Aphone et Nandroid

Dans un arrêt, la Cour de justice de l’Union européenne (CJUE) s’est prononcée sur la possibilité, dans l’UE, pour les juridictions étatiques, de permettre à la police d’accéder aux données contenues dans un téléphone portable en essayant de le déverrouiller. Elle considère que le droit européen ne les limite pas « nécessairement » à la lutte contre la criminalité grave, mais rappelle l’obligation d’une proportionnalité et l’autorisation préalable par une juridiction ou une autorité indépendante.

Saisie par le tribunal administratif régional du Tyrol en Autriche, la CJUE s’est prononcée à propos d’un cas opposant la police autrichienne et le destinataire d’un colis contenant 85 grammes de cannabis qui avait été saisi par les douaniers autrichiens lors d’un contrôle en février 2021.

La Cour explique, dans le résumé de sa décision, que suite à cette saisie, la police autrichienne a perquisitionné le domicile du destinataire. Celui-ci a refusé de « donner aux agents de police accès aux données de connexion de son téléphone portable », précise la CJUE. Ils l’ont donc saisi et différents agents ont ensuite tenté vainement de le déverrouiller.

C’est seulement après la restitution du téléphone, suite à l’introduction d’un recours devant la justice, que la personne a été informée des « tentatives d’exploitation de son téléphone ».

Tension entre droits fondamentaux et intérêt général

La juridiction de renvoi autrichienne, en saisissant la CJUE, cherche à savoir si au regard de la directive « vie privée et communications électroniques », « un accès complet et non contrôlé à l’ensemble des données contenues dans un téléphone portable constitue une ingérence tellement grave dans les droits fondamentaux que cet accès doit être limité à la lutte contre les infractions graves ».

Lui répondant, la Cour rappelle d’abord qu’ « une tentative d’accès aux données à caractère personnel contenues dans un téléphone portable directement par les autorités de police sans aucune intervention d’un fournisseur de services de communications électroniques » comme celle-ci ne relève pas de la directive visée par la juridiction. La CJUE pointe que la question relève de la directive de 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes.

Ensuite, elle souligne l’obligation de ces autorités de respecter le principe de proportionnalité, lors de ce genre d’accès. Les policiers ne doivent tenter d’accéder à ces données que si c’est nécessaire et que ça répond « effectivement à des objectifs d’intérêt général reconnus par l’Union ». En l’occurrence, la Cour constate que le cas instruit « doit être considéré, en principe, comme répondant effectivement à un objectif d’intérêt général reconnu par l’Union ».

Une proportionnalité décidée par le législateur national

Mais elle juge qu’elle ne peut « considérer que seule la lutte contre la criminalité grave est susceptible de justifier l’accès à de telles données ». Elle reporte, par contre, sur le législateur national la définition de la gravité de l’infraction pour répondre au principe de proportionnalité. Il doit « définir de manière suffisamment précise les éléments, notamment la nature ou les catégories des infractions concernées ».

Un contrôle par une juridiction ou une entité administrative indépendante

Enfin, pour s’assurer du respect de ce principe de proportionnalité, « cet accès doit être subordonné à un contrôle préalable effectué par une juridiction ou par une entité administrative indépendante », explique la CJUE.

Enfin, concernant l’information du fameux destinataire du colis contenant 85 grammes de cannabis, la CJUE a d’abord constaté que l’accès aux données de son téléphone par police autrichienne a été autorisé par un juge ou une entité administrative indépendante. Mais la directive de 2015 prévoit que cette autorité doit informer les personnes concernées des motifs sur lesquels cette autorisation repose.

En l’occurrence, la Cour constate que cette personne aurait dû être informée au préalable des tentatives d’accès aux données contenues dans son téléphone portable. « En effet, le téléphone portable [du destinataire du colis] ayant déjà été saisi au moment des tentatives de déverrouillage des autorités de police, il n’apparaît pas que l’informer de ces tentatives d’accès était susceptible de nuire à l’enquête », affirme la CJUE.

« Dans la continuité de la jurisprudence de la Cour sur l’accès aux données de connexion, c’est à nouveau une évolution majeure de la procédure pénale française qui doit être envisagée pour les enquêtes », souligne Matthieu Audibert, officier de gendarmerie et doctorant en droit privé et sciences criminelles.

ON NE DONNE PLUS SON CODE DE DÉVERROUILLAGE EN GARDE À VUE SANS EN AVOIR ÉTÉ REQUIS PAR UNE JURIDICTION
(Le procureur n’est PAS une juridiction. L’OPJ n’est PAS une juridiction. Le juge d’instruction EST une juridiction — mais il y a d’autres arguments à faire valoir). https://t.co/Bng9Z2rNDJ

— Maitre Eolas (@Maitre_Eolas) October 4, 2024

Br...Hetzel attack on Wiki

Alors que plusieurs portraits du nouveau ministre de l’Enseignement supérieur et de la recherche ont été publiés dans la presse après sa nomination, le cabinet de Patrick Hetzel a essayé de supprimer les passages de sa page Wikipédia qui y faisaient référence. L’Express a retrouvé l’identité de la personne qui a tenté de les caviarder.

Comme nous l’avions noté le lendemain de sa nomination, le ministre de l’Enseignement supérieur et de la recherche, Patrick Hetzel, a un rapport ambigu aux sciences. Les portraits le concernant publiés dans la presse suite à sa nomination et rappelant ses quelques déclarations problématiques semblent ne pas avoir plu à son cabinet.

Il arrive régulièrement que des cabinets de personnalités politiques trafiquent les pages Wikipédia de leur responsable pour purger les références gênantes, ou que l’encyclopédie en ligne reçoive des menaces d’un service de renseignement. Ou encore qu’une société d’intelligence économique caviarde des dizaines de pages.

Le cabinet de Patrick Hetzel a voulu faire de même, révèle notre collègue de l’Express, Victor Garcia. Il a remonté les traces d’un compte utilisateur de Wikipédia nommé Sj87420, créé vendredi 27 septembre (soit trois jours après la nomination de Patrick Hetzel) et ayant immédiatement multiplié les modifications sur la page Wikipédia de Patrick Hetzel.

Modifications détectées par les alertes automatiques de Wikipédia

« Pas moins de six alertes automatiques « anti-abus » et « anti-erreur » de Wikipédia » ont été déclenchées entre 10h01 et 10h08 ce jour-là, raconte notre confrère. Ces alertes ont bloqué automatiquement les modifications après avoir détecté des « potentiels caviardages récurrents », des « suppressions de section » et des « suppressions massives par un nouvel utilisateur ».

Mais Sj87420 a, pour un temps, réussi à supprimer l’intégralité de la partie « Controverses sur son rapport à la science » de la page. Il a expliqué son action par le fait que cette section serait « polémique, injurieuse et diffamatoire ». Celle-ci avait été rédigée en faisant référence à des articles de Libération, L’Express, La Voix du Nord, Marianne, Le Quotidien du médecin ou encore de Next (lien qui n’a pas été ajouté par notre rédaction).

L’Express explique que Sj87420 est revenu sur la page du ministre trois jours après. Cette fois, c’était pour ajouter « deux nouveaux paragraphes élogieux » qui se fondent sur un article du Parisien. Cet ajout a été retoqué par les modérateurs de l’encyclopédie.

Un compte au pseudo assez transparent

Victor Garcia a réussi, avec l’aide d’internautes, à identifier la personne derrière le compte Sj87420 avec les initiales de l’intéressée et le code postal de son domicile. Sandrine Javelaud, nommée récemment directrice adjointe du cabinet de Patrick Hetzel, lui a confirmé être intervenue sur cette page et se défend d’avoir voulu cacher son identité : « si j’avais voulu me masquer, j’aurais pris un pseudonyme comme Pimprenelle et n’aurais jamais avoué ».

À notre collègue, Sandrine Javelaud assure que, pour elle, « ce ne sont pas les articles qui sont diffamatoires, mais la manière dont les sources sont reprises et présentées, alors qu’on connaît la portée d’une page Wikipédia ». « On parle d’un tweet d’avril 2020, alors qu’il n’y avait ni masque, ni test, ni vaccin. Il aurait pu supprimer son tweet, ce que beaucoup d’autres ont fait, mais pas lui », a-t-elle ajouté.

La collaboratrice du ministre reproche quand même à Libération d’avoir « fait un procès en sorcellerie » et à L’Express d’avoir « publié un article sans demander l’avis du ministre ». Notre confrère précise que son média a pourtant sollicité la permanence parlementaire de Patrick Hetzel, sans obtenir de réponse.

Après avoir entretenu le flou, Meta confirme se permettre l’utilisation des données des utilisateurs des lunettes « intelligentes » Ray-Ban nord-américains pour entrainer ses IA, dès qu’ils activent les fonctionnalités d’IA de leurs lunettes. Pour les utilisateurs européens, il reste des zones d’ombre, mais, tant que Meta ne décide pas d’utiliser ses modèles multimodaux dans la zone couverte par le RGPD, ses lunettes ne devraient pas pouvoir bénéficier de cette fonctionnalité.

Fin septembre, lors du Meta Connect 2024, Meta a présenté ses différentes nouveautés liées aux divers casques et lunettes. L’entreprise y expliquait qu’elle apportait aux lunettes développées en coopération avec Ray-Ban diverses nouveautés avec, comme pour tout produit numérique actuel ou presque, une bonne dose d’IA : traduction en direct des langues, traitement vidéo en temps réel, gestion des rappels, reconnaissance des codes QR, intégration avec Amazon Music, iHeartRadio et Audible…

Comme nous l’évoquions, l’analyse de l’image permet à l’utilisateur de poser des questions sur ce qu’il voit.

Les données des utilisateurs nord-américains utilisées

Mais, comme pour tous les usages commerciaux de deep learning (dont les grands modèles de langage utilisés dans les IA génératives), une question vient rapidement : est-ce que l’entreprise utilise en retour les données de ses utilisateurs pour entrainer ses IA ?

Concernant les utilisateurs nord-américains, la réponse est maintenant claire suite à la demande de nos collègues de TechCrunch : le média américain résume ça d’un « en bref, toute image que vous partagez avec Meta AI peut être utilisée pour entraîner son IA ».

Meta leur a répondu dans un mail que « dans les pays où l’IA multimodale est disponible (actuellement les États-Unis et le Canada), les images et les vidéos partagées avec Meta AI peuvent être utilisées pour l’améliorer conformément à notre politique de confidentialité ».

L’entreprise avait expliqué dans un autre mail que les photos et vidéos capturées avec les Ray-Ban Meta ne seraient pas utilisées tant que l’utilisateur ne les soumet pas à l’IA.

Comme le soulignent nos collègues, « la seule façon de se désengager (opt-out) est de ne pas utiliser les fonctions d’IA multimodale de Meta ». Et ils insistent sur le problème :

« les implications sont préoccupantes, car les utilisateurs de Ray-Ban Meta peuvent ne pas comprendre qu’ils donnent à Meta des tonnes d’images – montrant par exemple l’intérieur de leur maison, leurs proches ou leurs dossiers personnels – pour entraîner ses nouveaux modèles d’IA ».

L’entreprise pointe aussi à nos collègues que l’information se trouve dans les Conditions de service relatives à Meta AI : « une fois le partage effectué, vous acceptez que Meta analyse ces images, y compris les caractéristiques faciales, à l’aide d’une IA ».

Le RGPD qui bloque en Europe

Concernant les utilisateurs européens des Ray-Ban Meta, nous restons plus dans le flou. Ces mêmes Conditions de service relatives à Meta AI disent un peu avant qu’ « en fonction du lieu où vous vous trouvez, vous aurez peut-être la possibilité de partager des images avec les IA ».

Ce texte n’est précis à ce sujet que concernant les images d’individus qui résident dans deux états américains : « vous acceptez également de ne pas importer sur Meta AI d’images dont vous savez qu’elles incluent des individus qui résident en Illinois ou au Texas, à moins que vous ne soyez leur représentant légalement agréé et que vous n’y consentiez en leur nom ».

Mais, comme l’expliquait Axios en juillet dernier, Meta a décidé de ne pas utiliser ou distribuer ses modèles multimodaux en Europe pour l’instant. Et ce média précisait que l’IA utilisée par Meta dans les Ray-Ban se baserait particulièrement sur ces modèles.

L’entreprise évoquait « la nature imprévisible de l’environnement réglementaire européen » pour expliquer sa décision. Pourtant, elle visait le RGPD, texte adopté il y a maintenant huit ans et non des textes plus récents comme l’AI Act. Mais c’est ce texte qui a bloqué l’utilisation par Meta des données des utilisateurs de Facebook et Instagram pour entrainer ses IA. Meta met donc la pression sur l’Europe.

D’ailleurs, même si Meta ne prévoit donc pas tout de suite d’activer l’IA sur les lunettes Ray-Ban en Europe, elle a déjà mis à jour la version franco-française (fr-fr) de son « avis de confidentialité relatif aux commandes vocales » concernant ces « lunettes intelligentes Ray-Ban Meta ».

Dans celui-ci, l’entreprise prévoit déjà qu’ « en fonction de vos paramètres, nous pouvons également utiliser les transcriptions et les enregistrements stockés de vos interactions vocales ainsi que les données associées à celles-ci pour améliorer les produits de Meta. Lorsque le stockage des interactions vocales visant à améliorer les produits est activé, nous utilisons le machine learning et des examinateur·ices qualifié·es pour traiter les informations afin d’améliorer, de dépanner et d’entraîner les produits de Meta ».

Cet avis affirme aussi que « le stockage de vos interactions vocales permet aux produits de Meta d’améliorer le traitement de vos demandes et de répondre à un large éventail d’échantillons vocaux, d’expressions, de dialectes locaux et d’accents. Par exemple, si des personnes parlent un dialecte régional et activent le stockage de leurs interactions vocales, cela permettra aux produits de Meta de mieux comprendre les demandes des personnes parlant ce dialecte et d’y répondre plus précisément ».

Contactée par nos soins, l’entreprise n’a pas encore répondu à notre sollicitation pour plus d’éclaircissements.

Comme l’a repéré notre lecteur Fred42, l’action en justice pour tentative d’extorsion de WP Engine contre Automattic a permis de dévoiler une lettre du second au premier [PDF].

Dans celle-ci, les avocats d’Automattic, qui reproche à WP Engine d’utiliser de façon abusive la marque WordPress, lui réclament, entre autres, de « verser à [leur] client une indemnité pour compenser l’utilisation non autorisée de sa propriété intellectuelle et la concurrence déloyale, dont le montant précis pourra être déterminé une fois que nous aurons reçu de votre part la comptabilité demandée ci-dessus ».

Automattic demande à WP Engine de lui verser une redevance de 8 % de son chiffre d’affaires pour l’utilisation abusive de la marque WordPress.

Les avocats d’Automattic précisent ensuite que « même une simple redevance de 8 % sur le chiffre d’affaires annuel de plus de 400 millions de dollars de WP Engine équivaut à plus de 32 millions de dollars de perte annuelle de revenus de licence pour notre client ».