Vente liée de Teams dans la suite « Office 365 » ? Microsoft risque une nouvelle amende européenne

Dans la torpeur de l’été, la Commission européenne a annoncé le 27 juillet avoir ouvert une enquête à l’encontre de Microsoft soupçonné de « vente liée ou groupée » avec son logiciel Teams. La firme de Redmond est coutumière du fait, malgré ses amendes « Mediaplayer » et « Internet Explorer ».

« Les outils de communication et de collaboration à distance comme Teams sont devenus indispensables pour de nombreuses entreprises en Europe. Nous devons donc veiller à ce qu’[elles] soient libres de choisir les produits qui répondent le mieux à leurs besoins. C’est la raison pour laquelle nous examinons si le fait que Microsoft lie ses suites de productivité [Office 365 et Microsoft 365, ndlr] à Teams est susceptible d’enfreindre les règles de concurrence de l’UE », a déclaré Margrethe Vestager (photo de gauche), vice-présidente exécutive de la Commission européenne, chargée de la concurrence. Et ce, avant de prendre congé (1) (*) (**).

21 milliards de dollars d’amende ?
En cas d’infraction aux règles antitrust, telle qu’un abus de position dominante, Microsoft risque de se voir infliger une amende pouvant aller jusqu’à 10 % de son chiffre d’affaires total. Clos le 30 juin dernier, son précédent exercice annuel affiche un total de 211,9 milliards de dollars de chiffre d’affaires. Le risque de sanction pécuniaire dans cette affaire « Teams » est potentiellement de plus de… 21 milliards de dollars. « Microsoft inclut Teams dans ses suites de productivité cloud bien ancrées pour les clients professionnels Office 365 et Microsoft 365 », a constaté la Commission européenne auprès de laquelle la société américaine Slack Technologies – éditrice de la plateforme de messagerie instantanée du même nom et propriété depuis plus de deux ans du groupe Salesforce – avait porté plainte le 14 juillet 2020. L’exécutif européen craint que « Microsoft n’abuse de sa position et ne [la] défende […] sur le marché des logiciels de productivité en restreignant la concurrence […] en ce qui concerne les outils de communication et de collaboration », et que « Microsoft n’accorde à Teams un avantage en matière de distribution en ne donnant pas aux consommateurs le choix d’inclure ou non l’accès à ce produit lorsqu’ils s’abonnent à ses suites de productivité ». Il y a aussi la crainte que « Microsoft ne limite l’interopérabilité entre ses suites de productivité et les offres des concurrents ».
En résumer, la Commission européenne estime que « ces pratiques peuvent constituer des ventes liées ou groupées anticoncurrentielles et empêcher les fournisseurs d’autres outils de communication et de collaboration d’exercer une concurrence, au détriment des consommateurs » (2). L’affaire « AT.40721 » instruite par l’autorité antitrust européenne (3) a fait réagir Microsoft, qui a annoncé le 31 août dernier – par la voix de Nanna-Louise Linde (photo de droite), vice-présidente de Microsoft en Europe, en charge des affaires publiques – « des changements proactifs qui, nous l’espérons, commenceront à répondre à ces préoccupations de manière significative, alors même que l’enquête de la Commission européenne se poursuit et que nous coopérons avec elle ». Ainsi, la firme de Redmond espère échapper aux sanctions financières en faisant deux changements – à partir du 1er octobre 2023 – pour les clients professionnels de l’Espace économique européen (EEE), lequel comprend les Vingt-sept et trois autres Etats (Islande, Norvège et Liechtenstein), ainsi que de la Suisse. A savoir : « que les clients devraient pouvoir choisir une suite d’affaires sans Teams à un prix inférieur à ceux avec Teams inclus [2 euros de moins par mois ou 24 euros par an, ndlr] ; et que nous devrions faire plus pour faciliter l’interopérabilité entre les solutions de communication et de collaboration rivales [interopérabilité dès maintenant avec Zoom et Slack/ Salesforce, ndlr] et les suites Microsoft 365 et Office 365 ».
Microsoft reconnaît implicitement les reproches qui lui sont faits. Nanna-Louise Linde indique en outre que, « depuis plus d’une décennie », Microsoft a intégré plusieurs logiciels dans ses suites professionnelles, à commencer par Office Communicator en 2007, puis Lync en 2011, Skype Entreprise Online (aliasSkype for Business) en 2016, et Teams en juillet 2018. Microsoft va en outre créer de « nouveaux mécanismes pour permettre aux solutions tierces d’héberger des applications Web Office » (4). Cela évitera-t-il à Microsoft de se voir infliger une nouvelle fois une sanction pécuniaire pour « vente liée ou groupée », comme par le passé ?

Faudrait-il démanteler Microsoft ?
Entre 2004 et 2007, l’éditeur de Windows – toujours premier système d’exploitation pour PC – avait écopé de la part de la Commission européenne d’une amende, alourdie en appel en septembre 2007, de 1,6 milliard d’euros pour vente liée de Mediaplayer (5). Et il y a dix ans, en mars 2013, Microsoft a été sanctionné de 561 millions d’euros par la même Commission européenne pour vente liée de son navigateur Internet Explorer (6). Rappelons qu’en 2000, un juge américain avait prononcé la scission de Microsoft (7), déjà dans une affaire de vente liée de Windows et d’Internet Explorer. La décision judiciaire avait été cassée en appel… @

Charles de Laubier

Les engagements de Microsoft pris pour obtenir le feu vert de l’Europe sur son rachat d’Activision

« Notre décision constitue un pas important […], en mettant les jeux populaires d’Activision à la disposition de bien plus d’appareils et de consommateurs qu’auparavant grâce au streaming de jeux en nuage [cloud game streaming, ou Cloud Gaming, ndlr]. Les engagements proposés par Microsoft permettront pour la première fois la diffusion en streaming de ces jeux par n’importe quel service de streaming de jeux en nuage, ce qui renforcera la concurrence et les possibilités de croissance », a assuré le 15 mai Margrethe Vestager (photo), vice-présidente exécutive chargée de la politique de concurrence.

Les engagements de Microsoft sur 10 ans
La firme de Redmond (Etat de Washington), qui veut s’emparer de l’éditeur de jeux vidéo Activision Blizzard (basé à Santa Monica en Californie) pour 68,7 milliards de dollars comme elle l’avait annoncé en janvier 2022 (1), a pris auprès de la Commission européenne des engagements pour une durée de 10 ans, soit jusqu’en mai 2033 :
une licence gratuite accordée aux consommateurs de l’Espace économique européen (EEE), à savoir les Vingtsept de l’Union européenne (UE) et trois autres Etats (Islande, Norvège et Liechtenstein), leur permettant de diffuser en streaming, en utilisant le service de streaming de jeux en nuage (Cloud Gaming) de leur choix, tous les jeux actuels et futurs d’Activision Blizzard pour PC et pour consoles pour lesquels ils disposent d’une licence ;
une licence gratuite accordée aux fournisseurs de services de streaming de jeux en nuage, afin de permettre aux joueurs basés dans l’EEE de diffuser en streaming tous les jeux d’Activision Blizzard pour PC et pour consoles.
« Aujourd’hui, explique la Commission européenne, Activision Blizzard ne concède pas de licence sur ses jeux aux services de streaming de jeux en nuage, et elle ne les diffuse pas non plus elle-même en streaming. Ces licences garantiront que les joueurs qui ont acheté un ou plusieurs jeux d’Activision dans une boutique pour PC ou pour consoles, ou qui ont souscrit à un service d’abonnement multi-jeux incluant des jeux d’Activision, auront le droit de diffuser ces jeux en utilisant le service de streaming de jeux en nuage de leur choix et de jouer sur tout appareil, peu importe le système d’exploitation utilisé. Les mesures correctives garantissent également que les jeux d’Activision disponibles pour le streaming auront la même qualité et le même contenu que les jeux disponibles en téléchargement traditionnel ». Résultat, les jeux d’Activision seront mis à la disposition de nouvelles plateformes de Cloud Gaming et en les rendant accessibles à plus de terminaux et consoles qu’auparavant. Ainsi, des millions de consommateurs de l’EEE pourront diffuser en streaming les jeux d’Activision en utilisant n’importe quel service de jeux en nuage dans l’EEE, et à condition que ces jeux soient achetés sur une boutique en ligne ou soient inclus dans un abonnement multi-jeux actif dans l’EEE. Ces engagements ne concernent pas ni le Royaume-Unis, qui s’est retiré de l’UE le 31 janvier 2020, ni les Etats-Unis où une procédure antitrust est toujours en cours, notamment de la part de la FTC (Federal Trade Commission). Dans ces deux pays, l’opération est toujours contestée, nous le verrons. Alors que la date limite contractuelle pour que cette mégafusion puisse se faire est le 18 juillet 2023.
La Commission européenne dit avoir recueilli les avis d’un grand nombre d’acteurs du marché et de parties prenantes. « En particulier, a-t-elle indiqué, les fournisseurs de services de streaming de jeux en nuage ont fait part de leurs réactions positives et ont manifesté leur intérêt pour les licences. Certains de ces fournisseurs [notamment Nintendo et Nvidia, ndlr] ont déjà conclu des accords bilatéraux avec Microsoft sur la base des licences proposées pour diffuser en streaming les jeux d’Activision une fois l’opération effectuée ». L’autorité antitrust précise en outre que sa décision est subordonnée au respect intégral des engagements contractés et qu’un mandataire indépendant – sous sa supervision –sera chargé de contrôler leur mise en œuvre.

Les craintes initiales d’une telle fusion
Si tout est respecté pendant les dix ans à venir, Bruxelles assure que l’acquisition envisagée et modifiée par les engagements de Microsoft ne poserait plus de problèmes de concurrence et apporterait même d’importants avantages – « considérables », est-il même affirmé – pour la concurrence et les consommateurs. Dans son enquête préliminaire lancée au cours de l’année 2022, la Commission européenne craignait notamment qu’en acquérant Activision Blizzard, Microsoft puisse verrouiller l’accès aux jeux vidéo d’Activision Blizzard pour consoles et ordinateurs, notamment à des jeux emblématiques à succès tels que « Call of Duty ». Puis, lancée en novembre 2022, l’enquête approfondie a montré que Microsoft ne serait pas en mesure de porter préjudice aux consoles concurrentes et aux services concurrents d’abonnement multi-jeux, mais que Microsoft pourrait nuire à la concurrence dans la distribution de jeux par les services de Cloud Gaming, tout en renforçant sa position sur le marché des systèmes d’exploitation pour ordinateur de type PC.

La concurrence et le cas de Sony (PS)
Concrètement, Bruxelles fait cinq principaux constats concernant la concurrence face à cette fusion :
Microsoft n’aurait aucun intérêt à refuser de distribuer les jeux d’Activision à Sony, qui est le principal distributeur mondial de jeux pour consoles, y compris dans l’EEE, où pour chaque console Microsoft Xbox achetée, ce sont quatre consoles PlayStation (PS) de Sony qui sont achetées par les joueurs. En effet, Microsoft aurait fortement intérêt à distribuer les jeux d’Activision sur une console aussi populaire que la PS de Sony (2).
Même si Microsoft décidait de retirer les jeux d’Activision de la PlayStation, cela ne porterait pas de préjudice grave à la concurrence sur le marché des consoles. Bien que « Call of Duty » attire de nombreux joueurs sur consoles, ce jeu est moins populaire dans l’EEE que dans d’autres régions du monde et, parmi les jeux du même genre, il est moins populaire dans l’EEE que sur d’autres marchés. En conséquence, même sans être en mesure de proposer ce jeu spécifique, Sony pourrait tirer parti de sa taille, de son catalogue de jeux étoffé et de sa position sur le marché pour contrer toute tentative d’affaiblissement de sa position concurrentielle.
Même sans l’opération de fusion Microsoft-Activision, Activision n’aurait pas mis ses jeux à la disposition des services d’abonnement multi-jeux, étant donné que cela cannibaliserait les ventes de jeux individuels. En conséquence, la situation des fournisseurs tiers de services d’abonnement multi-jeux n’évoluerait pas après l’acquisition d’Activision par Microsoft.
L’acquisition nuirait à la concurrence sur le marché de la distribution des jeux pour PC et pour consoles par les services de streaming de jeux en nuage, un segment de marché innovant qui pourrait transformer la manière dont de nombreux joueurs jouent aux jeux vidéo. Malgré son potentiel, le Cloud Gaming est aujourd’hui très limité. La popularité des jeux d’Activision pouvait favoriser sa croissance. Au contraire, si Microsoft limitait exclusivement les jeux d’Activision à son propre service de streaming de jeux en nuage, Game Pass Ultimate, et ne les rendait pas accessibles aux fournisseurs concurrents de streaming de jeux en nuage, cela réduirait la concurrence sur le marché de la distribution de jeux par le streaming en nuage.
Si Microsoft limitait les jeux d’Activision exclusivement à son propre service de streaming de jeux en nuage, cela pourrait aussi renforcer la position de Windows sur le marché des systèmes d’exploitation pour PC. Cela pourrait être le cas si Microsoft entravait ou dégradait le streaming des jeux d’Activision sur les PC utilisant d’autres OS que Windows.
Si le groupe Microsoft a gagné une bataille en remportant le feu vert de la Commission européenne, ainsi que d’autre pays dans le monde tels que l’Arabie saoudite, le Brésil, la Serbie, le Chili, le Japon, l’Afrique du Sud et l’Ukraine, il n’est pas au bout de ses peines ailleurs. Le 27 avril dernier, l’autorité de la concurrence britannique – la Competition and Markets Authority (CMA) – a décidé d’interdire l’achat d’Activision par Microsoft malgré les solutions proposé par l’acquéreur (3). « L’accord changerait l’avenir du marché du Cloud Gaming en croissance rapide, ce qui réduirait l’innovation et le choix pour les joueurs britanniques au cours des années à venir », a justifié la CMA. Et pour Martin Coleman, président du groupe d’experts indépendant chargé de l’enquête britannique, a conclu : « Microsoft jouit déjà d’une position puissante et d’une longueur d’avance sur d’autres concurrents dans le Cloud Gaming et cet accord renforcerait cet avantage en lui donnant la capacité de saper les concurrents nouveaux et innovants » (4).

La FTC va auditionner en août
La Federal Trade Commission (FTC), qui est présidée depuis septembre 2021 par la redoutée Lina Khan (photo ci-dessus), réputée plutôt hostile aux positions dominantes des Big Tech (5), a programmé une audition pour le 2 août 2023, soit après la date limite contractuelle du 18 juillet. Cette autorité antitrust américaine a déjà donné le ton le 8 décembre 2022 saisissant la justice pour « bloquer l’acquisition d’Activision Blizzard ». Dans sa plainte, la FTC pointe le fait que Microsoft s’est déjà emparé de ZeniMax, société mère de Bethesda Softworks, et fait de plusieurs de ses titres – dont « Starfield » et « Redfall » – « des exclusives malgré les assurances qu’il avait donné aux autorités antitrust européennes » (6). Pas sûr que la mégafusion soit bouclée d’ici fin 2023. Peut-être 2024 ou bien peutêtre… jamais. @

Charles de Laubier

Affaire Schrems : probable non-invalidation des clauses contractuelles types, fausse bonne nouvelle ?

Alors que le scandale « Cambridge Analytica » continue depuis deux ans de ternir l’image de Facebook, une autre affaire dite « Schrems » suit son cours devant la Cour de justice européenne et fait trembler les GAFAM. Retour sur les conclusions de l’avocat général rendues le 19 décembre 2019.

Par Charlotte Barraco-David, avocate, et Marie-Hélène Tonnellier, avocate associée, cabinet Latournerie Wolfrom Avocats

Les clauses contractuelles types – conformes à la décision prise il y a dix ans maintenant, le 5 février 2010, par la Commission européenne (1) – seraient bien un moyen valable de transfert de données personnelles hors d’Europe (lire encadré page suivante). C’est en tous cas ce que l’avocat général de la Cour de justice de l’Union européenne (CJUE) préconise de juger dans la deuxième affaire « Schrems » (2) qui fait trembler les GAFAM. Reste à attendre de savoir si, comme souvent, la CJUE le suivra. Cette décision, imminente, est attendue non sans une certaine fébrilité.

Schrems II : le retour
Les conclusions de l’avocat général, le Danois Henrik Saugmandsgaard Øe (3), ont été publiées le 19 décembre dernier et s’inscrivent dans le cadre de la saga judiciaire « Schrems », du nom de l’activiste autrichien Maximillian (Max) Schrems qui lutte pour la protection de ses données personnelles face au géant américain Facebook. Cette saga débute en 2013 avec l’affaire « Schrems I ». L’activiste, alors simple étudiant en droit, dépose plainte contre Facebook devant l’équivalent de la Cnil en Irlande (le DPC), le siège européen du groupe américain se trouvant dans cet Etat européen réputé fiscalement accueillant.
Cette première affaire fait suite aux révélations d’Edward Snowden, le lanceur d’alerte qui avait révélé plusieurs programmes américains et britanniques de surveillance de masse. Elle a conduit la CJUE, le 6 octobre 2015, à invalider la décision d’adéquation rendue par la Commission européenne sur laquelle reposait le transfert des données opéré par Facebook Irlande vers sa maison-mère américaine et auto-certifié dans le cadre du Safe Harbour (4), le prédécesseur du Privacy Shield (l’actuel « bouclier de protection des données »). La Cour européenne avait alors considéré que le droit américain présentait des risques trop importants d’ingérence des autorités américaines dans la vie privée des Européens, dont les données étaient transférées vers les Etats-Unis. Et ce, afin que des organismes américains, mêmes de bonne volonté, puissent ainsi bénéficier d’un tel blancseing. Un successeur avait alors rapidement été trouvé au Safe Harbor, en l’occurrence le Privacy Shield, présenté comme plus protecteur (5). Max Schrems a alors reformulé sa plainte auprès de la « Cnil » irlandaise (Data Protection Commissioner), arguant du fait que – les mêmes causes produisant les mêmes effets – ces clauses ne pouvaient pas servir de fondement au transfert de données personnelles vers un Etat aussi intrusif que les Etats-Unis. Tel est l’objet de cette deuxième procédure préjudicielle, l’affaire « Schrems II », laquelle a donné lieu aux conclusions de l’avocat général le 19 décembre 2019.
Le mécanisme des « clauses contractuelles types », lesquelles figurent en annexe et concernent la protection des données, a précisément pour objet de permettre de pallier l’absence de conformité de la législation du pays de destination. Son existence même postule donc que des données peuvent être transférées vers des pays par définition non « adéquats » (terme consacré en la matière), moyennant la mise en place de mécanismes destinés à contrebalancer les effets potentiellement négatifs de la législation de ce pays. Remettre en cause le principe des clauses contractuelles au seul motif que la législation du pays de destination n’assurerait pas un niveau de protection équivalent à celui offert par le règlement général européen sur la protection des données (RGPD) reviendrait donc à priver d’effet son article 46 qui prévoit ces clauses.
Certes, l’avocat général « estime que les “garanties appropriées” [telles que les clauses contractuelles types (…)] doivent assurer que les droits des personnes dont les données sont transférées bénéficient, comme dans le cadre d’un transfert basé sur une décision d’adéquation, d’un niveau de protection substantiellement équivalent à celui qui résulte du RGPD, lu à la lumière de la Charte [des droits fondamentaux de l’Union européenne] ». Il précise toutefois que « la manière dont la continuité du niveau élevé de protection est préservée diffère en fonction de la base juridique du transfert ».

Décision d’adéquation et clauses contractuelles
Dès lors, le problème n’est pas – et ne doit pas être – la validité des clauses contractuelles, mais celui de l’effectivité des garanties de protection des données effectivement en place. Cela implique que le destinataire respecte les clauses, sans en être empêché par son droit local, ce qui est de la responsabilité du responsable du traitement donnant accès aux données de garantir. Le mécanisme des clauses contractuelles repose donc, dans la droite ligne du RGPD (6), sur la « responsabilisation de l’exportateur ainsi que, à titre subsidiaire, des autorités de contrôle ». La question de la validité des clauses ne devrait ainsi dépendre que du point de savoir « s’il existe des mécanismes suffisamment solides permettant d’assurer que les transferts fondés sur les clauses contractuelles types soient suspendus ou interdits en cas de violation de ces clauses ou d’impossibilité de les honorer », par exemple en raison d’une législation du pays de destination faisant obstacle au respect des obligations contractuelles souscrites par le destinataire des données.

Importateur et exportateur de données
Et en l’espèce, l’avocat général considère que tel est bien le cas des clauses résultant de la décision de 2010, telle que modifiée suite à l’affaire « Schrems I » par la décision de la Commission européenne du 16 décembre 2016 (7). En effet, au sein de ces clauses, la clause 5 intitulée « Obligations de l’importateur de données », le premier alinéa prévoit que s’il est dans l’incapacité de s’y conformer pour quelque raison que ce soit, « l’importateur des données » doit en informer « l’exportateur de données ». Ce dernier est alors fondé à (et devrait) suspendre le transfert « et/ou » résilier le contrat. Autrement dit, le pourvoyeur de ces données est tenu de stopper leur transfert, si son analyse le conduit à estimer que le risque pour la vie privée des personnes est important au regard des caractéristiques propres du traitement et de ce que les autorités de l’Etat tiers intrusif risquent de faire des données. De plus, le RGPD oblige les autorités de contrôle – si les « Cnil » estiment qu’un transfert ne respecte pas les droits des personnes concernées – à prendre des mesures pouvant aller jusqu’à ordonner la suspension du transfert (8).
La vision de l’avocat général apparaît donc conforme à la lettre et à l’esprit du RGPD : emplie de subtilité et d’une pointe de contradiction. Qu’il revient à ceux qui y sont soumis d’analyser, d’apprécier, et d’appliquer, en leur âme et conscience et surtout responsabilité. De quoi attiser un peu plus le sentiment anxiogène que laisse la lecture de ce texte pour ceux qui y sont soumis. Une invalidation claire et nette des clauses semblerait presque préférable. D’autant que, sur le fond, une telle invalidation serait l’occasion pour la Commission européenne de revoir sa copie pour mettre ces clauses à jour par rapport au RGPD. Rappelons en effet que les obligations imposées au destinataire hors Europe, lequel se trouve être sous-traitant en vertu de ces clauses, ne coïncident pas parfaitement avec celles qui doivent désormais être posées dans tout contrat de sous-traitance (avec ou sans transfert) en vertu de l’article 28 dudit RGPD.
Ne reste désormais qu’à savoir si la CJUE suivra son avocat général. A cet égard, si ses conclusions ne lient pas la Cour européenne, l’on remarque qu’elles l’inspirent souvent. @

FOCUS

Transferts de données personnelles hors de l’EEE
Comme avant lui l’article 26 de l’ancienne directive européenne de 1995 (promulguée il y a 25 ans) sur la protection des données personnelles en Europe (9), l’article 46 du fameux RGPD (10) interdit par principe le transfert de données personnelles hors de l’Union européenne (UE), ou plus précisément hors de l’Espace économique européen (EEE).
Cet EEE, dont le comité mixte du 6 juillet 2018 a incorporé le RGPD dans son accord de 1994, est constitué des pays membres de l’UE, de l’Islande, de la Norvège et du Liechtenstein, pays auxquels il faut désormais ajouter, au moins provisoirement, le Royaume-Uni depuis le Brexit (11). Par transfert de données personnelles « hors d’Europe », les autorités de protection – que sont les équivalents de la Cnil en France – entendent aussi bien le déplacement physique de données que le simple accès depuis un pays situé hors de l’EEE à des données personnelles stockées sur le sol européen. En matière de transferts de données personnelles hors d’Europe, le RGPD pose un principe d’interdiction, assorti toutefois d’exceptions notables :
• Les transferts vers les pays dits adéquats (article 45 du RGPD). Il s’agit des transferts vers des pays hors d’Europe, dont la législation a été reconnue par la Commission européenne comme suffisamment protectrice au regard des standards européens. Si certains de ces pays peuvent sembler anecdotiques (Iles Féroé ou Guernesey par exemple), d’autres le sont beaucoup moins puisque figurent parmi eux les Etats-Unis. Dans ce cas particulier, la législation américaine n’est toutefois réputée adéquate qu’au bénéfice des organismes auto-certifiés dans le cadre du dispositif du « bouclier » Privacy Shield.
• Les transferts encadrés par des garanties appropriées (articles 46 et 47 du RGPD). Il s’agit cette fois de mécanismes conventionnels visant à pallier l’absence de décision d’adéquation du pays de destination. Les plus pratiqués sont les règles d’entreprises contraignantes (les « Binding Corporate Rules ») et les fameuses clauses contractuelles types de la Commission européenne (décision européenne de 2010, modifiée en 2016, notamment). Ces dernières sont très simples à mettre en œuvre en pratique : il s’agit d’un modèle de contrat qui doit être signé tel quel. Aucune de ses clauses ne peut être librement négociée. Seules les annexes décrivant le transfert doivent être complétées, selon un formalisme lui aussi imposé.
• Les transferts en vertu des dérogations particulières (article 49 du RGPD). Ces dérogations-là sont conçues de manière tellement exceptionnelle par les autorités de protection qu’elles n’ont pas vocation à s’appliquer à des transferts de données massifs ou structurels (12). Parmi ces dérogations, figurent notamment le consentement explicite des personnes concernées, ou encore les nécessités (réelles) de l’exécution d’un contrat particulier, un contrat de réservation d’hôtel à l’étranger par exemple. @