La « taxe GAFA » – chère au président Macron et à son ministre Le Maire – cherche son véhicule législatif

Absente de la loi de finances pour 2019 et de la loi « Gilets jaunes » promulguées en décembre, la taxe GAFA – que Bruno Le Maire présentera d’ici fin février en conseil des ministres – cherche encore son véhicule législatif. Projet de loi Pacte ? Projet de loi de finances rectificative (PLFR) pour 2019 ? Ou projet de
loi spécifique à part ?

Edition Multimédi@ s’est rendu le 14 janvier dernier à Bercy
aux vœux à la presse de Bruno Le Maire (photo) et, en marge
de la cérémonie, a pu demander directement au ministre de l’Economie et des Finances à quel stade en est précisément la décision de taxer en France les GAFA – les Google, Amazon, Facebook, Apple et autres Microsoft – rétroactivement à partir
du 1er janvier 2019. « Pour la taxation nationale des géants du numériques, je suis en train avec mes équipes de préparer un projet de loi spécifique qui nous soumettrons au Parlement dans les prochaines semaines », nous a-t-il répondu, sans préciser quel véhicule législatif sera utilisé pour porter cette « taxe GAFA » qui est l’un des chevaux de bataille du président de la République, Emmanuel Macron. Six jours après ses vœux à la presse, Bruno Le Maire n’a pas non plus évoqué – dans une interview au Journal du Dimanche parue le 20 janvier – le cadre législatif retenu pour ce projet de loi « taxe GAFA » du gouvernement. « Nous présenterons un projet de loi spécifique en conseil des ministres d’ici à fin février, qui sera rapidement soumis au vote du Parlement », a-t-il néanmoins indiqué, en ajoutant que « [cette] taxe touchera toutes les entreprises qui proposent des services numériques représentant un chiffre d’affaires supérieur à 750 millions d’euros au niveau mondial et 25 millions d’euros en France (…) et son taux sera modulé en fonction du chiffre d’affaires avec un maximum de 5 % ». Le gouvernement en attend quelque 500 millions d’euros de recettes fiscales dès cette année.

La « taxe GAFA » devant le Parlement au printemps
Sur le véhicule législatif, le ministre de l’Economie et des Finances avait pourtant dit le 18 décembre dernier que cette mesure fiscale – qui portera sur les revenus publicitaires des plateformes numériques et la vente des données des utilisateurs à des fins de publicité – « pourrait être introduite dans la loi Pacte » (1), dont le projet va être examiné en première lecture au Sénat (2) à partir du 29 janvier et jusqu’au 12 février (3). Or non seulement Bruno Le Maire n’a plus fait référence à la loi Pacte lors de ses vœux à la presse, ni lors de notre échange, ni dans le JDD, mais il n’en est pas question non plus dans les 80 pages du dossier « Pacte » daté de janvier 2019 remis aux journalistes présents à Bercy le 14 janvier.

Honorer la promesse de Macron
Il est encore moins question de « taxe GAFA » dans la loi de finances 2019 qui a été promulguée le 30 décembre 2018 au Journal Officiel, pas plus que dans la loi « Gilets jaunes » – comprenez la loi portant « mesures d’urgence économiques et sociales » – promulguée, dans l’urgence justement, le 26 décembre (4), à la suite des décisions à 10 milliards d’euros prises par le président de la République sous la pression de ce mouvement historique. Gérald Darmanin, ministre de l’Action et des Comptes publics, avait d’ailleurs confirmé dès le 17 décembre à l’Assemblée nationale que la taxe GAFA n’allait pas figurer dans le projet de loi « Gilets jaunes » examiné et adopté les 19 et 21 janvier par une majorité de, respectivement, députés et sénateurs. Pourtant, les cahiers de doléances que les maires de France transmettent au Parlement, lequel les remettra au gouvernement, montrent bien que la taxation des géants du Net fait partie des revendications fortes de bon nombre de Français, au même titre que la ré-instauration de l’impôt de solidarité sur la fortune (ISF) – au nom de l’équité fiscale, du partage de
la valeur et d’une meilleure répartition des richesses (5). Alors que reste-t-il comme véhicule législatif ? Bruno Le Maire avait évoqué devant le Sénat en décembre la probabilité que la taxe GAFA atterrisse avant l’été dans un projet de loi de finances rectificative (PLFR) pour 2019, appelé aussi « collectif budgétaire », où il sera aussi question de fiscalité locale et… de baisse d’impôt pour les sociétés.
Quel que soit le véhicule législatif retenu, Bruno Le Maire a appelé – non seulement lors de ses vœux à la presse le 14 janvier, mais également lors des Rendez-vous de Bercy le 22 janvier et lors du Forum de Davos le 24 janvier – à « la réinvention du capitalisme », en enfonçant le clou concernant les GAFA : « Le capitalisme auquel nous croyons taxe la valeur là où elle se crée. Il n’accepte pas que des PME qui ont des taux de marges très faibles payent 14 points d’impôts de plus que les géants du numérique. Et nous continuerons à livrer cette bataille pour la juste taxation des géants du numérique, tout simplement parce qu’il est juste de taxer la valeur là où elle se trouve ». Taxer les GAFA est une des promesses du candidat Emmanuel Macron depuis la campagne présidentielle. Son programme de 2017 prévoit de « rétablir une concurrence équitable avec les grands acteurs numériques pour qu’ils payent leurs impôts comme tous les autres acteurs économiques et qu’ils soient soumis aux mêmes obligations, dans les pays où les œuvres sont diffusées » (6). Toujours en marge de ses vœux à Bercy, Bruno Le Maire a répondu à Edition Multimédi@ qu’au-delà de la taxe nationale, « la France compte bien convaincre jusqu’à fin mars tous ses partenaires européens pour que soit instaurer une taxe européenne sur les géants du numérique, alors qu’à ce stade vingt-trois pays y sont favorables et quatre bloquent ». L’Espagne est depuis le 18 janvier le premier pays européen à avoir adopté une telle taxe (3 %). L’Irlande, la Suède et le Danemark sont hostiles à une telle « taxe GAFA » européenne, tandis que l’Allemagne – pourtant le premier partenaire historique de la France – hésite sérieusement car elle craint des mesures de rétorsion de la part des Etats-Unis à l’encontre de son industrie automobile. Si le partenaire de l’axe francoallemand disait non à une telle taxe, ce serait un revers pour Bruno Le Maire qui espère depuis longtemps trouver une proposition commune (7) – d’abord en 2017 avec son ancien homologue allemand Sigmar Gabriel et depuis mars 2018 avec l’actuel Olaf Scholz (vicechancelier et ministre fédéral des Finances). Parallèlement, le locataire de Bercy nous a assuré « [œuvrer] au niveau européen pour que la règle du vote à l’unanimité
en matière fiscale soit remplacée par la règle de la majorité qualifiée ».
Cette contrainte de l’unanimité avait justement empêché que le projet de directive européenne – présenté en 2018 par le commissaire européen aux Affaires économiques, Pierre Moscovici – n’aboutisse. En vue de lever le verrou, ce dernier
a présenté le 15 janvier à Strasbourg une communication sur le passage progressif à une majorité qualifiée dans les domaines de la fiscalité qui relèvent de la compétence européenne. « Il sera difficile d’approuver à l’unanimité d’ici mars la taxe sur les géants du numérique », a-t-il prévenu lors de ses vœux à la presse à Paris le même jour que Bruno Le Maire.

G7 : lutter contre l’évasion fiscale
La France, qui préside d’ailleurs pour cette année 2019 le G7, groupe des sept grandes puissances économiques du monde (Etats-Unis, Japon, Allemagne, France, Royaume-Uni, Italie, Canada, mais sans la Russie exclue depuis 2014), entend aussi peser de tout son poids pour pousser à une réforme de la fiscalité tenant compte des géants
du Net. « Avec la même détermination, croyez-moi, durant ce G7, nous lutterons aussi pour mettre en place une imposition minimale pour mettre fin à l’évasion fiscale qui scandalise – à juste titre – nos compatriotes et nos concitoyens européens », a encore promis Bruno Le Maire lors de ses vœux. @

Charles de Laubier

L’affaire « Microsoft » : la localisation des données et l’extraterritorialité en question

Le 14 juillet 2016, la cour d’appel fédérale de Manhattan aux Etats-Unis a décidé qu’un mandat de perquisition ne permettait pas aux autorités américaines d’obtenir des données stockées par Microsoft en Irlande, car un tel mandat ne peut avoir d’effets en dehors des frontières des Etats-Unis.
Quel impact en Europe ?

Par Winston Maxwell (photo), avocat associé, Hogan Lovells

winston-maxwellL’arrêt « Microsoft » a le mérite de préciser l’étendue territoriale des pouvoirs de police aux Etats-Unis et de relancer le débat sur la localisation des données. Cette affaire commence en décembre 2013 lorsqu’un magistrat ordonne à la firme de Redmond de livrer aux services du procureur de l’Etat de New York le contenu de courriers électroniques appartenant à une personne suspectée de trafic de drogues.
Microsoft a livré les métadonnées concernant le compte e-mail du suspect, mais a refusé de livrer le contenu des e-mails, car celui-ci était hébergé en Irlande. Selon Microsoft, les effets de l’ordonnance du magistrat s’arrêtaient aux frontières des Etats-Unis. En première instance, le magistrat a sanctionné Microsoft en 2014 pour avoir désobéi à son ordonnance.

Perquisitions et frontières
Après une procédure d’appel médiatisée et impliquant de nombreuses interventions volontaires, la cour d’appel fédérale a donné raison à Microsoft. La loi américaine permet à la police d’accéder au contenu d’e-mails uniquement après la délivrance par un juge d’un « mandat de perquisition » (warrant). Il s’agit du même outil juridique que celui utilisé pour la fouille d’une maison, par exemple. Selon Microsoft, un mandat de perquisition émis par un juge américain ne pouvait pas produire d’effets en dehors des Etats-Unis.
Le gouvernement américain soutenait, au contraire, qu’aucune fouille n’était nécessaire en dehors des Etats-Unis puisque Microsoft pouvait – à partir de son siège à Redmond (Etat de Washington) – récupérer les données irlandaises par un simple manœuvre technique. Pour le gouvernement américain, la localisation des données n’était pas importante dès lors que le fournisseur de service était situé aux Etats-Unis,
et il pouvait donc accéder à ces données.
La position du gouvernement américain converge avec l’article 57-1 du Code de procédure pénale en France, lequel permet à la police, sous certaines conditions, d’accéder à des données hébergées à l’étranger si un accès à ces données est autorisé en France.
La cour d’appel américaine n’a pas voulu rentrer dans la logique du gouvernement des Etats-Unis. La cour s’est focalisée avant tout sur l’intention du législateur américain. Selon l’arrêt du 16 juillet, une portée extraterritoriale ne peut découler implicitement d’une loi : il faut que la loi prévoie cette portée extraterritoriale explicitement. C’est le cas de certaines lois américaines qui visent de manière explicite des actes commis à l’étranger (actes de terrorisme, ou tourisme sexuel impliquant des mineurs, etc.). Cependant, si la loi ne dit rien sur l’extraterritorialité, la loi doit être lue comme étant limitée au territoire national. Selon la cour d’appel, seul le législateur est habilité à
gérer les questions délicates d’extraterritorialité et des relations internationales. L’extraterritorialité doit être explicite. La loi américaine sur la protection des communications électroniques est silencieuse sur la question territoriale. Pour la cour fédérale, la loi ne peut donc produire d’effets au-delà de la frontière des Etats-Unis.
Par conséquent, le gouvernement ne peut pas utiliser un mandat de perquisition pour forcer Microsoft à livrer des données hébergées en Irlande (1).
Le débat n’est pas clos pour autant, car le gouvernement américain pourrait porter cette affaire devant la Cour Suprême.

Plusieurs enseignements
La décision nous livre plusieurs enseignements. Le premier est qu’en matière d’enquêtes judiciaires, la loi américaine fournit autant de protections aux individus
que la loi française. L’intervention d’un juge est nécessaire, comme pour la fouille
d’un domicile. En matière de protection des données à caractère personnel, la loi américaine sur les enquêtes criminelles ne peut guère être considérée comme étant
« inadéquate », car elle fournit autant de garanties que la loi française.
Certes, les services de renseignement américains ne sont pas tenus, eux, d’obtenir
un mandat avant de collecter des données, y compris hors des Etats-Unis. Ce point
est reproché aux Etats-Unis dans le contexte du nouveau « Privacy Shield » (2). Cependant, aucun pays européen n’impose une telle exigence à ses agences du renseignement. En France, par exemple, les agences du renseignement peuvent collecter des données concernant des communications internationales avec la seule autorisation du Premier ministre. L’erreur serait de comparer l’encadrement des activités de renseignement aux Etats-Unis avec l’encadrement des enquêtes
judiciaires en France. Les deux ne sont pas comparables. Seule une comparaison
« renseignement- renseignement » serait pertinent.

L’extraterritorialité ne se présume pas
Le deuxième enseignement de l’affaire Microsoft concerne localisation des données. Est-ce que la localisation physique des données compte ? En juillet, la Russie a adopté une loi qui étend considérablement l’obligation de stocker des données sur le territoire russe. Un amendement au projet de loi « République numérique » adopté au Sénat aurait créé une obligation de stocker des données sur le territoire français. Cet amendement n’a pas été repris dans la version du texte adoptée en juillet 2016 (3). Certaines lois chinoises prévoient l’obligation de stocker des données sur le territoire chinois. Face aux risques de la mondialisation, certains Etats voient dans la localisation des données un moyen de réaffirmer leur souveraineté. La décision Microsoft semble confirmer que la localisation physique des données peut avoir un impact sur les pouvoirs des autorités nationales.
Mais ce n’est pas si simple. Une loi nationale peut prévoir la possibilité pour les autorités d’accéder à des données hors de son territoire s’il existe un accès dans le territoire (en France, article 57-1 Code de la procédure pénale), voire la possibilité d’intercepter des données à l’étranger (article L854-1 du Code de la Sécurité intérieure). La leçon de l’affaire Microsoft est que la loi doit être précise sur ce point,
car l’extraterritorialité ne se présume pas.
Sur la question de la localisation des données, le nouveau règlement européen du 27 avril 2016 sur la protection des données à caractère personnel (4) est ambivalent, voire contradictoire. D’un côté, la localisation des données n’est pas importante, car tout traitement effectué dans le cadre des activités d’un établissement en Europe – ou lié à l’offre de services en Europe – est couvert par ce règlement, même si les données sont stockées en dehors de l’Europe. Le règlement précise d’ailleurs que le lieu du traitement est sans importance. De l’autre côté, le règlement impose des contraintes particulières pour tout transfert de données en dehors de l’Union européenne, ce qui du coup donne une importance à la localisation. Les prestataires de cloud expliqueront que les données sont stockées partout, et que cette architecture contribue à la sécurité, à la fiabilité, et au faible coût du service.
Mais après l’affaire « Snowden » (5), les fournisseurs de cloud mettent en avant des solutions de stockage 100 % européen, voire 100 % français. Les lois russes et chinoises vont dans le sens d’une localisation forcée des données sur le territoire,
sans parler de lois turques ou iraniennes (6). Dans le cadre de ses travaux sur le marché numérique unique, la Commission européenne dresse un inventaire sur les
cas de « localisation forcée » des données (7), et souligne la nécessité de permettre
la libre circulation des données afin de favoriser l’innovation, la croissance, et la liberté d’expression. Le débat sur la localisation des données s’accompagne d’un débat sur le chiffrement, car une donnée stockée localement n’est guère utile si elle ne peut être déchiffrée. La loi française oblige les fournisseurs de moyens de cryptologie à décrypter des messages, sauf si les prestataires « démontrent qu’ils ne sont pas en mesure de satisfaire à des réquisitions » (article L871-1 du Code de la Sécurité intérieure). Au moment où les gouvernements français et allemand plaident pour des pouvoirs accrus en matière de déchiffrement (8), la présidente de la Commission nationale de l’informatique et des libertés (Cnil) rappelle, dans une tribune qu’elle a cosignée (9), l’importance du chiffrement dans la protection des données à caractère personnel. @

ZOOM

Microsoft résiste encore et toujours à Washington
La firme de Redmond, dans l’Etat de Washington, a décidément maille à partir
avec l’administration de Washington. En effet, en avril 2016, Microsoft a porté plainte
– devant un tribunal fédéral de Seattle – contre le gouvernement américain en l’accusant de violer la Constitution des Etats-Unis en empêchant le géant américain
de l’informatique et du Net d’informer ses milliers de clients des requêtes « secrètes » de l’administration américaine – sous couvert de l’Electronic Communications Privacy Act (ECPA) – pour avoir accès à leurs e-mails et données personnelles.
Cette affaire rappelle celle de l’iPhone qu’Apple avait refusé de débloquer à la demande la police fédérale (FBI) – finalement abandonnée – à la suite de la tuerie de San Bernardino en décembre 2015. @