A propos Charles de Laubier

Rédacteur en chef de Edition Multimédi@, directeur de la publication.

Responsabilité et données : le « Je t’aime moi non plus » des éditeurs en ligne vis-à-vis de Facebook

La pluralité de responsables dans le traitement des données personnelles n’implique pas forcément une responsabilité conjointe. C’est le raisonnement que devrait avoir la Cour de justice européenne dans l’affaire « Fashion ID ».
Or, son avocat général n’en prend pas le chemin. Erreur !

Par Etienne Drouard et Joséphine Beaufour, avocats associés, cabinet K&L Gates

L’éditeur d’un service en ligne – site web et/ou application mobile – peut-il être coresponsable de la collecte, par Facebook, des données personnelles des visiteurs de son service en raison de l’intégration d’un bouton « J’aime » de Facebook au sein de son service ? Selon l’avocat général de la Cour de justice de l’Union européenne (CJUE), lequel a présenté le 19 décembre 2018 ses conclusions dans l’affaire « Fashion ID » (1), la réponse devrait être « oui ».

Communauté d’intérêt et responsabilité
Cet avocat général (2) cherche à construire, en matière de protection des données personnelles comme en matière de propriété intellectuelle, un régime de responsabilité liée à l’insertion d’un lien hypertexte vers les services d’un tiers. En matière de propriété intellectuelle, il aura fallu 14 années de controverses avant de juger au niveau européen qu’un lien hypertexte peut être un acte de représentation d’une oeuvre nécessitant, pour celui qui intègre un lien au sein de son service, de recueillir l’autorisation du titulaire des droits attachés à l’oeuvre accessible via ce lien (3). En matière de protection des données personnelles, cette fois, quelle est la responsabilité pour l’éditeur d’un service en ligne résultant de l’insertion d’un lien hypertexte d’un tiers – en l’occurrence le bouton « J’aime » de Facebook – sur son site web, permettant à ce tiers de collecter des données personnelles des visiteurs du site web concerné ? Comme en matière de propriété intellectuelle, l’avocat général de la CJUE se demande si le critère décisif pour déclencher une telle responsabilité ne serait pas celui d’une communauté d’intérêts entre celui qui intègre le lien sur son site web et celui qui a conçu seul les fonctionnalités que ce lien déclenche. Dans cette affaire « Fashion ID » – du nom de la société allemande de vente en ligne de prêt-à-porter – il est établi que l’adresse IP et l’identifiant du logiciel de navigation du visiteur du site web de Fashion ID sont transmis à Facebook du fait de l’intégration d’un bouton « J’aime » sur ce site, même si le visiteur ne clique pas sur ce bouton « J’aime », et même s’il ne dispose pas d’un compte Facebook. La « Verbraucherzentrale NRW eV », une association allemande de protection des consommateurs a introduit une action en cessation à l’encontre de Fashion ID au motif que l’utilisation du bouton « J’aime » de Facebook sur ce site web était contraire aux lois allemandes sur la protection des données personnelles, lois transposant la directive européenne «Protection des données personnelles » de 1995. Puisque cette action ayant été introduite avant l’entrée en vigueur du RGPD (4), la CJUE rendra donc sa décision en application de cette directive de 1995 et des lois de transposition allemandes (5). L’association reproche ainsi à Fashion ID de n’avoir fourni aucune information à ses visiteurs sur l’existence d’une telle collecte par Facebook. Le régime de responsabilité entre Facebook et Fashion ID reste en suspens : est-elle conjointe, solidaire, ou distincte ? Pour obtenir une réponse fiable, l’association allemande a saisi la CJUE d’une question préjudicielle afin de savoir si Fashion ID peut être considéré comme « responsable du traitement » au sens de la directive de 1995, alors même qu’elle ne peut avoir elle-même aucune influence sur ce processus de traitement des données par Facebook ?
L’avocat général de la CJUE fait référence, dans ses conclusions, à l’arrêt
« Unabhängiges » (6) du 5 juin 2018 dont l’affaire serait similaire à celle de Fashion ID, au motif que : l’éditeur de site web intègre dans son site une fonctionnalité développée et mise à disposition par Facebook, permettant ainsi la collecte de données personnelles par Facebook, résultant de l’enregistrement par Facebook de cookies
sur les terminaux des visiteurs de sa page web. L’occasion de faire cette analogie ayant été trop belle, il en a conclu que le gestionnaire d’un site web qui y intègre un lien hypertexte installant le « plugiciel » (ou plugin en anglais) d’un tiers – en l’espèce,
le bouton « J’aime » de Facebook – permettant la collecte par ce tiers de données personnelles, devrait être considéré comme un « coresponsable » de cette collecte avec ledit tiers ayant conçu ce plugiciel.

« Unité de finalités et de moyens » : vague
Inventer des similitudes peut parfois tourner à la conversation de comptoir. L’avocat général a cherché à découvrir, coûte que coûte, « une identité de finalités et de
moyens » dans l’opération de collecte et de transfert des données personnelles pour que Facebook et Fashion ID soient jugés coresponsables. Selon lui, la détermination commune des moyens serait caractérisée par la décision prise par Fashion ID d’utiliser le plugiciel fourni par Facebook, outil permettant la collecte et la transmission des données personnelles à Facebook. Ainsi, tant Facebook que Fashion ID « paraissent donc avoir délibérément été à l’origine de la phase de collecte et de transmission du processus de traitement des données ».

Des conclusions dénuées de tout fondement
Par ailleurs, l’avocat général, a estimé que la finalité pour laquelle Fashion ID a intégré le bouton « J’aime » sur son site web serait d’améliorer la visibilité de ses produits par le biais du réseau social. S’il admet que cette finalité ne correspond pas à celle poursuivie par Facebook (à savoir le profilage des visiteurs à des fins de publicités ciblées), il affirme cependant que les deux parties « paraissent globalement poursuivre la même finalité d’une manière qui semble mutuellement assez complémentaire ». Le critère retenu ici ne serait donc pas l’identité de la finalité poursuivie, mais « une unité de la finalité : commerciale et publicitaire », critère beaucoup plus large, vague et sujet à interprétation que le premier. La conclusion à laquelle parvient l’avocat général est dénuée de tout fondement juridique connu ou prévu par les textes en vigueur hier ou aujourd’hui. D’une part, ni la directive de 1995, ni le RGPD, ni la CJUE jusqu’à présent, ne se fondent sur une « identité de finalités » ou encore une « unité de finalités », mais bien sur la détermination commune de finalités par les deux responsables de traitement, c’est-à-dire une (ou plusieurs) finalité(s) déterminée(s) d’un commun accord.
D’autre part, la détermination conjointe de moyens ne fonde pas la décision prise par un éditeur de site web d’intégrer un plugiciel d’un tiers sur sa page web. Il serait, au contraire, grand temps d’admettre qu’un seul et même moyen de traitement de données, peut servir des finalités et des intérêts différents, voire divergents, déclenchant des responsabilités distinctes pour des traitements de données qui peuvent être étrangers l’un de l’autre ou propres à un acteur, et échappant à la connaissance, au contrôle ou au bénéfice d’un autre acteur. C’est au prix de cette distinction des intérêts et des finalités, qu’on peut réguler l’économie numérique en évitant de confondre David et Goliath et de rendre un éditeur européen de services coresponsable de l’activité d’un vendeur américain de profils publicitaires. Fashion ID
et Facebook ne sont pas coresponsables de traitement ; Fashion ID n’a pas déterminé conjointement avec Facebook les finalités et les moyens qu’aura Facebook de traiter des données. La pluralité de responsables de traitement n’implique pas forcément une responsabilité conjointe. Autrement dit, quand on est plusieurs, on ne forme pas qu’un. Selon la directive de 1995, un responsable de traitement est « la personne physique ou morale qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel » (7). Cette définition a été reprise à l’identique dans le RGPD (8) : elle admet qu’il peut y avoir plusieurs coresponsables décidant conjointement de la finalité du traitement et des moyens à mettre en oeuvre pour la réaliser (9). S’il peut exister différents niveaux de responsabilité conjointe, pour tout ou partie d’un traitement de données, la question posée désormais à la CJUE est celle avant tout de savoir comment caractériser une telle responsabilité conjointe et non de la décréter par paresse lorsqu’on se trouve en présence de plusieurs acteurs autour d’un même moyen de traitement de données. Tant la directive de 1995 que le RGPD
de 2018 posent un critère repris par la CJUE, celui de la « détermination conjointe des finalités et des moyens » du traitement opéré par les personnes physiques ou morales. Or, l’avocat général ne reprend pas ce critère d’appréciation puisque, selon lui, pour qu’il y ait responsabilité conjointe, il est nécessaire que les deux opérateurs poursuivent une unité de finalité et non pas qu’ils déterminent conjointement la finalité de traitement. Or les finalités poursuivies par Fashion ID et par Facebook sont divergentes.
Il est faux d’affirmer en l’espèce que les deux parties auraient déterminé de façon commune la finalité de l’opération de traitement consistant en la collecte des données personnelles des visiteurs du site web de Fashion ID. En effet, Facebook n’est convenu de rien avec personne lorsqu’il a conçu son plugiciel lui permettant à lui – et à lui seul – de collecter les données de personnes visitant un site web tiers. Facebook n’a pas davantage discuté avec quiconque de sa stratégie « data », consistant à collecter et traiter des données à des fins de profilage et de ciblage publicitaire, y compris lorsque les personnes concernées ne se sont jamais inscrites sur Facebook. Fashion ID a simplement décidé, a posteriori, d’intégrer ce plugiciel dans sa page web afin de bénéficier de la diffusion qu’un bouton « J’aime » lui procure au sein des membres
de la communauté Facebook d’un de ses visiteurs, si ce dernier a un compte Facebook et s’il clique « J’aime ». La société Fashion ID n’a en aucun cas déterminé les moyens essentiels à la collecte par Facebook des données car elle n’a pas participé à la conception du plugiciel, de ses fonctionnalités, de ses finalités et de leur participation
à la stratégie « data » de Facebook.

Ce qu’en disent les « Cnil » européennes
Ainsi, Fashion ID et Facebook ne peuvent être qualifiés de responsables conjoints d’un tel traitement, non pas parce que ce serait une erreur d’appréciation discutable, mais parce que les régulateurs européens et le RGPD disent le contraire. Comme l’a relevé le G29 des « Cnil » européennes, « la coopération dans le traitement ne signifie pas qu’il y a forcément coresponsabilité. En effet, un échange de données entre deux parties, sans partage des finalités ou des moyens dans un ensemble d’opération, doit être considéré uniquement comme un transfert de données entre des responsables distincts » (10). Il faudra être encore un peu patient avant d’avoir la position finale de
la CJUE, en espérant, d’ici là, que celle-ci ne se trompera pas de question ni de raisonnement. @

Directive européenne sur le droit d’auteur dans le marché unique numérique : fermez le ban !

Après un lobbying intense des géants du Net et des industries culturelles
autour du « trilogue » eurodéputés-Etats membres-Commission européenne, les « ambassadeurs » du Cereper ont adopté le 20 février la directive controversée sur la réforme du droit d’auteur dans le marché unique numérique.

Le « trilogue » de négociation sur le projet de directive européenne « Droit d’auteur dans le marché unique numérique » – instance tripartite composée par le Parlement européen, le Conseil de l’UE et la Commission européenne – a finalement trouvé in extremis le 14 février un accord. Les ambassadeurs du Coreper (1) représentant les Etats membres auprès de l’UE l’ont approuvé le 20 février à Bruxelles. La Finlande, l’Italie, le Luxembourg, les Pays- Bas et la Pologne ont dénoncé « un recul ».

La directive « E-commerce » : un garde-fou ?
Après un vote de la commission Juridique du Parlement européen prévu le 26 février,
le vote final en réunion plénière des eurodéputés interviendrait entre les 15 et 18 avril.
Il s’en est fallu de peu pour que les négociations n’aboutissent pas, notamment en raison du très controversé article 13 sur la responsabilité des plateformes numériques dans la lutte contre le piratage. La France et l’Allemagne ont pesé de tout leur poids pour responsabiliser Google, YouTube, Facebook, Yahoo ou encore Dailymotion. Quelques jours avant le compromis obtenu à l’arraché au sein du trilogue, l’association European Digital Rights (EDRi) avait même révélé le 11 février sur son compte Twitter (2) les ultimes modifications proposées par le gouvernement français sur l’article 13 mais finalement non intégrées le 14 février en trilogue dans la version consolidée du texte (3). « La France [avait] proposé de supprimer la référence à la directive “E-commerce” afin de s’assurer que la #CensorshipMachine entre pleinement en vigueur avec des obligations de contrôle général », avait alerté l’EDRi dirigée par Claire Fernandez (photo). Cette association européenne créée en 2002 à Berlin est basée à Bruxelles pour défendre et promouvoir les droits civils dans l’environnement numérique : neutralité du Net, protection de vie privée et des données personnelles, liberté d’expression et de création, adaptation du droit d’auteur, etc.
Dans son amendement (4) soumis au trilogue, le gouvernement français ne voulait pas que le paragraphe 7 de l’article 13 mentionne la directive « E-commerce » de 2000 qui interdit à toute plateforme numérique de filtrer tous les contenus Internet transitant sur ses serveurs d’hébergement. Ce garde-fou contre une surveillance généralisée du Web est clairement maintenu comme principe général. Rappelons que l’article 15 de cette directive « E-commerce » est intitulé justement « Absence d’obligation générale en matière de surveillance ». Ainsi, « les Etats membres ne doivent pas imposer aux prestataires [intermédiaires techniques, hébergeurs, réseaux sociaux, FAI, …, ndlr] une obligation générale de surveiller les informations qu’ils transmettent ou stockent, ou une obligation générale de rechercher activement des faits ou des circonstances révélant des activités illicites ». Est ainsi consacré en 2000 le statut d’hébergeur à responsabilité – dont bénéficient encore aujourd’hui les Google/YouTube, Facebook, Twitter et autres Snapchat. Les limitations de responsabilité des prestataires de services de la société de l’information ou de services intermédiaires ne peuvent être levées que sur décision d’un juge ou d’une autorité administrative.
D’autant que cette même directive « E-commerce » prévoit que « le prestataire agisse promptement pour retirer l’information qu’il a stockée ou pour en rendre l’accès impossible dès qu’il a effectivement connaissance du fait que l’information à l’origine de la transmission a été retirée du réseau ou du fait que l’accès à l’information a été rendu impossible, ou du fait qu’un tribunal ou une autorité administrative a ordonné de retirer l’information ou d’en rendre l’accès impossible ». En France, la loi pour la confiance dans l’économie numérique (LCEN) de 2004 a sanctuarisé dans le droit national ce régime de responsabilité limitée de l’hébergeur.

Dix ans après le Traité de Lisbonne
En matière de jurisprudence, la Cour de justice de l’Union européenne (CJUE) s’est
à son tour opposée au filtrage généralisé d’Internet dans deux de ses arrêts dit
« Sabam », le premier daté du 24 novembre 2011 dans l’affaire « Scarlet contre
Sabam » (5) (*) et le second du 16 février 2012 dans l’affaire « Sabam contre Netlog » (6). La CJUE est on ne peut plus claire : les directives européennes concernées (7) et les exigences de protection des droits fondamentaux « s’opposent à une injonction faite par un juge national à un prestataire de services d’hébergement de mettre en place un système de filtrage : des informations stockées sur ses serveurs par les utilisateurs de ses services ; qui s’applique indistinctement à l’égard de l’ensemble de ces utilisateurs ; à titre préventif ; à ses frais exclusifs ; et sans limitation dans le temps ». En cela, cette jurisprudence européenne rejoint une autre directive – et non des moindres – à savoir la directive « Propriété intellectuelle » du 29 avril 2004, selon laquelle « les mesures [pour assurer le respect des droits de propriété intellectuelle] ne doivent pas être inutilement complexes ou coûteuses et ne doivent pas comporter de délais déraisonnables ». Et les juges européens en ont même appelé à la Charte des droits fondamentaux de l’Union européenne signée le 7 décembre 2000 et devenue « force juridique obligatoire » depuis l’entrée en vigueur du Traité de Lisbonne en décembre 2009.

Œuvres : pas de protection « absolue »
La CJUE a aussi mis les points sur les « i » des questions jurisprudentielles : « La protection du droit de propriété intellectuelle est certes consacrée [par] la charte des droits fondamentaux de l’Union européenne (article 17, paragraphe 2). Cela étant, il ne ressort nullement de cette disposition, ni de la jurisprudence de la Cour, qu’un tel droit serait intangible et que sa protection devrait donc être assurée de manière absolue » (CQFD). L’on retrouve ce passage éclairant aussi bien dans l’arrêt « Sabam » de novembre 2011 que dans celui de février 2012.
Sauf à ce que l’Europe se déjuge, il était dès lors inconcevable que la nouvelle directive « Droit d’auteur dans le marché unique numérique » intègre l’amendement de la France. Celui-ci, tout en supprimant toute référence à la directive « E-commerce »
qui interdit toute obligation de surveillance générale du Net, a tenté de modifier l’alinéa en le formulant de la façon suivante : « L’obligation prévue à l’article 13 [de lutte contre le piratage en ligne par les plateformes numériques, ndlr] ne doit pas amener les Etats membres à imposer quelconque obligation de surveillance qui n’ait pas été basée sur un contenu [musique, film, série, ebook, jeu vidéo, etc., ndlr] identifié par les titulaires de droits ». La France avait justifié son correctif en ce que, selon elle, la référence
à l’article 15 de la directive « E-commerce » n’est pas compatible avec l’article
13 paragraphe 3 du projet de directive « Droit d’auteur dans le marché unique numérique ». Celui-ci prévoit déjà que la responsabilité limitée des prestataires du Net ne s’applique pas en matière de protection des droits d’auteur : « Lorsqu’un prestataire de services de partage de contenu en ligne effectue un acte de communication au public ou un acte de mise à la disposition du public, dans les conditions établies par la présente directive, la limitation de responsabilité établie à l’article 14, paragraphe 1,
de la directive [« E-commerce »] ne s’applique pas aux situations visées par le présent article. Cela n’empêche pas l’application possible de l’article 14, paragraphe 1, de la directive [« Ecommerce »] à ces prestataires de services à des fins qui ne relèvent pas du champ d’application de la présente directive ». Pour autant, pas question de les obliger à mener un filtrage généralisé du Net. Cette volonté d’exclure les plateformes numériques de la responsabilité limitée conférée par la directive « E-commerce »
– dès lors qu’il s’agit de lutte contre le piratage – a été l’un des chevaux de bataille
de la France, poussée par son ministère de la Culture. Le Conseil supérieur de la propriété littéraire et artistique (CSPLA), dont il dépend, milite de longue date – depuis le rapport « Sirinelli » (8) de novembre 2015 sur « l’articulation » des directives 2000/31 (« Ecommerce ») et 2001/29 (« DADVSI ») – pour une responsabilisation des hébergeurs pour lutter contre le piratage d’oeuvres protégées. Bref, les industries culturelles et leurs ayants droits ont presque eu gain de cause en obligeant – à l’échelon européen – les YouTube, Facebook et autres Dailymotion à filtrer tous les échanges de contenus musicaux, vidéos ou photographiques.
Que de rebondissements autour de cet article 13 controversé, après que les eurodéputés aient d’abord rejeté le 5 juillet 2018 le projet de directive « Droit d’auteur dans le marché unique numérique » (9), puis après l’avoir ensuite adopté le 12 septembre sous une version légèrement amendé. Etaient alors notamment exclues
de son champ d’application « les petites et micro-plateformes ou agrégateurs, afin d’encourager les start-up et l’innovation » (10). Cette exemption de l’obligation de filtrer les contenus pour les PME-TPE du numérique était une exigence de l’Allemagne mais pas de la France.

Les petites plateformes et start-up épargnées
Finalement, lors d’un compris franco-allemand trouvé le 8 février en réunion du trilogue, cette disposition a été maintenue pour les entreprises cumulant trois critères : avoir moins de trois ans d’existence, générer un chiffre d’affaires de moins de 10 millions d’euros, atteindre un niveau d’audience de moins de cinq millions de visiteurs uniques par mois. Au moins cinq pays européens n’ont pas été convaincu de « l’avancée » que constituait cette réforme contestée. Rendez-vous au printemps pour le vote final. @

Charles de Laubier

Le marché mondial des smartphones baisse pour la première fois : mauvais présage pour la 5G

Entre – 3 % et – 5 %. C’est la baisse des ventes mondiales de smartphones en 2018 par rapport à l’année précédente. Du jamais vu sur ce marché high-tech habitué à des croissances annuelles depuis dix ans. Ce coup frein n’est pas de bon augure pour la future 5G, laquelle promet monts et merveilles à Barcelone.

« Nous pensons que plusieurs facteurs entrent en jeu ici, notamment l’allongement des cycles de renouvellement, l’augmentation des taux de pénétration sur de nombreux grands marchés, l’incertitude politique et économique, ainsi que la frustration croissante des consommateurs face à la hausse continue des prix », avance Ryan Reith (photo de gauche), analyste au sein du cabinet d’études IDC. La grandmesse internationale du mobile à Barcelone, du 25 au 28 février, ne sera pas vraiment à la fête.

La 5G va arriver au pire moment
Ce coup de froid sur les smartphones intervient alors que la 5G s’annonce déjà pour 2020 au plus tôt (1), sans que l’on sache encore vraiment si les consommateurs mobinautes seront demandeurs et surtout prêts à payer encore plus cher leur objet fétiche lesté d’un forfait très haut débit plus coûteux lui aussi. « Nous nous attendons
à ce que ces nouveaux appareils [5G] augmentent les prix de vente moyens, car de nouveaux écrans, des micro-processeurs et des systèmes radio feront monter le prix
de la nomenclature des équipements, ou BOM (2), ce qui se traduira par des prix plus élevés pour les consommateurs. Pour lutter contre cela, les opérateurs mobile et les distributeurs devront maximiser le plus possible les offres de reprise des anciens smartphones comme une forme de subvention, afin de favoriser les mises à niveau
tout au long de 2019 », prévient Ryan Reith.
Le coût de plus en plus élevé des smartphones pour les consommateurs explique donc en bonne partie l’amorce d’un déclin de ce marché mondial. Tout le monde ne peut pas s’offrir un modèle à 1.000 dollars ou 1.000 euros ! Selon les cabinets d’études, la baisse historique de 2018 par rapport à 2017 est de -3 % (GfK), -4 % (IDC) ou -5 % (Canalys). Pour autant, les smartphones constituent toujours aujourd’hui un marché
de masse qui atteint tout de même 1,4 milliard d’unités vendues sur l’année 2018. Mais le pic des ventes des téléphones intelligents a été atteint en 2017 (malgré une baisse de -0,5 %) et pourrait être le dernier record, tandis que le marché des tablettes – bien moins important en taille avec à peine plus de 150 millions d’unités vendues – avait affiché son plus haut niveau en 2013 (3). « Ce n’est pas un choc pour les fabricants
de smartphones de savoir que le marché a dépassé son plus haut niveau. Les consommateurs gardent en fait leur mobile aussi longtemps que l’innovation des appareils ralentit », assure Benjamin Stanton (photo de droite), analyste chez Canalys. L’effet des écrans agrandis sur les ventes est passé (4). La 5G est encore loin pour le grand public, même si Barcelone donne l’illusion qu’elle est déjà là. Et les écrans pliables – tels que celui du Galaxy F (Galaxy Fold), dont le prototype a été présenté par Samsung le 20 février en vue d’une commercialisation prévue avant la fin du premier semestre – suffiront-ils à re-séduire les mobinautes devenus plus économes ? Sans vraie innovation, sans faire flamber les prix, pas de second souffle. Les marchés dits “développés” (les plus riches) sont saturés, comme l’a démontré le Pew Research Center sur les usages.
Les seuls pays qui enregistrent encore une croissance de leur marché des smartphones – Inde, Indonésie, Corée, Vietnam ou encore Russie – n’ont pas compensé le déclin de la Chine, laquelle pèse à elle seule environ un tiers du marché mondial des smartphones. L’Empire du Milieu fait face à un ralentissement de son marché intérieur, ce qui tire vers le bas les ventes mondiales. De plus, la bataille géopolitique entre les Etats-Unis et la Chine contribue au ralentissement du marché mondial des smartphones. Huawei, justement, est le premier challenger d’Apple (5) :
il y a un an, la firme de de Shenzhen avait détrôné pour la première fois la marque américaine à la pomme de la seconde place mondiale des fabricants de smartphones (6). Bien qu’Apple ait repris, pour l’instant, cette deuxième marche du podium, Huawei (14,8% de parts de marché en 2018 selon Canalys, 14,7 % selon IDC) talonne le fabricant d’iPhone (15,3 % selon Canalys, 14,9% selon IDC). Toujours numéro un mondial des smartphones, le sud-coréen Samsung (21,2 % selon Canalys, 20,8 % selon IDC) vient de réorganiser sa division « smartphone » pour mieux conforter sa première place en 2019 face aux assauts des chinois Huawei, Oppo, Vivo et Xiaomi.

Le plus dur reste à venir
Onze ans après le lancement du premier iPhone, la révolution du tout petit écran est terminée – du moins est-ce la fin d’un premier cycle d’innovations à portée de main.
Au niveau mondial, l’année 2018 a dépassé la barre des 3 milliards d’utilisateurs de smartphone. Selon Forrester Research, poursuivre au-delà sera désormais plus difficile. @

Charles de Laubier

Sésame culturel : il faut que jeunesse se « Pass »

En fait. Le 9 février est paru au Journal Officiel l’arrêté daté du 5 février précisant les conditions d’ouverture d’un compte personnel numérique « Pass Culture » pour les jeunes de 18 ans, ainsi que les quelques communes concernées par cette « expérimentation (…) pour une durée de trois ans ».

En clair. Présenté comme une « révolution » par l’ancienne ministre de la Culture Françoise Nyssen, qui avait laborieusement préparé le terrain pour mettre en oeuvre cette promesse du candidat Emmanuel Macron au printemps 2017, le Pass Culture
est donc entré en phase expérimentale le 15 février et pour trois ans. Pour autant, le lancement de ce sésame culturel d’une valeur de 500 euros à l’attention des jeunes
de 18 ans ne se fait pas d’emblée au niveau national. Comme si le président de la République et le gouvernement n’étaient toujours pas convaincu du bien-fondé de
cette initiative politique, au moment où la France fête cette année 2019 les 60 ans
de la création – par André Malraux, le 3 février 1959 – du ministère de la Culture.
Seuls cinq départements (1) bénéficieront de cette première phase de test sur la base de jeunes se déclarant « volontaires ». Ils sont actuellement 13.000 dans ce cas. Il faudra attendre une deuxième vague prévue avant l’été – en mai-juin – pour que le Pass Culture soit étendu à d’autres départements et élargie cette fois à des non-volontaires. La loi de finances 2019 a budgété 34 millions d’euros pour cette année – soit l’équivalent de 68.000 jeunes… seulement. Mais à terme, si les trois ans d’essai sont concluants, les quelque 800.000 jeunes de 18 ans que compte la France seront concernés pour un crédit culturel total à consommer de 400 à 450 millions d’euros par an – en fonction du nombre de jeunes ayant leur majorité. « Le modèle économique du Pass Culture repose aussi sur la participation des partenaires de l’Etat [lequel n’entend pas financer l’opération avec l’argent du contribuable au-delà de 100 millions d’euros, ndlr] », avait assuré le ministre de la Culture, Franck Riester.
S’il convainc, le Pass Culture ne sera pas d’envergure nationale avant 2022, l’année
de la prochaine présidentielle… Indépendamment de sa généralisation à pas comptés, le Pass Culture favorise l’« exception culturelle » française en mettant à l’écart de ce dispositif les GAFAN tels que Netflix, Amazon ou encore Apple (2). En revanche, les autres plateformes européennes comme Spotify, Deezer, Canal Play, FilmoTV ou encore les jeux vidéo d’Ubisoft sont éligibles. La culture en ligne ou les livres sont
à consommer avec modération, plafonnés à 200 euros, ce qui n’est pas le cas pour certaines cultures « physiques » (3). @

Déstabilisé par Netflix, Canal+ en appelle à la loi

En fait. Le 20 février, Gérald-Brice Viret, directeur général des antennes de Canal+, était l’invité d’honneur d’un dîner-débat organisé au Sénat par le Club audiovisuel de Paris (CAVP). Il s’est dit « optimiste » face aux plateformes numériques telles que Netflix et compte beaucoup sur la réforme audiovisuelle.

En clair. Lors du dîner du Club audiovisuel de Paris (CAVP), le 20 février, le directeur général des antennes de Canal+, Gérald- Brice Viret, avait à sa gauche la sénatrice Catherine Morin- Desailly (Union centriste) et à sa droite le sénateur Jean-Pierre Leleux (Les Républicains). « Je crois beaucoup dans la (future) nouvelle loi de l’audiovisuel pour qu’il y ait une équité de traitement [entre les chaînes et les plateformes numériques]», a-t-il confié, en espérant un projet de loi d’ici fin 2019 ou début 2020.
Le 21 février, l’Autorité de la concurrence a d’ailleurs fait des propositions à l’Assemblée nationale (https://lc.cx/ AvisAudiovisuel). En attendant, Canal+ est à la peine face à
un Netflix qui a confirmé le 13 février avoir atteint les 5 millions d’abonnés en France
– même si la firme californienne de Los Gatos se garde bien d’indiquer le taux de conversion des « gratuits » en « payants » sur les centaines de milliers d’essais
gratuits (1). Arrivé dans l’Hexagone trente ans (2) après la naissance de Canal+, Netflix a eu en moins de cinq ans une progression fulgurante. A tel point que la société de Reed Hastings rouvre pour de bon en 2019 un bureau à Paris. De quoi mettre à rude épreuve l’optimisme déclaré de Gérald-Brice Viret sur l’avenir de la première chaîne cryptée française : le nombre d’abonnés individuels en France métropolitaine est largement passé sous la barre des 5 millions d’abonnés, à 4.733.000 précisément,
en raison d’une baisse de 4,4 % enregistrée en 2018. L’arrêt l’an dernier de son service de SVOD CanalPlay n’a pas aidé, mais Gérald-Brice Viret compte bientôt le relancer. Malgré la refonte de l’offre Canal+ en novembre 2016 (19,90 euros par mois au lieu des 39,90) et la mise en place du spécial « jeunes » (9,95 euros) en mai 2018, le taux de résiliation (churn) reste élevé à 13,6 %. A ce parc « France » d’abonnés en direct, il faut ajouter les 3.093.000 abonnés via les partenariats avec Orange (lire EM@ 172, p. 1), Free et, depuis mai 2018, Apple TV. Mais ces abonnements indirects sont également en baisse et plus destructeurs de valeur. Seule consolation pour Gérald-Brice Viret : Canal+ à l’international (Afrique, Pologne, Asie, Outremer) est en hausse de 12,7 %
en 2018 à 7,8 millions d’abonnés (3) – 7.831.000 exactement. Pour les marchés francophones, Gérald- Brice Viret se demande d’ailleurs « si MyCanal, Molotov et
Salto [auquel Canal+ ne veut pas participer, ndlr] ne devaient se mettre autour
d’une table »… @

Les Etats et la régulation des GAFAM : le paradoxal retour à la souveraineté nationale

Dès le début du XXe siècle avec la Standard Oil, puis avec les conglomérats
de l’électricité, du rail ou des télécoms, et récemment de l’agro-alimentaire
ou de l’industrie pharmaceutique, les lois antitrust américaines ont préservé
la concurrence en démantelant des groupes surpuissants. Et sur Internet ?

Par Rémy Fekete, avocat associé, cabinet Jones Day

Indulgence des autorités de la concurrence ou inadaptation de la régulation de la concurrence à l’ère numérique, les GAFAM ont été laissés libres de poursuivre leur croissance interne et l’acquisition de leurs concurrents (1) pour devenir non seulement les « géants du numérique », mais surtout des concurrents significatifs dans tous les domaines d’activité : régie publicitaire, secteur bancaire
et financier, et vente de tous biens et services.

L’exéquatur rendu difficile
On a pu en conclure que la régulation à l’échelle nationale – que ce soit en matière fiscale, sociale, concurrentielle ou dans les domaines de la régulation des médias et des télécoms – n’était plus adaptée à ces acteurs globaux. Il est vrai que le principe
de l’économie numérique, cette désintermédiation mettant en contact directement l’entreprise globale et ses consommateurs à travers le monde, laisse peu de prises
aux instruments juridiques traditionnels. Sans présence physique, ni filiale ni distributeur ou agent, il est en effet difficile d’appréhender l’entité à qui imposer la réglementation nationale. Au surplus, les groupes internationaux ont su optimiser les conditions légales applicables selon les pays, dans des organisations qui rendent difficiles l’exéquatur des règles et décisions de justice à leur encontre.
Ce phénomène s’illustre particulièrement en matière de fiscalité : dès lors que le critère pour taxer une entreprise repose sur la présence physique de celle-ci – à savoir un établissement stable –, la fourniture de ses prestations numériques ne saurait justifier
à elle seule une imposition de son activité, du moins à l’aune du droit positif (2).
Il y a également une inadéquation de certaines modalités d’application du droit de la concurrence à l’économie numérique, laissant la porte ouverte à des activités non contrôlées, à des acteurs non régulés. En effet, dès lors que le chiffre d’affaires déclaré est érigé en critère de référence dans l’examen d’une concentration à l’échelle nationale (3), l’organisation en nuage des entreprises du numérique leur a permis
de demeurer sous les seuils nationaux en vigueur. Devant l’inertie des mécanismes nationaux, on a pu craindre que l’Etat soit devenu impuissant – voire obsolète – pour engager une régulation efficace du numérique, et orienter ses espoirs vers une action supranationale pour tenter de régenter efficacement les acteurs globaux du Net. L’année 2018 a été en partie décisive pour la régulation internationale des grandes entreprises du numérique, avec l’entrée en vigueur en Europe à compter de mai 2018 du RGPD (4) : la concomitance de son entrée en vigueur avec le déferlement médiatique lié aux affaires de pillage de données personnelles à des fins électorales
a sûrement aidé au succès du modèle européen. On est loin du modèle initial défendu par Eric Schmidt (5) en 2009 lorsqu’il affirmait que « seuls les criminels se soucient de protéger leurs données personnelles » (6). Ironie, dix ans plus tard, le 21 janvier 2019, la Cnil a infligé à Google une amende de 50 millions d’euros pour non-respect du RGPD justement (lire pages 6 et 7).
Sur le terrain fiscal, les espoirs d’une solution globale risquent de s’évanouir. La Commission européenne avait pourtant proposé le 21 mars 2018 une taxe européenne sur les recettes publicitaires (7). Cependant, au sein du Conseil de l’Union européenne (UE), l’unanimité est requise en matière fiscale (8). Tant que certains pays membres – Irlande, Suède, Danemark – verront leurs intérêts propres à héberger des groupes internationaux comme supérieurs à l’intérêt global qui tend à une régulation fiscale raisonnable de ceux-ci, le vote d’une taxe européenne sur les services numériques restera à l’état de chimère. La Commission européenne vient de suggérer le passage
à la majorité qualifiée pour certaines propositions législatives relatives à la fiscalité (9). Mais cette modification ne requiert-elle pas elle-même un vote à l’unanimité ? Il est parfois des gesticulations qui sont autant d’aveux d’impuissance.

L’OCDE espère « le consensus d’ici 2020 »
L’OCDE (10) s’est pourtant saisi du sujet de la fiscalité des acteurs du numérique depuis plus de vingt ans (11) avec son « Plan d’action sur l’érosion de la base d’imposition et le transfert de bénéfices » (BEPS). Malgré son rapport de 2015 sur
« l’Action 1 » (12) et son rapport du 16 mars 2018 sur « les défis fiscaux soulevés par
la numérisation » (13), un accord international dans le cadre de l’OCDE ne sera pas adopté avant 2020. Pascal Saint-Amans, directeur du centre de politique et d’administration fiscales de l’OCDE, peut se réjouir, le 21 janvier 2019, que « la communauté internationale [ait] fait un pas significatif vers la résolution des défis fiscaux soulevés par la numérisation de l’économie » (14). Il reste qu’il a fallu cinq ans
à l’organisation internationale pour produire un rapport qui n’est que la première étape de longues discussions. A titre de comparaison, dans l’intervalle, Amazon a plus que doublé son chiffre d’affaires entre 2014 et 2018 (15).

Organisations internationales : impéritie ?
L’Afrique n’est pas en reste : si la téléphonie et le paiement mobile sont largement diffusés, l’économie numérique africaine n’en est qu’à son émergence, et c’est un euphémisme de dire que les GAFAM sont jusqu’à présent peu sensibles aux interpellations des autorités africaines. L’exiguïté des marchés domestiques nationaux du Continent rend d’autant plus urgente une intervention panafricaine. L’Union africaine (UA) vient de lancer un forum de discussion avec l’UE en matière d’économie numérique afin de trouver des solutions communes (16). L’alliance Smart Africa
– qui comprend neuf Etats membres et qui est présidée par Paul Kagamé (17) – promeut une plus grande souveraineté numérique via l’investissement dans les infrastructures et la gouvernance numérique panafricaine.
Toujours est-il que le temps d’élaboration de propositions internationales apparaît d’une longueur en décalage avec la vitesse à laquelle les géants de l’Internet acquièrent de nouvelles parts de marché dans tous les domaines de l’économie. La compétence des organismes internationaux, UA ou OCDE, reste pour l’essentiel au stade de l’aimable recommandation. Ils ne porteront pas d’effet avant de faire l’objet de mise en oeuvre
au sein du droit positif de chaque pays. A la suite de ce long cheminement qui aura consacré l’impéritie des organisations communautaires et internationales, il semble que l’on voit sous un jour plus favorable aujourd’hui la pertinence d’interventions étatiques dans la régulation du Net.
Face à l’urgence soulevée par l’économie numérique, la souveraineté nationale fait l’objet d’un retour en grâce.
• Levier n°1 : le droit national fiscal
Face à un projet européen de taxe sur les services numériques en difficulté, la France
a déclaré vouloir prélever sa propre taxe sur les GAFAM dès le 1er janvier 2019. Un projet de loi sera voté cette année, avec un effet rétroactif pour l’année 2019 (18). L’Espagne a voté un impôt de 3 % sur la publicité  en ligne, les plateformes et la revente de données personnelles dans le cadre de son budget pour 2019 ; la Grande-Bretagne s’apprête à adopter une taxe de 2 % sur le chiffre d’affaires des géants du numérique ; l’Italie a voté un prélèvement de 3 % sur les transactions digitales entre entreprises ; l’Autriche devrait suivre. Le sujet est également à l’ordre du jour en Inde
et à Singapour.
• Levier n°2 : Le droit national de la concurrence Faut-t-il encore considérer que le
e-commerce est un marché différent du commerce physique et que les acteurs de ces deux mondes ne sont pas concurrents ? Avec sa décision Fnac-Darty (19), il semble que l’Autorité de la concurrence considère désormais comme appartenant au même marché pertinent les ventes en ligne et les ventes en magasins. Dorénavant, celle-ci tend à englober les acteurs de l’ecommerce dans son analyse des marchés pertinents pour évaluer les concurrents des magasins physiques, de sorte que les deux canaux sont pleinement substituables.
• Levier n°3 : Le droit national des communications électroniques La neutralité
du Net constitue un principe fondateur d’Internet, protégé par un règlement européen
« Internet ouvert » (20) de 2015 et en France par la loi pour une « République numérique » (21) de 2016, tandis que certains parlementaires proposent même une Charte du numérique à l’occasion de la future réforme constitutionnelle. Pourtant,
ses effets peuvent être préjudiciables pour l’écosystème national et donner lieu à
des situations asymétriques au profit des géants du numérique, au détriment des opérateurs investissant en infrastructures.
Si le nouveau code européen des communications électroniques (22) tend à inclure
ces nouveaux acteurs dans son champ d’application, le régime des Over-The-Top (OTT) reste moins contraignant que celui des opérateurs télécoms classiques (23). Surtout, la généralisation de la vidéo et la multiplication d’applications gourmandes
en capacités augmentent le besoin en débit. Or, une participation des GAFAM aux investissements considérables dans la fibre ou la 5G n’est manifestement pas à l’ordre du jour. Totem fragile, le principe de neutralité du Net commence à être révisé, y compris aux Etats Unis, au nom de l’investissement et de l’innovation (24).
• Levier n°4 : Le droit national de l’audiovisuel
Force est de constater que les acteurs OTT, qui fournissent des services audiovisuels en accès direct sur Internet, ne sont pas soumis aux mêmes règles de diffusion que
les éditeurs de services hertziens. L’adoption en novembre dernier de la révision de la directive européenne SMA (25) devrait permettre d’étendre le champ d’application de
la régulation audiovisuelle aux plateformes et aux réseaux sociaux. Audiovisuel : deux poids, deux mesures Toutefois, certaines obligations – telles que l’obligation de pluralisme, de diversité culturelle et de visibilité des contenus d’intérêt général – n’ont pas été mises à la charge des plateformes de partage vidéo, alors même qu’elles proposent des contenus reçus sur les mêmes terminaux que les acteurs classiques. Aussi, c’est une des fiertés du président sortant du CSA, Olivier Schrameck (26), de penser avoir obtenu que la future loi sur l’audiovisuel confère au CSA une compétence sur la régulation des médias numériques. @

Etant basé en Irlande, Google compte rendre illégal l’amende de la Cnil devant le Conseil d’Etat

Le Conseil d’Etat devra dire si la Cnil est compétente pour sanctionner financièrement Google dont le siège européen est basé en Irlande. La firme de Mountain View doit payer 50 millions d’euros pour non-respect du règlement général sur la protection des données (RGPD) sur Android.

Google fait donc appel de la décision de la Cnil (1) qui lui a infligé le 21 janvier dernier une amende de 50 millions d’euros « en application du RGPD (2) pour manque de transparence, information insatis-faisante et absence de consentement valable pour la personnalisation de la publicité ». Pour autant, ce n’est pas le montant de la sanction financière – une goutte d’eau au regard des dizaines de milliards de dollars qu’engrange chaque année la firme de Mountain View (3) – qui va contester devant
le Conseil d’Etat, mais bien la compétence de la Cnil dans cette procédure.

« Cnil » irlandaise et Google Irlande à Dublin
Google, qui s’est bien gardé d’évoquer le problème dans son communiqué laconique
du 23 janvier savamment distillé auprès de quelques médias, va demander à la haute juridiction administrative d’invalider la délibération du 21 janvier – publiée au Journal Officiel du 22 janvier (4). Car, selon le géant du Net, « la Cnil n’est pas compétente pour mener cette procédure et qu’elle aurait dû transmettre les plaintes reçues à l’autorité
de protection des données irlandaise » – en l’occurrence la DPC (The Data Protection Commission), basée à Dublin. C’est justement à Dublin, la capitale de l’Irlande, qu’est établie la société Google Ireland Limited, dont la directrice des affaires publiques et relations gouvernementales est Anne Rooney (photo), une Irlandaise francophone et francophile. C’est elle qui dirige Google Ireland, sous la présidence européenne de Matt Brittin (5), en charge des opérations et basé à Londres. Plus connu en France où il est installé, Carlo d’Asaro Biondo est, lui, président européen des partenariats – tous les trois sur les régions EMEA (Europe, Moyen-Orient et Afrique).
Sur son profil LinkedIn, Anne Rooney déclare : « Je suis responsable de la gestion
et de la direction des agendas produits et politiques avec les décideurs politiques externes, le gouvernement, les régulateurs et les tierces parties au nom de Google Irlande et EMEA. Je développe et dirige l’engagement en matière de politiques publiques et de réglementation dans toute la gamme des domaines stratégiques qui
ont une incidence sur Google et le Web. Les questions clés comprennent l’innovation technologique, le développement économique et la sécurité ». Sa maison mère est formelle et a eu l’occasion de l’affirmer à plusieurs reprises devant la Cnil : Google Ireland Limited doit être considérée comme son établissement principal au sein de l’Union européenne pour certains des traitements transfrontaliers qu’elle met en oeuvre, « et notamment ceux objets des plaintes reçues par la Cnil ». En conséquence, poursuit Google, la DPC devrait être considérée comme l’autorité de contrôle compétente et
« chef de file » en charge, à ce titre, de traiter les plaintes reçues par son homologue française.
Devant le Conseil d’Etat, le géant du Net ne manquera pas de rappeler – comme il
l’a exposé devant la Cnil dans ses observations écrites (des 22 novembre 2018 et 4 janvier 2019) ainsi qu’oralement le 15 janvier dernier – que son siège social pour ses opérations européennes se situe précisément en Irlande depuis 2003. Google Ireland Limited est « l’entité en charge de plusieurs fonctions organisation-nelles nécessaires
à la réalisation de ces opérations pour la zone Europe, Moyen-Orient et Afrique (secrétariat général, fiscalité, comptabilité, audit interne, etc.) ». C’est en outre de cette société basée à Dublin que relève « la conclusion de l’intégralité des contrats de vente de publicités avec les clients basés dans l’Union européenne ». Le QG européen de Google emploie plus de 3.600 salariés et, selon les affirmations de l’entreprise elle-même, dispose d’une équipe dédiée en charge de « la gestion des demandes faites
au sein de l’Union européenne en lien avec la confidentialité et d’un responsable chargé de la protection de la vie privée ». Google a aussi précisé à la Cnil qu’une réorganisation tant opérationnelle qu’organisationnelle était en cours « en vue de
faire de la société Google Ireland Limited le responsable de traitement pour certains traitements de données à caractère personnel concernant les ressortissants
européens ».

Pour Google, la Cnil n’est pas « chef de file »
Autre argument avancé par Google : la définition d’établissement principal doit être distinguée de celle de responsable de traitement. « Si le législateur européen avait voulu que la notion d’établissement principal soit interprétée comme le lieu où les décisions concernant les traitements sont prises, il l’aurait expressément indiqué », estime la firme de Mountain View. De plus, invoquant la nature transfrontalière des traitements de personnalisation de la publicité et du nombre significatif d’utilisateurs d’Android en Europe faisant l’objet de ces traitements de données personnelles, dont probablement plus de 30 millions de mobinautes en France (6), elle considère que « les mécanismes de coopération et de cohérence tels que prévus [par le] RGPD auraient dû s’appliquer » et que « le Comité européen de la protection des données (CEPD) aurait dû être saisi en cas de doute sur la détermination de l’autorité chef de file ».

Sanctions suivantes : après Android, au tour de YouTube, Gmail et Search ?
Google s’appuie en particulier sur l’article 60 du RGPD, selon lequel l’autorité de contrôle chef de file coopère avec les autres autorités de contrôle concernées en s’efforçant de parvenir à un consensus – l’autorité de contrôle chef de file et les autorités de contrôle concernées échangeant toute information utile. De plus, en
dehors de la procédure engagée par la Cnil, Google estime « sans effet juridique »
les discussions informelles qui ont pu avoir lieu entre les autres autorités européennes de contrôle sur cette procédure « dès lors qu’elles ont eu lieu sans sa présence ».
La non reconnaissance par Google de l’autorité « chef de file » que s’est arrogée la
Cnil sera ainsi au coeur des réflexions du Conseil d’Etat qui devra dire si l’autorité
– présidée par Marie-Laure Denis depuis début février – a outrepassé ou pas ses compétences territoriales et si sa sanction financière est légale ou non.
Dans son considérant n°36, le RGPD prévoit que « l’établissement principal d’un responsable du traitement dans l’Union (européenne) devrait être le lieu de son administration centrale dans l’Union, à moins que les décisions quant aux finalités et aux moyens du traitement des données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l’Union, auquel cas cet autre établissement devrait être considéré comme étant l’établissement principal ». Google Ireland Limited à Dublin aurait dû alors être reconnu comme l’établissement principal en Europe et la « Cnil » irlandaise (DPC) comme le chef de file pour instruire la procédure sur les éléments fournis par son homologue française.
Cette dernière, en se référant aux lignes directrices du CEPD du 5 avril 2017 concernant la désignation d’une autorité de contrôle chef de file d’un responsable de traitement ou d’un sous-traitant (7), juge que la filiale irlandaise de Google ne dispose d’« un quelconque pouvoir décisionnel quant aux finalités et aux moyens des traitements couverts par la politique de confidentialité présentée à l’utilisateur lors de la création de son compte, à l’occasion de la configuration de son téléphone mobile sous Android ». La Cnil reconnaissant seulement son rôle dans les « activités financières et comptables, vente d’espaces publicitaires, passation de contrats etc ». L’amende de
50 millions d’euros porte sur le système d’exploitation des terminaux mobiles Android assorti de l’App Store Google Play, ainsi que sur l’activité de régie publicitaire. Il est reproché à Google de demander aux mobinautes Android d’accepter sa politique de confidentialité et ses conditions générales d’utilisation des services – et surtout, qu’à défaut d’une telle acceptation, les utilisateurs ne pourraient utiliser leur terminal (smartphone ou tablette sous Android).
Le géant du Net se permet en outre d’exploiter les traitements de données à caractère personnel à des fins publicitaires (analyse comportementale et ciblage). Or, pour enfoncer le clou, la Cnil révèle un courrier en date du 3 décembre 2018 adressé à la DPC à Dublin pour lui annoncer « que le transfert de responsabilité de Google LLC
vers la société Google Ireland Limited sur certains traitements de données à caractère personnel concernant les ressortissants européens serait finalisé le 31 janvier 2019 ». Par ailleurs, Google vient de procéder à la mise à jour de ses règles de confidentialité qui sont entrées en application le 22 janvier 2019 – soit le lendemain de sa mise à l’amende par la Cnil ! La Quadrature du Net, association française de défense des droits et libertés numériques, qui fut avec l’association autrichienne NOYB (None Of Your Business, « ce n’est pas tes affaires ») à l’origine des plaintes contre Google, dénonce cette manoeuvre qu’elle estime grossière et appelle la Cnil à continuer à sanctionner au-delà d’Android. « Nous attendons de la Cnil qu’elle ignore cette pirouette éhontée et décide de rester compétente pour prononcer les autres sanctions contre YouTube, Gmail et Google Search, notre plainte ayant été déposée bien avant ce changement unilatéral des conditions d’utilisation imposées par l’entreprise ».

Europe : 95.000 plaintes en 8 mois, c’est peu
Le bras de fer entre Google et la Cnil devant le Conseil d’Etat intervient au moment
où la Commission européenne a annoncé le 25 janvier – Journée de la protection des données – qu’au cours des huit mois depuis l’entrée en vigueur du RGPD (le 25 mai 2018), « les autorités nationales de protection des données ont reçu plus de 95.000 plaintes de citoyens à ce jour », dont 255 font l’objet d’une enquête de la part des
« Cnil » (8). Objectivement, c’est très peu au regard des quelques centaines de millions d’Européens connectés à Internet et détenteurs de smartphones. @

Charles de Laubier