Réguler, contrôler, surveiller

Si le terme anglais « regulation » doit être traduit par « réglementation », il ne faut pas oublier que réguler, c’est au sens premier « rendre régulier », « normaliser », « effectuer un réglage » permettant d’obtenir un bon fonctionnement ou le déroulement harmonieux d’un processus. La régulation la plus efficace est sans doute l’auto-régulation, celle qui résulte d’un feed-back naturel, sans besoin de passer par la case réglementaire.

L’usage du terme régulation a évolué sur le modèle anglo-saxon. Réguler est devenu synonyme de contrôler et  surveiller, particulièrement lorsqu’il est fait référence aux « autorités » de régulation.

De quel type de régulation le numérique a-t-il besoin ? Régulation autoritaire ou auto-régulation ? Quelle est la bonne proportion ? Dans le monde du vivant, la régulation entraîne la destruction d’équilibres naturels : ainsi a-t-on vu les sangliers proliférer. Encourt-on de tels risques dans le monde numérique ?

Y a-t-il déjà trop de normes et de réglementation ? Ou au contraire trop de monopoles dans le monde du numérique ?

La régulation par des organismes nationaux a-t-elle encore un sens ? Ne doit-elle pas plutôt s’exercer à un niveau plus global, au moins au niveau de l’Europe ?

À propos des organismes de régulation

Qu’est qu’une autorité de régulation ? Une autorité de régulation est un organisme étatique qui surveille et gère un secteur économique ou un marché, l’objectif étant d’éviter certaines dérives, telles que des pratiques anticoncurrentielles. De tels organismes ont été créés depuis les années 1970 dans différents États européens ainsi qu’aux États-Unis ou encore au Maroc ou en Algérie.

En France il existerait une cinquantaine d’autorités de régulation, les autorités administratives indépendantes ou AAI, couvrant des domaines divers dont la régulation économique et financière et différents aspects de la défense des droits du citoyen.

Les autorités administratives indépendantes (AAI) telles que la CNIL ou l’ARCEP sont des organismes publics qui agissent au nom de l’État sans être placés sous l’autorité du gouvernement ou d’un ministre.

Au sein des AAI on distingue les autorités publiques indépendantes (API) telles que le CSA ou l’Hadopi qui agissent également au nom de l’État sans être soumises à l’autorité du gouvernement.

AAI et API disposent d’un pouvoir de contrôle et d’enquête et d’un pouvoir de décision, sans toutefois constituer de véritables juridictions. La différence entre les deux types d’autorité n’est pas très claire: les API, dotées de la personnalité morale, seraient plus indépendantes que les autres AAI.

La liste complète des AAI et API : https://www.vie-publique.fr/fiches/20238-autorites-administratives-independantes-aai-et-api

La Loi du 20 janvier 2017 modifiée par l’Ordonnance n°2019-1015 du 2 octobre 2019 – art. 39 établit une liste de 26 organismes de régulation :

1. Agence française de lutte contre le dopage (AFLD)
2. Autorité de contrôle des nuisances sonores aéroportuaires (ACNUSA)
3. Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (ARCEP)
4. Autorité de la concurrence
5. Autorité de régulation de la distribution de la presse (supprimé en 2019)
6. Autorité de régulation des transports (ART)
7. Autorité nationale des jeux (ANJ)
8. Autorité des marchés financiers (AMF)
9. Autorité de sûreté nucléaire (ASN)
10. Comité d’indemnisation des victimes des essais nucléaires
11. Commission d’accès aux documents administratifs (CADA)
12. Commission du secret de la défense nationale (CSDN)
13. Contrôleur général des lieux de privation de liberté (CGLPL)
14. Commission nationale des comptes de campagne et des financements politiques (CNCCFP)
15. Commission nationale de contrôle des techniques de renseignement
16. Commission nationale du débat public (CNDP)
17. Commission nationale de l’informatique et des libertés (CNIL)
18. Commission de régulation de l’énergie (CRE)
19. Conseil supérieur de l’audiovisuel (CSA)
20. Défenseur des droits (DDD)
21. Haute Autorité de santé (HAS)
22. Haut Conseil de l’évaluation de la recherche et de l’enseignement supérieur (HCERES)
23. Haut Conseil du commissariat aux comptes (H3C)
24. Haute Autorité pour la diffusion des œuvres et la protection des droits sur internet (HADOPI)
25. Haute Autorité pour la transparence de la vie publique (HATVP)
26. Médiateur national de l’énergie (MNE)

Nous nous intéresserons plus particulièrement dans cet article aux « autorités de régulation » du domaine du numérique que sont :

l’ARCEP Autorité de régulation des communications électroniques, des postes et de la distribution de la presse
la CNIL Commission Nationale de l’Informatique et des Libertés;
le CSA Conseil supérieur de l’audiovisuel ;
l’Hadopi Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet dont la fusion avec le CSA dans un seul organisme l’ARCOM est actuellement en projet.

Quel est leur rôle ? L’indépendance de ces autorités est-elle réelle ?

L’ARCEP

L’ARCEP, créée en 1997, assure des fonctions de régulation précédemment dévolues à l’administration des PTT (Postes, télégraphes et téléphones), disparue en 1991.

L’ARCEP définit la réglementation applicable aux opérateurs de télécoms. C’est elle qui leur attribue les ressources en fréquence et en numérotation.

Elle est ainsi au cœur de dossiers particulièrement sensibles sur lesquels elle émet avis et recommandations :

couverture des réseaux mobiles et des réseaux fixes Internet qu’elle doit évaluer et contrôler ;
lancement de la 5G ;
neutralité du net par la mise en œuvre du règlement européen « internet ouvert » qui s’impose à l’ensemble des régulateurs européens et garantit aux utilisateurs une liberté de choix sur internet ;
empreinte environnementale des réseaux.

https://www.monreseaumobile.fr/ Un site ARCEP

La régulation des télécoms est pilotée au niveau européen par le BEREC, groupe des régulateurs européens, dont l’ARCEP fait partie.

La CNIL

Il n’est sans doute pas besoin de présenter la CNIL (Commission Nationale de l’Informatique et des Libertés), qui fut en 1978 la première AAI française, chargée alors de veiller à l’application de la « Loi Informatique & Libertés ». Aujourd’hui, la CNIL se présente elle-même sur son site comme le « régulateur des données personnelles », sur la base du référentiel de conformité européen que constitue le RGPD, applicable depuis le 25 mai 2018. Elle dispose à ce titre d’un pouvoir de contrôle et de sanction vis-à-vis des organismes publics et privés.

La CNIL fournit conseils et recommandations aux entreprises, afin de leur faciliter la mise en application du RGPD. Son interprétation du texte réglementaire est censée être la bonne, mais pourrait toutefois être contestée et faire l’objet d’un recours en annulation devant la juridiction administrative (voir à ce propos l’article d’Adrien Aulas « Faut-il toujours être d’accord avec la CNIL? »).

Le CSA

Garantir la liberté de communication audiovisuelle en France, telle est la mission initiale du CSA, organisme créé en 1986.

Le CSA gère les fréquences attribuées à l’audiovisuel. CSA et Arcep se partagent donc la responsabilité d’attribution des fréquences, ARCEP côté communication électronique et CSA côté communication audiovisuelle. S’il était au départ facile de distinguer l’audiovisuel (la télévision) de l’électronique (le téléphone), ces deux secteurs se sont rapprochés et sont de plus en plus difficiles à distinguer. C’est ainsi que certaines bandes de fréquence initialement dédiées à la diffusion de la télévision (700 et 800 MHz) ont été transférées au profit des communications mobiles.

Les autorisations d’utilisation des fréquences radioélectriques sont délivrées en France par l’Autorité de régulation des communications électroniques et des postes (ARCEP), à l’exception de celles dont l’objet exclusif est la diffusion de services de communication audiovisuelle et dont l’assignation est confiée au Conseil supérieur de l’audiovisuel (CSA).
Source ANFR (Agence nationale des fréquences)

La fusion entre l’ARCEP et le CSA a été évoquée à de multiples reprises (https://wiki.laquadrature.net/Fusion_CSA-ARCEP) au bénéfice d’une unité de régulation unique pour la société de l’Information qui pourrait également regrouper l’HADOPI, voire la CNIL. Le débat reste ouvert à ce jour : https://www.lemonde.fr/economie/article/2019/07/25/une-fusion-entre-l-arcep-et-le-csa-a-nouveau-sur-la-table_5493435_3234.html

Le projet de loi relatif à la communication audiovisuelle et à la souveraineté culturelle à l’ère numérique prévoit cette fusion mais son examen au Parlement n’a pas été fixé à ce jour (aout 2020).

La liberté de communication audiovisuelle s’accompagne de son contrôle, au titre de la responsabilité sociétale. C’est ainsi que le CSA se trouve également en charge de la lutte contre les fausses informations (fake news) et les discriminations de toute nature. Le rôle éducatif et prescriptif du CSA semble prendre progressivement le pas sur celui de la défense des libertés.

Mise en place par le CSA d’un observatoire de la haine en ligne https://t.co/vswAatfTvP
— Martine OTTER (@MartineOtter) July 24, 2020

L’HADOPI

Dernière née, en 2009, des autorités de régulation, l’HADOPI, Haute Autorité pour la diffusion des œuvres et la protection des droits sur Internet, n’a pas pour vocation la défense des libertés individuelles mais celle de la protection des droits d’auteur ou droit voisins sur les réseaux de communication.

Sa fonction première est donc le contrôle, assorti initialement d’un pouvoir de sanction, qui pouvait aller jusqu’à la suspension de l’abonnement Internet pour les contrevenants. Le pouvoir de l’HADOPI se limite aujourd’hui à l’envoi d’avertissements, les éventuelles condamnations en cas de récidive étant prononcées par le juge pénal.

Les autres autorités concernées

Si l’ARCEP, la CNIL, le CSA et l’HADOPI sont directement concernées par le numérique, il apparait que d’autres acteurs sont amenés à réguler l’usage du numérique dans leur secteur de responsabilité :

L’autorité de la concurrence est amenée à se positionner face au développement des plates-formes numériques :

Dans sa contribution, l’Autorité explore la possibilité de compléter le droit de la concurrence, au niveau national ou européen, par un mécanisme permettant d’intervenir sur les comportements nuisibles à la concurrence mis en œuvre par les opérateurs dits « structurants ».

Google et la presse : dernière ligne droite avant le bilan de l’Autorité de la concurrence https://t.co/7wnWUVnmuJ via @nextinpact
— Martine OTTER (@MartineOtter) August 31, 2020

Notons de façon contradictoire que le libre jeu de la concurrence interdirait à l’État d’imposer à ses services l’utilisation de logiciels libres, ce qui permet à la plupart des Ministères d’utiliser de façon préférentielle les applications de Microsoft. Microsoft est ainsi partenaire privilégié de l’Éducation nationale. L’autorité de la concurrence a d’ailleurs elle-même « fait le choix de faire développer son futur intranet sur la technologie SharePoint 2013 de Microsoft » (cf: https://www.silicon.fr/autorite-concurrence-intranet-microsoft-efel-power-147836.html). Ceci malgré les recommandations de la Cour des comptes qui spécifie que les logiciels libres et open source devraient être la règle dans les administrations publiques.

L’autorité nationale des jeux (ANJ) gère la régulation des jeux en ligne.

L’autorité des marchés financiers (AMF) est amenée de même à se positionner sur la stratégie européenne en matière de finance numérique, en intégrant les aspects cybersécurité, les évolutions technologiques de la blockchain et de l’intelligence artificielle.

La Haute Autorité de Santé (HAS) est confrontée à l’évolution numérique du système de santé dont elle doit garantir la qualité et la sécurité, en protégeant les données sensibles et en s’assurant du bon usage de l’intelligence artificielle. Référentiels de certification des logiciels d’aide à la prescription, recommandations sur les pratiques de télésoin, expérimentations de prise en charge des patients par télésurveillance, sont au programme de travail 2020.

Le Conseil National du Numérique, une autorité de plus ?

Le Conseil national du numérique n’a pas le statut d’Autorité. Créée en avril 2011, cette administration gouvernementale est une commission consultative sans pouvoir direct de contrôle et de régulation. Le CNNUM apporte des éléments de réflexion au Gouvernement sur toutes les questions relatives au numérique. Tout comme les Autorités administratives, il formule avis et recommandations mais n’en contrôle pas l’application.

Les sujets traités sont divers et recoupent les responsabilités des différentes Autorités administratives sur des sujets tels que la neutralité du net ou la lutte contre les contenus illicites tout en ouvrant une réflexion plus large sur des thèmes transversaux tels que le numérique et la santé, l’intelligence artificielle, l’inclusion numérique, l’accessibilité ou plus récemment le déploiement de l’application « StopCOVID ».

La législation applicable

Dans l’Union Européenne

Les règlements applicables dans l’UE dans le domaine du numérique se sont multipliés ces dernières années :

Règlement général sur la protection des données (RGPD) en 2016 ;
Règlement relatif à la libre circulation des données à caractère non personnel (2018) ;
Règlement sur la cybersécurité (2019) qui précise le rôle et l’organisation de l’ENISA (Agence de l’Union européenne pour la cybersécurité) et définit « un cadre pour la mise en place de schémas européens de certification de cybersécurité » ;
Directive sur les données ouvertes ou open data (2019) qui établit un cadre juridique pour la diffusion et l’utilisation des données du service public ;
Directive sur le contenu numérique (2019), destinée à protéger le consommateur utilisant des services numériques.

Des directives particulières s’appliquent aux données véhiculées par les services de paiement ou les compteurs intelligents. La liste n’est pas exhaustive et s’enrichit constamment.

Un texte européen « Digital Services Act », soumis actuellement à consultation et en préparation pour fin 2020, devrait traiter de la régulation des plates-formes et donner un nouveau cadre concurrentiel au marché numérique.

Charge à chaque pays de l’Union Européenne de traduire ces règlements et Directives dans sa législation nationale, de les faire appliquer et d’en contrôler l’application.

En France

La Loi Pacte, relative à la croissance et la transformation des entreprises (22 mai 2019), dans un souci de protection des entreprises stratégiques, soumet à autorisation préalable les investissements étrangers dans les secteurs de l’intelligence artificielle, de la cybersécurité, de la robotique et des données massives. Nous ne savons pas si à ce jour de telles dérogations ont été accordées.

La Loi contre la haine sur Internet (Loi Avia) a été promulguée le 24 juin 2020 dans une version partiellement censurée par le Conseil Constitutionnel. Elle donnait dans sa version initiale un pouvoir de censure aux plateformes, sans contrôle du pouvoir judiciaire. La délimitation des contenus « illicites » paraissait également extensive sans définition précise. Sur ce thème de la régulation des contenus illicites, la consultation du CNNUM fait ressortir une nette préférence pour la « mise en place de dispositifs d’observation, de sensibilisation et d’encouragement à l’autorégulation des acteurs », n’empiétant pas sur le pouvoir judiciaire.

Le projet de Loi relatif à la communication audiovisuelle et à la souveraineté culturelle à l’ère numérique reste en suspens, reporté pour cause de Covid-19.

Un groupe de travail sur la régulation des plates-formes numériques a été lancé en février 2020 par le ministre de l’Économie et des Finances et le secrétaire d’État au numérique, afin de contribuer à la préparation du Digital Services Act européen.

Réguler les plates-formes numériques

De quoi s’agit-il? Dans sa définition la plus simple, la plate-forme numérique est un espace d’échange sous une forme dématérialisée. Il en existe des formes multiples : réseaux sociaux tels que Facebook, réseaux de données tels que Waze, places de marché telles qu’Amazon ou Cdiscount, réseaux de communication tels que Whatsapp ou Snapchat et systèmes d’exploitation.

Les grandes catégories de plateformes sont présentées dans le schéma ci-après publié par Renaissance numérique (CC By-SA) qui indique pour chacune des catégories le dispositif de régulation en place et l’organisme de régulation (Arcep, Cnil, CSA…).

Grandes catégories de plates-formes numériques.

Suivant le cas, le droit de la concurrence, le droit des communications, le droit du consommateur ou le droit des médias peuvent être applicables.

Certaines plates-formes sont dites « structurantes » ou « systémiques » eu égard à l’importance de leur taille, de leur capacité financière, leur nombre d’utilisateurs et le volume de données qu’elles détiennent. La nécessité de réguler ce type de plates-formes paraît aujourd’hui indispensable. Vous aurez reconnu les GAFAM et les BATX (GAFAM chinois : Baidu, Huawei, Alibaba, Tencent et Xiaomi).

Comment réguler ces plates-formes ? Les organismes de régulation ont des moyens limités, face à ceux des plates-formes, eu égard au rythme d’évolution des technologies et des usages.

Sébastien Soriano, président de l’ARCEP, soulignait déjà en 2016 dans les annales des Mines que le coût d’une régulation mal conçue serait bien trop élevé et préconisait de noter les plateformes plutôt que de les réglementer.

Citons l’intéressante proposition de Renaissance Numérique sur l’intégration des utilisateurs au processus de régulation :

En tant que co-contributeurs à la création de valeur sur les plateformes numériques, il est nécessaire d’intégrer les utilisateurs dans leur régulation. Cette régulation peut reposer sur deux approches complémentaires. La première consisterait à imposer aux plateformes numériques une représentation des utilisateurs dans leur organe de gouvernance et de décision, comme cela est le cas dans les entreprises pour les salariés. La deuxième consisterait à « plateformiser » le régulateur, en organisant la participation des utilisateurs à la régulation (plateforme numérique) et en construisant des outils de régulation adéquats (indicateurs, algorithmes, etc.).

📚 [PUBLICATION]
#Plateformes en ligne : en prévision du #DigitalServicesAct, @RNumerique appelle à une régulation en temps réel et à la participation des utilisateurs des plateformes dans les instances de #régulation [1/2]
👉 https://t.co/zTOEVpg7pt pic.twitter.com/wHGyMhw2XR
— RenaissanceNumérique (@RNumerique) August 4, 2020

Conclusion

Les domaines potentiels de régulation ne cessent de se multiplier en Europe face à la concurrence internationale et au poids des GAFAM et des BATX, constituant autant de moyens de défense censés protéger notre industrie, nos données et nos citoyens. Cette nouvelle ligne Maginot risque de rester moyennement efficace en l’absence d’une stratégie plus offensive.

Partager cette page

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.
wordpress_test_cookie	session	This cookie is used to check if the cookies are enabled on the users' browser.

Cookie	Durée	Description
mailmunch_second_pageview	never	Mailmunch sets this cookie to manage subscription service to mailing lists.
_mailmunch_visitor_id	never	Mailmunch sets this cookie to create a unique visitor ID for the Mailmunch mailing list software.

Cookie	Durée	Description
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_133846562_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Cookie	Durée	Description
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt.innertube::nextId	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.
yt.innertube::requests	never	This cookie, set by YouTube, registers a unique ID to store data on what videos from YouTube the user has seen.

Cookie	Durée	Description
appRelease	session	No description available.
_pk_id.1.a699	1 year 27 days	No description
_pk_ses.1.a699	30 minutes	No description
_pk_testcookie_domain	session	No description