Aux Etats-Unis, les grandes manoeuvres dans l’oeil du cyclone « Internet » s’accélèrent

Méga-fusions, spéculations, surenchères, … Le marché américain est secoué par une vague d’acquisitions entre géants traditionnels de la télévision et du cinéma, tous remis en question par les plateformes de streaming vidéo des GAFAN et des Over-the-Top (OTT). Les répercutions se font sentir jusqu’en Europe.

Le monde des médias et du divertissement est en plein boom, sous l’impulsion des GAFAN – à savoir les Google/YouTube, Apple, Facebook, Amazon Netflix et autres OTT. Aux Etats-Unis, c’est un peu « Big Media » contre « Big Tech », avec en toile de fond la délinéarisation de la télévision et le cord-cutting (1). C’est aussi la bataille pour la survie de la télévision payante (Pay TV) face à la montée en puissance de la vidéo à la demande par abonnement (SVOD). Les grands manoeuvres entre titans des médias se font à coup d’offres et de contre-offres de plusieurs dizaines de dollars, sous les yeux parfois hostiles des autorités de concurrence, de part et d’autre de l’Atlantique.
Car la concentration dans les contenus et la convergence avec les réseaux vont de pair et s’intensifient. Pour l’instant, les forces en présence sont Twenty-First Century Fox (Fox), Walt Disney Company (Disney), Sky, Comcast et AT&T, sans parle du tandem CBS-Viacom. Mais rien n’est encore joué aux Etats-Unis, et les répercutions en Europe commencent à se faire sentir.

L’avenir de l’empire Murdoch en jeu
Mi-décembre 2017, Twenty-First Century Fox du magnat des médias Rupert Murdoch (photo) a annoncé vouloir céder à Walt Disney Company pour 52 milliards de dollars – 66 milliards avec reprise de dette – plusieurs des activités de son groupe dans les studios de cinéma, les chaînes de télévision axées divertissement et à l’international, y compris le bouquet de télévision britannique Sky et la plateforme vidéo Hulu (2). Et ce, afin de recentrer « Fox » sur l’information avec ses journaux (Wall Street Journal, New York Post, …), ses chaînes de télévision Fox News et Fox Business, ainsi qu’en rachetant parallèlement des chaînes de télévision locales américaines auprès du groupe Sinclair. « Il s’agit de retourner à nos racines qui sont l’info et le sport », avait alors déclaré le patriarche sur Sky News. Les Murdoch – Rupert, âgé de 87 ans depuis le 11 mars, et ses deux fils, Lachlan et James – espèrent boucler l’opération de cession à Disney d’ici cet été, après le feu vert des autorités de concurrence puis des actionnaires du groupe. Dans la foulée, en Europe cette fois, Twenty-First Century Fox cherche à s’emparer des 61 % du capital du groupe de télévision britannique Sky – dont il possède déjà 39 % et dont Lire la suite

Avec l’administration Trump, la bataille de la neutralité du Net est relancée aux Etats-Unis

Alors que cela fait un an que le règlement européen « Internet ouvert » est entré en vigueur sur le Vieux Continent, les Etats-Unis sont confrontés, eux, à la remise en cause par Trump du règlement « Open Internet Order ». Les géants du Net montent au créneau. La FCC, elle, vote le 18 mai.

Le 32e président de la Federal Communications Commission (FCC), Ajit Pai (photo de gauche), nommé en janvier par le nouveau président des Etats-Unis Donald Trump (1),
a rencontré le 11 avril dernier l’Internet Association dont sont membres Google (Alphabet), Facebook, Amazon, Microsoft, Netflix Spotify ou encore Snap. Ils lui ont demandé de préserver la neutralité du Net telle que le prévoyait le règlement strict adopté sous l’administration Démocrate Obama. Mais le Républicain Ajit Pai s’est déjà prononcé contre ce règlement et a vient d’annoncer un vote de la FCC pour le 18 mai.

Les trois « no » d’Obama en 2014
« Voulons-nous que le gouvernement contrôle Internet ? Ou voulons-nous adopter
une approche souple établie par le président Clinton et le Congrès Républicain en
1996 et à plusieurs reprises réaffirmée par la FCC, aussi bien par les Démocrate que les Républicains ? Voulons-nous décourager le secteur privé d’investir plus dans la construction et l’extension des réseaux ? Ou voulons-nous inciter à plus d’investissement dans les infrastructures en ligne et permettre à plus d’Américains d’avoir des opportunités numériques ? », a demandé Ajit Pai (2). Ce fut le 26 février 2015 que la majorité des membres – trois des cinq – du régulateur des télécoms américain avait voté pour de nouvelles règles « Open Internet » (Open Internet Order) plus strictes en faveur de la neutralité de l’Internet aux Etats-Unis (3). Lorsqu’il était président, Barack Obama avait pris position le 10 novembre 2014 en faveur d’une
« stricte » neutralité du Net dans un « President’s Statement ». Ces nouvelles règles se résumaient en trois « no » : « no blocking, no throttling, no paid prioritization » (aucun blocage, aucun étranglement, aucune priorisation payée). Autrement dit : pas d’Internet à deux vitesses aux Etats-Unis. Cela voulait dire que si un internaute ou un mobinaute – car cette neutralité stricte s’applique au fixe et au mobile – demandent l’accès à un site Web ou à un service dont le contenu est a priori légal : le fournisseur d’accès à Internet (FAI) ne pourra bloquer cet accès ; les contenus ne pourront être discriminés au profit d’autres ; les sites web n’auront pas besoin d’acheter des lignes prioritaires ou les FAI le leur proposer. Et en désignant le haut débit fixe et mobile « services publics », la FCC se donnait le pouvoir d’imposer la neutralité du Net (4). Mais ces mesures en faveur d’un Internet ouvert n’ont pas été du goût des opérateurs télécoms et câblo-opérateurs américains, AT&T, Comcast ou encore Verizon les ayant aussitôt contestées. Le premier d’entre eux avait même suspendu le déploiement de son réseau de fibre optique en signe de protestation. Or depuis l’intronisation en janvier de Donald Trump et la démission de Tom Wheeler de la présidence de la FCC, les « telcos » obtiennent gain de cause. Cela a commencé dès février avec la suppression de l’obligation pour les FAI de petite taille (moins de 250.000 abonnés) de détailler leurs factures. Le régulateur fédéral a aussi renoncé à mener à bien deux enquêtes sur le zero rating (5). Le « zero-rating » est une pratique commerciale où les données téléchargées par certaines applications ou services ne sont pas comptabilisées dans l’abonnement d’un utilisateur, favorisant ainsi certaines applications au détriment d’autres.De même, ses propositions de dégrouper les set-top-boxes des câbloopérateurs pourraient être enterrées avant d’avoir existé (6). Durant leur
rencontre avec le nouveau président de la FCC, l’Internet Association – créée en
juillet 2012 et présidée par Michael Beckerman (photo de droite) – a réaffirmé son attachement à l’Open Internet Order qu’elle considère comme « un composant vital
de l’Internet gratuit et ouvert » et « un garant de l’expérience des utilisateurs, de la concurrence et de l’innovation en ligne ». Les acteurs du Net plaident pour le maintien de cette règlementation ex ante, qui interdit aux FAI – nommés Broadband Internet access service (Bias) aux Etats-Unis – de faire payer des accès prioritaires, quel que soit le mode d’accès à Internet (fixe, wifi mobile ou satellite).

La CCIA garde un œil sur l’Europe
L’Open Internet Order impose que l’interconnexion ne soit pas utilisée comme un goulot d’étranglement artificiel susceptible de ralentir le trafic ou d’instaurer des péages aux fournisseurs de services Over-The-Top (OTT). « Autrement dit, les règles de la Net Neutrality devraient être renforcées et conservées intactes », a insisté Michael Beckerman auprès de Ajit Pai. Des géants du Net ainsi que Samsung, Rakuten, Yahoo ou encore eBay sont également membres de la Computer & Communications Industry Association (CCIA), laquelle veille à ce que la neutralité de l’Internet ne soit pas remise en cause. Avec Mozilla, elle avait même apporté son soutien en 2015 à la FCC devant la justice américaine à Washington. Et c’est en juin 2016 que la FCC a eu gain de cause en appel sur l’Open Internet Order. « Cette décision de justice est une victoire pour les principes qui fondent notre démocratie et qui construisent une forte et innovante économie – liberté d’expression pour tous et marché concurrentiel. Cela veut dire qu’aucune entreprise ne peut agir comme un gatekeeper [un passage obligé, ndlr] pour les contenus Internet. C’est l’assurance pour les petites start-up et les petits fournisseurs de services de pouvoir concurrencer dans les mêmes conditions d’accès au trafic Internet que les entreprises déjà établies. Le maintien de l’Open Internet favorisera un cercle vertueux dans l’innovation qui a été la marque de l’Internet et de son impact non seulement sur l’économie numérique mais aussi sur l’économie dans son ensemble », s’était alors félicité Edward Black, le président et directeur général de la CCIA.
La CCIA avait par ailleurs accueillis favorablement en septembre 2016 les lignes directrices sur l’« Internet ouvert » émises par l’Organe des régulateurs européens
des communications électroniques (Orece, ou en anglais Berec (7)), que préside Sébastien Soriano (président de l’Arcep) depuis le 1er janvier 2017. « Les lignes directrices [européennes sur la neutralité de l’Internet, ndlr] serviront à partager la même interprétation de l’Internet ouvert à travers l’Union européenne, afin de contribuer à construire un marché unique numérique », s’était félicité James Waterworth, vice-président de CCIA Europe. Cela fait maintenant un an, depuis le 30 avril 2016, que le règlement européen « Internet ouvert » adopté par les eurodéputés le 25 novembre 2015 est entré en vigueur sur le Vieux Continent.

Vers un « tsunami de résistance »
La neutralité du Net n’est pas le seul principe à subir les coups de boutoir de l’administration Trump. La protection des données renforcée en fait aussi les frais.
Le 3 avril dernier a été promulguée – par le président des Etats- Unis – l’abrogation
des règles de protection des données des internautes, lesquelles avaient été aussi adoptées par la FCC et l’administration Obama en octobre 2016. Là aussi, les opérateurs télécoms américains, AT&T, Comcast ou encore Verizon, se sont réjouis
de cette décision avant même l’entrée en vigueur de cette mesure. Celle-ci prévoyait que les FAI devaient obtenir l’accord préalable de leurs abonnés avant d’exploiter leurs données numériques considérées comme « personnelles » telles que celles provenant de leur historique de navigation, de leur géolocalisation, de leurs applications à usage personnel (e-commerce, finance, santé, …). Cette abrogation est intervenue une semaine après que le Congrès américain l’ait votée à 215 voix contre… 205.
Aux Etats-Unis, la Chambre des représentants et le Sénat sont tous les deux à majorité Républicaine et pro-Trump. Mais l’opposition Démocrate promet un « tsunami de résistance » !

Au détriment des consommateurs
La Maison blanche a justifié ce détricotage règlementaire par le fait que cette règle instaurait une différence de traitement entre les acteurs du numériques, dans la mesure où des acteurs tels que Google ou Facebook n’y auraient pas été soumis. En effet, les sites Internet sont régis par des obligations moins restrictives que celles des opérateurs télécoms. Les premières relèvent de l’autorité de la FCC, tandis que les secondes relèvent de l’autorité de la FTC (Federal Trade Commission). Le président de la FCC, Ajit Pai, a bien sûr applaudi l’abrogation de la mesure. Ce qui, en revanche, n’a pas été du goût d’associations américaines telles que l’American Civil Liberties Union (ACLU) ou de l’association Free Press, vent debout contre l’utilisation des données personnelles sans l’autorisation explicite des internautes et mobinautes. « C’est une violation des droits à la vie privée des utilisateurs d’Internet », avait dénoncé fin mars Craig Aaron, président et directeur général de Free Press. Et de poursuivre :
« Apparemment, cela ne pose pas de problème [au Congrès et à l’administration Trump, ndlr] que les câbloopérateurs et les opérateurs télécoms fouinent dans les informations privées concernant votre santé ou vos finances, vos activités religieuses ou votre vie sexuelle. Ils ont voté pour s’emparer des droits de centaines de millions d’Américains afin de juste permettre à quelques entreprises géantes de conforter leurs profits déjà considérables ».
Même levée de boucliers de la part du Center for Democracy and Technology (CDT), de l’Electronic Frontier Foundation (EFF) et du Electronic Privacy Information Center (EPIC), dont Natasha Duarte est l’analyste juridique et porte-parole : « Les informations exploitées comptent parmi les détails les plus intimes de la vie d’une personne.
Les consommateurs doivent pouvoir contrôler ce que les entreprises font de ces informations », rappelle-t-elle. Entre la neutralité du Net remise en cause au profit des opérateurs télécoms et la protection des données affaiblie au profit des fournisseurs de services numériques, l’administration Trump et sa majorité parlementaire risque de se mettre à dos les internautes. @

Charles de Laubier

Pendant que l’Allemagne perquisitionne chez Eyeo/Adblock Plus, la France prépare label et charte

Alors que le CESP (1) et l’ACPM (2) se voient confier – par le SRI (3) et l’Udecam (4) – la rédaction d’un « référentiel » pour un label « Digital Ad Trust », les professionnels de la pub online s’inquiètent du succès des ad-blockers.
Pendant qu’Axel Springer ferraille en justice contre Eyeo/Adblock Plus.

Le 26 janvier dernier, les locaux de la société allemande Eyeo, éditrice du célèbre logiciel anti-pub Adblock Plus,
ont été perquisitionnés ainsi que trois domiciles de ses dirigeants. La police et le ministère public allemand de la Justice ont cherché des preuves pour manquement au droit d’auteur et au droit de la concurrence au détriment des professionnels de la publicité en ligne et des éditeurs de presse. L’information a été révélée le lendemain par le site online Heise (5).

Les « listes blanches » en cause
Le géant européen des médias Axel Springer est le seul groupe de presse à avoir intenté une action judiciaire contre la société Eyeo – cofondée par son président Tim Schumacher (photo), son directeur général Till Faida et son développeur Wladimir Palant – dont il estime le modèle économique « illégal ». En 2015, l’éditeur berlinois des quotidiens Bild et Die Welt, propriétaire de SeLoger.com et d’Aufeminin.com en France, avait fait appel et obtenu en 2015 un référé à l’encontre de cette société accusée de tous les maux. Et ce, après avoir essuyé un échec en première instance à Cologne où Eyeo avait remporté une victoire judiciaire qui faisait suite à plusieurs autres obtenues face à des plaintes de chaînes de télévision allemandes (ProSiebenSat.1 Media et RTL Group). « L’offre croissante d’ad-blockers met en danger les sources de revenus provenant du marché publicitaire pour l’ensemble des éditeurs de médias en ligne», ne cesse de protester Axel Springer. Adblock Plus est installé sur plus de 100 millions de terminaux dans le monde, essentiellement en Europe et son éditeur Eyeo a constitué avec des annonceurs une « liste blanche » qui sélectionne les publicités en ligne jugées les moins intrusives selon ses propres critères. Les internautes peuvent ainsi bloquer celles qui ne sont pas des « Acceptable Ads », ou bien au contraire désactiver cette option pour n’en bloquer aucune. Cela revient à « whitelister » les éditeurs qui accepteraient de payer une taxe pour passer entre les mailles du filet Adblock Plus.
Ce droit de passage soulève des questions sur l’éthique de la société Eyeo.
Les ad-blockers constituent plus que jamais la bête noire des éditeurs de contenus et de services en ligne, qui s’inquiètent du manque à gagner grandissant et s’estiment menacés jusqu’au cœur de leur modèle économique déjà fragile. En France, où les pertes des éditeurs sont allées jusqu’à 25 % de leur chiffre d’affaires, le Geste (6) a renoncé à aller en justice. Certains de ses membres poursuivent la campagne anti-blocking initiée il y a un an, en attendant l’analyse technique d’un logiciel de ad-recovery de la startup Uponit. En Allemagne, Axel Springer est décidé à remporter non seulement une victoire mais aussi la guerre devant la cour de cassation contre Eyoe qu’il accuse d’être hors-la-loi et d’être directement responsable – via notamment Adblockplus.org – des listes « Adblock Plus » disponibles en open source telles que Easylist et Liste FR. L’Interactive Advertising Bureau (IAB), organisation professionnelle de la pub online, tente d’éteindre l’incendie qui menace tout l’écosystème des médias sur Internet et sur les mobiles, en mobilisant les différents acteur autour de « bonnes pratiques vertueuses » avec l’élaboration au niveau international d’une « charte de bonnes pratiques ». Il est également prévu un « contrat de navigation » (ou « contrat
de lecture ») qui préconise : limitation des formats publicitaires sur une page, mise en place de capping sur toutes les campagnes et sur les formats considérées comme
« impactants » ou « surgissants ».
Sans attendre, les publicitaires du online sont censés suivre les recommandations édictées par l’IAB aux Etats-Unis. En France, l’Autorité de régulation professionnelle de la publicité (ARPP) – l’ex-BVP (7) – est supposée contrôler qu’elles soient effectivement appliquées. En avril 2016, l’ARPP a lancé un « Observatoire des pratiques publicitaires digitales », dont l’état des lieux devrait être présenté d’ici fin février. « Les conclusions viendront nourrir le plan d’action de l’ARPP pour (…) ne pas attiser la publiphobie. D’ores et déjà, nous proposons (…) d’aider les acteurs des nouvelles techniques publicitaires à mieux maîtriser les risques de non-conformité aux règles déontolo-
giques », explique François d’Aubert (8), président de l’ARPP depuis 2011 (réélu
pour quatre ans en novembre 2015).

Ad-blockers : + 20 % en France
La branche française de l’IAB, dont le directeur délégué est Stéphane Hauser (ex-Libération), prépare pour l’automne un troisième baromètre de son étude sur les ad-blocks et les Français. Le deuxième, réalisé par Ipsos et publié en novembre dernier, a montré que le taux d’adoption des adblocks sur le marché français avait augmenté de 20 % depuis le début de l’année, passant de 30 % à 36 %. Il y a péril en la demeure. @

Charles de Laubier

Dégrouper la « box » des opérateurs aux Etats-Unis : idée transposable aux objets connectés en Europe

Le régulateur américain des communications, la FCC, s’apprête à changer
de président pour être « Trump » compatible. Du coup, ses propositions de dégrouper les set-top-boxes des câblo-opérateurs risquent d’être enterrées
avant d’avoir existé. Pourtant, elles méritent réflexion – y compris en Europe.

Par Winston Maxwell*, avocat associé, Hogan Lovells

La prise de fonctions le 20 janvier 2017 du nouveau président des Etats-Unis, Donald Trump, sera suivie de la démission du président actuel de la FCC (1), Tom Wheeler. Le successeur
de ce dernier, issu du Parti républicain, sera nommé pour le remplacer. Le départ de Tom Wheeler (2) signifie l’abandon probable de l’idée de dégrouper le décodeur des câblo-opérateurs américains. Cette idée, qui a fait l’objet d’une proposition adoptée par la FCC le 28 février dernier, mérite néanmoins notre attention car elle illustre les enjeux liés à la télévision connectée et plus généralement au partage de données collectées dans le cadre des objets connectés.

Des set-top-boxes peu performantes
D’abord examinons la notion de « dégroupage » d’un décodeur, appelé aux Etats-Unis set-top-box. Les services de transmission d’un câblo-opérateur se divisent en deux
« tuyaux » logiquement distincts. Le premier tuyau consiste en la transmission de programmes utilisant de la bande passante réservée à cet effet. Il s’agit de services de transmission gérés de bout en bout par le câblo-opérateur. Le deuxième tuyau consiste en la fourniture d’un service d’accès à Internet. Cette deuxième partie du service est ouverte et soumise aux règles sur la neutralité de l’Internet. Pour accéder à l’offre télévisuelle sur la partie gérée du service, le téléspectateur doit utiliser un décodeur fourni par le câblo-opérateur. Aux États-Unis, la fourniture de cette « box » est payante, le téléspectateur s’acquittant d’un loyer mensuel. Selon la FCC, ce décodeur est non seulement cher, mais il est aussi peu performant, la technologie ayant peu évolué depuis une décennie. Les téléspectateurs américains semblent donc prisonniers d’une situation où le câblo-opérateur leur impose la location d’un décodeur peu performant. En 2015, la FCC, a lancé une première consultation publique pour mettre fin au monopole de fait qui existe en faveur des câblo-opérateurs pour la fourniture de leurs décodeurs. L’idée était de créer un marché dynamique où les développeurs indépendants pourraient proposer des fonctions qui aujourd’hui sont regroupées au sein du décodeur. Car cette « box » agrège plusieurs fonctions distinctes. La fonction
la plus basique consiste à transformer les signaux vidéo en images et sons lisibles par le téléviseur. Mais elle gère également l’accès aux programmes payants. Pour ce faire, elle a une fonction d’authentification et de gestion des conditions d’accès. Ces systèmes font régulièrement l’objet d’attaques par des pirates qui essayent de contourner le système afin d’organiser un marché noir d’accès aux programmes payants. C’est pour cette raison que les câblo-opérateurs et les ayant droits ne souhaitent pas que cette fonction soit séparée du décodeur, car l’existence d’un décodeur physique permet d’augmenter les mesures d’anti-piratage. Une autre fonction de la « box » est de fournir le guide électronique de programmes – Electronic Program Guide (EPG) – et de gérer les fonctions de recherches de programmes et de navigation. Les décodeurs actuels semblent archaïques comparé à l’interface d’une tablette ou d’un smartphone. C’est pour cette raison que la FCC a souhaité envisager de dégrouper les différentes fonctions du décodeur afin de permettre plus d’innovation et de choix au bénéfice du téléspectateur. La première proposition de la FCC aurait contraint les câblo-opérateurs à fournir des flux de données selon un standard ouvert, de manière à permettre à n’importe quel développeur d’intégrer ces fonctions dans différents types de terminaux. Ces fonctions pourraient être intégrées par exemple
dans le logiciel de navigation d’une tablette, ou d’une télévision connectée. La FCC
a rencontré une forte résistance de la part des câblo-opérateurs et des ayant droits. Dégrouper la fonction d’authentification et de gestion des conditions d’accès augmenterait le risque de piratage. La FCC a ainsi fait marche arrière et a proposé
une solution de compromis par laquelle le câblo-opérateur fournirait une application téléchargeable sur une tablette ou télévision connectée. Cette application resterait
sous le contrôle du câblo-opérateur permettant un niveau plus élevé de sécurité que
s’il s’agissait d’une application tierce.

Les enjeux de l’interface et des données
Mais la sécurité n’est pas le seul enjeu. La FCC souhaitait également ouvrir à la concurrence les fonctions du décodeur liées à l’interface avec les utilisateurs.
Cette proposition s’est également heurtée à une opposition des câblo-opérateurs
qui craignaient la perte de leurs relations commerciales avec leurs abonnés. L’enjeu était ici commercial. La maîtrise de l’interface de navigation permettrait à un prestataire tiers d’organiser la page d’accueil, d’apposer ses propres marques, et surtout de collecter des données sur les habitudes des téléspectateurs. Aux yeux des câblo-opérateurs, le décodeur reste un rempart contre la captation de la valeur des données par les grands prestataires d’Internet.

Dégroupage des objets connectés ?
A première vue, le dégroupage des « box » semble similaire à l’ouverture à la concurrence des téléphones dans les années 1990. Le dégroupage des téléphones a conduit à une vague d’innovation sans précédent, aux extrémités des réseaux. Cette innovation se perpétue encore aujourd’hui sur l’Internet, où il est possible d’« innover sans permission » – pour emprunter les termes de Yochai Benkler (3) – aux extrémités du réseau. Le droit d’innover aux extrémités du réseau est aujourd’hui garantie par la régulation sur la neutralité de l’Internet. Mais les règles sur la « Net Neutrality » ne s’appliquent pas aux services « gérés », comme la télévision accessible sur les « box ». S’agissant d’un opérateur de télécommunications bénéficiant d’un monopole juridique, imposer le dégroupage des terminaux en 1990 semblait logique. La question devient plus complexe lorsque l’opérateur en cause évolue dans un marché concurrentiel.
La proposition de la FCC fournit un exemple des complexités qui se transposent facilement à l’Internet des objets, où l’accès aux données est devenu un enjeu clé
pour l’innovation : compteurs électriques intelligents, maisons connectées, ou encore véhicules connectés. Obliger une entreprise privée à ouvrir à des tiers l’accès aux données de ses clients peut sembler à première vue attrayant pour encourager l’innovation. Mais vue de plus près, la question est complexe (4) et la notion
d’« innovation » incertaine (voir encadré ci-dessous), sans même parler de la protection des données à caractère personnel, un enjeu crucial. L’étude de l’Autorité de la concurrence (France) et de la Competition and Markets Authority (Grande-Bretagne) sur les écosystèmes et leurs effets sur la concurrence – analyse conjointe publiée en décembre 2014 (5) – montre que l’existence d’un écosystème fermé ne se traduit pas forcément par une diminution de la concurrence et de l’innovation. Chaque situation doit être examinée séparément. La même conclusion découle de l’étude récente conduite par la même Autorité de la concurrence avec cette fois la Bundeskartellamt (Allemagne) sur la collecte de données par les plateformes – analyse conjointe publiée en mai 2016 (6). Cette collecte de données ne conduit pas forcément à une diminution de l’innovation et de la concurrence.
La Commission européenne s’est exprimée le 10 janvier dernier sur le partage de données collectées dans le contexte des terminaux, compteurs ou encore véhicules connectés. Selon sa communication intitulée « Construire une économie européenne de la donnée » [« Building a European Data Economy », lire l’article pages 6 et 7, ndlr], la Commission européenne souligne la nécessité d’encourager le partage tout en respectant les négociations commerciales, la sécurité des systèmes, et l’investissement des entreprises ayant permis la production des données. Le débat sur le dégroupage des « box » et autres plateformes d’objets connectés promet de rester vif. @

* Winston Maxwell a eu l’occasion d’exposer la question du
dégroupage des « box » aux Etats-Unis au CSA Lab lancé
14 juin 2016, dont il est l’un des neuf membres experts,
ainsi qu’au Conseil d’Etat lors du colloque « Concurrence et
innovation à l’ère du numérique » le 9 décembre 2016.

ZOOM

Encourager l’innovation par la régulation, mais quelle « innovation » ?
Pour élaborer un système réglementaire qui favorise l’innovation, encore faut-il pouvoir la mesurer. Or, mesurer le niveau d’innovation est compliqué. Dans les années 1990, des recherches ont été faites aux Etats-Unis sur le lien entre la régulation sur la protection de l’environnement et l’innovation. A l’époque, certains disaient que la régulation favorisait l’innovation : cela s’appelait « l’hypothèse de Porter ». Valider cette hypothèse nécessite de se mettre d’accord sur ce que l’on entend par « innovation ».
Si l’on mesure l’innovation par les dépenses de recherches dédiées aux problèmes
de conformité (on parle de compliance innovation), alors, oui, la régulation conduit généralement à une augmentation de l’innovation. En revanche, si l’on mesure l’innovation par d’autres critères, par exemple le nombre de brevets déposés ou le nombre de start-up levant des fonds de capital risque, la réponse sera différente. Sans pouvoir mesurer l’innovation, on navigue à l’aveugle. La régulation peut elle-même innover. Certains auteurs prônent une régulation « adaptative » et « expérimentale »
qui s’adapterait en fonction des résultats observés. Préconisée dans la dernière étude annuelle du Conseil d’Etat, la réglementation expérimentale serait particulièrement bien adaptée aux marchés numériques, où le risque d’erreur est élevé. Mais cette forme de régulation nécessiterait des mécanismes de suivi sur l’efficacité de la régulation, et ces mécanismes sont rares. @

La Commission européenne est décidée à favoriser, tout en l’encadrant, l’économie de la data

Dans une communication publiée le 10 janvier 2017, la Commission européenne prévoit de favoriser – tout en l’encadrant – le commerce des données numériques. Cette régulation de la data suppose notamment de réviser dès
cette année la directive de 1996 sur la protection des bases de données.

L’année 2017 sera placée sous le signe de la data. La Commission européenne veut encadrer l’exploitation des données dans une économie de plus en plus numérique.
La communication qu’elle a publiée le 10 janvier, sous le titre
« Construire une économie européenne de la donnée » (1), devait être rendue publique en novembre. Finalement, elle
l’a été avec deux mois de retard et fait l’objet d’une vaste consultation publique – jusqu’au 26 avril prochain.

Une loi européenne d’ici juin 2017 ?
Ces nouvelles règles sur la data utilisée à des fins commerciales doivent mieux encadrer la manière dont les entreprises s’échangent des données numériques entre elles pour développer leur chiffre d’affaires et générer des pro f i t s . I l s’agit d’év i ter que les consommateurs – internautes et mobinautes – soient pris au piège d’accords d’utilisation qu’ils ne pourraient pas refuser, donnant ainsi implicitement à d’autres entreprises que leur fournisseur numérique l’accès à leurs données personnelles. Toutes les entreprises sont potentiellement concernées. Si la communication n’a pas de caractère contraignant, la Commission européenne se réserve la possibilité de légiférer si les entreprises n’appliquaient pas ses suggestions sur le partage de données. Andrus Ansip (photo), viceprésident de la Commissaire européen en charge du Marché unique numérique et – depuis le 1er janvier 2017 – de l’Economie et de la Société numériques (2), a déjà laissé entendre qu’un texte législatif sur la propriété des données et l’accès à ces données pourrait être proposé d’ici juin 2017.
Tous les secteurs de l’économie – industries, services, e-commerce, … – sont en ligne de mire. Déplorant l’absence d’étude d’impact, un cabinet d’avocats (Osborne Clarke)
a recommandé à la Commission européenne de ne pas se précipiter à édicter une nouvelle loi. De nombreux secteurs économiques craignent cette régulation de la data et la perçoivent comme un frein à leur développement. Par exemple, dans l’industrie automobile, l’Association européenne des constructeurs d’automobiles (3) a fait savoir lors d’une conférence à Bruxelles le 1er décembre dernier sur le thème de
« Smart cars: Driven by data » que les données des conducteurs appartenaient aux constructeurs, lesquels pouvaient les vendre à d’autres entreprises. Au moment où la voiture connectée et/ou autonome démarre sur les chapeaux de roue, les industriels
de l’automobile entendent garder la maîtrise des données collectées et leur exploitation comme bon leur semble. Or la Commission européenne souhaite au contraire ne pas laisser faire sans un minimum de règles communes et en appelle à des expérimentations comme dans le cadre du programme CAD (Connected and Autonomous Driving). Les autres secteurs ne sont pas en reste. Cela concerne aussi
le marché de l’énergie (comme les compteurs intelligents), le domaine de la maison connectée, la santé ou encore les technologies financières. En outre, le potentiel de l’Internet des objets (des thermostats aux lunettes connectées), des usines du futur ainsi que de la robotique connectée est sans limite et le flux de données en croissance exponentielle.
Alors que la data constitue plus que jamais le pétrole du XXIe siècle, tant en termes d’économie de marché, de création d’emplois et de progrès social, elle est devenue centrale. L’économie de la donnée est créatrice de valeur pour l’Europe, avec 272 milliards d’euros de chiffre d’affaires généré en 2015 – soit 1,87 % du PIB européen.
Ce montant pourrait, selon les chiffres fournis par la Commission européenne, pourrait atteindre 643 millions d’euros d’ici 2020, soit 3,17 % du PIB européen (4).

Encadrer sans freiner l’innovation
La communication « Construire une économie européenne de la donnée » veut donner une impulsion à l’utilisation des données à des fins lucratives, tout en l’encadrant, sans attendre l’entrée en vigueur à partir du 25 mai 2018 de la nouvelle réglementation européenne sur la protection des données (5). Mais la Commission européenne ne veut pas non plus freiner les Vingt-huit dans le développement de l’économie de la donnée et creuser un peu plus l’écart avec les Etats- Unis. Aussi, voit-elle dans la régulation de la data une manière de contribuer au développement du marché unique numérique en donnant un accès le plus large aux bases de données – au Big Data – et en empêchant les barrières à l’entrée au détriment des nouveaux entrants et de l’innovation. Objectif : favoriser la libre circulation des données au sein de l’Union européenne, ainsi que la libre localisation de ces données dans des data centers, sans que ces échanges et ces stockages se fassent au détriment des consommateurs et de leur libre arbitre. Il s’agit aussi d’éviter la fragmentation du marché unique numérique par des réglementations nationales différentes selon les pays européens. La data se retrouve au cœur du marché unique numérique, que cela soit en termes de flux libres, d’accès, de transfert, de responsabilité, de sécurité, de portabilité, d’interopérabilité et de standardisation.

Pour la libre circulation des données
Dans sa communication « Construire une économie européenne de la donnée », dont un draft était disponible en ligne depuis décembre dernier, Bruxelles réaffirme la libre circulation des données (free flow of data) au sein de l’Union européenne et s’oppose aux barrières réglementaires numériques telles que l’obligation de localiser les données dans le pays concerné (6). Dans le prolongement de sa communication, la Commission européenne discutera avec les Etats membres sur les justifications et la proportionnalité des mesures réglementaires de localisation des données, ainsi que de leurs impacts sur notamment les petites entreprises et les start-up. Bruxelles est prêt à durcir le ton en cas de localisation abusive des données.
Partant du principe que les données peuvent être personnelles ou non personnelles, il est rappelé que la réglementation de 2016 sur la protection des données personnelle (en vigueur à partir de fin mai 2018), s’applique aux premières. Et quand un appareil connecté génère de la donnée qui permet d’identifier une personne, cette donnée est considérée comme étant à caractère personnel jusqu’à ce qu’elle soit anonymisée.
Or, constate la Commission européenne, l’accès aux données au sein des Vingt-huit est limité. La plupart des entreprises utilisant une grande quantité de données le font en interne. La réutilisation des données par des tiers ne se fait pas souvent, les entreprises préférant les garder pour ellesmêmes. De plus, beaucoup d’entreprises n’utilisent pas les possibilités des API (Application Programming Interfaces) qui permettent à différents services d’interagir avec d’autres en utilisant les données extérieures ou en partageant les siennes. Peu d’entreprises sont en outre équipées d’outils ou dotées de compétences pour quantifier la valeur économique de leurs données.
Quant au cadre réglementaire, au niveau européen ou à l’échelon national, il ne les incite pas à valoriser leur capital data. S’il y a bien le nouveau règlement sur la protection des données personnelle, les données brutes impersonnelles produites
par les machines échappent à l’actuel droit sur la propriété intellectuelle faute d’être
« intelligentes ». Tandis que la directive européenne du 11 mars 1996 sur la protection juridique des bases de données permet, elle, aux auteurs de bases de données le droit d’empêcher l’extraction et/ou la réutilisation de tout ou partie de leurs bases de donnés. Sans parler de la nouvelle directive européenne sur le secret des affaires, à transposer par les Etats membres d’ici juin 2018, qui limite l’accès à certaines informations capitales pour l’entreprise. Difficile de s’y retrouver dans ce dédale de textes législatifs. Un cadre réglementaire plus lisible et compréhensible est donc nécessaire, aux yeux de la Commission européenne, pour les données générées par les machines et les objets connectés, sur leur exploitation et leur traçabilité. Faute de quoi, l’économie de la data continuera de relever le plus souvent de relations contractuelles. Or, Bruxelles estime que cela ne suffit pas et qu’il faut un cadre adapté pour les nouveaux entrants et éviter les marchés verrouillés. Ceux que la Commission européenne appelle les propriétaires de facto de données que leurs écosystème génère ont un avantage compétitif sur leur marché, surtout en l’absence de réglementation ou de cadre juridique appropriés.

Afin que les réglementations nationales différentes ne s’imposent au détriment d’une harmonisation communautaire et des services de données transfrontaliers, une législation sur l’accès aux données pourrait voir le jour en Europe afin : d’encadrer le commerce de données générées par les appareils connectés, de faciliter et d’inciter
au partage de telles données, de protéger les investissements et les actifs, d’éviter la divulgation de données sensibles ou confidentielles, et de minimiser les effets de blocage (lockin) dans l’accès aux données.
La Commission européenne prévoit notamment : de réviser en 2017 la directive
« Bases de données » de 1996, de favoriser le développement les API pour faciliter
la création d’écosystèmes numériques, d’édicter des contrats-type portant sur l’exploitation de données, de contrôler les relations contractuelles B2B (7) et d’invalider des clauses abusives, de donner accès aux données d’intérêt général ou issues des services publics (8), d’instaurer un droit des producteurs de données à accorder des licences d’utilisation de ces données, et, enfin, de donner accès à la data contre rémunération.

Responsabilité et assurance
La responsabilité juridique liée à l’exploitation de toutes ces données devra aussi être clarifiée – quitte à envisager la révision de la directive européenne de 1985 sur la responsabilité du fait des produits défectueux (9) – pour prendre en compte les nouveaux écosystèmes tels que l’Internet des objets ou encore la voiture autonome, sans parler des implications au niveau des assurances. @

Charles de Laubier

Information et publicité : comment la presse se retrouve court-circuitée par les réseaux sociaux

La presse n’en finit pas d’être submergée par le tsunami numérique. Non seulement les réseaux sociaux prennent le relais dans l’accès à l’information, mais en plus ils rattrapent les journaux en termes de dépenses publicitaires. Facebook, Twitter ou Snapchat se font de plus en plus « médias sociaux ».

La presse imprimée se fait toujours plus cannibaliser par les sites web. Les habitudes de consommation de l’information ne cessent de donner la part belle à Internet.
Selon une étude de Médiamétrie, 38 % de la population en France déclarent accéder
à l’information en passant par les pages d’actualité sur Internet (à partir de portails web), les pure players de l’information en ligne (Slate, Mediapart, Huffington Post, Rue89, …) et/ou les réseaux sociaux (Facebook, Twitter, YouTube, Google, Instagram, LinkedIn, … ).

La « délinéarisation » de l’info
Mais cette proportion de la population informée en ligne en dehors des médias traditionnels et de la presse online atteint 77 % dans la catégorie des 18-24 ans.
La jeune génération est suivie par les catégories socioprofessionnelles à hauteur de
49 %. Les réseaux sociaux sont plébiscités dans l’accès à l’information par 17 % des personnes interrogées, et même par 63 % des 18-24 ans qui les utilisent pour s’informer presque autant que les chaînes d’information en continu. Facebook est le premier à être utilisé comme média, cité par 83 % des utilisateurs de réseaux sociaux, suivi de Twitter pour 35 % d’entre eux et de YouTube pour 32 %.
Les journaux imprimés souffrent de cette « délinéarisation » de l’information, par analogie avec la délinéarisation des chaînes de télévision. Les réseaux sociaux offrent un accès à un « fil d’information » ou timline mis à jour en temps réel qui permet une
« personnalisation » de l’actualité en fonction des centres d’intérêt et préférences de l’internaute, voire les recommandations des membres de sa communauté connectée ou des algorithmes de suggestion du réseau social lui-même. L’information à la demande est à la presse traditionnelle avec sa pagination ce que le programme à la demande (replay) est à la chaîne de télévision avec sa grille. Si l’on revient à l’étude plurimédias « Actu24/7 » de Médiamétrie, plus de la moitié de ceux qui consultent les réseaux sociaux apprécient la capacité de ces dernier à proposer des contenus « personna-
lisés », centralisés et laissés au libre choix de l’utilisateur en fonction de ce qui l’intéresse. Les adeptes des réseaux sociaux s’informent d’abord, pour 84 % d’entre eux, en lisant les articles partagés par ses amis, mais sans que l’on sache quelle proportion de sujets proviennent réellement de la presse traditionnelle. Et ils sont plus de la moitié (51 %) à s’informer sur les réseaux sociaux en allant sur la page d’un média traditionnel.
La multiplication des partenariats presse-réseaux sociaux – Facebook Instant Articles, Facebook Live, Snapchat Discover, etc (1) – participe de cet échange. A contrario,
ils sont près de la moitié (49 %) à ne pas aller sur les sites de la presse classique.
Mais il y a un bémol à cet engouement pour les réseaux sociaux informationnels : leur note de satisfaction reste encore faible par rapport à celle de la radio, de la presse quotidienne nationale ou encore des chaînes d’information en continu. Les Facebook, Twitter et autres Google pêchent encore par manque d’analyses, de mise en perspective et de recul. Il n’empêche. Les réseaux sociaux, au déploiement fulgurant depuis quelques années seulement, prennent de l’ampleur et capitalisent sur leur immédiateté et instantanéité dans l’accès à l’actualité que l’on peut partager aussitôt avec son entourage. La société française Visibrain l’a bien compris, plateforme de
veille des médias en ligne créée en 2011, qui vient de lancer « Expresso News » pour recevoir par e-mail « le Top 10 des articles de presse les plus partagés sur les réseaux sociaux » (Twitter et Facebook).
Si la crédibilité de la presse traditionnelle, voire « institutionnelle », a été quelque peu mise à mal pour n’avoir pas vu venir tant aux Etats-Unis l’élection de Donald Trump comme président du pays qu’en France l’élection de François Fillon comme candidat de la droite, Internet en général et les réseaux sociaux en particulier ne sont pas exempts de critiques. En effet, rumeurs non fondées et fausses informations – même si les médias traditionnels peuvent aussi en être victimes – circulent sur Internet.

Zuckerberg : ombudsman du Net ?
Aux Etats-Unis, les réseaux sociaux ont été montrés du doigt (Twitter, Facebook, Google, …) et soupçonnés d’avoir « contribué à la victoire du républicain Donald
Trump ». Au point que le PDG fondateur de Facebook, Mark Zuckerberg, a dû promettre mi-novembre de faire la chasse aux fausses informations ou hoaxes (canulars) – quitte à donner l’impression de s’autoproclamer grand régulateur du Net, ombudsman et conseil de presse en ligne. « Nous sommes persuadés qu’il faut donner la parole aux gens. [Mais] nous ne voulons pas être des arbitres de la vérité nous-mêmes », a-t-il admis sur son blog le 13 novembre dernier (2) face aux craintes de censures dans un pays où la liberté d’expression est consacrée par le premier amendement de la Constitution américaine. Et le patron du numéro un des réseaux sociaux (suivi par 78,5 millions d’« amis » sur son propre compte) de se faire encore plus prudent : « Je pense que Facebook pourrait faire beaucoup de choses pour lutter contre les fausses informations, et je pense que c’est quelque chose sur lequel tout le monde pourrait s’entendre. Mais s’il essaie de s’attaquer aux sites ayant des motivations idéologiques, il va inévitablement se trouver pris dans les guerres de culture ».

Facebook et Google : publivores
Cela n’empêche pas le réseau social de commencer à demander à ses utilisateurs
de dénoncer les titres d’articles trompeurs. Aux Etats-Unis, certains souhaitent que Facebook soit considéré comme une entreprise de médias – responsable pénalement comme un éditeur de presse l’est en cas d’infraction – et non pas comme une plateforme numérique neutre, faisant référence à son statut d’hébergeur à responsabilité limitée. Facebook a été accusé avant l’été dernier de faire des choix éditoriaux au détriment des Républicains conservateurs américains. Le groupe de
Mark Zuckerberg avait démenti.
Quoi qu’il en soit, selon lui, plus de 99 % de ce que les internautes voient sur Facebook est vrai ; seulement une toute petite partie relève de fausses informations et de hoaxes. Au lendemain de l’élection présidentielle américaine, il avait qualifié d’« assez dingue » l’idée que la publication massive de fausses informations sur Facebook ait pu favoriser la victoire de Donald Trump. Certaines d’entre elles affirmaient par exemple que
« Hillary Clinton appellerait à la guerre civile si Trump était élu », ou que « le Pape François soutient Donald Trump » !
Quoi qu’il en soit, le 15 novembre, Facebook et Google ont décidé de couper les revenus publicitaires des faux sites web d’information. Les régies publicitaires du moteur de recherche et du réseau social, en position dominante sur leur marché respectif, détiennent les plus grandes parts de marché de la publicité sur Internet.
« Nous allons commencer à interdire les publicités de Google sur les contenus trompeurs, de la même manière que nous interdisons les publicités mensongères.
(…) A l’avenir nous allons restreindre les publicités sur les pages qui dénaturent ou masquent les informations sur l’éditeur, ses contenus ou le but premier du propriétaire du site », a indiqué le géant du Net dirigé par Sundar Pichai. De son côté, Facebook va aller aussi dans ce sens : « Nous n’intégrons pas ou ne montrons pas de publicités dans des applications ou des sites dont le contenu est illégal, trompeur ou mensonger, ce qui inclut les fausses informations. (…) C’était jusqu’à présent sous-entendu, mais nous avons mis à jour notre politique pour clairement exprimer que cela concerne les fausses nouvelles ».
Au delà de la bataille de l’information entre presse traditionnelle et réseaux sociaux,
sur fond de crédibilité de l’information, la publicité en ligne est elle aussi un autre terrain d’affrontement et de cannibalisation entre les deux mondes médiatiques. Les dépenses publicitaires sur les réseaux sociaux devraient dépasser pour la première fois celles de la presse en 2020. Pour l’heure, au niveau mondial, la publicité sur les réseaux sociaux publivores devrait peser en 2016 quelque 29 milliards de dollars – soit 16 % des investissements publicitaires globaux. Mais selon l’agence média Zenith Optimedia du groupe Publicis, les réseaux sociaux devraient s’arroger 20 % de ce marché en 2019 en dépassant la barre des 50 milliards de dollars – à 50,2 milliards précisément.
La publicité dans les journaux, qui affichera cette annéelà les 50,7 milliards de dollars, est ainsi rattrapée par le tsunami numérique, avant d’être coiffée au poteau l’année suivante. Parallèlement, la publicité vidéo en ligne dépassera à cette même échéance la publicité à la radio. Facebook, Twitter et consorts profitent de la généralisation des smarphones qui consacrent le social mobile et le m-video. « Les publicités des médias sociaux s’intègrent instantanément dans les fils d’actualité et sont bien plus efficaces que les publicités interruptives sous forme de bannière, en particulier sur les appareils mobiles », explique Zenith Optimedia.

La presse perd de la pub
La presse écrite est le média qui accuse la plus sévère baisse des recettes publicitaires, comme l’illustrent les chiffres de l’Institut de recherches et d’études publicitaires (Irep) sur les trois premiers trimestres de l’année 2016 en France :
– 6,6 % sur un an à 1,4 milliard d’euros (quotidiens nationaux et régionaux, ainsi que hebdomadaires régionaux, magazines et presse gratuite). La croissance des revenus publicitaires numériques des journaux, menacés par ailleurs par les ad-blockers et le refus préalable des cookies (3), ne compense pas la chute de la publicité commerciale imprimées et des petites annonces. @

Charles de Laubier

Libre circulation des données et souveraineté numérique dans le nuage : le prochain rendez-vous

La Commission européenne prône la libre circulation des données dans le nuage informatique par suppression des restrictions injustifiées de localisation nationale, lesquelles morcèlent le marché unique numérique. Mais cette politique favorise-t-elle vraiment l’émergence d’un « cloud européen » ?

Par Christophe Clarenc (photo) et Martin Drago, cabinet Dunaud Clarenc Combles & Associés

Dans le cadre de sa stratégie de marché unique du numérique (1), la Commission européenne a annoncé le 19 avril dernier un plan de mesures en vue du passage au numérique de l’industrie européenne (2) comportant en particulier une « initiative pour la libre circulation des données » visant à éliminer les restrictions nationales injustifiées et à harmoniser la libre circulation des données européennes – autres que les données personnelles
(3) – dans le nuage informatique.

Nuage européen sous pavillon américain
Attendue pour début 2017 sous la forme d’une proposition législative, cette initiative de la Commission européenne s’inscrit dans sa politique de construction d’un « cadre favorable à un marché unique des données massives et de l’informatique en nuage » répondant aux enjeux et conditions précédemment identifiés dans ses communications du 29 septembre 2012 (« Exploiter le potentiel de l’informatique en nuage ») et du 2 juillet 2014 (« Vers une économie de la donnée prospère ») et dans le rapport intermédiaire « Trusted Cloud Europe » (TCE) remis le 18 mars 2014 (4). Trois grands enjeux combinés étaient identifiés : le positionnement européen dans les infrastructures et l’offre de services en nuage ; les normes de confiance, les certifications de conformité et les conditions contractuelles applicables aux services en nuage ; et les exigences réglementaires ou contraintes prudentielles de localisation nationale des données restreignant la libre circulation de ces dernières dans le nuage.
Dans sa communication de 2012 sur le cloud, la Commission européenne soulignait tout d’abord l’enjeu des capacités et services de l’informatique en nuage dans le développement de l’économie du traitement massif des données et l’intérêt stratégique de positionner l’Europe à l’avant-garde et en acteur mondial du côté de l’offre de capacités et de services en nuage. Dans sa communication de 2014 sur la data, elle qualifiait l’informatique en nuage d’« infrastructure essentielle pour une économie de
la donnée » (voir encadré page suivante) et relevait le retard et le défi capacitaires de l’Europe, par rapport aux Etats- Unis, dans la concurrence mondiale. Elle évoquait également la question de « la souveraineté des données européenne dans le nuage » devant les possibilités « de surveillance par des acteurs publics ou privés » (référence implicite à la soumission et à la participation des grands fournisseurs de services numériques américains aux programmes extraterritoriaux de surveillance et de renseignement des autorités américaines autorisés par le FISA (5)). Ainsi que le montrent les dernières études du marché (6), le nuage européen est plus que jamais sous exploitation américaine – et ainsi sous juridiction extraterritoriale américaine : Amazon Web Services, Microsoft, Google et IBM (les « Big Four » du cloud), dominent largement les capacités européennes (avec des centres de données principalement installés au Royaume- Uni, en Allemagne, aux Pays-Bas et en Irlande), transatlantiques et mondiales d’hébergement distant et chacun des types et modèles de services en nuage. Dans sa communication de 2012, la Commission européenne soulignait ensuite l’enjeu et les conditions de la confiance dans les services en nuage au regard de la responsabilité des fournisseurs, de la jungle des normes et du déséquilibre des contrats dans le nuage, ainsi que du morcellement du marché unique. Ces difficultés tiennent à la diversité des cadres juridiques nationaux et aux incertitudes concernant en particulier la localisation, la propriété et la sécurité des données dans le nuage. La Commission européenne relevait « l’incidence majeure » de la localisation des données sur le cadre juridique applicable et la forte préoccupation de transparence et de conformité des utilisateurs à cet égard à l’endroit de leurs données sensibles. Elle identifiait – dans la confusion des normes et le déséquilibre des contrats – le risque de nuages ne garantissant pas aux utilisateurs la responsabilité, la sécurité, la réversibilité et la portabilité des données hébergées.

Confiance dans le nuage
La communication de 2012 appelait à l’élaboration, pour les services en nuage, de règles de conformité et de dispositifs de certification permettant aux utilisateurs d’utiliser et de choisir en confiance ces services au regard de leurs propres exigences. Dans sa communication de 2014, la Commission européenne annonçait des « actions concernant la transparence des normes, la certification volontaire à l’échelle de l’UE
et des conditions contractuelles sûres et justes pour les utilisateurs » sur la base des recommandations du rapport TCE. Dans ses mesures présentées en avril dernier, elle annonce une « accélération » de l’élaboration de normes communes pour l’informatique en nuage.

Barrières dans le nuage
Enfin, c’est dans sa communication de 2014 que la Commission européenne a abordé et orienté l’enjeu de la circulation des données européennes dans le nuage, sur la base également des recommandations du rapport TCE. Le rapport TCE a dressé une typologie des exigences de localisation des données au sein des Etats membres, présentées comme des barrières réglementaires au développement des services en nuage, en appelant à une élimination des exigences injustifiées et à une harmonisation fondée sur un principe de libre circulation des données dans le nuage à l’intérieur et l’extérieur des frontières de l’UE. Cette typologie est classée par types d’organes prescripteurs (pouvoirs législatifs et réglementaires, autorités de régulation et de supervision, associations professionnelles), par types d’exigences (protection des données personnelles, protection des droits de propriété intellectuelle, confidentialité des données, sécurité des systèmes d’information, exercice des pouvoirs de supervision et de contrôle, souveraineté nationale, sécurité nationale, prévention contre les lois et juridictions étrangères, règles des marchés publics), et par grands secteurs concernés (secteur public, fiscalité, santé, médias, services bancaires et financiers, archives, industrie et consommation).
Dans sa communication de 2014, la Commission européenne a relevé que « dans plusieurs secteurs, les exigences applicables à la localisation des données limitent le flux transfrontière des informations et font obstacle à un marché unique de l’informatique en nuage et des données massives ». Sa communication de 2015 de stratégie de marché unique du numérique (7) a pointé comme restrictives ces exigences des Etats membres de localisation et de conservation des données sur leur territoire, notamment en ce qu’elles « contraignent les prestataires de services en nuage à construire de coûteuses infrastructures locales dans chaque région ou pays », et annoncé son initiative à l’encontre de ces restrictions et pour une libre circulation des données européennes dans le nuage. La Commission européenne a également affiché son intention d’utiliser les négociations commerciales internationales en cours pour éliminer et prévenir ces « nouvelles formes de protectionnisme numérique » (un rapport remis au gouvernement français en avril 2016 par l’IGF et le CGI (8) démontre tout le déséquilibre et le risque d’une telle démarche). On peut ainsi anticiper que son initiative attendue – d’élimination des exigences injustifiées d’hébergement localisé des données pratiquées au sein des Etats membres pour une libre circulation intraeuropéenne et transatlantique de ces données dans le nuage – sera à tout le moins conforme aux attentes et intérêts du « nuage américain » (clairement exprimés dans les positions publiées par l’US Chamber of Commerce et par DigitalEurope).
La France et l’Allemagne ont engagé de leur côté une politique d’offre et de certification de services en nuage souverains (9) La France a lancé une offre de services souverains à travers le projet « Andromède », dont sont issues les offres actuelles de Cloudwatt (Orange) et Numergy (SFR). OVH propose également aujourd’hui une telle offre sur la base de ses capacités installées et administrées en France. L’Allemagne revendique également un « Bundes Cloud » organisé notamment à partir d’une offre
« Cloud Germany » de Microsoft appuyée sur deux centres de données de Microsoft
en Allemagne, avec garantie d’hébergement localisé et sécurisé des données sensibles et administration sous le contrôle d’un tiers de confiance (en l’espèce T-Systems International).

Nuage « souverain »
La France (ANSSI (10)) et l’Allemagne (BSI (11)) collaborent par ailleurs à la mise en place d’un référentiel de sécurité élevé et d’une certification de confiance pour les services en nuage (Cloud Secure) qui pourraient exiger une localisation nationale et/ou européenne des données sensibles et de leurs centres d’hébergement (12). Les débats dans le nuage ne sont pas clos. @

ZOOM

Portée de la directive européenne « SRSI » de juillet 2016
L’informatique en nuage a également été regardée comme une infrastructure critique par la directive européenne sur la sécurité des réseaux et des systèmes d’information (« SRSI ») dans l’Union européenne (UE), adoptée le 6 juillet dernier (13) et applicable
à certains fournisseurs de services numériques, dont les fournisseurs de services d’informatique en nuage, et aux relations entre ces fournisseurs et les opérateurs de services essentiels au fonctionnement de l’économie et de la société (les « opérateurs d’importance vitale » au sens du droit français). Cette directive « SRSI », dont l’ANSSI portera la transposition en France d’ici mai 2018 (14), prescrit aux Etats membres de se doter d’une stratégie et de moyens en vue de garantir un niveau élevé de sécurité (16) sur leur territoire. @