Les plateformes numériques sont-elles parties pour un grand chelem de sanctions ?

Les géants du Net sont pris entre deux feux principaux : le droit de la concurrence, d’une part, et la protection des données, d’autre part. Mais ces deux référentiels juridiques s’entremêlent de plus en plus et se démultiplient, au risque d’aboutir à des doubles sanctions. Ce que l’Europe assume.

Par Olivier de Courcel, avocat associé, cabinet Féral-Schuhl/Sainte-Marie

Alors que les textes de référence s’accumulent, de même que les procédures de contrôle et les sanctions (aux amendes toujours plus élevées), la mise en conformité (compliance) devient comme un grand chelem pour les plateformes numériques. Les procédures se multiplient: aux Etats-Unis, 5 milliards de dollars imposés à Facebook par la FTC américaine en juillet 2019, contrôle en cours par le DoJ sur les GAFA, enquête préliminaire conjointe de 48 Etats fédérés ; en Europe, amende de 2 millions d’euros en Allemagne pour le manque de transparence de Facebook sur les contenus illicites (1), enquête préliminaire lancée par la Commission européenne sur la collecte et l’utilisation des données des utilisateurs de Google (2), contrôle en cours par la « Cnil » irlandaise sur les ventes aux enchères d’espaces publicitaires de Google, pré-rapport de l’autorité de la concurrence britannique (CMA) sur les plateformes (3), etc…

Un empilement de textes et de sanctions
Or les référentiels juridiques ainsi opposés aux plateformes numériques sont d’autant plus complexes à articuler qu’ils tendent à s’ajouter en silos les uns à la suite des autres sans mise en cohérence. Les plateformes numériques sont d’abord des habituées du droit de la concurrence. La première décision rendue en France contre Google, en 2010 par l’Autorité de la concurrence, sanctionnait déjà le fonctionnement discriminatoire de l’affichage publicitaire sur le moteur de recherche et l’opacité des conditions de fourniture et interruption de son service Adwords (4). Le même abus de position dominante était soumis au gendarme de la concurrence à deux occasions en 2019 (5), ce qui l’amena en décembre dernier à assortir son injonction d’une sanction pécuniaire de 150 millions d’euros (6). Google a également fait l’objet de sanctions par la Commission européenne, à trois reprises entre 2017 et 2019 et pour un total qui dépasse 8 milliards d’euros (7). Par ailleurs, au titre du contrôle des concentrations, cette dernière a approuvé les principales opérations de fusion-acquisition des plateformes, notamment celle en 2014 de WhatsApp par Facebook (8). Ensuite, l’entrée en vigueur fracassante du règlement général sur la protection des données (RGPD), le 25 mai 2018, avec possibilité de sanctions jusqu’à 4% du chiffre d’affaires, a amené les entreprises, y compris les plateformes numériques, à prendre plus au sérieux le référentiel juridique applicable aux traitements de données à caractère personnel. A ce jour, néanmoins, les sanctions prononcées ne dépassent pas 215 millions d’euros pour un dossier (9). Les plateformes numériques connaissent bien l’orientation des régulateurs européens en matière de données et vie privée puisque, ne serait-ce qu’en France, Facebook a subi en 2017 deux décisions de sanction : l’une pour sa combinaison massive de données à des fins de ciblage publicitaire des internautes, y compris à leur insu et sur des sites tier (150.000 euros) (10); l’autre pour le traitement illégal par Facebook de données reçues de WhatsApp, (150.000 euros) (11).
Enfin, dans le cadre de sa stratégie pour un marché unique numérique, la Commission européenne a défini des règles applicables à l’ensemble des plateformes en ligne et places de marché actives dans l’Union européenne (près de 7.000), inspirées du droit de la concurrence et du droit de la consommation. Avec le règlement de juin 2019 sur les services d’intermédiation en ligne (12), elle interdit à toute plateforme numérique (et pas seulement celles en position dominante) de fermer sans motif le compte d’un vendeur. Dans le même cadre, les directives européennes concernant les consommateurs ont fait l’objet d’une révision d’ensemble via une directive du 27 novembre 2019 (13). Tout en renforçant la transparence pour les transactions BtoC sur les places de marché en ligne et en établissant une protection pour les consommateurs vis-à-vis des services numériques dits « gratuits » mais fournis contre leurs données personnelles, la nouvelle directive reprend le principe de sanctions pécuniaires qui, dans les lois nationales, devront s’élever « au moins » à 4% du chiffre d’affaires réalisé. En matière de « compliance », le RGPD fait des émules…

Application cumulative ou alternative
Le droit européen de la consommation apporte ainsi un troisième référentiel juridique pour le contrôle et la sanction des plateformes numériques (lesquels relèvent cependant à titre principal des autorités nationales). Encore ce panorama doit-il être complété par des réglementations plus spécifiques telles que la fiscalité (taxe GAFA), le droit d’auteur et les droits voisins de la presse (Google Actualités), la réglementation des télécoms (neutralité du Net) et d’autres…. Les référentiels de conformité opposables aux plateformes numériques s’articulent en fonction de leur objet et de leur échelon de contrôle (autorités nationales ou Commission européenne), ce qui peut entraîner une application cumulative ou alternative selon les cas.

RGPD et abus de position dominante
L’information donnée aux internautes est à l’intersection du droit de la concurrence et de la réglementation des données. Lorsque la filiale WhatsApp informe en 2016 ses utilisateurs qu’elle croisera leurs numéros de téléphone avec leurs identifiants Facebook, la Commission européenne constate que le rapprochement des deux bases de données était déjà possible techniquement lors de l’acquisition par Facebook en 2014, contrairement aux informations alors fournies. Facebook s’en sort en mai 2017 avec une amende de 110 millions d’euros. Mais cette transmission des données de WhatsApp et le manque d’information aux personnes sont aussi sanctionnés par la Cnil en décembre 2019 (150.000 euros). Le droit des abus de position dominante peut aussi prendre en compte une infraction à une loi spécifique, à partir du moment où l’infraction traduit un abus de cette position qui a pour objet ou pour effet de restreindre la concurrence sur le marché considéré (14). C’est ainsi qu’en Allemagne, l’autorité de la concurrence s’est essayée en février 2019 à démontrer les manquements de Facebook au RGPD pour considérer qu’ils traduisaient en tant que telle la position dominante du réseau social et son exploitation abusive (15). En appel, cette confusion des genres n’a pas été écartée dans le principe, mais la cour régionale de Düsseldorf a considéré que le non-respect du RGPD ne démontrait pas à lui seul l’existence d’un abus de position dominante ayant un effet anti-concurrentiel (16).
En sens inverse, pour le calcul de ses sanctions, le RGPD prend en compte certains aspects qui peuvent traduire une position dominante, tels que le nombre de personnes concernées par la violation ou bien les avantages financiers obtenus (17). Dans ses décisions concernant Facebook, la Cnil ne manque pas d’évoquer les 33 millions de personnes concernées et le caractère massif de la collecte de données qui en résulte (18). Dans sa décision de janvier 2019 concernant Google (50 millions d’euros), la Cnil considère même que la position dominante du système d’exploitation Android sur le marché français, associée au modèle économique du moteur de recherche bâti sur la publicité personnalisée, renforce les obligations de Google au titre du RGPD (19). A l’échelon de l’Union européenne, le commissaire à la Concurrence envisage de combiner la réglementation des données personnelles et les règles antitrust en analysant les données comme des actifs, dont la valeur croît d’autant plus qu’elles ne sont pas facilement accessibles ou reproductibles et qu’elles peuvent constituer une barrière à l’entrée pour d’autres entreprises. En sens inverse, il anticipe que la qualité de la protection de la vie privée offerte par un service puisse stimuler la concurrence (20). De telles situations créent le risque d’une double sanction pour un même comportement, au titre du droit de la concurrence et du RGPD ou d’une autre réglementation, comme dans le cas Facebook-WhatsApp. En effet, si le principe « non bis in idem » interdit d’appliquer plusieurs sanctions à une même infraction, des exceptions sont possibles lorsqu’il existe un motif d’intérêt général, lorsque que les sanctions ont des objectifs complémentaires et lorsqu’elles respectent le principe de nécessité et proportionnalité des peines (21).
A l’opposé des situations de recoupement, il peut y avoir des « vides réglementaires », lorsqu’un acteur ne se trouve pas en position dominante ou que son comportement n’a pas d’effet anti-concurrentiel sur le marché et que, pour autant, la réglementation n’est pas assez précise pour incriminer son comportement. C’est en ce sens que le règlement de juin 2019 sur les services d’intermédiation en ligne établit des règles inspirées du droit de la consommation pour les entreprises qui normalement n’en bénéficient pas. Or le partage des compétences entre autorités de contrôle est un facteur majeur de la fragmentation des décisions.
Au lieu d’une répartition à partir de seuils de chiffre d’affaires assortie d’un principe de dessaisissement des autorités nationales au profit de la Commission européenne, comme en droit de la concurrence, le RGPD prévoit la compétence de l’autorité nationale de chaque pays concerné par le traitement de données en cause. Un traitement transfrontalier peut être suivi par une autorité nationale « chef de file » (22), mais celle-ci doit susciter un consensus avec ses pairs sur son projet de décision. En cas de désaccord entre autorités nationales, le comité européen à la protection des données (CEPD), qui les réunit toutes, est appelé à trancher (23). En pratique, le risque serait de voir la violation des règles de protection des données sanctionnée faiblement ou pas du tout par les autorités nationales (plus sensibles aux intérêts économiques de leur pays) et se trouver sanctionnée lourdement par la Commission européenne mais au titre du droit de la concurrence. La crédibilité du RGPD s’en trouverait réduite.

Une politique des plateformes s’impose en Europe
Dans ce contexte réglementaire fragmenté, des appels se font entendre pour réviser le droit de la concurrence, promouvoir l’open data et l’interopérabilité, réguler les plateformes numériques à l’instar des opérateurs télécoms dominants, ou encore scinder les GAFAM. Mais en attendant de telles réformes, on peut s’interroger sur le risque de l’absence de politique ou de projet industriel européens pour concurrencer les plateformes américaines et chinoises et pour traiter les données en Europe. @

En novembre : Apple TV+, Disney+ et Google Stadia

En fait. Le 1er novembre, c’est le lancement de la plateforme vidéo Apple TV+. Le 12 novembre, c’est au tour du service de streaming vidéo Disney+ d’ouvrir. Le 19 novembre, c’est cette fois la plateforme de jeux vidéo en streaming Google Stadia qui part à la conquête des internautes. Et ce n’est pas fini.

En clair. Jamais un mois de novembre n’aura vu débouler coup sur coup trois grandes plateformes numériques, portées chacune par un géant du Net aux ambitions à la démesure de leur puissance de feu financière. Apple, Disney et Google vont chacun leur tour – respectivement le 1er, le 12 et le 19 novembre – dégainer leur plateforme de streaming d’envergure mondiale. Qu’elles soient dédiées à la vidéo à la demande (Apple TV+ et Disney+) ou aux jeux vidéo en streaming (Google Stadia), ces trois services de contenus premium intensifient la « plateformisation » de l’Internet sous l’impulsion des industries culturelles résolument tournées vers l’audiovisuel en ligne. Mais ces nouveaux écosystèmes sont d’autant moins des pionniers qu’ils débarquent tardivement. Apple TV+ et Disney+ sont lancés sur des marchés – les Etats-Unis en premier – dominés par un Netflix fort de ses 158 millions d’abonnés dans le monde, lui-même suivi par Amazon Prime Video (1) et ses plus de 100 millions d’abonnés, sans oublier Hulu et YouTube parmi les autres concurrents. De son côté, Google Stadia s’attaque aux positions historiques bien établies des géants Sony et Microsoft avec leurs consoles de jeux – respectivement PlayStation et la Xbox. La guerre des plateformes va ainsi s’intensifier sur un marché mondial déjà hyper-concurrentiel, comme l’illustre la bataille tarifaire déjà bien engagée : Apple TV+ sera disponible dans plus de 100 pays à 4,99 dollars/euros par mois (mais avec un catalogue de productions originales moins étoffé) ; Disney+ a fixé son prix mensuel à 6,99 dollars/euros (avec la richesse d’un catalogue légendaire, Pixar et Star Wars compris) ; Google Stadia proposera, après l’offre de pré-commande (2), un tarif « pro » à 9,99 dollars/euros par mois (avec un catalogue d’une trentaine de jeux dans un premier temps), puis l’an prochain une offre « basique » à un prix moins élevé (inconnu à ce jour). Les tarifs d’Apple TV+ et de Disney+ se veulent compétitifs par rapport aux 12,99 dollars/euros par mois de Netflix qui a augmenté petit à petit ses prix (contre 7,99 dollars/euros en 2010). Google Stadia fait face aux plateformes PlayStation Now de Sony, dont l’abonnement vient d’être réduit de moitié à 9,99 dollars/euros, et Xbox Game Pass de Microsoft (9,99 dollars/euros par mois). Cette plateformisation est aussi la bataille du temps disponible des internautes. @

La France prend le risque de ne pas notifier à Bruxelles sa taxe sur les services numériques (TSN)

« Taxe GAFA » ou encore « taxe Le Maire », quel que soit son surnom, la taxe sur les services numériques (TSN) – 3 % sur le chiffre d’affaires des entreprises du Net d’une certaine taille et actives en France – présente une dimension « aide d’Etat » censée être notifiée à la Commission européenne sous peine d’être illégale.

Le gouvernement a décidé de ne pas notifier à la Commission européenne la loi instaurant la taxe sur les services numériques (TSN), ou « taxe GAFA », qui a été définitivement adoptée le 11 juillet. Pourtant, afin d’éviter une double imposition des entreprises du Net qui paient déjà en France l’impôt sur les sociétés, la nouvelle loi prévoit une déduction qui s’apparente à une aide d’Etat. Or pour qu’une aide d’Etat ne soit pas illégale, elle doit être notifiée en bonne et due forme à la Commission européenne, conformément au traité sur le fonctionnement de l’Union européenne – le TFUE (1). « Aucune notification n’a été reçue de la France, indique à Edition Multimédi@ une source à Bruxelles sous couvert d’anonymat. Une notification est requise si une mesure entraîne une aide d’Etat. Les Etats membres doivent veiller à ce que leur régime fiscal ne favorise pas indûment certaines entreprises par rapport à d’autres. Cela nécessite une évaluation au cas par cas ». La Commission européenne s’attend donc, sur sa taxe GAFA, à une notification de la France afin d’en étudier la conformité avec ses propres orientations fixées le 21 mars 2018 et les règles du TFUE.

La « taxe Le Maire » et la « taxe Moscovici »
C’est au début du printemps 2018 qu’a en effet été proposée une TSN européenne, surnommée « taxe Moscovici », qui est actuellement examinée par le Conseil de l’Union européenne. « Nous n’avons pas de commentaires à faire sur les projets de loi nationaux, nous répond Vanessa Mock, porte-parole à la Commission européenne sur les questions financières et fiscales relevant du champ d’action du commissaire Pierre Moscovici (photo). Plus généralement, il est fortement suggéré aux Etats membres qui souhaitent introduire des mesures nationales [comme la TSN, ndlr] d’utiliser la proposition de la Commission européenne relative à une taxe commune sur les services numériques – qui prend également en compte les considérations de conception exposées dans le rapport intermédiaire de l’OCDE (3) sur les défis fiscaux découlant de la numérisation (4) – comme modèle. Cela permettra de réduire au minimum la fragmentation du marché unique et d’assurer la compatibilité avec le droit communautaire ».

Eviter la double imposition des sociétés
La proposition de TSN de Bruxelles prévoit bien des mesures afin d’atténuer le risque de double imposition : « Afin de réduire les cas éventuels de double imposition (…), il est prévu que les Etats membres autoriseront les entreprises à déduire la TSN acquittée en tant que coût de l’assiette de l’impôt sur les sociétés sur leur territoire » (5). C’est ce que prévoit bien la loi française. Car afin d’éviter la double imposition pour les entreprises du Net qui paient déjà leurs impôts sur les bénéfices réalisés en France, il fallait trouver un remboursement pour éviter cette fiscalité supplémentaire pour une société déjà assujettie par ailleurs – au nom du principe d’égalité devant l’impôt.
Le Sénat a finalement opté pour un mécanisme de déduction de la TSN de la contribution sociale de solidarité des sociétés (C3S). Ces deux outils fiscaux – TSN et C3S – portent chacun sur le chiffre d’affaires d’une entreprise et ne relèvent pas de conventions fiscales, tout en assujettissant l’ensemble des entreprises, quel que soit leur pays où se situe leur siège social, au regard des activités exercées sur le sol français et les rendant ainsi passibles de l’impôt sur les sociétés. Mais un acteur du Net non installé en France pourrait ne pas bénéficier de la ristourne fiscale, ce qui constituerait une distorsion de concurrence par rapport à une entreprise française ainsi avantagée.
« Quoiqu’imparfaite car ne compensant notamment pas totalement la double imposition, cette solution permettait de réduire l’impact de cette taxe [TSN] pour les entreprises installées en France et qui ne réalisent pas encore de bénéfices, nombreuses dans le secteur numérique », ont estimé les deux rapporteurs (6) de la loi en commission mixte paritaire fin juin. Autrement dit, cette compensation ménage la trésorerie des entreprises qui payent déjà leurs impôts en France. Et l’objectif de la « taxe GAFA », prévue désormais à l’article 299 du code général des impôts, reste bien de taxer des géants du numérique qui ne paient pas d’impôt sur les sociétés en France – pas les autres. Le choix de porter l’assiette de la TSN sur le chiffre d’affaires était susceptible de faire des victimes collatérales parmis les entreprises françaises. D’où l’idée de cette compensation, qui s’apparente à une aide d’Etat. Selon l’amendement (7) du sénateur (LR) Albéric de Montgolfier qui introduit dans la loi cette articulation TSN-C3S, la « taxe Le Maire » – du nom du ministre de l’Economie et des Finances, Bruno Le Maire (photo de droite), qui a porté le projet – risquait en effet de se traduire immédiatement pour les entreprises déjà imposées sur les bénéfices réalisés en France par une baisse de leurs résultats après impôts de 30 %. D’où l’instauration de la réduction sur la C3S lorsqu’il y a prélèvement dû au titre de la TSN.
Cette solution d’évitement de la double imposition est une ristourne qui s’apparente à une aide d’Etat et suppose donc une notification à Bruxelles, au regard des règles TFUE. Le Parlement français se veut très prudent afin d’éviter que la « taxe Le Maire » ne soit invalidée. Aussi, Albéric de Montgolfier, rapporteur général de la commission des finances du Sénat, a introduit un petit article dans la loi française. Cet article 2 y précise qu’« en l’absence de notification préalable de la taxe sur les services numériques (…) à la Commission européenne (…), le gouvernement remet, dans un délai de trois mois à compter de la promulgation de la présente loi, un rapport au Parlement sur les raisons pour lesquelles la taxe précitée n’a pas été notifiée à la Commission européenne ».
Les explications du gouvernement sur la non-notification de la taxe GAFA de Paris à Bruxelles sont donc attendues à l’automne 2019. Comment justifier cette non-notification qui pourrait remettre en cause l’instauration de cette taxe GAFA applicable au 1er janvier 2019? Le gouvernement français a décidé de faire cavalier seul pour être le premier Etat membre à mettre en oeuvre cette taxe numérique (8). Pour être euro-compatible, le rapporteur Albéric de Montgolfier a estimé « indispensable » cette notification : « Dès lors que la taxe ne frapperait que des grandes entreprises internationales, il convient d’être prudent. Si elle était qualifiée d’aide d’Etat, sans notification préalable, la taxe serait invalidée sans même être contraire aux traités européens ».

La taxe GAFA scrutée par le G7 et l’OCDE
Et le sénateur de la commission des finances du Sénat de mettre en garde le gouvernement : « Si la taxe n’est pas notifiée et qu’elle est invalidée, il sera nécessaire de rembourser les entreprises qui l’ont acquittée. Ce serait la pire solution ! ». Il y a donc bel et bien insécurité juridique et risque d’illégalité de la taxe GAFA, que conteste par ailleurs les Etats-Unis (9), alors que le G7 va se réunir fin août en France à Biarritz pour en discuter. Si elle devenait illégale, elle ne le serait pas longtemps puisque la France a prévu d’annuler son impôt numérique dès qu’un accord mondial au sein de l’OCDE sera trouvé – dès 2020 ? @

Charles de Laubier

Règlementation pour la fiabilité des informations et conseil de presse : sommes-nous tous concernés ?

Les lois de lutte contre les « fausses nouvelles » (1881, 2016, 2018) visent aussi
à faire respecter une certaine déontologie de l’information qui, à l’ère d’Internet, ne concerne plus seulement les médias et les journalistes, mais aussi la société civile qui participe à la diffusion d’« actualités ».

Par Marie-Hélène Tonnellier, avocate associée, Corentin Pallot, avocat, et Elsa Mouly, élève-avocat, cabinet Latournerie Wolfrom Avocats

La confiance dans les médias chute
à des niveaux pour le moins inquiétants. Constat particulièrement marquant, selon une étude Kantar Sofres réalisée début janvier : si le média le plus crédible aux yeux du public serait la radio, seuls 50 % des participants considèrent que les informations y sont fiables ; ce taux de crédibilité tombe à 44 % pour les informations communiquées dans la presse écrite et à 38 % à la télévision (1).

Plusieurs acteurs sont visés
Parallèlement à cette perte de confiance, de nouveaux sites d’information en marge
des médias traditionnels font leur apparition dont l’objectif affiché est souvent d’offrir
un média de proximité et indépendant. Pour tenter de lutter contre cette perte de confiance, le législateur et le pouvoir exécutif sont intervenus à plusieurs reprises
ces derniers mois en prenant des mesures visant en premier lieu les médias et les journalistes, mais pas seulement, puisque certains des textes adoptés concernent d’autres acteurs tels que les annonceurs, les plateformes en ligne, voire la société civile.
• Les médias et journalistes : les premiers concernés. Déjà en 2011, le Syndicat national des journalistes (SNJ) avait élaboré et adopté une charte d’éthique professionnelle. On y retrouvait des principes dont l’objectif est de lutter contre la désinformation : le journaliste « prend la responsabilité de toutes ses productions professionnelles, mêmes anonymes » ; de même qu’il « tient l’esprit critique, la véracité, l’exactitude, l’intégrité, l’équité, l’impartialité, pour les piliers de l’action journalistique ; tient l’accusation sans preuve, l’intention de nuire, l’altération des documents, la déformation des faits, le détournement d’images, le mensonge, la manipulation, la censure et l’autocensure, la non vérification des faits, pour les plus graves dérives professionnelles » (2). Pour autant, malgré les efforts fournis, la déontologie des journalistes – qui reste pour beaucoup un sujet de discussion passionné – ne semble pas pour autant avoir abouti à des règles contraignantes. En 2016, c’est la loi qui est venue cette fois-ci imposer, non pas aux journalistes mais aux sociétés éditrices de presse ou audiovisuelles, de se doter d’une charte de déontologie (3). Cette disposition a pour conséquence de créer autant de chartes de déontologie qu’il y a de sociétés éditrices. Ce qui n’a pas manqué d’inquiéter certains acteurs, d’autant que beaucoup l’ont jugée insuffisante au regard de son objectif de renforcement de l’indépendance des médias vis-à-vis des actionnaires. Tout récemment a été adoptée une loi particulièrement marquante (tout du moins a-t-elle beaucoup fait parler d’elle !), la loi
« Fake News » (4), qui vise directement les médias. Difficilement acquise par la majorité, rejetée deux fois par le Sénat, objet d’une saisine du Conseil constitutionnel, cette loi de « lutte contre la manipulation de l’information » a finalement été publiée le 23 décembre 2018. Elle a pour objectif premier de lutter contre les fausses informations en période électorale. Pour ce faire, elle donne la possibilité au Conseil supérieur de l’audiovisuel (CSA) d’ordonner la suspension de la diffusion d’un service de télévision contrôlé par un Etat étranger ou placé sous l’influence de cet Etat pour avoir diffusé en période électorale de fausses informations. Cette loi permet également, toujours au CSA, de prononcer la résiliation unilatérale de la convention conclue avec l’éditeur si
ce service a porté atteinte aux intérêts fondamentaux de la nation – notamment par la diffusion de fausses informations. La loi « Fake News » s’adresse également aux services de communication au public en ligne puisqu‘elle permet en période électorale de saisir le juge des référés, afin qu’il prenne toutes mesures proportionnées et nécessaires pour faire cesser la diffusion d’allégations jugées inexactes ou trompeuses et de nature à altérer la sincérité du scrutin à venir.

Décision nuancée du Conseil constitutionnel
Si certains ont pu y voir un risque d’atteinte à la liberté d’expression et de la communication, leur crainte n’a pas retenu l’attention du Conseil constitutionnel qui a considéré que cette nouvelle procédure avait pour but de « lutter contre le risque que les citoyens soient trompés ou manipulés dans l’exercice de leur vote par la diffusion massive de fausses informations sur des services de communication au public en
ligne ». Il a d’ailleurs ajouté que les services de communication au public en ligne ciblés par cette procédure « se prêt[aient] plus facilement à des manipulations massives et coordonnées en raison de leur multiplicité et des modalités particulières de la diffusion de leurs contenus » (5). Les sages de la rue de Montpensier ont tout de même nuancé leur décision en précisant que « les allégations ou imputations mises en cause ne sauraient, sans que soit méconnue la liberté d’expression et de communication, justifier une telle mesure que si leur caractère inexact ou trompeur est manifeste ». Il en va de même pour « le risque d’altération de la sincérité du scrutin, qui doit également être manifeste ».

Les géants du Web mis à contribution
• Les plateformes en ligne dans le viseur du législateur. Mais la loi « Fake News » n’a pas seulement la prétention de cibler les médias. Elle vise en effet également à responsabiliser les géants du Web dont les plateformes sont de plus en plus utilisées comme relai d’information ou de désinformation (c’est selon), la loi allant jusqu’à exprimer clairement une obligation de mettre « en oeuvre des mesures en vue de lutter contre la diffusion de fausses informations susceptibles de troubler l’ordre public ou d’altérer la sincérité d’un des scrutins ». Ces plateformes en ligne devront en particulier, trois mois avant et jusqu’à la fin des élections, fournir une information loyale, claire et transparente sur l’identité de la personne qui finance le contenu de l’information partagée se rattachant au débat d’intérêt général. Elles devront aussi rendre public le montant de ces financements lorsqu’il dépasse un certain seuil. La facilité d’accès à ces plateformes et la possibilité pour tout un chacun d’y publier des contenus rend particulièrement difficile le contrôler les informations y circulant. La multitude d’auteurs et cette absence de contrôle a facilité l’expansion des fake news. Le législateur entend ainsi endiguer ce phénomène et rendre plus aisée la lutte contre la désinformation.
• Les sites favorisant la désinformation attaqués au portefeuille. Avec la digitalisation et l’essor de la publicité en ligne, le phénomène des fake news n’épargne pas non plus les annonceurs publicitaires. Le ciblage comportemental, qui consiste à associer une publicité à une personne déterminée, la multiplication des acteurs ou encore l’automatisation quasi-complète du processus, rend de plus en plus difficile pour l’annonceur de s’assurer de l’environnement dans lequel son annonce est diffusée. Pour éviter que ces derniers n’en perdent complétement la maîtrise, le pouvoir exécutif a mis à la charge des vendeurs d’espaces publicitaires une obligation de transparence. Depuis le 1er janvier 2018, un décret favorisant la transparence dans le monde de la publicité digitale permet en effet aux annonceurs de s’assurer que leurs publicités ne sont pas associées à des sites qui pourraient nuire à leur image (6). Les vendeurs doivent désormais communiquer à l’annonceur un compte rendu qui répertorie notamment : l’univers de diffusion publicitaire, le contenu des messages publicitaires diffusés, les formats utilisés, le montant global facturé pour une même campagne publicitaire, ou encore les mesures mises en oeuvre pour éviter la diffusion de messages publicitaires sur des supports illicites. Les annonceurs pourront ainsi vérifier que leurs publicités ne sont pas diffusées sur des sites propagandistes, entre autres sites web indésirables ou illicites. Ce décret permet donc à la fois pour l’Etat de lutter contre le financement de ces supports et pour les annonceurs de protéger leur image de marque.
• La société civile également impliquée dans la lutte contre les fake news. On relèvera enfin que cette récente règlementation n’a cependant pas complété le catalogue de sanctions visant les émetteurs de fake news, le but étant plutôt d’adapter la loi aux nouveaux canaux d’information. Les dispositions existantes n’ont donc pas été modifiées, telles que l’article L. 97 du code électoral qui prévoit une sanction contre ceux qui utilisent de fausses informations pour détourner des votes ou encore l’article 27 de la loi du 29 juillet 1881 qui punit la diffusion de fausses nouvelles qui auront troublé la paix publique. A noter que d’autres dispositions de la loi de 1881 sur la liberté de la presse, du code pénal ou du code monétaire et financier viennent également sanctionner une variété de comportements en lien avec la création de fausses informations. Cet arsenal est déjà assez complet. On aurait donc pu reprocher à ces différents textes de ne pas viser les personnes de la société civile, qui pourtant participent et sont finalement les premiers concernés par le désaveu envers les médias. Seule disposition notable, celle insérée dans le code de l’éducation imposant d’informer les élèves sur les « moyens de vérifier la fiabilité d’une information » (7).
Mais c’est là qu’intervient la possible création d’un conseil de déontologie de la presse qui pourrait permettre, selon le ministre de la Culture, Frank Riester, de « retisser le lien de confiance entre les français et les journalistes si tant est qu’il est distendu » (8). Dans cette optique, l’ancienne ministre de la rue de Valois, Françoise Nyssen, a confié à Emmanuel Hoog (ancien PDG de l’Agence France-Presse) la rédaction d’un rapport en vue de la création d’un conseil de déontologie de la presse. Ce rapport, annoncé pour la fin du mois de janvier 2019, n’a néanmoins toujours pas encore été publié.

Conseil de presse pour instruire les plaintes
Ce conseil dit « de presse », mais qui concernerait tous les médias (journaux, télévisions, radios, numérique, …), pourrait réunir des journalistes et des éditeurs, mais aussi des personnes venant de la société civile. Organe de réflexion, de concertation mais aussi de médiation, le conseil aurait pour fonction d’instruire les plaintes des personnes concernant le respect des pratiques professionnelles. C’est en tout cas ainsi que l’a envisagé l’Observatoire de la déontologie de l’information, dans un communiqué (9) publié en janvier dernier. @

Etant basé en Irlande, Google compte rendre illégal l’amende de la Cnil devant le Conseil d’Etat

Le Conseil d’Etat devra dire si la Cnil est compétente pour sanctionner financièrement Google dont le siège européen est basé en Irlande. La firme de Mountain View doit payer 50 millions d’euros pour non-respect du règlement général sur la protection des données (RGPD) sur Android.

Google fait donc appel de la décision de la Cnil (1) qui lui a infligé le 21 janvier dernier une amende de 50 millions d’euros « en application du RGPD (2) pour manque de transparence, information insatis-faisante et absence de consentement valable pour la personnalisation de la publicité ». Pour autant, ce n’est pas le montant de la sanction financière – une goutte d’eau au regard des dizaines de milliards de dollars qu’engrange chaque année la firme de Mountain View (3) – qui va contester devant
le Conseil d’Etat, mais bien la compétence de la Cnil dans cette procédure.

« Cnil » irlandaise et Google Irlande à Dublin
Google, qui s’est bien gardé d’évoquer le problème dans son communiqué laconique
du 23 janvier savamment distillé auprès de quelques médias, va demander à la haute juridiction administrative d’invalider la délibération du 21 janvier – publiée au Journal Officiel du 22 janvier (4). Car, selon le géant du Net, « la Cnil n’est pas compétente pour mener cette procédure et qu’elle aurait dû transmettre les plaintes reçues à l’autorité
de protection des données irlandaise » – en l’occurrence la DPC (The Data Protection Commission), basée à Dublin. C’est justement à Dublin, la capitale de l’Irlande, qu’est établie la société Google Ireland Limited, dont la directrice des affaires publiques et relations gouvernementales est Anne Rooney (photo), une Irlandaise francophone et francophile. C’est elle qui dirige Google Ireland, sous la présidence européenne de Matt Brittin (5), en charge des opérations et basé à Londres. Plus connu en France où il est installé, Carlo d’Asaro Biondo est, lui, président européen des partenariats – tous les trois sur les régions EMEA (Europe, Moyen-Orient et Afrique).
Sur son profil LinkedIn, Anne Rooney déclare : « Je suis responsable de la gestion
et de la direction des agendas produits et politiques avec les décideurs politiques externes, le gouvernement, les régulateurs et les tierces parties au nom de Google Irlande et EMEA. Je développe et dirige l’engagement en matière de politiques publiques et de réglementation dans toute la gamme des domaines stratégiques qui
ont une incidence sur Google et le Web. Les questions clés comprennent l’innovation technologique, le développement économique et la sécurité ». Sa maison mère est formelle et a eu l’occasion de l’affirmer à plusieurs reprises devant la Cnil : Google Ireland Limited doit être considérée comme son établissement principal au sein de l’Union européenne pour certains des traitements transfrontaliers qu’elle met en oeuvre, « et notamment ceux objets des plaintes reçues par la Cnil ». En conséquence, poursuit Google, la DPC devrait être considérée comme l’autorité de contrôle compétente et
« chef de file » en charge, à ce titre, de traiter les plaintes reçues par son homologue française.
Devant le Conseil d’Etat, le géant du Net ne manquera pas de rappeler – comme il
l’a exposé devant la Cnil dans ses observations écrites (des 22 novembre 2018 et 4 janvier 2019) ainsi qu’oralement le 15 janvier dernier – que son siège social pour ses opérations européennes se situe précisément en Irlande depuis 2003. Google Ireland Limited est « l’entité en charge de plusieurs fonctions organisation-nelles nécessaires
à la réalisation de ces opérations pour la zone Europe, Moyen-Orient et Afrique (secrétariat général, fiscalité, comptabilité, audit interne, etc.) ». C’est en outre de cette société basée à Dublin que relève « la conclusion de l’intégralité des contrats de vente de publicités avec les clients basés dans l’Union européenne ». Le QG européen de Google emploie plus de 3.600 salariés et, selon les affirmations de l’entreprise elle-même, dispose d’une équipe dédiée en charge de « la gestion des demandes faites
au sein de l’Union européenne en lien avec la confidentialité et d’un responsable chargé de la protection de la vie privée ». Google a aussi précisé à la Cnil qu’une réorganisation tant opérationnelle qu’organisationnelle était en cours « en vue de
faire de la société Google Ireland Limited le responsable de traitement pour certains traitements de données à caractère personnel concernant les ressortissants
européens ».

Pour Google, la Cnil n’est pas « chef de file »
Autre argument avancé par Google : la définition d’établissement principal doit être distinguée de celle de responsable de traitement. « Si le législateur européen avait voulu que la notion d’établissement principal soit interprétée comme le lieu où les décisions concernant les traitements sont prises, il l’aurait expressément indiqué », estime la firme de Mountain View. De plus, invoquant la nature transfrontalière des traitements de personnalisation de la publicité et du nombre significatif d’utilisateurs d’Android en Europe faisant l’objet de ces traitements de données personnelles, dont probablement plus de 30 millions de mobinautes en France (6), elle considère que « les mécanismes de coopération et de cohérence tels que prévus [par le] RGPD auraient dû s’appliquer » et que « le Comité européen de la protection des données (CEPD) aurait dû être saisi en cas de doute sur la détermination de l’autorité chef de file ».

Sanctions suivantes : après Android, au tour de YouTube, Gmail et Search ?
Google s’appuie en particulier sur l’article 60 du RGPD, selon lequel l’autorité de contrôle chef de file coopère avec les autres autorités de contrôle concernées en s’efforçant de parvenir à un consensus – l’autorité de contrôle chef de file et les autorités de contrôle concernées échangeant toute information utile. De plus, en
dehors de la procédure engagée par la Cnil, Google estime « sans effet juridique »
les discussions informelles qui ont pu avoir lieu entre les autres autorités européennes de contrôle sur cette procédure « dès lors qu’elles ont eu lieu sans sa présence ».
La non reconnaissance par Google de l’autorité « chef de file » que s’est arrogée la
Cnil sera ainsi au coeur des réflexions du Conseil d’Etat qui devra dire si l’autorité
– présidée par Marie-Laure Denis depuis début février – a outrepassé ou pas ses compétences territoriales et si sa sanction financière est légale ou non.
Dans son considérant n°36, le RGPD prévoit que « l’établissement principal d’un responsable du traitement dans l’Union (européenne) devrait être le lieu de son administration centrale dans l’Union, à moins que les décisions quant aux finalités et aux moyens du traitement des données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l’Union, auquel cas cet autre établissement devrait être considéré comme étant l’établissement principal ». Google Ireland Limited à Dublin aurait dû alors être reconnu comme l’établissement principal en Europe et la « Cnil » irlandaise (DPC) comme le chef de file pour instruire la procédure sur les éléments fournis par son homologue française.
Cette dernière, en se référant aux lignes directrices du CEPD du 5 avril 2017 concernant la désignation d’une autorité de contrôle chef de file d’un responsable de traitement ou d’un sous-traitant (7), juge que la filiale irlandaise de Google ne dispose d’« un quelconque pouvoir décisionnel quant aux finalités et aux moyens des traitements couverts par la politique de confidentialité présentée à l’utilisateur lors de la création de son compte, à l’occasion de la configuration de son téléphone mobile sous Android ». La Cnil reconnaissant seulement son rôle dans les « activités financières et comptables, vente d’espaces publicitaires, passation de contrats etc ». L’amende de
50 millions d’euros porte sur le système d’exploitation des terminaux mobiles Android assorti de l’App Store Google Play, ainsi que sur l’activité de régie publicitaire. Il est reproché à Google de demander aux mobinautes Android d’accepter sa politique de confidentialité et ses conditions générales d’utilisation des services – et surtout, qu’à défaut d’une telle acceptation, les utilisateurs ne pourraient utiliser leur terminal (smartphone ou tablette sous Android).
Le géant du Net se permet en outre d’exploiter les traitements de données à caractère personnel à des fins publicitaires (analyse comportementale et ciblage). Or, pour enfoncer le clou, la Cnil révèle un courrier en date du 3 décembre 2018 adressé à la DPC à Dublin pour lui annoncer « que le transfert de responsabilité de Google LLC
vers la société Google Ireland Limited sur certains traitements de données à caractère personnel concernant les ressortissants européens serait finalisé le 31 janvier 2019 ». Par ailleurs, Google vient de procéder à la mise à jour de ses règles de confidentialité qui sont entrées en application le 22 janvier 2019 – soit le lendemain de sa mise à l’amende par la Cnil ! La Quadrature du Net, association française de défense des droits et libertés numériques, qui fut avec l’association autrichienne NOYB (None Of Your Business, « ce n’est pas tes affaires ») à l’origine des plaintes contre Google, dénonce cette manoeuvre qu’elle estime grossière et appelle la Cnil à continuer à sanctionner au-delà d’Android. « Nous attendons de la Cnil qu’elle ignore cette pirouette éhontée et décide de rester compétente pour prononcer les autres sanctions contre YouTube, Gmail et Google Search, notre plainte ayant été déposée bien avant ce changement unilatéral des conditions d’utilisation imposées par l’entreprise ».

Europe : 95.000 plaintes en 8 mois, c’est peu
Le bras de fer entre Google et la Cnil devant le Conseil d’Etat intervient au moment
où la Commission européenne a annoncé le 25 janvier – Journée de la protection des données – qu’au cours des huit mois depuis l’entrée en vigueur du RGPD (le 25 mai 2018), « les autorités nationales de protection des données ont reçu plus de 95.000 plaintes de citoyens à ce jour », dont 255 font l’objet d’une enquête de la part des
« Cnil » (8). Objectivement, c’est très peu au regard des quelques centaines de millions d’Européens connectés à Internet et détenteurs de smartphones. @

Charles de Laubier