,3 millions d’euros pour n’avoir pas respecté le droit d’accès et le droit à l’oubli de ses utilisateurs. La plateforme avait aussi, « illégalement », mis en œuvre un « bannissement furtif » invisibilisant les utilisateurs « malveillants » dans le but de les inciter à quitter la plateforme.

L’autorité lituanienne de protection des données a prononcé, en coopération avec la CNIL, une amende de 2 385 276 euros à l’encontre de la société Vinted UAB pour « plusieurs manquements » visant les utilisateurs de la plateforme et application mobile de revente de vêtements et accessoires d’occasion.

La CNIL avait en effet été saisie de nombreuses plaintes à son sujet à partir de 2020, « portant majoritairement sur des difficultés rencontrées par les personnes dans l’exercice de leur droit à l’effacement des données ».

Vinted ayant son siège social en Lituanie, c’est son autorité nationale de protection des données, la State Data Protection Inspectorate (SDPI), qui était compétente pour mener les investigations sur ce dossier, en application du RGPD.

Vinted ne respectait ni le droit d’accès ni le droit à l’oubli

Les plaintes françaises lui ont donc été communiquées. La CNIL précise avoir « étroitement coopéré » avec son homologue, ainsi qu’avec les autres autorités concernées (polonaise, néerlandaise et allemande).

À l’issue des enquêtes, l’autorité lituanienne de protection des données a conclu que Vinted n’a pas pu prouver qu’elle avait correctement répondu à des demandes de droit d’accès. Elle n’a pas non plus traité de manière loyale et transparente les demandes d’effacement qu’elle a reçues :

• la société ne pouvait pas refuser l’effacement au seul motif que les personnes ne citaient pas un des critères prévus par le RGPD dans leur demande d’effacement ;
• dans les cas où elle a refusé l’effacement, la société n’a pas indiqué aux plaignants toutes les raisons du refus.

Un système illégal de « bannissement furtif »

Vinted avait aussi mis en œuvre un « bannissement furtif » illégal. Cette méthode consiste à rendre invisible pour les autres utilisateurs l’activité d’un utilisateur considéré comme « malveillant » (parce qu’il ne respecte pas les règles de la plateforme), mais sans que ce dernier ne s’en aperçoive, et « dans le but de l’inciter à quitter la plateforme » :

« Bien qu’une telle pratique ait vocation à protéger la plateforme, les conditions dans lesquelles elle a été mise en œuvre a porté une atteinte excessive aux droits des utilisateurs, notamment parce qu’ils n’étaient pas informés de cette mesure et que celle-ci pouvait engendrer des discriminations (inefficacité de l’exercice du droit à contacter l’assistance client, impossibilité d’exercer ses droits, etc.). »

De plus, souligne la CNIL, les objectifs du bannissement furtif pouvaient aussi être atteints par le blocage complet « qui intervenait automatiquement 30 jours après le bannissement furtif et dont les personnes étaient informées ».

Vinted va faire appel

« Nous désapprouvons fondamentalement cette décision », a indiqué Vinted à l’AFP, qui estime qu’elle n’a « aucun fondement juridique » et établit « un nouveau précédent qui va à la fois au-delà de la législation actuelle et des pratiques du secteur ». L’entreprise a indiqué qu’elle fera appel de cette décision.

Créée à Vilnius en 2008, Vinted est devenue bénéficiaire pour la première fois en 2023. Elle emploie plus de 2000 personnes, dont la majorité en Lituanie.

La France est le premier marché de la plateforme de vente d’articles d’occasion Vinted, avec 23 millions d’utilisateurs à fin 2023, soit 29 % de sa base de clients mondiale. Ses ventes avaient grimpé de 32 % en 2022, rapportait par ailleurs l’AFP en mars dernier.

Made in (& patented by) China

Si la Chine surclasse de loin les États-Unis dans les dépôts de brevets ès-GenAI, ces derniers ont publié près de 12 500 publications scientifiques, contre un peu plus de 12 000 pour la Chine. Signe d’une accélération : 45 % d’entre elles l’ont été l’an passé.

54 000 inventions auraient été brevetées et plus de 75 000 publications scientifiques ont été publiées en matière d’IA générative ces dix dernières années, dont respectivement plus de 25 et 45 % au cours de la seule année passée. C’est ce que révèle un rapport de l’Organisation mondiale de la propriété intellectuelle (OMPI, WIPO en anglais) sur le paysage des brevets concernant l’IA générative (GenAI).

Entre 2014 et 2023, plus de 38 000 inventions de GenAI ont ainsi été brevetées en Chine, soit six fois plus qu’aux États-Unis, qui occupe la deuxième place du classement avec environ 6 300 familles de brevets, soit 11,5 % du total. Depuis 2017, la Chine, qui totalise à elle seule 70 % du total des brevets recensés, a en outre publié chaque année plus de brevets dans ce domaine que tous les autres pays réunis.

Trois autres pays asiatiques, la Corée du Sud, le Japon et l’Inde, arrivent respectivement à la troisième, quatrième et cinquième position. L’Inde a par ailleurs connu le taux de croissance annuel moyen le plus élevé parmi les cinq premiers pays, de l’ordre de 56 % par an.

Le Royaume-Uni est le premier site européen (sixième au niveau mondial), avec 714 brevets publiés dans la même période. L’Allemagne le suit de près avec 708 familles de brevets, tout en ayant publié plus de brevets GenAI que le Royaume-Uni ces dernières années. Le Canada en dénombre 549, Israël 311 et la France 305 (soit 0,6 % du total). Ces principaux pays inventeurs représentent à eux seuls l’écrasante majorité (94 %) de l’activité mondiale dans ce domaine.

Les États-Unis : 12 500 publications, mais 170 000 citations

En termes de publications scientifiques, la Chine figure là aussi en tête du palmarès avec 12 453 publications, suivie de près par les États-Unis (12 036), le Royaume-Uni (3 209), l’Allemagne (1 738), la France figurant en 10ᵉ position avec 895 publications. A contrario, avec près de 170 000 citations, les États-Unis surclassent la Chine, qui n’en dénombre qu’un peu plus de 100 000, la France figurant à l’avant-dernière position avec 11 203 citations.

Les brevets en matière de GenAI ne représentent actuellement que 6 % de l’ensemble des brevets d’IA dans le monde. Cependant, leur nombre a été multiplié par huit depuis l’introduction en 2017 des transformeurs et de l’architecture d’apprentissage profond, à l’origine des grands modèles de langage devenus synonymes de GenAI, avec une croissance annuelle moyenne d’environ 45 % depuis lors.

116 publications scientifiques en 2014, plus de 34 000 en 2023

Au cours des dix dernières années, le nombre de familles de brevets dans la GenAI est ainsi passé de seulement 733 en 2014 à plus de 14 000 en 2023. Le nombre de publications scientifiques est quant à lui passé de seulement 116 en 2014 à plus de 34 000 en 2023.

Les 10 premiers déposants de brevets GenAI sont : Tencent (2 074 inventions), Ping An Insurance (1 564), Baidu (1 234), l’Académie chinoise des sciences (607), IBM (601), Alibaba Group (571), Samsung Electronics (468), Alphabet (443), ByteDance (418) et Microsoft (377).

Les brevets relatifs aux images et vidéos arrivent en première position avec 17 996 inventions, suivis par les textes (13 494 inventions) et la parole/musique (13 480 inventions). Les brevets utilisant des données relatives aux molécules, gènes et protéines augmentent rapidement (1 494 inventions depuis 2014), avec une croissance annuelle moyenne de 78 % au cours des cinq dernières années.

Citons également les sciences de la vie (5 346 inventions), la gestion et l’édition de documents (4 976 inventions) et de 2 000 à 5 000 inventions dans chacun des domaines suivants : solutions d’entreprise, industrie et fabrication, transport, sécurité et télécommunications.

Google, seule entreprise dans le top des publications scientifiques

L’Académie chinoise des sciences arrive très clairement en tête des publications scientifiques, avec plus de 1 100 publications depuis 2010. L’université de Tsinghua et l’université de Stanford suivent en deuxième et troisième position avec plus de 600 publications chacune. Alphabet/Google (quatrième) est la seule entreprise à figurer dans le top 20 (556 publications scientifiques).

Toutefois, lorsque l’on mesure l’impact des publications scientifiques en fonction du nombre de citations, les entreprises dominent, relève l’OMPI : Alphabet est de loin la première institution, et sept autres entreprises sont présentes dans le top 20.

Le cas d’OpenAI est également remarquable. Dans le corpus GenAI de publications scientifiques, l’entreprise n’a en effet publié que 48 articles (325ᵉ institution en termes de nombre de publications), mais ces publications ont reçu un total de 11 816 citations d’autres publications scientifiques (13ᵉ au total).

Les Français de l’étranger sont invités à voter pour le second tour des élections législatives anticipées depuis ce mercredi 3 juillet à midi, et jusqu’au 4 juillet à 18 heures. Une fenêtre de tir « particulièrement courte », souligne BFM Tech&Co.

Organisation de dernière minute oblige, la plateforme ne sera dès lors disponible que pendant 30 heures, contre 48 heures au premier tour. Un délai bien plus court que lors des élections législatives de 2022, qui avaient donné aux Français de l’étranger cinq jours pour se connecter à la plateforme.

Et ce, alors que lors du premier tour, de nombreux internautes avaient expliqué ne pas avoir pu se connecter à la plateforme en raison d’une trop forte affluence : 416 000 Français s’y étaient connectés (soit 72% des électeurs basés à l’étranger), contre 250 000 en 2022. Un problème désormais réglé « après une mise à jour des serveurs », assurent des sources diplomatiques à Tech&Co sans que l’on sache en quoi cette mise à jour consiste.

Lors du premier tour, des internautes avaient par ailleurs déploré ne jamais avoir reçu de SMS permettant de confirmer leur identité sur la plateforme, et donc de voter. « Des difficultés ponctuelles » avec certains opérateurs téléphoniques, dans certains pays, pour relayer l’ensemble des SMS envoyés depuis la France, expliquent les sources diplomatiques. En cas d’absence de SMS, il est recommandé aux électeurs de retenter leur chance, en sollicitant l’envoi d’un autre SMS.

Law GIC high tech

Huit ans après l’adoption de la loi renseignement de 2015, le Groupement interministériel de contrôle continue d’affiner les outils informatiques permettant à la Commission de contrôles des techniques de renseignement (CNCTR) d’exercer ses missions.

Depuis 2015, la CNCTR est chargée d’examiner les demandes de placement sous surveillance émanant des services de renseignement. Ses rapports annuels permettent d’en savoir plus sur le nombre de personnes surveillées par les services de renseignement, les motifs permettant de les surveiller et les multiples « techniques de renseignement » utilisées à cet effet, auxquels nous avons consacré un premier article.

• 24 000 personnes ont été surveillées par les services de renseignement français en 2023

Au-delà de ces chiffres, les rapports de la CNCTR permettent également d’en apprendre plus sur les rapports qu’entretient la Commission avec les services de renseignement, sur les anomalies et irrégularités qu’elle a pu identifier, et les contre-mesures prises pour y remédier.

La CNCTR relève ainsi qu’en 2023, le nombre d’avis défavorables rendus concernant les demandes de « techniques de renseignement » a connu une « baisse sensible » de 20 % (775 avis défavorables, soit 0,8 % du total, contre 974 en 2022), toutes techniques confondues, par rapport à 2022. Hors demandes de données de connexion, le taux d’avis défavorables représente ainsi 1,2 % du total des demandes, contre 1,6 % en 2022 :

« Ce résultat s’explique sans doute par les progrès dans la maîtrise du cadre légal, avec un important travail de formation mené par les services et une politique de consolidation et de diffusion de sa doctrine par la commission. Il est aussi lié à un développement des échanges entre la commission et les services soit avant la transmission d’une demande estimée délicate, soit lors de son instruction, à l’initiative de la commission. »

« Nous ne sommes pas les ennemis ou les juges des services. Nous n’appartenons pas non plus à la communauté du renseignement », explique le président de la CNCTR, Serge Lasvignes, qui insiste sur « la relation de qualité entre la Commission et les services. Chacun reste à sa place dans le souci de respecter le cadre légal. »

Si les « interceptions de sécurité » (à savoir les écoutes téléphoniques effectuées à la demande des services de renseignement, ndlr) font l’objet d’un contrôle « a priori », les techniques de renseignement plus intrusives (poses de balises GPS, micro, caméras et logiciels espion) font quant à elles l’objet d’un contrôle « a posteriori », explique la CNCTR :

« Ce contrôle a posteriori constitue un enjeu crucial face à la crainte d’un écart qui irait croissant entre les moyens limités de la CNCTR, d’une part, et, d’autre part, l’utilisation de techniques de renseignement de plus en plus intrusives permettant la captation d’une masse de données sans commune mesure avec ce qu’elle était “au temps des écoutes”, le recours des systèmes de pré-traitement et de traitement de ces données de plus en plus sophistiqués et la complexité et la diversité de leurs conditions de stockage. »

Le plus haut niveau de contrôles a posteriori depuis 2015

CNCTR+N

La montée en puissance de la lutte contre les narcotrafics et les ingérences étrangères explique en partie l’augmentation de 15 % du nombre de personnes surveillées. La Commission de contrôles des techniques de renseignement note également qu’une évolution législative devrait intervenir en 2025.

24 209 personnes ont fait l’objet de 94 902 demandes de « techniques de renseignement » l’an dernier, soit une augmentation de 15 % en un an et de 29,1 % depuis 2019, révèle le rapport annuel de la Commission nationale de contrôle des techniques de renseignement (CNCTR), contre 22 958 personnes surveillées et 87 588 techniques de renseignement l’an passé.

« Pour la première fois, c’est une finalité autre que la prévention du terrorisme qui devient la première des finalités en nombre de cibles », souligne le conseiller d’État honoraire Serge Lasvignes, président de la CNCTR, du fait de la progression du nombre des personnes suivies au titre de la prévention de la délinquance et de la criminalité organisée

« L’importance de cette intervention de la police administrative dans un domaine qui appartenait traditionnellement à la police judiciaire montre que la menace liée au trafic de stupéfiants est désormais devenue un enjeu pour le fonctionnement normal des institutions. »

7 058 trafiquants présumés ont en effet été espionnés, soit une augmentation de 29 % par rapport à 2022. Un chiffre en partie imputable aux moyens déployés par les douanes, précise Le Figaro.

6 962 suspects de radicalisation à caractère terroriste ont, eux aussi, été surveillés par les services de renseignement. Un chiffre en baisse de 10 % en cinq ans « du fait du démantèlement des réseaux », mais en « légère hausse » de 7,5 % cette année.

2 551 personnes ont été surveillées en 2023 au titre de la prévention des extrémismes violents et
des violences collectives, contre 2 692 en 2022 et 3 021 en 2019 (-15,6 % par rapport à 2019). Une tendance à la baisse qui « va de pair avec une stabilité du nombre des techniques utilisées dans un contexte où les activistes savent de mieux en mieux se protéger », précise le Figaro.

• La criminalité organisée occupe 20 % du temps de nos services de renseignement
• Les services de renseignement surveillent moins de gens, mais via plus de techniques de renseignements

La lutte contre les ingérences étrangères représente désormais « plus de 20 % du nombre total des techniques comme du nombre des personnes surveillées, soit une part nettement supérieure à celle constatée les huit années passées », notamment du fait des « agressions informationnelles » liées à la guerre en Ukraine.

Un « recours toujours croissant aux techniques les plus intrusives »

« Plus significatif que cette augmentation limitée en volume est le recours toujours croissant aux techniques les plus intrusives », souligne Serge Lavignes, allant de la pose de micros dans des lieux privés au recueil de l’ensemble des données informatiques de la personne en passant par le piégeage des téléphones et des ordinateurs.

« On s’efforce ainsi de compenser le désormais faible apport des écoutes téléphoniques », décrypte le président de la CNCTR : « cette forme d’escalade paraît difficilement résistible, les personnes surveillées (notamment celles pratiquant des formes d’extrémisme violent) étant de plus en plus conscientes du risque d’une surveillance technique et aptes à s’en prémunir ».

Par ailleurs, une nouvelle autorisation de mise en œuvre d’un traitement automatisé, destiné à détecter des connexions susceptibles de révéler une menace terroriste (technique dite de l’« algorithme »), a été accordée en 2023. Cela porte à cinq le nombre de « boîtes noires » autorisées depuis l’ouverture de cette technique aux services de renseignement en 2015.

Le rapport souligne cependant que la faculté ouverte en 2021 d’étendre la technique de l’algorithme aux adresses complètes de ressources utilisées sur internet (Uniform Resource Locator, URL) « n’a toutefois pas encore été mise en œuvre ».

• Comment s’organise le contrôle des techniques de renseignement
• « Boites noires » : les services de renseignement n’ont pas encore demandé à surveiller les URL

Une évolution du cadre légal serait « nécessaire »

La Commission estime par ailleurs qu’une évolution du cadre légal « serait nécessaire au regard des exigences de la jurisprudence européenne ». En particulier pour les échanges avec les services étrangers et des fichiers dits de souveraineté, d’autant que plusieurs arrêts concernant la France devraient intervenir en 2024.

Comme la commission avait déjà eu l’occasion de l’évoquer à plusieurs reprises dans ses précédents rapports, 14 requêtes introduites devant la CEDH entre le 7 octobre 2015 et le 21 avril 2017 sont en effet toujours pendantes. Elles portent sur les dispositions du Code de la sécurité intérieure issues de la loi renseignement de 2015.

Les décisions, d’abord annoncées pour l’année 2022 puis pour 2023, n’étaient pas encore intervenues à la date d’impression du rapport, « mais devraient l’être dans les prochaines semaines », précise la CNCTR.

Évoquant les modalités du droit au recours, et plus particulièrement du principe du caractère contradictoire de la procédure, la CNCTR estime qu’ « un meilleur respect des exigences européennes pourrait passer par une amélioration du dispositif actuel qui ne permet ni au requérant, ni à son conseil d’avoir connaissance de l’ensemble des éléments auxquels accède le Conseil d’État », au motif qu’ils sont classifiés.

Le réclamant insatisfait a certes la faculté de saisir le Conseil d’État d’un recours contentieux. Mais les explications données au juge par les services du Premier ministre et la commission sont couvertes par le secret de la défense nationale, car « le requérant n’a pas accès au dossier ».

À l’instar du modèle britannique de la « preuve secrète » rendue accessible uniquement à des avocats spécialement habilités, la CNCTR avance qu’il pourrait être envisagé la constitution d’un « vivier d’avocats habilités au secret de la défense nationale ». Les requérants pourraient y faire appel pour leur défense sans pouvoir eux-mêmes accéder à des informations relevant d’un tel secret.

Encore faudrait-il pouvoir modifier la loi, ce que la dissolution de l’Assemblée nationale, puis la constitution du prochain gouvernement, laissent pendant.

Une évolution législative requise en 2025

La CNCTR relève à ce titre que la loi du 30 juillet 2021, relative à la prévention d’actes de terrorisme et au renseignement (dite loi PATR), a prévu que certaines de ses dispositions ne soient applicables que jusqu’au 31 juillet 2025.

Elles permettent de recourir à un dispositif technique afin d’intercepter les correspondances émises ou reçues par la voie satellitaire, quand le recours aux écoutes téléphoniques est impossible pour des motifs opérationnels ou de confidentialité.

Si cette nouvelle technique n’a pas été mise en œuvre en 2023, « en l’absence de fixation du nombre maximal des autorisations d’interception par voie satellitaire pouvant être accordées simultanément », elle devrait l’être en 2024, tout en « laissant un temps limité pour en faire le bilan conformément à la demande du législateur ».

Le gouvernement est, en effet, tenu d’adresser au Parlement un rapport d’évaluation sur l’application de ces dispositions « au plus tard six mois avant cette échéance », et donc en janvier 2025.

Trois créations d’emplois, pour 20 agents au total

La CNCTR souligne que trois créations d’emplois supplémentaires lui ont été accordées au titre de l’exercice 2023. Deux nouveaux postes de chargés de mission ont dès lors pu être créés. Un quatrième membre du collège a pu être mobilisé à temps plein, notamment pour réaliser un nombre plus important de contrôles sur place.

Pour autant, le nouvel effectif théorique de 14 chargés de mission « n’a en pratique été atteint que sur deux semaines sur l’ensemble de l’année 2023 en raison des départs intervenus et de difficultés de recrutement déjà signalées lors du précédent rapport annuel ».

Au total, le collège de la CNCTR s’appuie sur une équipe comptant, au 31 décembre 2023, 20 agents : une secrétaire générale, un conseiller placé auprès du président, 14 chargés de mission (dont un conseiller technique et un coordonnateur des activités de contrôle a posteriori) pour instruire les demandes de mise en œuvre de techniques de renseignement et conduire les contrôles a posteriori, sous la supervision d’un membre de la commission.

Deux recrutements sont par ailleurs envisagés pour l’année 2024 afin de renforcer le pôle technique de la CNCTR, qui s’avère « plus compliqué à concrétiser ».

La Commission compte également quatre agents affectés aux fonctions de soutien : une responsable des questions budgétaires et de ressources humaines chargée d’encadrer le pôle du secrétariat, deux assistantes de direction et un conducteur investi par ailleurs des fonctions d’officier de sécurité adjoint.

Le personnel du secrétariat est, quant à lui, composé de deux fonctionnaires titulaires et de deux agents contractuels. L’équipe de la CNCTR se compose de 55 % de femmes et 45 % d’hommes. La moyenne d’âge des agents est de 39 ans.