Abstracts ISPAward 2016-2017

Table of Contents

Abstracts ISPAward 2016-2017

  1. Sophie Forestini – Bitcoin
  2. Simon Geiregat – Copyright
  3. Alice Asselberghs – Facebook
  4. Marte Sledsens – Instagram
  5. Friedel Geeraert – Semantic (not yet available)
  6. Pauline Limbrée – Hacking
  7. Victor Rouard – whistleblowers
  8. Axel Halin and Alexandre Nuttinck – jhipster
  9. Elise Melchior – Blockchain
  10. Ilona Buteneers – Twitter

1.    Sophie Forestini – Bitcoin

The Hide-and-seek Bitcoin’s Game

LL.M. Thesis under the supervision of A. Lecocq

Université libre de Bruxelles

Bitcoin is a call for a State’s non-interference The purpose of our thesis is to demonstrate that Bitcoin is not only a currency: it is something more complicated. Therefore, understand it strictly as being a currency and make it fall under the Anti-Money Laundering (‘AML’) legislations that only concern traditional money is clearly not adapted if we want the Regulator to control it. Money has always been in the center of all attention. Who has not thought at the end of the month that he could not manage to live until the end of the month because he has no money left. It is a current situation for the majority of people, no matter the country he lives in. Why? Because money is a way for the State to control its people: if you do not work, you do not have money. And clearly, the State needs its citizen to work in order for the society to run. According to this reality, we may ask the following question: why should we stick to an ancient definition of money, created only by the State and its institution when both are not capable of distribute it correctly to its citizen equitably, in order for them One thing is certain: this social contract must be review and adapted to the citizen that agreed to it, otherwise it is an unfair agreement. Some citizens have clearly understood that the money they earned was not equally re-distribute and so they found ways to hide it, to spare it, to re-distribute it in another way than the State is currently doing, because they do not agree with the social contract anymore. The globalisation has not helped the situation to get better. On the contrary, flows of money have become more and more uncontrollable: we do not know where money is going anymore. So the State has adapted itself in order to track the flows of money. He gave its financial institution strict rules in order to avoid money to escape its control. A lot of regulatory measures were born in order for the State to track the money it has loss. That goes from the corruption to insider trading, passing through money laundering. Nevertheless, that is not enough, because some citizens are smarter and will always find ways of being one step ahead of the State. All of that would not have happened without the help of internet and the dark web. That is indeed the context of Bitcoin’s Birth. Bitcoin is part of this « Globalisation Money Hiding » process. Satoshi Nakamoto has created an electronic substitute to cash money that functions on a « peer-to-peer network », opening the gates to irreversible payments with limitation of the litigation linked to it: « Commerce on the Internet has come to rely almost exclusively on financial institutions serving as trusted third parties to process electronic payments. While the system works well enough for most transactions, it still suffers from the inherent weaknesses of the trust based model. Completely non-reversible transactions are not really possible, since financial institutions cannot avoid mediating disputes. The cost of mediation in- creases transaction costs, limiting the minimum practical transaction size and cutting off the possibility for small casual transactions, and there is a broader cost in the loss of ability to make non-reversible payments for non-reversible services. With the possibility of reversal, the need for trust spreads. Merchants must be wary of their customers, hassling them for more information than they would otherwise need. A certain percentage of fraud is accepted as unavoidable. These costs and payment uncertainties can be avoided in person by using physical currency, but no mechanism exists to make payments over a communications channel without a trusted party »

We will first analyse how Bitcoin could replace money without being a traditional currency. It will help us to demonstrate how money has evolved from its primitive condition – being a rare tangible property – to become a true legal object, issued and controlled by the State. Bitcoin is pursuing this evolution by proposing an alternative solution to the organization of currencies through legal rules: The Code. Bitcoin’s modalities are indeed characterized by their automaticity and by the irreversibility of the transactions confirmed by the blockchain which brings Bitcoin closer to the Code than to the legal organization of currencies. We must keep our mind open as we are talking about something far more complicated than some kind of simple legal tender, understood as the organization of facts through words. The idea that the Code of a program would be able to replace a normative function is not new. In his famous article, LAWRENCE LESSIG is developing the idea that there are four constraints’ sources that would regulate people’s behaviour: legal constraints, social constraints, market constraints and architectural constraints. The Code is part of the last constraint when understood in its technology conception: The Cyberspace. Obviously, when talking of Bitcoin being a currency, analysts have attributed normative aspects to Bitcoin but nobody has tried to define the entire statute of Bitcoin. Bitcoin goes beyond the conception of currencies issued by a State to control its citizen. Bitcoin is a whole substantive right for individuals and has the power of self-regulation without having any need for some State to do it for it. From this point of view, Bitcoin could not only be a currency: Bitcoin creates a real substantive right to individuals, close to the right of property. If there is a sales contract within the blockchain, its execution will be managed by the network without anybody intervening in the operations sequences. So in both cases – Money and substantive rights – Bitcoin represents an alternative solution to judicial procedures regarding applicable sanctions. In that regard, once it is verified by the system, a Bitcoin’s transaction could never be void by anybody that is outside of the Community. Therefore, by taking away « illegal » Bitcoins away from their owners, the State is adopting an intrusive position and is stealing them. Bitcoin offers the conception of an irreversible and legitimate property that would be self-regulated. Bitcoin does not need a Legislator: it is its own Creator.

Bitcoin does not need judges: it makes its own Justice. By understanding Bitcoin in its commodity conception, there would not be needed any regulatory institution as Bitcoin and its Community would be their own regulator. In this context, Bitcoin is proposing an innovative global contractual right that is escaping the classic legal system by adopting its shapes and by bringing another global dimension with the certainty of an automatic sanction. Because substantive law, even if it recognizes substantive rights to its citizens, must provide a system of sanctions to their violation. Since the down of night, this is ensured by effective and impartial jurisdictions. But what do we have now? We face a deprived jurisdiction that has no time for all the litigation they must settle. Is the Justice as efficient as it was in the past? Because one thing is clear: national jurisdictions can not follow the consequences of Globalisation by settle here what is happening there. That is where Bitcoin is shining, by automatically providing the sanction of the rights it creates; it is resolving the problem of the gap between the principle of recognition of substantive rights’ citizens and the reality of this recognition’s efficiency. This conception is difficult to understand within our traditional issuing money system in which the State can control everything as soon as it controls money issuance. So the State has created traditional currencies that fluctuates at the mercy of the economy and of the politics. Money does not exist but the State has made it so important that it has become an obsession for its citizens. An obsession that does not exist, as money is nothing. But not Bitcoin, as he does not control Bitcoin’s issuance. The purpose of our thesis is to propose a new way of thinking the global regulation. Instead of trying to control it by giving it a place it does not deserve (Chapter 2 of the thesis), the Regulator should try to completely understand Bitcoin (Chapter 1 of the thesis) and use its technology to improve the efficiency of its sanction regime (Chapter 3 of the thesis). II. History repeats itself Now we can say, after having analysed the few European Legislation that exists, the Legislators do not seem to be ready for the new technologic challenges waiting for them. It is like they are lost in the globalized world they always wanted, which does not arrive without any consequences. Virtual Currencies are one of them. This new concept of cryptocurrencies must then be studied and analysed more deeply, as it is something the Legislators just discovered. Because it is, a true revelation and it was not created by chance. The Legislators can thus not just put the virtual currencies in the AML box just to get on with it. Disagreeing with the type of system in place, State’s citizens created virtual currencies as a kind of response to it. This proposal for a new State’s functioning, is less regulated; « but no thought is more dangerous to the future of liberty in cyberspace than this faith in freedom guaranteed by the code. For the code is not fixed. The architecture of cyberspace is not given. Unregulability is a function of code, but the code can change »

The particularity of this Code is that it will change if it wants to change, not because strangers want to change it. By simply putting the virtual currencies into the AML Legislations, it seems that the Legislators are running after a reality, which first purpose is to escape them. Virtual currencies should not be forbidden nor changed according to the Legislators’ will. The anonymity is the best example. As they absolutely want to change this feature, which is the reason why Bitcoin exists, making transactions made in Bitcoins public, is like making it disappear. For the simple good reason that « an open-door » Bitcoin’s transaction has never existed and will never exist. There is an absolute need for the State to live within its time, and to accept the reality it is surrounded by, because « the idea that governments issue “money” and declare what qualifies as “legal tender” is an ancient notion. The history of regulating money and legal tender suggests that it is not likely that governments will surrender their privileges to regulate cryptocurrency issuers, exchanges, administrators, or users. The real questions are which paradigm(s) governments will use, how much enforcement energy they will spend on regulating cryptocurrencies, and whether and how they will compete with each other to offer regulatory schemes that do not send cryptocurrency entrepreneurs, investors, and users running offshore » Virtual currencies could become the State’s strength, if it wants to. The SILK ROAD is our best example. As this network, amongst other things, was created to stop the violence linked to actions that have been banned by the State – drugs or weapons are the best examples. But sometimes, forbidding something is exacerbating its consequences. If it is illegal, it will happen anyway, but in darker zone, trying to hide itself from the Regulators’ eyes. The State has now an opportunity to make a new ally. One thing is certain: Human Being is not perfect. Thus, the State will not prevent Human Being of being ill, jealous, and heartless, or doing what he absolutely wants to do. In that regard, Virtual currencies are the image of the ones who created it. State has tried to close the SILK ROAD, but as soon as it did it, a new SILK ROAD was born. And this situation will be exactly the same if a stranger to the Community tries to regulate or forbid Bitcoin: as soon as it did it, new virtual currencies will arise. We are not talking here about allowing it, but rather thinking to a new kind of regulation, where the Community could become in a way the regulator. As we proposed in our third chapter, we think that if the Legislators separate the virtual currencies’ participants into those three categories, Money laundering and Financing Terrorism may get better. But only if Bitcoin is considered as a whole, and not according to the « bad » consequences it might generate. The RegTech is an even better solution, as it gathers all conceptions of Bitcoin in one autodidact regulation that adjusts to the current needs. It uses the same kind of algorithms that created Bitcoin. RegTech have to be understood in a world where we could no longer need traditional currencies, and where the exchange of virtual currencies into traditional ones would not be needed anymore. It is a new form of regulation, where the Regulators would be, among other things, the Community of users itself. Bitcoin is not only a currency, as being a currency is just a tiny part of the concept. Taking Bitcoin as a commodity allows to not forget the conception of Money. Indeed, a commodity is just a more tangible conception of Money, as was gold at the time. It is a new form of virtual, intangible commodity. But this intangibility could become tangible if we analyse the process of the mining, which is not wearing this name for nothing. In this case, by the mining’s process, virtual currencies are just a new way of manufacturing virtual commodities.

The State will become stronger if it accepts the reality that lies in front of its eyes, seeing virtual currencies as a strength, and not a threat. Because, the only threat that Bitcoin could represent, is as if the State is not ready to loose control over its citizens. Therefore, the State must create the Law when a factual situation causes problems, not twisting the factual situation in order for this situation to fit in its system. We are clearly entering a new legal age, and « every age has its potential regulator, its threat to liberty »

2.    Simon Geiregat – COPYRIGHT

Waarheen wil het Hof van Justitie met de online uitputting in het auteursrecht?

Masterproef met het oog op toekenning van de graad van master in de intellectuele rechten en het ICT-recht, under the supervision of prof. dr. M.C. JANSSENS (promotor) and V. VANOVERMEIRE (copromotor)

KU Leuven Campus Brussel

Distributierecht. – De auteur van een oorspronkelijk werk is houder van een exclusief recht op  de  distributie  van  exemplaren  van  zijn  werk  aan het  publiek.  Dat  recht  is  vandaag  onder meer  geharmoniseerd  in  de  EU  wat  betreft  computerprogramma’s  en  overige  werken  van letterkunde en kunst.

Uitputting. – Het distributierecht is beperkt om de belangen van auteurs en die van derden te verzoenen. De auteur kan geen distributiehandelingen verhinderen die betrekking hebben op exemplaren die met zijn toestemming in de handel zijn gebracht in de EU/EER. Die grens aan het distributierecht wordt metaforisch aangeduid als zijn ‘uitputting’.

Grondslagen van de uitputting. – De uitputtingsleer valt te verklaren door een combinatie van streven naar vrijhandel en een EU-interne markt, naar een beloning voor de auteur en naar rechtszekerheid. Ook ons eigendomsbegrip wordt erdoor gevrijwaard, aangezien dat begrip zelf is ingegeven door de hang naar vrijhandel. Voorwaarden voor uitputting

Distributiebegrip algemeen.  – Uitputting   vereist   een   specifieke   distributiehandeling, namelijk   de   eerste   eigendomsoverdracht   van   een   exemplaar   van   een   werk.   Zowel   het distributiebegrip   als   het   voorwerp   en   de   handeling die   leiden   tot   uitputting,  kennen uiteenlopende  EU-interpretaties  al  naargelang  de  richtlijn  waarin  ze  voorkomen.  Bij  werken draait  distributie  terecht  om  de  eigendomsoverdracht  van  lichamelijke  exemplaren.  Het  Hof van Justitie zoekt met andere woorden aansluiting bij de betekenis van distributie in de WCT.

Distributiebegrip bij computerprogramma’s. – Het distributiebegrip bij computerprogramma’s krijgt een veel ruimere, eerder economische invulling. Een verklaring is dat het  EU-recht  niet  voorziet  in  een  on-demandrecht  op  computerprogramma’s.  Dat  recht geeft  auteurs de  exclusieve  bevoegdheid  om  te  oordelen  over  ‘de  beschikbaarstelling  van  hun werken voor het publiek op zodanige wijze dat deze voor leden van het publiek op een door hen individueel  gekozen  plaats  en  tijd  toegankelijk  zijn’.  Een  richtlijn  erkent  dat  recht  wel  ten voordele   van   auteurs   van   andere   werken.   Die   richtlijn   laat   de   EU-bepalingen   over computerprogramma’s evenwel uitdrukkelijk onverlet. Het Hof kon dan ook niet anders dan de online verspreiding van computerprogramma’s onder het distributiebegrip te scharen.

Distributiebegrip:    problematiek.     – Het     is     problematisch     dat     het     Hof     de distributiebegrippen  uiteenlopend  invult.  Ten  eerste  is  er  onduidelijkheid  over  het  lot  van voorwerpen die gelijktijdig computerprogramma’s en andere werken incorporeren. Ten tweede vereist  de  rechtszekerheid  een  identieke  invulling van  identieke  concepten  binnen  eenzelfde rechtsgebied.  De  WCT-onderhandelaars  besloten  ten  derde  dat  de  on-demandsituatie  in  elk geval   niet   thuishoort   onder   het   distributierecht.   Het   Hof   had   het   auteursrecht   op computerprogramma’s dan ook een WCT-conforme (her)interpretatie moeten toedichten.

Eerste    eigendomsoverdracht    algemeen.    – Uitputting    treedt    niet    op    bij    elke distributiehandeling. Dat gebeurt enkel bij de eerste eigendomsoverdracht van een exemplaar. Diensten  geven  daarentegen  nooit  aanleiding  tot  uitputting.  Het  Hof  van  Justitie  oordeelde vooralsnog  niet  uitdrukkelijk  over  het  begrip  van  de  eerste  eigendomsoverdracht  van  een exemplaar van een werk in het algemeen. Er valt nochtans te verwachten dat het dat begrip een EU-autonome uitlegging zal geven, als het daartoe de kans krijgt. Het Hof oordeelde wel al dat de  uitputting  enkel  van  toepassing  is  op  tastbare  zaken  waarin  een  werk  is  belichaamd.  Het haakt daarmee aan bij de WCT en het gemeen recht.

Eerste   verkoop   bij   computerprogramma’s.   – Het   distributierecht   op   computer-programma’s wordt uitgeput door de ‘eerste verkoop’ van een exemplaar van het programma. Het  Hof  interpreteert  dat  begrip  autonoom  in  de  EU.  Het  omvat  de  ‘verhandeling  van  een product  waarbij  tegen  betaling  van  een  prijs  waarmee  de  houder  van  het  auteursrecht  een vergoeding moet kunnen krijgen die overeenstemt met de economische waarde van de kopie van het hem toebehorende werk, voor onbeperkte tijd een gebruiksrecht voor een kopie van een computerprogramma   wordt   toegekend’.   De   uitputting   heeft   dus   een   dubbel   voorwerp: enerzijds ‘een kopie’ van een programma, anderzijds een ‘bijbehorende gebruikslicentie’.

Strijdigheid met bedoeling en consistentie. – De uitputtingsleer bij computerprogramma’s heeft een heel ander aangezicht dan de uitputting bij andersoortige werken. Dat is te betreuren. Die lezing strijdt met de keuze van de Raad om de uitputting enkel bij ‘verkoop’ te laten spelen, en niet zonder meer bij elke vorm van inverkeerstelling. Ze is ook onverzoenbaar met de keuze van de WCT-onderhandelaars om on-demandrechten onuitputbaar te maken. Het is dan ook moeilijk  in  te  zien  waarom  dezelfde  auteursrechtelijke  begrippen  anders  worden  ingevuld  al naargelang het voorwerp van het recht.

Problematiek  van  het  goederenbegrip.  – Het  Hof  van  Justitie  gaat  ook  in  tegen  de gemeenrechtelijke  betekenis  van  het  begrip  ‘verkoop’  en  kwalificeert  gedownloade  kopieën onder voorwaarden als goederen die vatbaar zijn voor eigendom(soverdracht). Die opvatting is vooreerst  onverzoenbaar  met  het  EU-geharmoniseerde BTW-recht.  Ook  ons  goederenrecht verzet zich tegen die kwalificatie. Een dataset op de harde schijf van een bepaalde computer is namelijk onvoldoende zelfstandigom op zich een goed te vormen. Wat we waarnemen op het scherm, is immers slechts een metaforische ordening van de binnenkant van bijvoorbeeld een harde schijf, in de hand gewerkt door de technologie. Een e-boek of calculatorapp is met andere woorden evenmin een boek of een rekenmachine als MAGRITTEs schilderij een pijp is.

Overdracht versus licentie:  twee overeenkomsten.  – Eigendomsoverdrachten  afleiden  uit licentieovereenkomsten gaat niet op. Als computerprogramma’s of (ge)digital(iseerd)e werken beschikbaar  worden  gemaakt  aan  een  eindgebruiker,  komen  er  immers  gelijktijdig  twee overeenkomsten   met   strikt   te   onderscheiden   voorwerpen   tot   stand.   Enerzijds   is   er   de overeenkomst  met  ‘materieel  voorwerp’,  waarin  de  leverancier  zich  jegens  de  gebruiker verbindt ervoor te zorgen dat die gebruiker feitelijk zintuigelijke toegang heeft tot welbepaalde inhoud.  Anderzijds  kan  er  tezelfdertijd  ook  een  licentieovereenkomst  zijn,  met  immaterieel voorwerp. Het Hof van Justitie negeert het gelijktijdige bestaan van die overeenkomsten door de uitputtingsleer toe te passen op ‘kopie plus licentie samen’. Daardoor gaat het Hof bovendien voorbij aan de voorwaarden voor en betekenis van de uitputting. De bevoegdheid om licenties te verlenen, is immers volstrekt niet het voorwerp van enig auteursrecht. Het is integendeel een wijze van uitoefening van (auteurs)rechten. Het Hof lijkt het onderscheid tussen het voorwerp van intellectuele rechten en dat van zakelijke rechten op de helling te zetten.

Functionele gelijkwaardigheid? – Het oordeel van het Hof wordt bijkomstig gegrond op de functionele  gelijkwaardigheid  van  de  verkoop  van  cd-roms  met  internetdownloads.  Eén alternatieve  rechtspraaklezing  is  dan  ook  dat  de  uitputtingsregel  strikt  gezien  niet  speelt  bij downloads, maar dat de beginselen van gelijke behandelingen en van vrij verkeer van goederen ons verplichten om die regel uitzonderlijk toch toe te passen. Die redenering is niet pertinent. Vooreerst is een beroep op het beginsel van vrij verkeer als hogere norm enkel mogelijk om de territoriale    minimumreikwijdte    te    bepalen.    Ten    tweede    is    het    raden    naar    de vergelijkingsmaatstaven die het Hof heeft gebruikt om tot discriminatie te besluiten. Bovendien zijn  downloads  van  computerprogramma’s  en  van  andersoortige  werken  nu  ongelijk  te behandelen.  Dat  valt  nog  moeilijker  te  verantwoorden  en  komt  de  rechtszekerheid  niet  ten goede.

Gevolgen van de uitputting Distributierecht. – Uitputting verhindert dat de auteur zijn distributierecht voort uitoefent over  het  betrokken  exemplaar.  Dat  recht  omvat  al  naargelang  de  omstandigheden  ook exclusiviteit  over  gerichte  reclame  en  verkoopaanbod,  evenzeer  als  handelingen  ‘tot  de uitvoering  [van  de  overeenkomst]  door  levering  aan een  lid  van  het  publiek’.  Wanneer  de uitputting is ingetreden ten opzichte van een exemplaar, dan volgt daaruit onzes inziens dat ook dat soort distributiehandelingen ten aanzien van dat exemplaar geen toestemming meer vereist.

Andere rechten. – Andere vermogensrechten ondergaan principieel geen uitputtingsgevolgen.   Het   reproductierecht   kent   daarop   uitzonderingen   ingevolge   EU-rechtspraak. Het Hof steunt rechtstreeks op het vrij verkeer van goederen om de gevolgen van de uitputting toch door te trekken op situaties waar die anders niet zou spelen. Het nuttige effect van de uitputtingsregel vereist met andere woorden dat sommige reproductiehandelingen ook worden uitgeput. Dat is de effet-utiledoctrine, die vooral bij merken wordt toegepast.

Reproductie: effet-utiledoctrineen rechtmatige gebruiker. – Het Hof van Justitie past de effet-utiledoctrine ook toe op de reproductiehandelingen die nodig zijn voor de ‘wederverkoop van  een  kopie’  van  een  computerprogramma  na  uitputting  van  het  distributierecht  door  de beschikbaarstelling  van  dat  programma  via  download.  Het  Hof  haakt  daarvoor  aan  bij  de uitzondering voor de rechtmatige verkrijger. Die heeft tot doel om een ongestoord gebruik van een programma te garanderen aan wie daarvoor betaalt. De uitzondering verdient volgens het Hof een zodanig ruime interpretatie dat ze ook de situatie van de ‘verdere verkrijger’ van een programma  insluit.  Ze  vindt  daarenboven  toepassing als  een  kopie  van  een  programma oorspronkelijk is aangeleverd via de verkoop van een goed dat dienst doet als drager, wanneer die drager ‘beschadigd geraakte, vernietig[d werd] of verloren’ ging. Derden  in  beginsel.  – Derden  zouden  voorts  geen  wijziging  in  hun  rechtspositie  mogen ondervinden  door  uitputting.  De  uitputting  is  immers  een  grens  aan  een  recht.  Wanneer  ze intreedt, wordt er alleen een monopolie opgeheven: het goed is terug normaal onderworpen aan het vrije handelsverkeer. De mogelijkheid om een goed over te dragen is dan ook afhankelijk van het goederenrechtelijke statuut van dat goed.

‘Overdrachtrecht’.  – Het  Hof  van  Justitie  leidt  uit  de  uitputtingsregel bij  computer-programma’s  nochtans  wel  het  ontstaan  van  nieuwe  rechten  af.  De  begunstigde  zou  uit  het intreden van de uitputting namelijk een recht kunnen onttrekken om ‘kopie plus licentie’ over te  dragen  aan  leden  van  het  publiek.  Dat  recht  op  overdracht  overleeft  bovendien  de verdwijning  van  de  authentieke  drager,  zelfs  als  de  rechtmatige  verkrijger  die  bewust  zelf vernietigde.

Strijdigheid met autonomie van intellectuele rechten. – Die interpretatie gaat te ver. Uit het wegvallen van een recht van de ene persoon, valt niet automatischeen recht voor een andere persoon af te leiden. Het Hof slaat dus een belangrijke stap over. Het streefdoel van een interne markt biedt geen verklaringvoor enig ‘overdrachtrecht’. Het Hof torpedeert de fundamentele autonomie   van   intellectuele versus   zakelijke   rechten.   Of   een   voorwerp   kan   worden overgedragen,  is  immers  een  goederenrechtelijke  kwestie.  In  de  talloze  EU-arresten  over uitputting  buiten  de  digitale  context,  wordt  het  intreden  van  de  uitputting  ingeroepen  door iemand  die  tegelijkertijd   eigenaar   is   van   de   (beweerdelijk)   ‘uitgeputte’   exemplaren.  De overdrachtsbevoegdheid  staat  daarin  niet  ter  discussie.  Het  Hof  gaat  daaraan  voorbij  in  zijn rechtspraak over computerprogramma’s.

Ondeugdelijkheid  van effet-utiledoctrine.  – Het  Hof  verantwoordt  het  ‘overdrachtrecht’ voorts  met  de effet-utiledoctrine.  Dat  argument  is  ondeugdelijk.  Dat  bewijzen  de  absurde gevolgen  die  dat  recht  zouden  meebrengen  in  een  analoge  omgeving.  Wie  een  papieren exemplaar van een boek koopt en het in brand steekt, heeft toch ook niet het recht om een ander exemplaar  door  te  verkopen  omdat  het  distributierecht  is  uitgeput  door  de  eerste  verkoop. Waarom is dit anders voor een computerprogramma op een cd-rom?

‘Downloadrecht’ zonder grondslag. – Het Hof lijkt in hoofde van programmaontwikkelaars bovendien  een  verbintenis  vast  te  stellen  om  te  voorzien  in  websites  waar  ‘tweedehands licentiehouders’ kopieën van ‘overgekochte licenties’ kunnen downloaden.Het creëert zo een nieuwe    verplichting    tussen   twee    personen   waartussen   er    in    beginsel    geen    directe contractverhouding met goederenrechtelijk voorwerp bestaat. Waarop is de beschikbaarstellingsverplichting  dan  gegrond?  Eén  denkpiste  is  dat  de  ‘wederverkoop’  heeft geleid  tot  een  cessie  van  de  licentierechten  van  de  eerste  verkrijger  in  zijn  hoedanigheid  als licentiehouder. De EU-rechtspraak gewaagt echter niet uitdrukkelijk van die stelling.

‘Downloadrecht’  en  back-upkopie.  – Er  is  ook wrijving  tussen  het  ‘downloadrecht’  en  derechtspraak   over   de   back-upkopie.   Tussen   de   eerste en   verdere   verkrijger   komt   een overeenkomst tot stand. Enerzijds is het evenwel de eerste verkrijger verboden om een identieke back-upkopie  uit  ‘zijn  sfeer’  te  bezorgen  aan  de  verdere  verkrijger.  Die  strikte  interpretatie contrasteert  sterk  met  de  ruime  lezing  van  de  uitzondering  voor  rechtmatig  gebruik.  In  de huidige rechtspraak kan de verdere verkrijger anderzijds eisen dat de rechthebbende alles in het werk stelt om het verdere verkrijgers mogelijk te maken om kopieën van een programma via een  website  te  downloaden.  Dat  is  onlogisch.  De  eerste  verkrijger  heeft  immers  net  de leveringsplicht.  Bovendien  is  het  eigen  aan  tweedehands  ‘goederen’  dat  de  verdere  verkrijger maximaal kan ontvangen wat er nog bij de eerste verkrijger te vinden is. Tegen die achtergrond is    het    moeilijk    te    begrijpen    dat    het    Hof    verbiedt    om    vanaf    back-upkopieën    de overdrachtsovereenkomst uit te voeren.

Tweemaal   dezelfde   gedachtesprong.   – Het   is   opmerkelijk   dat   het   Hof   zowel   het ‘overdrachtrecht’  als  het  ‘downloadrecht’  verantwoordt  via  een  gelijkaardige  gedachtesprong. Het   ‘overdrachtrecht’   baseert   het   Hof   op   de uitputting   van   het distributierecht,   het ‘downloadrecht’  op  de  toepasbaarheid  van  een uitzondering  op  het reproductierecht.  Beide rechten vloeien dus uit de enkele omstandigheid dat een rechthebbende géén grond meer heeft om zich te verzetten tegen een concrete handeling. Die redenering staat op gespannen voet met de autonomie van intellectuele tegenover zakelijke rechten.

Downloads als goederen. – Uit de EU-rechtspraak vloeit dat de uitputting zich uitstrekt tot het  distributierecht  op  bepaalde  nieuwe  exemplaren van  programma’s.  Daarnaast  overweegt het Hof van Justitie dat de ‘begunstigde’ van de uitputting ipso iure houder is van een recht op overdracht.  Het  Hof  meent  dus  kennelijk  dat  gedownloade  kopieën  zelfstandige  ‘goederen’ vormen.    Die    stelling    klopt    onzes    inziens    niet.    Bovendien    mist    het    Hof    een bevoegdheidsgrondslag om het goederenrechtelijk statuut van informaticadata te regelen.

Informatica  en  goederenrecht.  – Zelfs  als  gedownloade  kopieën  ‘goederen’  waren  (quod non),  moet  nog  de  werking  van  de  informatica  voor  ogen  worden  gehouden.  Telkens  als gebruikers   programma’s   of   (ge)digital(iseerd)e   werken   zintuigelijk   waarneembaar   willen maken, moeten ze meerdere nieuwe kopieën maken. Die hebben elk een individueel te bepalen goederenrechtelijk statuut. In ons rechtsstelsel bestaat er voor digitale data geen rechtsstatuut erga omnes dat die data ‘volgt’. Auteursrecht is geen digitaal goederenrecht. Het Hof van Justitie lijkt   dat   te   negeren   en   gebruikt   de   auteursrechtelijke   uitputtingsleer   om   dat   hiaat   te ondervangen.


Niet  één,  maar  meerdere  uitputtingsleren.  – Het  is  nog  niet  duidelijk  waarheen  het  Hof van Justitie wil met de online uitputting in het auteursrecht. Wat wel duidelijk is, is dat het Hof verschillende  koersen  vaart.  Dat  staat  op  gespannen  voet  met  internationaal  auteursrecht  en met ons goederenrecht. Onder invloed van zijn rechtspraak onderging de uitputting bovendien twee betekenisveranderingen. Het was een grens, maar werd een hogere norm. Nu aanziet het Hof de uitputting bovendien als een grondslag voor een subjectief recht.

Uitputting   ongepast.   – De   EU-rechtspraak   over   computerprogramma’s   heeft   deuitputtingsregel  doen  ontaarden.  Het  Hof  is  in  een mijnenveld  gestapt  door  licenties  en verkoopovereenkomsten  over  eenzelfde  kam  te  scheren.  De  uitputting  is  nu  kennelijk  van toepassing op exemplaren van programma’s die vanuit technisch oogpunt zijn gemaakt zonder toestemming  van  de  rechthebbende.  Dat  alleen  al  demonstreert  dat  distributie  en  uitputting niet thuishoren in een online context. Daarvoor dient het on-demandrecht.

Diensten,  niet  goederen.  – De  beleidsdoelen  van  het  Hof  rekenen  op  ons  begrip.  De middelen   niet.   Het   Hof   had   kunnen   redeneren   vanuit de   toegangsrechten   van   ‘eerste verkrijgers’. Online beschikbaarstelling is immers een dienst en daarop is de uitputtingstheorie als zodanig niet toepasbaar. In de uitspraken over computerprogramma’s, was het Hof dan ook beter aan de slag gegaan met het vrij verkeer van diensten.

3.    Alice Asselberghs – Facebook

La notion de ‘communication au public’ sur le réseau social Facebook. Les publications sur Facebook constituent-elles une violation du droit exclusif de l’auteur ?

Master of Laws under the supervision of Professor Alain Strowel

Université Catholique de Louvain

Toute  personne  qui  communique  une  œuvre  à  un  public  sans  l’autorisation  préalable  de l’auteur   peut   encourir   une   condamnation.   La   ‘communication   au   public’,  prérogative patrimoniale  de  l’auteur  lui  octroyant  le  droit  exclusif  de  transmettre  son  œuvre  au  public,  a été appliquée au célèbre réseau social Facebook. Sur  Facebook,  les  utilisateurs  publient  certaines  informations  sans  se  douter  que  leurs  actes peuvent   avoir   des   répercussions.   Notre   question   de   recherche   était   la   suivante:   les publications sur le réseau social constituent-elles des ‘communications au public’ susceptibles de violer le droit d’auteur? Quels sont les critères permettant de conclure à une telle atteinte? Les  utilisateurs  de  Facebook  doivent-ils  vérifier  le  contenu  qu’ils  publient  et  vers  lequel  ils renvoient par la fonctionnalité du partage ? Quels risques prennent-ils en publiant du contenu ? Les questions sont nombreuses et les réponses complexes. Le droit à la ‘communication au public’ est consacré par l’article 3 de la directive 2001/29. La notion  n’étant  pas  définie  clairement,  la  Cour  de  Justice  a  été  confrontée  à  de  nombreuses questions  préjudicielles.  Pour  qu’un  acte  soit  qualifié  de  ‘communication  au  public’,  il  est requis de cet acte qu’il soit qualifié de ‘communication’ et que celle-ci s’adresse à un public, c’est-à-dire à un nombre indéterminé de destinataires potentiels. Suite  au  développement  des  technologies  de  l’information  et de  la  communication,  de nouvelles  questions  se  sont  posées,  notamment  concernant  les  hyperliens.  Certains  auteurs considèrent  que  l’hyperlien  ne  constitue  pas  un  ‘acte  de  communication’  puisqu’il  renvoie vers  du  contenu  déjà  disponible  sur  Internet.  Ce  n’est  pas  l’avis  de  la  Cour  de  Justice  qui ajoute  le  critère  du  public  nouveau  lorsque  le  mode  technique  de  communication  employé pour la ‘communication au public’ est similaire au mode initial de communication, ce qui est le cas pour l’hyperlien. Le public visé par l’hyperlien n’est pas nouveau quand le site auquel le lien renvoie est en libre accès. La notion de ‘communication au public’ dépend aujourd’hui de critères subjectifs développés par la Cour: ceux-ci sont liés à l’auteur du lien, à savoir son intention, sa connaissance du caractère illégal du contenu lié ainsi que le but lucratif visé par l’acte de communication. Nous avons réalisé un tableau récapitulatif qui reprend ces critères et leurs conséquences dans l’analyse de la ‘communication au public’. L’adoption de ces critères est largement critiquée car ils opèrent une confusion entre différents fondements de responsabilité: l’atteinte directe au droit d’auteur et la responsabilité civile extracontractuelle.  La directive 2001/29 a été transposée en droit belge dans l’article XI.165, §1er, 4èmealinéa du Code de droit économique. Il existe une exception particulière au droit de la ‘communication au  public’: «l’exécution  gratuite  et  privée  effectuée  dans  le  cercle  de  famille». Si  la communication  entre  dans  le  champ  d’application  de  l’exception,  néanmoins  assez  restreint, elle ne constituera pas une atteinte au droit de l’auteur concerné. Cette  question futtraitée  dans  l’arrêt Bord  de  l’Eaude  la  Cour  de  cassation.  Dans  cette affaire,  un  éditeur  avait  posté  sur  son  mur  Facebook  des  commentaires  ainsi  qu’un  lien hypertexte  renvoyant  un  site  qui  contenait  illégalement  l’œuvre  d’un  auteur.  Le  prévenu invoqua en vain que la communication était uniquement destinée à ses amis et qu’elle avait un aspect privé. La Cour rejeta cet argument car la publication en cause pouvait, à son tour, être partagée par ses amis à leurs amis respectifs. Le public visé était donc bien plus large que le simple  cercle  de  ses  amis.  La  publication  fut  considérée  comme  une‘communication  au public’ violant le droit exclusif de l’auteur. Les  publications  sur  Facebook  appartiennent-elles  à  l’exception  du  ‘cercle  de  famille’ou sont-elles au contraire destinées à un public au sens de la directive 2001/29? Après analyse, nous avons constaté que les publications sur Facebook acquièrent le plus souvent un caractère

Alice AsselberghsRue du Merlo, 351180 Bruxelles0497 48 22 96alice.asselberghs@gmail.compublic,  à  l’exception  des  messages  privés  sur  Messenger  et  des  publications  sur  un  groupe secret.  Ces  dernières  observations  peuvent  être  nuancées  en  fonction  des  circonstances  de l’espèce. Il  nous  restait  donc  à  analyser  si  ces  publications  répondaient  aux  autres  critères  développés par  la  Cour  de  Justice  de  l’Union  européenne.  Le  premier  critère  est  rencontré,  la  Cour considérant que l’hyperlien constitue un acte de communication. Le critère du public nouveau est  rencontré  si  le  lien  fait  référence  à  du  contenu  publié  sur  Internet  sans  l’autorisation  de l’auteur.   Il   en   résulte   une   grande   insécurité   juridique.   En   effet,   tout   dépendra   de   la connaissance par l’auteur du lien du caractère illégal du placement de l’œuvre sur Internet. Le but  lucratif  de  la  communication  sera  également  pris  en  considération.  Cette  notion  génère énormément de remous en raison des différentes interprétations de cette notion. Enfin,  puisque  l’insertion  de  ces  critères  de  nature  principalement  subjective  complexifie  la détermination  des  ‘communications  au  public’,  il  serait  plus  judicieux  de  recourir  à  d’autres fondements permettant de poursuivre les auteurs d’actes litigieux. Nous pensons notamment à la    responsabilité    civile    extracontractuelle,    à    la    responsabilité    des    hébergeurs,    au contournement des mesures techniques de protection, à la complicité pour contrefaçon ou à la concurrence déloyale. Ces fondements permettront de protéger adéquatement à la fois les intérêts des auteurs et ceux des utilisateurs de Facebook (et des internautes en général): les auteurs obtiendront réparation de  la  part  des  contrevenants  et  les  utilisateurs  de  Facebook  resteront  conscients  de  leurs responsabilités. Il ne leur appartient pas de vérifier tous contenus auxquels ils renvoient mais d’agir de manière intelligente et prudente en fonction des circonstances. Le recours sur la base du droit d’auteur sera alors réservé aux vrais contrevenants qui ont mis en ligne  le  contenu  litigieux  tandis  que  les  auteurs  des  liens  pourront  notamment  être poursuivis sur la base de la responsabilité extracontractuelle ou sur la base de la complicité au délit de contrefaçon.

Comment  évolueront  les  arrêts  de  la  Cour  de  Justice?  Le  législateur  européen  rédigera-t-il une définition précise de la ‘communication publique’? La jurisprudence nationale fera-t-elle la  distinction  entre  les  différents  fondements  de  responsabilités?  Le  sujet  reste  ouvert  à  de nombreuses interrogations, qui nécessiteront notre plus grande attention. L’équilibre précaire entre les droits d’auteur et la liberté d’expression sur Internet est remis en question.

4.    Marte Sledsens – Instagram


Masterproef voorgelegd voor het behalen van de graad master in de richting Communicatiewetenschappen afstudeerrichting Communicatiemanagement under the supervision of Prof. dr. Liselot Hudders and Copromotor: Marijke De Veirman

Universiteit Gent

Chanel, Louis Vuitton, Valentino, Versace, Dolce & Gabbana, Gucci, Prada, Dior, Fendi, Chloé,… allemaal hebben deze merken een Instagram profiel met miljoenen volgers. Bovendien zijn het niet alleen de merken die hun luxeproducten delen op Instagram, ook de luxeconsumenten zelf delen massaal hun aankopen op hun eigen Instagram profiel. Elke maand worden er 2,6 miljoen beelden over luxe op Instagram gepost. Zo vinden we onder de #Chanel vandaag meer dan 48 miljoen berichten terug (Almeida, 2013; Instagram, 2017; NewsMaster, 2015). Instagram is de gratis online en mobiele applicatie waarmee gebruikers ‘instant’ beelden kunnen vastleggen, bewerken en online delen met hun netwerk. Met zijn lancering in 2010 is Instagram een relatief nieuwe sociale netwerksite. Desalniettemin hoort Instagram vandaag tot de meest populaire sociale netwerk sites wereldwijd (Hu, Manikonda & Kambhampati, 2014; Statista, 2016). Door de op beelden gebaseerde strategie onderscheidt Instagram zich van andere sociale netwerksites (Hird, 2013). Het is dankzij de focus op het visuele dat Instagram een zeer geschikt medium is voor de verspreiding van luxeconsumptie. Luxeconsumenten zijn namelijk visueel georiënteerd en beschouwen hun luxebezittingen als een deel van wie ze zijn door de impact ervan op hun sociale status (Hochman & Manovich, 2013; Vander Linde, 2013). Het delen van luxeconsumptie op sociale netwerksites is dan ook een strategische manier van zelfpresentatie. Gebruikers communiceren aan de hand van luxebezittingen hun ideale zelf op vlak van rijkdom en succes aan andere gebruikers (Hochman & Manovich, 2013; Richins, 1995; Vogel, Rose, Roberts & Eckles, 2014).

Het bekomen van zelfpromotie is meteen ook één van de belangrijkste motieven voor het gebruik van sociale netwerksites, zoals Instagram (Hu, Manikonda & Kambhampati, 2014). Het massaal online delen van luxebezittingen op Instagram is een interessant fenomeen dat mogelijks een invloed kan hebben op andere Instagram gebruikers. Sociale netwerksites geven gebruikers namelijk ongeziene mogelijkheden om aan sociale vergelijking te doen, zonder beperkingen van tijd en ruimte (Rosenberg & Egbert, 2011; Van Dijck, 2013; Vogel et al. 2014). Wanneer gebruikers hun eigen materiële bezittingen gaan vergelijken met de luxebezittingen die peers op sociale netwerksites delen, zou het kunnen dat deze gebruikers het gevoel krijgen ‘slechter af’ te zijn dan hun peers. Deze negatieve uitkomst van sociale vergelijking zou bovendien kunnen leiden tot een daling in de zelfwaardering (Richins, 1995; Rosenberg & Egbert, 2011; Van Dijck, 2013; Vogel et al. 2014). Om deze zelfwaardering opnieuw te herstellen, zou het individu kunnen proberen zichzelf gelijk te stellen aan het online verkregen beeld van zijn of haar peers door zelf ook luxe te consumeren.

Daarom wil deze studie nagaan of de aankoopintentie voor luxe vergroot wanneer het individu, via sociale netwerksites zoals Instagram, wordt blootgesteld aan luxebezittingen van peers 2 (Dupor & Liu, 2003; Richins, 1995; Vogel et al. 2014). We trachten dus te onderzoeken of het succes van luxe op Instagram, ons aanzet tot ‘keeping up with the Joneses’. Dit spreekwoord staat voor het fenomeen waarbij mensen dezelfde dure bezittingen consumeren als mensen uit hun sociale omgeving om zich zo sociaal evenwaardig te kunnen voelen (Lichtenberg, 1996). Daarnaast wordt er in dit onderzoek ook gekeken naar de mogelijkheid dat Instagram gebruikers hun zelfwaardering trachten te beschermen door het negatief beoordelen van peers die hun luxebezittingen delen op Instagram als opscheppers. Deze negatieve beoordeling zou ervoor kunnen zorgen dat de zelfwaardering van Instagram gebruikers gaat stijgen in de plaats van dalen, en de aankoopintentie afneemt in de plaats van toeneemt (Berman et al. 2014; Ferraro, Kirmani & Matherly, 2011; Sekhon et al. 2015). Wetenschappelijke literatuur bevat meerdere studies omtrent de gevolgen van luxeconsumptie voor de luxeconsument zelf (Bagwell & Bernheim, 1996; Bloch, Rao & Desai, 2004; Hopkins & Kornienko, 2004; O’Cass & McEwen, 2004). Onderzoek naar de mogelijke effecten van iemands luxeconsumptie op anderen, werd minder onderzocht (Chua & Zou, 2009). Ook de literatuur rond Instagram en de gevolgen voor zijn gebruikers is eerder beperkt. Nochtans zou Instagram vandaag de snelst groeiende onder de sociale netwerk sites zijn, wat het belang van onderzoek hiernaar versterkt (Bergstöm & Bäckman, 2013; Hu, Manikonda & Kambhampati, 2014). Met deze studie willen we naast een theoretische bijdrage ook een maatschappelijke en economische bijdrage leveren. De intentie is namelijk om meer inzichten te verwerven omtrent de gevolgen van een sociaal fenomeen rond luxe, zelfpresentatie en sociale vergelijking op sociale netwerksites. Deze inzichten zouden zowel voor de Instagram gebruikers als voor marketeers van luxemerken een belang kunnen hebben.

Dit onderzoek werd opgesteld om de impact na te gaan van de online blootstelling aan luxebezittingen van peers via Instagram, op de zelfwaardering en de aankoopintentie bij jongvolwassen vrouwen. Gezien de aard van de onderzoeksvraag en het onderzoeksdomein, werd er gebruik gemaakt van experimenteel onderzoek. Het experiment werd ontworpen volgens een between subjects factorial design, waarbij het luxe niveau van het Instagram profiel en post waaraan de respondenten werden blootgesteld, gemanipuleerd werden naar gelang de conditie (luxe vs. niet luxe). Het niveau van materialisme bij de respondenten werd mee gemeten en in de analyses opgenomen als moderator. Kenmerkend aan Instagram is dat er een jongere doelgroep wordt bereikt dan bij andere sociale netwerk sites (Salomon, 2013). Aangezien adolescenten vaak niet over de middelen beschikken om 3 aan luxeconsumptie te doen, werd er voor dit onderzoek enkel gekeken naar volwassen Instagram gebruikers, waaronder de leeftijdscategorie van 18 en 29 jaar het meest vertegenwoordigd wordt. Daarbij is het merendeel van de gebruikers op Instagram vrouwelijk (Duggan, 2015). Al de respondenten van dit onderzoek moesten daarom van het vrouwelijke geslacht zijn, over een Instagram profiel beschikken en tussen de 18 en 29 jaar zijn. In totaal namen er 395 unieke respondenten deel aan het onderzoek, waarvan 30 aan de pretest en 365 aan het hoofdonderzoek. Na de datacleaning bij het hoofdonderzoek, bleven er nog 300 respondenten over. Het stimulimateriaal van dit onderzoek hield in beide condities een gemanipuleerd Instagram profiel en een gemanipuleerde Instagram post in (zie afbeelding 1 en 2). De foto’s weergegeven op het gemanipuleerde Instagram profiel in de luxe conditie en het gemanipuleerde Instagram profiel in de niet-luxe conditie, zagen er zoveel mogelijk hetzelfde uit en werden geïnspireerd op een doorsnee Instagram profiel. Het enige verschil tussen de beide profielen, was de mate van luxe uitstraling en specifiek het luxe niveau van de merken die in beeld werden gebracht. De persoon achter de fictieve Instagram profielen kreeg de willekeurige naam Elise Tijssens. Op de gemanipuleerde Instagram post werd zowel in de luxe als in de niet-luxe conditie één materiele bezitting van Elise Tijssens gepresenteerd, namelijk een handtas. Ook hier waren de Instagram post uit de luxe conditie en de Instagram post uit de niet-luxe conditie zo veel mogelijk gelijkaardig, enkel het merk van de handtas (luxemerk, Chanel vs. niet-luxemerk, Mango) verschilde naar gelang de conditie. Afbeelding 1: Stimulimateriaal luxe conditie

De link naar het experiment werd verspreid op het sociale netwerksite Facebook door middel van de sneeuwbalmethode. Na een inleidende tekst werden de respondenten gevraagd naar enkele demografische kenmerken en hun Instagram gebruik. Indien de respondenten niet beschikten over een Instagram profiel of van het mannelijk geslacht waren, werden ze meteen doorverwezen naar het einde van het onderzoek. Vooraleer de respondenten werden blootgesteld aan het stimulimateriaal, kregen ze nog een tekstje te lezen waarin meer werd verteld over de achtergrond van de fictieve persoon Elise Tijssens. Dit tekstje diende om de nadruk te leggen op de gelijkenissen tussen Elise Tijssens en de respondent op vlak van leeftijd, gender en werksituatie. Sociale vergelijking wordt namelijk bevorderd wanneer het gaat om een gelijke (Festinger, 1954). De inhoud van het tekstje was daarom ook verschillend naargelang de respondent bij de demografische kenmerken had aangegeven studente of werkende te zijn. Vervolgens werd een gemanipuleerd Instagram profiel en een gemanipuleerde Instagram post weergegeven, waarna een identieke vragenlijst diende te worden ingevuld waarmee de verschillende schalen werden gemeten. De resultaten van het experiment werden nagegaan aan de hand van statistische analyses in SPSS.


Uit theorie omtrent zelfpresentatie kan worden begrepen dat gebruikers van sociale netwerksites in staat zijn zichzelf online te presenteren naar de buitenwereld toe, op een manier die het dichtst aanleunt bij hun ideale zelf. Zo kunnen gebruikers hun ideale zelf op vlak van materiële bezittingen, status en kapitaal aan anderen presenteren door het delen van luxebezittingen op Instagram (Hochman & Manovich, 2013; Richins, 1995; Vogel et al. 2014). Hoewel er reeds verschillende studies werden gepubliceerd omtrent de gevolgen van het publiekelijk consumeren van luxe voor de luxeconsument zelf (Bagwell & Bernheim, 1996; Bloch, Rao & Desai, 2004; Hopkins & Kornienko, 2004; O’Cass & McEwen, 2004), blijft onderzoek naar de mogelijke effecten van iemands luxeconsumptie op anderen beperkt (Chua & Zou, 2009). De opzet van deze studie bestond er daarom uit op zoek te gaan naar het effect van de online blootstellingen aan luxebezittingen van peers, via Instagram, op de zelfwaardering en de aankoopintentie bij jongvolwassen vrouwen. Het sociale netwerksite Instagram neemt een belangrijke plaats in binnen dit effect. Vroeger werd men immers enkel in offline situaties geconfronteerd met luxebezittingen van peers. Sinds de komst en het succes van sociale mediakanalen, zoals Instagram, wordt men hier vandaag de dag ook online mee geconfronteerd. Uit theorie omtrent sociale vergelijking kan worden afgeleid dat consumenten gebruik maken van sociale netwerksites om hun realistische ‘offline’ zelf te vergelijken met de geïdealiseerde ‘online’ zelven van peers (Festinger, 1954; Rosenberg & Egbert, 2011; Van Dijck, 2013; Vogel et al. 2014). Op deze manier blaast Instagram het fenomeen ‘Keeping up with the Joneses’ nieuw leven in. Een recente studie van De Veirman, Hudders & Cauberghe (2017) toonde reeds aan dat de online blootstelling aan een luxueuze levensstijl van peers via Instagram, negatieve gevolgen heeft voor de zelfwaardering van iemand. Aangezien we in dit onderzoek, naast het effect van luxe op zelfwaardering, ook het effect van deze luxe op aankoopintentie hebben onderzocht, kan dit onderzoek worden gezien als een soort vervolg op de recente studie van De Veirman, Hudders & Cauberghe (2017). Aansluitend bij de studie van De Veirman, Hudders & Cauberghe (2017), bleek ook uit dit onderzoek dat de blootstelling aan luxebezittingen van peers, via Instagram, voor een negatieve uitkomst van de vergeleken sociale status van respondenten zorgt en bijgevolg voor een daling in de zelfwaardering teweeg brengt. Eveneens tonen de resultaten van dit onderzoek aan dat vrouwen die worden geconfronteerd met peers die luxebezittingen delen op Instagram, deze peers beoordelen voor opschepperij en bijgevolg ook een daling in de zelfwaardering ervaren. Oorspronkelijk werd verwacht dat een negatieve beoordeling van peers als opscheppers zou leiden tot een stijging in de 6 zelfwaardering in de plaats van een daling (Berman et al. 2014; Sekhon et al. 2015). Echter tonen de resultaten aan dat ondanks het feit dat vrouwen zich ervan bewust zijn dat peers die luxebezittingen delen op Instagram aan het opscheppen zijn, dit toch een negatief effect heeft op de zelfwaardering.

Het negatief beoordelen van een luxeconsument voor opschepperij, blijkt uit dit onderzoek dus geen succesvolle tactiek te zijn om de zelfwaardering van iemand te beschermen. Bovendien werd op basis van literatuur de hypothese opgesteld dat een daling in de zelfwaardering als gevolg van de online blootstelling aan luxebezittingen van peer, via Instagram, op zijn beurt zorgt voor een stijging in de aankoopintentie. Vrouwen zouden namelijk geneigd zijn om de kloof tussen hun realistische ‘offline’ zelf en de geïdealiseerde ‘online’ zelven van peers te dichten door zelf ook luxe te consumeren (Dupor & Liu, 2003; Higgins, 1987; Richins, 1995; Vogel, et al. 2014). Aansluitend bij deze veronderstelling, tonen de resultaten van dit onderzoek aan dat een daling in de zelfwaardering na de online confrontatie met luxebezittingen van peers, zorgt voor een stijging in de aankoopintentie voor dezelfde luxebezittingen. Uit deze bevinding kan worden afgeleid dat het voor markteers van luxemerken interessant zou kunnen zijn om doormiddel van digitale marketing de zelfwaardering van consumenten naar beneden te halen met het oog op het doen stijgen van de aankoopintentie. Hierbij stelt zich de vraag of het ethisch verantwoord is om iemand zich slechter te doen voelen, enkel met de bedoeling om deze persoon meer te laten consumeren. Daarnaast werd materialisme in de analyses van dit onderzoek opgenomen als moderator. Op basis van literatuur werd de verwachting gecreëerd dat het niveau van materialisme van een individu zal bepalen of dit individu tijdens sociale vergelijking op vlak van sociale status, al dan niet rekening zal houden met het luxe niveau van de bezittingen van peers (Hudders & Pandelare, 2011; Richins & Dawson, 1992; Rosenberg & Egbert, 2011). De resultaten van het experiment bevestigen deze 8 hypothese door aan te tonen dat het indirecte effect van de online blootstelling aan de luxebezittingen van peers op zelfwaardering via de mediator vergeleken sociale status, verschilt afhankelijk van het niveau van materialisme. Zo bleek de vergeleken sociale status, en bijgevolg de zelfwaardering, enkel bij individuen die hoog of gemiddeld scoren op materialisme, significant lager te zijn wanneer zij werden blootgesteld aan luxebezittingen van peers, dan wanneer zij werden blootgesteld aan niet-luxebezittingen van peers. Nochtans bleek uit de resultaten van dit onderzoek ook dat materialisme geen moderatie effect zou hebben indien het indirecte effect van de online blootstelling aan de luxebezittingen van peers op zelfwaardering via de mediator opschepperij liep. Dit laatste is een eerder verrassend resultaat aangezien in de recente studie van De Veirman, Hudders & Cauberghe (2017) materialisme wel een significante moderator bleek te zijn voor het effect van opschepperij op de zelfwaardering. Eveneens werd in dit onderzoek bevestiging gevonden voor de hypothese dat een hoge score op materialisme bij een individu de aankoopintentie voor luxebezittingen versterkt. Dit resultaat kan gezien worden als een bevestiging van resultaten uit andere studies (Hudders & Pandelare, 2011; Kamal, Chu & Pedram, 2013; Liao & Wang, 2009; Richins & Dawson, 1992; Sun et al. 2016).

Uit dit onderzoek kan enerzijds worden geconcludeerd dat het voor marketing afdelingen van luxemerken interessant kan zijn om consumenten aan te moedigen hun luxebezittingen online te delen op sociale media, aangezien dit mogelijks zorgt voor een toename in de aankoopintentie voor dezelfde luxebezittingen bij hun Instagram followers. Anderzijds kan worden geconcludeerd dat Instagram gebruikers zich bewust moeten zijn van het feit dat de blootstelling aan luxebezittingen van peers, mogelijks zorgt voor een daling in hun zelfwaardering en een stijging in hun aankoopintentie.


5.    Friedel Geeraert – Semantic (not yet available)

6.    Pauline Limbrée – Hacking

Traitement juridique du programme de Bug Bounty Hunting au regard de l’infraction de hacking externe et de la protection des données à caractère personnel

Master de spécialisation en droit des Technologies de l’Information et de la Communication (TIC) under the supervision of Cécile de Terwangne

Université de Namur

Depuis l’entrée des entreprises sur internet, l’intrusion informatique figure parmi les menaces les plus sérieuses à leur encontre, car elle conduit, dans la mesure où les données du système visité sont à la merci du hacker, à des conséquences économiques et humaines importantes. Dès lors, défendre les actifs de la technologie de l’information nécessite de comprendre les motivations, outils et techniques de ce dernier. Or, pour ce faire, quoi de mieux que recourir directement à des individus, dotés de capacités techniques élevées, au même titre que les hackers, mais dont les intentions sont louables ! Dans cette hypothèse, la société met en place un programme de Bug Bounty Hunting (littéralement, un programme de chasse aux bugs informatiques) par lequel elle annonce publiquement, généralement via son site internet, la possibilité, pour tout individu, d’obtenir une récompense (bounty), suite à l’identification de vulnérabilités informatiques (bugs) au sein d’un périmètre bien défini.

De cette manière, une collaboration se crée entre deux, voire trois acteurs, à savoir la « société responsable », la personne qui identifie la vulnérabilité informatique et la lui rapporte (dit hacker) et éventuellement un tiers. Ces dernières années effectivement, sont apparues sur internet de nombreuses plateformes (telles que « Bounty Factory », « Intigriti »), dont la mission est de servir d’intermédiaire, via une assistance technique ou juridique, entre d’une part, des compagnies à la recherche de cybersécurité et d’autre part, des chercheurs en cybersécurité. Concrètement, l’intérêt d’un programme de Bug Bounty Hunting dépend des conditions imposées à sa mise en œuvre, prévues dans la feuille de route qui l’accompagne, c’est-à-dire dans la politique de divulgation coordonnée des failles de sécurité. Ce cadre existe au bénéfice des deux parties étant donné que d’une part, il précise leurs obligations contractuelles et d’autre part, il rappelle les impératifs légaux auxquels ces dernières sont soumises. À ce propos, le présent travail s’intéresse à l’infraction de hacking externe et à la question de la protection des données à caractère personnel puisque non seulement, les participants de ce type de programme utilisent, sous réserve des conditions de leur intervention, les mêmes techniques et stratégies que les hackers «ordinaires », mais également, dans la mesure où toute personne qui accède à un système informatique est en mesure de prendre connaissance des données qu’il traite. A Le hacking externe Quant à l’infraction de hacking externe, l’article 550bis du code pénal incrimine le fait de s’introduire et/ou de se maintenir dans un système informatique, sans en avoir l’autorisation nécessaire. Que l’on soit face à un acte d’accès ou de maintien, l’essentiel est de savoir si cet acte est illicite, c’est-à-dire posé sans autorisation légale, administrative ou contractuelle. Dès lors, lorsqu’une société publie sur son site internet, un programme de Bug Bounty Hunting, se pose la question de savoir si la communauté informatique dans son ensemble reçoit l’autorisation de cette dernière d’accéder à son système. Concrètement, le fait pour l’organisation responsable d’inviter, indistinctement, tout expert en cybersécurité à pénétrer son système pour y découvrir des vulnérabilités semble suffire pour garantir au hacker l’absence de poursuites pénales ultérieures sur base de 550bis, pourvu que cette autorisation soit octroyée préalablement à toute intrusion et soumise à conditions.

En effet, celle-ci doit être préalable et conditionnelle puisqu’elle porte sur un périmètre de ce système informatique, déterminé à l’avan Cette seconde hypothèse est la plus réaliste car le hacker prend part à un programme de Bug Bounty sur base volontaire et de manière autonome dans la mesure où il fixe, sous réserve des conditions arrêtées par l’organisation responsable, les finalités et les moyens du traitement qu’il va opérer sur les données stockées au sein du système ciblé par les tests de pénétration. Or, retenir cette qualification dans le chef du hacker conduit à le soumettre à des nouvelles obligations. Tout d’abord, le traitement de données à caractère personnel doit être licite, c’est-à-dire basé sur un fondement légitime. Dans la mesure où il est difficilement envisageable de considérer que le hacker ait obtenu le consentement de toute personne, dont les données sont traitées par le système informatique auquel il accède, le traitement de ce dernier pourrait se fonder sur les intérêts légitimes qu’il poursuit, à savoir l’analyse et l’amélioration de la sécurité des infrastructures informatiques. La principale difficulté de cette approche réside dans le fait que l’accès non autorisé à un système informatique est pénalement incriminé. En effet, il s’agit de consigner un traitement dans une hypothèse licite alors qu’en pratique, le hacker a posé un acte a priori illégal. Par conséquent, l’appréciation de la licéité du traitement dépend des caractéristiques de l’intervention du hacker, et plus précisément, des modalités de l’autorisation d’accès. Si le hacker s’est introduit au sein du système informatique concerné dans le cadre de l’habilitation qui lui a été octroyée et afin d’en vérifier la résilience, il semble raisonnable de considérer que son traitement est nécessaire « aux fins des intérêts légitimes du responsable de traitement ».

Ensuite, figure, parmi les obligations à charge du responsable de traitement, l’exigence selon laquelle ce dernier doit permettre, dans la mesure du possible, l’exercice effectif des droits des personnes concernées. À ce propos, nous retrouvons le principe de transparence selon lequel toute une série d’informations doit être transmise à la personne identifiée ou identifiable, afin que celle-ci comprenne les risques associés au traitement effectué sur ses données et ait connaissance des actions à sa disposition. Cependant, lorsque le responsable de traitement n’est pas en mesure d’identifier la personne concernée, ce dernier est dispensé de collecter des informations supplémentaires destinées à permettre cette identification. En d’autres termes, le hacker qui traite des adresses IP ou des données de géolocalisation, c’est-à-dire des données qui ne permettent pas une identification directe de la personne physique, ne devra pas collecter davantage d’informations à son propos en vue de permettre à cette dernière d’exercer son droit d’accès, de rectification ou d’opposition. Cette nouveauté, introduite à l’article 11 du Règlement, est particulièrement bien pensée, étant donné qu’elle vise à éviter la situation paradoxale dans laquelle le responsable de traitement serait tenu, afin de garantir la protection de données, d’en apprendre davantage sur la personne concernée. Cependant, le hacker pourra seulement se prévaloir de cette dispense d’identification dans la mesure où il ne dispose d’aucune donnée de contact. Au contraire, s’il accède, lors de sa mission, à des adresses mails ou à des numéros de téléphone, l’article 11 ne sera pas applicable.

Finalement, le hacker bénéficiera dans la majorité des cas, d’une dispense au devoir d’information. Or, une personne qui méconnait le traitement dont ses données font l’objet, n’est pas en mesure d’exercer ses droits d’opposition, d’accès, et autres. Dès lors, l’exigence, à charge du responsable de traitement, d’assurer, dans la mesure du possible, l’exercice effectif de ces différents droits ne se rencontrera pas souvent en pratique. Enfin, le hacker doit respecter les principes relatifs au traitement des données à caractère personnel. Compte tenu des particularités de l’intervention d’un hacker dans le cadre d’un programme de Bug Bounty, arrêtons-nous un instant sur trois de ces principes, à savoir la limitation des finalités, la minimisation des données et finalement, l’intégrité et la confidentialité. En premier lieu, le principe de la limitation des finalités constitue la pierre angulaire de l’ensemble de la réglementation européenne. Concrètement, le hacker ne peut accéder à des données que dans la mesure où cet accès est nécessaire à l’identification d’une vulnérabilité, ce qui signifie qu’exception faite de cette découverte fortuite, aucun usage ne pourra être effectué sur les données en question. En second lieu, seules sont traitées les données adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités annoncées, c’est-à-dire les données auxquelles le hacker accède inévitablement suite à l’identification de la vulnérabilité. Par exemple, le passage heureux d’un pare-feu mal sécurisé pourrait conduire celui-ci à accéder à une série de données à caractère personnel. Dans cette hypothèse, le principe de proportionnalité s’oppose à ce que le hacker surpasse cet accès et s’arrange pour atteindre davantage de données. En troisième lieu, et dans la lignée directe de ce principe général, le hacker doit respecter le principe d’intégrité et de confidentialité des données, davantage explicité à l’article 32 du Règlement. Aux termes de cette disposition, le responsable de traitement doit mettre en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque qui pèse sur les droits et libertés des personnes dont les données sont traitées. 2 Opportunité d’un programme de Bug Bounty Hunting En tant que responsable de traitement, l’organisation à l’origine du programme de Bug Bounty Hunting est également tenue par ce devoir de sécurité. Cependant, même si cette dernière s’y conforme scrupuleusement, elle n’est jamais à l’abri d’une violation de données puisqu’en effet, l’évolution technologique rend les dispositifs de protection performants autrefois, dépassés aujourd’hui. De ce point de vue, se pose donc la question de savoir, si la mise en place d’un programme de chasse aux bugs, par une société responsable de traitement, est en mesure d’aider cette dernière à apprécier invariablement les mesures de sécurité mises en place au sein de son système. Tout d’abord, l’implémentation d’un programme de Bug Bounty Hunting permet de détecter des incidents de sécurité avant qu’ils ne se réalisent, ce qui constitue un atout majeur au regard des enjeux liés à la protection de la vie privée. Cependant, un tel bénéfice n’est possible que dans la mesure où le système informatique ciblé jouit, au préalable, d’un niveau de sécurité manifeste.

Par conséquent, l’adoption des règles du standard ISO 270002, l’exécution d’audits et l’application du « four eyes principle» notamment, sont des étapes préalables nécessaires à la mise en œuvre de ce type de programme, de sorte qu’il constitue la dernière phase du processus de sécurisation. Ensuite, nous l’avons vu, afin qu’un programme de chasse aux bugs soit conforme au droit pénal, il est nécessaire que l’organisation à son origine, octroie au hacker, une autorisation d’accès à son système informatique, et a fortiori, aux données qu’il traite. Dès lors, se pose la question de savoir si, dans cette hypothèse, le traitement effectué par cette dernière est compatible avec les finalités préalablement annoncées. En d’autres termes, est-ce que la mise à disposition de données à caractère personnel, via l’invitation à pénétrer dans un système déterminé, peut être jugée compatible avec l’objectif de sécurisation de l’infrastructure informatique ? Pour ce faire, il est indispensable, en premier lieu, que la sauvegarde de l’intégrité, de la disponibilité et de la confidentialité du système informatique, dont la société responsable de traitement est propriétaire ou gestionnaire, soit explicitement énoncée parmi les finalités poursuivies par cette dernière. En second lieu, l’appréciation de la compatibilité de cette pratique avec l’objectif poursuivi résulte des circonstances concrètes, et précisément de la manière dont cette invitation est encadrée. En effet, lorsque les conditions d’accès au système ciblé sont déterminées strictement et de façon appropriée au regard des risques susceptibles d’exister, l’autorisation d’accès vise exclusivement la sécurisation du système. Tout compte fait, il est important, d’un point de vue légal mais également commercial, que toute société qui traite de données à caractère personnel mette tout en œuvre pour garantir la protection de ces dernières.

À cette fin, le programme de Bug Bounty Hunting nous semble pertinent. Cependant, sa mise en place crée de nouvelles obligations à charge du hacker qui intervient, dans ce cadre, en tant que responsable de traitement. Or, est-il réaliste d’envisager de la part d’un individu, non identifié dans la masse des experts en cybersécurité, le strict respect des nombreuses exigences imposées par le Règlement européen ? Finalement, au regard d’une part, des nombreux avantages amenés par le programme de Bug Bounty Hunting et d’autre part, de la nécessité d’une protection des données à caractère personnel en adéquation avec la réalité technologique actuelle, une alternative satisfaisante serait, de conseiller aux sociétés responsables de traitement, de s’adresser à l’une des plateformes spécialisées dans le domaine des programmes de ce type. Dans ce contexte, celle-ci endosserait alors trois rôles distincts. Tout d’abord, nous le savons, cette dernière intervient comme intermédiaire, étant donné que l’objectif poursuivi est de faciliter la collaboration entre deux entités étrangères. Ensuite, la plateforme jouerait le rôle d’antichambre dans laquelle seraient sélectionnés les hackers qui présentent des garanties suffisantes en termes de protection des données à caractère personnel. En effet, cette étape permettrait de contrer le principal reproche tenu à l’encontre des programmes de Bug Bounty Hunting, à savoir l’identité inconnue du collaborateur, étant donné que celui-ci figurerait parmi une communauté réduite d’experts en cybersécurité, à qui la plateforme fait confiance.

Finalement, celle-ci assumerait une fonction de point de contact, sorte de cellule administrative, destinée à offrir davantage de transparence aux personnes dont les données sont traitées par le hacker. À cet égard, la mise en place d’un programme de chasse aux bugs, et a fortiori, d’une politique de divulgation coordonnée des vulnérabilités informatiques serait une façon de faire d’une pierre deux coups, puisque le programme en question permettrait d’atteindre deux buts différents, à savoir d’un côté, la sécurisation des systèmes d’information et de l’autre, la protection des données à caractère personnel. Or, il est indispensable de traiter ces deux problématiques selon une même logique, étant donné que, nous le savons trop bien, en cas de crise (informatique ou non), la protection de la vie privée est la première chose à laquelle on renonce.


7.    Victor Rouard – whistleblowers

Internet: terrain de jeu ou terrain miné pour les whistleblowers?

Analyse de l’impact des nouvelles technologies sur la légalité de la collecte et de la divulgation d’informations dans le cadre d’un lancement d’alerte

Master de spécialisation en droit des nouvelles technologies under the supervision of Mr Quentin VANENIS

L’Université de Namur

L’accès à l’information est un droit garanti par l’article 19 de la Déclaration universelle des droits de l’homme. Nécessaire au fonctionnement de la démocratie pour qu’il existe un véritable contre-pouvoir aux différents gouvernements et à la force grandissante des grandes entreprises, l’information des citoyens constitue bien souvent une prémisse essentielle à la Justice et à la moralisation des affaires, tant politiques, qu’économiques. Dans ce contexte, Internet, vecteur d’idéologies par  excellence,  joue  un  rôle  primordial.  Permettant  d’optimiser  l’accès  à l’information de manière exponentielle, le rôle du Web en tant que média est devenu l’allié indéfectible de la démocratie, mais la liberté d’expression y prévalant autrefois est aujourd’hui bridée, et son utilisation par le quatrième pouvoir peut même parfois aboutir à des conséquences inattendues, en contradiction avec sa fonction première. Toujours en rapport avec ce contrôle citoyen du monde politique et économique, nous avons vu, depuis un certain temps, s’ancrer dans l’actualité les termes de lanceurs d’alerte. Les noms d’Edward Snowden, de  Julian Assange, d’Antoine  Deltour,  ou encore  de  Cédric  Halin  sont désormais de notoriété commune. Chacun de ceux-ci sont connus pour avoir divulgué au public des  informations  confidentielles,  faisant  état  de  pratiques  illicites  ou  immorales intéressant l’intérêt  général, caractéristique commune de  ceux  que  l’on  nomme parfois   aussi «whistleblowers». Pour   différentes   raisons,   Internet   se   révèle   particulièrement   utile   pour   ces   derniers. Premièrement,  l’espace  numérique  leur  offre  la  possibilité  d’accéder  à  des  informations confidentielles,  comme  en  témoignent par  exemple  les  fuites  ayant  concerné  la  NSA dans l’affaire Snowden ou PwC dans l’affaire Luxleaks. Permettant d’optimiser la gestion des entités publiques ou privées, l’utilisation de systèmes d’information a embrassé toutes les sphères de la société, impliquant dès lors le stockage de données confidentielles sur des serveurs. Soumises aux risques de la négligence des travailleurs ou à une mauvaise sécurisation qui ne peut de toute façon jamais être considérée comme parfaite, l’accès à de telles données sera favorisé dans le monde numérique, là où le monde analogique était de nature à créer des obstacles physiques plus  difficiles  à  contourner.  Les  milieux  opaques  étant  davantage  propices  à  la  naissance  de pratiques  illicites  ou  immorales,  parvenir  à  récupérer  de  telles  informations  constitue  la première  étape  du  lancement  d’alerte.  Deuxièmement, la  numérisation  va  permettre  au whistleblower de collecter ces informations en grand nombre et éventuellement de les publier tout aussi massivement. Par exemple, l’affaire des Panama Papers a constitué une fuite de plus de  10  millions  de  documents  confidentiels,  le  Cablegate a  concerné quant  à  lui  une  fuite  de plusieurs milliers de câbles diplomatiques, ce qui serait bien entendu irréalisable sous une forme analogique.   Internet   présente   donc   des   avantages   qualitatifs   et   quantitatifs   pour   les whistleblowers, mais son utilisation va aussi emporter la violation des lois venues s’appliquer au cyberespace. En ce qui concerne la collecte de données, en s’introduisant sans autorisation dans un système informatique en vue d’y collecter des informations, le lanceur d’alerte enfreint tout d’abord l’article  550bisdu  Code  pénal.  Cet  article  s’inscrit  très  en  amont  du  cheminement  du whistleblower   et   ne   prend   aucunement   en   compte l’existence  d’un  dommage  ou ses motivations,  si  respectables  soient  elles.  D’emblée,  les  ardeurs  du  lanceur d’alerte  seront freinées par cette disposition à l’application extrêmement large qui, de plus, fait possiblement double  emploi  avec d’autres lois  protégeant  des  types  particuliers  de  données.  Ensuite,  le lanceur  d’alerte  pourra  tomber  sous  le  joug  de  la  loi du  11  décembre  1998,  réprimant l’utilisation non-appropriée d’informations classifiées. Cette loi, pouvant faire l’objet d’une interprétation extrêmement large de par les définitions qu’elle utilise, aura elle aussi un effet dissuasif sur le lanceur d’alerte, auquel viendra en plus s’ajouter le risque de faire l’objet d’enquêtes par les services belges de renseignement et de sécurité. La  transmission de données, par exemple à des journalistes, ou leur publication, avec ou sans tri préalable des informations collectées, sera susceptible d’emporter une violation du secret professionnel ou du secret des affaires. Si le journaliste ne pourra être tenu pour complice du whistleblower  au  cas  où  ce  dernier  aurait  violé  son  secret professionnel,  l’utilisation  des nouvelles technologies, comme par exemple par la technique de la «boite morte», permettant à un lanceur d’alerte et à un journaliste de s’échanger des données par Internet sans qu’elles ne soient  interceptées,  pourrait  jouer  en  leur  défaveur  en  attribuant  au  journaliste  le  statut  de coauteur, permettant ainsi l’initiation de poursuites à son égard. Plus inquiétant encore, la nouvelle directive sur le secret des affaires place le lanceur d’alerte face à une insécurité juridique supplémentaire. En protégeant une très large variété d’informations économiques, comme  par  exemple  des  listes  de  clients,  des  pratiques  fiscales,  ou  encore  des  techniques commerciales, et en ne permettant au whistleblower d’échapper à son application qu’en cas de dénonciation  de  fautes,  d’actes  répréhensibles  ou  d’activité  illégales,  l’essence  même  du lancement d’alerte, à savoir la moralisation des secteurs économiques et politiques est menacée. Dans ce contexte, nul doute que la divulgation d’informations telles que des pratiques fiscales agressives, dès lors protégées par le secret des affaires, mais qui ne sont ni répréhensibles, ni illicites, le lanceur d’alerte devra minutieusement prendre  en  compte les  risques  auxquels  il s’expose.

Les  infractions susceptibles de qualifier le lancement d’alerte sont caractérisées par le fait qu’elles peuvent s’inscrire très tôt sur le cheminement du whistleblower, sans prendre en considération ses intentions et par le fait qu’elles font souvent référence à des concepts larges, tels  que  la  sécurité  nationale pour  la  loi  du  11  décembre  1998  ou  au  secret  des  affaires.  Le manque de sécurité juridique et l’état actuel du droit seront nécessairement de nature à brider les intentions des lanceurs d’alerte. Face à l’absence d’une disposition légale intervenant a priori et leur permettant d’échapper au champ d’application de ces infractions, les solutions sont  à  rechercher  dans  des  concepts  légaux  intervenant a  posteriori ou  encore  dans  des mécanismes d’ordre technique. La première solution juridique pouvant ôter a posteriori le caractère illicite des actes commis lors du lancement d’alerte est la cause de justification de l’état de nécessité. Selon la Cour de Cassation, pour pouvoir prétendre à son existence, la valeur du bien sacrifié doit être inférieure ou à tout le moins équivalente à celle du bien que l’on prétend sauvegarder, le droit ou l’intérêt à  sauvegarder  doit  être  en  péril  imminent  grave  et il doit être impossible d’éviter le mal autrement que par l’infraction. Si le lancement d’alerte prend place dans un contexte numérique, il  présente  notamment  pour  intérêt  de  mettre  en  lumière  des  pratiques  étatiques  hautement confidentielles,  qui  ne  seraient  pas  susceptibles  d’être  connues  autrement.  Or,  la  sécurité nationale est souvent considérée par les État comme un intérêt impérieux devant lequel doivent céder la plupart des valeurs, y compris des dénonciations intéressant l’intérêt général. Dans ce contexte, la supériorité de la valeur sauvegardée sera difficilement rencontrée. Plus important, il  faut  que  les  infractions  commises  se  limitent  à  ce  qui  est  nécessaire  pour  prévenir  le  mal imminent. Dans la mesure où le lancement d’alerte réalisé en usant des nouvelles technologies implique  bien  souvent  une  collecte de plusieurs milliers d’informations, qui peuvent être publiées sous formes brute ou après un tri, cette proportionnalité sera difficilement respectée. Ainsi, dans l’affaire  Luxleaks, le fait que 20.000 documents sur les 45.000 récupérés ne concernaient pas l’intérêt général est venu tempérer l’appréciation du juge. Pour que l’état de nécessité soit applicable, un tri dans les documents doit être effectué dès leur collecte, ce qui ne peut se faire aisément sans disposer du temps et de l’abstraction nécessaire. Vient ensuite le fait justificatif du lanceur d’alerte, développé par la Cour européenne des droits de l’homme depuis l’affaire Guja c. Moldova. Cette cause de justification sui generis suppose que plusieurs  conditions  soient  rencontrées.  Il  est tout d’abordre quis  que  la  dénonciation  se fasse en interne, auprès d’un supérieur, et si cela n’est pas possible, auprès des autorités compétentes.  C’est uniquement  dans  le  cas  où  ces  dernières  ne  réagiraient  pas  qu’une divulgation publique pourrait être justifiée. L’impact des nouvelles technologies sur ce critère est multiple. Il pourrait  par  exemple être opportun  de  les  utiliser  afin  de  créer  un  canal numérique sécurisé,  par  exemple  au  sein  d’une  entreprise,  permettant  d’effectuer  des dénonciations de manière anonyme auprès de la direction. D’un point de vue plus général, les technologies de l’information et de la communication peuvent aussi influencer le lanceur d’alerte qui pourra, grâce à elles, toucher un public plus large et par conséquent engendrer une réponse plus rapide  aux  pratiques  dénoncées tout  en  conservant  son  anonymat. Face  à  cet avantage conséquent, effectuer une dénonciation en interne peut apparaitre comme une solution infructueuse. Cependant, dans  le  cas  où  son  identité  serait  découverte et  si  ce  principe  de subsidiarité n’a pas été respecté, l’application d’une sanction restera possible. Ensuite,  les informations divulguées doivent aussi présenter un intérêt public. Cette condition ne touche que la publication, ce qui diffère de l’état de nécessité. Ainsi, même dans le cas où une collecte de données aurait été massive et aurait concerné des documents qui n’étaient pas d’intérêt général,

si un tri est effectué lors de la publication, par exemple parce qu’avant d’être rendues publies les  informations  auraient  été  transmises  à  des  journalistes  qui  auront  sélectionné  les  plus pertinentes,  le  critère  sera  considéré  comme  respecté. Un  autre  critère  est  celui  de  la proportionnalité qui doit exister entre l’intérêt présenté par les informations rendues publiques et le préjudice subi par l’entité visée. Ici encore, si les données sont hautement confidentielles, comme  des  informations  classifiées,  le  fait  justificatif  ne  pourra  jouer. La  bonne  foi  du whistleblower devra en fin être présente tout au long du processus du lancement d’alerte. Les documents  devront  être  collectés    et  divulgués au public dans l’intention de mettre fin à des pratiques menaçant l’intérêt général. Antoine Deltour, pour lequel cet élément moral n’a pu être prouvé, n’a pu bénéficier du fait justificatif du lanceur d’alerte,  bien  que  paradoxalement, l’impact et l’importance des informations diffusées en reste inchangés. Le lanceur d’alerte pourra aussi être protégé indirectement et a  posteriori par  le  secret  des sources  dont  bénéficie  le  journaliste.  Cette  hypothèse  ne  vise  donc  que  la  situation  où  le whistleblower aurait transmis ses informations à un journaliste pour qu’il se charge lui-même de la publication. En ne dévoilant pas l’identité du lanceur d’alerte, l’exercice de poursuites à son égard se révèle plus difficile mais pas pour autant impossible. L’usage des nouvelles technologies traditionnelles laissant bien souvent des traces, il sera facile de remonter jusqu’au responsable  de  la  fuite  de  documents. Le secret des sources ne bénéficient en effet qu’au journaliste ou néo-journaliste, rien n’empêche donc que des mesures d’enquête judiciaires ne visent directement le lanceur d’alerte sur la base d’indices dont disposent les enquêteurs. Par ailleurs, le secret des sources cèdera devant la mise en œuvre de méthodes d’enquête judiciaires, si celles-ci ont pour but de prévenir des infractions constituant une menace grave pour l’intégrité physique  de  certaines  personnes.  Le  fait  de  publier  de  manière  massive  des  documents classifiés, à l’instar de Wikileaks, peut dès lors se révéler problématique, par exemple lorsque le site de Julian Assange a révélé l’identité d’agents sous couverture dans des zones sensibles. En cas de preuve récoltée en violation du secret des sources, les lanceurs d’alerte seront de plus soumis aux risques engendrés par la jurisprudence Antigone, qui n’interdit pas nécessairement leur utilisation dans une procédure, une condamnation pouvant dès lors être prononcée sur leur base. Si  le journaliste a participé personnellement ou activement au développement d’une menace pour les intérêts fondamentaux de l’État, par exemple en cas de diffusion d’informations classifiées, le secret des sources ne sera pas non plus de nature à le protéger des méthodes de recueil de données des services de renseignement. Si des méthodes de recueil de données sont ordonnées à son égard, diverses garanties devront s’appliquer. Cette disposition ne bénéficie cependant qu’aux journalistes professionnels et ne met pas à l’abri l’identité  des  lanceurs d’alerte ayant diffusé leurs informations via des néo-journalistes, particulièrement présents sur Internet. Face à cette conception du secret des sources plutôt perméable, différentes plateformes ont été développées   sur Internet  pour  que  les  lanceurs  d’alerte  puissent  communiquer  leurs informations  à  des  médias  de  manière  anonyme, afin d’éviter qu’on puisse remonter jusqu’à eux. A titre d’exemples, nous pouvons citer le site «Source-sûre», développé par Le Monde, Le Soir, La Libre et la RTBF ou encore le site Global Leaks. Ces plateformes utilisent le logiciel Tor et le système d’exploitation Tails pour garantir l’anonymat du lanceur d’alerte.

En conclusion, nous pouvons constater qu’une protection solide du lanceur d’alerte fait aujourd’hui défaut dans l’état actuel du droit belge, et ce en particulier s’il use des nouvelles technologies. Les actes du lanceur d’alerte collectant et diffusant ses informations dans un contexte numérique pourront être incriminés facilement, par des infractions aux libellés larges et englobant.  Les solutions pour que le whistleblower échappe  à  une  condamnation  sont  à chercher a  posteriori,  ce  qui  emporte  un  chilling  effect  pouvant  le  pousser  à  renoncer  à  ses ambitions. Leurs failles, imperfections, et inadaptation aux lancements d’alerte «numériques» ne faisant que renforcer cet effet. Alors que les prémisses d’Internet promettaient la création d’un cyberespace libre et maximisant la liberté d’expression, force est de constater que les lancements d’alertes ’y inscrivant, ou t’ils dont l’importance pour la démocratie est soulignée de jour en jour, restent vus d’un mauvais œil par les États. A l’heure de la création des «alternative facts»,  de  la  rhétorique  du  complot  et  de  la  perte  de  confiance des citoyens à l’égard  des pouvoirs publics, renforcer le caractère démocratique d’Internet et des instruments permettant de mettre en lumière des véritésne bénéficierait pas uniquement aux citoyens, mais aussi aux États, dont la crédibilité est en déficit.

8.    Axel Halin and Alexandre Nuttinck – jhipster

Sampling & Testing all configurations: the JHipster case study

Master 120 en sciences informatiques, à finalité spécialisée en informatique des organisations under the supervision of our internship mentor, Prof. Mathieu Acher (University of Rennes 1, France), and our supervisors Prof. Patrick Heymans, Dr. Gilles Perrouin and Dr. Xavier Devroey (University of Namur).

University of Namur

The work presented in this thesis has been partially published in Halin, A., Nuttinck, A., Acher, M., Devroey, X., Perrouin, G., Heymans, P. (2017). Yo variability! JHipster: a playground for web-apps analyses. In Proceedings of the Eleventh International Workshop on Variability Modelling of Software-intensive Systems (VaMoS ’17) (pp. 44–51). Eindhoven, Netherlands: ACM. An extension of this article, with the complete results from the thesis is currently under review in the Empirical Software Engineering international journal (https://link.springer.com/journal/10664).


The commercial and public web has moved from monolithic websites, where data and services are owned and managed by isolated hosts to open platforms, where data and services are distributed to work in collaboration, allowing greater interactions between data providers and consumers. The impact for service providers is to be able to rely on services owned by other providers, in order to foster their businesses. For instance, localisation services may be delegated to third parties like Google, user identification may be managed by states using 1 eId identity card thanks to secure protocols, etc. The web flexibly tailors itself to the needs of his users, as witnessed by recommendations on shopping sites like Amazon. From a technical point of view, all this is made possible thanks to a rich software ecosystem. Web development systematically relies on one or more frameworks (organised collections of code libraries accessed through Application Programming Interfaces or APIs). The constant proliferation of such frameworks leaves the developer with though choices regarding the framework to reuse. Indeed, wrong choices may lead to conflicts: for instance, not all data access APIs are able to manage all kinds of databases. In order to help developers to manage the variability of the development environment setup, the open source community came up with JHipster1 . JHipster is an API stack configurator to help the development of web-applications by first asking the kind of web-application and the kind of services (security, database access, etc.) the developers want to create. Then, based on the answe avoid: build all configurations to get the exact number of bugs and failures. JHipster is both a popular case (5000+ stars on Github) and “small” enough so that all its products (26,000+) can be built with grid infrastructures. This made the case for our master thesis research which answered the five following questions. First, we focused on the cost of this exhaustive testing and formulated the two following research questions:

  • RQ1.1 : What is the cost of engineering an infrastructure capable of automatically deriving and testing all configurations?
  • RQ1.2 : What are the computational resources needed to test all configurations? With an infrastructure capable of assessing all configurations, a second line of research is to qualify and quantify the configuration bugs: • RQ2.1 : How many and which sorts of failures/faults can be found in all configurations? Moreover, by collecting a ground truth, we can measure the effectiveness of sampling techniques. For example, is a random selection of, e.g. 50, configurations as effective to find failures/faults than an exhaustive testing? We can address this research question:
  • RQ2.2 : How sampling techniques compare to in terms of effectiveness? Finally, we can put in perspective the typical trade-off between the ability to find configuration defects and the cost of testing and address our final research question:
  • RQ3 : What is the most cost-effective sampling strategy?

Our study was divided in three main tasks: first the modeling of JHipster variability in order to be able to generate all configurations, followed by the development of the analysis workflow and finally running this workflow on all configurations. To capture the variability of JHipster, we decided to rely on Feature Model (FM) formalism, allowing us to benefit from state-of-the-art reasoning techniques (counting configurations, checking consistency, etc.). To manually reverseengineer the FM, we reviewed the source code of JHipster. During this review, we identified several interesting artifacts: some JavaScript files containing both the questions and their possible answers. For instance, at the question Which *type* of database would you like to use? 4 different answers are possible: No, SQL, MongoDB or Cassandra. Moreover, we can see that this question (with these specific answers) is prompted only when scaffolding a microservice (applicationType === ”microservice”). 3 Figure 1: Modelling of oracle tasks By modeling the variability of JHipster we were able to count and enumerate all configurations. We found that the total number of possible different JHipster web-applications was 162,508. This number was later reduced to 26,256 by updating the FM following technical and practical reasons. We then engineered the testing workflow to assess each configuration. This workflow is presented in Figure 1 and goes through the following steps:

  • Generation: generation of the JHipster empty web-application with the corresponding development environment setup.
  • Compilation: compilation of the empty web-application with Maven or Gradle, depending on the configuration.
  • Entities generation: generation of an entity model through JHipster own Domain Specific Language and sub-generator to add some functionalities to the empty web-application.
  • Testing: running common tests (U.I. with KarmaJS, integration with Spring Test Context framework).
  • Build: deployment of the web-application with the build tool (either Maven or Gradle) or with Docker.
  • Entities populating: adding of some data through the user interface of the web-application while the it is running (with the use of Selenium scripts).
  • Testing: running tests frameworks (Cucumber, Gatling and Protractor) After processing each generated web-application, we exported the results in a CSV file to run statistical analysis.

The sheer number of configurations lead us to consider options regarding the scalability of the workflow’s execution. We decided to use Grid’5000, a network of distributed machines, each of them handling a portion of the configuration space. Thanks to the populated CSV file, we were able to answer the first line of research questions. The engineering cost was estimated at 8 person-month. Regarding the computational resources, the execution of the workflow required a total of 4,376 hour-machine (about 182 days) and 5.2 Terabytes of disk space.

We then conducted different analyses to answer the second line of research questions. Our preliminary analysis of the CSV file revealed that on the 26,256 tested configurations, 9,025 (34.37%) lead to a failure. This failures manifested themselves either at compile time or build time. We also found that some of the options were more representative than others: for instance, UAA authentication is involved in most of the failures – 91.66% of UAA-based microservices applications (4,114 variants) fail to deploy. This initial result, although interesting, did not show the root cause of the failures (i.e., the bug/fault) in JHipster source code. We then conducted a statistical analysis with the association rules method. This technique helps to make sense of large data-sets by extracting rules among the data. In our case, we focused on rules of types: this feature or combination of features leads to build or compile error. This method returned 6 rules, indicating 6 fault classes. We also manually reviewed some of the afflicted configurations to find the root causes of each fault. Most of them have been detected by the JHipster community and fixed. So to answer RQ2.1, exhaustive testing shows 34.37% of failures due to 6 interactions faults (interaction of 2 or 4 features). Based on the ground-truth provided by our exhaustive testing, we compared the effectiveness of different state-of-the-art sampling techniques. First we selected the t-wise criteria, based on combinatorial interaction testing. This techniques selects a subset of the configuration space such that each combination of t option value is selected at least once. We worked with 4 variations of this criteria: 1-wise to 4-wise. Next, we worked with 3 sampling techniques from the literature: one-enabled, one-disabled and most-enableddisabled. These three algorithms are closely related: one-enabled selects each configuration where one option is enabled and all others disabled; one-disabled mirrors it and selects each configuration where one option is deselected and all others enabled; most-enabled-disabled selects the configuration where most of the features are enabled and where most features are disabled. Then, we also considered dissimilarity testing for software product lines, using a tool called PLEDGE. This technique approximates t-wise coverage by generating dissimilar configurations. Finally, we considered random samples from size 1 to 2500.

In order to compare the efficiency of the different sampling techniques and to answer RQ2.2, we considered two main metrics taking into account the sample size: Failure efficiency is the ratio of failures to sample size; similarly, Fault/Bug efficiency is the ratio of faults to sample size. Figure presents fault/bug efficiency for the different sampling techniques A first observation is that random sampling is a strong baseline for both failures and faults. 2-wise or 3-wise sampling techniques are slightly more efficient to identify faults than random. On the contrary, all-one-enabled, one-enabled, all-one-disabled, one-disabled and all-most-enabled-disabled identify less faults than random samples of the same size. Most-enabled-disabled is efficient on average to detect faults but requires to be lucky. PLEDGE is superior to random 5 ● ● ● ● ● ● 2 4 6 0 500 1000 1500 2000 2500 Configurations Faults found Sampling ● ● ● ● ● ● 1−wise 2−wise 3−wise 4−wise All−most−en.−dis. All−one−dis. All−one−en. Most−en.−dis. One−dis. One−en. PLEDGE(12) PLEDGE(126) PLEDGE(374) PLEDGE(41) PLEDGE(8) Random Figure 2: Bugs/Faults found by sampling techniques for small sample sizes. The significant difference between 2-wise and 3-wise is explained by the sample size. In general, a relatively small sample is sufficient to quickly identify the 5 or 6 most important faults – there is no need to cover the whole configuration space. A second observation is that there is no correlation between failure efficiency and fault efficiency. In addition, some techniques, like all-most-enable-disabled, can find numerous failures that in fact correspond to the same fault. Our results show that the choice of these metrics can largely influence the choice of a sampling technique. Our initial assumption was that the detection of one failure leads to the finding of the associated fault. It is the case in JHipster: contributors can easily find the root causes based on a manual analysis of a failure. However, this assumption may not hold in other contexts. That is, finding the feature interaction faults can be much more difficult and less immediate. In this case, it is beneficial to replicate a fault with many failures. We can use statistical methods and augment the support of failed configurations to identify feature interaction faults. As a result, the ability of finding failures may be quite important. A tradeoff between failure and fault efficiency can certainly be considered. At the end of January 2017, we interviewed the JHipster lead developer, Julien Dubois, and two core developers. Our exchanges allowed us to clarify some points and they freely reacted to some of our recommendations. We wanted to get insights on how JHipster was developped, used, and tested. We also aimed to confront our empirical results with their current practice. Julien Dubois explained us that JHipster relies on a continuous integration platform (Travis) 6 integrated into GitHub which is limited to only test 12 configurations and that he selection of these 12 configurations are based on an intimate technical knowledge of the technologies and a statistical prioritisation approach. Due to this limitation, it has a strong implication on our empirical results: Despite their effectiveness, some sampling strategies we have considered exceed the available testing budget of the project. On the basis of multiple collected insights, we emitted several recommendations and address RQ3.

Our main recommendations were first, to use a dissimilarity sampling strategy in replacement to the current sampling based on statistical prioritisation. It is one of the most effective strategy for finding failures and faults and it does not exceed the budget. Secondly, the testing budget was simply too low for JHipster 3.6.1, especially when popular configurations are included in the sampling. An ambitious and long-term objective is to crowdsource the testing effort with contributors. Thirdly, the last recommendation we emitted concerned the development and maintenance of a configuration-aware testing infrastructure. In conclusion, we reported on our endeavor to test all configurations of the open-source generator: JHipster. We described the lessons learned and assessed the cost of engineering a configuration-aware testing infrastructure capable of processing 26,000+ configurations in 4,376 hours CPU time. Despite the involved costs, the effort was worth it both in terms of test automation insights and sampling techniques assessment. We found that 34.37% of the configurations fail, caused by six interactions faults. As a result, sampling strategies that cover feature interactions (e.g., dissimilarity or t-wise) are the most effective to find faults. Our recommendations were crossed with JHipster’s lead developers opinions which can drive future sampling practices. Indeed, future work will cover fitting the test budget in continuous integration setting and devise new statistical selection/prioritisation sampling techniques. Replicate the study, non-functional analysis are also envisaged.


9.    Elise Melchior – Blockchain

Faut-il réguler la blockchain? Analyse sous l’angle d’eIDAS et du droit des contrats

Master de Spécialisation en Droit des Technologies de l’Information et de la Communication under the supervision of Mr Hervé Jacquemin

Université de Namur

La blockchain, un mot dont la côte de popularité ne fait qu’augmenter au fil du temps, ne cessede faire parler d’elle aujourd’hui.Depuis  ce  jour  du  31  octobre  2015,où  la  Une  de The Economistaffichait  un  titre  pour  le  moins  déconcertant –«The  trust  machine:  How  the technology  behind  bitcoin  could  change  the  world»–,plus  un  jour ne passe sans qu’une multitude  d’articles fleurissent à  son  sujet. La blockchaina  ainsi  hérité  de  nombreux qualificatifs aux quatre coins de la planète, où elle est le plus souvent comparée à la «seconde révolution d’internet». Cette technologie de stockage et de transmission d’informations, décentralisée, transparente et infalsifiable, suscite  l’intérêt  de  nombreux  acteurs  de  la  société.  Qu’ils  s’agissent  des informaticiens,  des  économistes,  des  philosophes  ou  encore  des  juristes,  la  technologie blockchaina tendance à inquiéter plusqu’elle ne rassure, l’étendue de ses possibilités restantencore  en  grande  partie  méconnue.Si  la blockchains’est imposée comme le grand sujet de l’année 2016, il n’en reste pas moins que les méandres de cette technologie complexe restent encore largement incompris. Le présent travail de recherche a une visée essentiellement juridique et a pour objet de faire la lumière sur certaines législations actuelles, à première vue chamboulées par l’apparition d’une telle  technologie. Dans  le  cadre  du  présent mémoire,  qui  ne  peut –vu  son  étendue  limitée –couvrir l’ensemble des problématiques juridiques liées à la blockchain, nous focalisonsnotre attention   sur   deux   problématiques   moins   souvent   abordées   et   que   nous   avons   jugées particulièrement  intéressantes. Le  présent  travail  estainsil’occasion  de  confronter  cette technologie à deux domaines spécifiques du droit afin d’analyser la façon dont elle s’imbrique avec la législation existante en matière de services de confiance, d’une part, et en matière de contrats, d’autre part. Il est important de préciser que ces deux thématiques n’ont pas forcément de  liens  entre  elles,  mais elles  permettent  néanmoins  de  mettre  en  évidence  le  fait  que  la technologie blockchaina  des  implications  aussi  diverses  que  variées  dans  de  nombreux domaines.Nous aurions ainsi pu nous pencher sur les problèmes soulevés par la technologie blockchainen  matière  de  vie  privée  et  de  protection  des  données,  ou  encore  en  matière  de propriété  intellectuelle,  mais  nous  avons  décidé  de  nous  restreindre  aux  deux  thématiques précédemment évoquées. La  question  fondamentale parcourantle  présent  mémoire  de  manière  transversale  est  la suivante: existe-t-il, à l’heure actuelle, une urgence à légiférer sur les activités s’appuyant sur la technologie blockchain?

Dans un premier temps, nous avons comparé les services offerts par la technologie blockchain à la réglementation belge et européenne en matière de services de confiance. Comme point de départ, nous avons analysé en détail le règlement européen « eIDAS » 1 ainsi que le Code de droit économique2 (ci-après, « C.D.E. »), qui instaurent un cadre juridique pour divers services de confiance, tels que la signature, l’horodatage et l’archivage électroniques. Ensuite, en analysant plus en détail la technologie blockchain et ses principales caractéristiques, nous avons fait le constat que, grâce à cette technologie et sur base de celle-ci, divers prestataires étaient désormais en mesure de fournir des services de signature, d’horodatage et d’archivage électroniques. Nous sommes dès lors arrivés à nous poser la question suivante : si ces services sont accomplis par la voie de la technologie blockchain, peut-on les considérer comme conformes au règlement eIDAS ou faut-il légiférer plus avant et spécifiquement par rapport à ceux-ci ?

Nous allons maintenant exposer les résultats de notre recherche. En confrontant les définitions des différents services de confiance contenues dans le règlement eIDAS et dans le C.D.E., nous avons constaté que les services de signature, d’horodatage et d’archivage reposant sur la technologie blockchain étaient tout à fait conformes aux définitions de la signature, de l’horodatage et de l’archivage électroniques contenues dans le règlement eIDAS et le C.D.E. Face à un tel constat, nous avons émis l’avis que ces différents services s’appuyant sur la technologie blockchain devraient être assimilés à des services de confiance non qualifiés – voire qualifiés – s’ils remplissent toutes les exigences imposées par le législateur. La principale différence entre le statut de « qualifié » et de « non-qualifié » réside dans le fait que les services de confiance non qualifiés bénéficient, tout au plus, de l’application du principe de nondiscrimination – en vertu duquel ils ne peuvent être privés d’effets juridiques ni jugés irrecevables comme moyens de preuve au seul motif qu’ils se présentent sous forme électronique ou que le service n’est pas qualifié – tandis que les services de confiance qualifiés se voient en outre appliquer un principe d’assimilation, en vertu duquel le juge ne dispose d’aucune marge d’appréciation et doit d’office as 4 des contrats de location portant sur des biens immobiliers ou des voitures. Cette application s’appuie sur des serrures intelligentes – intégrées aux portières des voitures ou aux portes des appartements – qui se déverrouillent une fois que l’utilisateur a payé une caution au propriétaire via une transaction sur la blockchain. Autrement dit, aussitôt que la transaction est effectuée, l’utilisateur obtient la permission d’ouvrir et de fermer la serrure intelligente via l’application sur son smartphone.

La caution restera bloquée sur la blockchain jusqu’à ce que l’utilisateur décide de rendre la « clé virtuelle » en effectuant une nouvelle transaction sur la blockchain. La seconde clause du contrat sera alors exécutée. La caution sera renvoyée à l’utilisateur, diminuée du prix de la location qui sera reversé automatiquement au propriétaire du Slock. D’un point de vue juridique, nous nous sommes posé la question de savoir si l’expression « smart contract », malgré qu’elle contienne le mot « contrat », pouvait réellement être qualifiée de contrat au sens strict du terme. Pour ce faire, nous avons tout d’abord analysé les composantes dynamiques (l’offre et l’acceptation) et statiques (le consentement, la capacité, l’objet et la cause) de formation des contrats afin de voir dans quelle mesure les smart contracts les remplissaient. Selon nous, nous pouvons raisonnablement assimiler juridiquement un smart contract à une offre acceptée, pour autant que tous les éléments essentiels du contrat aient bien été traduits dans le code informatique de manière compréhensible pour les parties. Du point de vue des conditions statiques, nous estimons que le consentement des parties contractantes peut valablement être émis dans le cadre d’un smart contract, étant donné que la manifestation de volonté des parties est soumise au principe du consensualisme, en vertu duquel le consentement ne doit épouser aucune forme particulière. Ainsi, rien ne s’oppose à ce qu’il soit exprimé au travers d’une signature numérique. Toutefois, tout comme dans le cadre de n’importe quel contrat classique, nous ne sommes jamais réellement à l’abri d’un vice de consentement. Concernant ensuite l’objet et la cause du contrat, le raisonnement adopté est largement similaire. Ainsi, nous sommes d’avis que si le contrat définit clairement les obligations de chacune des parties, il peut lier les parties juridiquement. Mais nous ne sommes toujours pas à l’abri d’un objet ou d’une cause illicite. Enfin, le point qui a le plus attiré notre attention concernait la condition de capacité des parties. Nous avons constaté que cette condition serait plus difficilement rencontrée dans le contexte des smart contracts étant donné qu’il n’existe pas de manière innée au fonctionnement des smart contracts de mécanisme permettant de vérifier tous les attributs de l’identité d’une personne. C’est alors dans ce contexte bien précis que nous avonsrelevé l’existence de solutions d’identity management : nous pourrions imaginer que la conclusion d’un smart contract soit conditionnée à l’avenir à la vérification de certains attributs de l’identité des parties nécessaires pour le contrat en question, telle que l’obtention de la majorité et la détention d’un permis de conduire pour quiconque souhaiterait acheter une voiture via ce type de contrat en ligne. Au-delà de l’analyse de ces conditions dynamiques et statiques, nous avons découvert un autre élément permettant de démontrer qu’un smart contract n’est pas un contrat « classique » : il s’agit de la non-réversibilité de l’écriture du smart contract, celle-ci découlant du caractère immuable de la blockchain. Alors qu’un contrat classique peut être annulé par un juge, un smart contract ne peut en principe pas être modifié. Nous avons alors évoqué deux pistes de solutions.

Nous avons tout d’abord évoqué le projet « Accenture » qui projette de mettre en place une blockchain modifiable afin de contrer justement ce problème découlant de l’immuabilité du smart contract. Un autre type de solution consisterait à recourir au mécanisme de l’arbitrage. Concrètement, il s’agirait d’intégrer une troisième partie au smart contract, qui serait désignée et validée en amont par les parties. Cet arbitre détiendrait une clé numérique qui lui permettrait de geler le contrat le temps de sa décision. Il pourrait ainsi annuler une transaction passée. A titre de conclusion générale au présent mémoire, nous sommes désormais en mesure de répondre à la question de savoir s’il existe, à l’heure actuelle, une urgence à légiférer. Concernant les services de signature, d’horodatage et d’archivage s’appuyant sur la technologie blockchain, la réglementation actuelle – belge et européenne – suffit amplement. Du point de vue des smart contracts, il s’avérerait judicieux de légiférer ou, en tout cas, de procéder à quelques aménagements d’ordre techniques afin de se mettre en conformité avec les prescrits légaux. Finalement, en ce qui concerne la blockchain de manière générale, il faudrait sans l’ombre d’un doute permettre à un juge de remonter systématiquement vers les identités réelles des utilisateurs afin de pouvoir trancher un litige. Dans le contexte de la présente étude, nous pouvons également soulever une réflexion sociophilosophique : est-il encore légitime aujourd’hui d’exiger autant de sécurité dans le numérique alors que l’on n’en demande pas autant dans l’environnement papier ? Cette question a le mérite d’être posée, et plus particulièrement dans le contexte de la blockchain. En effet, nous pourrions même supposer que, dans certains cas, un procédé validé dans la blockchain serait plus fiable qu’un procédé accompli dans l’environnement traditionnel. A titre d’exemple, une signature électronique émise suite à un processus de cryptographie asymétrique est sans aucun doute plus difficilement falsifiable qu’une signature manuscrite, qui pourtant bénéficie d’une présomption de principe dans notre système juridique actuel…


10.  Ilona Buteneers – TWITTER

Twitter als crisiscommunicatietool? Een kwantitatieve inhoudsanalyse van tweets na de aanslagen in #Zaventem en #Maalbeek op 22 maart 2016.

Master Communicatiewetenschappen, afstudeerrichting Nieuwe Media & Maatschappij under the supervision of Prof. Dr. Veroline Cauberghe

University of Ghent

  1. 1. Inleiding

Ondertussen meer dan een jaar geleden, maar bij velen nog steeds in het geheugen gegrift: de terreuraanslagen op 22 maart 2016 in de luchthaven van Zaventem en het metrostation van Maalbeek. Een dag die getekend staat als een gitzwarte dag in de Belgische geschiedenis, een dag waarbij er maar liefst 35 doden en 340 gewonden vielen (Baert & Huyghebaert, 2016). Anno 2017 is terreur een gegeven dat nauwelijks nog weg te denken is uit onze samenleving. Sinds de aanslagen in Parijs in januari en november 2015, gevolgd door de aanslagen in Brussel en Berlijn in 2016, is de maatschappij nauw betrokken bij dit onderwerp.

  1. Belang van sociale mediakanalen in tijden van crisis

Uit verschillende studies (Qu et al., 2011; Sutton, Palen & Shklovski, 2008; Vieweg et al., 2010) blijkt dat sociale media vandaag de dag een cruciale rol spelen als communicatietool tijdens crisissen. Communicatie is en blijft van essentieel belang om orde te kunnen scheppen in de chaos alsook om het publiek te informeren, te activeren en gerust te stellen. Studies uit het verleden met betrekking tot Twitter focusten echter vaak op kernrampen (Thomson et al., 2012; Tomkiv & Perko, 2014; Tomkiv et al., 2016) en natuurrampen (David, Ong, & Legara, 2016; Lachlan, Spence, Lin, & Greco, 2014; Lee Boaz, Ybañez, De Leon, & Estuar, 2013; Muralidharan, Rasmussen, Patterson, & Shin, 2011; Qu et al., 2011; Takahashi, Tandoc Jr., & Carmichael, 2015). In beperkte mate werd er onderzoek gedaan naar het gebruik van sociale media en meer specifiek Twitter in de context van terrorisme (Lin & Margolin, 2014; Simon, Goldberg, Aharonson-Daniel, Leykin & Adini, 2014). Twitter is één van de bekendste sociale mediasites, vandaag hebben meer dan 328 miljoen mensen wereldwijd een account op Twitter (Statista, 2017). Hoewel sociale netwerksites getypeerd worden als dynamische technologieën die snel veranderen, blijft Twitter een constante in dit sociale medialandschap.

  1. Doel van het onderzoek

Dit onderzoek heeft als doel inzicht te krijgen in de manier waarop diverse actoren communiceren op Twitter na het plaatsvinden van een terreuraanslag, meer specifiek de aanslagen in Zaventem en Maalbeek op 22 maart 2016. In de eerste plaats werd er nagegaan wie er allemaal actief communiceert over de gebeurtenissen. In tweede instantie werd er ook onderzocht voor welke doeleinden men gebruik maakt van Twitter in dit soort crisissituaties. Om deze vragen te beantwoorden werd er een kwantitatieve inhoudsanalyse uitgevoerd. Hiervoor werden in totaal 1588 cases1 geanalyseerd op twee verschillende niveaus. In de eerste plaats werden de profielen van de gebruikers op Twitter geanalyseerd, hierbij werden er 1310 unieke tweeters geïdentificeerd. Meer specifiek werden de algemene kenmerken van 1588 profielen op Twitter geregistreerd, waaronder de woonplaats, de taal en het type gebruiker. Het merendeel van de gebruikers was afkomstig van België (36.40%) en Nederland (25.80%). Ten tweede werd er ingegaan op de tweet zelf om zo meer inzicht te verwerven in de content van de tweet. In bijlage 1 vindt u een schematische voorstelling terug van de datareductie voor deze masterproef.  Op basis van deze inhoudsanalyse werd er gezocht naar een antwoord op de negen onderzoeksvragen en hun deelvragen. In de alinea’s die volgen worden de belangrijkste bevindingen per onderzoeksvraag besproken.

  1. Onderzoeksvragen en bevindingen

Onderzoeksvraag 1

Allereerst werd er onderzocht welke actoren er communiceerden op Twitter na de aanslagen op 22 maart 2016. De analyses tonen aan dat burgers de berichtgeving domineren, 78.10% van de tweets was afkomstig van de gewone burger. Wat betreft de aanwezigheid van mediabronnen op Twitter, kan er worden gesteld dat ze verantwoordelijk waren voor 11.60% van de berichtgeving. Over het algemeen werd er in dit onderzoek een lage mate van activiteit vastgesteld bij overheidsbedrijven alsook andere formele bronnen2 . Amper 2% van de berichtgeving was afkomstig van deze actoren. Over de volledige onderzoeksperiode, met name van 22 maart 2016 tot en met 29 maart 2016, nemen burgers steeds de bovenhand in de berichtgeving. De activiteit van formele bronnen blijft over de volledige periode aanzienlijk laag, met een piek van 5.30% op 29 maart 2016.

Onderzoeksvraag 2

Ten tweede werd er nagegaan welke soort berichtgeving er verschijnt op Twitter na een terreuraanslag. Na de aanslagen werd Twitter gedomineerd door emotionele berichtgeving, maar liefst 61.50% van de tweets was emotie-gerelateerd. Verder verscheen er eveneens veel Expertorganisaties, politici, ngo’s etc. informationele berichtgeving op Twitter, in 47.50% van de gevallen bevatten de tweets informatie. Er kan worden geconcludeerd dat het publiek tijdens crisissen niet alleen beroep doet op sociale media voor het verwerven van informatie, maar ook voor het uiten van gevoelens en emoties. Zowel opinie- als actie-gerelateerde berichtgeving kwam in mindere mate aan bod. Ongeveer 25% van de berichtgeving bevatte een mening of een opinie waarin kritiek werd geuit ten aanzien van diverse partijen (politici, media, islam etc.). In slechts 5.70% van de gevallen bevatten de tweets actie-gerelateerde berichtgeving. Vervolgens werd er een significant verband vastgesteld tussen de soort berichtgeving en het type gebruiker. Burgers worden namelijk eerder gekenmerkt door emotionele berichtgeving, dit was zo in bijna 70% van de gevallen. Wanneer we kijken naar de dominante berichtgeving bij de andere actoren, kan worden geconcludeerd dat informationele berichtgeving domineert. Na het identificeren van de soort berichtgeving, werd er aandacht besteed aan de focus van de berichtgeving na de aanslagen op 22 maart 2016. In de eerste plaats werd in vele tweets een vraag geformuleerd, dit was het geval in 14.40% van de cases. Verder bevatten vele tweets eveneens uitingen van medeleven en steun, goed voor 13.80% van de gevallen. Ten derde kwamen ook de slachtoffers en betrokkenen van de aanslagen veelal naar voren in de berichtgeving, in 12.60% van de tweets om precies te zijn. Opmerkelijk waren de tweets waarbij de focus lag op het uiten van kritiek ten aanzien van het islamitische geloof, de Jihad en de Islamitische Staat, 12.50% van de tweets berichtten hierover.



Onderzoeksvraag 3

Voor de derde onderzoeksvraag werd er nagegaan welk sentiment naar voren kwam in de tweets na de aanslagen. De analyses tonen dat tweets met een neutrale ondertoon domineren (46.50%), de kloof met tweets met een negatieve ondertoon is echter gering. In 42.80% van de gevallen vertoonden tweets namelijk een eerder negatieve ondertoon. Info over de verdachten Info over de gebruikte wapens Info over de slachtoffers Info over de omgeving van de getroffen locapes Advies en aanbevelingen Maatregelen Kripek t.a.v. de polipek Kripek t.a.v. de media Aanbieden van hulp Vragen van hulp Oproep tot acpe/verzet Medeleven en steun Uipngen van samenhorigheid Formulering van een vraag Hulpverlening Geloof, jihad, IS Andere 6 Bijkomend werd er een significant verband vastgesteld tussen het sentiment van de tweet en de datum van de tweet. Gedurende de volledige onderzoeksperiode zien we dat tweets met een neutrale ondertoon domineren tot en met 26 maart. Op 27 maart nemen tweets met een negatieve ondertoon echter de bovenhand, goed voor maar liefst 71.20% van de berichtgeving. Vanaf 28 maart zien we opnieuw een evolutie naar tweets met een neutrale ondertoon. Er werd eveneens een significante samenhang vastgesteld tussen het sentiment van de tweet en het type gebruiker. Zo werden er duidelijke verschillen vastgesteld tussen burgers enerzijds en de andere actoren anderzijds. 51.20% van de tweets gepost door burgers gingen gepaard met een negatieve ondertoon. Zowel de berichtgeving van mediabronnen alsook die van formele bronnen werd gekenmerkt door een neutrale ondertoon.

Onderzoeksvraag 4

Na het analyseren van het sentiment (algemeen gevoel) van de tweet, werd er onderzocht welke specifieke emoties er naar boven kwamen in de berichtgeving. In de eerste plaats komen boosheid en medeleven in een kleine 10% van de gevallen naar voren. Verder komen ook frustratie en verdriet beide in zo’n 7% van de gevallen tot uiting. Verder werd er een significante samenhang vastgesteld tussen het type emotie en de datum waarop de tweet werd gepost. Uit de analyses kan worden geconcludeerd dat op 22 maart 2016 negatieve emoties (wantrouwen, boosheid, verdriet, angst, frustratie, gechoqueerd zijn, sarcasme etc.) de bovenhand nemen in de berichtgeving met een aandeel van bijna 40%. Bijkomend werd er vastgesteld dat negatieve emoties duidelijk meer naar voren komen in de berichtgeving dan positieve emoties.

Finaal werd er een significante samenhang geconstateerd tussen het type emotie en het type gebruiker. Vooral de berichtgeving van burgers wordt voornamelijk gekenmerkt door negatieve emoties, in 43.30% van de gevallen vertonen tweets van burgers emoties zoals boosheid, verdriet, angst, frustratie etc. Vooral in de berichtgeving van de mediabronnen is het opvallend dat slechts in 16.80% van de gevallen tweets van deze actoren een emotie bevatten.

Onderzoeksvraag 5

Voor de vijfde onderzoeksvraag werd er nagegaan hoe het volume en de content van de berichtgeving evolueerde tussen 22 en 29 maart 2016. Het grootste deel van de tweets verscheen op de dag van de aanslagen zelf, 72.70% van de tweets werden op deze dag gepost. In de dagen nadien zien we een afname van het volume wat betreft het aantal tweets. Daarenboven werd er eveneens onderzocht hoe het volume van de berichtgeving evolueerde in de eerste uren na de terreuraanslagen. Doorheen de dag hebben er zich drie piekmomenten voorgedaan in de berichtgeving op Twitter. Het eerste piekmoment vond plaats tussen 12u en 13u, het tweede tussen 15u en 16u en het laatste tussen 19u en 20u. Vooral het tweede piekmoment wekt de interesse gezien er omstreeks 15u28 een eerste foto van de verdachten de wereld werd ingestuurd (De Standaard, n.d.). In de tweede plaats werd er bestudeerd hoe de content van de berichtgeving evolueerde over de dagen heen. Wanneer we kijken naar de evolutie van de soort berichtgeving over de volledige periode heen, zien we dat emotionele berichtgeving vooral op 22 en 23 maart 2016 domineert. Nadien, op 25 en 26 maart 2016, lijkt informationele berichtgeving het even over te nemen van de emotionele berichtgeving. Hierbij dient er echter wel te worden vermeld dat maar liefst 86.30 % van het totaal aantal tweets is verschenen op de eerste twee dagen, er verschenen slechts 74 posts3 op 25 en 26 maart 2016.


Onderzoeksvraag 6

In de zesde plaats werd nagegaan welk type berichtgeving4 domineert op Twitter na de aanslagen op 22 maart 2016. De resultaten tonen aan dat originele tweets domineren met maar liefst 80.10%. In de tweede plaats werd er een samenhang vastgesteld tussen het type tweet en het type gebruiker. Bij alle actoren nemen originele tweets de bovenhand, maar het is opvallend dat formele bronnen opmerkelijk meer mentions plaatsen in hun berichtgeving dan bijvoorbeeld burgers of mediabronnen. Van de bestudeerde 1588 cases. Om precies te zijn wordt er in 29% van de gevallen iemand gementioned in de berichtgeving van een formele bron. Burgers maken dan weer meer gebruik van de reply-functie, meer specifiek in 7.70% van de gevallen. Indien men gebruik maakte van deze functie, werd er in 35.50% van de gevallen gereplied op burgers. Naast burgers werd er ook in 24.60% van de gevallen een reply gepost op formele bronnen, waarvan 15.50% politici of politieke partijen. Tot slot werd er in 19.10% van de gevallen een reply gepost op mediabronnen, met name (inter)nationale journalisten en mediakanalen. Tot slot werd er een significant verband vastgesteld tussen het type tweet en de soort berichtgeving. Zo werd er geconstateerd dat zowel originele tweets als replies eerder samengaan met emotionele berichtgeving, in beide gevallen goed voor ongeveer 63%. Verder kan er worden gesteld dat mentions eerder worden gekenmerkt door informationele berichtgeving, meer bepaald in 60.70% van de gevallen.

Onderzoeksvraag 7

Vervolgens werd er bestudeerd welke actoren het meest fungeren als communication hubs na het plaatsvinden van een terreuraanslag. In de eerste plaats werd er onderzocht welke actoren het meest werden geretweet na de aanslagen. Er werd een significant verschil gevonden tussen de diverse actoren wat betreft de mate waarin hun berichtgeving werd geretweet. Meer specifiek werden overheidsdiensten significant meer geretweet dan alle andere actoren, met uitzondering van bekende personen. Verder werd ook geconstateerd dat journalisten uit België significant meer worden geretweet dan burgers. In de tweede plaats werd er nagegaan welke actoren het meest werden geliked na de aanslagen in Zaventem en Maalbeek. Uit de resultaten blijkt dat er een significant verschil bestaat tussen de actoren wat betreft de mate waarin hun berichten worden geliked. Tweets van Belgische journalisten worden meer geliked dan burgers. Finaal werd er eveneens een positieve correlatie vastgesteld tussen de mate waarin tweets worden geretweet en de mate waarin tweets worden geliked. Hoe meer de berichtgeving wordt geretweet, hoe meer de berichtgeving wordt geliked en vice versa.

Onderzoeksvraag 8

Als voorlaatste werd er onderzocht in welke mate tweets een hyperlink naar extra informatie bevatten. De literatuur vertelt ons dat informationele berichtgeving vaak wordt gekenmerkt door hyperlinks in tweets (Lachlan et al., 2014). Ook uit de bevindingen van deze masterproef blijkt dat Twitter nog steeds dienst doet als informatiebron gezien 47.50% van de tweets informatie bevatte (cf. supra). De resultaten tonen echter dat slechts 34.40% van de berichtgeving een hyperlink naar extra informatie bevatte. In de eerste plaats verwezen deze hyperlinks naar een afbeelding of GIF (12.70%). Anderzijds werd er ook in 10.30% van de gevallen verwezen naar andere tweets, media op Facebook, blogs en dergelijke. In 10.40% van de cases verwees de hyperlink naar een website van een (inter)nationaal mediakanaal. Bijkomend werden er een aantal interessante verbanden geconstateerd. Zo bestaat er in de eerste plaats een significante samenhang tussen de aan- of afwezigheid van een hyperlink en het type gebruiker. Vooral tweets van mediabronnen bevatten hyperlinks, in maar liefst 65.40% van de gevallen was dit het geval. Bij burgers en formele bronnen zien we tegenovergestelde resultaten, het merendeel van de tweets bevatte namelijk geen hyperlink. In de tweede plaats bestaat er een significante samenhang tussen de aan- of afwezigheid van een hyperlink en de soort berichtgeving. Zowel bij emotie-, actie- als opinie-gerelateerde berichtgeving bevatte het merendeel van de berichtgeving namelijk geen hyperlink. Wat betreft informatiegerelateerde berichtgeving werd er vastgesteld dat bijna de helft van de gevallen, 49.30% om precies te zijn, een link bevatte naar extra informatie. Er kan worden geconcludeerd dat er een duidelijk verschil bestaat tussen originele tweets en replies aan de ene kant en mentions aan de andere kant wat betreft de aan- of afwezigheid van een hyperlink. De meerderheid van de berichtgeving bevat namelijk geen hyperlink bij zowel originele tweets (66.4%) als bij replies (79.10%). Bij mentions werd er echter vastgesteld dat bijna de helft van de posts, 46.60%, een hyperlink bevatte. Finaal werd er een significante samenhang vastgesteld tussen het type tweet en de content van de hyperlink. Uit de analyses blijkt namelijk dat vooral mentions hyperlinks bevatten naar websites van (inter)nationale mediakanalen, dit was namelijk zo in 20% van de cases.

Onderzoeksvraag 9

Finaal werd er nagegaan welke hashtags het meest naar voren kwamen in de berichtgeving na de aanslagen op 22 maart 2016. Thomson et al. (2012) argumenteren namelijk dat een hashtag-systeem in crisissituaties wordt gebruikt om de geloofwaardigheid van informatie op Twitter te verhogen. Uit de resultaten blijkt dat de hashtag #zaventem het meest werd gebruikt in de berichtgeving over de gebeurtenissen van 22 maart 2016, in 41.30% van de gevallen. In tweede instantie werd ook de hashtag #brussels frequent gebruikt, meer specifiek in 36.70% van de gevallen. Gemiddeld gezien werden er per tweet 1.26 hashtags van de zes vooraf gedefinieerde hashtags gebruikt. Ook is het opvallend dat zowel de hashtag #maalbeek als #maelbeek slechts in geringe mate aan bod kwam, respectievelijk 1.20% en 3.90% van de gevallen.