Avec sa filiale de production Newen, présidée par Fabrice Larue, TF1 cherche à se mesurer à Netflix et Amazon

Il y a plus de deux ans, TF1 s’emparait de 70 % du capital de la holding FLCP de Fabrice Larue – alors rebaptisée Newen Studios, chapeautant les filiales Newen (production audiovisuelle) et Neweb (activités digitales). Pour compenser les chaînes nationales stagnantes, l’international est un relais de croissance vital.

(Le 5 avril 2018, TF1 annonce un accord pour acquérir les 30 % restants de Newen)

Au moment où les géants mondialisés Netflix et Amazon vont investir cette année respectivement plus de 7,5 milliards de dollars et 4,5 milliards de dollars dans la production de séries et de films, le groupe TF1 se sent de plus en plus à l’étroit dans ses frontières nationales. Si les chaînes locales ne sont pas exportables, la production l’est. Et c’est une aubaine pour la filiale du groupe Bouygues, confrontée à la stagnation voire à l’érosion de ses audiences à l’antenne, et donc condamnée à aller chercher des relais de croissance à l’international en (co)produisant des contenus. Quitte à pactiser avec ses deux plus gros concurrents : Netflix et Amazon. « Nous produisons la série “Osmosis”pour Netflix. C’est eux qui sont venus nous chercher, via notre bureau de Londres et ils voulaient que cela soit fait par les producteurs de la série “Versailles”, donc Capa [une des filiales de Newen, ndlr]. C’est prévu pour fin 2018-début 2019. Le tournage, en français, devrait commencer l’été prochain – en Ile-de-France », a confié le 15 mars Fabrice Larue (photo), président de Newen Studios.

Le risque assumé de produire pour Netflix et Amazon
Filiale depuis deux ans du groupe TF1, qui détient 70 % de son capital (ce dernier pouvant acheter les 30 % restants « à compter de 2018 » et « sur une période de 5 ans), cette holding – présente à la fois dans la production audiovisuelle (Newen) et dans des activités Internet (Neweb (1)) – produit aussi pour Amazon. « Nous faisons pour Amazon en France la coproduction de la série “Deutsch-Les-Landes”, tandis que notre partenaire allemand Bavaria le fait pour Amazon en Allemagne », a-t-il indiqué. Diffusion sur Amazon Prime Video : fin 2018. Plutôt discret depuis qu’il est passé sous la coupe du groupe TF1 début 2016, Fabrice Larue s’est exprimé ainsi devant l’Association des journalistes médias (AJM). A la question de savoir s’il y avait d’autres projets avec Netflix et Amazon, sa réponse fut « Non ». Edition Multimédi@ lui a demandé si travailler avec des GAFAN, dont les investissements dans la production sont colossaux, ne présentait pas tout de même un risque pour TF1. Autrement dit, Lire la suite

Doublement empêtré en Italie, Vivendi espère un dénouement rapide pour lancer son « Netflix latin »

Président du directoire de Vivendi et président de Telecom Italia, dont Vivendi est le premier actionnaire, Arnaud de Puyfontaine cherche à sortir de deux conflits en Italie pour lancer « un géant latin des contenus » autour d’une alliance « Canal+Tim » et concurrencer ainsi Netflix et Amazon Video.

La présence du groupe français Vivendi dans le capital de Telecom Italia (Tim), dont il est le premier actionnaire à hauteur de 24 %, tourne à l’imbroglio politico-industriel. C’est même devenu une affaire d’Etat en Italie, où le gouvernement a ouvert une procédure contre l’opérateur télécoms historique italien Tim et indirectement contre son premier actionnaire le groupe français Vivendi, lequel est accusé de ne pas avoir notifié aux autorités italiennes qu’il en détenait le contrôle de fait.
Pour le gouvernement italien, cette omission est d’autant plus fâcheuse et contestable qu’il considère Tim et son réseau – qu’il exige d’être mis dans une entité séparée – comme un actif stratégique, et que l’Etat italien estime avoir été floué en dépit de ses pouvoirs spéciaux (golden power). Reste à savoir quel sera le montant de l’amende dont va écoper Vivendi. Bref, difficile de démêler l’écheveau de ce conflit et Arnaud de Puyfontaine (photo), à la fois président du directoire de Vivendi et président de Telecom Italia, n’est pas au bout de ses peines.

Vivendi, actionnaire contesté de Tim et de Mediaset
A cela s’ajoute la bataille judiciaire que se livrent, toujours dans « La botte », Mediaset et Vivendi sur une affaire connexe où le français s’était engagé à racheter 100 % du « Canal+ » italien, Mediaset Premium (1) avec participations croisées de 3,5 % entre Vivendi et Mediaset. L’objectif affiché était alors de concurrencer Netflix dans la vidéo à la demande par abonnement (SVOD). C’est empêtré dans ces deux affaires italiennes que Arnaud de Puyfontaine doit se démener pour tenter de faire émerger une stratégie européenne digne de ce nom, afin de faire contrepoids aux deux géants américains de la SVOD que sont Netflix et Amazon, ainsi qu’au poids lourd de la vidéo YouTube.
Car tel est bien le but de Vivendi depuis que Vincent Bolloré en a pris le contrôle et en assure la présidence du conseil de surveillance. Il y a près de deux ans, le 8 avril 2016, le patron milliardaire annonçait « un partenariat stratégique et industriel » avec le groupe Mediaset appartenant à la holding Fininvest du non moins milliardaire Silvio Berlusconi. L’ambition était clairement de donner naissance à un nouveau géant « latin » des contenus et des médias. Le projet Lire la suite

Vous aimez déjà les GAFA américains ? Vous allez bientôt adorer les BATX chinois !

Google, Apple, Facebook et Amazon pour GAFA : les géants américains du
Net sont connus de tous. Baidu, Alibaba, Tencent et Xiaomi pour BATX : leurs homologues chinois restent à découvrir. Edition Multimédi@ passe en revue
ces chinois qui se mettent en quatre pour conquérir le monde, dont l’Europe.

Les BATX sont valorisés ensemble jusqu’à 1.246 milliards de dollars, contre
2.895 milliards de dollars pour les GAFA (au 25-01-18). Mais Tencent dépasse la capitalisation boursière de Facebook et investit dans Spotify, Snap et Skydance.
La bataille de titans est engagée. Alibaba s’étend en Europe jusqu’en France. Xiaomi débarque en Espagne. Baidu, déjà présent à Amsterdam avec Baidu TV, arrive… en voiture autonome.

Le B de Baidu
Création : 18 janvier 2000. Siège : Pékin
PDG cofondateur : Li Yanhong « Robin » (photo) Principales activités : premier moteur de recherche
en Chine (le « Google chinois »), plateforme vidéo
iQiyi, contenus multimédias (musiques, films, séries,
jeux vidéo, …), publicité en ligne, cloud, etc.
Audience : 800 millions d’utilisateurs actifs
Chiffre d’affaires 2016 : 11 milliards de dollars
Résultat net 2016 : 2 milliards de dollars
Capitalisation boursière (au 25-01-18) : 89,2 milliards de dollars (« BIDU »
au Nasdaq)
Investissements ou partenariats récents : avec BlackBerry dans les voitures autonomes (2018), avec Microsoft dans la voiture autonome (2017), Continental
dans la voiture autonome (2017), dans l’intelligence artificielle, etc. @

 

• Le A de Alibaba
Création : 4 avril 1999. Siège : Hangzhou
PDG cofondateur : Jack Yun Ma (photo)
Principales activités : numéro un du e-commerce en Chine avec Alibaba.com (« Amazon chinois »), plateforme vidéo Youku Tudou (« YouTube chinois »), le microblogging Sina Weibo (« Twitter chinois »), place de marché d’enchères Taobao (Tmall.com, « eBay chinois »),
e-paiement Alipay, boutique 9Apps, cloud alias Aliyun, publicité en ligne, magasins en dur, etc.
Audience : 550 millions d’utilisateurs actifs sur mobile
Chiffre d’affaires 2017 : 24 milliards de dollars Résultat net 2017 : 6 milliards de dollars
Capitalisation boursière (au 25-01-18) : 500,7 milliards de dollars (« BABA » au Nyse)
Investissements ou partenariats récents : en France un centre de logistique (2018), Alibaba Cloud en Allemagne, avec Auchan/Sun Art en Chine (2017), etc. @

 

• Le T de Tencent
Création : 11 novembre 1998. Siège : Shenzhen
PDG cofondateur : Ma Huateng « Pony » (photo) Principales activités : messagerie instantanée QQ,
portail web QQ.com, application mobile de messagerie-réseau social-boutique WeChat (alias Weixin), plateforme de musique en ligne Tencent Music, éditeur de jeux vidéo comme « Honor of Kings », plateforme de gaming WeGame, etc.
Audience : Plus de 980 millions d’utilisateurs actifs sur WeChat
Chiffre d’affaires 2016 : 22 milliards de dollars
Résultat net 2017 : 6 milliards de dollars Capitalisation boursière(au 25-01-18) : 556,5 milliards de dollars (« 700:HK » Hong Kong)
Investissements ou partenariats récents : entrée au capital de Skydance (2018), ralliement de Google en Chine (2018), partenariat avec Carrefour (2018), participations croisées avec Spotify (2017), participation dans Tesla pour la voiture électrique (2017), participation dans Snap (2017), avec Ubisoft dans les jeux mobiles en Chine (2018), avec Lego dans jeux en ligne/réseau social (2017), dans la voiture autonome, dans le streaming musical avec Alibaba en Chine, etc. @

 

• Le X de Xiaomi
Création : 6 avril 2010. Siège : Pékin
PDG cofondateur : Lei Jun (photo)
Principales activités : cinquième fabricant mondial de smartphones (Mi Phone, Redmi Phone), fabricant ses propres microprocesseurs (le « Apple chinois »), fabricant de téléviseurs (Mi TV), et de « box » multimédia (Mi Box)
et d’ordinateurs ultraportables (Mi Notebook), fabricant d’objets connectés, cloud (Mi Cloud), etc.
Ventes : environ 110 millions de smartphones en 2017 (estimation sur 7,4 % de PDM) Chiffre d’affaires 2017 : 17 ou 18 milliards de dollars
Résultat net 2017 : au moins 1 milliard de dollars
Valorisation financière (introduction en Bourse en 2018) : 50 à 100 milliards de dollars Investissements ou partenariats récents : en Europe de l’Ouest avec une première implantation en Espagne (2017), malgré son échec pour y enregistrer sa marque de tablette « Mi Pad » (contestée par Apple), accord de licence de brevets avec Nokia (2017), accord de licence de brevets avec Microsoft (2016), etc. @

Uber : un service électronique d’intermédiation de transport, mais pas de la société de l’information

Le 20 décembre 2017, la Cour de justice de l’Union européenne (CJUE) a rendu un arrêt (1) important qui tranche une incertitude au niveau de la qualification juridique des services proposés par la nouvelle économie numérique. Uber est concerné au premier chef, mais il n’est pas le seul.

Fabrice Lorvo*, avocat associé, FTPA.

Rappelons ce truisme selon lequel la révolution numérique a profondément modifié le monde économique. Mais aussi le monde juridique. A quelle catégorie juridique existante rattacher ces nouveaux « services » ? On rappellera que la qualification juridique est le pain quotidien des juristes ; elle consiste à rattacher un acte ou un fait à une catégorie et lui appliquer la règle de droit afférant. Ce processus se décompose en deux phases : d’abord choisir les éléments caractéristiques du fait ou de l’acte, puis le rattacher à une catégorie existante et lui appliquer la règle de droit.

Service mixte d’Uber : de quel droit ?
Pour reprendre la belle métaphore de la commode (2) : il faut d’abord choisir l’étoffe que l’on souhaite ranger, pour déterminer, ensuite, le tiroir dans lequel elle sera rangée. Or, le numérique a dématérialisé l’étoffe ou lui a rajouté une étape, de sorte que l’on est confronté à des difficultés pour choisir le tiroir ! C’est Uber et son modèle économique qui, une fois de plus, posaient des interrogations. Après celles du droit de la concurrence, de la protection des consommateurs et du droit de travail, il s’est posé la question de savoir si le fonctionnement d’Uber relevait du droit de l’Union européenne (UE) ou des Etats membres. Les faits sont simples et la question s’est posée dans de nombreux pays européens.
En 2014, une association professionnelle de chauffeurs de taxi de la ville de Barcelone (Espagne) a assigné devant un tribunal espagnol Uber Systems Spain SL, société liée à Uber Technologies Inc., en prétendant que cette dernière fournit une activité de transport sans autorisation. On rappellera que le numéro un mondial des services de voitures de tourisme avec chauffeur (VTC) fournit, au moyen d’une application pour téléphone intelligent, un service rémunéré de mise en relation de chauffeurs non professionnels utilisant leur propre véhicule avec des personnes souhaitant effectuer des déplacements urbains. Le service proposé par Uber est mixte. Une partie est réalisée par voie électronique (la réservation, l’approche, le paiement), et l’autre est réalisée physiquement par une opération traditionnelle de transport (le trajet proprement dit). Dans tous les cas, ni Uber ni ses chauffeurs non professionnels des véhicules concernés ne disposent des licences et des agréments prévus par le droit espagnol. L’association professionnelle a considéré que les activités d’Uber constituaient des pratiques trompeuses et des actes de concurrence déloyale et a demandé au tribunal de commerce espagnol d’interdire à Uber d’exercer cette activité
à l’avenir. Le juge espagnol a considéré que la solution du litige dépendait du point de savoir si Uber devait, ou non, disposer d’une autorisation administrative préalable en Espagne.
A cette fin, il convenait de déterminer si les services fournis par cette société doivent être regardés comme étant des services de transport (compétence des Etats membres), ou des services propres à la société de l’information (droit de l’UE), ou une combinaison de ces deux types de services. Le juge espagnol a décidé de surseoir à statuer et de poser à la Cour de justice de l’Union européenne (CJUE) une question préjudicielle portant uniquement sur la qualification juridique du service en cause. La CJUE a relevé qu’un « service électronique d’intermédiation » – consistant à mettre en relation un chauffeur non professionnel utilisant son propre véhicule et une personne qui souhaite effectuer un déplacement urbain – constitue, en principe, un service distinct du service de transport qui consiste en l’acte physique de déplacement de personnes ou de biens d’un endroit à un autre au moyen d’un véhicule. De plus, chacun de ces services, pris isolément, est susceptible d’être rattaché à différentes directives ou dispositions du traité sur le fonctionnement de l’UE (TFUE) relatives à la libre prestation de services.

Intermédiation avec le monde physique
En effet, un service électronique d’intermédiation – qui permet la transmission au moyen d’une application pour téléphone intelligent des informations relatives à la réservation du service de transport entre le passager et le chauffeur non professionnel utilisant son propre véhicule qui effectuera le transport – répond, en principe, aux critères pour être qualifié de « service de la société de l’information » (3). Et ce, dès lors qu’il s’agit d’un « service presté normalement contre rémunération, à distance par voie électronique et à la demande individuelle d’un destinataire de services ». Dans ce cas, aucune autorisation ne doit être demandée à l’Etat membre. En revanche, un service de transport urbain non collectif, tel qu’un service de taxi (service physique), doit être qualifié de « service dans le domaine des transports » et relève de la compétence de l’Etat membre.

Uber a créé son propre marché
Dans ces conditions, faut-il faire une application distributive ou appliquer un seul régime si une prestation était considérée comme l’accessoire de l’autre. Dans ce dernier cas, quel serait le service qui prévaudrait, le service électronique ou le service physique ? D’après la CJUE, la prestation d’Uber ne se résume pas à un service électronique.
En effet, le fournisseur de ce service d’intermédiation crée en même temps « une offre de services de transport urbain, qu’il rend accessible notamment par des outils informatiques, tels que l’application en cause au principal, et dont il organise le fonctionnement général en faveur des personnes désireuses de recourir à cette offre aux fins d’un déplacement urbain ».
La CJUE considère que l’application d’Uber crée son propre marché car elle fournit
« une application sans laquelle, d’une part, ces chauffeurs ne seraient pas amenés à fournir des services de transport et, d’autre part, les personnes désireuses d’effectuer un déplacement urbain n’auraient pas recours aux services desdits chauffeurs ». C’est bien là la différence des services d’Uber avec d’autres services d’intermédiation qui vendent par exemple des billets d’avion ou des nuitées d’hôtel. Dans ce dernier cas, le marché est autonome. Sans ces applications, vous pourrez toujours acheter les mêmes prestations directement auprès de la compagnie d’aviation ou de l’hôtel. À l’inverse, sans application d’Uber, les services des chauffeurs non professionnels (c’est-à-dire sans licence) ne pourraient pas être sollicités ou seraient qualifiés de taxis clandestins. La plateforme d’Uber constitue donc le seul moyen de commercialiser leurs services.
La CJUE a été plus loin car elle a constaté d’autres particularités dans la prestation d’Uber qui ont permis de caractériser un lien indissociable entre le service électronique et le service de transport. En effet, Uber exerce « une influence décisive sur les conditions de la prestation de tels chauffeurs » car Uber établit, au moyen de son application, « à tout le moins le prix maximum de la course, que cette société collecte ce prix auprès du client avant d’en reverser une partie au chauffeur non professionnel du véhicule, et qu’elle exerce un certain contrôle sur la qualité des véhicules et de leurs chauffeurs ainsi que sur le comportement de ces derniers, pouvant entraîner, le cas échéant, leur exclusion ». La CJUE relève donc que l’application d’Uber est indissociablement liée à un service de transport. Il ne s’agit pas d’un simple service électronique, qui mettrait en relation une offre et une demande. La prestation est globale, Uber contrôlant ou ne pouvant que contrôler la plupart des maillons de la chaîne.
Comme l’a relevé l’avocat général (4), « Uber est un véritable organisateur et opérateur de services de transport urbain dans les villes dans lesquelles il est présent ». En conséquence, la CJUE juge que le service d’intermédiation d’Uber doit donc être considéré comme faisant partie intégrante d’un service global dont l’élément principal est un service de transport et, partant, comme répondant à la qualification non pas
de « service de la société de l’information », mais de « service dans le domaine des transports », or ce dernier service est exclu du principe de la liberté de prestation de services et relève de la compétence exclusive des Etats membres. La décision préjudicielle rendue par la CJUE devrait donc conduire les juridictions espagnoles à considérer qu’Uber et ses chauffeurs non professionnels exercent leurs activités en violation du droit espagnol qui soumet cette activité à une autorisation. Il est donc probable qu’Uber sera condamné pour pratiques trompeuses et actes de concurrence déloyale (5). Le dossier à l’origine de l’arrêt remonte à 2014. C’est maintenant à la justice espagnole de trancher en fonction de la décision préjudicielle de la CJUE. Cette affaire judiciaire est suivie de près par la France, mais aussi par la Grande-Bretagne, ainsi que par l’ensemble des pays européens confrontés au modèle économique d’Uber.
S’agit-il d’un coup de grâce juridique donné par un vieux monde qui refuserait les bouleversements de la société numérique ? Nous ne le pensons pas. L’analyse faite par l’avocat général est très riche d’enseignement.

Liberté de prestation de services
Pour pouvoir être qualifié de « service de la société de l’information », et bénéficier
de la liberté de prestation de services, il faut : que la prestation soit exclusivement composée d’un élément fourni par voie électronique ; que, dans le cas de services mixtes (composés d’un élément fourni par voie électronique et d’un autre qui n’est pas fourni par cette voie), l’élément fourni par voie électronique soit économiquement indépendant, ou principal, par rapport au second. L’utilisation du numérique dans une prestation ne doit pas être une caution pour dispenser les nouveaux acteurs des contraintes que pèsent sur ceux qui exercent la même activité sans le numérique. @

* Auteur du livre « Numérique : de la révolution au naufrage ? »,
paru en 2016 chez Fauves Editions.

Paiement en ligne et sur mobile : l’Europe ouvre la voie bancaire aux « fintech », aux GAFA et aux BATX

Depuis le 13 janvier 2018, la directive européenne sur les services de paiement
– dite DSP2 – est en vigueur. C’est une étape décisive pour le marché unique numérique : donner accès aux informations des comptes bancaires, afin d’ouvrir à la concurrence le marché des paiements en ligne ou sur mobile.

« Cet acte législatif constitue une nouvelle étape dans la création d’un marché unique numérique dans l’Union européenne (UE). Il encouragera le développement de systèmes de paiement en ligne et mobiles innovants, ce qui stimulera l’économie et la croissance. Avec l’entrée en application de la DSP2, la surfacturation appliquée aux cartes de débit et de crédit des consommateurs devient interdite. Les consommateurs de l’UE pourraient ainsi économiser plus de 550 millions d’euros par an (1). Ils bénéficieront aussi d’une protection accrue lorsqu’ils effectuent des paiements », a déclaré Valdis Dombrovskis (photo), vice-président de la Commission européenne,
en charge de la stabilité financière, des services financiers et de l’union des marchés des capitaux. Tout est dit.

Deux « fintech » : PSP tiers ou PSIP
Au moment où se tient à Paris le « Fintech Forum », les 30 et 31 janvier 2018 au Palais Brongniart, les nouvelles règles de l’open banking édictées par cette directive européenne sur les services de paiement – dite DSP2 (pour deuxième directive sur les services de paiement ou, en anglais, PSD2 pour Payment Services Directive) – arrivent pour mettre de l’ordre dans ce nouvel eldorado de la « fintech », marché né à la croisée des chemins entre la finance et la technologie. Concrètement, ces règles permettront d’élargir et d’améliorer le choix sur le marché des consommateurs des paiements de détail unique numérique de l’UE, tout en instaurant des normes de sécurité plus strictes pour les paiements en ligne pour renforcer la confiance des consommateurs dans le e-commerce. Avec la DSP2, c’est la consécration des sociétés de technologie financière que sont les start-up de la « fintech », mais aussi une voie royale pour les GAFA américains et les BATX chinois (lire p. 4). Apple ne propose-t-il pas son propre système de paiement mobile ? Facebook ne permet-il pas le transfert d’argent via sa messagerie Messenger ? Tencent est un incontournable du paiement mobile via WeChat. Tandis que les opérateurs télécoms, à l’instar d’Orange Bank, sont tentés de jouer eux aussi les banquiers. Ces nouveaux entrants sur le marché du paiement en ligne sont aussi appelés « prestataires de services de paiement tiers » (PSP tiers), tels que Bankin’ (2), Linxo ou Lydia en France, lesquels sont : soit des prestataires de services d’initiation de paiement (PSIP), qui offrent d’initier les paiements pour le compte de clients (donnant ainsi l’assurance aux détaillants que l’argent est en route), soit des agrégateurs et prestataires de services d’information sur les comptes (PSIC), qui fournissent à leurs clients une vue d’ensemble des comptes et soldes disponibles. Les consommateurs et les entreprises en Europe seront désormais en mesure d’autoriser l’accès à leurs données de paiement à des PSP tiers, lesquels peuvent être des
« fintech », mais aussi d’autres banques. « Les PSP tiers ne pourront pas accéder
à des données du compte de paiement autres que celles ayant fait l’objet d’une autorisation expresse du client », prévient cependant la Commission européenne (3).

De plus, les titulaires de compte peuvent exercer un contrôle sur la transmission de leurs données à caractère personnel aussi bien au titre de la DSP2 qu’au titre du règlement général sur la protection des données (RGPD) applicable à partir du 25 mai 2018. Mais pour que l’open banking se passe dans de meilleures conditions, la directive « fintech » habilite l’exécutif européen à adopter des normes techniques de réglementation sur la base d’un projet présenté par l’Autorité bancaire européenne (ABE), laquelle va quitter Londres pour s’installer à Paris, dans le but d’assurer la protection des consommateurs par la sécurité des paiements électroniques et de garantir des conditions de concurrence équitables dans un marché en mutation rapide. « Ces normes définissent les exigences à remplir pour permettre une “authentification forte” des clients et précisent les cas dans lesquels les prestataires de services de paiement peuvent être dispensés de cette authentification », précise la Commission européenne. Lors de l’utilisation de leurs services de banque en ligne ou lorsqu’ils feront des achats en ligne, que cela soit dans l’achat de biens et services, ou lors de la consommation de contenus et médias, les Européens seront mieux protégés lorsqu’ils effectuent des paiements ou des transactions électroniques.

Imposer l’« authentification forte »
« Les normes techniques de réglementation font de l’authentification forte la condition de base pour que le client puisse accéder à son compte de paiement ou effectuer des paiements en ligne », souligne l’exécutif européen. Cela suppose que, pour prouver son identité, l’utilisateur réponde à au moins deux des trois conditions suivantes : connaître un certain mot de passe ou code PIN ; être en possession d’une certaine carte ou d’un certain téléphone mobile ; et présenter certaines caractéristiques biométriques (empreintes digitales ou scan de l’iris, par exemple). Pour l’heure, lorsqu’il s’agit d’opérations de paiement électronique à distance telles que le paiement par carte ou
le virement depuis une banque en ligne, l’authentification forte du client n’est appliquée que dans certains pays de l’UE – dont la Belgique, les Pays-Bas et la Suède. Tandis que dans d’autres pays européens, certains prestataires de services de paiement l’appliquent sur une base volontaire. Alors que dans un magasin physique, en revanche, un client doit valider l’opération en saisissant son code PIN sur un lecteur de carte lorsqu’il paie avec sa carte bancaire. Deux poids, deux mesures. L’authentification forte existe dans la vraie vie mais pas dans le monde virtuel.

Evaluer l’ampleur du risque de fraude
Avec la DSP2, l’authentification forte devient obligatoire pour l’accès du client à son compte de paiement et pour ses opérations de paiement en ligne. Ce qui suppose que les banques et les autres prestataires de services de paiement mettent en place non seulement les infrastructures nécessaires à l’authentification forte, mais aussi des solutions pour améliorer la gestion des fraudes. Des dérogations à l’authentification forte pourront être accordées pour les paiements à distance : l’une concerne par exemple l’analyse des risques liés à l’opération et l’autre les paiements de faible valeur (moins de 30 euros). Mais il y a dérogation à condition qu’il y ait d’autres mécanismes d’authentification tout aussi sûrs et sécurisés et de suivi des opérations afin d’évaluer l’ampleur du risque de fraude. « En cas d’opération de paiement frauduleuse, le consommateur pourra prétendre à un remboursement intégral », prévient la Commission européenne.
Si la DSP2 est applicable depuis le 13 janvier 2018, il n’en  va cependant pas de même pour les mesures de sécurité décrites dans les normes techniques de réglementation, qui deviendront applicables dix-huit mois après la date d’entrée en vigueur de ces normes élaborées par l’ABE. Ce texte prévoit notamment  en annexe des taux de référence en matière de fraude en fonction de chaque type d’opération de paiement à distance. « Le prestataire de services de paiement veille à ce que les taux de fraude globaux liés tant aux opérations de paiement authentifiées par une authentification forte du client qu’à celles effectuées au titre des dérogations (…) soient équivalents ou inférieurs au taux de référence en matière de fraude lié au même type d’opération de paiement qui est mentionné dans le tableau figurant en annexe (4)», indique l’article
19 du projet de règlement « ABE ». Or, ce « règlement délégué de la Commission européenne complétant la directive 2015/2366 par des normes techniques de réglementation relatives à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication » (5) n’est pas encore entré en vigueur (c’est-à-dire après leur publication au Journal officiel de l’Union européenne). Il est actuellement soumis au Parlement européen et du Conseil de l’UE. Ces deux ans environ doivent permettre aux prestataires de services de paiement, notamment aux banques, d’avoir suffisamment de temps pour adapter leur système de sécurité (6) aux exigences accrues de sécurité définies par la DSP2. Il s’agit aussi pour la Commission européenne de ne pas perturber le commerce électronique sur le Vieux Continent. Cependant, si la DSP2 et les normes techniques concernent les prestataires de services de paiement, dont les banques des consommateurs et celles des commerçants, il n’en va pas de même des commerçants eux-mêmes qui n’entrent pas dans le champ d’application des normes. « Il appartiendra aux commerçants et à leurs prestataires de services de paiement de s’entendre sur la manière d’atteindre l’objectif de réduction de la fraude », précise l’exécutif européen. Quant aux banques, elles devront mettre en place d’ici à septembre 2019 un « canal de communication » qui permettra, d’une part, aux PSP tiers d’accéder aux données de clients dont ils ont besoin, et, d’autre part, aux banques et aux PSP tiers de s’identifier réciproquement
et de communiquer à tout moment par une messagerie sécurisée. Cette Application Programming Interface (API) doit bénéficier d’une sauvegarde d’urgence et un mécanisme de secours afin « d’assurer la continuité du service ainsi qu’une concurrence loyale sur ce marché ». Comme la DSP2 prévoit que les clients devront consentir à l’accès, à l’utilisation et au traitement de ses données, il ne sera plus permis d’accéder aux données du client par le recours aux techniques dites de « screen scraping » ou « web scraping » (capture de données d’écran), qui consistent à accéder aux données via l’interface client avec utilisation des données de sécurité du client (7). Ce qui revenait à siphonner les données du client !

Futur « groupe de marché » pour les API
Toutes les API feront l’objet d’un essai de prototype de trois mois et d’un essai dans
les conditions réelles du marché, de trois mois également, et ne devront « pas créer d’obstacles à la fourniture des services d’initiation de paiement et des services d’information sur les comptes ». Pour examiner la qualité des API, la Commission européenne promeut la création d’un groupe de marché composé de représentants
des banques, des prestataires de services d’initiation de paiement et de services d’information sur les comptes, et des utilisateurs de services de paiement. @

Charles de Laubier

Fin de la neutralité du Net : et qu’en dit l’Europe ?

En fait. Le 9 janvier, la Commission européenne a répondu à Edition Multimédi@ au sujet de la fin de la neutralité du Net aux Etats-Unis décidée mi-décembre 2017 par la FCC, laquelle a rejeté le 4 janvier les appels à un moratoire sous prétexte de millions de réactions qu’elle juge « identiques ou suspectes ».

En clair. La Commission européenne n’a pas vraiment réagi officiellement à la décision prise le 14décembre 2007 par la Federal Communications Commission (FCC)
– le régulateur américain des télécoms, actuellement sous les ordre de Donald Trump – de mettre un terme à la « Net Neutrality » (1) en abrogeant l’«Open Internet Order»
du 13 mars 2015 adopté par Barack Obama (2). C’est tout juste si Andrus Ansip, vice-président de la Commission européenne chargé du Marché unique numérique, s’est exprimé en publiant une tribune – parue notamment dans Le Monde daté du
13 décembre dernier – dans laquelle il tente de rassurer les Européens: «Il n’y a rien
à craindre» (3), les renvoyant au règlement « Internet ouvert » adopté par les eurodéputés en novembre 2015 et applicable depuis avril 2016. «Cela signifie que les FAI ne sont pas autorisés à bloquer, ralentir, restreindre, dégrader le trafic ou encore à le traiter de manière discriminatoire», a rappelé Andrus Ansip, tout en parlant de «trois exceptions» (décision judiciaire, sécurité du réseau, et congestion du trafic) et de
« services spécialisés » (IPTV, télémédecine, …) qui peuvent déroger à la règle sans dégrader « la qualité générale de l’accès à Internet ». Edition Multimédi@ a voulu savoir auprès de Bruxelles si, à part cette tribune dans la presse du commissaire européen «Marché unique numérique», il y avait une réaction plus officielle de la Commission européenne sur la fin de la neutralité de l’Internet aux Etats-Unis.
La porte-parole de Andrus Ansip, Nathalie Vandystadt, nous a répondu : « La neutralité du Net est une question très importante pour protéger le droit de chaque Européen d’avoir accès au contenu Internet sans discrimination. La Commission européenne contrôle donc de près l’application du règlement ‘’Internet ouvert’’ qui bannit blocage, étranglement et discrimination entre contenus, applications et services, ou catégories ». En Europe, c’est à l’Organe des régulateurs européens des communications électroniques (Orece, ou en anglais Berec) de veiller à ce que les «Arcep» du Vieux Continent contrôlent correctement le respect du principe de neutralité du Net – y compris le zero-rating dans le mobile. Son premier rapport sur le suivi de ses « Net Neutrality Guidelines » a été publié le 7 décembre dernier (https://lc.cx/gWJX). Presque rien à signaler, pour l’instant. @

 

Faux clics, bots, affichages litigieux, violation des données « perso », … : la pub sur le Netest en péril

Rien ne va plus dans le monde de la publicité en ligne. Entre les affichages des annonces sur des contenus illégaux, les clics automatiques via des réseaux de robots, l’atteinte aux données personnelles, ou encore le côté intrusif des bannières et vidéos, publicitaires et médias sont sur le qui-vive.

L’Alliance pour les chiffres de la presse et des médias (APCM) et le Centre d’étude des supports de publicité (CESP) se sont vu confier en début d’année la rédaction d’un « référentiel » pour un label de qualité de la publicité numérique baptisé « Digital Ad Trust », dont ils sont les
« tiers labellisateurs ». L’initiative est française et fait suite à un appel d’offres qu’avait lancé en 2016 le Syndicat des régies Internet (SRI) et l’Union des entreprises de conseil et achat média (Udecam).

Premières labellisations : mars 2018
D’autres organisations professionnelles – l’Union des annonceurs (UDA), l’Autorité
de régulation professionnelle de la publicité (ARPP), le Groupement des éditeurs de contenus et services en ligne (Geste) et l’Interactive Advertising Bureau (IAB) – se
sont ralliées à ce projet qui va se concrétiser en janvier 2018. Les candidatures sont ouvertes depuis le 13 décembre dernier et les éditeurs peuvent demander la certification de leur(s) site(s) web par e-mail (labeldat@acpm.fr).« Le référentiel sur lequel repose le label Digital Ad Trust a été finalisé avec l’interprofession (1). On peut espérer la première vague de labellisations avant la fin du premier trimestre 2018 », indique à Edition Multimédi@ Jean-Paul Dietsch (photo), directeur des nouveaux médias à l’ACPM (ex-OJD+Audipresse) et par ailleurs président depuis juillet dernier
de la branche européenne de la Fédération Internationale de bureaux d’audit de certification (IFABC Europe (2)). Toute l’industrie de la publicité en ligne est à pied d’oeuvre sur ce projet qui consiste à décerner aux sites web dans leurs versions fixe
et mobile – et par la suite les applications mobile – ce label BtoB Digital Ad Trust fondé sur un indicateur composite couvrant cinq grandes dimensions-clé : la brand safety, la visibilité, la fraude, l’expérience utilisateur (le fameux UX pour User Experience) comme l’encombrement publicitaire, et le respect des données personnelles de l’internaute. Cette labellisation, dont l’ACPM et le CESP sont les « tiers certificateurs », comporte douze critères, dont cinq obligatoires pour neuf nécessaires (voir tableau page suivante) si un éditeur veut obtenir ce label Digital Ad Trust. Il s’agit surtout de restaurer la confiance mise à mal des annonceurs lorsqu’ils achètent des espaces publicitaires – de plus en plus automatiquement via la publicité programmatique – sur les médias numériques. Par exemple, la brand safety consiste à éviter qu’une marque se retrouve sous forme de publicité dans des contenus illégaux tels que les sites web faisant l’apologie du terrorisme, les forums incitant à la haine raciale, les commentaires à connotation pédophile ou encore des contenus à caractère homophobe ou sexiste (3). La mise en place de ce label de la publicité en ligne a pris du retard par rapport au calendrier initial qui prévoyait de « démarrer les premières certifications avant l’été
2017 » (dixit Valérie Morrisson, directrice générale du CESP, en janvier dernier), Et Jean-Paul Dietsch à l’ACPM de poursuivre : « Les premières attributions de label arriveront trois mois après l’ouverture des candidatures, les labellisations se faisant alors par vagues successives de trois mois. Le label couvrira l’inventaire publicitaires display et vidéo des sites fixe et mobile dans un premier temps ».
Les sites web peuvent d’ores et déjà se porter candidats à la labellisation. Pour cela, avec l’aide éventuelle de prestataires de mesure certifiés de type MRC (pour le Media Rating Council), l’éditeur devra remplir deux documents : un bulletin d’adhésion (BA) et une déclaration sur l’honneur (DSH). Les candidatures et la facturation seront prises en charge par l’ACPM (4). Les annonceurs, les régie et les agences conseil pourront alors se fier aux sites web fixe et mobile qui arboreront le logo rectangulaire « ACPM-CESP Digital Ad Trust » (voir cicontre). « Le label sera fondé sur des contrôles techniques et déontologiques et permettra aux régies de qualifier valoriser les contenus et contextes publicitaires selon les bonnes pratiques validées par l’interprofession. De leur côté, les annonceurs et leurs agences publicitaires disposeront, en toute transparence, d’engagements clairs et labellisés pour s’assurer de la qualité de diffusion des campagnes », expliquent l’ACPM et le CESP.

Confiance des internautes et des annonceurs
Cette initiative s’inscrit dans une tendance de fond autour de la publicité dite
« responsable » afin de mieux répondre aux attentes des internautes en termes de confort de navigation (formats/intrusivité, temps de chargement des pages, …) et de respect de leurs données personnelles. Il s’agit aussi de mieux qualifier et valoriser les contenus, la contextualisation, l’expérience utilisateur (l’UX étant perçu comme le Graal du Net), la data, ou encore la valeur des marques des éditeurs. In fine, le label Digital Ad Trust espère répondre aux exigences des annonceurs en termes de qualité de la publicité digitale. La labellisation se fera site web par site web, toutes les pages des domaines Internet concernés pouvant être contrôlées ainsi que les formats, les emplacements publicitaires et les modes d’achat – hors IPTV (les « box » des FAI, ndlr) et univers applicatifs.

Vers une harmonisation européenne ?
L’ACPM, qui a présenté le dispositif aux membres du Geste le 8 novembre dernier, indique aussi que « pour les dimensions “brand safety”, “visibilité” et “fraude”, seules des mesures effectuées par des tiers accrédités par le MRC ou dans le cadre de l’EVCF (European Viewability Certification Framework) seront prises en compte » (5). Cette certification européenne prouve que l’« interprofession » de la publicité en ligne sur le Vieux Continent est capable de s’organiser et d’harmoniser ses pratiques. Si l’initiative « Digital Ad Trust » est une spécificité française, comme le sont les bonnes pratiques édictées en Grande- Bretagne par le JicWeb et l’ABC (Audit Bureau of Circulations), ou encore ce que font en Allemagne l’Agof, l’OWM et le BVDW, il y a parallèlement une volonté d’agir à l’échelon européen. Mais comme tous les « ABC » (alias les « OJD ») ne sont pas au même niveau d’avancement sur le numérique, l’approche n’est donc pas (encore) globale. « L’IAB Europe travaille sur des standards paneuropéens depuis quelques mois, mais cela semble compliqué de mettre tout le monde d’accord autour de la table. Nous sommes en contact avec eux et je leur ai proposé l’aide des “OJD” pour faire appliquer leur référentiel le moment venu, car l’IAB ne souhaite que définir des guidelines et ensuite ce seront à des certificateurs locaux pays par pays de les mettre en pratique », nous explique Jean-Paul Dietsch, qui indique en outre être en discussion avec de nombreux autres pays comme la Belgique, l’Espagne ou encore le Brésil. Néanmoins, le label EVCF que souhaite développer l’IAB Europe ne se penchera que sur la problématique « visibilité », alors que le Digital Ad Trust français traite, lui, cinq piliers (brand safety, visibilité, fraude, UX, données personnelles). « Nous serons tout à fait à même de prendre en compte les recommandations de EVCF et de les inclure le moment venu dans le label Digital Ad Trust au niveau du référentiel “visibilité” », poursuit-il. La certification. EVCF a été lancée en août 2017 à Bruxelles par l’European Viewability Steering Group (EVSG), lequel fut créé fin 2015 à l’initiative de l’IAB Europe, de la European Association of Communications Agencies (EACA) et de la World Federation of Advertisers (WFA)
« afin d’appliquer des standards européens uniformes et équitables dans la mesure de la visibilité de la publicité numérique » (6). L’identification des auditeurs à travers les différents pays est sur le point d’être lancée fin 2017 via un « Request for Proposals » (RFP).
Par ailleurs, la WFA (fédération mondiale des annonceurs) est aussi préoccupée par
les réseaux de « bots » (ou robots virtuels en réseau, dits botnets) qui génèrent automatique des clics frauduleux sans aucune intervention humaine et encore moins
de « cible publicitaire » humaine devant l’écran. Selon le directeur général de la WFA, Stephan Loerke, cette fraude représenterait de 10 % à 30 % des clics observés sur les publicités en ligne ! « Si l’on ne fait rien, la fraude publicitaire digitale pourrait être en 2025 la deuxième source de revenus des activités criminelles dans le monde après le trafic de drogue », a-t-il mis en garde, lors d’une intervention à Paris le 8 novembre dernier. La WFA chiffre même à au moins 50 milliards de dollars la fraude publicitaire potentielle en ligne cette année-là. Il y a urgence. @

Charles de Laubier