Joe Biden (78 ans), 46e président des Etats-Unis, pourrait être celui qui mettra au pas les GAFA

Donald Trump est mort, vive Joe Biden ! A 78 ans, l’ancien vice-président de Barack Obama (2009-2017) et ancien sénateur du Delaware (1973-2009) a été investi 46e président des Etats-Unis le 20 janvier. Membre du Parti démocrate depuis 1969, Joseph Robinette Biden Junior est attendu au tournant par les Big Tech et la Silicon Valley.

Joe Biden (photo) et Kamala Harris ont donc prêté serment le 20 janvier 2021 en tant que respectivement président et vice-présidente des Etats-Unis. Battu de justesse et ayant eu du mal à admettre sa défaite, Donald Trump a boudé la cérémonie. Maintenant, la fête est finie et le 46e président des Etats-Unis se retrouve avec une pile de dossiers à traiter dans le Bureau ovale de la Maison-Blanche, sa résidence officielle jusqu’en janvier 2025 – son mandat étant de quatre ans, sauf décès ou destitution, renouvelable une fois. Située plutôt en haut de la pile des urgences se trouve la régulation de l’Internet, tant les problèmes se sont accumulés sous l’administration Trump : les enquêtes antitrust lancées à l’encontre des GAFA menacés de démantèlement pour en finir avec les abus de positions dominantes dans l’économie numérique et le e-commerce ; la protection des données personnelles en ligne et de la vie privée numérique, notamment mises à mal par les réseaux sociaux ; l’explosion des contenus controversés voire illicites sur Internet tels que publicités politiques, cyberhaine, cyberviolence ou encore désinformation ; la liste noire d’une dizaine d’entreprises technologiques chinoises devenues indésirables aux yeux de son prédécesseur sur le sol américain ; l’augmentation envisagée des droits de douanes sur des produits provenant des pays, dont la France, instaurant des taxes « GAFA ».

Biden et Trump, bonnet blanc et blanc bonnet ?
Ainsi, Joe Biden hérite d’au moins une demi-douzaine de problématiques digitales qui marqueront son mandat présidentiel. Ce à quoi s’ajoutent d’autres préoccupations des Big Tech depuis l’administration Trump : les décrets limitant les visas américains pour les salariés étrangers diplômés qui souhaiteraient travailler aux Etats-Unis, Silicon Valley comprise ; la neutralité de l’Internet annulée en 2018 par la FCC (1), laquelle décision fut confortée par un jugement mais laissant le dernier mot aux Etats fédérés (2) (*) (**). Plus globalement, le président démocrate est réputé plus favorable au renforcement du pouvoir fédéral, voire à un renforcement des lois antitrust que l’ancien président républicain. Ce dernier aspirait à moins de réglementation. Biden rime avec « plus de concurrence ». Alors que Trump rimait plus avec « positions dominantes ». Mais que l’on ne s’y trompe pas : Biden pourrait faire vis-à-vis des Big Tech dans le « Je t’aime… moi non plus » (3), et même nommer un « Monsieur antitrust » à la Maison-Blanche (4). De nombreuses Big Tech ont d’emblée misé sur le nouveau président en cofinançant ses cérémonies d’investiture, la plupart virtualisée en raison des risques de pandémie et d’émeutes. Le comité d’organisation mentionne comme donateurs : Google (Alphabet), Amazon, Microsoft, Verizon, Comcast (maison mère de NBC Universal), Qualcomm, Uber ou encore Yelp, ainsi que parmi les quelque 5.000 supporteurs Boeing. Mais qui trop embrasse mal étreint…

Antitrust, ePrivacy, data, fake news, …
La nouvelle administration « Biden » a maintenant les coudées franches pour légiférer autour d’Internet et du e-commerce dans la mesure où les démocrates américains ont la majorité à la Chambre des représentants et au Sénat.
Sur le front « antitrust », les GAFA ne s’attendent à aucun revirement politique à leur égard. Les enquêtes lancées l’an dernier par le pouvoir fédéral américain – notamment du ministère de la Justice, ou DoJ (5) – vont se poursuivre sous la houlette de son nouveau ministre, Merrick Garland, dans le but d’essayer de mettre un terme aux pratiques anticoncurrentielles des géants du numérique surnommés les « winner-take-all ». Google (Alphabet) répond déjà devant la justice américaine depuis octobre dernier à propos de son moteur de recherche monopolistique (6). Le DoJ pourrait demander aussi des comptes à Apple, contesté pour ses pratiques sur son écosystème App Store, ainsi qu’à Facebook. Le réseau social de Mark Zuckerberg est déjà dans le collimateur du gendarme américain de la concurrence, la FTC (7), laquelle se mord les doigts d’avoir laissé Facebook racheter en 2012 Instagram et en 2014 WhatsApp (8) Les auteurs parlementaires du rapport du groupe spécial antitrust de la commission des Affaires judiciaires de la Chambre des représentants des Etats-Unis, publié le 6 octobre dernier (9), a appelé le Congrès américain à légiférer rapidement, sans attendre des années de procès. Depuis ce pavé dans la mare des GAFA, des Etats américains se sont coalisés pour poursuivre en justice Google et Facebook (10).
Sur le front « ePrivacy », les Etats-Unis ont pris conscience de l’importance de la protection des données personnelles en ligne et de la vie privée numérique, notamment mises à mal par Facebook avec l’affaire retentissante « Cambridge Analytica » qui a valu à la firme de « Zuck » 5milliards de dollars d’amende infligés en juillet 2019 par la FTC. Ce scandale avait porté sur l’utilisation illégale de 50 millions de comptes de Facebook aux Etats-Unis pour influencer en 2016 l’élection présidentielle américaine (11). Joe Biden pourrait s’inspirer du règlement européen sur la protection des données (RGPD), en vigueur depuis mai 2018, pour pousser une loi fédérale de même portée, alors que le « California Consumer Privacy Act » l’est depuis juin de la même année. La vice-présidente des Etats- Unis, Kamala Harris (première femme et première noire à occuper ce poste), pourrait accélérer dans cette voie, elle qui fut sénatrice et procureure de Californie, la Mecque des Big Tech et des start-up. Elle est même proche familialement du directeur juridique d’Uber. Mais Washington et Silicon Valley ne font pas bon ménage sur cette question.
Sur le front « fake news », la question de la régulation de l’Internet se pose d’autant plus que la cyberhaine déversée lors de la dernière campagne présidentielle, suivie des émeutes mortelles des partisans de Donald Trump le 6 janvier au Capitole, a laissé des traces profondes dans l’opinion américaine et internationale.
Les publicités politiques financées, puis interdites, sur les réseaux sociaux et la guerre de la désinformation (fake news) ont porté atteinte aux valeurs démocratiques. Joe Biden a déjà fait savoir qu’il allait réviser la section 230 du « Communications Decency Act » de 1996, lequel accorde une « immunité » judiciaire aux plateformes numériques quant aux contenus mis en ligne par leurs utilisateurs. Mais ce bouclier (12) est aujourd’hui contesté car les médias sociaux ne sont plus seulement hébergeurs. Facebook, Twitter et autres Google ont joué tant bien que mal les « modérateurs », supprimant des contenus qui n’auraient pas dû l’être, ou inversement avec la cyberviolence ou des contenus d’extrême droite ou complotistes.

… Huawei, TikTok, Xiaomi, taxes GAFA
Sur le front « Chine », une dizaine d’entreprises technologiques chinoises – à commencer par Huwei, le numéro un mondial des réseaux 5G, mais aussi ZTE – ont été placées sur une liste noire, accusées sans preuve de cyberespionnage et d’atteinte à la sécurité nationale du pays, le tout sur fond de bras de fer commercial sinoétatsunien. L’été dernier, Donald Trump avait signé des « Executive Order » pour interdire TikTok et WeChat aux Etats-Unis, sauf à être cédées par leur maison mère respectives, ByteDance et Tencent. A six jours de la fin du mandat, l’ancien président Trump a rajouté Xiaomi, devenu troisième fabricant mondial de smartphones devant Apple, à sa liste des chinois indésirables. Joe Biden, lui, enterra-t-il la hache de guerre pour fumer le calumet de la paix avec la Chine ?
Sur le front « taxe GAFA », la taxe que Paris a appliquée en 2019 aux grandes plateformes numériques – d’où son surnom de « taxe GAFA » – avait amené les Etats-Unis à envisager des représailles via une hausse des droits de douanes sur certains produits français. Or le 8 janvier dernier, le gouvernement fédéral américain a suspendu ce projet, le temps d’examiner les taxes GAFA similaires dans une dizaine d’autres pays (Grande-Bretagne, Italie, Inde, …). La future secrétaire au Trésor américain, Janet Yellen, s’est dite le 19 janvier plutôt favorable à une telle taxe pour « percevoir une juste part » des géants du Net. Avec Joe Biden, les Etats-Unis changent de pied. @

Charles de Laubier

Les plateformes numériques sont-elles parties pour un grand chelem de sanctions ?

Les géants du Net sont pris entre deux feux principaux : le droit de la concurrence, d’une part, et la protection des données, d’autre part. Mais ces deux référentiels juridiques s’entremêlent de plus en plus et se démultiplient, au risque d’aboutir à des doubles sanctions. Ce que l’Europe assume.

Par Olivier de Courcel, avocat associé, cabinet Féral-Schuhl/Sainte-Marie

Alors que les textes de référence s’accumulent, de même que les procédures de contrôle et les sanctions (aux amendes toujours plus élevées), la mise en conformité (compliance) devient comme un grand chelem pour les plateformes numériques. Les procédures se multiplient: aux Etats-Unis, 5 milliards de dollars imposés à Facebook par la FTC américaine en juillet 2019, contrôle en cours par le DoJ sur les GAFA, enquête préliminaire conjointe de 48 Etats fédérés ; en Europe, amende de 2 millions d’euros en Allemagne pour le manque de transparence de Facebook sur les contenus illicites (1), enquête préliminaire lancée par la Commission européenne sur la collecte et l’utilisation des données des utilisateurs de Google (2), contrôle en cours par la « Cnil » irlandaise sur les ventes aux enchères d’espaces publicitaires de Google, pré-rapport de l’autorité de la concurrence britannique (CMA) sur les plateformes (3), etc…

Un empilement de textes et de sanctions
Or les référentiels juridiques ainsi opposés aux plateformes numériques sont d’autant plus complexes à articuler qu’ils tendent à s’ajouter en silos les uns à la suite des autres sans mise en cohérence. Les plateformes numériques sont d’abord des habituées du droit de la concurrence. La première décision rendue en France contre Google, en 2010 par l’Autorité de la concurrence, sanctionnait déjà le fonctionnement discriminatoire de l’affichage publicitaire sur le moteur de recherche et l’opacité des conditions de fourniture et interruption de son service Adwords (4). Le même abus de position dominante était soumis au gendarme de la concurrence à deux occasions en 2019 (5), ce qui l’amena en décembre dernier à assortir son injonction d’une sanction pécuniaire de 150 millions d’euros (6). Google a également fait l’objet de sanctions par la Commission européenne, à trois reprises entre 2017 et 2019 et pour un total qui dépasse 8 milliards d’euros (7). Par ailleurs, au titre du contrôle des concentrations, cette dernière a approuvé les principales opérations de fusion-acquisition des plateformes, notamment celle en 2014 de WhatsApp par Facebook (8). Ensuite, l’entrée en vigueur fracassante du règlement général sur la protection des données (RGPD), le 25 mai 2018, avec possibilité de sanctions jusqu’à 4% du chiffre d’affaires, a amené les entreprises, y compris les plateformes numériques, à prendre plus au sérieux le référentiel juridique applicable aux traitements de données à caractère personnel. A ce jour, néanmoins, les sanctions prononcées ne dépassent pas 215 millions d’euros pour un dossier (9). Les plateformes numériques connaissent bien l’orientation des régulateurs européens en matière de données et vie privée puisque, ne serait-ce qu’en France, Facebook a subi en 2017 deux décisions de sanction : l’une pour sa combinaison massive de données à des fins de ciblage publicitaire des internautes, y compris à leur insu et sur des sites tier (150.000 euros) (10); l’autre pour le traitement illégal par Facebook de données reçues de WhatsApp, (150.000 euros) (11).
Enfin, dans le cadre de sa stratégie pour un marché unique numérique, la Commission européenne a défini des règles applicables à l’ensemble des plateformes en ligne et places de marché actives dans l’Union européenne (près de 7.000), inspirées du droit de la concurrence et du droit de la consommation. Avec le règlement de juin 2019 sur les services d’intermédiation en ligne (12), elle interdit à toute plateforme numérique (et pas seulement celles en position dominante) de fermer sans motif le compte d’un vendeur. Dans le même cadre, les directives européennes concernant les consommateurs ont fait l’objet d’une révision d’ensemble via une directive du 27 novembre 2019 (13). Tout en renforçant la transparence pour les transactions BtoC sur les places de marché en ligne et en établissant une protection pour les consommateurs vis-à-vis des services numériques dits « gratuits » mais fournis contre leurs données personnelles, la nouvelle directive reprend le principe de sanctions pécuniaires qui, dans les lois nationales, devront s’élever « au moins » à 4% du chiffre d’affaires réalisé. En matière de « compliance », le RGPD fait des émules…

Application cumulative ou alternative
Le droit européen de la consommation apporte ainsi un troisième référentiel juridique pour le contrôle et la sanction des plateformes numériques (lesquels relèvent cependant à titre principal des autorités nationales). Encore ce panorama doit-il être complété par des réglementations plus spécifiques telles que la fiscalité (taxe GAFA), le droit d’auteur et les droits voisins de la presse (Google Actualités), la réglementation des télécoms (neutralité du Net) et d’autres…. Les référentiels de conformité opposables aux plateformes numériques s’articulent en fonction de leur objet et de leur échelon de contrôle (autorités nationales ou Commission européenne), ce qui peut entraîner une application cumulative ou alternative selon les cas.

RGPD et abus de position dominante
L’information donnée aux internautes est à l’intersection du droit de la concurrence et de la réglementation des données. Lorsque la filiale WhatsApp informe en 2016 ses utilisateurs qu’elle croisera leurs numéros de téléphone avec leurs identifiants Facebook, la Commission européenne constate que le rapprochement des deux bases de données était déjà possible techniquement lors de l’acquisition par Facebook en 2014, contrairement aux informations alors fournies. Facebook s’en sort en mai 2017 avec une amende de 110 millions d’euros. Mais cette transmission des données de WhatsApp et le manque d’information aux personnes sont aussi sanctionnés par la Cnil en décembre 2019 (150.000 euros). Le droit des abus de position dominante peut aussi prendre en compte une infraction à une loi spécifique, à partir du moment où l’infraction traduit un abus de cette position qui a pour objet ou pour effet de restreindre la concurrence sur le marché considéré (14). C’est ainsi qu’en Allemagne, l’autorité de la concurrence s’est essayée en février 2019 à démontrer les manquements de Facebook au RGPD pour considérer qu’ils traduisaient en tant que telle la position dominante du réseau social et son exploitation abusive (15). En appel, cette confusion des genres n’a pas été écartée dans le principe, mais la cour régionale de Düsseldorf a considéré que le non-respect du RGPD ne démontrait pas à lui seul l’existence d’un abus de position dominante ayant un effet anti-concurrentiel (16).
En sens inverse, pour le calcul de ses sanctions, le RGPD prend en compte certains aspects qui peuvent traduire une position dominante, tels que le nombre de personnes concernées par la violation ou bien les avantages financiers obtenus (17). Dans ses décisions concernant Facebook, la Cnil ne manque pas d’évoquer les 33 millions de personnes concernées et le caractère massif de la collecte de données qui en résulte (18). Dans sa décision de janvier 2019 concernant Google (50 millions d’euros), la Cnil considère même que la position dominante du système d’exploitation Android sur le marché français, associée au modèle économique du moteur de recherche bâti sur la publicité personnalisée, renforce les obligations de Google au titre du RGPD (19). A l’échelon de l’Union européenne, le commissaire à la Concurrence envisage de combiner la réglementation des données personnelles et les règles antitrust en analysant les données comme des actifs, dont la valeur croît d’autant plus qu’elles ne sont pas facilement accessibles ou reproductibles et qu’elles peuvent constituer une barrière à l’entrée pour d’autres entreprises. En sens inverse, il anticipe que la qualité de la protection de la vie privée offerte par un service puisse stimuler la concurrence (20). De telles situations créent le risque d’une double sanction pour un même comportement, au titre du droit de la concurrence et du RGPD ou d’une autre réglementation, comme dans le cas Facebook-WhatsApp. En effet, si le principe « non bis in idem » interdit d’appliquer plusieurs sanctions à une même infraction, des exceptions sont possibles lorsqu’il existe un motif d’intérêt général, lorsque que les sanctions ont des objectifs complémentaires et lorsqu’elles respectent le principe de nécessité et proportionnalité des peines (21).
A l’opposé des situations de recoupement, il peut y avoir des « vides réglementaires », lorsqu’un acteur ne se trouve pas en position dominante ou que son comportement n’a pas d’effet anti-concurrentiel sur le marché et que, pour autant, la réglementation n’est pas assez précise pour incriminer son comportement. C’est en ce sens que le règlement de juin 2019 sur les services d’intermédiation en ligne établit des règles inspirées du droit de la consommation pour les entreprises qui normalement n’en bénéficient pas. Or le partage des compétences entre autorités de contrôle est un facteur majeur de la fragmentation des décisions.
Au lieu d’une répartition à partir de seuils de chiffre d’affaires assortie d’un principe de dessaisissement des autorités nationales au profit de la Commission européenne, comme en droit de la concurrence, le RGPD prévoit la compétence de l’autorité nationale de chaque pays concerné par le traitement de données en cause. Un traitement transfrontalier peut être suivi par une autorité nationale « chef de file » (22), mais celle-ci doit susciter un consensus avec ses pairs sur son projet de décision. En cas de désaccord entre autorités nationales, le comité européen à la protection des données (CEPD), qui les réunit toutes, est appelé à trancher (23). En pratique, le risque serait de voir la violation des règles de protection des données sanctionnée faiblement ou pas du tout par les autorités nationales (plus sensibles aux intérêts économiques de leur pays) et se trouver sanctionnée lourdement par la Commission européenne mais au titre du droit de la concurrence. La crédibilité du RGPD s’en trouverait réduite.

Une politique des plateformes s’impose en Europe
Dans ce contexte réglementaire fragmenté, des appels se font entendre pour réviser le droit de la concurrence, promouvoir l’open data et l’interopérabilité, réguler les plateformes numériques à l’instar des opérateurs télécoms dominants, ou encore scinder les GAFAM. Mais en attendant de telles réformes, on peut s’interroger sur le risque de l’absence de politique ou de projet industriel européens pour concurrencer les plateformes américaines et chinoises et pour traiter les données en Europe. @

La France prend le risque de ne pas notifier à Bruxelles sa taxe sur les services numériques (TSN)

« Taxe GAFA » ou encore « taxe Le Maire », quel que soit son surnom, la taxe sur les services numériques (TSN) – 3 % sur le chiffre d’affaires des entreprises du Net d’une certaine taille et actives en France – présente une dimension « aide d’Etat » censée être notifiée à la Commission européenne sous peine d’être illégale.

Le gouvernement a décidé de ne pas notifier à la Commission européenne la loi instaurant la taxe sur les services numériques (TSN), ou « taxe GAFA », qui a été définitivement adoptée le 11 juillet. Pourtant, afin d’éviter une double imposition des entreprises du Net qui paient déjà en France l’impôt sur les sociétés, la nouvelle loi prévoit une déduction qui s’apparente à une aide d’Etat. Or pour qu’une aide d’Etat ne soit pas illégale, elle doit être notifiée en bonne et due forme à la Commission européenne, conformément au traité sur le fonctionnement de l’Union européenne – le TFUE (1). « Aucune notification n’a été reçue de la France, indique à Edition Multimédi@ une source à Bruxelles sous couvert d’anonymat. Une notification est requise si une mesure entraîne une aide d’Etat. Les Etats membres doivent veiller à ce que leur régime fiscal ne favorise pas indûment certaines entreprises par rapport à d’autres. Cela nécessite une évaluation au cas par cas ». La Commission européenne s’attend donc, sur sa taxe GAFA, à une notification de la France afin d’en étudier la conformité avec ses propres orientations fixées le 21 mars 2018 et les règles du TFUE.

La « taxe Le Maire » et la « taxe Moscovici »
C’est au début du printemps 2018 qu’a en effet été proposée une TSN européenne, surnommée « taxe Moscovici », qui est actuellement examinée par le Conseil de l’Union européenne. « Nous n’avons pas de commentaires à faire sur les projets de loi nationaux, nous répond Vanessa Mock, porte-parole à la Commission européenne sur les questions financières et fiscales relevant du champ d’action du commissaire Pierre Moscovici (photo). Plus généralement, il est fortement suggéré aux Etats membres qui souhaitent introduire des mesures nationales [comme la TSN, ndlr] d’utiliser la proposition de la Commission européenne relative à une taxe commune sur les services numériques – qui prend également en compte les considérations de conception exposées dans le rapport intermédiaire de l’OCDE (3) sur les défis fiscaux découlant de la numérisation (4) – comme modèle. Cela permettra de réduire au minimum la fragmentation du marché unique et d’assurer la compatibilité avec le droit communautaire ».

Eviter la double imposition des sociétés
La proposition de TSN de Bruxelles prévoit bien des mesures afin d’atténuer le risque de double imposition : « Afin de réduire les cas éventuels de double imposition (…), il est prévu que les Etats membres autoriseront les entreprises à déduire la TSN acquittée en tant que coût de l’assiette de l’impôt sur les sociétés sur leur territoire » (5). C’est ce que prévoit bien la loi française. Car afin d’éviter la double imposition pour les entreprises du Net qui paient déjà leurs impôts sur les bénéfices réalisés en France, il fallait trouver un remboursement pour éviter cette fiscalité supplémentaire pour une société déjà assujettie par ailleurs – au nom du principe d’égalité devant l’impôt.
Le Sénat a finalement opté pour un mécanisme de déduction de la TSN de la contribution sociale de solidarité des sociétés (C3S). Ces deux outils fiscaux – TSN et C3S – portent chacun sur le chiffre d’affaires d’une entreprise et ne relèvent pas de conventions fiscales, tout en assujettissant l’ensemble des entreprises, quel que soit leur pays où se situe leur siège social, au regard des activités exercées sur le sol français et les rendant ainsi passibles de l’impôt sur les sociétés. Mais un acteur du Net non installé en France pourrait ne pas bénéficier de la ristourne fiscale, ce qui constituerait une distorsion de concurrence par rapport à une entreprise française ainsi avantagée.
« Quoiqu’imparfaite car ne compensant notamment pas totalement la double imposition, cette solution permettait de réduire l’impact de cette taxe [TSN] pour les entreprises installées en France et qui ne réalisent pas encore de bénéfices, nombreuses dans le secteur numérique », ont estimé les deux rapporteurs (6) de la loi en commission mixte paritaire fin juin. Autrement dit, cette compensation ménage la trésorerie des entreprises qui payent déjà leurs impôts en France. Et l’objectif de la « taxe GAFA », prévue désormais à l’article 299 du code général des impôts, reste bien de taxer des géants du numérique qui ne paient pas d’impôt sur les sociétés en France – pas les autres. Le choix de porter l’assiette de la TSN sur le chiffre d’affaires était susceptible de faire des victimes collatérales parmis les entreprises françaises. D’où l’idée de cette compensation, qui s’apparente à une aide d’Etat. Selon l’amendement (7) du sénateur (LR) Albéric de Montgolfier qui introduit dans la loi cette articulation TSN-C3S, la « taxe Le Maire » – du nom du ministre de l’Economie et des Finances, Bruno Le Maire (photo de droite), qui a porté le projet – risquait en effet de se traduire immédiatement pour les entreprises déjà imposées sur les bénéfices réalisés en France par une baisse de leurs résultats après impôts de 30 %. D’où l’instauration de la réduction sur la C3S lorsqu’il y a prélèvement dû au titre de la TSN.
Cette solution d’évitement de la double imposition est une ristourne qui s’apparente à une aide d’Etat et suppose donc une notification à Bruxelles, au regard des règles TFUE. Le Parlement français se veut très prudent afin d’éviter que la « taxe Le Maire » ne soit invalidée. Aussi, Albéric de Montgolfier, rapporteur général de la commission des finances du Sénat, a introduit un petit article dans la loi française. Cet article 2 y précise qu’« en l’absence de notification préalable de la taxe sur les services numériques (…) à la Commission européenne (…), le gouvernement remet, dans un délai de trois mois à compter de la promulgation de la présente loi, un rapport au Parlement sur les raisons pour lesquelles la taxe précitée n’a pas été notifiée à la Commission européenne ».
Les explications du gouvernement sur la non-notification de la taxe GAFA de Paris à Bruxelles sont donc attendues à l’automne 2019. Comment justifier cette non-notification qui pourrait remettre en cause l’instauration de cette taxe GAFA applicable au 1er janvier 2019? Le gouvernement français a décidé de faire cavalier seul pour être le premier Etat membre à mettre en oeuvre cette taxe numérique (8). Pour être euro-compatible, le rapporteur Albéric de Montgolfier a estimé « indispensable » cette notification : « Dès lors que la taxe ne frapperait que des grandes entreprises internationales, il convient d’être prudent. Si elle était qualifiée d’aide d’Etat, sans notification préalable, la taxe serait invalidée sans même être contraire aux traités européens ».

La taxe GAFA scrutée par le G7 et l’OCDE
Et le sénateur de la commission des finances du Sénat de mettre en garde le gouvernement : « Si la taxe n’est pas notifiée et qu’elle est invalidée, il sera nécessaire de rembourser les entreprises qui l’ont acquittée. Ce serait la pire solution ! ». Il y a donc bel et bien insécurité juridique et risque d’illégalité de la taxe GAFA, que conteste par ailleurs les Etats-Unis (9), alors que le G7 va se réunir fin août en France à Biarritz pour en discuter. Si elle devenait illégale, elle ne le serait pas longtemps puisque la France a prévu d’annuler son impôt numérique dès qu’un accord mondial au sein de l’OCDE sera trouvé – dès 2020 ? @

Charles de Laubier

Pub, Google et Facebook : verbatim du gendarme

En fait. Le 6 mars, l’Autorité de la concurrence a rendu son avis-étude sur
le marché de la publicité en ligne – du moins le display, mais pas le search –
avant de décider dans quelques mois « s’il y a lieu d’ouvrir une (ou plusieurs) enquête(s) contentieuse(s) ». Ce qu’elle dit au juste de Google et Facebook.

En clair. « De nombreux fournisseurs de services d’intermédiation et d’exploitation
de données [pour les annonceurs ou les éditeurs] sont confrontés à la concurrence d’acteurs globaux, au premier rang desquels Google et Facebook [qui] occupent des positions stratégiques sur ce nouveau marché en utilisant leurs atouts considérables : effets de réseau, capacité à produire des innovations technologiques, audiences considérables et vastes ensembles d’inventaires et de données » résume l’Autorité
de la concurrence dans son avisétude de 125 pages.
Partant du constat que Facebook et Google apparaissent comme les deux leaders
du secteur de la publicité en ligne (1), et pas seulement sur l’Hexagone, le gendarme de la concurrence évoque à plusieurs reprises la question de la position dominante
– mentionnée vingt-deux fois (https://lc.cx/gNty) – mais sans dire si elle est avérée
pour les deux géants du Net : « Au final, au niveau mondial comme au niveau français, la majorité des revenus dans le secteur est réalisée par Google et Facebook. Cette situation résulte du cumul de plusieurs avantages concurrentiels ». (…) « Le modèle d’intégration verticale de Google et de Facebook, qui est fondé sur une présence à la fois dans l’édition et l’intermédiation technique, apparaît constituer un avantage concurrentiel significatif ». Les deux firmes de Menlo Park (Californie) sont devenues quasi incontournables sur le marché du display (2) : « Les outils d’achats d’espaces publicitaires de Google ou Facebook constituent par ailleurs l’unique plateforme permettant de mettre en oeuvre des campagnes publicitaires sur les sites [web] qu’ils éditent, et qui sont les services bénéficiant de l’audience la plus importante en France. Google et Facebook bénéficient de capacités d’exploitation de données, qui constituent également de puissants avantages concurrentiels pour la fourniture de services publicitaires ». Il en va ainsi notamment du ciblage publicitaire « Google et Facebook disposent d’avantages concurrentiels qui sont liés au volume et à la variété des données mais aussi, de manière indissociable, à la taille des inventaires publicitaires mis à disposition des annonceurs, et à leur audience ». La présidente de l’Autorité de
la concurrence, Isabelle de Silva, n’exclut pas d’« ouvrir une (ou plusieurs) enquête(s) contentieuse( s) ». Décision « dans quelques mois ». @

Données personnelles ou droit de la concurrence : Facebook ne se fait pas que des amis

Alors que Facebook a franchi la barre des 2 milliards d’utilisateurs, des autorités nationales et européenne s’y intéressent de plus en plus comme en témoignent les sanctions prononcées récemment à son encontre, en matière de données à caractère personnel ou en droit de la concurrence.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Dans sa délibération du 27 avril 2017 (1), rendue publique le 16 mai suivant (2), la formation restreinte de la Cnil (3) a prononcé une sanction de 150.000 euros à l’encontre de Facebook. Cette sanction faisait suite à la mise en demeure, datée du 26 janvier 2016, par laquelle la Cnil, constatant plusieurs manquements à la loi informatique et libertés, avait demandé à Facebook de se mettre
en conformité. Plus largement, cette décision s’inscrit dans le prolongement d’une action conduite par plusieurs autorités nationales de protection
des données décidée à la suite du changement par le réseau social de sa politique
de confidentialité.

Lois nationales et acteurs globaux du Net
La Commission européenne a, quant à elle, prononcé une amende de 110 millions euros à l’encontre de Facebook pour avoir communiqué des informations inexactes ou dénaturées dans le cadre de l’enquête qu’elle a menée au titre du rachat de WhatsApp par Facebook en 2014. Cette sanction a été publiée le 18 mai dernier (4) (voir encadré page suivante). Ces procédures engagées à l’encontre de Facebook en Europe et en France démontrent l’inégalité des moyens d’action juridique existants et marquent la volonté des autorités de renforcer le montant des sanctions en matière de protection des données jugé trop peu dissuasif. L’adoption du règlement européen du 27 avril 2016 sur la protection des données personnelles (5) va résolument dans ce sens en augmentant considérablement le montant des sanctions prononcées par les « Cnil » en Europe. Sur ce point, le droit de la concurrence apparaît plus dissuasif puisqu’il prévoit déjà des sanctions dont le montant est proportionnel au chiffre d’affaires de l’entreprise condamnée. A propos de la sanction de Facebook en France par la Cnil, la délibération de cette dernière contient des enseignements intéressants notamment sur l’applicabilité de la loi française lorsqu’un responsable de traitement est établi dans plusieurs Etats de l’Union européenne (UE). Rappelons en effet que la loi « Informatique et libertés » (6) s’applique si le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi (7) et que la Cnil peut exercer un contrôle sur tout traitement dont les opérations sont mises en oeuvre, même partiellement, sur le territoire national, y compris si le responsable du traitement est établi dans un autre Etat membre de l’UE (8). Pour déterminer l’applicabilité du droit français en l’espèce, la Cnil va examiner les deux critères énoncés par la directive 95/46/CE sur la protection des données : d’une part, l’existence d’un établissement ; d’autre part, la mise en oeuvre du traitement dans le cadre de ses activités. A cet égard, il est intéressant de souligner que la Cnil a souhaité se référer au texte européen (9) plutôt qu’à celui de la loi française « Informatique et libertés ». Dans sa délibération, la Cnil fait référence à la jurisprudence de la Cour de justice de l’Union européenne (CJUE) et à son interprétation large de la notion d’établissement à l’appui de son raisonnement (10). Ainsi, la formation restreinte considère que Facebook doit être qualifié d’établissement car « Facebook France constitue une installation stable qui exerce une activité réelle et effective grâce à des moyens humains et techniques nécessaires notamment à la fourniture de services de marketing » et participe dans le cadre de ses activités aux traitements en cause. Cette analyse va à l’encontre de celle avancée par Facebook qui contestait la compétence de la Cnil au profit de la législation irlandaise et, par conséquent, de l’autorité irlandaise seule autorité compétente pour contrôler le traitement des données personnelles des utilisateurs du service en Europe. Il est également intéressant de relever que la Cnil adopte la position de la CJUE qui s’était pourtant prononcée dans un contexte différent puisque, contrairement à l’arrêt « Google Spain » cité par la Cnil, « il n’existe aucun risque de contournement des dispositions européennes », Facebook ne contestant pas l’applicabilité du droit européen mais celui du droit français.

Compétence territoriale étendue ?
La Cnil se positionne donc en faveur d’une compétence territoriale étendue pour affirmer la compétence de la loi « Informatique et libertés », sa propre compétence
et prononcer une sanction à l’encontre de Facebook. Cette analyse doit être prise en compte par les responsables de traitements qui sont établis dans plusieurs Etats de l’UE notamment à l’approche de l’entrée en vigueur – à partir du 25 mai 2018 – du règlement européen qui étend le champ de la compétence territoriale. En effet, avec
le nouveau règlement, la personne concernée pourra saisir aussi bien l’autorité de contrôle de l’Etat membre où est situé le responsable du traitement ou son sous-traitant que l’autorité de contrôle dans lequel se trouve sa propre résidence ou son lieu de travail, voire le lieu où la violation alléguée aurait été commise. La décision de la Cnil en France apporte également un certain nombre de précisions au regard des règles relatives à la protection des données à l’approche de l’entrée en vigueur du règlement européen sur la protection des données.

Six manquements de Facebook à la loi française
La délibération de la Cnil sanctionne Facebook au titre de six manquements aux obligations énoncées par cette loi, à savoir : l’obligation d’information, l’obligation de disposer d’une base légale pour les traitements, l’obligation d’une collecte loyale des données, l’obligation d’un consentement exprès pour les données sensibles, l’obligation de mettre à disposition un moyen valable pour s’opposer aux cookies, et l’obligation
de respecter une durée de conservation des données. La délibération de la Cnil est riche en enseignement, notamment sur les manquements au regard de l’obligation d’information. A ce titre, la Cnil relève que la politique d’utilisation des données de Facebook ne précise ni les droits dont disposent les utilisateurs ni les informations relatives au transfert de données hors de l’UE. Elle considère que Facebook doit afficher directement l’information sur le formulaire de collecte et non pas via un lien figurant sur le formulaire d’inscription.
Concernant cette fois la combinaison massive de données pour le ciblage publicitaire, la Cnil relève qu’« aucun des documents mis à la disposition des utilisateurs […] ne mentionne expressément la combinaison de données », Ainsi, si les utilisateurs disposent de moyens pour maîtriser l’affichage de la publicité ciblée, ils ne consentent pas à la combinaison massive de leurs données et ne peuvent s’y opposer, que ce
soit lors de la création de leur compte ou a posteriori. Enfin, sur l’utilisation du cookie
« datr », la Cnil relève que l’information « ne permet pas aux internautes et en particulier aux internautes non-inscrits sur le réseau social, d’être clairement informés
et de comprendre que leurs données sont systématiquement collectées dès lors qu’ils
se trouveront sur un site tiers comportant un module social ». Sur les autres manquements, Facebook ne recueille pas le consentement exprès des utilisateurs lorsqu’ils renseignent des données sensibles et que le paramétrage du navigateur ne permet pas aux utilisateurs de s’opposer valablement aux cookies déposés sur leur équipement terminal.
La Cnil a donc prononcé une sanction de 150.000 euros à l’encontre du réseau social, soit le maximum qu’elle peut aujourd’hui infliger (ce montant pouvant être porté au double en cas de récidive). Cependant, ce montant prévu par la loi « Informatique et liberté » apparaissant peu inadapté au regard de la potentielle gravité des violations de la législation et à la puissance de certains responsables de traitements qui s’en rendent coupables, le nouveau règlement européen prévoit, en fonction des atteintes, des sanctions allant jusqu’à 20millions d’euros ou, dans le cas d’une entreprise jusqu’à 4% du chiffre d’affaires annuel mondial total (11). La délibération de la Cnil amorce l’entrée en vigueur de la nouvelle réglementation européenne qui renforce les obligations de protection en matière de données personnelles. A titre d’illustration, le règlement viendra renforcer le droit à l’information en ajoutant notamment à la liste des informations à fournir : l’identité et les coordonnées du responsable de traitement, le cas échéant, celles de son Data Protection Officer (DPO), les finalités du traitement auxquelles sont destinées les données à caractère personnel ainsi que la base juridique du traitement, les catégories de destinataires de ces données, ainsi que, éventuellement, le transfert de ces données vers un pays tiers. En outre, le règlement prévoit une obligation d’information spécifique en matière de profilage et le consentement devra être recueilli pour toutes les finalités, à défaut de quoi il ne peut être considéré comme valable. @

* Ancien bâtonnier du Barreau de Paris.

ZOOM

Sanction de Facebook par la Commission européenne
Facebook a été sanctionné par l’Union européenne (UE) pour ses pratiques, non
plus sur le fondement des données personnelles, mais sur celui du règlement de 2004 relatif aux concentrations (12). En effet, la Commission européenne a prononcé une sanction de 110 millions d’euros à l’encontre de Facebook pour lui avoir fourni des fausses informations au moment de l’enquête menée au titre du rachat de WhatsApp par Facebook. La Commission européenne n’a toutefois pas remis en cause le rachat de WhatsApp par Facebook décidé en 2014. En l’espèce, il était question de la combinaison des données entre les deux entités, une combinaison que Facebook
disait impossible lors du rachat du service de messagerie en 2014. Ainsi, « la société
a informé la Commission [européenne] qu’elle ne serait pas en mesure d’établir d’une manière fiable la mise en correspondance automatisée entre les comptes d’utilisateurs de Facebook et ceux de WhatsApp ». Selon la Commission européenne, « Facebook a commis deux infractions distinctes en fournissant un renseignement inexact et dénaturé d’une part dans le formulaire de notification de la concentration et d’autre part, dans la réponse à une demande de renseignements de la Commission » et a fait preuve tout au moins de négligence.
Pour fixer le montant de l’amende, la Commission européenne a toutefois pris en compte certaines circonstances atténuantes, notamment la collaboration de l’entreprise durant cette enquête. L’annonce du partage de données et de numéros de téléphone entre Facebook de WhatsApp en 2016 avait déjà fait l’objet de protestions notamment par le G29, qui dans une lettre ouverte (13) avait dénoncé lui aussi la contraction du partage de ces données avec la déclaration des entreprises lors de l’opération de rachat. Dans cette lettre, le groupe européen des « Cnil » avait demandé une suspension de ce rapprochement entre les deux applications eu égard à la validité
des finalités poursuivies et à celle du consentement des utilisateurs. Cette demande avait été finalement prise en compte par WhatsApp qui avait suspendu l’envoi des informations à fin publicitaire à sa maison- mère, Facebook. Compte tenu des enjeux,
il semblerait que seule une action commune au niveau européen semble susceptible d’impacter véritablement le comportement de groupes comme Facebook. @