Réseaux sociaux et plateformes vidéo : les influenceurs dans le collimateur de la régulation

Les influenceurs du Net sont suivis par des milliers voire des millions d’abonnés,
de fans ou d’amis qu’ils informent ou conseillent. Ils vantent des marques et des produits dont ils font la publicité. L’aura de ces bloggeurs en fait des médias d’influence en marge de la régulation audiovisuelle. Pour l’instant.

Le Danemark envisage d’encadrer les influenceurs. Qu’ils soient sur YouTube, Facebook, Instagram, Twitter, Dailymotion, Pinterest ou Twitch, lorsque ce n’est pas sur d’autres plateformes vidéo ou réseaux sociaux, ces éditeurs individuels – hommes ou femmes – ont acquis pour certains une très forte audience. Le 8 juillet dernier, la ministre danoise de l’Enfance et de l’Education, Pernille Rosenkrantz-Theil (photo), a publié sur son compte Facebook un commentaire appelant à responsabiliser ces influenceurs.

Les soumette « aux règles de l’éthique »
« Nous devons mieux nous occuper des enfants et des jeunes sur les médias sociaux – et entre nous en général. Par conséquent, nous devrions nous efforcer de faire en sorte que les règles en matière d’éthique de la presse s’appliquent aux titulaires de profils [influenceurs] de grande taille, qui devraient assumer des responsabilités analogues à
celles de l’éditeur. (…) Nous devons mieux nous occuper des enfants et des jeunes, ainsi que de la communauté sur le Web », a expliqué la ministre danoise. Deux jours après, son ministère publiait un communiqué se posant la question : « Les blogueurs ont-ils une responsabilité ? ». Pour Pernille Rosenkrantz-Theil, la réponse est oui : « Les profils sur les médias sociaux qui comptent de nombreux adeptes doivent être soumis aux règles de l’éthique ».
Sa déclaration est intervenue après qu’une blogueuse connue et influente – Fie Laursen (star de la télé-réalité au Danemark) – ait publié un message de suicide sur son compte Instagram (1), lu et commenté par des dizaines de milliers de jeunes (elle comptait 334.000 abonnés en août). La star du petit écran et des réseaux sociaux avait été hospitalisée mais ses écrits funèbres étaient, eux, restés en ligne. La mère de Fie Laursen s’en était même émue sur la chaîne TV 2 Danmark : « On aurait préféré que le post soit supprimé, mais cela n’a pas été faisable ; cela fait mal au coeur car le message pouvait inspirer d’autres jeunes ». Le ministère danois concerné a aussitôt lancé le débat : « La ministre de l’Enfance et de l’Education a-t-elle raison de dire que les blogueurs ayant de nombreux adeptes assument une responsabilité qui correspond aux médias établis ? Où est la limite entre l’éthique des médias et la liberté d’expression personnelle ? », peut-on lire sur la page du débat en question, laissant la parole aux experts, aux hommes politiques et aux leaders d’opinion (2). En France, le Conseil supérieur de l’audiovisuel (CSA) ne s’est pas encore penché sur la responsabilité des influenceurs et bloggeurs à fortes audience. Leur responsabilité éditoriale est quasi inexistante puisqu’ils ne relèvent pour l’instant ni de la presse ni des médias audiovisuels. La directive européenne dite « SMA » de 2010 excluait clairement « les activités dont la vocation première n’est pas économique et qui ne sont pas en concurrence avec la radiodiffusion télévisuelle, comme les sites web privés et les services qui consistent à fournir ou à diffuser du contenu audiovisuel créé par des utilisateurs privés à des fins de partage et d’échange au sein de communautés d’intérêt » (3). Mais la directive européenne du 14 novembre 2018, également dite « SMA », est venue modifier celle de 2010 pour tenir compte de « l’évolution des réalités du marché ». Publiée auJournal Officiel de l’Union européenne (JOUE) le 28 novembre 2018 et transposable par les Etats membres « au plus tard le 19 septembre 2020 », cette nouvelle directive SMA (4) responsabilise les YouTube, Dailymotion et autres plateformes vidéo (Facebook, Snapchat, Musical.ly/TikTok, …).
Ces acteurs du Net sont donc désormais censés – comme les services de télévision traditionnels et de diffusion à la demande (replay et VOD) – protéger les mineurs contre les contenus préjudiciables comme la pornographie, et protéger tous les citoyens européens contre la haine et les propos racistes, ainsi qu’en interdisant tout contenu incitant à la violence et au terrorisme. « Parce qu’ils se disputent les mêmes publics et les mêmes recettes que les services de médias audiovisuels, ces services de médias sociaux doivent être inclus dans le champ d’application de la directive [SMA de 2010]. En outre, ils ont également un impact considérable en ce qu’ils permettent plus facilement aux utilisateurs de façonner et d’influencer l’opinion d’autres utilisateurs » (5).

Lignes directrices au niveau européen
Selon les informations de Edition Multimédi@, les discussions sur les lignes directrices que prépare la Commission européenne sur « l’application pratique du critère relatif à la “fonctionnalité essentielle” figurant dans la définition d’un service de plateformes de partage de vidéos » se poursuivent en septembre en vue d’une publication qui pourrait intervenir dès cet automne. Trois pays – la Finlande, l’Irlande et les Pays-Bas – avaient, eux, émis des réserves quant à la portée de cette nouvelle directive modifiant l’ancienne directive SMA
de 2010, en mettent en garde contre les dérives possibles au détriment de la liberté d’expression et de la créativité (6). Pour autant, si les plateformes numériques qui les hébergent sont tenues responsables des contenus mis en ligne, les influenceurs, youtubeurs et autres bloggeurs ne semblent pas directement responsables de la légalité
de leurs diffusions.

Placements de produits et sponsoring
Les influenceurs sont en outre très sollicités par les marques pour faire de la publicité de leurs produits – via, entres autres, du band content. La nouvelle directive SMA de 2018 ouvre grand les vannes du placement de produit, tout en y mettant des limites. « Le placement de produit devrait donc être autorisé dans tous les services de médias audiovisuels et services de plateformes de partage de vidéos, sauf exceptions. Le placement de produit ne devrait pas être autorisé dans les programmes d’information et d’actualité, les émissions de consommateurs, les programmes religieux et les programmes pour enfants. Il est en particulier avéré que le placement de produit et les publicités incorporées peuvent influer sur le comportement des enfants, ceux-ci n’étant généralement pas capables de reconnaître le contenu commercial » (7). Encore fautil aussi que les adultes soient bien informés de l’existence de tels contenus sponsorisés, sinon cette pratique devient de la publicité déguisée illicite.
Beaucoup d’influenceurs omettent de signaler le placement de produit, alors qu’ils sont les bénéficiaires directs de ce type d’opération promotionnelle contre rémunération et/ou remise de produit. Les « micro-influenceurs » comptent 1.000 abonnés, les « mid » moins de 100.000 abonnés, tandis que les « top-influenceurs » dépassent ce seuil pour atteindre ou dépasser 1 million de fans. La rémunération peut alors aller jusqu’’à 10.000 euros pour une « story » ou une photo de marque. Se transformer en homme-sandwich du Web leur apporte un regain de visibilité, un renforcement de leur image et une consolidation de leur
e-réputation. Les plateformes de mise en relation des influenceurs et des marques se sont développées, comme Kolsquare (société Brand and Celebrities) ou Socialbakers. Or la loi française de 2004 sur la confiance dans l’économie numérique (loi dite LCEN) prévoit bien que dans son article 20 : « Toute publicité, sous quelque forme que ce soit, accessible par un service de communication au public en ligne, doit pouvoir être clairement identifiée comme telle. Elle doit rendre clairement identifiable la personne physique ou morale pour le compte de laquelle elle est réalisée » (8). La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) veille au respect de cette disposition. Elle s’appuie aussi sur l’article L121-1 du code de la consommation, selon lequel « une pratique commerciale est également trompeuse si, compte tenu des limites propres au moyen de communication utilisé et des circonstances qui l’entourent, elle omet, dissimule ou fournit de façon inintelligible, ambiguë ou à contretemps une information substantielle ou lorsqu’elle n’indique pas sa véritable intention commerciale dès lors que celle-ci ne ressort pas déjà du contexte » (9). Dès décembre 2015, la DGCCRF démarre une enquête contre une dizaine de youtubeurs ayant été rémunérés jusqu’à 100.000 euros pour faire la promotion d’une marque de voiture sans mentionner leur relation contractuelle avec le constructeur automobile. Une publicité mensongère est une pratique commerciale déloyale et trompeuse, qui, en tant que délit pénal, peut valoir à son auteur deux ans de prison et 300.000 euros d’amende pour les personnes physiques (10). « Si vous vous estimez mal informé ou trompé par une communication d’influenceur ou lors de vos achats, vous pouvez vous retourner vers le jury de déontologie publicitaire », indique Stéphane Martin, directeur général de l’Autorité de régulation professionnelle de la publicité (ARPP). Le JDP (11) a été mis en place en 2008. La France n’est pas pionnière dans cette chasse aux publicités déguisées émises par les influenceurs. Aux Etats-Unis, la Federal Trade Commission (FTC) avait épinglé des youtubeurs et instragrameurs ayant fait la promotion du jeu « Shadow of Mordor » de Warner Bros sans en informer les internautes.
Le marketing d’influence (ou influence marketing) est estimé en France à 150 millions d’euros en 2018 et devrait atteindre 300 millions d’euros cette année. Les marques et les entreprises y consacrent un budget pouvant atteindre aujourd’hui 20 % de leurs dépenses publicitaires. Webedia (Fimalac) surfe sur cette nouvelle tendance, avec les trois youtubeurs les plus suivis : Cyprien, Squeezie, Norman, Caroline, Aurélien. Lorsque le groupe de Marc Ladreit de Lacharrière a pris le contrôle au printemps 2019 de la société de production audiovisuelle Elephant, l’Autorité de la concurrence s’est pour la première fois penchée sur « l’industrie que constitue la monétisation de l’”influence” et des “influenceurs” » (12).

Webedia, Studio71, Studio Bagel, Golden Network
De son côté, TF1 est présent avec sa filiale Studio71 (150 chaînes YouTube). Canal+ a aussi sa filiale Studio Bagel (chaînes Studio Bagel et Mister V), tandis que M6 détient le collectif Golden Network (Golden Moustache, Enjoyphoenix et Horia). Les influenceurs ont désormais leur World Bloggers Awards (13), dont la première édition s’est déroulée à Cannes le 24 mai dernier pendant le festival du film. Et depuis juin dernier, a été créée la
« Guilde des vidéastes » pour fédérer les métiers de la création audiovisuelle sur Internet. @

Charles de Laubier

Consentement préalable aux cookies : la Cnilmet les éditeurs en ligne en infraction avec le RGPD

« Faire défiler une page ou naviguer sur un site Internet ne satisfait pas à l’exigence d’un acte positif clair », prévient le groupe des « Cnil » européennes (G29) dans ses lignes directrices sur le consentement préalable avant tout cookie. Pourtant, la France continue de tolérer cette pratique interdite.

« En poursuivant votre navigation sur ce site web, vous acceptez l’utilisation de cookies pour vous offrir une meilleure expérience utilisateur »… Autrement dit, en reprenant le modèle de bandeau d’information préalable recommandé par la Cnil elle-même (1) : «En poursuivant votre navigation, vous acceptez que des traceurs soient déposés dans votre terminal afin de vous proposer des publicités ciblées et adaptées à vos centres d’intérêts, et pour réaliser des statistiques de visites » (2).

Un « scroll », et c’est le « cookie » !
Quel internaute n’a pas été confronté à ce message intrusif lors de sa première visite sur un site web français ? Il suffit d’un « scroll », c’est-à-dire l’action de faire défiler le contenu à l’écran (3), pour que l’éditeur considère avoir obtenu ainsi le consentement de l’internaute – sur le smartphone, l’ordinateur ou la tablette duquel il se permettra de déposer des cookies. Ces traceurs, ou mouchards, sont de petits fichiers enregistreurs de tous les faits et gestes du visiteur lors de sa navigation sur le site web en question. Le problème est que ce type de « bandeau cookie » proposant un « soft » opt-in – situé entre l’opt-in (consentement préalable) et l’opt-out (consentement implicite) – n’est pas conforme au règlement général sur la protection des données (RGPD) entré en vigueur le 25 mai 2018. Le consentement préalable obligatoire (opt-in clair et net (4)) y est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (5).
Or, justement, de l’avis même des « Cnil » européennes réunies au sein du groupe dit G29 qui le précise dans ses lignes directrices révisées le 10 avril 2018 sur le consentement à la lumière du RGPD, « faire défiler une page ou naviguer sur un site Internet ne satisfait pas à l’exigence d’un acte positif clair ». Pour la simple raison, poursuit le G29, que « la notification indiquant qu’en continuant à faire défiler la page, l’utilisateur donne son consentement peut être difficile à distinguer et/ou peut être manquée lorsqu’une personne concernée fait rapidement défiler de longs textes, et qu’une telle action n’est pas suffisamment univoque » (6). Pourtant, malgré l’interdiction de cette pratique douteuse, les éditeurs de sites web et de presse en ligne continuent d’y recourir sans scrupule. Et ce, en France, avec l’aval de la Cnil qui va la considérer durant encore un an comme « acceptable » – dixit la Cnil le 28 juin (7). Sa présidente, Marie-Laure Denis (photo), a en effet profité de l’assemblée générale du Groupement des éditeurs de contenus et de services en ligne (Geste) – le 25 juin dernier – pour accorder aux éditeurs du Net un nouveau moratoire d’un an, soit jusqu’en juillet 2020. C’est donc après la publication de « nouvelles lignes directrices » – publication que la Cnil annonce pour juillet en vue de remplacer l’an prochain seulement en les abrogeant ses recommandations du 5 décembre 2013 parues au Journal Officiel (8) – que courra cette nouvelle « période transitoire » de douze mois pour laisser les médias « se mettre en conformité », a indiqué Marie-Laure Denis. La Cnil publiera « sa recommandation, pour consultation publique, fin 2019 ou, au plus tard, début 2020 », mais n’exclue pas des contrôles pour vérifier qu’aucun cookie n’est déposé sans obtention explicite du consentement. La pratique dite du « cookies wall », forçant quelque peu le consentement de l’internaute, sera alors proscrite. Ce moratoire est une aubaine pour les éditeurs en ligne, qui doivent investir dans une Consent Management Platform (CMP) et qui craignent de voir bon nombre d’internautes refuser d’être « espionnés » à des fins publicitaires. « Pendant cette période de transition, explique le Geste qui rassemble de nombreux sites de presse en ligne (TF1.fr, Leparisien.fr, Lefigaro.fr, BFMtv.com, 20minutes.fr, Latribune.fr, Mediapart.fr, etc.), la poursuite de la navigation comme expression du consentement sera ainsi considérée comme acceptable. Sur cette question, la Cnil a récemment rappelé que l’action positive, comme le scroll et/ou le clic sur un élément de la page visitée après un bandeau d’information, suffit à recueillir valablement un consentement internaute ».

Mieux que le RGPD, l’ePrivacy en 2020
Cette position de la Cnil est propre à la France en Europe, qui prend donc le risque de permettre aux éditeurs de jouer les prolongations jusqu’à mi-2020 avec leurs « bandeaux cookies » non conformes au RGPD, alors que se profile déjà pour l’an prochain un autre règlement européen encore plus redouté par les éditeurs, celui appelé « ePrivacy » (9) (*) (**) (***), sur la protection de la vie privée et des données personnelles. @

Charles de Laubier

Eric Woerth le dit : « La taxe GAFA sera provisoire »

En fait. Le 14 mai, Eric Woerth – ancien ministre et actuel président de la commission des finances, de l’économie générale et du contrôle budgétaire à l’Assemblée nationale, ainsi que député (LR) de l’Oise – avait « carte blanche »
au 29e colloque NPA-Le Figaro. Il a expliqué que la future « taxe GAFA » était
« provisoire ».

En clair. « La France a mis en place un dispositif – transitoire – assez brutal, assez rustique, et arrivant un peu tardivement. C’est une taxation sur le chiffre d’affaires. Bon, cela n’est pas formidable. Mais c’était une bonne idée de le faire, mais c’est une idée provisoire. Il faut que l’on aille beaucoup plus loin sur ce sujet », a prévenu Eric Woerth, lors du colloque NPA-Le Figaro. Le président de la commission des finances à l’Assemblée nationale intervenait une semaine avant que le Sénat n’adopte à son tour le 22 mai le projet de loi (1) visant à créer « une taxe sur les services numériques » de 3% sur le chiffre d’affaires réalisé en France.
Eric Woerth a insisté sur le fait que la taxe GAFA n’a pas vocation à perdurer. « C’est bien que la France puisse montrer un chemin, sans doute provisoire mais nécessaire ». Il a raconté avoir reçu à Paris le sous-secrétaire américain au Trésor responsable des négociations internationales, Heath Tarbert, qui a demandé au gouvernement et aux parlementaires de « retirer ce texte ». Fin de non-recevoir : « Il faut bien que les entreprises américaines paient un peu de fiscalité : il n’y a rien de nouveau sous le soleil ! Il ne faut pas que cela soit une fiscalité uniquement négociée. Depuis quand négocie-t-on la fiscalité ? ». L’ancien ministre du Budget de Sarkozy a en outre précisé que cette taxe ne toucherait pas uniquement les GAFA et la numérisation de l’économie, mais aussi le e-commerce de proximité dont les effets les plus visibles pour la population : la désertification des centres-villes (2). « Là-dessus, l’inégalité fiscale est très forte ; elle est souvent fondée sur le foncier. On voit qu’Amazon dispose de grands entrepôts, mais a une fiscalité low cost», pointe-t-il.
Alors que l’Europe est contrainte par sa règle de l’unanimité en matière fiscale, l’issue se trouve du côté de l’OCDE (3). Mais, prévient Eric Woerth, « l’OCDE souhaite l’abandon des règles fiscales traditionnelles au profit de la règle du pays de consommation, car c’est la consommation qui fait la valeur ajoutée ». Or la France, grand pays de production, est un petit pays de consommation à l’échelle du monde. Selon lui, elle ne peut donc pas prendre acte de cela. « C’est un risque tout à fait majeur pour nos finances publiques », met-il en garde. Pour l’heure, la « taxe GAFA » pourrait rapporter 400 millions d’euros en 2019 et 650 millions en 2020. @

Sécurité des systèmes d’information et des données personnelles : nul ne peut ignorer ses responsabilités

RSI, NIS, OSE, OIV, PSC, EBIOS, RGPD, SecNumCloud, … Derrière ces acronymes du cadre réglementaire numérique, en France et en Europe, apparaissent les risques et les obligations en matière de sécurité des systèmes d’information et des traitements de données personnelles.

Par Christophe Clarenc, avocat, Cabinet DTMV & Associés

Les rapports d’activité pour 2018 publiés mi-avril (1) par, respectivement, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le « régulateur de la sécurité numérique » en sa qualité d’autorité en charge de la cybersécurité nationale,
et la Commission nationale de l’informatique et des libertés (Cnil), en charge de la sécurité des traitements de données personnelles, offrent et permettent un tour d’horizon rapide des évolutions réglementaires et de l’état des responsabilités en la matière.

Une réglementation évolutive
Au plan réglementaire, on doit tout d’abord mentionner la loi n° 2018-133 du 26 février 2018, le décret 2018-384 du 23 mai 2018 et l’arrêté du 14 septembre 2018 qui sont venus assurer la transposition en France de la directive européenne du 6 juillet 2016, dite « NIS », sur la sécurité des réseaux et systèmes d’information (RSI) des
« opérateurs de services essentiels » (2) (OSE) et des grands « fournisseurs de services numériques » (3) (FSN). Cette réglementation est supervisée en France
par l’ANSSI et dans la ligne de son dispositif de protection des RSI des opérateurs d’importance vitale (OIV) (4). Elle soumet les OSE et les FSN pour la protection de leurs RSI critiques à un régime de « règles de sécurité nécessaires pour garantir un niveau de sécurité adapté au risque existant compte tenu de l’état des connaissances », et de déclaration des incidents et de contrôle.
Cette réglementation définit et prescrit pour les OSE l’ensemble des « mesures appropriées » pour tout à la fois prévenir, limiter l’impact et gérer les incidents et compromissions de sécurité. Les règles de sécurité prescrites pour les FSN sont établies dans un règlement d’exécution du 30 janvier 2018 (5). Ces règles et mesures sont définies dans cinq « domaines » : celui de la « gouvernance » des RSI concernés (6) (analyse de risque, politique de sécurité décrivant l’ensemble des procédures et
des moyens organisationnels et techniques de sécurité mis en oeuvre, homologation
et audits de sécurité, cartographie (7)) ; celui de leur « protection » (architecture, administration, identités et accès), celui de leur « défense » (détection et traitement des incidents) ; et celui de la « résilience des activités » (gestion de crise en cas d’incident de sécurité ayant un impact majeur sur la fourniture des services essentiels en cause). Ces règles établissent le champ et les mesures de référence de la protection responsable des systèmes d’information critiques.
On peut ensuite mentionner le règlement européen sur la cybersécurité (8), voté en mars 2019 par le Parlement européen, qui vient, d’une part, donner mandat permanent et compétences à l’ENISA, l’Agence européenne chargée de la sécurité des RSI (9), d’autre part, établir une cadre pour la mise en place d’un « système européen de certification de cybersécurité » pour les processus, produits et services des technologies de l’information et de la communication (TIC). Ce dispositif, qui pourrait devenir un ressort essentiel du « marché unique numérique », devra s’articuler avec
les compétences de souveraineté et les intérêts normatifs et industriels fondamentaux des Etats membres avancés dans ce domaine, dont la France avec l’ANSSI. Les deux chambres du Parlement français avaient émis fin 2017 alerte et réserve sur ce point.
Le dispositif prévoit que la Commission européenne proposera la liste prioritaire des processus, produits et services TIC susceptibles d’être soumis à ce système de certification et que la certification, structurée en trois « niveaux d’assurance » (élémentaire, substantiel et élevé) procédera par démarche volontaire des acteurs intéressés.

Référentiels et socle de conformité
L’ANSSI a présenté en 2018 sa méthode EBIOS Risk Manager de référence pour l’analyse des risques de sécurité numérique et l’élaboration d’un « socle de sécurité solide appliquant les référentiels pertinents vis-à-vis de l’état de l’art (10) et de la réglementation », en vue notamment d’un label de conformité pour les éditeurs de solutions logicielles de gestion des risques et de la conformité. Le « régulateur de
la sécurité numérique » s’est également intéressé spécifiquement à la sécurité des données personnelles, en faisant évoluer son référentiel SecNumCloud pour intégrer les exigences du règlement général sur la protection des données (RGPD) et en publiant pour la matière des recommandations (« commandements de base »,
« précautions élémentaires ») tirées et adaptées de son guide d’hygiène informatique. Ce référentiel SecNumCloud concerne les prestations de services d’informatique en nuage (PSIN). Il fait partie des référentiels d’exigences et de labellisation développés par l’ANSSI pour qualifier les « prestataires de services de confiance » (PSC) (11).

Incidents, risques et manquements
La Cnil a elle-même publié en 2018 un guide de sécurité des données personnelles (12), consolidant et développant ses recommandations antérieures. Elle souligne dans son rapport pour 2018 que les « mesures de précautions élémentaires » rappelées dans les recommandations de son guide et de celui de l’ANSSI permettent de prévenir ou de limiter l’impact de nombreuses violations de données personnelles et « doivent aujourd’hui être le socle minimum sur lequel toute organisation fait reposer son système d’information ». D’autant que le RGPD, entré en vigueur en mai 2018, « impose à tous les organismes qui traitent des données personnelles de mettre en place des mesures pour prévenir les violations de ces données » et de pouvoir « apporter la preuve de
leur conformité ». En effet, le RGPD place la « garantie de sécurité appropriée » des données personnelles parmi les « principes » de conformité et de responsabilité du traitement des données personnelles, avec la responsabilité de « mettre en oeuvre des mesures techniques et organisationnelles appropriées pour assurer et être en mesure de démontrer que le traitement est effectué conformément au règlement » (13). La mise en oeuvre du « socle de sécurité » recommandé aura ainsi vocation à constituer la preuve de la conformité à l’obligation de garantie de sécurité appropriée des données personnelles traitées, obligation de moyen renforcée et de moyens effectifs à l’état de l’art, en particulier dans le cadre de la notification obligatoire d’une violation de données susceptible de révéler non seulement un défaut de sécurité causal mais une politique de sécurité défaillante.
L’ANSSI rapporte la survenance en 2018 de 1.869 signalements d’événements de sécurité, dont 391 incidents (hors OIV) et 16 incidents majeurs, contre respectivement 2.435, 794 et 20 en 2017. Elle rappelle l’étendue et l’intensité constantes des menaces et des risques de cybersécurité (sabotage, déstabilisation, espionnage, captations, fraudes, etc.), en soulignant que l’espionnage est le risque qui pèse le plus fortement sur les organisations, à travers notamment des attaques indirectes exploitant des relations de confiance établies entre parties prenantes. Le rapport publié en mai 2018 par la Délégation interministérielle aux industries de sécurité et à la lutte contre les cybermenaces (DMISC) sur l’état de la menace numérique en 2018 présente un tableau instructif des attaques, des fraudes et des dommages enregistrés avec le développement notamment du « crimeas- a-service » (CaaS) et souligne le risque majeur des objets connectés, à la fois cibles et vecteurs d’attaques, dont la sécurité n’est souvent pas la préoccupation principale de leurs fabricants. Il note par ailleurs que si la grande majorité des entreprises françaises sont touchées par des cyberattaques et que la France est le deuxième pays au monde le plus affecté par les vols de données personnelles, « la sécurité représente moins de 5 % du budget IT dans près de deux tiers des entreprises ». La Délégation parlementaire au renseignement a pu constater dans son rapport publié en avril 2018 que le tissu économique français « pâtit encore d’une culture de sécurité, notamment informatique, très largement déficitaire ». Pour sa part, la CNIL mentionne la poursuite en 2018 de nombreux signalements de violations de données personnelles issues de failles de sécurité et la réception entre fin mai 2018 (entrée en vigueur du RGPD) et fin décembre 2018 de 1.170 notifications de violations à la suite principalement d’atteintes à la confidentialité. De son analyse de ces notifications, elle a constaté tout d’abord que plus de 50 % des violations avaient pour cause un acte externe malveillant (principalement par piratage cyber et secondairement par vol physique) et environ 17 % un acte interne accidentel (principalement par adressage à un mauvais destinataire et secondairement par publication non volontaire). Ensuite, que ces violations mettaient « en évidence des faiblesses des systèmes d’information ou des processus mis en oeuvre au sein des entreprises ».
Tout comme en 2017, la majorité des sanctions (7 sur 10) et les montants les plus élevés de sanctions pécuniaires prononcés par la Cnil en 2018 l’ont été pour des manquements à la sécurité et à la confidentialité des données des utilisateurs ou des clients (14). Ces montants restent néanmoins limités au regard de la gravité des manquements des atteintes constatées.

Sanctions des carences ou insuffisances
La Cnil souligne que ce ne sont pas les incidents de sécurité en tant que tels qu’elle
a sanctionnés, mais les carences ou les insuffisances manifestes dans les mesures prises pour assurer la sécurité, causales dans les violations constatées y compris dans les cas d’intrusions élaborées. Les motifs de manquement et les montants de sanctions pourraient se développer fortement sur la base du RGPD, et avec une meilleure répartition entre les différentes parties prenantes à la sécurité des traitements. Il sera également instructif de suivre le traitement par la DGCCRF du signalement que lui
a adressé la Cnil en novembre 2017, dans l’affaire de la sécurisation des jouets connectés (15), au regard des « enjeux de sécurité et de conformité qui persistent
en dehors du champ d’application de la loi “Informatique et Liberté” ». @

Livre numérique en France : chiffres paradoxaux

En fait. Le 18 mars, le 39e Salon du livre de Paris, organisé par le Syndicat national de l’édition (SNE), a refermé ses portes au bout de quatre jours de fréquentation en baisse (- 2 %). Le marché de l’édition est aussi en recul en 2018, selon GfK, sauf pour les livres numériques.

En clair. Bien que les ventes de livres numériques soient en hausse en France (+ 6 %) selon l’institut d’études GfK et que le taux de Français déclarant lire un livre numérique n’a jamais été aussi élevé (22 %) selon l’enquête OpinionWay, le nombre de lecteurs
de ces mêmes ebooks stagne selon le sondage Ipsos. Autrement dit, les chiffres de
ce marché encore marginal en France sont paradoxaux, lorsqu’ils ne sont pas contradictoires. Une chose est sûre : le livre numérique est encore étouffé par un marché de plus en plus oligopolistique et accroché au papier (1).
Les premiers chiffres de GfK, présentés peu avant le salon Livre Paris, montrent un marché global de l’édition française en recul de près de 1 % à 3,94 milliards d’euros pour 354 millions d’exemplaires vendus (livres papiers et numériques). La littérature générale accuse même une baisse de 5,4 %. La seule hausse notable : le livre numérique, qui génère un chiffre d’affaires en augmentation de 6 %, à 103,3 millions d’euros, pour près de 14 millions d’ebooks vendus (2). GfK avance même un nombre de lecteurs de ces livres dématérialisés : 2,3 millions en 2018, soit moins de 5 % des Français. Ce lectorat estimé par GfK apparaît moins disant que celui avancé par l’enquête OpinionWay pour le SNE, la SGDL et la Sofia (3), d’après laquelle 22 % des Français âgés de 15 et ans et plus (4) déclarent en début d’année avoir lu un livre numérique – ce qui représente (selon un échantillon de personnes représentatif de
la population française, constitué par la méthode des quotas) plus de 6,3 millions de lecteurs d’ebooks (près de trois fois plus que les acheteurs de GfK). Conclusion : ce taux record illustre, depuis huit ans qu’est réalisé ce baromètre, une augmentation régulière des lecteurs de livres numériques. Mais ce constat n’est pas celui du Centre national du livre (CNL), dont le sondage Ipsos affirme que « le taux de lecteurs de livres numériques marque un palier en 2019 [à 24 % des sondés, soit le même taux qu’en 2017, ndlr], après une nette progression entre 2015 et 2017 [de 19 % à 24 %] ». Mais ce taux de lecteurs d’ebooks atteint les 47 % lorsqu’il s’agit des 15-24 ans (5), ce que les maisons d’édition – encore trop frileuses à diffuser leurs catalogues dématérialisés – devraient prendre en compte si elles ne veulent pas se couper du jeune lectorat. @