Les plateformes numériques sont-elles parties pour un grand chelem de sanctions ?

Les géants du Net sont pris entre deux feux principaux : le droit de la concurrence, d’une part, et la protection des données, d’autre part. Mais ces deux référentiels juridiques s’entremêlent de plus en plus et se démultiplient, au risque d’aboutir à des doubles sanctions. Ce que l’Europe assume.

Par Olivier de Courcel, avocat associé, cabinet Féral-Schuhl/Sainte-Marie

Alors que les textes de référence s’accumulent, de même que les procédures de contrôle et les sanctions (aux amendes toujours plus élevées), la mise en conformité (compliance) devient comme un grand chelem pour les plateformes numériques. Les procédures se multiplient: aux Etats-Unis, 5 milliards de dollars imposés à Facebook par la FTC américaine en juillet 2019, contrôle en cours par le DoJ sur les GAFA, enquête préliminaire conjointe de 48 Etats fédérés ; en Europe, amende de 2 millions d’euros en Allemagne pour le manque de transparence de Facebook sur les contenus illicites (1), enquête préliminaire lancée par la Commission européenne sur la collecte et l’utilisation des données des utilisateurs de Google (2), contrôle en cours par la « Cnil » irlandaise sur les ventes aux enchères d’espaces publicitaires de Google, pré-rapport de l’autorité de la concurrence britannique (CMA) sur les plateformes (3), etc…

Un empilement de textes et de sanctions
Or les référentiels juridiques ainsi opposés aux plateformes numériques sont d’autant plus complexes à articuler qu’ils tendent à s’ajouter en silos les uns à la suite des autres sans mise en cohérence. Les plateformes numériques sont d’abord des habituées du droit de la concurrence. La première décision rendue en France contre Google, en 2010 par l’Autorité de la concurrence, sanctionnait déjà le fonctionnement discriminatoire de l’affichage publicitaire sur le moteur de recherche et l’opacité des conditions de fourniture et interruption de son service Adwords (4). Le même abus de position dominante était soumis au gendarme de la concurrence à deux occasions en 2019 (5), ce qui l’amena en décembre dernier à assortir son injonction d’une sanction pécuniaire de 150 millions d’euros (6). Google a également fait l’objet de sanctions par la Commission européenne, à trois reprises entre 2017 et 2019 et pour un total qui dépasse 8 milliards d’euros (7). Par ailleurs, au titre du contrôle des concentrations, cette dernière a approuvé les principales opérations de fusion-acquisition des plateformes, notamment celle en 2014 de WhatsApp par Facebook (8). Ensuite, l’entrée en vigueur fracassante du règlement général sur la protection des données (RGPD), le 25 mai 2018, avec possibilité de sanctions jusqu’à 4% du chiffre d’affaires, a amené les entreprises, y compris les plateformes numériques, à prendre plus au sérieux le référentiel juridique applicable aux traitements de données à caractère personnel. A ce jour, néanmoins, les sanctions prononcées ne dépassent pas 215 millions d’euros pour un dossier (9). Les plateformes numériques connaissent bien l’orientation des régulateurs européens en matière de données et vie privée puisque, ne serait-ce qu’en France, Facebook a subi en 2017 deux décisions de sanction : l’une pour sa combinaison massive de données à des fins de ciblage publicitaire des internautes, y compris à leur insu et sur des sites tier (150.000 euros) (10); l’autre pour le traitement illégal par Facebook de données reçues de WhatsApp, (150.000 euros) (11).
Enfin, dans le cadre de sa stratégie pour un marché unique numérique, la Commission européenne a défini des règles applicables à l’ensemble des plateformes en ligne et places de marché actives dans l’Union européenne (près de 7.000), inspirées du droit de la concurrence et du droit de la consommation. Avec le règlement de juin 2019 sur les services d’intermédiation en ligne (12), elle interdit à toute plateforme numérique (et pas seulement celles en position dominante) de fermer sans motif le compte d’un vendeur. Dans le même cadre, les directives européennes concernant les consommateurs ont fait l’objet d’une révision d’ensemble via une directive du 27 novembre 2019 (13). Tout en renforçant la transparence pour les transactions BtoC sur les places de marché en ligne et en établissant une protection pour les consommateurs vis-à-vis des services numériques dits « gratuits » mais fournis contre leurs données personnelles, la nouvelle directive reprend le principe de sanctions pécuniaires qui, dans les lois nationales, devront s’élever « au moins » à 4% du chiffre d’affaires réalisé. En matière de « compliance », le RGPD fait des émules…

Application cumulative ou alternative
Le droit européen de la consommation apporte ainsi un troisième référentiel juridique pour le contrôle et la sanction des plateformes numériques (lesquels relèvent cependant à titre principal des autorités nationales). Encore ce panorama doit-il être complété par des réglementations plus spécifiques telles que la fiscalité (taxe GAFA), le droit d’auteur et les droits voisins de la presse (Google Actualités), la réglementation des télécoms (neutralité du Net) et d’autres…. Les référentiels de conformité opposables aux plateformes numériques s’articulent en fonction de leur objet et de leur échelon de contrôle (autorités nationales ou Commission européenne), ce qui peut entraîner une application cumulative ou alternative selon les cas.

RGPD et abus de position dominante
L’information donnée aux internautes est à l’intersection du droit de la concurrence et de la réglementation des données. Lorsque la filiale WhatsApp informe en 2016 ses utilisateurs qu’elle croisera leurs numéros de téléphone avec leurs identifiants Facebook, la Commission européenne constate que le rapprochement des deux bases de données était déjà possible techniquement lors de l’acquisition par Facebook en 2014, contrairement aux informations alors fournies. Facebook s’en sort en mai 2017 avec une amende de 110 millions d’euros. Mais cette transmission des données de WhatsApp et le manque d’information aux personnes sont aussi sanctionnés par la Cnil en décembre 2019 (150.000 euros). Le droit des abus de position dominante peut aussi prendre en compte une infraction à une loi spécifique, à partir du moment où l’infraction traduit un abus de cette position qui a pour objet ou pour effet de restreindre la concurrence sur le marché considéré (14). C’est ainsi qu’en Allemagne, l’autorité de la concurrence s’est essayée en février 2019 à démontrer les manquements de Facebook au RGPD pour considérer qu’ils traduisaient en tant que telle la position dominante du réseau social et son exploitation abusive (15). En appel, cette confusion des genres n’a pas été écartée dans le principe, mais la cour régionale de Düsseldorf a considéré que le non-respect du RGPD ne démontrait pas à lui seul l’existence d’un abus de position dominante ayant un effet anti-concurrentiel (16).
En sens inverse, pour le calcul de ses sanctions, le RGPD prend en compte certains aspects qui peuvent traduire une position dominante, tels que le nombre de personnes concernées par la violation ou bien les avantages financiers obtenus (17). Dans ses décisions concernant Facebook, la Cnil ne manque pas d’évoquer les 33 millions de personnes concernées et le caractère massif de la collecte de données qui en résulte (18). Dans sa décision de janvier 2019 concernant Google (50 millions d’euros), la Cnil considère même que la position dominante du système d’exploitation Android sur le marché français, associée au modèle économique du moteur de recherche bâti sur la publicité personnalisée, renforce les obligations de Google au titre du RGPD (19). A l’échelon de l’Union européenne, le commissaire à la Concurrence envisage de combiner la réglementation des données personnelles et les règles antitrust en analysant les données comme des actifs, dont la valeur croît d’autant plus qu’elles ne sont pas facilement accessibles ou reproductibles et qu’elles peuvent constituer une barrière à l’entrée pour d’autres entreprises. En sens inverse, il anticipe que la qualité de la protection de la vie privée offerte par un service puisse stimuler la concurrence (20). De telles situations créent le risque d’une double sanction pour un même comportement, au titre du droit de la concurrence et du RGPD ou d’une autre réglementation, comme dans le cas Facebook-WhatsApp. En effet, si le principe « non bis in idem » interdit d’appliquer plusieurs sanctions à une même infraction, des exceptions sont possibles lorsqu’il existe un motif d’intérêt général, lorsque que les sanctions ont des objectifs complémentaires et lorsqu’elles respectent le principe de nécessité et proportionnalité des peines (21).
A l’opposé des situations de recoupement, il peut y avoir des « vides réglementaires », lorsqu’un acteur ne se trouve pas en position dominante ou que son comportement n’a pas d’effet anti-concurrentiel sur le marché et que, pour autant, la réglementation n’est pas assez précise pour incriminer son comportement. C’est en ce sens que le règlement de juin 2019 sur les services d’intermédiation en ligne établit des règles inspirées du droit de la consommation pour les entreprises qui normalement n’en bénéficient pas. Or le partage des compétences entre autorités de contrôle est un facteur majeur de la fragmentation des décisions.
Au lieu d’une répartition à partir de seuils de chiffre d’affaires assortie d’un principe de dessaisissement des autorités nationales au profit de la Commission européenne, comme en droit de la concurrence, le RGPD prévoit la compétence de l’autorité nationale de chaque pays concerné par le traitement de données en cause. Un traitement transfrontalier peut être suivi par une autorité nationale « chef de file » (22), mais celle-ci doit susciter un consensus avec ses pairs sur son projet de décision. En cas de désaccord entre autorités nationales, le comité européen à la protection des données (CEPD), qui les réunit toutes, est appelé à trancher (23). En pratique, le risque serait de voir la violation des règles de protection des données sanctionnée faiblement ou pas du tout par les autorités nationales (plus sensibles aux intérêts économiques de leur pays) et se trouver sanctionnée lourdement par la Commission européenne mais au titre du droit de la concurrence. La crédibilité du RGPD s’en trouverait réduite.

Une politique des plateformes s’impose en Europe
Dans ce contexte réglementaire fragmenté, des appels se font entendre pour réviser le droit de la concurrence, promouvoir l’open data et l’interopérabilité, réguler les plateformes numériques à l’instar des opérateurs télécoms dominants, ou encore scinder les GAFAM. Mais en attendant de telles réformes, on peut s’interroger sur le risque de l’absence de politique ou de projet industriel européens pour concurrencer les plateformes américaines et chinoises et pour traiter les données en Europe. @

La France prend le risque de ne pas notifier à Bruxelles sa taxe sur les services numériques (TSN)

« Taxe GAFA » ou encore « taxe Le Maire », quel que soit son surnom, la taxe sur les services numériques (TSN) – 3 % sur le chiffre d’affaires des entreprises du Net d’une certaine taille et actives en France – présente une dimension « aide d’Etat » censée être notifiée à la Commission européenne sous peine d’être illégale.

Le gouvernement a décidé de ne pas notifier à la Commission européenne la loi instaurant la taxe sur les services numériques (TSN), ou « taxe GAFA », qui a été définitivement adoptée le 11 juillet. Pourtant, afin d’éviter une double imposition des entreprises du Net qui paient déjà en France l’impôt sur les sociétés, la nouvelle loi prévoit une déduction qui s’apparente à une aide d’Etat. Or pour qu’une aide d’Etat ne soit pas illégale, elle doit être notifiée en bonne et due forme à la Commission européenne, conformément au traité sur le fonctionnement de l’Union européenne – le TFUE (1). « Aucune notification n’a été reçue de la France, indique à Edition Multimédi@ une source à Bruxelles sous couvert d’anonymat. Une notification est requise si une mesure entraîne une aide d’Etat. Les Etats membres doivent veiller à ce que leur régime fiscal ne favorise pas indûment certaines entreprises par rapport à d’autres. Cela nécessite une évaluation au cas par cas ». La Commission européenne s’attend donc, sur sa taxe GAFA, à une notification de la France afin d’en étudier la conformité avec ses propres orientations fixées le 21 mars 2018 et les règles du TFUE.

La « taxe Le Maire » et la « taxe Moscovici »
C’est au début du printemps 2018 qu’a en effet été proposée une TSN européenne, surnommée « taxe Moscovici », qui est actuellement examinée par le Conseil de l’Union européenne. « Nous n’avons pas de commentaires à faire sur les projets de loi nationaux, nous répond Vanessa Mock, porte-parole à la Commission européenne sur les questions financières et fiscales relevant du champ d’action du commissaire Pierre Moscovici (photo). Plus généralement, il est fortement suggéré aux Etats membres qui souhaitent introduire des mesures nationales [comme la TSN, ndlr] d’utiliser la proposition de la Commission européenne relative à une taxe commune sur les services numériques – qui prend également en compte les considérations de conception exposées dans le rapport intermédiaire de l’OCDE (3) sur les défis fiscaux découlant de la numérisation (4) – comme modèle. Cela permettra de réduire au minimum la fragmentation du marché unique et d’assurer la compatibilité avec le droit communautaire ».

Eviter la double imposition des sociétés
La proposition de TSN de Bruxelles prévoit bien des mesures afin d’atténuer le risque de double imposition : « Afin de réduire les cas éventuels de double imposition (…), il est prévu que les Etats membres autoriseront les entreprises à déduire la TSN acquittée en tant que coût de l’assiette de l’impôt sur les sociétés sur leur territoire » (5). C’est ce que prévoit bien la loi française. Car afin d’éviter la double imposition pour les entreprises du Net qui paient déjà leurs impôts sur les bénéfices réalisés en France, il fallait trouver un remboursement pour éviter cette fiscalité supplémentaire pour une société déjà assujettie par ailleurs – au nom du principe d’égalité devant l’impôt.
Le Sénat a finalement opté pour un mécanisme de déduction de la TSN de la contribution sociale de solidarité des sociétés (C3S). Ces deux outils fiscaux – TSN et C3S – portent chacun sur le chiffre d’affaires d’une entreprise et ne relèvent pas de conventions fiscales, tout en assujettissant l’ensemble des entreprises, quel que soit leur pays où se situe leur siège social, au regard des activités exercées sur le sol français et les rendant ainsi passibles de l’impôt sur les sociétés. Mais un acteur du Net non installé en France pourrait ne pas bénéficier de la ristourne fiscale, ce qui constituerait une distorsion de concurrence par rapport à une entreprise française ainsi avantagée.
« Quoiqu’imparfaite car ne compensant notamment pas totalement la double imposition, cette solution permettait de réduire l’impact de cette taxe [TSN] pour les entreprises installées en France et qui ne réalisent pas encore de bénéfices, nombreuses dans le secteur numérique », ont estimé les deux rapporteurs (6) de la loi en commission mixte paritaire fin juin. Autrement dit, cette compensation ménage la trésorerie des entreprises qui payent déjà leurs impôts en France. Et l’objectif de la « taxe GAFA », prévue désormais à l’article 299 du code général des impôts, reste bien de taxer des géants du numérique qui ne paient pas d’impôt sur les sociétés en France – pas les autres. Le choix de porter l’assiette de la TSN sur le chiffre d’affaires était susceptible de faire des victimes collatérales parmis les entreprises françaises. D’où l’idée de cette compensation, qui s’apparente à une aide d’Etat. Selon l’amendement (7) du sénateur (LR) Albéric de Montgolfier qui introduit dans la loi cette articulation TSN-C3S, la « taxe Le Maire » – du nom du ministre de l’Economie et des Finances, Bruno Le Maire (photo de droite), qui a porté le projet – risquait en effet de se traduire immédiatement pour les entreprises déjà imposées sur les bénéfices réalisés en France par une baisse de leurs résultats après impôts de 30 %. D’où l’instauration de la réduction sur la C3S lorsqu’il y a prélèvement dû au titre de la TSN.
Cette solution d’évitement de la double imposition est une ristourne qui s’apparente à une aide d’Etat et suppose donc une notification à Bruxelles, au regard des règles TFUE. Le Parlement français se veut très prudent afin d’éviter que la « taxe Le Maire » ne soit invalidée. Aussi, Albéric de Montgolfier, rapporteur général de la commission des finances du Sénat, a introduit un petit article dans la loi française. Cet article 2 y précise qu’« en l’absence de notification préalable de la taxe sur les services numériques (…) à la Commission européenne (…), le gouvernement remet, dans un délai de trois mois à compter de la promulgation de la présente loi, un rapport au Parlement sur les raisons pour lesquelles la taxe précitée n’a pas été notifiée à la Commission européenne ».
Les explications du gouvernement sur la non-notification de la taxe GAFA de Paris à Bruxelles sont donc attendues à l’automne 2019. Comment justifier cette non-notification qui pourrait remettre en cause l’instauration de cette taxe GAFA applicable au 1er janvier 2019? Le gouvernement français a décidé de faire cavalier seul pour être le premier Etat membre à mettre en oeuvre cette taxe numérique (8). Pour être euro-compatible, le rapporteur Albéric de Montgolfier a estimé « indispensable » cette notification : « Dès lors que la taxe ne frapperait que des grandes entreprises internationales, il convient d’être prudent. Si elle était qualifiée d’aide d’Etat, sans notification préalable, la taxe serait invalidée sans même être contraire aux traités européens ».

La taxe GAFA scrutée par le G7 et l’OCDE
Et le sénateur de la commission des finances du Sénat de mettre en garde le gouvernement : « Si la taxe n’est pas notifiée et qu’elle est invalidée, il sera nécessaire de rembourser les entreprises qui l’ont acquittée. Ce serait la pire solution ! ». Il y a donc bel et bien insécurité juridique et risque d’illégalité de la taxe GAFA, que conteste par ailleurs les Etats-Unis (9), alors que le G7 va se réunir fin août en France à Biarritz pour en discuter. Si elle devenait illégale, elle ne le serait pas longtemps puisque la France a prévu d’annuler son impôt numérique dès qu’un accord mondial au sein de l’OCDE sera trouvé – dès 2020 ? @

Charles de Laubier

Pub, Google et Facebook : verbatim du gendarme

En fait. Le 6 mars, l’Autorité de la concurrence a rendu son avis-étude sur
le marché de la publicité en ligne – du moins le display, mais pas le search –
avant de décider dans quelques mois « s’il y a lieu d’ouvrir une (ou plusieurs) enquête(s) contentieuse(s) ». Ce qu’elle dit au juste de Google et Facebook.

En clair. « De nombreux fournisseurs de services d’intermédiation et d’exploitation
de données [pour les annonceurs ou les éditeurs] sont confrontés à la concurrence d’acteurs globaux, au premier rang desquels Google et Facebook [qui] occupent des positions stratégiques sur ce nouveau marché en utilisant leurs atouts considérables : effets de réseau, capacité à produire des innovations technologiques, audiences considérables et vastes ensembles d’inventaires et de données » résume l’Autorité
de la concurrence dans son avisétude de 125 pages.
Partant du constat que Facebook et Google apparaissent comme les deux leaders
du secteur de la publicité en ligne (1), et pas seulement sur l’Hexagone, le gendarme de la concurrence évoque à plusieurs reprises la question de la position dominante
– mentionnée vingt-deux fois (https://lc.cx/gNty) – mais sans dire si elle est avérée
pour les deux géants du Net : « Au final, au niveau mondial comme au niveau français, la majorité des revenus dans le secteur est réalisée par Google et Facebook. Cette situation résulte du cumul de plusieurs avantages concurrentiels ». (…) « Le modèle d’intégration verticale de Google et de Facebook, qui est fondé sur une présence à la fois dans l’édition et l’intermédiation technique, apparaît constituer un avantage concurrentiel significatif ». Les deux firmes de Menlo Park (Californie) sont devenues quasi incontournables sur le marché du display (2) : « Les outils d’achats d’espaces publicitaires de Google ou Facebook constituent par ailleurs l’unique plateforme permettant de mettre en oeuvre des campagnes publicitaires sur les sites [web] qu’ils éditent, et qui sont les services bénéficiant de l’audience la plus importante en France. Google et Facebook bénéficient de capacités d’exploitation de données, qui constituent également de puissants avantages concurrentiels pour la fourniture de services publicitaires ». Il en va ainsi notamment du ciblage publicitaire « Google et Facebook disposent d’avantages concurrentiels qui sont liés au volume et à la variété des données mais aussi, de manière indissociable, à la taille des inventaires publicitaires mis à disposition des annonceurs, et à leur audience ». La présidente de l’Autorité de
la concurrence, Isabelle de Silva, n’exclut pas d’« ouvrir une (ou plusieurs) enquête(s) contentieuse( s) ». Décision « dans quelques mois ». @

Données personnelles ou droit de la concurrence : Facebook ne se fait pas que des amis

Alors que Facebook a franchi la barre des 2 milliards d’utilisateurs, des autorités nationales et européenne s’y intéressent de plus en plus comme en témoignent les sanctions prononcées récemment à son encontre, en matière de données à caractère personnel ou en droit de la concurrence.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Dans sa délibération du 27 avril 2017 (1), rendue publique le 16 mai suivant (2), la formation restreinte de la Cnil (3) a prononcé une sanction de 150.000 euros à l’encontre de Facebook. Cette sanction faisait suite à la mise en demeure, datée du 26 janvier 2016, par laquelle la Cnil, constatant plusieurs manquements à la loi informatique et libertés, avait demandé à Facebook de se mettre
en conformité. Plus largement, cette décision s’inscrit dans le prolongement d’une action conduite par plusieurs autorités nationales de protection
des données décidée à la suite du changement par le réseau social de sa politique
de confidentialité.

Lois nationales et acteurs globaux du Net
La Commission européenne a, quant à elle, prononcé une amende de 110 millions euros à l’encontre de Facebook pour avoir communiqué des informations inexactes ou dénaturées dans le cadre de l’enquête qu’elle a menée au titre du rachat de WhatsApp par Facebook en 2014. Cette sanction a été publiée le 18 mai dernier (4) (voir encadré page suivante). Ces procédures engagées à l’encontre de Facebook en Europe et en France démontrent l’inégalité des moyens d’action juridique existants et marquent la volonté des autorités de renforcer le montant des sanctions en matière de protection des données jugé trop peu dissuasif. L’adoption du règlement européen du 27 avril 2016 sur la protection des données personnelles (5) va résolument dans ce sens en augmentant considérablement le montant des sanctions prononcées par les « Cnil » en Europe. Sur ce point, le droit de la concurrence apparaît plus dissuasif puisqu’il prévoit déjà des sanctions dont le montant est proportionnel au chiffre d’affaires de l’entreprise condamnée. A propos de la sanction de Facebook en France par la Cnil, la délibération de cette dernière contient des enseignements intéressants notamment sur l’applicabilité de la loi française lorsqu’un responsable de traitement est établi dans plusieurs Etats de l’Union européenne (UE). Rappelons en effet que la loi « Informatique et libertés » (6) s’applique si le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi (7) et que la Cnil peut exercer un contrôle sur tout traitement dont les opérations sont mises en oeuvre, même partiellement, sur le territoire national, y compris si le responsable du traitement est établi dans un autre Etat membre de l’UE (8). Pour déterminer l’applicabilité du droit français en l’espèce, la Cnil va examiner les deux critères énoncés par la directive 95/46/CE sur la protection des données : d’une part, l’existence d’un établissement ; d’autre part, la mise en oeuvre du traitement dans le cadre de ses activités. A cet égard, il est intéressant de souligner que la Cnil a souhaité se référer au texte européen (9) plutôt qu’à celui de la loi française « Informatique et libertés ». Dans sa délibération, la Cnil fait référence à la jurisprudence de la Cour de justice de l’Union européenne (CJUE) et à son interprétation large de la notion d’établissement à l’appui de son raisonnement (10). Ainsi, la formation restreinte considère que Facebook doit être qualifié d’établissement car « Facebook France constitue une installation stable qui exerce une activité réelle et effective grâce à des moyens humains et techniques nécessaires notamment à la fourniture de services de marketing » et participe dans le cadre de ses activités aux traitements en cause. Cette analyse va à l’encontre de celle avancée par Facebook qui contestait la compétence de la Cnil au profit de la législation irlandaise et, par conséquent, de l’autorité irlandaise seule autorité compétente pour contrôler le traitement des données personnelles des utilisateurs du service en Europe. Il est également intéressant de relever que la Cnil adopte la position de la CJUE qui s’était pourtant prononcée dans un contexte différent puisque, contrairement à l’arrêt « Google Spain » cité par la Cnil, « il n’existe aucun risque de contournement des dispositions européennes », Facebook ne contestant pas l’applicabilité du droit européen mais celui du droit français.

Compétence territoriale étendue ?
La Cnil se positionne donc en faveur d’une compétence territoriale étendue pour affirmer la compétence de la loi « Informatique et libertés », sa propre compétence
et prononcer une sanction à l’encontre de Facebook. Cette analyse doit être prise en compte par les responsables de traitements qui sont établis dans plusieurs Etats de l’UE notamment à l’approche de l’entrée en vigueur – à partir du 25 mai 2018 – du règlement européen qui étend le champ de la compétence territoriale. En effet, avec
le nouveau règlement, la personne concernée pourra saisir aussi bien l’autorité de contrôle de l’Etat membre où est situé le responsable du traitement ou son sous-traitant que l’autorité de contrôle dans lequel se trouve sa propre résidence ou son lieu de travail, voire le lieu où la violation alléguée aurait été commise. La décision de la Cnil en France apporte également un certain nombre de précisions au regard des règles relatives à la protection des données à l’approche de l’entrée en vigueur du règlement européen sur la protection des données.

Six manquements de Facebook à la loi française
La délibération de la Cnil sanctionne Facebook au titre de six manquements aux obligations énoncées par cette loi, à savoir : l’obligation d’information, l’obligation de disposer d’une base légale pour les traitements, l’obligation d’une collecte loyale des données, l’obligation d’un consentement exprès pour les données sensibles, l’obligation de mettre à disposition un moyen valable pour s’opposer aux cookies, et l’obligation
de respecter une durée de conservation des données. La délibération de la Cnil est riche en enseignement, notamment sur les manquements au regard de l’obligation d’information. A ce titre, la Cnil relève que la politique d’utilisation des données de Facebook ne précise ni les droits dont disposent les utilisateurs ni les informations relatives au transfert de données hors de l’UE. Elle considère que Facebook doit afficher directement l’information sur le formulaire de collecte et non pas via un lien figurant sur le formulaire d’inscription.
Concernant cette fois la combinaison massive de données pour le ciblage publicitaire, la Cnil relève qu’« aucun des documents mis à la disposition des utilisateurs […] ne mentionne expressément la combinaison de données », Ainsi, si les utilisateurs disposent de moyens pour maîtriser l’affichage de la publicité ciblée, ils ne consentent pas à la combinaison massive de leurs données et ne peuvent s’y opposer, que ce
soit lors de la création de leur compte ou a posteriori. Enfin, sur l’utilisation du cookie
« datr », la Cnil relève que l’information « ne permet pas aux internautes et en particulier aux internautes non-inscrits sur le réseau social, d’être clairement informés
et de comprendre que leurs données sont systématiquement collectées dès lors qu’ils
se trouveront sur un site tiers comportant un module social ». Sur les autres manquements, Facebook ne recueille pas le consentement exprès des utilisateurs lorsqu’ils renseignent des données sensibles et que le paramétrage du navigateur ne permet pas aux utilisateurs de s’opposer valablement aux cookies déposés sur leur équipement terminal.
La Cnil a donc prononcé une sanction de 150.000 euros à l’encontre du réseau social, soit le maximum qu’elle peut aujourd’hui infliger (ce montant pouvant être porté au double en cas de récidive). Cependant, ce montant prévu par la loi « Informatique et liberté » apparaissant peu inadapté au regard de la potentielle gravité des violations de la législation et à la puissance de certains responsables de traitements qui s’en rendent coupables, le nouveau règlement européen prévoit, en fonction des atteintes, des sanctions allant jusqu’à 20millions d’euros ou, dans le cas d’une entreprise jusqu’à 4% du chiffre d’affaires annuel mondial total (11). La délibération de la Cnil amorce l’entrée en vigueur de la nouvelle réglementation européenne qui renforce les obligations de protection en matière de données personnelles. A titre d’illustration, le règlement viendra renforcer le droit à l’information en ajoutant notamment à la liste des informations à fournir : l’identité et les coordonnées du responsable de traitement, le cas échéant, celles de son Data Protection Officer (DPO), les finalités du traitement auxquelles sont destinées les données à caractère personnel ainsi que la base juridique du traitement, les catégories de destinataires de ces données, ainsi que, éventuellement, le transfert de ces données vers un pays tiers. En outre, le règlement prévoit une obligation d’information spécifique en matière de profilage et le consentement devra être recueilli pour toutes les finalités, à défaut de quoi il ne peut être considéré comme valable. @

* Ancien bâtonnier du Barreau de Paris.

ZOOM

Sanction de Facebook par la Commission européenne
Facebook a été sanctionné par l’Union européenne (UE) pour ses pratiques, non
plus sur le fondement des données personnelles, mais sur celui du règlement de 2004 relatif aux concentrations (12). En effet, la Commission européenne a prononcé une sanction de 110 millions d’euros à l’encontre de Facebook pour lui avoir fourni des fausses informations au moment de l’enquête menée au titre du rachat de WhatsApp par Facebook. La Commission européenne n’a toutefois pas remis en cause le rachat de WhatsApp par Facebook décidé en 2014. En l’espèce, il était question de la combinaison des données entre les deux entités, une combinaison que Facebook
disait impossible lors du rachat du service de messagerie en 2014. Ainsi, « la société
a informé la Commission [européenne] qu’elle ne serait pas en mesure d’établir d’une manière fiable la mise en correspondance automatisée entre les comptes d’utilisateurs de Facebook et ceux de WhatsApp ». Selon la Commission européenne, « Facebook a commis deux infractions distinctes en fournissant un renseignement inexact et dénaturé d’une part dans le formulaire de notification de la concentration et d’autre part, dans la réponse à une demande de renseignements de la Commission » et a fait preuve tout au moins de négligence.
Pour fixer le montant de l’amende, la Commission européenne a toutefois pris en compte certaines circonstances atténuantes, notamment la collaboration de l’entreprise durant cette enquête. L’annonce du partage de données et de numéros de téléphone entre Facebook de WhatsApp en 2016 avait déjà fait l’objet de protestions notamment par le G29, qui dans une lettre ouverte (13) avait dénoncé lui aussi la contraction du partage de ces données avec la déclaration des entreprises lors de l’opération de rachat. Dans cette lettre, le groupe européen des « Cnil » avait demandé une suspension de ce rapprochement entre les deux applications eu égard à la validité
des finalités poursuivies et à celle du consentement des utilisateurs. Cette demande avait été finalement prise en compte par WhatsApp qui avait suspendu l’envoi des informations à fin publicitaire à sa maison- mère, Facebook. Compte tenu des enjeux,
il semblerait que seule une action commune au niveau européen semble susceptible d’impacter véritablement le comportement de groupes comme Facebook. @

Suspicions d’abus de position dominante des App Stores d’Apple, de Google et consorts

À l’heure où l’App Store d’Apple fête ses cinq ans d’existence et ses 50 milliards d’applications téléchargées, les magasins d’applications sont dans le collimateur, notamment en France : verrouillage des utilisateurs, exclusivité ou fausse protection de la vie privée sont en cause.

Par Katia Duhamel, avocat, cabinet Bird & Bird

Les magasins d’applications sont des plates-formes qui mettent en relation les utilisateurs de terminaux avec les éditeurs de contenus ou de services, lesquels développent des applications. Ces boutiques en ligne permettent de fidéliser une clientèle qui sera de facto captive pour l’obtention d’« applis », ce qui en fait un canal de distribution incontournable pour les développeurs. Ceci explique qu’elles fleurissent : App Store d’Apple, Google Play de Google, App World de BlackBerry ou encore Windows Phone Store de Microsoft, pour ne mentionner que les plus populaires.

Hégémonie de quelques uns
A eux seuls, ces quatre magasins d’applications ont dégagé 1,6 milliard d’euros de recettes au premier semestre 2013. Les modèles économiques, eux, sont divers :
des applications gratuites et financées par la publicité à celles qui sont payantes, en passant par les applications freemium (1) ou encore celles qui incitent à l’achat de produits ou services supplémentaires (2). Les applications disponibles sont très variées : divertissement, musique, photos, média, utilitaire, bureautique, réseaux sociaux, etc. Il en existe actuellement environ 900.000 disponibles sur l’App Store d’Apple lancé en juillet 2008 et le succès est indéniable grâce à la simplicité d’utilisation qui permet d’accéder au service ou au contenu désiré très rapidement, les données personnelles des utilisateurs, et notamment les données de paiement, étant conservées pour simplifier les transactions futures. La remarquable croissance des magasins d’applis repose sur des règles de fonctionnement draconiennes qui consacrent l’hégémonie de ceux qui les contrôlent : Apple, Google et consorts. Certaines de ces règles semblent gravées dans le marbre – par exemple l’emblématique commission de 30 % perçue par Apple –, mais il existe aussi des conditions générales fixées de façon plus ou moins strictes et opaques. Aux Etats-Unis, le département de la Justice américaine (DoJ) est intervenu le 2 août 2013 (lire p. 3) pour demander d’interdire à la marque à la pomme toutes pratiques commerciales et tarifaires anti-concurrentielles non seulement dans le livre mais aussi les autres contenus numériques (musique, film, télévision, etc.). En France, au printemps dernier, Apple a exclu brutalement AppGratis de son store d’applications, en invoquant des manquements à ses conditions générales d’utilisation, notamment le fait que l’appli d’AppGratis fait doublon avec ses propres services de vente d’applis (3). En réalité, la simplicité apparente de fonctionnement des magasins d’applications dissimule un verrouillage très sophistiqué des utilisateurs grâce à l’intégration verticale des entreprises sur les marchés concernés. En effet, les plates-formes sont développées par les exploitants de systèmes d’exploitation (OS), qui accueillent nativement ces plates-formes. Tous les moyens sont bons pour permettre aux acteurs les plus puissants de conserver la main mise sur leurs utilisateurs :
• Le verrouillage est plus accompli encore lorsque l’exploitant de l’OS et du magasin d’applications afférent détient également le terminal auquel il est attaché, comme Apple avec l’IPad et l’IPhone par exemple (4). En d’autres termes, comme le résume Bruno Lasserre, président de l’Autorité de la concurrence, une fois le terminal choisi, l’utilisateur est « verrouillé dans son choix initial », et ce de façon durable.

Suprématie préservée sur le marché
• Des stratégies d’exclusivité
sont mises en oeuvre pour interdire la diffusion d’applications en dehors de leur plate-forme. À ce titre, on peut citer l’interdiction de proposer aux utilisateurs des moyens d’obtenir le même service par un autre canal de distribution.
• Le refus de partager les données personnelles des utilisateurs en se retranchant derrière le droit de ces derniers à la protection de la vie privée, permet de protéger leur statut d’intermédiaire incontournable et assoient leur suprématie sur le marché.
Pour toutes ces raisons, les magasins d’application, et notamment l’App Store d’Apple, ont fait l’objet de nombreuses critiques, notamment dans l’affaire « AppGratis » ou encore lors de la fronde des éditeurs de presse contre les conditions imposées par Apple, notamment la célèbre commission de 30 %.

Droit de la concurrence versus omerta
Ceci explique aussi que l’Autorité de la concurrence ait lancée le 11 juillet 2013 une enquête sur les conditions de concurrence sur le marché des applications, après notamment avoir mené plusieurs perquisitions dans les locaux d’Apple France et de plusieurs de ses distributeurs. Bruno Lasserre, président de l’Autorité, estime en effet
qu’il faut « vérifier que le marché de la distribution d’applications mobiles est suffisamment concurrentiel », et notamment que les entreprises concernées ne favorisent pas leurs propres applications et que leurs conditions tarifaires soient objectives et non discriminatoires. En filigrane, ce sont toutes les formes d’exclusivité détenues par les exploitants de ces plates-formes sur les utilisateurs et le contrôle de l’accès au marché qui sont critiqués. Les exploitants des magasins d’applis pourraient voir le coeur de leur modèle économique impacté en cas de remise en cause de leur exclusivité, des conditions d’admission sur leur plateforme ou encore de leur marge sur les transactions. Le chemin est néanmoins encore long et les difficultés qui se posent très nombreuses :
la définition des marchés pertinents, leur analyse, pour chacune des plates-formes considérées, ainsi que l’identification d’un abus de position dominante.
En outre, l’équilibre que cherche à promouvoir l’Autorité de la concurrence est très subtil. Rappelons que dans sa décision 08-D-10, elle a autorisé France Télévisions et France Télécom à signer un contrat d’exclusivité malgré les effets « potentiellement verrouillants » de ce contrat. En effet, l’Autorité met en balance les effets bénéfiques et anticoncurrentiels des exclusivités en cause, c’est-à-dire le besoin de protéger les innovations du secteur et la nécessité de permettre l’émergence de nouveaux acteurs. Aussi, nul ne peut dire quelle sera sa position dans cette affaire « App Store ». Il faut aussi rappeler qu’en 2004, l’Autorité de la concurrence n’avait pu que rejeter une plainte de VirginMega (à l’époque filiale de Lagardère) et la demande de mesures conservatoires associée à l’encontre d’Apple, faute d’éléments probants. Cette décision a fait date (5) car l’institution s’exprimait pour la première fois sur une stratégie d’incompatibilité – entre la plate-forme de musique en ligne et l’iPod –, entraînant des problèmes de verrouillage vertical provoqué par des DRM (6).
Soulignons enfin que cette enquête pourrait être une madeleine de Proust pour Microsoft, présent sur le marché avec « Windows Phone Store », et qui n’a peut-être pas encore digéré son amende de 561 millions d’euros en mars dernier pour nonrespect de ses engagements dans une affaire qui portait également sur le verrouillage des utilisateurs
à qui le choix de leur navigateur n’était pas proposé par défaut.
Certaines des questions posées par les magasins d’applis – notamment celle de l’interopérabilité – pourraient cependant trouver des réponses. Rappelons en effet que la directive européenne « Droit des consommateurs » du 25 octobre 2011 dispose : « Avant que le consommateur ne soit lié par un contrat à distance ou hors établissement ou par une offre du même type, le professionnel lui fournit, sous une forme claire et compréhensible, les informations suivantes : (…) s’il y a lieu, toute interopérabilité pertinente du contenu numérique avec certains matériels ou logiciels dont le professionnel a ou devrait raisonnablement avoir connaissance » (7). Le considérant 19 de la directive précise en outre que « par information sur l’interopérabilité, on entend les informations relatives au matériel standard et à l’environnement logiciel avec lesquels le contenu numérique est compatible, par exemple le système d’exploitation, la version nécessaire
et certaines caractéristiques de matériel ».

Obliger à informer sur l’interopérabilité
Aussi, les exploitants de magasins d’applications ont l’obligation d’informer les consommateurs sur les compatibilités de l’application téléchargée avec d’autres OS,
voire d’autres terminaux. En l’état, les dispositions de la directive ne sont pas en mesure de remettre en cause l’exclusivité dont bénéficient les exploitants sur leur magasin d’applications. Cependant, le concept d’interopérabilité, développé et renforcé,
pourrait constituer la meilleure arme contre l’exclusivité dont bénéficient les magasins d’applications, et dont les conséquences sur le plan concurrentiel sont tant décriées. @