La Commission européenne 2019-2024 part en quête d’un « leadership numérique » face aux GAFA et aux BATX

Entre le marteau des géants américains de l’Internet et l’enclume de leurs homologues chinois, la nouvelle Commission européenne, présidée par Ursula von der Leyen et installée depuis le 1er décembre, va tenter de s’imposer dans le monde numérique. Pas moins de quatre commissaires ont le digital au coeur de leurs attributions.

C’est d’abord sur les épaules de la Danoise Margrethe Vestager (photo) que repose la charge de faire « une Europe préparée à l’ère numérique ». Cet objectif est justement le libellé de ses attributions au sein de la nouvelle Commission européenne, dont elle a été nommée viceprésidente exécutive. Très redoutée des GAFA qu’elle a mis pour certains à l’amende lorsqu’elle était commissaire européenne en charge de la concurrence (2014-2019), la voici en haut de l’affiche dans cette Commission « Leyen » qui remplace la Commission « Juncker » et qui a pris ses quartiers à Bruxelles depuis le 1er décembre pour un mandat de cinq ans (2019-2024). Margrethe Vestager devra composer avec trois autres commissaires européens qui auront eux aussi affaire avec la stratégie digitale du Vieux Continent : la Bulgare Mariya Gabriel qui se retrouve avec le portefeuille « Innovation et Jeunesse » (après avoir été auparavant en charge de l’Economie et de la Société numériques), le Français Thierry Breton qui fait son entrée à Bruxelles avec la responsabilité du Marché intérieur, et le Belge Didier Reynders qui est aussi un nouveau venu pour prendre en charge la Justice.

Vers une nouvelle « loi sur les services numériques »
La réussite ou pas de « l’Europe digitale » dépend donc de ce « quadriumvirat » où chacun a de près ou de loin le numérique dans son portefeuille. « La transition numérique aura des répercussions sur tous les aspects de notre économie et de notre société. Votre tâche consistera à faire en sorte que l’Europe saisisse pleinement le potentiel de l’ère numérique et renforce sa capacité industrielle et d’innovation. Ce sera un élément-clé du renforcement de notre leadership technologique et de notre autonomie stratégique », a écrit la présidente de la nouvelle Commission européenne, Ursula von der Leyen, dans la lettre de mission qu’elle a adressée à Margrethe Vestager. Cela passera par une nouvelle stratégie à long terme pour l’avenir industriel de l’Europe, une maximisation de l’investissement dans la recherche et l’innovation, et une nouvelle stratégie pour les PME et les start-up, « notamment en réduisant la charge réglementaire et en leur permettant de tirer le meilleur parti de la numérisation ». Pour les cent premiers jours du mandat de Margrethe Vestager, la présidente de la Commission européenne lui demande de « coordonner les travaux sur une approche européenne de l’intelligence artificielle (IA), y compris ses Continuer la lecture

Arte fête ses 30 ans et va se « déchaîner » encore plus avec sa plateforme européenne prévue à l’automne 2020

1989-2019 : il y a trois décennies, la « chaîne culturelle franco-allemande » était portée sur les fonts baptismaux par François Mitterrand et Helmut Kohl. L’utopie politique devint réalité avec le « traité interétatique » créant Arte. Grâce au numérique, elle rayonne en Europe et va lancer à l’automne 2020 sa plateforme paneuropéenne.

La décision politique de lancer « une chaîne culturelle franco-allemande » – qui s’est ensuite concrétisée par la création de l’ »Association relative à la télévision européenne », plus connue sous son acronyme Arte – a été prise il y a 30 ans, presque jour pour jour. En effet, le 31 octobre 1989, le ministre de la Culture d’alors, Jack Lang, et la ministre déléguée à la Communication, Catherine Tasca, recevaient à Paris l’Allemande Lothar Späth, à l’époque ministre-président d’un Land (1) et ministre plénipotentiaire chargé des relations culturelles avec la France.
Ce jour-là, une déclaration commune était faite « sur le principe d’une chaîne culturelle franco-allemande dont le siège serait à Strasbourg ». Sans le soutien du président français François Mitterrand et du chancelier allemand Helmut Kohl, qui ont déclaré leur soutien à ce projet audiovisuel dès 1988 à Bonn où se tenaient les 52èmes consultations franco-allemandes, Arte n’aurait sans doute jamais vu le jour. C’est ensuite le 2 octobre 1990, à la veille de la réunification allemande, que les ministresprésidents des Länder et le ministre français Jack Lang signent à Berlin le « traité interétatique » fondateur de « la chaîne culturelle européenne ».

Le « traité interétatique » d’Arte inscrit dans la future loi sur l’audiovisuel ?
A cheval sur deux pays, Arte est une chaîne unique au monde fondée sur un principe d’indépendance, aussi bien statutaire, financière qu’éditoriale. C’est la garantie de pérenniser cette indépendant que l’Allemand Peter Boudgoust, président du groupement européen d’intérêt économique (GEIE), a obtenue discrètement au printemps dernier auprès du ministre français de la Culture, Franck Riester. Arte France ne fera donc pas partie de la future holding de l’audiovisuel public – France Médias (2) – prévue dans le projet de loi de réforme de l’audiovisuel. L’idée de réunir les participations que détiennent France Télévisions (45 %), Radio France (15 %) et l’Ina (15 %) dans le capital d’Arte France – pour que la holding en détienne 75 % – a été évacuée.
L’indépendance capitalistique est donc garantie. Mieux, cette indépendance pourrait être gravée dans le marbre : « La seule chose qui manque pour être totalement rassurés, c’est d’avoir dans le projet de loi de réforme de l’audiovisuel une référence au traité interétatique, mais peut-être… Je suis optimiste », a confié Véronique Cayla (photo), présidente du directoire d’Arte France, le pôle français du GEIE Arte, lors d’un dîner-débat du Club audiovisuel de Paris (CAVP), dont Continuer la lecture

Pourquoi le groupe de médias allemand Axel Springer sort son joker « KKR » face aux GAFAM

C’est le plus grand groupe de médias en Europe. Créé il y a 73 ans par Hinrich Springer et son fils Axel, le groupe Axel Springer réalise aujourd’hui les trois-quarts de son chiffre d’affaires dans le numérique, lequel contribue pour près de 90 % à sa rentabilité. Mais la pression des GAFAM se fait plus forte.

« Le journalisme est l’âme et l’esprit de la société Axel Springer. Notre mission : l’établissement réussi du journalisme indépendant dans le monde numérique. Nous voulons devenir l’éditeur numérique le plus prospère au monde. (…) Environ 16.000 employés travaillent avec passion chez Axel Springer SE : l’éditeur leader du digital en Europe ». Le ton est donné sur le site web Axelspringer.com. Le groupe allemand – encore détenu à 42,6 % par Friede Springer (photo), la veuve du cofondateur Axel Springer (1), et à 9,8 % par les petits-enfants de ce dernier (Axel Sven et Ariane) – est « actif dans plus de 40 pays dans le monde, avec des holdings et des licences sur six continents ». Pourtant, le journalisme – si indépendant soit-il – est passé au second plan sur fond de déclin de la presse papier, derrière les petites annonces.

Impacté par la « taxe GAFA » en France
Ce ne sont plus ses quotidiens allemands Die Welt (fondé en 1946) et Bild (lancé en 1952) que le plus grand conglomérat médiatique européen met en avant, mais désormais ses sites web de petites annonces – les fameuses classifieds : SeLoger (numéro un en France de l’immobilier en ligne), Logic- Immo (également leader en France), LaCentrale (là aussi présent en France dans l’automobile), Immowelt (immobilier en Allemagne), Autobazar.eu (en Slovaquie), ou encore StepStone, Jobsite et Totaljobs (dans les annonces d’emplois). La presse n’est finalement plus vraiment le leitmotiv du groupe allemand, basé à Berlin, mais bien les petites annonces en ligne. Ces classifieds sont devenues son premier relais de croissance et ont généré à elles seules 41 % du chiffre d’affaires d’Axel Springer en 2018, soit 1,3 milliard d’euros sur le total des revenus du groupe (plus de 3,1 milliards), et même 61 % de son résultat brut d’exploitation. Les titres de presse de référence Die Welt et Bild devenant marginaux financièrement dans cette stratégie du « total-digital », c’est ce marché des petites annonces que va  Continuer la lecture

Presse en ligne : les journalistes veulent 50 % des recettes du futur « droit voisin »

Google News, Facebook, MSN, Yahoo News et autres agrégateurs d’actualités vont devoir payer leur écot à la presse en ligne qu’ils utilisent. Mais, en Europe, les éditeurs seront titulaires de ce droit voisin – pas les journalistes qui recevront « une part appropriée » de ces revenus. La moitié ?

« Le principal syndicat des journalistes, le SNJ (1), d’abord hostile à l’instauration d’un droit voisin, y est aujourd’hui favorable », rappelle la députée (LREM) Fannette Charvier, membre de la commission des affaires culturelles et de l’éducation à l’Assemblée nationale, selon ses propos rapportés dans le rapport du député (Modem) Patrick Mignola (photo) du 30 avril sur la proposition de loi sur la création
d’« un droit voisin au profit des agences de presse et des éditeurs de presse ».

Une « part égale » comme « part appropriée »
C’est sans compter sur le fait que le SNJ et la Fédération européenne des journalistes (FEJ), dont il est membre, ne veulent pas que ce droit voisin soit versé entièrement aux éditeurs de presse, lesquels devront reverser leur quotepart à leurs journalistes dans le cadre d’accords d’entreprises. Les journalistes – ils sont 35.047 dotés d’une carte de presse en France – sont déçus par l’article 3 de la proposition de loi qui prévoit en effet un « droit à une part appropriée et équitable de la rémunération », mais dont « les modalités de sa répartition entre les auteurs concernés sont fixées dans des conditions déterminées par un accord d’entreprise ou, à défaut, par tout autre accord collectif ».
Le compte risque donc de ne pas y être.
Avec le SNJ-CGT et la CFDT-Journalistes, la FEJ – représentant pas moins de 320.000 journalistes en Europe et elle-même membre de la Fédération internationale des journalistes (FIJ) – et le SNJ appellent à « aller plus loin, en prévoyant dans la loi un partage égal entre les éditeurs et les auteurs du revenu administré dans le cadre d’un système de gestion collective ». Les organisations de journalistes demandent que soient « concomitantes (…) la détermination des clés de répartition de la rémunération entre plateformes et éditeurs d’une part, et entre éditeurs et journalistes d’autre part » (2). De son côté, le député (LFI) Michel Larive met en garde le 9 mai : « L’article 3 ne pose aucune condition permettant aux journalistes de percevoir un seuil minimal de
20 %, 30 % ou encore 50 % de rémunération » (3). Sur la même longueur d’onde,
la Société civile des auteurs multimédias (Scam) a regretté le même jour que « le Parlement [soit] sur la mauvaise voie ». Elle « s’inquiète vivement du sort que ce texte s’apprête à réserver aux journalistes, photographes, dessinateur-rices de presse ». Cette société de gestion collective, qui rassemble 40.000 auteurs, dénonce le fait que ce futur droit voisin ne soit envisagé qu’au profit des éditeurs de presse. « La part réservée aux journalistes serait, quant à elle, renvoyée à des accords collectifs (ou accords d’entreprise). Ce choix fragilise la situation des journalistes alors que les organismes de gestion sont les plus à même de gérer la part de rémunération qui leur revient », regrette la Scam présidée par Hervé Rony. Qui garantira aux journalistes un paiement équitable et en toute transparence d’une juste rémunération ? D’autant que la directive européenne sur le droit d’auteur dans le marché unique numérique (4), publiée au JOUE du 17 mai 2019, prévoit que « les auteurs dont les œuvres sont intégrées dans une publication de presse devraient avoir droit à une part appropriée des revenus que les éditeurs de presse perçoivent des prestataires de services de la société de l’information pour l’utilisation de leurs publications de presse » (considérant 59).
Pour éviter que les journalistes ne soient les dindons de la farce, la député (LR) Constance Le Grip avait déposé le 26 avril un amendement pour éviter un « décalage » entre la proposition de loi française et la directive européenne. Elle a proposé que « la part des journalistes soit liée au niveau de la rémunération perçue par les entreprises de presse » et que « cette “part appropriée” [soit déterminée en prenant] en considération le montant des droits d’auteur perçus par les journalistes », et enfin
qu’« en l’absence d’accord, le pouvoir réglementaire pourrait fixer les niveaux de rémunération » (5). Mais lors de l’examen en commission des affaires culturelles et
de l’éducation de l’Assemblée nationale, le 30 avril, Patrick Mignola lui a demandé de retirer son amendement.

Journalistes : quel « mécanisme de secours » ?
Le rapporteur de la proposition de loi « Droit voisin » lui a expliqué que Laurence Franceschini – ex-directrice de la DGMIC du ministère de la Culture, actuelle médiatrice du cinéma et l’auteure du rapport de février 2018 remis au CSPLA (6) sur l’application du droit voisin des éditeurs de publications de presse – avait évoqué « la possibilité
que ce mécanisme de secours dans la négociation [entre les journalistes et leurs employeurs] s’insère dans le cadre de la Commission des droits d’auteur des journalistes (CDAJ) ». Le dialogue avec elle devrait donc se poursuivre. A suivre… @

Charles de Laubier

Sécurité des systèmes d’information et des données personnelles : nul ne peut ignorer ses responsabilités

RSI, NIS, OSE, OIV, PSC, EBIOS, RGPD, SecNumCloud, … Derrière ces acronymes du cadre réglementaire numérique, en France et en Europe, apparaissent les risques et les obligations en matière de sécurité des systèmes d’information et des traitements de données personnelles.

Par Christophe Clarenc, avocat, Cabinet DTMV & Associés

Les rapports d’activité pour 2018 publiés mi-avril (1) par, respectivement, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le « régulateur de la sécurité numérique » en sa qualité d’autorité en charge de la cybersécurité nationale,
et la Commission nationale de l’informatique et des libertés (Cnil), en charge de la sécurité des traitements de données personnelles, offrent et permettent un tour d’horizon rapide des évolutions réglementaires et de l’état des responsabilités en la matière.

Une réglementation évolutive
Au plan réglementaire, on doit tout d’abord mentionner la loi n° 2018-133 du 26 février 2018, le décret 2018-384 du 23 mai 2018 et l’arrêté du 14 septembre 2018 qui sont venus assurer la transposition en France de la directive européenne du 6 juillet 2016, dite « NIS », sur la sécurité des réseaux et systèmes d’information (RSI) des
« opérateurs de services essentiels » (2) (OSE) et des grands « fournisseurs de services numériques » (3) (FSN). Cette réglementation est supervisée en France
par l’ANSSI et dans la ligne de son dispositif de protection des RSI des opérateurs d’importance vitale (OIV) (4). Elle soumet les OSE et les FSN pour la protection de leurs RSI critiques à un régime de « règles de sécurité nécessaires pour garantir un niveau de sécurité adapté au risque existant compte tenu de l’état des connaissances », et de déclaration des incidents et de contrôle.
Cette réglementation définit et prescrit pour les OSE l’ensemble des « mesures appropriées » pour tout à la fois prévenir, limiter l’impact et gérer les incidents et compromissions de sécurité. Les règles de sécurité prescrites pour les FSN sont établies dans un règlement d’exécution du 30 janvier 2018 (5). Ces règles et mesures sont définies dans cinq « domaines » : celui de la « gouvernance » des RSI concernés (6) (analyse de risque, politique de sécurité décrivant l’ensemble des procédures et
des moyens organisationnels et techniques de sécurité mis en oeuvre, homologation
et audits de sécurité, cartographie (7)) ; celui de leur « protection » (architecture, administration, identités et accès), celui de leur « défense » (détection et traitement des incidents) ; et celui de la « résilience des activités » (gestion de crise en cas d’incident de sécurité ayant un impact majeur sur la fourniture des services essentiels en cause). Ces règles établissent le champ et les mesures de référence de la protection responsable des systèmes d’information critiques.
On peut ensuite mentionner le règlement européen sur la cybersécurité (8), voté en mars 2019 par le Parlement européen, qui vient, d’une part, donner mandat permanent et compétences à l’ENISA, l’Agence européenne chargée de la sécurité des RSI (9), d’autre part, établir une cadre pour la mise en place d’un « système européen de certification de cybersécurité » pour les processus, produits et services des technologies de l’information et de la communication (TIC). Ce dispositif, qui pourrait devenir un ressort essentiel du « marché unique numérique », devra s’articuler avec
les compétences de souveraineté et les intérêts normatifs et industriels fondamentaux des Etats membres avancés dans ce domaine, dont la France avec l’ANSSI. Les deux chambres du Parlement français avaient émis fin 2017 alerte et réserve sur ce point.
Le dispositif prévoit que la Commission européenne proposera la liste prioritaire des processus, produits et services TIC susceptibles d’être soumis à ce système de certification et que la certification, structurée en trois « niveaux d’assurance » (élémentaire, substantiel et élevé) procédera par démarche volontaire des acteurs intéressés.

Référentiels et socle de conformité
L’ANSSI a présenté en 2018 sa méthode EBIOS Risk Manager de référence pour l’analyse des risques de sécurité numérique et l’élaboration d’un « socle de sécurité solide appliquant les référentiels pertinents vis-à-vis de l’état de l’art (10) et de la réglementation », en vue notamment d’un label de conformité pour les éditeurs de solutions logicielles de gestion des risques et de la conformité. Le « régulateur de
la sécurité numérique » s’est également intéressé spécifiquement à la sécurité des données personnelles, en faisant évoluer son référentiel SecNumCloud pour intégrer les exigences du règlement général sur la protection des données (RGPD) et en publiant pour la matière des recommandations (« commandements de base »,
« précautions élémentaires ») tirées et adaptées de son guide d’hygiène informatique. Ce référentiel SecNumCloud concerne les prestations de services d’informatique en nuage (PSIN). Il fait partie des référentiels d’exigences et de labellisation développés par l’ANSSI pour qualifier les « prestataires de services de confiance » (PSC) (11).

Incidents, risques et manquements
La Cnil a elle-même publié en 2018 un guide de sécurité des données personnelles (12), consolidant et développant ses recommandations antérieures. Elle souligne dans son rapport pour 2018 que les « mesures de précautions élémentaires » rappelées dans les recommandations de son guide et de celui de l’ANSSI permettent de prévenir ou de limiter l’impact de nombreuses violations de données personnelles et « doivent aujourd’hui être le socle minimum sur lequel toute organisation fait reposer son système d’information ». D’autant que le RGPD, entré en vigueur en mai 2018, « impose à tous les organismes qui traitent des données personnelles de mettre en place des mesures pour prévenir les violations de ces données » et de pouvoir « apporter la preuve de
leur conformité ». En effet, le RGPD place la « garantie de sécurité appropriée » des données personnelles parmi les « principes » de conformité et de responsabilité du traitement des données personnelles, avec la responsabilité de « mettre en oeuvre des mesures techniques et organisationnelles appropriées pour assurer et être en mesure de démontrer que le traitement est effectué conformément au règlement » (13). La mise en oeuvre du « socle de sécurité » recommandé aura ainsi vocation à constituer la preuve de la conformité à l’obligation de garantie de sécurité appropriée des données personnelles traitées, obligation de moyen renforcée et de moyens effectifs à l’état de l’art, en particulier dans le cadre de la notification obligatoire d’une violation de données susceptible de révéler non seulement un défaut de sécurité causal mais une politique de sécurité défaillante.
L’ANSSI rapporte la survenance en 2018 de 1.869 signalements d’événements de sécurité, dont 391 incidents (hors OIV) et 16 incidents majeurs, contre respectivement 2.435, 794 et 20 en 2017. Elle rappelle l’étendue et l’intensité constantes des menaces et des risques de cybersécurité (sabotage, déstabilisation, espionnage, captations, fraudes, etc.), en soulignant que l’espionnage est le risque qui pèse le plus fortement sur les organisations, à travers notamment des attaques indirectes exploitant des relations de confiance établies entre parties prenantes. Le rapport publié en mai 2018 par la Délégation interministérielle aux industries de sécurité et à la lutte contre les cybermenaces (DMISC) sur l’état de la menace numérique en 2018 présente un tableau instructif des attaques, des fraudes et des dommages enregistrés avec le développement notamment du « crimeas- a-service » (CaaS) et souligne le risque majeur des objets connectés, à la fois cibles et vecteurs d’attaques, dont la sécurité n’est souvent pas la préoccupation principale de leurs fabricants. Il note par ailleurs que si la grande majorité des entreprises françaises sont touchées par des cyberattaques et que la France est le deuxième pays au monde le plus affecté par les vols de données personnelles, « la sécurité représente moins de 5 % du budget IT dans près de deux tiers des entreprises ». La Délégation parlementaire au renseignement a pu constater dans son rapport publié en avril 2018 que le tissu économique français « pâtit encore d’une culture de sécurité, notamment informatique, très largement déficitaire ». Pour sa part, la CNIL mentionne la poursuite en 2018 de nombreux signalements de violations de données personnelles issues de failles de sécurité et la réception entre fin mai 2018 (entrée en vigueur du RGPD) et fin décembre 2018 de 1.170 notifications de violations à la suite principalement d’atteintes à la confidentialité. De son analyse de ces notifications, elle a constaté tout d’abord que plus de 50 % des violations avaient pour cause un acte externe malveillant (principalement par piratage cyber et secondairement par vol physique) et environ 17 % un acte interne accidentel (principalement par adressage à un mauvais destinataire et secondairement par publication non volontaire). Ensuite, que ces violations mettaient « en évidence des faiblesses des systèmes d’information ou des processus mis en oeuvre au sein des entreprises ».
Tout comme en 2017, la majorité des sanctions (7 sur 10) et les montants les plus élevés de sanctions pécuniaires prononcés par la Cnil en 2018 l’ont été pour des manquements à la sécurité et à la confidentialité des données des utilisateurs ou des clients (14). Ces montants restent néanmoins limités au regard de la gravité des manquements des atteintes constatées.

Sanctions des carences ou insuffisances
La Cnil souligne que ce ne sont pas les incidents de sécurité en tant que tels qu’elle
a sanctionnés, mais les carences ou les insuffisances manifestes dans les mesures prises pour assurer la sécurité, causales dans les violations constatées y compris dans les cas d’intrusions élaborées. Les motifs de manquement et les montants de sanctions pourraient se développer fortement sur la base du RGPD, et avec une meilleure répartition entre les différentes parties prenantes à la sécurité des traitements. Il sera également instructif de suivre le traitement par la DGCCRF du signalement que lui
a adressé la Cnil en novembre 2017, dans l’affaire de la sécurisation des jouets connectés (15), au regard des « enjeux de sécurité et de conformité qui persistent
en dehors du champ d’application de la loi “Informatique et Liberté” ». @