Pourquoi Axel Springer a perdu son procès contre Eyeo, éditeur du logiciel Adblock Plus

Retour sur un verdict attendu depuis trois ans : dans sa décision du
19 avril 2018, la Cour suprême fédérale de Justice allemande a jugé
« légal » le logiciel de blocage de publicités en ligne Adblock Plus, déboutant le groupe de médias Axel Springer de sa plainte pour concurrence déloyale.

C’est un revers pour le groupe allemand qui publie non le quotidien Bild,
le plus lu outre-Rhin et la plus forte diffusion de la presse en Europe occidentale, mais aussi Die Welt, ainsi que de nombreux sites web (Businessinsider.com, SeLoger, Logic-Immo, …). En 2015, l’éditeur berlinois avait fait appel et obtenu un référé à l’encontre de la société allemande Eyeo qui éditeur Adblock Plus, l’un des logiciels anti-pub sur Internet les plus utilisés dans le monde.

Consécration de l’adblocking
Axel Springer avait essuyé un échec en première instance à Cologne où Eyeo avait remporté une première victoire judiciaire – comme cela avait déjà été le cas après les premières plaintes de ProSiebenSat.1 Media et RTL Group. Mais, en juin 2016, la cour d’appel de Cologne ne l’avait pas entendu de cette oreille en voyant au contraire de la concurrence déloyale dans l’activité de la société Eyeo qui avait alors porté l’affaire devant la Cour suprême fédérale de Justice allemande. Cette fois, c’est de nouveau Eyeo qui l’emporte. La plus haute juridiction allemande basée à Karlsruhe a en effet rendu son verdict le 19 avril dernier (1), en jugeant « légal » le logiciel Adblock Plus. « L’offre du logiciel bloqueur de publicités Adblock Plus ne viole pas la loi contre la concurrence déloyale », ont déclaré les juges suprêmes. Ils estiment que le programme informatique n’interférait pas dans l’offre publicitaire des sites web des éditeurs et des médias et surtout que son utilisation dépendait de « la décision autonome des internautes ». Adblock Plus, qui est une extension téléchargeable gratuitement pour fonctionner avec tout navigateur web, est actif sur plus de 100 millions de terminaux dans le monde, Europe en tête.
Mais, toutes marques confondues, le nombre de ces logiciels anti-pub installés dans tous les pays dépasserait les 600 millions. C’est dire que le verdict aura des implications bien au-delà de l’Allemagne. Pour la Cour suprême, il s’agit d’une nouvelle façon de faire jouer la concurrence et en toute légalité. Il n’y a pas à ses yeux de pratique commerciale illégale. La société Eyeo – cofondée par son président Tim Schumacher, son directeur général Till Faida et son développeur Wladimir Palant – s’est défendue de vouloir entraver l’activité des éditeurs. Elle a dit rechercher simplement à rendre plus légitimes ses propres objectifs commerciaux, sans passer outre les barrières techniques que le groupe Axel Springer avait mis en place pour protéger ses contenus. Les juges ont estimé qu’utiliser un adblocker est un choix d’utilisateur indépendant, tout en soulignant que les éditeurs de sites web et de médias en ligne avaient adopté des contre-mesures telles que le renvoi des utilisateurs ayant un adblocker activé vers des espaces payants (paywalls). Le verdict du 19 avril va donc à l’encontre du tribunal régional de Cologne, lequel, en juin 2016, avait au contraire jugé déloyale (2) au regard de la concurrence l’activité de la société Eyeo (dont le siège social est à Cologne justement). Et ce, en incitant d’autres acteurs du marché à prendre des décisions qu’ils n’auraient prises pas autrement : de telles pratiques commerciales agressives sont sanctionnées par la section 4a du la loi allemande sur la concurrence déloyale si elles résultent d’un abus de pouvoir commercial. Contrairement au tribunal de Cologne, la Cour suprême constate qu’Eyeo n’a pas influencé à l’excès les annonceurs qui veulent faire affaire avec les sites web d’Axel Springer.
L’outil controversé bloque les publicités intempestives, les « pop-up » ou encore les pubs vidéo. La société Eyeo a en effet constitué avec des annonceurs une « liste blanche » qui sélectionne les publicités en ligne jugées les moins intrusives selon ses propres critères. Les internautes peuvent ainsi bloquer celles qui ne sont pas des « Acceptable Ads », lesquelles se retrouvent cette fois dans une « liste noire », ou bien l’utilisateur peut au contraire choisir de désactiver cette option pour n’en bloquer aucune. Cela revient à « whitelister » les éditeurs qui acceptent de payer une taxe sur leurs recettes publicitaires pour passer entre les mailles du filet Adblock Plus, et donc à « blacklister » ceux qui refusent de payer.
Ce droit de passage est dénoncé par des éditeurs de sites web et des médias.

Une « liste blanche » payante
« Ce qui est surprenant dans cette décision est l’approbation de l’adblocking indépendamment du modèle économique qui le sous-tend derrière. (…) Mais le jugement devrait-il changer si, comme Adblock Plus, le bloqueur de publicité rend disponible une liste blanche pour contenter des éditeurs et des annonceurs contre le paiement ? », s’interroge Anthonia Ghalamkarizadeh, conseil juridique chez Hogan Lovells à Hambourg.
Car si un éditeur de contenu ou un annonceur veulent que leurs messages publicitaires pénètrent dans la barrière du adblocking, un paiement peut aboutir à un traitement préférentiel. « Et l’adblocker devient commercialement partisan, poursuit-elle. Ce n’est pas certainement dans l’intérêt supérieur des utilisateurs, dont la liberté de choix est fortement mise sous le feu des projecteurs dans le débat en cours sur l’adblocking ».

Entrave à la liberté de la presse ?
A l’issu du verdict, la société Eyeo s’en est félicitée : « Nous sommes satisfaits que la plus haute juridiction d’Allemagne ait soutenu le droit de chaque citoyen Internet à bloquer la publicité indésirable en ligne. Comme nous le faisons depuis 2014, nous continuerons à nous battre pour les droits des utilisateurs en Allemagne et dans le monde entier ». Après sa défaite judiciaire, Axel Springer a indiqué à l’agence de presse allemande DPA vouloir déposer « une plainte constitutionnelle pour entrave à la liberté de la presse ». Au-delà de l’affaire « Adblock Plus » en Allemagne, c’est tous les logiciels de blocage de publicités numériques ainsi que les extensions anti-pub présentes dans tous les navigateurs web – Firefox (Mozilla), Safari (Apple), Internet Explorer (Microsoft), Chrome (Google), Opera (Opera Software) – ou sur tous les systèmes d’exploitation mobile, qui se trouvent légitimés partout dans le monde.
De son côté, la Fédération des éditeurs allemands de journaux (BDZV) a exprimé son « incompréhension » envers cette décision qui « rend massivement vulnérable n’importe quel modèle de financement de contenus journalistiques en ligne basé sur des revenus publicitaires numériques ». Les éditeurs et les médias en ligne s’inquiètent du manque à gagner grandissant. En France, où les pertes des éditeurs sont allées jusqu’à 25 % de leur chiffre d’affaires, l’affaire n’a pas été portée devant la justice mais des médias en ligne ont mené des campagnes anti-adblocking auprès des internautes. Et depuis mars 2018, des sites web ont commencé à être labellisés « Digital Ad Trust » par l’Alliance pour les chiffres de la presse et des médias (APCM) et le Centre d’étude des supports de publicité (CESP). Quant à l’Interactive Advertising Bureau (IAB), organisation professionnelle de la pub online, elle mobilise les différents acteurs autour de « bonnes pratiques vertueuses » avec l’élaboration au niveau international d’une
« charte de bonnes pratiques » (3). Au niveau européen, le label EVCF – European Viewability Certification Framework – a été lancée en août 2017
à Bruxelles par l’European Viewability Steering Group (EVSG), lequel fut créé fin 2015 à l’initiative de l’IAB Europe, de la European Association of Communications Agencies (EACA) et de la World Federation of Advertisers (WFA) « afin d’appliquer des standards européens uniformes et équitables dans la mesure de la visibilité de la publicité numérique » (4). Tandis que la société Eyeo, elle, va donc pouvoir continuer à tirer profit du adblocking, les éditeurs de contenus et de médias en ligne vont, eux, devoir d’armer de contre-mesures pour dissuader les internautes à utiliser de tels outils : inciter les visiteurs à payer s’ils ne veulent pas de publicités (paywalls), inventer de nouvelles publicités en ligne moins intrusives, plus dynamiques, voire refuser des internautes équipés d’adblockers – ce qui pourrait être considéré comme une pratique illégale au regard de la protection des données et de la vie privée.
Mais il y a un nouveau défi à relever : limiter le blocage des e-pubs dans les applications mobiles (in-app), bien que les obstacles techniques freinent pour l’instant son expansion. Adblock Plus est là aussi aux avant-postes sur iOS et Android depuis trois ans. Sur smartphones et mobiles dotés de la dernière version du système d’exploitation iOS, la 11, Apple a mis en place à l’automne dernier une nouvelle fonctionnalité baptisée ITP (pour Intelligent Tracking Prevention) visant non seulement à protéger les données personnelles de ses utilisateurs, mais aussi à rendre plus difficile l’usage de cookies – mettant au passage à mal des prestataires du ciblage publicitaire tels que le français Criteo, leader mondial dans ce domaine.
En tout cas, la décision judiciaire de Cologne intervient au moment où, en Europe, le règlement général sur la protection des données personnelles (RGPD) est entré en vigueur depuis le 25 mai 2018. Il oblige les éditeurs du Net et les publicitaires à obtenir le consentement préalable des internautes avant de déposer tout cookie – notamment publicitaire – dans le terminal. En cas de non-respect du RGPD, des amendes pourront être infligées et atteindre jusqu’à 4 % du chiffre d’affaires global annuel des entreprises.

Les cookies sous l’œil de la Cnil
En France, le dépôt de cookies ou de logiciels dans les terminaux doit se conformer à la recommandation que la Commission nationale de l’informatique et des libertés (Cnil) avait émise le 5 décembre 2013 sur les
« cookies et autres traceurs » (5), puis publiée au Journal Officiel du 7 janvier 2014, afin de rappeler à l’ordre les éditeurs de sites web sur les règles applicables depuis 2011. @

Charles de Laubier

Données personnelles, RGPD et fichiers pénaux : l’ensemble de loi de 1978 est à réécrire

Quarante ans après sa version initiale, la loi « Informatique et Libertés » de 1978 va subir un lifting historique pour transposer le « Paquet européen » sur la protection des données qui entre en vigueur le 25 mai 2018. Mais il y a un risque d’insécurité juridique et un manque de lisibilité.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Le projet de loi sur la protection des données personnelles (1) vise à permettre l’application du « paquet européen de protection des données » composé, d’une part, du règlement européen pour la protection des données (RGPD) et d’autre part, de la directive applicable aux fichiers de la sphère pénale, tous deux applicables à compter de mai 2018. En faisant l’analyse du projet de loi, on relève des différences significatives de terminologie entre les deux textes.

Pouvoirs de la Cnil et marges des Etats
Ces différences se retrouvent dans plusieurs articles de la loi
« Informatique et Libertés » du 6 janvier 1978 pourraient donner lieu à des interprétations et des difficultés de compréhension de certaines notions, qui seront sources d’insécurité juridique. A cela s’ajoutent les critiques de la Commission nationale de l’informatique et des libertés (Cnil) et du Conseil d’Etat qui pointent le « manque de lisibilité » du texte (voir encadré page suivante). Le titre Ier du projet de loi, qui traite des dispositions communes au RGPD et à la directive européenne « Fichiers pénaux », définit les missions, les pouvoirs et les modalités de contrôle de la Cnil. On peut ainsi relever que l’Autorité de contrôle pourra « présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application du règlement et de la loi du 6 janvier 1978 ».
Cette disposition interroge dans la mesure où seul le juge est le garant de l’interprétation du droit applicable aux données à caractère personnel.
La Cnil ne peut se voir ouvrir ce droit. Par ailleurs, à quel titre la Cnil interviendrait-elle dans le cadre d’une procédure civile ou d’une procédure pénale ? Les débats parlementaires auraient dû apporter des réponses sur ce point. Le projet de loi ouvre également la possibilité pour la Cnil de prononcer des sanctions dans un ordre de gradation plus pédagogique et mieux compréhensible par les responsables de traitement des données. Elle pourra, en outre, labelliser les objets connectés. Enfin, le titre Ier du projet de loi reprend le principe de l’interdiction de traitement de données dites
« sensibles » sauf en cas de traitement nécessaires à la recherche publique après autorisation de la Cnil et élargit le champ de ces données : interdiction de traiter des données génétiques, biométriques aux fins d’identifier une personne physique de manière unique, données concernant l’orientation sexuelle d’une personne.
S’agissant du titre II du projet de loi « RGPD », on relève que, en cas de divergences de législations entre Etats membres de l’Union européenne (UE) liées aux marges de manœuvre laissées à ces derniers sur plusieurs points, la loi nationale s’applique dès lors que la personne réside en France, y compris lorsque le responsable de traitement n’est pas établi en France. Faisant application de ces marges de manœuvres, le projet de loi limite la portée des obligations et des droits des personnes concernées (droit à l’information droit d’accès, droit de rectification, droit à l’effacement, droit à la portabilité, droit d’opposition, etc.), lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir certains objectifs (sécurité nationale, défense nationale, sécurité publique, prévention et la détection d’infractions pénales, protection de l’indépendance de la justice et des procédures judiciaires, objectifs importants d’intérêt public général de l’UE ou d’un Etat membre,…). Le projet de loi prévoit également, afin de renforcer l’obligation de sécurité, que les responsables de traitement seront tenus par une obligation de chiffrement de bout en bout où seules les personnes autorisées à accéder aux données auront la clef de déchiffrement.

Traitements « pénaux » : conditions strictes
Et ce, alors que par ailleurs le Conseil constitutionnel a rendu le 30 mars 2018 une décision où les Sages jugent conforme à la Constitution française l’article 434-15-2 du code pénal qui punit de trois ans de prison et de 270.000 euros d’amende « le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ». En sus, le projet de loi renforce la protection des données de santé afin qu’elles ne puissent être utilisées pour fixer les prix des assurances ou à des fins de choix thérapeutiques et médicaux et la sélection des risques.
Quant au titre III du projet de loi « RGPD », il concerne plus spécifiquement les dispositions portant transposition de la directive « Fichiers pénaux ». On retiendra dans ce cadre que l’ensemble des règles applicables aux traitements de données à caractère personnel en matière pénale – prévues par cette directive européenne – sont regroupées aux articles 70-1 à 70-27 (nouveaux) de la loi « Informatique et Libertés » du 6 janvier 1978. Le projet de loi français prévoit que le traitement des données sensibles à des fins pénales n’est possible que s’il répond à des conditions strictement définies : la nécessité absolue d’un traitement de données, l’existence de garanties appropriées pour les droits et libertés de la personne concernée, l’autorisation du traitement par un acte législatif ou réglementaire, la protection des intérêts vitaux d’une personne physique. De plus, le traitement des données sensibles à des fins pénales doit porter sur des données manifestement rendues publiques par la personne concernée (2).

Exactitude des données et profilage interdit
En outre, le projet de loi « RGPD » prévoit que les données à caractère personnel figurant dans les traitements en matière pénale mis en oeuvre par les autorités compétentes devront, « dans la mesure du possible », distinguer celles qui sont fondées sur des faits de celles qui reposent sur des appréciations personnelles – principe de l’exactitude des données (3). Les interdictions relatives aux décisions individuelles automatisées (4) sont applicables aux traitements de données personnelles en matière pénale – interdiction du profilage, par exemple (5). Il convient également de relever que le gouvernement a retenu des restrictions aux droits des personnes dans le cadre de ces traitements particuliers. Ces restrictions s’appliquent notamment pour éviter de gêner les enquêtes ou procédures judiciaires ou nuire à la prévention ou à la détection d’infractions pénales et à l’exécution de sanctions pénales ; protéger la sécurité publique ou la sécurité nationale ; ou encore garantir les droits et libertés d’autrui (6). Ces restrictions pourront consister à retarder ou limiter la fourniture des informations supplémentaires susceptibles d’être transmises à la personne concernée ou de ne pas les fournir, à limiter en totalité ou en partie le droit d’accès (le responsable du traitement devra consigner les motifs de fait ou de droit fondant da décision et les mettre à disposition de la Cnil) ou à ne pas informer la personne concernée de son refus de rectifier ou d’effacer les données la concernant ou le limiter le traitement. La personne concernée par ces traitements devrait toujours avoir la possibilité d’exercer ses droits par l’intermédiaire de la Cnil. C’est à cette dernière qu’il reviendra d’informer la personne concernée de son droit d’exercer un recours (7).
On notera que l’article 20 du projet de loi est une demande d’habilitation du gouvernement à légiférer par voie d’ordonnance, afin de procéder à une réécriture de l’ensemble de la loi du 6 janvier 1978, en vue notamment de mettre en cohérence l’ensemble de la législation applicable à la protection des données à caractère personnel. Cette ordonnance devra être adoptée dans un délai de six mois suivant la promulgation de la loi relative à la protection des données personnelles. Ce texte arrive péniblement et non sans mal en fin de processus législatif, le Sénat et l’Assemblée nationale n’étant pas parvenus à un accord – la commission mixte paritaire a échoué à trouver un consensus (8). Les sénateurs ont maintenu leur projet de loi qu’ils ont voté le 19 avril dernier à l’unanimité. Mais les députés auront le dernier mot le 14 mai prochain. @

Ancien bâtonnier du Barreau de Paris, et auteure de « Cyberdroit »,
dont la 7e édition (2018-2019) est parue aux éditions Dalloz.

ZOOM

Ce qu’en disent la Cnil et le Conseil d’Etat : « Manque de lisibilité »
Si le texte constitue « un progrès majeur pour la protection des données personnelles des citoyens et la sécurité juridique des acteurs économiques », il soulève plusieurs critiques de la part de la Commission national de l’informatique et des libertés (Cnil), qui, dans son avis du 30 novembre 2017 (9), regrette que certaines « propositions n’aient pas été retenues, tendant notamment à l’ajout de garanties supplémentaires lors de l’utilisation de traitements algorithmiques débouchant sur l’adoption de décisions administratives » ou encore « à l’adaptation de ses procédures pour lui permettre de faire face à l’augmentation d’activité liée au nouveau cadre européen ».
Plus généralement, l’Autorité de contrôle déplore « le risque important de manque de lisibilité » des nouvelles dispositions du fait, notamment, du choix du projet de loi, consistant à n’opérer que les modifications « a minima » nécessaires à la mise en oeuvre du règlement et de la directive européens, et à renvoyer la réécriture d’ensemble de la loi du 6 janvier 1978 à une ordonnance ultérieure. La Cnil appelle dès lors à l’adoption la plus rapide possible de cette ordonnance. Quant au Conseil d’Etat, dans son avis du 7 décembre 2017 (10), i l n’apporte pas de nouveaux éléments par rapport à l’avis de la Cnil. La Haute juridiction souligne cependant que les choix légistiques aboutissent à « un résultat très insatisfaisant en termes de lisibilité du droit positif ». @

La Commission européenne plaide pour le respect du droit international dans l’affaire «Microsoft Irlande»

Dans l’affaire du stockage des données en Irlande qui oppose Microsoft au gouvernement américain, la Commission européenne a déposé un mémoire devant la Cour suprême des Etats-Unis dans lequel elle plaide pour une application des principes de « territorialité » et de « courtoisie internationale ». Explications.

Par Winston Maxwell, avocat associé, Hogan Lovells

Le contentieux qui oppose depuis 2014 la société Microsoft et
le gouvernement américain à propos des e-mails stockés en Irlande est maintenant devant la Cour suprême des Etats-Unis. Ce litige concerne la portée éventuellement extraterritoriale des réquisitions judiciaires américaines dans le cadre d’enquêtes pénales. La police américaine avait demandé à Microsoft de livrer une copie de certains e-mails échangés par une personne soupçonnée d’activités criminelles.

Règles de bon voisinage entre Etats
Les e-mails étant stockés en Irlande et sous le contrôle de la société Microsoft Irlande, la firme de Redmond (Etat de Washington) s’était opposée à la réquisition, en indiquant qu’il fallait passer par les procédures de coopération internationale en matière d’enquêtes pénales. La Cour d’appel de Manhattan avait donné raison en 2016 à Microsoft, en indiquant que la loi fédérale sur les réquisitions était silencieuse sur l’éventuelle portée extraterritoriale des réquisitions et qu’une telle portée ne pouvait
pas être déduite de manière implicite. Le gouvernement américain avait porté l’affaire devant la Cour suprême des Etats-Unis. C’est là qu’intervient la Commission européenne, qui, en décembre 2017, a déposé un mémoire (amicus brief) pour éclairer la Cour suprême sur certains aspects de droit international (1). La Commission européenne plaide pour une application du principe de la territorialité et du principe de courtoisie internationale. Ces principes revêtent une importance croissante dans toutes les affaires concernant la régulation des activités numériques, ces activités étant par nature transnationales.
Le droit international part du principe que chaque Etat doit respecter la souveraineté des autres Etats. Ce respect se manifeste par le respect des eaux territoriales et des frontières physiques entre Etats. La violation d’une frontière d’un autre Etat est une violation du droit international. Ce respect se manifeste également par une prise en considération des lois en vigueur dans les autres pays. Ces principes de « bon voisinage » entre Etats se traduisent par les deux concepts de droit international évoqués par la Commission européenne, à savoir : le principe de « territorialité » et
le principe de « courtoisie internationale ». Le principe de territorialité signifie que les lois d’un Etat s’appliquent à l’intérieur du territoire de l’Etat en question et non sur le territoire d’un pays tiers. Il existe des exceptions à ce principe, mais celles-ci sont extrêmement limitées (il s’agit de cas d’occupation militaire, par exemple, d’un territoire étranger). La courtoisie internationale signifie que lorsqu’une loi produit des effets dans un autre Etat, le premier Etat doit prendre en considération les lois de cet autre Etat afin de minimiser les conflits avec les lois de cet autre Etat.
Appliqués dans l’affaire Microsoft, ces principes impliqueraient, en premier lieu, que
la police américaine ne peut pas effectuer une perquisition sur le territoire de l’Irlande, puisque le pouvoir de la police et l’étendue territoriale de la loi américaine s’arrêtent
aux frontières des Etats-Unis. En second lieu, la courtoisie internationale commanderait que lorsqu’un juge américain ordonne à Microsoft d’extraire des données et de les communiquer à la police aux Etats-Unis, le juge doit se demander si cette action serait en violation des lois irlandaises applicables. Si c’est le cas, le juge doit chercher une voie qui éviterait un tel conflit. La Commission européenne indique qu’il existe des mécanismes d’entraide internationale en matière d’enquête policière et que le règlement général sur la protection des données à caractère personnel (RGPD) de 2016 (2) ne s’oppose pas à des réquisitions de ce type, à condition d’utiliser la convention internationale. La Commission européenne cite le considérant 110 du RGPD, qui prévoit que l’application extraterritoriale de réquisitions judiciaires peut constituer une violation du droit international et qu’une entreprise établie en Europe
doit donc appliquer les lois locales.

Territorialité et activités de renseignement
Le groupe « Article 29 » (G29), qui réunit les « Cnil » européennes, préconise également un respect strict des règles de droit international afin de ne pas créer des conflits avec des lois d’autres pays (3). Les pays signataires de la Convention du Conseil de l’Europe sur la cybercriminalité (4) tentent justement de trouver un terrain d’entente afin de faciliter l’échange de données au niveau international sans violer les principes de territorialité et de courtoisie internationale (voir encadré ci-dessous). L’affaire Microsoft concerne en outre les enquêtes pénales. Le droit international est également mis à l’épreuve par les activités de renseignement. Jusqu’à 2015, il n’existait pas en France de cadre légal pour la conduite des activités de renseignement à l’étranger.

Contenus illicites et fake news
La loi française sur les activités de renseignement de 2015 (5) a créé un cadre pour ces activités. Après censure du Conseil constitutionnel, la loi a été modifiée afin de donner plus de garanties aux individus ciblés par ces activités de surveillance extraterritoriales. Cependant, le niveau des garanties accordées par la loi française aux individus résidant à l’étranger est plus faible que les garanties accordées aux résidents et citoyens français. Deux poids, deux mesures : un résidant espagnol bénéficie de moins de garanties qu’un résidant français en matière de surveillance. Cette différence de traitement surprend, car ni la Charte européenne des droits fondamentaux (adoptée le 7 décembre 2000) ni la Convention européenne des droits de l’homme (signé le 4 novembre 1950) ne prévoient une quelconque différence de protection en fonction de la résidence ou de la nationalité de la personne.Les règles de droit international jouent un rôle important dans la lutte contre des contenus illicites sur Internet. Chaque pays a sa propre définition de contenus illicites, fixée en fonction du contexte culturel et historique du pays. Dans certains pays, des contenus blasphématoires sont interdits. Dans d’autres, il s’agit des contenus qualifiés de propagande homosexuelle. Les conflits entre lois nationales sont fréquents, comme en témoigne l’affaire Yahoo en 2000 concernant la vente d’objets nazis (6). La mise aux enchères d’objets nazis n’est pas interdite aux Etats- Unis et serait même protégée par la liberté d’expression. En revanche, ces mêmes contenus sont considérés en France comme outrepassant la liberté d’expression. Les plateformes Internet étant globales, il serait tentant pour un juge national d’ordonner le retrait pur et simple du contenu afin qu’il ne soit plus visible où que ce soit dans le monde. Cependant, une telle approche serait en contradiction avec les principes de droit international mis en avant par la Commission européenne dans l’affaire Microsoft. Cela ouvrirait la voie à une surenchère internationale où chaque pays essayerait d’appliquer ses propres normes en matière de contenus au monde entier, en contradiction totale avec les des règles de courtoisie internationale et de territorialité. Depuis l’affaire Yahoo, les juges nationaux font justement preuve de prudence lorsqu’ils ordonnent le blocage de contenus sur Internet, en limitant les effets de leurs décisions au territoire national. Le Tribunal de grande instance de Paris a reconnu que Yahoo, par un système de géo-blocage, pouvait tout simplement bloquer l’accès au contenu pour les utilisateurs situés en France, ce qui est une manière d’appliquer la loi française à l’intérieur du territoire national sans créer de conflit avec la loi américaine. Même si le pouvoir du juge s’arrête aux frontières nationales, les actions d’autorégulation, notamment par les plateformes, peuvent avoir une dimension transnationale. La Commission européenne, à l’origine de la création d’un groupe de haut niveau sur les fake news (High Level group on Fake News) qui tient sa réunion inaugurale en janvier 2018 (7), privilégie l’angle de l’autorégulation (self-regulation) et du partage des bonnes pratiques (shared good practices) pour le phénomène du fake news (8). Le Conseil d’Etat préconise, quant à lui, l’adoption d’une convention internationale relative aux libertés fondamentales et aux principes de gouvernance d’Internet, ainsi que la mise
en place de dispositifs fondés sur l’autorégulation des opérateurs, à travers la mise
en conformité (compliance) et leur responsabilisation (accountability) (9).

Atténuer les contraintes par l’autorégulation
Le respect du droit international impose des contraintes, et notamment l’utilisation de procédures de coopération internationale. Certaines de ces contraintes peuvent être atténuées grâce à des mécanismes efficaces d’autorégulation en matière de contenus illicites sur Internet. @

ZOOM

Convention de Budapest : vers une coopération internationale renforcée
La Convention de Budapest sur la Cybercriminalité a été ouverte à la signature
en 2001. Elle a été complétée en 2013 par un « Protocole additionnel relatif à l’incrimination d’actes de nature raciste et xénophobe commis par le biais de systèmes informatiques » (https://lc.cx/gWWx). « Alors que prospèrent la cybercriminalité et les autres infractions entraînant des preuves électroniques sur des systèmes informatiques, et que ces preuves sont de plus en plus stockées sur des serveurs hébergés dans des juridictions étrangères, multiples, fluctuantes ou inconnues, autrement dit dans le cloud, les pouvoirs des services répressifs sont limités par les frontières territoriales », a souligné le Conseil de l’Europe le 2 novembre 2017 en vue de renforcer la coopération internationale sur la cybercriminalité et les preuves électroniques. Les Parties à la Convention de Budapest, à savoir 56 Etats auxquels
14 autres ont été invités à y adhérer, ont organisé de 2012 à 2014 un groupe de travail sur l’accès transfrontière aux données, puis de 2015 à 2017, un groupe sur les preuves dans le cloud. Il s’agit notamment de négocier d’ici à décembre 2019, un deuxième protocole additionnel à la Convention de Budapest sur une coopération internationale renforcée. @

Pourquoi la télévision va devenir le nouvel eldorado de la publicité programmatique et ciblée

La publicité de masse à la télévision ne rapporte plus autant, en raison de la baisse de la consommation linéaire. La concurrence du Net et de sa publicité programmatique pousse les chaînes vers la publicité « adressée » ou « ciblée ». Encore faut-il que la réglementation évolue.

BFM Paris, la première chaîne d’information locale du groupe Altice lancée il y a près d’un an maintenant (le 7 novembre 2016)
à la place de BFM Business Paris, expérimente-t-elle bien la
« publicité adressée » depuis l’été dernier, comme l’avait annoncé Alain Weill (photo), directeur général d’Altice Média et de SFR Media, le 10 février dernier devant l’Association des journalistes médias (AJM) ? Début octobre, Edition Multimédi@ a demandé à ce dernier ce qu’il en était : « Oui, les expérimentations ont lieu chez SFR. Il s’agit uniquement de localisation de la publicité avec deux annonceurs partenaires : Monoprix et Nissan. Ce sont essentiellement des tests techniques »,
nous a répondu Alain Weill.

19,1 milliards d’euros en 2021 (Idate)
Le groupe du milliardaire Patrick Drahi veut ainsi être un pionner en France de la publicité ciblée à la télévision. Pour ne pas se faire « googlelisées » ni « facebookées », comme d’autres ont été « ubérisés », les chaînes veulent cibler les spots publicitaires de leurs annonceurs grâce à une meilleure connaissance des téléspectateurs et au recours de la publicité dite « programmatique » – cette technique de mise aux enchères des espaces publicitaires et l’achat en temps réel des annonces. La publicité de masse va laisser place à la publicité ciblée à l’écran. C’est la promesse de la « télévision adressable » selon le profil du public en face. « En simplifiant, ceux qui ont des chiens auront des publicités pour Canigou et ceux qui ont des chats des publicités pour Ronron », avait expliqué, pince sans rire, Alain Weill devant l’AJM. Et d’ajouter : « Nous allons appliquer à un média classique le modèle de la publicité numérique. C’est une révolution qui se prépare, un enjeu considérable ». Ce à quoi Michel Combes, directeur général d’Altice, maison mère de l’opérateur télécoms SFR dont il est le PDG, avait abondé : « Les annonceurs sont prêts à payer un peu plus cher pour passer des pubs différentes selon les foyers, sur lesquels nous disposons de beaucoup de données,
via nos “box”. Par exemple, un constructeur automobile pourra proposer une voiture différente, ou le groupe SFR lui-même proposer des offres différentes selon que le foyer est ou non déjà abonné ». Après BFM Paris, Altice prépare le lancement de BFM Toulouse après avoir investi dans TV Sud.

Le marché mondial de ce que l’institut d’études Idate DigiWorld désigne globalement par « TV programmatique » devrait tutoyer les 20 milliards d’euros en 2021 (à 19,1 milliards précisément), contre à peine 2 milliards cette année. « Face à la baisse de la consommation de TV linéaire et à la concurrence d’Internet à la fois en temps passé et en capacité à attirer les investissements publicitaires des annonceurs, le secteur de la télévision cherche à se réinventer pour redevenir plus attractif et continuer de bénéficier de la manne publicitaire », explique Florence Le Borgne, responsable à l’Idate des questions sur la télévision. Mais en France, le marché de la publicité ciblée à la télévision reste inexistant car interdite par la réglementation. L’article 13 du décret
daté du 27 mars 1992 sur la publicité télévisée stipule en effet que « les messages publicitaires doivent être diffusés simultanément dans l’ensemble de la zone de
service » (1). Des éditeurs de chaînes comme Altice veulent une évolution de cette réglementation. « Pour l’instant la législation française n’autorise les publicités adressées que sur les chaînes locales, mais elle devrait évoluer courant 2017 », espère Michel Combes. Patrick Drahi, le patron franco-israélien du groupe Altice, entend s’inspirer de ce que fait le réseau de chaînes newyorkaises d’informations régionales News 12 Network qu’il acquis il y a deux ans à l’occasion du rachat du câblo-opérateur américain Cablevision. News 12 Network, qui est présent par défaut sur 5,5 millions de « box », compte aujourd’hui sept chaînes locales d’actualités et 5 chaînes dédiées à la circulation et à la météo, ainsi qu’un site web News12.com, deux chaînes d’informations locales à la demande (News 12 Interactive et Optimum TV), et l’application News 12 to Go pour smartphones et tablettes. Altice a observé aussi ce qu’a expérimenté il y a un an maintenant TF1 Publicité en matière de publicités adressées « plus pertinentes, géolocalisées, et plus variées » sur son service de télévision de rattrapage MyTF1 et sur des abonnés via leur « box ». Deux fournisseurs d’accès à Internet (FAI) avaient
été mis à contribution : Orange et Bouygues Telecom.

Géo-ciblage sur IPTV et replay
TF1 expérimente ainsi « le ciblage géographique de la publicité sur IPTV sur un panel de clients Internet ayant donné explicitement leur consentement », d’une part, et
« l’apport de couverture grâce au replaymenée sur un panel de testeurs volontaires
qui n’ont pas ou peu été exposés à une publicité sur la TV linéaire », d’autre part.
Par exemple, des publicités ciblées de La Poste ou d’Orange ont été vues cet été sur MyTF1. En Suisse romande également, TF1 expérimente actuellement de la publicité ciblée en partenariat avec l’opérateur télécoms Swisscom, lequel diffuse depuis le 21 septembre dernier des publicités en fonction du lieu d’habitation de ses abonnés répartis en sept régions. « Le début du spot TV de Facchinetti et BMW [dont le premier est concessionnaire, ndlr] a été le même pour tout le monde. Mais vers la fin de la publicité se sont affichées des informations sur des journées portes ouvertes dans des garages. Et le téléspectateur a vu la ville du garage le plus proche en fonction de l’une des sept zones de Suisse romande où il habite, une première en Suisse », a rapporté le quotidien helvétique Le Temps.

Réglementation et protection des données
Swisscom avait préalablement demandé à chacun de ses abonnés de l’autoriser ou pas à exploiter leurs données personnelles à des fins de publicités ciblées – sans les transmettre à des sociétés tierces – et en les renvoyant son site web pour soit laisser le bouton « Annonces spécifiques aux groupes cibles » activé par défaut, soit désactiver cette option selon un mode « opt-out ». « Ni la chaîne TV (TF1 en l’occurrence) ni l’annonceur (Facchinetti et BMW) ni Admeira (la régie publicitaire) ne reçoivent, ni n’ont accès de quelque manière que ce soit, aux données des clients Swisscom TV. Pour mémoire, l’opérateur (télécoms) détient, aux côtés de la SSR (2) et de Ringier – copropriétaire du Temps – un tiers du capital d’Admeira. Celle-ci est également la régie du Temps », précise le journal. En France, M6 et France Télévisions ont déjà fait savoir qu’ils expérimenteraient à leur tour cette année. Ces avancées de la publicité adressée à la télévision soulèvent de nombreuses questions quant à la réglementation applicable. Faut-il revoir la loi du 30 septembre 1986 sur la liberté de communication et lever le verrou de la publicité ciblée ? Altice et sa chaîne BFM Paris et sa future chaîne BFM Toulouse table sur la petite ouverture offerte par l’article 13 déjà cité du décret de 1992 qui dit ceci : « [L’interdiction de la publicité ciblée] ne s’applique pas aux éditeurs de services qui comptent au nombre de leurs obligations la programmation d’émissions à caractère régional, pour cette programmation ». La convention signée par BFM Paris avec le CSA – convention de 2012 avec l’ex-BFM Business Paris et ses avenants successifs dont celui du 17 mai dernier – ne dit mot sur la publicité adressée ou ciblée. Alors que l’autorisation TNT de BFM Paris va être renouvelée, il est seulement indiqué dans l’actuelle convention que « BFM Paris est un service de télévision à vocation locale diffusé en clair par voie hertzienne terrestre en haute définition dans la zone Ile-de-France, pour une population recensée supérieure à 10 millions d’habitants » et que « ce service fait l’objet d’une reprise intégrale et simultanée par les réseaux n’utilisant pas des fréquences assignées par le CSA ». Est-ce à dire que la voie de la TV programmatique est libre pour Altice à Paris voire au-delà sur les réseaux autres que l’hertzien ? Quoi qu’il en soit, la question de l’exploitation des données des téléspectateurs et des télénautes se pose comme l’avait expliqué en mars la Cnil à Edition Multimédi@ : « Si l’interdiction existante était levée, se poserait la question de
la protection des données personnelles des télé-spectateurs. L’utilisation des données issues des “box” (composition du foyer, âge, etc.) pour pouvoir cibler les publicités qui leur seront adressées ne pose pas de problè-me en soi, tant qu’elle est envisagée au regard de la loi “Informatique et libertés” et de ses principes, dont l’informa-tion, le consentement, la durée de conservation des données ou la sécurité, etc. » (3). La publicité ciblée a déjà ses détracteurs tels que Serge Tisseron, psychiatre et membre de l’Académie des technologies, qui a publié le 26 septembre sur Huffingtonpost.fr une tribune intitulée, « Les publicités ciblées, c’est la bêtise assurée, interdisons-les ! », tout en appelant la Cnil et le CSA à se saisir du problème. « Or après les publicités ciblées, pourquoi la télévision ne proposerait-elle pas aussi des films, des reportages, voire même des magazines d’informations ciblés ? Avec le risque de condamner chaque spectateur à tourner en rond dans ce qu’il connaît de ses goûts et ce qu’il ignore de ses a priori », s’est-il en outre inquiété. A méditer. @

Charles de Laubier

ZOOM

TV programmatique, TV adressable, TV connectée : de quoi parle-t-on ?
Selon l’Idate DigiWorld, « le ciblage publicitaire est le véritable enjeu de l’adoption du mode d’achat programmatique en télévision et recouvre trois principales réalités » :
• La TV programmatique linéaire, qui délivre un même message publicitaire à l’ensemble des spectateurs d’un même programme TV mais qui peut permettre aux annonceurs de cibler des programmes dont l’audience est la plus proche de celle recherchée par l’annonceur. Cette pratique modifie avant tout les pratiques d’achat, mais peu l’objectif publicitaire puisque l’on reste sur une démarche de publicité de masse.
• La TV adressable, qui vise à délivrer au sein d’un même programme de TV linéaire des messages publicitaires différents adaptés à chaque foyer, constitue la vraie révolution de l’adaptation de l’achat programmatique en télévision, en permettant l’intégration dans un flux linéaire unique de spots publicitaires différenciés selon le profil des consommateurs.
• La TV connectée, qui donne lieu à l’insertion de publicités ciblées propres à chaque foyer dans le cadre de contenus audiovisuels non linéaires (télévision de rattrapage en particulier). Cette pratique est fortement liée à l’environnement Internet traditionnel. Si cela bouleverse à la fois les pratiques et critères télévisuels habituels, on reste dans un écosystème désormais banalisé sur Internet. @

Données personnelles ou droit de la concurrence : Facebook ne se fait pas que des amis

Alors que Facebook a franchi la barre des 2 milliards d’utilisateurs, des autorités nationales et européenne s’y intéressent de plus en plus comme en témoignent les sanctions prononcées récemment à son encontre, en matière de données à caractère personnel ou en droit de la concurrence.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Dans sa délibération du 27 avril 2017 (1), rendue publique le 16 mai suivant (2), la formation restreinte de la Cnil (3) a prononcé une sanction de 150.000 euros à l’encontre de Facebook. Cette sanction faisait suite à la mise en demeure, datée du 26 janvier 2016, par laquelle la Cnil, constatant plusieurs manquements à la loi informatique et libertés, avait demandé à Facebook de se mettre
en conformité. Plus largement, cette décision s’inscrit dans le prolongement d’une action conduite par plusieurs autorités nationales de protection
des données décidée à la suite du changement par le réseau social de sa politique
de confidentialité.

Lois nationales et acteurs globaux du Net
La Commission européenne a, quant à elle, prononcé une amende de 110 millions euros à l’encontre de Facebook pour avoir communiqué des informations inexactes ou dénaturées dans le cadre de l’enquête qu’elle a menée au titre du rachat de WhatsApp par Facebook en 2014. Cette sanction a été publiée le 18 mai dernier (4) (voir encadré page suivante). Ces procédures engagées à l’encontre de Facebook en Europe et en France démontrent l’inégalité des moyens d’action juridique existants et marquent la volonté des autorités de renforcer le montant des sanctions en matière de protection des données jugé trop peu dissuasif. L’adoption du règlement européen du 27 avril 2016 sur la protection des données personnelles (5) va résolument dans ce sens en augmentant considérablement le montant des sanctions prononcées par les « Cnil » en Europe. Sur ce point, le droit de la concurrence apparaît plus dissuasif puisqu’il prévoit déjà des sanctions dont le montant est proportionnel au chiffre d’affaires de l’entreprise condamnée. A propos de la sanction de Facebook en France par la Cnil, la délibération de cette dernière contient des enseignements intéressants notamment sur l’applicabilité de la loi française lorsqu’un responsable de traitement est établi dans plusieurs Etats de l’Union européenne (UE). Rappelons en effet que la loi « Informatique et libertés » (6) s’applique si le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi (7) et que la Cnil peut exercer un contrôle sur tout traitement dont les opérations sont mises en oeuvre, même partiellement, sur le territoire national, y compris si le responsable du traitement est établi dans un autre Etat membre de l’UE (8). Pour déterminer l’applicabilité du droit français en l’espèce, la Cnil va examiner les deux critères énoncés par la directive 95/46/CE sur la protection des données : d’une part, l’existence d’un établissement ; d’autre part, la mise en oeuvre du traitement dans le cadre de ses activités. A cet égard, il est intéressant de souligner que la Cnil a souhaité se référer au texte européen (9) plutôt qu’à celui de la loi française « Informatique et libertés ». Dans sa délibération, la Cnil fait référence à la jurisprudence de la Cour de justice de l’Union européenne (CJUE) et à son interprétation large de la notion d’établissement à l’appui de son raisonnement (10). Ainsi, la formation restreinte considère que Facebook doit être qualifié d’établissement car « Facebook France constitue une installation stable qui exerce une activité réelle et effective grâce à des moyens humains et techniques nécessaires notamment à la fourniture de services de marketing » et participe dans le cadre de ses activités aux traitements en cause. Cette analyse va à l’encontre de celle avancée par Facebook qui contestait la compétence de la Cnil au profit de la législation irlandaise et, par conséquent, de l’autorité irlandaise seule autorité compétente pour contrôler le traitement des données personnelles des utilisateurs du service en Europe. Il est également intéressant de relever que la Cnil adopte la position de la CJUE qui s’était pourtant prononcée dans un contexte différent puisque, contrairement à l’arrêt « Google Spain » cité par la Cnil, « il n’existe aucun risque de contournement des dispositions européennes », Facebook ne contestant pas l’applicabilité du droit européen mais celui du droit français.

Compétence territoriale étendue ?
La Cnil se positionne donc en faveur d’une compétence territoriale étendue pour affirmer la compétence de la loi « Informatique et libertés », sa propre compétence
et prononcer une sanction à l’encontre de Facebook. Cette analyse doit être prise en compte par les responsables de traitements qui sont établis dans plusieurs Etats de l’UE notamment à l’approche de l’entrée en vigueur – à partir du 25 mai 2018 – du règlement européen qui étend le champ de la compétence territoriale. En effet, avec
le nouveau règlement, la personne concernée pourra saisir aussi bien l’autorité de contrôle de l’Etat membre où est situé le responsable du traitement ou son sous-traitant que l’autorité de contrôle dans lequel se trouve sa propre résidence ou son lieu de travail, voire le lieu où la violation alléguée aurait été commise. La décision de la Cnil en France apporte également un certain nombre de précisions au regard des règles relatives à la protection des données à l’approche de l’entrée en vigueur du règlement européen sur la protection des données.

Six manquements de Facebook à la loi française
La délibération de la Cnil sanctionne Facebook au titre de six manquements aux obligations énoncées par cette loi, à savoir : l’obligation d’information, l’obligation de disposer d’une base légale pour les traitements, l’obligation d’une collecte loyale des données, l’obligation d’un consentement exprès pour les données sensibles, l’obligation de mettre à disposition un moyen valable pour s’opposer aux cookies, et l’obligation
de respecter une durée de conservation des données. La délibération de la Cnil est riche en enseignement, notamment sur les manquements au regard de l’obligation d’information. A ce titre, la Cnil relève que la politique d’utilisation des données de Facebook ne précise ni les droits dont disposent les utilisateurs ni les informations relatives au transfert de données hors de l’UE. Elle considère que Facebook doit afficher directement l’information sur le formulaire de collecte et non pas via un lien figurant sur le formulaire d’inscription.
Concernant cette fois la combinaison massive de données pour le ciblage publicitaire, la Cnil relève qu’« aucun des documents mis à la disposition des utilisateurs […] ne mentionne expressément la combinaison de données », Ainsi, si les utilisateurs disposent de moyens pour maîtriser l’affichage de la publicité ciblée, ils ne consentent pas à la combinaison massive de leurs données et ne peuvent s’y opposer, que ce
soit lors de la création de leur compte ou a posteriori. Enfin, sur l’utilisation du cookie
« datr », la Cnil relève que l’information « ne permet pas aux internautes et en particulier aux internautes non-inscrits sur le réseau social, d’être clairement informés
et de comprendre que leurs données sont systématiquement collectées dès lors qu’ils
se trouveront sur un site tiers comportant un module social ». Sur les autres manquements, Facebook ne recueille pas le consentement exprès des utilisateurs lorsqu’ils renseignent des données sensibles et que le paramétrage du navigateur ne permet pas aux utilisateurs de s’opposer valablement aux cookies déposés sur leur équipement terminal.
La Cnil a donc prononcé une sanction de 150.000 euros à l’encontre du réseau social, soit le maximum qu’elle peut aujourd’hui infliger (ce montant pouvant être porté au double en cas de récidive). Cependant, ce montant prévu par la loi « Informatique et liberté » apparaissant peu inadapté au regard de la potentielle gravité des violations de la législation et à la puissance de certains responsables de traitements qui s’en rendent coupables, le nouveau règlement européen prévoit, en fonction des atteintes, des sanctions allant jusqu’à 20millions d’euros ou, dans le cas d’une entreprise jusqu’à 4% du chiffre d’affaires annuel mondial total (11). La délibération de la Cnil amorce l’entrée en vigueur de la nouvelle réglementation européenne qui renforce les obligations de protection en matière de données personnelles. A titre d’illustration, le règlement viendra renforcer le droit à l’information en ajoutant notamment à la liste des informations à fournir : l’identité et les coordonnées du responsable de traitement, le cas échéant, celles de son Data Protection Officer (DPO), les finalités du traitement auxquelles sont destinées les données à caractère personnel ainsi que la base juridique du traitement, les catégories de destinataires de ces données, ainsi que, éventuellement, le transfert de ces données vers un pays tiers. En outre, le règlement prévoit une obligation d’information spécifique en matière de profilage et le consentement devra être recueilli pour toutes les finalités, à défaut de quoi il ne peut être considéré comme valable. @

* Ancien bâtonnier du Barreau de Paris.

ZOOM

Sanction de Facebook par la Commission européenne
Facebook a été sanctionné par l’Union européenne (UE) pour ses pratiques, non
plus sur le fondement des données personnelles, mais sur celui du règlement de 2004 relatif aux concentrations (12). En effet, la Commission européenne a prononcé une sanction de 110 millions d’euros à l’encontre de Facebook pour lui avoir fourni des fausses informations au moment de l’enquête menée au titre du rachat de WhatsApp par Facebook. La Commission européenne n’a toutefois pas remis en cause le rachat de WhatsApp par Facebook décidé en 2014. En l’espèce, il était question de la combinaison des données entre les deux entités, une combinaison que Facebook
disait impossible lors du rachat du service de messagerie en 2014. Ainsi, « la société
a informé la Commission [européenne] qu’elle ne serait pas en mesure d’établir d’une manière fiable la mise en correspondance automatisée entre les comptes d’utilisateurs de Facebook et ceux de WhatsApp ». Selon la Commission européenne, « Facebook a commis deux infractions distinctes en fournissant un renseignement inexact et dénaturé d’une part dans le formulaire de notification de la concentration et d’autre part, dans la réponse à une demande de renseignements de la Commission » et a fait preuve tout au moins de négligence.
Pour fixer le montant de l’amende, la Commission européenne a toutefois pris en compte certaines circonstances atténuantes, notamment la collaboration de l’entreprise durant cette enquête. L’annonce du partage de données et de numéros de téléphone entre Facebook de WhatsApp en 2016 avait déjà fait l’objet de protestions notamment par le G29, qui dans une lettre ouverte (13) avait dénoncé lui aussi la contraction du partage de ces données avec la déclaration des entreprises lors de l’opération de rachat. Dans cette lettre, le groupe européen des « Cnil » avait demandé une suspension de ce rapprochement entre les deux applications eu égard à la validité
des finalités poursuivies et à celle du consentement des utilisateurs. Cette demande avait été finalement prise en compte par WhatsApp qui avait suspendu l’envoi des informations à fin publicitaire à sa maison- mère, Facebook. Compte tenu des enjeux,
il semblerait que seule une action commune au niveau européen semble susceptible d’impacter véritablement le comportement de groupes comme Facebook. @

Affaire Vizio : des cookies sans consentement préalable sur les TV connectées, c’est illégal

Déposer un code unique sur un téléviseur connecté, sorte de cookie qui permet de suivre à des fins publicitaires le comportement du téléspectateur, nécessite
un opt-in de la part ce dernier. Sinon, la collecte de données est « déloyale et trompeuse ». Vizio l’a appris à ses dépens.

Par Winston Maxwell, avocat associé, Hogan Lovells

Le 6 février 2017, le fabricant de téléviseurs connectés Vizio (1) a conclu un accord transactionnel avec l’autorité américaine de la protection des consommateurs, la FTC (2). Cet accord prévoit le paiement par Vizio d’une indemnité transactionnelle de 2,2 millions de dollars, et l’engagement par cette entreprise californienne de mettre en oeuvre un programme de conformité pour une durée de vingt ans. Homologué par un tribunal fédéral, cet accord nous apporte plusieurs enseignements, notamment sur le caractère sensible de données liées au visionnage de programmes audiovisuels, ainsi que sur les pouvoirs très étendus de la FTC.

Cookie sur la TV connectée sans opt-in
Les téléviseurs Vizio disposent d’un logiciel qui analyse les écrans visionnés par le téléspectateur. Ce logiciel analyse les pixels de l’écran, envoie cette information à la société Vizio qui croise cette information avec d’autres bases de données afin d’identifier le contenu visionné par le téléspectateur. Par exemple, Vizio pourra conclure qu’une série de pixels correspond à un épisode des Simpsons, ou à une publicité pour une voiture Renault. En somme, le logiciel Vizio est similaire à des cookies déployés aujourd’hui sur l’ordinateur d’un internaute, sauf que le logiciel Vizio est également conçu pour identifier les émissions de télévision ou les DVD regardés par l’utilisateur. Comme un réseau de publicité en ligne, Vizio vend cette information à des annonceurs et à des prestataires de publicité. Le nom de l’utilisateur n’est pas connu mais, comme pour les cookies, le téléviseur est identifié par un code unique qui permet de suivre le comportement du ou des téléspectateurs. La plupart des internautes sont aujourd’hui habitués aux publicités ciblées sur le Web : si je visite le site d’un constructeur automobile, je peux m’attendre à voir sur un autre site web une publicité de voiture. Ce qui est plus surprenant dans l’environnement de la télévision connectée est de voir sur son compte e-mail par exemple une publicité liée à un film que l’on vient de visionner. Jusqu’à présent, la télévision a été perçue comme une zone protégée contre le phénomène des cookies. Le logiciel Vizio a cassé cette séparation entre TV et Web, sans pour autant chercher le consentement explicite de l’utilisateur, ce qui a conduit la FTC et le procureur de l’état de New Jersey à entamer une procédure de sanction. La FTC a estimé que la collecte de données à caractère personnel par Vizio était à la fois « déloyale » et « trompeuse », ce qui est incompatible avec l’article 5 du Federal Trade Commission Act (FTC Act). Les Etats-Unis s’appuient sur la loi concernant la protection des consommateurs, et notamment l’article 5 du FTC Act, pour sanctionner les traitements illicites de données. Le concept de pratiques « déloyales et trompeuses » permet à la FTC d’atteindre certains des mêmes objectifs que ceux visés par la législation européenne, et notamment le nouveau règlement européen sur la protection des données à caractère personnel. Dans le cas présent, les pratiques de Vizio étaient déloyales et trompeuses car le consommateur moyen ne s’attend pas à ce que ses habitudes de visionnage soient suivies et exploitées sans son consentement explicite. Compte tenu de la sensibilité des données, l’utilisation de conditions générales pour recueillir le consentement n’est pas suffisante, selon la FTC. Un opt-in spécifique est nécessaire. On constate une ressemblance entre la position de la FTC et la position, en France, de la Commission nationale de l’informatique et des libertés (Cnil) en matière de consentement pour les cookies. La FTC cherche une adéquation entre le niveau de consentement, d’une part, et les attentes du consommateur, d’autre part. Une pratique qui est susceptible de surprendre le consommateur ne sera pas tolérée sans son consentement explicite. En revanche, une pratique qui est conforme aux attentes générales du consommateur pourra s’affranchir d’un consentement explicite préalable.

Données « sensibles » de TV connectées ?
Cette approche permet aux autorités américaines d’avoir une approche plus souple
et évolutive que leurs homologues européens, qui sont liés par des textes moins souples en matière de consentement. Dans la plainte de la FTC, celle-ci qualifie de
« sensibles » les données de visionnage collectées par Vizio. A défaut de textes explicites définissant ce qu’est une donnée « sensible », la FTC s’appuie sur une appréciation générale du préjudice potentiel qui pourrait découler de l’exploitation de certains types de données. La FTC cite une loi américaine qui interdit l’utilisation par
les câblo-opérateurs de données de visionnage pour des finalités liées à la publicité.
La FTC dispose d’une souplesse comparée à l’approche européenne en matière de protection des données à caractère personnel (3).

Les sept mots de la loi américaine
La FTC a bâti une jurisprudence sur la protection des données à caractère personnel aux Etats-Unis à partir d’une loi sur la protection des consommateurs qui se résume en sept mots : « Les pratiques déloyales et trompeuses sont interdites ». Le règlement européen, qui compte 61.723 mots pour sa version française, est plus détaillé mais
en même temps moins souple que la législation américaine. Dans le cas Vizio, la FTC
a pu construire une approche européenne sur le fondement des sept mots de la loi américaine. L’approche utilisée par la FTC en matière de consentement converge avec l’approche européenne. Dès lors qu’il s’agit de données sensibles et que le traitement par Vizio dépasse la zone de confort du consommateur moyen, un consentement explicite est nécessaire. La FTC impose à Vizio des conditions très précises sur le recueil du consentement, et la manière de présenter l’information. Celle-ci doit être
« incontournable » et « compréhensible pour un consommateur ordinaire ». La FTC a ordonné l’effacement par Vizio des données collectées avant le 1er mars 2016, et la mise en oeuvre d’un programme de conformité et de responsabilisation (accountability) digne d’un programme issu du règlement européen. La version moderne de l’accountability est née aux Etats-Unis en 1991 avec le décret américain sur les sanctions (4). Aujourd’hui, l’accountability (5) est l’un des piliers du nouveau règlement européen car il impose aux entreprises une série de mesures internes pour assurer
la conformité des pratiques de l’entreprise avec la réglementation (6). La liste des mesures imposées par la FTC dans l’affaire Vizio est impressionnante : l’entreprise californienne (basée à Irvine) doit nommer un délégué à la protection des données à caractère personnel ; elle doit conduire une étude d’impact sur la protection des données à caractère personnel pour identifier des risques ; elle doit mettre en place
des mesures de protection adéquates pour contrer ces risques. Ces mesures doivent inclure une formation des salariés et la mise en oeuvre de la protection des données à caractère personnel au stade de la conception des produits selon le principe du Privacy by Design. Vizio doit en outre mettre en oeuvre des mesures de contrôle internes, y compris des tests réguliers de la conformité. Le programme doit prévoir un mécanisme pour sélectionner des sous-traitants en fonction de leur niveau de protection des données à caractère personnel, et prévoir la mise en place de clauses contractuelles avec chaque sous-traitant pour garantir un niveau de protection élevé. L’entreprise doit aussi disposer de documents pour démontrer sa conformité avec chacune des engagements pris au titre de l’accord transactionnel. Elle doit faire appel à un auditeur indépendant, approuvé par la FTC, pour rédiger un rapport d’audit sur la conformité de Vizio avec ses engagements. L’audit doit avoir lieu tous les deux ans pendant vingt ans.

Rapport détaillé en février 2018
Au plus tard dans les douze mois suivant l’accord transactionnel, Vizio doit envoyer à la FTC un rapport détaillé sur la mise en oeuvre de l’ensemble des obligations découlant de l’accord. A travers cet accord transactionnel, la FTC a démontré non seulement la souplesse du concept de « pratique déloyale et trompeuse » mais également l’étendue des pouvoirs de la FTC de mettre en oeuvre un programme de suivi des engagements, dans l’esprit d’accountability. @

ZOOM

En France, bientôt des cookies dans la TV connectée ?
Le dépôt de cookies ou de logiciels dans les téléviseurs en France doit se conformer
à la recommandation de la Cnil sur les cookies. La personne concernée doit être informée et donner son consentement préalablement au dépôt de ces mouchards,
sauf si ces actions sont strictement nécessaires au fournisseur pour la délivrance d’un service expressément demandé par l’abonné ou l’utilisateur. Les solutions de mesures d’audience sont soumises à une simple déclaration auprès de la Cnil (et non à une demande d’autorisation). « La société Samsung nous a adressé en 2013 une déclaration relative à une prestation de services Smart TV. Nous leur avons envoyé un récépissé car leur demande était complète », indique la Cnil à Edition Multimédi@. Reste qu’en France la publicité ciblée est interdite à la télé. L’article 13 du décret de 1992 sur la publicité télévisée dit bien que « les messages publicitaires doivent être diffusés simultanément dans l’ensemble de la zone de service ». Mais des éditeurs de chaînes veulent une évolution de cette réglementation. « Si l’interdiction existante était levée, se poserait la question de la protection des données à caractère personnel des téléspectateurs. L’utilisation des données issues des “box” (composition du foyer, âge, etc.) pour pouvoir cibler les publicités qui leur seront adressées ne pose pas de problème en soi, tant qu’elle est envisagée au regard de la loi “Informatique et libertés” et de ses principes, dont l’information, le consentement, la durée de conservation des données ou la sécurité, etc. », nous précise la Cnil. BFM Paris, la nouvelle chaîne du groupe SFR, va tester l’été prochain des « publicités adressées ». Une première en France. C’est ce qu’a annoncé le 10 février dernier Alain Weill, directeur général de SFR Media, devant l’Association des journalistes médias (AJM). @

Charles de Laubier

Comment la DGCCRF (Bercy) se pose de plus en plus en redresseur de torts de l’économie numérique

La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) est en passe de devenir le vrai gendarme de l’économie numérique. E-commerce, crowdfunding, réseaux sociaux, et demain algorithmes, Internet des objets ou encore voitures connectées : gare aux abus !

Un récent rapport du Conseil général de l’économie, de l’industrie,
de l’énergie et des technologies (CGE), lequel dépend du ministère de l’Economie et des Finances, propose de créer un « bureau des technologies de contrôle de l’économie numérique » qui « pourrait être localisé au sein de la DGCCRF », la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), rattachée à Bercy et dirigée par Nathalie Homobono (photo) depuis 2009.

« Bureau de contrôle » à la DGCCRF ?
Le rôle de ce bureau spécialisé, s’il était créé, serait de contrôler le Big Data, l’Internet des objets, les nouvelles méthodes de paiement, la maison intelligente, la loyauté des algorithmes, ou encore les voitures connectées (1). Bref, cela reviendrait à lui donner un droit de regard sur presque toutes les coulisses de l’économie numérique. Selon les auteurs de ce rapport de Bercy, cette cellule de contrôle – inspirée du modèle américain de l’Office of Technology Research and Investigation (OTRI) crée en mars 2015 au sein de la Federal Trade Commission (FTC) – pourrait être saisie par la Cnil (2), l’AMF (3) et l’Arjel (4), mais aussi par l’Autorité de la concurrence, l’Arcep (5), le CSA (6), ainsi que par l’Acam (7), l’ACPR (8) ou encore l’ANSM (9). Le bureau en question nécessiterait environ six personnes, dont les compétences seraient non seulement techniques et scientifiques, mais aussi juridiques et économiques, avec un « conseil d’orientation » composé de représentants des pouvoirs publics, d’experts et de chercheurs.

Plus particulièrement sur les algorithmes, sur lesquels portait spécifiquement ce rapport, le CGE préconise en outre la mise en place d’une « plateforme collaborative scientifique » destinée à favoriser notamment le développement d’outils logiciels et de méthodes de tests d’algorithmes « responsables, éthiques et transparents ». L’Institut national de recherche en informatique et en automatique (Inria) a proposé de porter une telle plateforme, dénommée TransAlgo, qui sera développée en coopération avec non seulement la DGCCRF mais aussi le Conseil national du numérique (CNNum) et la Direction générale des entreprises (DGE) du ministère de l’Economie et des Finances. Avec un tel bureau de contrôle de l’économie numérique, le pouvoir d’enquête et d’investigation de la DGCCRF serait considérablement renforcé. Pour l’heure, elle dispose déjà d’un service spécialisé dans le contrôle du commerce électronique. Ses compétences portent aussi bien sur la protection des droits des consommateurs que sur le fonctionnement équilibré de ces marchés. La DGCCRF identifie les pratiques déloyales ou trompeuses vis à vis des utilisateurs finaux, ainsi que dans les relations interentreprises. En 2016, la surveillance du commerce électronique l’a ainsi amené
à contrôler un total de 10.829 sites Internet. Il en est ressorti que 31 % d’entre eux présentaient une « anomalie ». Ces enquêtes ont particulièrement porté sur l’information et la protection du consommateur dans des secteurs tels que le transport aérien ou le financement participatif (crowdfunding). Les constats établis lors de ces enquêtes peuvent en outre l’amener à proposer des évolutions normatives au droit
de la consommation. Cela touche essentiellement le e-commerce, tandis que des questions commencent à se poser sur les objets connectés par exemple.

Dans les communications électroniques, elle veille à la transparence des offres des opérateurs télécoms et à l’absence d’abus (tarifs des appels de service après-vente, sollicitations via spams vocaux ou SMS, arnaques aux consommateurs, …). En 2016,
la DGCCRF a mené vingtquatre enquêtes qui ont concerné l’économique numérique. Certaines d’entre elles ont porté sur la vente à distance où 1.430 sites Internet ont fait l’objet d’un contrôle l’an dernier, la majorité de ces contrôles ayant été suivis d’une perquisition dans les locaux même des entreprises.

Avertissements, injonctions, amendes, …
Il s’agissait de vérifier que les nouvelles règles des droits des consommateurs
– telles que les obligations d’information pré-contractuelle et le droit de rétractation issus de la loi « Hamon » sur la consommation du 17 mars 2014 (10) – soient respectées. Résultat : « Un taux de non-conformité élevé (49 %) a été relevé et les contrôles ont donné lieu à 355 avertissements, 312 injonctions, 23 procès verbaux (pour pratiques commerciales trompeuses) et 17 amendes administratives (manquements aux règles de la vente à distance et non-respect d’injonctions) », indique la DGCCRF dans son rapport annuel d’activité rendu public le 23 février dernier.

Réseaux sociaux dans le collimateur
D’autres enquêtes ont concerné le financement participatif où 30 établissements ont été contrôlés l’an dernier. Plusieurs manquements et infractions ont été constatés dans le crowdfunding immobilier tels que l’absence de mise à disposition des prêteurs d’un outil d’évaluation de leurs capacités de financement ou l’absence de fourniture d’un contrat de prêt type. Résultat : « Quatre avertissements, trois injonctions et deux rapports sur
la base de l’article 40 du Code de procédure pénale transmis aux parquets ». Dans le e-commerce, les réductions de prix « illusoires » ou « factices » (promotions déloyales et prix de référence) ont aussi été épinglées et ont fait l’objet de dix-neuf procèsverbaux – auprès d’Amazon, Vente-privee.com, Showroomprive.com, GrosBill, Zalando, H&M, Darel, Netquattro ou encore Comptoir des Cotonniers – ainsi que de 2,4 millions d’euros d’amendes.
Concernant les places de marché en ligne, la DGCCRF a vérifié leur conformité avec
le Code de commerce des relations commerciales et procédé à quarante-huit contrôles – suivis d’une assignation, d’un procès-verbal et de deux injonctions – mettant au jour des relations contractuelles déséquilibrées, des clauses illicites et des conditions de facturation non conformes. Mais depuis l’an dernier, ce sont les réseaux sociaux et leurs clauses contractuelles « abusives et illicites » qui sont dans la ligne de mire de la DGCCRF. Facebook, qui a été le premier à essuyer les plâtres l’an dernier, avait fait l’objet d’une procédure d’injonction à son encontre, laquelle s’est conclue par la mise
à jour de ses conditions générales d’utilisation (CGU) en décembre 2016. Il y a un an, en février, la DGCCRF avait donné 60 jours à Facebook pour se mettre en conformité
– sachant que les CGU non professionnelles de Facebook sont régies par les sociétés Facebook Ireland et Facebook Payments International. Posaient alors problème : clauses au détriment des utilisateurs, pouvoir discrétionnaire dans le retrait des contenus ou informations publiés par l’internaute, pouvoir de modifier unilatéralement ses conditions d’utilisation sans en informer préalablement l’internaute, clauses abusives dans les conditions de paiements, ou encore droit de modifier ou résilier unilatéralement son service de paiement sans en informer au préalable le consommateur. La procédure de la DGCCRF à l’encontre de Facebook se faisait indépendamment de celle lancée, en mars 2016, par cette fois par l’office anti-cartel fédéral allemand (Bundeskartellamtes) qui soupçonne le numéro un des réseaux sociaux d’abus de position dominante et d’infraction aux règlements de protection des données personnelles. Le cofondateur et patron de Facebook, Mark Zuckerberg, s’était même rendu à Berlin pour y rencontrer la chancelière Angela Merkel. C’est dire que l’affaire outre- Rhin est prise très au sérieux, la filiale irlandaise de Facebook où se situe son siège européen et sa filiale allemande à Hambourg étant directement visées. Parallèlement, dans la foulée de son homologue belge, la Cnil s’en est prise il y a un an également à Facebook en lui donnant trois mois – prolongés par la suite de trois autres mois jusqu’à août 2016 – pour respecter la loi « Informatique et libertés » en matière de collecte et d’utilisation des données des internautes. Il est notamment reproché au réseau social de tracer la navigation des internautes à leur insu sur des sites web tiers, même s’ils ne font pas partie des plus de 30 millions d’utilisateurs disposant en France d’un compte Facebook. Selon nos informations auprès de la Cnil, le dossier est toujours en cours d’instruction. En plus de cette procédure « Facebook », la DGCCRF a procédé à des investigations auprès de six autres réseaux sociaux « ciblés notamment en raison de leur attractivité vis-à-vis des jeunes consommateurs » : Twitter, Periscope (Twitter), Google+ (Google/Alphabet), Snapchat (Snap), WhatsApp (Facebook) et Tumblr (Yahoo).

Avec la Commission européenne en soutien
« Les investigations en cours ont montré la présence de clauses abusives, illicites,
voire inintelligibles pour le consommateur », a révélé Nathalie Homobono, lors de la présentation du rapport annuel d’activité, tout en précisant que les procédures engagées se poursuivent en vue d’obtenir la mise en conformité des CGU respectives. « Cette enquête est menée en coordination avec la Commission européenne et les autres Etats membres, afin d’en faire bénéficier l’ensemble des consommateurs de l’Union européenne », a-t-elle précisé. Bruxelles a envoyé à différents réseaux sociaux, qui ont commencé à répondre, les griefs dont font état des autorités de la concurrence en Europe. @

Charles de Laubier

ZOOM

Europe : la DGCCRF oeuvre pour le marché unique numérique
La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) contribue aux travaux conduits par l’Union européenne, afin de créer le fameux marché unique numérique. Elle se présente même comme « le chef
de file » pour quatre textes en négociation dans le cadre de la stratégie numérique européenne. Il s’agit d’une part de deux propositions de directives : l’une sur certains aspects des contrats de fourniture de contenus numériques, l’autre sur certains aspects des contrats de vente en ligne et autres ventes à distance.
D’autre part, elle oeuvre pour deux propositions de règlements : l’un sur les pratiques injustifiées de blocage géographique et l’autre révisant la coopération entre autorités nationales de protection des consommateurs. @