Très haut débit : une séparation structurelle pour faire émerger un champion européen ?

L’effondrement récent de l’action Altice en Bourse semble illustrer la difficulté de mise en oeuvre de la convergence contenus-réseaux, chère à M. Messier. De quoi relancer les débats sur la concentration des opérateurs télécoms en Europe et sur la séparation structurelle des « telcos » historiques.

Par Rémy Fekete, associé Jones Day

Le sujet de la séparation structurelle nous semble présenter une nouvelle pertinence en n’étant plus opposé mais plutôt associé à la nécessaire concentration du secteur et aux efforts nécessaires de déploiement de fibre : il est acté depuis plusieurs années, tant au niveau européen qu’au niveau national, que le besoin d’investissements en déploiement de fibre optique ne pourra s’affranchir d’une contribution des finances publiques. […]
En France, le 8 mars 2011, l’Autorité de la concurrence française a émis une recommandation pour séparer le réseau de l’opérateur France Télécom de ses activités de service : elle a préconisé que l’Arcep exerce son pouvoir pour imposer une séparation fonctionnelle entre les réseaux de France Télécom – détenant le monopole jusque dans les années 1990 – et son activité de services.
L’Autorité de la concurrence s’est inquiétée de la future situation concurrentielle dans le très haut débit (fibre optique). L’objectif, selon elle, était de redynamiser les offres des opérateurs télécoms. Plus précisément, la scission consisterait en une séparation fonctionnelle entre les activités qui resteront durablement en monopole et celles qui relèvent du champ concurrentiel. Concrètement, cela reviendrait à séparer l’exploitation des infrastructures de réseaux des activités de services, les deux entités pouvant demeurer au sein du même groupe. L’Arcep a répondu le 9 mars 2011 que la scission n’était qu’ « un outil de dernier recours (…) envisageable, à titre exceptionnel, qu’en cas d’échec de remèdes plus proportionnés ».

Société de patrimoine publique-privé
A ce jour, la France n’a pas pratiqué de séparation structurelle. A l’inverse, en novembre 2016, l’ « Arcep » britannique a exigé de BT Group qu’il se sépare de sa division Openreach, laquelle fournit notamment le réseau fixe haut débit également utilisé par Sky, TalkTalk ou encore Vodafone. BT et le régulateur ont par la suite trouvé un accord en mars 2017 qui aboutira non pas à une véritable scission de l’opérateur historique et d’Openreach mais à une gestion indépendante d’Openreach par BT. Openreach se charge de la maintenance des réseaux cuivre et fibre permettant le transfert des données télécoms et de contenus des opérateurs. Openreach est amené à devenir une entreprise indépendante évoluant sous sa propre marque et qui recevra les 32.000 salariés transférés de BT à Openreach (1).
Le 29 novembre 2016, l’Ofcom a exigé la séparation structurelle avant l’accord du 10 mars 2017. En Italie, depuis 2006, le transfert du réseau fixe de TIM (nouveau nom de Telecom Italia depuis 2015) vers une entité contrôlée par l’Etat est souhaité par le gouvernement italien. L’Etat affirme qu’il s’agit d’« un actif stratégique » appelé à devenir un acteur « neutre » du marché ouvert à tous les opérateurs télécoms. La récente montée au capital de TIM du français Vivendi, lequel en détient désormais 24 % du capital, a relancé le débat sur la scission de l’opérateur historique italien : le ministre Lire la suite

Données personnelles ou droit de la concurrence : Facebook ne se fait pas que des amis

Alors que Facebook a franchi la barre des 2 milliards d’utilisateurs, des autorités nationales et européenne s’y intéressent de plus en plus comme en témoignent les sanctions prononcées récemment à son encontre, en matière de données à caractère personnel ou en droit de la concurrence.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Dans sa délibération du 27 avril 2017 (1), rendue publique le 16 mai suivant (2), la formation restreinte de la Cnil (3) a prononcé une sanction de 150.000 euros à l’encontre de Facebook. Cette sanction faisait suite à la mise en demeure, datée du 26 janvier 2016, par laquelle la Cnil, constatant plusieurs manquements à la loi informatique et libertés, avait demandé à Facebook de se mettre
en conformité. Plus largement, cette décision s’inscrit dans le prolongement d’une action conduite par plusieurs autorités nationales de protection
des données décidée à la suite du changement par le réseau social de sa politique
de confidentialité.

Lois nationales et acteurs globaux du Net
La Commission européenne a, quant à elle, prononcé une amende de 110 millions euros à l’encontre de Facebook pour avoir communiqué des informations inexactes ou dénaturées dans le cadre de l’enquête qu’elle a menée au titre du rachat de WhatsApp par Facebook en 2014. Cette sanction a été publiée le 18 mai dernier (4) (voir encadré page suivante). Ces procédures engagées à l’encontre de Facebook en Europe et en France démontrent l’inégalité des moyens d’action juridique existants et marquent la volonté des autorités de renforcer le montant des sanctions en matière de protection des données jugé trop peu dissuasif. L’adoption du règlement européen du 27 avril 2016 sur la protection des données personnelles (5) va résolument dans ce sens en augmentant considérablement le montant des sanctions prononcées par les « Cnil » en Europe. Sur ce point, le droit de la concurrence apparaît plus dissuasif puisqu’il prévoit déjà des sanctions dont le montant est proportionnel au chiffre d’affaires de l’entreprise condamnée. A propos de la sanction de Facebook en France par la Cnil, la délibération de cette dernière contient des enseignements intéressants notamment sur l’applicabilité de la loi française lorsqu’un responsable de traitement est établi dans plusieurs Etats de l’Union européenne (UE). Rappelons en effet que la loi « Informatique et libertés » (6) s’applique si le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi (7) et que la Cnil peut exercer un contrôle sur tout traitement dont les opérations sont mises en oeuvre, même partiellement, sur le territoire national, y compris si le responsable du traitement est établi dans un autre Etat membre de l’UE (8). Pour déterminer l’applicabilité du droit français en l’espèce, la Cnil va examiner les deux critères énoncés par la directive 95/46/CE sur la protection des données : d’une part, l’existence d’un établissement ; d’autre part, la mise en oeuvre du traitement dans le cadre de ses activités. A cet égard, il est intéressant de souligner que la Cnil a souhaité se référer au texte européen (9) plutôt qu’à celui de la loi française « Informatique et libertés ». Dans sa délibération, la Cnil fait référence à la jurisprudence de la Cour de justice de l’Union européenne (CJUE) et à son interprétation large de la notion d’établissement à l’appui de son raisonnement (10). Ainsi, la formation restreinte considère que Facebook doit être qualifié d’établissement car « Facebook France constitue une installation stable qui exerce une activité réelle et effective grâce à des moyens humains et techniques nécessaires notamment à la fourniture de services de marketing » et participe dans le cadre de ses activités aux traitements en cause. Cette analyse va à l’encontre de celle avancée par Facebook qui contestait la compétence de la Cnil au profit de la législation irlandaise et, par conséquent, de l’autorité irlandaise seule autorité compétente pour contrôler le traitement des données personnelles des utilisateurs du service en Europe. Il est également intéressant de relever que la Cnil adopte la position de la CJUE qui s’était pourtant prononcée dans un contexte différent puisque, contrairement à l’arrêt « Google Spain » cité par la Cnil, « il n’existe aucun risque de contournement des dispositions européennes », Facebook ne contestant pas l’applicabilité du droit européen mais celui du droit français.

Compétence territoriale étendue ?
La Cnil se positionne donc en faveur d’une compétence territoriale étendue pour affirmer la compétence de la loi « Informatique et libertés », sa propre compétence
et prononcer une sanction à l’encontre de Facebook. Cette analyse doit être prise en compte par les responsables de traitements qui sont établis dans plusieurs Etats de l’UE notamment à l’approche de l’entrée en vigueur – à partir du 25 mai 2018 – du règlement européen qui étend le champ de la compétence territoriale. En effet, avec
le nouveau règlement, la personne concernée pourra saisir aussi bien l’autorité de contrôle de l’Etat membre où est situé le responsable du traitement ou son sous-traitant que l’autorité de contrôle dans lequel se trouve sa propre résidence ou son lieu de travail, voire le lieu où la violation alléguée aurait été commise. La décision de la Cnil en France apporte également un certain nombre de précisions au regard des règles relatives à la protection des données à l’approche de l’entrée en vigueur du règlement européen sur la protection des données.

Six manquements de Facebook à la loi française
La délibération de la Cnil sanctionne Facebook au titre de six manquements aux obligations énoncées par cette loi, à savoir : l’obligation d’information, l’obligation de disposer d’une base légale pour les traitements, l’obligation d’une collecte loyale des données, l’obligation d’un consentement exprès pour les données sensibles, l’obligation de mettre à disposition un moyen valable pour s’opposer aux cookies, et l’obligation
de respecter une durée de conservation des données. La délibération de la Cnil est riche en enseignement, notamment sur les manquements au regard de l’obligation d’information. A ce titre, la Cnil relève que la politique d’utilisation des données de Facebook ne précise ni les droits dont disposent les utilisateurs ni les informations relatives au transfert de données hors de l’UE. Elle considère que Facebook doit afficher directement l’information sur le formulaire de collecte et non pas via un lien figurant sur le formulaire d’inscription.
Concernant cette fois la combinaison massive de données pour le ciblage publicitaire, la Cnil relève qu’« aucun des documents mis à la disposition des utilisateurs […] ne mentionne expressément la combinaison de données », Ainsi, si les utilisateurs disposent de moyens pour maîtriser l’affichage de la publicité ciblée, ils ne consentent pas à la combinaison massive de leurs données et ne peuvent s’y opposer, que ce
soit lors de la création de leur compte ou a posteriori. Enfin, sur l’utilisation du cookie
« datr », la Cnil relève que l’information « ne permet pas aux internautes et en particulier aux internautes non-inscrits sur le réseau social, d’être clairement informés
et de comprendre que leurs données sont systématiquement collectées dès lors qu’ils
se trouveront sur un site tiers comportant un module social ». Sur les autres manquements, Facebook ne recueille pas le consentement exprès des utilisateurs lorsqu’ils renseignent des données sensibles et que le paramétrage du navigateur ne permet pas aux utilisateurs de s’opposer valablement aux cookies déposés sur leur équipement terminal.
La Cnil a donc prononcé une sanction de 150.000 euros à l’encontre du réseau social, soit le maximum qu’elle peut aujourd’hui infliger (ce montant pouvant être porté au double en cas de récidive). Cependant, ce montant prévu par la loi « Informatique et liberté » apparaissant peu inadapté au regard de la potentielle gravité des violations de la législation et à la puissance de certains responsables de traitements qui s’en rendent coupables, le nouveau règlement européen prévoit, en fonction des atteintes, des sanctions allant jusqu’à 20millions d’euros ou, dans le cas d’une entreprise jusqu’à 4% du chiffre d’affaires annuel mondial total (11). La délibération de la Cnil amorce l’entrée en vigueur de la nouvelle réglementation européenne qui renforce les obligations de protection en matière de données personnelles. A titre d’illustration, le règlement viendra renforcer le droit à l’information en ajoutant notamment à la liste des informations à fournir : l’identité et les coordonnées du responsable de traitement, le cas échéant, celles de son Data Protection Officer (DPO), les finalités du traitement auxquelles sont destinées les données à caractère personnel ainsi que la base juridique du traitement, les catégories de destinataires de ces données, ainsi que, éventuellement, le transfert de ces données vers un pays tiers. En outre, le règlement prévoit une obligation d’information spécifique en matière de profilage et le consentement devra être recueilli pour toutes les finalités, à défaut de quoi il ne peut être considéré comme valable. @

* Ancien bâtonnier du Barreau de Paris.

ZOOM

Sanction de Facebook par la Commission européenne
Facebook a été sanctionné par l’Union européenne (UE) pour ses pratiques, non
plus sur le fondement des données personnelles, mais sur celui du règlement de 2004 relatif aux concentrations (12). En effet, la Commission européenne a prononcé une sanction de 110 millions d’euros à l’encontre de Facebook pour lui avoir fourni des fausses informations au moment de l’enquête menée au titre du rachat de WhatsApp par Facebook. La Commission européenne n’a toutefois pas remis en cause le rachat de WhatsApp par Facebook décidé en 2014. En l’espèce, il était question de la combinaison des données entre les deux entités, une combinaison que Facebook
disait impossible lors du rachat du service de messagerie en 2014. Ainsi, « la société
a informé la Commission [européenne] qu’elle ne serait pas en mesure d’établir d’une manière fiable la mise en correspondance automatisée entre les comptes d’utilisateurs de Facebook et ceux de WhatsApp ». Selon la Commission européenne, « Facebook a commis deux infractions distinctes en fournissant un renseignement inexact et dénaturé d’une part dans le formulaire de notification de la concentration et d’autre part, dans la réponse à une demande de renseignements de la Commission » et a fait preuve tout au moins de négligence.
Pour fixer le montant de l’amende, la Commission européenne a toutefois pris en compte certaines circonstances atténuantes, notamment la collaboration de l’entreprise durant cette enquête. L’annonce du partage de données et de numéros de téléphone entre Facebook de WhatsApp en 2016 avait déjà fait l’objet de protestions notamment par le G29, qui dans une lettre ouverte (13) avait dénoncé lui aussi la contraction du partage de ces données avec la déclaration des entreprises lors de l’opération de rachat. Dans cette lettre, le groupe européen des « Cnil » avait demandé une suspension de ce rapprochement entre les deux applications eu égard à la validité
des finalités poursuivies et à celle du consentement des utilisateurs. Cette demande avait été finalement prise en compte par WhatsApp qui avait suspendu l’envoi des informations à fin publicitaire à sa maison- mère, Facebook. Compte tenu des enjeux,
il semblerait que seule une action commune au niveau européen semble susceptible d’impacter véritablement le comportement de groupes comme Facebook. @

Suspicions d’abus de position dominante des App Stores d’Apple, de Google et consorts

À l’heure où l’App Store d’Apple fête ses cinq ans d’existence et ses 50 milliards d’applications téléchargées, les magasins d’applications sont dans le collimateur, notamment en France : verrouillage des utilisateurs, exclusivité ou fausse protection de la vie privée sont en cause.

Par Katia Duhamel, avocat, cabinet Bird & Bird

Les magasins d’applications sont des plates-formes qui mettent en relation les utilisateurs de terminaux avec les éditeurs de contenus ou de services, lesquels développent des applications. Ces boutiques en ligne permettent de fidéliser une clientèle qui sera de facto captive pour l’obtention d’« applis », ce qui en fait un canal de distribution incontournable pour les développeurs. Ceci explique qu’elles fleurissent : App Store d’Apple, Google Play de Google, App World de BlackBerry ou encore Windows Phone Store de Microsoft, pour ne mentionner que les plus populaires.

Hégémonie de quelques uns
A eux seuls, ces quatre magasins d’applications ont dégagé 1,6 milliard d’euros de recettes au premier semestre 2013. Les modèles économiques, eux, sont divers :
des applications gratuites et financées par la publicité à celles qui sont payantes, en passant par les applications freemium (1) ou encore celles qui incitent à l’achat de produits ou services supplémentaires (2). Les applications disponibles sont très variées : divertissement, musique, photos, média, utilitaire, bureautique, réseaux sociaux, etc. Il en existe actuellement environ 900.000 disponibles sur l’App Store d’Apple lancé en juillet 2008 et le succès est indéniable grâce à la simplicité d’utilisation qui permet d’accéder au service ou au contenu désiré très rapidement, les données personnelles des utilisateurs, et notamment les données de paiement, étant conservées pour simplifier les transactions futures. La remarquable croissance des magasins d’applis repose sur des règles de fonctionnement draconiennes qui consacrent l’hégémonie de ceux qui les contrôlent : Apple, Google et consorts. Certaines de ces règles semblent gravées dans le marbre – par exemple l’emblématique commission de 30 % perçue par Apple –, mais il existe aussi des conditions générales fixées de façon plus ou moins strictes et opaques. Aux Etats-Unis, le département de la Justice américaine (DoJ) est intervenu le 2 août 2013 (lire p. 3) pour demander d’interdire à la marque à la pomme toutes pratiques commerciales et tarifaires anti-concurrentielles non seulement dans le livre mais aussi les autres contenus numériques (musique, film, télévision, etc.). En France, au printemps dernier, Apple a exclu brutalement AppGratis de son store d’applications, en invoquant des manquements à ses conditions générales d’utilisation, notamment le fait que l’appli d’AppGratis fait doublon avec ses propres services de vente d’applis (3). En réalité, la simplicité apparente de fonctionnement des magasins d’applications dissimule un verrouillage très sophistiqué des utilisateurs grâce à l’intégration verticale des entreprises sur les marchés concernés. En effet, les plates-formes sont développées par les exploitants de systèmes d’exploitation (OS), qui accueillent nativement ces plates-formes. Tous les moyens sont bons pour permettre aux acteurs les plus puissants de conserver la main mise sur leurs utilisateurs :
• Le verrouillage est plus accompli encore lorsque l’exploitant de l’OS et du magasin d’applications afférent détient également le terminal auquel il est attaché, comme Apple avec l’IPad et l’IPhone par exemple (4). En d’autres termes, comme le résume Bruno Lasserre, président de l’Autorité de la concurrence, une fois le terminal choisi, l’utilisateur est « verrouillé dans son choix initial », et ce de façon durable.

Suprématie préservée sur le marché
• Des stratégies d’exclusivité
sont mises en oeuvre pour interdire la diffusion d’applications en dehors de leur plate-forme. À ce titre, on peut citer l’interdiction de proposer aux utilisateurs des moyens d’obtenir le même service par un autre canal de distribution.
• Le refus de partager les données personnelles des utilisateurs en se retranchant derrière le droit de ces derniers à la protection de la vie privée, permet de protéger leur statut d’intermédiaire incontournable et assoient leur suprématie sur le marché.
Pour toutes ces raisons, les magasins d’application, et notamment l’App Store d’Apple, ont fait l’objet de nombreuses critiques, notamment dans l’affaire « AppGratis » ou encore lors de la fronde des éditeurs de presse contre les conditions imposées par Apple, notamment la célèbre commission de 30 %.

Droit de la concurrence versus omerta
Ceci explique aussi que l’Autorité de la concurrence ait lancée le 11 juillet 2013 une enquête sur les conditions de concurrence sur le marché des applications, après notamment avoir mené plusieurs perquisitions dans les locaux d’Apple France et de plusieurs de ses distributeurs. Bruno Lasserre, président de l’Autorité, estime en effet
qu’il faut « vérifier que le marché de la distribution d’applications mobiles est suffisamment concurrentiel », et notamment que les entreprises concernées ne favorisent pas leurs propres applications et que leurs conditions tarifaires soient objectives et non discriminatoires. En filigrane, ce sont toutes les formes d’exclusivité détenues par les exploitants de ces plates-formes sur les utilisateurs et le contrôle de l’accès au marché qui sont critiqués. Les exploitants des magasins d’applis pourraient voir le coeur de leur modèle économique impacté en cas de remise en cause de leur exclusivité, des conditions d’admission sur leur plateforme ou encore de leur marge sur les transactions. Le chemin est néanmoins encore long et les difficultés qui se posent très nombreuses :
la définition des marchés pertinents, leur analyse, pour chacune des plates-formes considérées, ainsi que l’identification d’un abus de position dominante.
En outre, l’équilibre que cherche à promouvoir l’Autorité de la concurrence est très subtil. Rappelons que dans sa décision 08-D-10, elle a autorisé France Télévisions et France Télécom à signer un contrat d’exclusivité malgré les effets « potentiellement verrouillants » de ce contrat. En effet, l’Autorité met en balance les effets bénéfiques et anticoncurrentiels des exclusivités en cause, c’est-à-dire le besoin de protéger les innovations du secteur et la nécessité de permettre l’émergence de nouveaux acteurs. Aussi, nul ne peut dire quelle sera sa position dans cette affaire « App Store ». Il faut aussi rappeler qu’en 2004, l’Autorité de la concurrence n’avait pu que rejeter une plainte de VirginMega (à l’époque filiale de Lagardère) et la demande de mesures conservatoires associée à l’encontre d’Apple, faute d’éléments probants. Cette décision a fait date (5) car l’institution s’exprimait pour la première fois sur une stratégie d’incompatibilité – entre la plate-forme de musique en ligne et l’iPod –, entraînant des problèmes de verrouillage vertical provoqué par des DRM (6).
Soulignons enfin que cette enquête pourrait être une madeleine de Proust pour Microsoft, présent sur le marché avec « Windows Phone Store », et qui n’a peut-être pas encore digéré son amende de 561 millions d’euros en mars dernier pour nonrespect de ses engagements dans une affaire qui portait également sur le verrouillage des utilisateurs
à qui le choix de leur navigateur n’était pas proposé par défaut.
Certaines des questions posées par les magasins d’applis – notamment celle de l’interopérabilité – pourraient cependant trouver des réponses. Rappelons en effet que la directive européenne « Droit des consommateurs » du 25 octobre 2011 dispose : « Avant que le consommateur ne soit lié par un contrat à distance ou hors établissement ou par une offre du même type, le professionnel lui fournit, sous une forme claire et compréhensible, les informations suivantes : (…) s’il y a lieu, toute interopérabilité pertinente du contenu numérique avec certains matériels ou logiciels dont le professionnel a ou devrait raisonnablement avoir connaissance » (7). Le considérant 19 de la directive précise en outre que « par information sur l’interopérabilité, on entend les informations relatives au matériel standard et à l’environnement logiciel avec lesquels le contenu numérique est compatible, par exemple le système d’exploitation, la version nécessaire
et certaines caractéristiques de matériel ».

Obliger à informer sur l’interopérabilité
Aussi, les exploitants de magasins d’applications ont l’obligation d’informer les consommateurs sur les compatibilités de l’application téléchargée avec d’autres OS,
voire d’autres terminaux. En l’état, les dispositions de la directive ne sont pas en mesure de remettre en cause l’exclusivité dont bénéficient les exploitants sur leur magasin d’applications. Cependant, le concept d’interopérabilité, développé et renforcé,
pourrait constituer la meilleure arme contre l’exclusivité dont bénéficient les magasins d’applications, et dont les conséquences sur le plan concurrentiel sont tant décriées. @