Spécificité propre à cette application, on y accède par cooptation, ce qui attise l’appétit des profanes pour ce club très select que fréquentent Elon Musk, Mark Zuckerberg et Bill Gates. « C’est un très bel outil du point de vue humain et intellectuel, dans lequel les personnes se sentent valorisées », estime l’avocat Claude Armingaud, associé du cabinet K&L Gates. Ce spécialiste du droit des nouvelles technologies et de la propriété intellectuelle est d’ailleurs devenu, comme plusieurs de ses confrères, un membre actif de ClubHouse. Il y anime le salon privé « The Privacy House » dédié à la protection des données personnelles.

Parmi les anomalies recensées, l’information sommaire des utilisateurs au moment de leur inscription et un accès à leurs contacts qui enjambe leur consentement. « Lorsqu’une personne s’inscrit, le réseau accède à tous ses contacts et à leurs numéros de téléphone, ce qui constitue une collecte indirecte de données personnelles au sens du RGPD. En principe, ces contacts doivent être informés de cette collecte au plus tard dans les 30 jours suivants, et doivent être en mesure d’exercer leurs droits d’opposition et d’accès à leurs données à tout moment. Sinon, une telle collecte pourrait constituer une violation majeure et caractérisée du RGPD », décrypte Me Armingaud.

Toutefois, relève Me Armingaud, « le risque existe que la plateforme, qui ne dispose pas encore d’un réel modèle économique, enregistre les conversations pour faire de l’analyse de contenu et du marketing. Si tel est le cas, et qu’elle n’en informe pas les utilisateurs, c’est un manquement au RGPD. Si elle compte le faire ultérieurement, elle devra procéder à cette information », détaille-t-il.

La question de l’enregistrement des conversations se pose avec d’autant plus d’acuité que « ClubHouse travaille avec un prestataire établi en Chine, où, d’ailleurs, l’application est interdite », note l’avocat. La voix est une donnée biométrique ultrasensible qui permet d’identifier la personne et, à travers elle, son état de santé, ses opinions et prises de position, autant d’informations à protéger dans le contexte tendu des relations avec la Chine. « Dès lors qu’elle est associée à un profil, la voix fait l’objet d’une protection renforcée du RGPD. Celui-ci interdit de traiter la voix à des fins d’identification », rappelle Me Armingaud.

Pour l’heure, l’enquête doit permettre d’établir si le RGPD s’applique à la société et si ses règles sont respectées. Si tel n’est pas le cas, « la Cnil pourra, le cas échéant, faire usage de ses propres pouvoirs répressifs » a-t-elle prévenu. Néanmoins, nuance Me Armingaud, en cas de sanction, « la société ne possédant aucun établissement en Europe, rien ne garantit que sa décision sera exécutée aux États-Unis, ce qui serait un véritable camouflet pour le RGPD ».

Lire l’article entretien complet avec Laurence Neuer sur LePoint.fr

Atlantico.fr : Le Conseil d’Etat vient d’autoriser l’élargissement des fichiers de police pour des motifs d’atteinte à la sécurité publique et à la sûreté de l’Etat. Dans le même temps, Singapour révèle avoir transmis à la police les données de géolocalisation issues de traçage du Covid. Peut-on comprendre, sur le principe, la volonté et l’intérêt de l’Etat à vouloir se prémunir dans ce genre de situation ?

Claude-Etienne Armingaud : Pour être plus précis, le Conseil d’État a refusé de censurer les décrets pris par le Gouvernement qui étendent le champ des données pouvant être collectées aux fins de préventions des atteintes à la sécurité publique par la Police, la Gendarmerie et le Renseignement.

 Le corpus réglementaire européen (et français) qui vise à protéger les données à caractère personnel des individus se fonde sur sept grands principes énumérés à l’article 5 du RGPD :

  • Licéité, loyauté et transparence,
  • Limitation des finalités,
  • Minimisation des données,
  • Exactitude,
  • Limitation de la conservation,
  • Intégrité et confidentialité, et
  • Responsabilité.

Les finalités poursuivies par ces différents fichiers, qui sont d’ores et déjà en place, ne sont pas remises en cause par les décrets. Il en va de même pour les autres exigences, qui continuent de s’appliquer. Seules sont ici en cause les nouvelles catégories de données collectées et l’évaluation de leur pertinence au regard des finalités de sécurité et sûreté.

(suite…)

L’interview de Me Claude-Etienne Armingaud, expert en droit des nouvelles technologies (K&L Gates) : « Privatiser la justice entraînerait une privation de liberté« 

Le meurtre de Samuel Paty fait ressurgir le rôle des réseaux sociaux et leur difficile contrôle…
Me Claude-Etienne Armingaud : 
La France a un cadre qui remonte à 1881 sur la liberté d’expression et qui fonctionne plutôt bien. À chaque fois qu’il y a des libertés, il y a en corollaire un devoir. Depuis toujours, le juge judiciaire est le gardien des libertés, c’est lui qui doit dire ce qui est légal ou pas en termes de diffamation. Le problème, c’est que le temps judiciaire n’est pas celui d’internet. La plainte de Samuel Paty pour diffamation après la vidéo du père de famille avait tout son sens. Mais même quand on fait un référé d’heures à heures, on n’a jamais de décision avant 48 heures, ce qui est… la durée de vie d’une information. La viralité entraîne une perte de contrôle totale. La tentation qui galope depuis la loi pour la confiance dans l’économie numérique de 2004, voire même le projet de loi sur la société de l’information de 2001, c’est, en quelque sorte, de « privatiser » la justice. Le consensus actuel est de dire que l’on a des intermédiaires purement techniques, auxquels on dit ‘Vous n’avez pas d’obligation de surveillance mais si ce contenu est illicite, vous devez le retirer‘. De cette position, la tentation est de faire reposer sur ces mêmes intermédiaires une obligation d’appréciation de la licéité des contenus.

En juin dernier, la loi Avia allait plus loin mais a été en partie censurée par le Conseil constitutionnel…
La loi Avia voulait que les contenus manifestement illicites – le terrorisme et la pédopornographie – soient retirés dans l’heure ; les appels à la haine sous 24h. Le Conseil constitutionnel a estimé que ces délais imposés ne permettaient pas de saisir le juge judiciaire, gardien des libertés. Ce qui revenait à cette « privatisation » de la justice sans voie de recours, pourtant nécessaire dans un état de droit. Aucun particulier ne va faire une procédure contre les Gafa pour voir son contenu republié, quand bien même il aurait raison sur le fond.

Le Conseil constitutionnel a ramené la suppression du contenu à un « délai raisonnable » mais maintenu des sanctions financières élevées : 1,250 millions d’ pour les personnes morales par infraction…
Face à ces montants, dès qu’il y a un signalement, les plateformes ne vont pas prendre de risque et retirer les contenus. Cette privatisation de la justice peut entraîner à terme une privation de la liberté d’expression. Les juges ont 150 ans de jurisprudence sur l’injure et la diffamation et il y a pourtant toujours des débats. La haine envers une communauté de personnes (sur la base de l’appartenance à une ethnie, une religion…) peut être encore plus subjective et est en tout état de cause un concept plus récent. Ce serait donc normal qu’il revienne aux juges de l’apprécier.

Quelles peuvent être les solutions ?
Il faut pouvoir trouver un équilibre entre la liberté d’expression dans un état de droit et la sécurité des personnes. C’est un exercice très délicat. Les magistrats qui sont déjà sous l’eau ne peuvent raisonnablement pas se prononcer sur chaque tweet contesté. La tentation peut être grande de le mettre entre les mains d’une autorité administrative, comme le CSA, mais là encore, le spectre d’une censure d’État demeure. Un principe de précaution comme un sas avant publication ou en cas de contestation ? Une chambre judiciaire spécialisée ? On en reviendrait encore à des juges encore plus sursollicités…

Retrouvez l’intégralité de l’entretien dans La Provence.

« Pour décider, il faudrait créer une juridiction rapide, estime Claude-Etienne Armingaud, avocat chez K&L Gates LLP. Mais cela paraît aujourd’hui impossible. »

Retrouvez l’intégralité de l’article dans Les Echos

Entretien avec Atlantico.fr – 18 juillet 2019

Atlantico : Certaines applications qui permettent à une personne de modifier des photos prises sur son portable avec des filtres divertissants disposent de conditions générales d’utilisation particulièrement gênantes. L’une d’entre elles, FaceApp, demande par exemple l’autorisation d’utiliser l’image de l’utilisateur à n’importe quel moment. Faut-il mettre ce problème sur le dos du consommateur imprudent, ou sur celui des services numériques qui rédigent volontairement des clauses de ce type ? Les conditions générales ne sont-elles pas généralement trop complexes, trop nombreuses ou trop longues pour que l’accord de l’utilisateur ait une validité juridique ?

Claude-Etienne Armingaud : On voit ici l’un des effets pervers de la viralité des usages au travers de l’environnement numérique et, dans une certaine mesure, ce que les anglo-saxons appellent le FoMo (« Fear of Missing out ») — tout le monde le fait, et je veux en être.

(suite…)

Voiture autonome : suit sa route
La loi d’orientation des mobilités , dont le site en ligne Contexte a publié l’avant-projet la semaine dernière, permettrait au gouvernement de légiférer, via ordonnance, en ce qui concerne les véhicules autonomes sur des sujets tels que la formation ainsi que la circulation de données entre les voitures, les infrastructures et les autorités. Le gouvernement présente la loi Pacte comme autorisant le test de véhicules autonomes avec un conducteur à l’extérieur de l’habitacle, mais c’est déjà le cas. « [Un] décret de mars 2018 le prévoyait en termes relativement vagues et peu à même de permettre aux acteurs d’anticiper les véritables risques auxquels ils pouvaient s’exposer », analyse l’avocat Claude-Etienne Armingaud.
(suite…)

While Capitol Hill is inundated with proposed privacy legislations from the Data Breach Prevention and Compensation Act (DBPCA), the CLOUD Act and the ENCRYPT Act, organizations the world over are trying to understand how to get their own regulations deemed adequate enough to ensure the flow of business in the EU, now that GDPR is a reality.
(suite…)

A la suite de l’amende record contre Google, Claude-Etienne Armingaud revient sur la question et les enjeux majeurs de la protection des données personnelles.

(suite…)

« «Le texte prévoit de consigner toute violation des données à caractère personnel, quel que soit le niveau de gravité de cette violation. Sauf à ce que cette violation n’engendre pas de risques pour les droits et les libertés des personnes, il conviendra également de notifier le régulateur. Si le risque est sérieux, l’entreprise devra même notifier individuellement chaque client» explique l’avocat Claude-Etienne Armingaud, du cabinet K&L Gates. »

Lire l’article d’Élisa Braün en intégralité sur le site du Figaro.

Le Monde du Droit – Arnaud Dumourier

« Quels sont vos objectifs pour ce cabinet ?

Continuer de grandir et de nous diversifier, en décloisonnant les matières juridiques et les secteurs d’activités, qui s’entremêlent toujours plus. Garder aussi notre ambiance d’émulation créative, qui permet de réécrire chaque jour notre métier et celui de nos clients. »

Lire l’article en entier ici.