00:00On enchaîne tout de suite, on parle des lignes directrices de l'EDPB sur l'interaction entre le DSA et le RGPD avec mon invité Robin Nini, avocat senior chez Auguste de Bousy.
00:22Robin Nini, bonjour.
00:24Bonjour Arnaud.
00:24Alors on va faire le point ensemble sur les lignes directrices de l'EDPB sur l'interaction entre DSA et RGPD.
00:32Tout d'abord, les régulations numériques se multiplient en Europe, RGPD, DSA, DMA.
00:38Et avant d'entrer dans le détail de ces lignes directrices, vous pouvez nous expliquer un peu comment les institutions européennes essayent de coordonner ces différents textes, de les harmoniser ?
00:50Écoutez, déjà, merci beaucoup de me recevoir. Effectivement, c'est un sujet intéressant parce que sur les dernières années, il y a eu un vrai plan numérique au sein de l'Union européenne,
00:58avec une multiplication de différentes régulations qui n'ont pas nécessairement le même objet, mais qui peuvent parfois s'entrechoquer, si on peut dire.
01:05Et pour les harmoniser entre elles, il y a deux manières de faire. Il y a d'une part ces lignes directrices qui sont de la soft law, finalement, d'interprétation de ces textes.
01:16Alors après, il y a une chose sur ces lignes directrices, celle-ci particulière, c'est que celles ont été rédigées par l'EDPB, donc le Comité européen de protection des données,
01:24qui est spécialisé, expert sur la question de la protection des données, donc qui va venir interpréter le DSA à la lumière du RGPD.
01:31À la différence, par exemple, très récemment, au début octobre, il y a eu une publication des lignes directrices sur justement l'interaction entre le DMA et le RGPD,
01:41mais cette fois-ci co-écrite par le DPB et par la Commission européenne.
01:46Donc on a vraiment une ligne directrice qui va beaucoup plus aller dans le sens de caler ces deux textes l'un avec l'autre,
01:52tandis que ces lignes directrices dont on parle aujourd'hui sont vraiment sur comment le RGPD va être amené à s'appliquer aux fournisseurs de services numériques.
02:00Mais ces textes de Soplo sont quand même importants, puisque ça offre un peu des grilles de lecture, un peu des textes qui sont parfois difficiles à interpréter, c'est ça, non ?
02:08Exactement, c'est exactement ça, c'est surtout de comprendre à quel moment on a des obligations, et on va en parler sur certaines,
02:14à quel moment on a des obligations complémentaires, successives, comment il faut faire attention à appliquer les deux textes en même temps sur des sujets.
02:21Et aussi, sur la première question, l'Union européenne a aussi conscience de cette multiplication des réglementations, pas nécessairement que sur le numérique,
02:31et en 2024, elle a déjà appelé à un projet de 2024-2029 de simplification de la loi européenne,
02:38où le paquet digital sur tout data, tout relatif aux données, va être amené à être simplifié.
02:46Alors, on ne sait pas encore comment ça va être fait, mais il y a une vraie conscience,
02:50en termes non plus de soft law maintenant, mais vraiment de réglementation pure et dure,
02:55d'essayer d'assurer une cohérence entre toutes celles-ci, et la réduire au plus que possible,
03:00pour éviter un millefeuille législatif à ce sujet.
03:04Alors, parmi les sujets de ces lignes directrices, il y a les dark patterns,
03:09même s'il n'y a pas énormément de choses dans ces lignes directrices.
03:12Néanmoins, pourquoi ces dark patterns qui sont donc dans ces lignes directrices sont aujourd'hui un sujet important qui revient régulièrement ?
03:20Alors, c'est important, si je peux revenir quelques secondes sur le principe des dark patterns ou schémas sombres en français,
03:26c'est tout ce qui va être réalisé par une plateforme, enfin par un acteur du numérique,
03:29pour inciter un utilisateur, par un design de trompeur, par une manipulation, par une manipulation de l'esprit,
03:37à lui faire prendre une décision qu'il n'aurait pas nécessairement prise s'il n'avait pas eu cette manipulation.
03:43Pour résumer, on va le guider dans ses choix ?
03:45Exactement. Par exemple, on a ce qui est pour le RGPD, ce qui a été un peu connu, c'est par exemple les cookies.
03:51On avait avant des bannières avec un gros bouton accepté, le bouton refusé, il était un peu caché,
03:57ou le bouton accepté dans une couleur plus attrayante que le refusé.
04:01Donc en fait, à l'œil, on va aller tout de suite cliquer sur le bouton accepté,
04:05ce qu'on n'aurait pas nécessairement fait si on n'avait pas eu cette manipulation.
04:09Et en fait, elles sont importantes parce que le RGPD justement traitait des dark patterns,
04:16mais dans une approche, il n'avait pas de disposition spécifique aux dark patterns.
04:20C'est interdit quand ça implique le traitement de données,
04:24parce que c'est une atteinte à la loyauté d'un traitement.
04:26Tandis que le DSA va venir beaucoup plus directement dire les dark patterns,
04:32la manipulation d'une plateforme dans le but de faire prendre un champ à l'utilisateur
04:36qu'il n'aurait pas fait naturellement, sont interdites.
04:39Mais en revanche, ce qui est intéressant, c'est que le DSA va interdire les dark patterns sur la plateforme,
04:44mais va dire que le DSA n'a pas vocation à s'appliquer aux dark patterns qui relèvent du RGPD.
04:49Donc en fait, le travail de ces lignes directrices va être justement de dire
04:53comment on détermine les dark patterns qui vont relever du DSA,
04:57les dark patterns qui vont relever du RGPD.
05:00Et en fait, la question sous-jacente, c'est qui a la responsabilité du contrôle,
05:04la CNIL ou une autre autorité ?
05:06Et notamment, le DPB va aller dans ce sens,
05:09en disant qu'il faut voir si le dark patterns est fondé sur la protection des données,
05:14et sur des données personnelles de la personne,
05:16ou si le choix qu'on veut lui faire faire a une conséquence sur ces données.
05:21Je donne un exemple très rapide que ce que le DPB donne.
05:24C'est si, par exemple, je vous mets une page pop-up qui s'ouvre et qui va dire
05:28« Achetez tout de suite ce produit, il n'en reste plus que 10 en stock »,
05:31ne relève pas, relève du DSA,
05:34tandis qu'un même pop-up qui vous dira « Attention, il en reste 10 en stock,
05:39mettez votre adresse e-mail pour avoir le lien d'accès à la vente »,
05:44va être en fait l'objectif de récupérer l'adresse e-mail
05:47pour l'alimenter à une base de prospection.
05:50Et bien là, ça va rentrer dans le cadre du RGPD.
05:52Alors, autre sujet important dans ces lignes directrices,
05:55la publicité ciblée et le profilage.
05:58Et bien là, c'est intéressant justement sur ce qu'on disait
06:00sur les interactions entre ces deux réglementations,
06:03où parfois, il n'y a pas nécessairement une contradiction,
06:06mais il y a une attention particulière pour les professionnels
06:09sur, quand je fais de la publicité,
06:11parce que c'est quand même le cœur de réacteur des services numériques,
06:16quelles obligations s'appliquent à moi ?
06:17Et en fait, on voit, les lignes directrices se rappellent bien,
06:19il faut à la fois regarder le DSA et le RGPD,
06:22notamment en fait sur des obligations de transparence,
06:24de premier abord, parce que le RGPD a une obligation d'information
06:31pour le traitement de données de manière générale,
06:33qui arrive avant le traitement,
06:36tandis que le DSA a une obligation d'information spécifique à la publicité.
06:40On doit informer notamment des paramètres retenus pour la publicité,
06:44comment elle a été présentée, pourquoi cette publicité,
06:46comment arrêter ce ciblage très spécifique.
06:53Et du coup, le DPB leur appelle, quand vous faites ça, faites attention.
07:00L'une ne vient pas remplacer l'autre, il y en a deux qui s'appliquent l'une à côté de l'autre.
07:04Alors les lignes directrices évoquent également les mesures volontaires de filtrage par les plateformes.
07:10Concrètement, qu'est-ce qu'elles disent sur ce sujet ?
07:12Alors ce qu'elles disent, c'est intéressant parce que justement,
07:15les mesures volontaires de filtrage, c'est une évolution du DSA,
07:18alors qui consacre un principe jurisprudentiel,
07:21qui est de dire que les plateformes qui ont normalement une exemption de responsabilité
07:25du contenu qui est publié sur eux, sur leur service,
07:31ne vont pas perdre cette exemption si elles mettent d'elles-mêmes des mesures de filtrage préventive,
07:36pour les inciter à faire ce travail préalable sans leur dire
07:40vous avez juste à attendre qu'un contenu soit signalé et l'enlever.
07:45Et en fait, ce qui est intéressant en termes de traitement des données,
07:46c'est que ce filtrage, il peut être basé sur des traitements de données,
07:49notamment à la fois pour entraîner le modèle de filtrage lorsqu'il est automatisé,
07:54on va lui faire collecter des données personnelles assez en masse,
07:57un peu comme le principe d'un LLM,
08:00où il va s'entraîner sur ces données personnelles
08:03pour identifier quel contenu doit-il filtrer ou pas filtrer.
08:06Et ensuite, ce qui est intéressant, c'est que si cette mesure de filtrage
08:09va amener à supprimer un contenu,
08:12si tout le process est automatisé,
08:15finalement, on rentre dans le cadre du RGPD potentiellement,
08:18dans l'interdiction des prises de décisions automatisées,
08:22des prises de décisions automatisées qui ont une conséquence pour l'utilisateur.
08:26Donc en fait, peut-être que le fait de supprimer un contenu,
08:29supprimer un produit d'une place de marché,
08:31qui est en fait le cœur d'activité de la personne,
08:33si ce retrait est effectué sur la base d'une mesure préventive
08:36totalement automatisée, on va peut-être aussi rentrer dans le cadre du RGPD
08:40qui va venir s'ajouter justement au DSA et ses mesures préventives.
08:45On voit tout l'intérêt de ces lignes directrices.
08:48On va conclure là-dessus.
08:50Merci Robin Nini.
08:51Je rappelle que vous êtes avocat senior chez Auguste de Bousy.
08:54Merci beaucoup.
08:55C'est le moment de conclure cette émission.
08:57Merci à toute l'équipe qui a travaillé sur cette émission.
09:00Au premier lieu, Stéphanie, également Saïd Hausson et Angel à la réalisation.
09:06Quant à moi, je vous retrouve dès demain sur Bsmart4Change.
Écris le tout premier commentaire