Comment l’Autorité de la concurrence dénonce une régulation audiovisuelle « profondément inadaptée »

La Cour des comptes, le CSA et le rapport « Bergé » ont déjà mis en évidence les faiblesses du système français de régulation de l’audiovisuel. L’Autorité de la concurrence va plus loin en en dénonçant la « complexité rare » et le caractère « très atypique », voire « non-équitable et inefficace ».

François Brunet* (photo) et Winston Maxwell,

avocats associés, cabinet Hogan Lovells

L’Autorité de la concurrence plaide pour une réforme qui permettrait aux acteurs français de la télévision de se débarrasser de contraintes, lesquelles, aujourd’hui, n’ont plus aucun sens économique – voire, risquent de condamner à la stagnation et au déclin l’ensemble des filières audiovisuelle et cinématographique françaises. Son analyse commence par un panorama détaillé du nouveau paysage concurrentiel de l’audiovisuel. L’Autorité de la concurrence met en avant l’existence d’une « révolution numérique », qui a « profondément modifié les usages de l’audiovisuel » et qui a permis le développement de nouveaux opérateurs issus du monde de l’Internet, en particulier celui des GAFAN. Elle constate ainsi que ces nouveaux acteurs ne connaissent pas les mêmes contraintes réglementaires que les acteurs traditionnels français de l’audiovisuel et sont, en conséquence, capables de proposer des offres plus flexibles et moins coûteuses pour les consommateurs.

Une dérégulation inéluctable du secteur
Ainsi, Netflix augmente aujourd’hui le nombre de ses abonnés de 25 % à 30 % par an et dispose d’une base mondiale de 140 millions d’abonnés – dont près de 5 millions en France. De même, après seulement deux années d’existence, Amazon Prime Video totalise déjà 100 millions d’abonnés dans le monde. A l’inverse, Canal+, qui, depuis 20 ans, s’est désinvesti de nombreux marchés étrangers, notamment de l’Italie et des pays scandinaves, voit sa base française d’abonnés décliner chaque année (le nombre d’abonnés aux offres historiques de Canal+ a enregistré une baisse de 230 000 en 2018). L’Autorité de la concurrence note également, dans la lignée de son avis de mars 2018 relatif à la publicité en ligne (1), que cette révolution numérique s’accompagne « d’une rapide évolution du secteur de la publicité télévisuelle, confrontée à la très forte croissance de la publicité en ligne ». Dans ce nouvel environnement, Lire la suite

La « taxe GAFA » – chère au président Macron et à son ministre Le Maire – cherche son véhicule législatif

Absente de la loi de finances pour 2019 et de la loi « Gilets jaunes » promulguées en décembre, la taxe GAFA – que Bruno Le Maire présentera d’ici fin février en conseil des ministres – cherche encore son véhicule législatif. Projet de loi Pacte ? Projet de loi de finances rectificative (PLFR) pour 2019 ? Ou projet de loi spécifique à part ?

Edition Multimédi@ s’est rendu le 14 janvier dernier à Bercy aux voeux à la presse de Bruno Le Maire (photo) et, en marge de la cérémonie, a pu demander directement au ministre de l’Economie et des Finances à quel stade en est précisément la décision de taxer en France les GAFA – les Google, Amazon, Facebook, Apple et autres Microsoft – rétroactivement à partir du 1er janvier 2019. « Pour la taxation nationale des géants du numériques, je suis en train avec mes équipes de préparer un projet de loi spécifique qui nous soumettrons au Parlement dans les prochaines semaines », nous a-t-il répondu, sans préciser quel véhicule législatif sera utilisé pour porter cette « taxe GAFA » qui est l’un des chevaux de bataille du président de la République, Emmanuel Macron. Six jours après ses voeux à la presse, Bruno Le Maire n’a pas non plus évoqué – dans une interview au Journal du Dimanche parue le 20 janvier – le cadre législatif retenu pour ce projet de loi « taxe GAFA » du gouvernement.

La « taxe GAFA » devant le Parlement au printemps
« Nous présenterons un projet de loi spécifique en conseil des ministres d’ici à fin février, qui sera rapidement soumis au vote du Parlement », a-t-il néanmoins indiqué, en ajoutant que « [cette] taxe touchera toutes les entreprises qui proposent des services numériques représentant un chiffre d’affaires supérieur à 750 millions d’euros au niveau mondial et 25 millions d’euros en France (…) et son taux sera modulé en fonction du chiffre d’affaires avec un maximum de 5 % ». Le gouvernement en attend quelque 500 millions d’euros de recettes fiscales dès cette année.
Sur le véhicule législatif, le ministre de l’Economie et des Finances avait pourtant dit le 18 décembre dernier que cette mesure fiscale – qui portera sur les revenus publicitaires des plateformes numériques et la vente des données des utilisateurs à des fins de publicité – « pourrait être introduite dans la loi Pacte » (1), dont le projet va être examiné en première lecture au Sénat (2) à partir du 29 janvier et jusqu’au 12 février. Or non seulement Bruno Le Maire Lire la suite

Données personnelles, RGPD et fichiers pénaux : l’ensemble de loi de 1978 est à réécrire

Quarante ans après sa version initiale, la loi « Informatique et Libertés » de 1978 va subir un lifting historique pour transposer le « Paquet européen » sur la protection des données qui entre en vigueur le 25 mai 2018. Mais il y a un risque d’insécurité juridique et un manque de lisibilité.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Le projet de loi sur la protection des données personnelles (1) vise à permettre l’application du « paquet européen de protection des données » composé, d’une part, du règlement européen pour la protection des données (RGPD) et d’autre part, de la directive applicable aux fichiers de la sphère pénale, tous deux applicables à compter de mai 2018. En faisant l’analyse du projet de loi, on relève des différences significatives de terminologie entre les deux textes.

Pouvoirs de la Cnil et marges des Etats
Ces différences se retrouvent dans plusieurs articles de la loi
« Informatique et Libertés » du 6 janvier 1978 pourraient donner lieu à des interprétations et des difficultés de compréhension de certaines notions, qui seront sources d’insécurité juridique. A cela s’ajoutent les critiques de la Commission nationale de l’informatique et des libertés (Cnil) et du Conseil d’Etat qui pointent le « manque de lisibilité » du texte (voir encadré page suivante). Le titre Ier du projet de loi, qui traite des dispositions communes au RGPD et à la directive européenne « Fichiers pénaux », définit les missions, les pouvoirs et les modalités de contrôle de la Cnil. On peut ainsi relever que l’Autorité de contrôle pourra « présenter des observations devant toute juridiction à l’occasion d’un litige relatif à l’application du règlement et de la loi du 6 janvier 1978 ».
Cette disposition interroge dans la mesure où seul le juge est le garant de l’interprétation du droit applicable aux données à caractère personnel.
La Cnil ne peut se voir ouvrir ce droit. Par ailleurs, à quel titre la Cnil interviendrait-elle dans le cadre d’une procédure civile ou d’une procédure pénale ? Les débats parlementaires auraient dû apporter des réponses sur ce point. Le projet de loi ouvre également la possibilité pour la Cnil de prononcer des sanctions dans un ordre de gradation plus pédagogique et mieux compréhensible par les responsables de traitement des données. Elle pourra, en outre, labelliser les objets connectés. Enfin, le titre Ier du projet de loi reprend le principe de l’interdiction de traitement de données dites
« sensibles » sauf en cas de traitement nécessaires à la recherche publique après autorisation de la Cnil et élargit le champ de ces données : interdiction de traiter des données génétiques, biométriques aux fins d’identifier une personne physique de manière unique, données concernant l’orientation sexuelle d’une personne.
S’agissant du titre II du projet de loi « RGPD », on relève que, en cas de divergences de législations entre Etats membres de l’Union européenne (UE) liées aux marges de manœuvre laissées à ces derniers sur plusieurs points, la loi nationale s’applique dès lors que la personne réside en France, y compris lorsque le responsable de traitement n’est pas établi en France. Faisant application de ces marges de manœuvres, le projet de loi limite la portée des obligations et des droits des personnes concernées (droit à l’information droit d’accès, droit de rectification, droit à l’effacement, droit à la portabilité, droit d’opposition, etc.), lorsqu’une telle limitation respecte l’essence des libertés et droits fondamentaux et qu’elle constitue une mesure nécessaire et proportionnée dans une société démocratique pour garantir certains objectifs (sécurité nationale, défense nationale, sécurité publique, prévention et la détection d’infractions pénales, protection de l’indépendance de la justice et des procédures judiciaires, objectifs importants d’intérêt public général de l’UE ou d’un Etat membre,…). Le projet de loi prévoit également, afin de renforcer l’obligation de sécurité, que les responsables de traitement seront tenus par une obligation de chiffrement de bout en bout où seules les personnes autorisées à accéder aux données auront la clef de déchiffrement.

Traitements « pénaux » : conditions strictes
Et ce, alors que par ailleurs le Conseil constitutionnel a rendu le 30 mars 2018 une décision où les Sages jugent conforme à la Constitution française l’article 434-15-2 du code pénal qui punit de trois ans de prison et de 270.000 euros d’amende « le fait, pour quiconque ayant connaissance de la convention secrète de déchiffrement d’un moyen de cryptologie susceptible d’avoir été utilisé pour préparer, faciliter ou commettre un crime ou un délit, de refuser de remettre ladite convention aux autorités judiciaires ». En sus, le projet de loi renforce la protection des données de santé afin qu’elles ne puissent être utilisées pour fixer les prix des assurances ou à des fins de choix thérapeutiques et médicaux et la sélection des risques.
Quant au titre III du projet de loi « RGPD », il concerne plus spécifiquement les dispositions portant transposition de la directive « Fichiers pénaux ». On retiendra dans ce cadre que l’ensemble des règles applicables aux traitements de données à caractère personnel en matière pénale – prévues par cette directive européenne – sont regroupées aux articles 70-1 à 70-27 (nouveaux) de la loi « Informatique et Libertés » du 6 janvier 1978. Le projet de loi français prévoit que le traitement des données sensibles à des fins pénales n’est possible que s’il répond à des conditions strictement définies : la nécessité absolue d’un traitement de données, l’existence de garanties appropriées pour les droits et libertés de la personne concernée, l’autorisation du traitement par un acte législatif ou réglementaire, la protection des intérêts vitaux d’une personne physique. De plus, le traitement des données sensibles à des fins pénales doit porter sur des données manifestement rendues publiques par la personne concernée (2).

Exactitude des données et profilage interdit
En outre, le projet de loi « RGPD » prévoit que les données à caractère personnel figurant dans les traitements en matière pénale mis en oeuvre par les autorités compétentes devront, « dans la mesure du possible », distinguer celles qui sont fondées sur des faits de celles qui reposent sur des appréciations personnelles – principe de l’exactitude des données (3). Les interdictions relatives aux décisions individuelles automatisées (4) sont applicables aux traitements de données personnelles en matière pénale – interdiction du profilage, par exemple (5). Il convient également de relever que le gouvernement a retenu des restrictions aux droits des personnes dans le cadre de ces traitements particuliers. Ces restrictions s’appliquent notamment pour éviter de gêner les enquêtes ou procédures judiciaires ou nuire à la prévention ou à la détection d’infractions pénales et à l’exécution de sanctions pénales ; protéger la sécurité publique ou la sécurité nationale ; ou encore garantir les droits et libertés d’autrui (6). Ces restrictions pourront consister à retarder ou limiter la fourniture des informations supplémentaires susceptibles d’être transmises à la personne concernée ou de ne pas les fournir, à limiter en totalité ou en partie le droit d’accès (le responsable du traitement devra consigner les motifs de fait ou de droit fondant da décision et les mettre à disposition de la Cnil) ou à ne pas informer la personne concernée de son refus de rectifier ou d’effacer les données la concernant ou le limiter le traitement. La personne concernée par ces traitements devrait toujours avoir la possibilité d’exercer ses droits par l’intermédiaire de la Cnil. C’est à cette dernière qu’il reviendra d’informer la personne concernée de son droit d’exercer un recours (7).
On notera que l’article 20 du projet de loi est une demande d’habilitation du gouvernement à légiférer par voie d’ordonnance, afin de procéder à une réécriture de l’ensemble de la loi du 6 janvier 1978, en vue notamment de mettre en cohérence l’ensemble de la législation applicable à la protection des données à caractère personnel. Cette ordonnance devra être adoptée dans un délai de six mois suivant la promulgation de la loi relative à la protection des données personnelles. Ce texte arrive péniblement et non sans mal en fin de processus législatif, le Sénat et l’Assemblée nationale n’étant pas parvenus à un accord – la commission mixte paritaire a échoué à trouver un consensus (8). Les sénateurs ont maintenu leur projet de loi qu’ils ont voté le 19 avril dernier à l’unanimité. Mais les députés auront le dernier mot le 14 mai prochain. @

Ancien bâtonnier du Barreau de Paris, et auteure de « Cyberdroit »,
dont la 7e édition (2018-2019) est parue aux éditions Dalloz.

ZOOM

Ce qu’en disent la Cnil et le Conseil d’Etat : « Manque de lisibilité »
Si le texte constitue « un progrès majeur pour la protection des données personnelles des citoyens et la sécurité juridique des acteurs économiques », il soulève plusieurs critiques de la part de la Commission national de l’informatique et des libertés (Cnil), qui, dans son avis du 30 novembre 2017 (9), regrette que certaines « propositions n’aient pas été retenues, tendant notamment à l’ajout de garanties supplémentaires lors de l’utilisation de traitements algorithmiques débouchant sur l’adoption de décisions administratives » ou encore « à l’adaptation de ses procédures pour lui permettre de faire face à l’augmentation d’activité liée au nouveau cadre européen ».
Plus généralement, l’Autorité de contrôle déplore « le risque important de manque de lisibilité » des nouvelles dispositions du fait, notamment, du choix du projet de loi, consistant à n’opérer que les modifications « a minima » nécessaires à la mise en oeuvre du règlement et de la directive européens, et à renvoyer la réécriture d’ensemble de la loi du 6 janvier 1978 à une ordonnance ultérieure. La Cnil appelle dès lors à l’adoption la plus rapide possible de cette ordonnance. Quant au Conseil d’Etat, dans son avis du 7 décembre 2017 (10), i l n’apporte pas de nouveaux éléments par rapport à l’avis de la Cnil. La Haute juridiction souligne cependant que les choix légistiques aboutissent à « un résultat très insatisfaisant en termes de lisibilité du droit positif ». @

Services de médias audiovisuels (SMA) : la nouvelle directive devrait être votée le… 1er octobre

La future nouvelle directive européenne sur les services de médias audiovisuels (SMA) pourrait être votée à l’automne. Si le cinéma, l’audiovisuel et les régulateurs concernés sont satisfaits, les acteurs
du Net, eux, restent presque sans voix. En France, la grande loi audiovisuelle a ses premiers jalons.

« Cet accord est une avancée historique pour la création. (…) Cela signifie concrètement que, pour la première fois, l’Europe accepte l’idée d’intégrer tous les diffuseurs établis à l’étranger mais qui ciblent notre marché dans l’écosystème de l’exception culturelle européenne », s’est félicitée le 26 avril Frédérique Bredin (photo de gauche), présidente du Centre national du cinéma et de l’image animée (CNC). Cet établissement public administratif, sous la tutelle du ministre de la Culture, est d’autant plus satisfait qu’il constitue la plaque tournante du financement du cinéma et de l’audiovisuel en France.

Exception culturelle versus dumping culturel
Le Parlement européen, le Conseil des ministres de l’Union européenne et la Commission européenne – réunis en « trilogue » ce jour-là – sont en effet parvenus à un « accord politique » (1) sur la nouvelle directive « Services de médias audiovisuels » (SMA). Et ce, alors que la fin des négociations est prévue d’ici juin prochain en prévision du vote final en séance plénière
du Parlement européen programmé pour septembre – voire début octobre. Selon nos constatations (2), une date indicative de séance plénière pour
la première et unique lecture est fixée au 1er octobre 2018. Le projet de nouvelle directive SMA prévoit notamment un quota minimal de 30 % d’œuvres européennes sur tous les services à la demande en Europe (Netflix, Amazon Video, YouTube, Apple, Facebook, …), alors que la proposition initiale proposait d’établir ce taux à 20 %. Ces mêmes plateformes vidéo pourront en outre être taxées et obligées d’investir dans la production audiovisuelle et cinématographique, selon le principe du
« pays de destination » (ou pays « ciblé ») – une brèche dans le principe de
« pays d’origine » cher à la Commission européenne et aux acteurs du Net (lire encadré page suivante).
Pour les eurodéputés,« le niveau de contribution dans chaque pays devra être proportionnel aux bénéfices qu’elles réalisent dans ce pays ». Le Conseil supérieur de l’audiovisuel (CSA), qui fut – sous la présidence d’Olivier Schrameck (photo de droite) – aux avant-postes pour préparer
le terrain, s’est réjoui le 26 avril également de cette avancée décisive : « La nouvelle directive renforce la pertinence et l’efficacité de la régulation en réduisant les asymétries réglementaires entre les différents types d’acteurs [par] l’extension du champ d’application de la directive aux plateformes de partage de vidéos, aux réseaux sociaux et aux plateformes de diffusion en direct sur Internet ». En France, où les défenseurs de « l’exception culturelle » et pourfendeurs de ce qu’ils appellent « le dumping culturel » sont légion, le cinéma, l’audiovisuel et les auteurs avaient déjà exprimé leur satisfaction à la suite de l’adoption, le 23 mai 2017 (3), de ce projet de directive concernant télévision de rattrapage, VOD, SVOD et plateformes vidéo. Mais, cette fois, le trilogue européen a validé le texte législatif européen qui fut présenté il y a deux ans et qui entre maintenant dans la dernière ligne droite de négociations avant sa promulgation à l’automne prochain – puis sa transposition par chacun des Etats membres. « Les bases d’une nouvelle régulation européenne ont été posées garantissant le financement et l’exposition de la création européenne. Toutes les plateformes de vidéo à la demande en Europe devront proposer a minima 30 % d’œuvres audiovisuelles et cinématographiques européennes dans leurs catalogues. Par ailleurs, chacun des Etats européens va pouvoir les soumettre à ses obligations d’investissement dans la création, même quand elles sont établies à l’étranger, en proportion du chiffre d’affaires généré sur son territoire », ont déclaré satisfaits le 27 avril six syndicats professionnels français du cinéma et de l’audiovisuel, parmi lesquels l’Union des producteurs de cinéma (UPC), le Syndicats de producteurs indépendants (SPI), l’Union syndicale de la production audiovisuelle (USPA) et le Syndicat des producteurs de films d’animation (SPFA).
Les cinéastes de la société civile des Auteurs- Réalisateurs- Producteurs (ARP) se sont aussi réjouis le même jour : « Cette décision inscrit la politique culturelle européenne dans un mouvement moderne et constructif, adapté au numérique sans pour autant abandonner les fondements qui ont fait la vitalité de notre écosystème. (…) En retenant le principe du pays de destination, les institutions européennes répondent par ailleurs à la nécessité d’enrayer les stratégies de dumping trop souvent pratiquées par les géants de l’économie numérique ».

Quid des algorithmes et de la rémunération ?
Mais l’ARP souhaite que le quota minimum de 30 % d’œuvres européennes et les obligations de financement de la création soient soumis à « un dispositif de contrôle efficace et contraignant ». De son côté, la Société des auteurs et compositeurs dramatiques (SACD) rappelle que « ce taux de 30 % n’est évidemment pas aussi élevé que les auteurs l’auraient souhaité à juste titre » – certains en France voulaient aller jusqu’à 60 % du catalogue – mais elle estime que « la fixation d’une telle règle commune constitue une novation positive et importante au niveau européen ». Cette société de gestion collective des droits salue l’autre avancée sur les obligations de financements de la création de la part de tous les services de vidéo à la demande : «Même établies à l’étranger, ces plateformes ne pourront plus
se soustraire aux politiques nationales de soutien à la création. C’est là le risque du dumping culturel qui se trouve directement combattu par cette directive ». La SACD demande cependant que les avancées obtenues soient
« rapidement complétées » par « la prise de nouvelles mesures permettant notamment d’intégrer un objectif de diversité culturelle dans les algorithmes de recommandation des plateformes » et par « des prolongements pour garantir aux auteurs le droit à une juste rémunération sur les plateformes numériques partout en Europe » – faisant référence sur ce dernier point à la révision en cours de la directive sur le droit d’auteur que la Commission européenne a démenti en février dernier le report (4).

Vers une nouvelle régulation audiovisuelle
Quant à la Société civile des auteurs multimédias (Scam), elle se félicite aussi que les plateformes vidéo et télé aient « l’obligation de contribuer à
la création, selon les règles en vigueur du territoire européen ciblé par leur offre et non pas celles du territoire dans lequel ils sont installés » et du
« taux de 30 % d’œuvres européennes dans leurs catalogues ». Et la Scam d’espérer en outre que « les discussions autour de la directive sur le droit d’auteur déboucheront sur un partage tangible de la valeur et, notamment dans ce cadre, sur un droit à rémunération au bénéfice des auteurs audiovisuels européens ». Cette nouvelle directive SMA arrive à point nommé pour le gouvernement qui prépare, sous la houlette du chef de l’Etat, une grande loi sur l’audiovisuel incluant la réforme sur l’audiovisuel public. Rappelons que l’une des promesses de campagne de l’ex-candidat Emmanuel Macron durant la campagne présidentielle de 2017 est d’« investir dans les industries créatives et culturelles françaises en créant un fonds d’investissement dédié de 200 millions d’euros» et de «favoriser la diffusion du spectacle vivant notamment en multipliant les spectacles coproduits et adapter le soutien au cinéma et à l’audiovisuel aux nouveaux formats ». Il a aussi promis de « simplifier la réglementation audiovisuelle en matière de publicité, de financement et de diffusion, pour lever les freins à la croissance de la production et de la diffusion audiovisuelles et préparer le basculement numérique, tout en préservant la diversité culturelle » (5). Alors que la grande loi sur l’audiovisuel est sur les rails, la ministre de la Culture, Françoise Nyssen (lire en Une), s’est félicitée elle aussi le 27 avril
de la nouvelle directive SMA: « Ce texte marque une nouvelle étape dans la régulation audiovisuelle. Il répond parfaitement à la volonté de la France en matière de promotion de la diversité culturelle, de financement de la création et de protection des publics. (…)
Cela permettra de remédier aux distorsions de concurrence et de prévenir les délocalisations opportunistes ».
La locataire de la rue de Valois s’est dite satisfaite que le champ de la régulation audiovisuelle soit étendu aux plateformes de partage de vidéos telles que YouTube ou Dailymotion, lesquels échappaient à l’obligation de prendre des mesures pour protéger les jeunes publics et de lutter contre les contenus haineux ou violents. Comme le souligne la Scam, « ces obligations s’appliquent désormais aux sites de partage de vidéos, mais aussi aux réseaux sociaux et aux plateformes de diffusion en direct (livestreaming)». Les acteurs du Net, eux, plutôt favorables à une autorégulation, n’ont pas réagi immédiatement. Dans le texte législatif, les eurodéputés ont aussi élargi à toutes les plateformes de nouvelles règles « efficientes et efficaces » interdisant tout contenu incitant à la violence, à la haine et au terrorisme, et soumettant la violence gratuite et la pornographie aux règles les plus strictes. « Même si la priorité est donnée à la corégulation et à l’autorégulation, les plateformes de partage de vidéos devront désormais réagir de façon responsable et rapide lorsqu’un contenu nocif est signalé par les utilisateurs », souligne le Parlement européen. @

Charles de Laubier

ZOOM

DigitalEurope à Bruxelles et l’Asic à Paris restent sans voix
Du côté des plateformes vidéo, ni l’organe de lobbying bruxellois DigitalEurope, dont sont membres Amazon, Google/YouTube et Apple, ni
en France l’Association des services Internet communautaires (Asic), qui compte Netflix parmi ses membres depuis le début de l’année aux côtés de Google/YouTube et Dailymotion, n’ont réagi immédiatement à l’annonce de l’accord politique du 26 avril. En France, l’Asic était plutôt préoccupé par
« la potentielle entrave au développement du numérique européen que peut représenter la proposition de règlement sur l’équité dans les relations inter-entreprises ». Quant à l’association DigitalEurope, contactée par Edition Multimédi@, elle a répondu être encore en train d’étudier l’accord du 26 avril.
Il y a un an, lorsque le Parlement européen avait entamé les débats en avril 2017, notamment en voulant porter à 30 % le quota d’oeuvres européennes, DigitalEurope avait déclaré alors que cette proposition était « contre-productive ». En outre, la future directive SMA prévoit des mesures garantissent l’intégrité du signal qui s’appliquent aux téléviseurs connectés (Smart TV) et qui prévoient qu’un fournisseur de services de médias ne peut pas ajouter une fenêtre avec du contenu à l’écran au cours d’un programme audiovisuel sans avoir l’accord préalable du diffuseur ou de la chaîne. Réaction de DigitalEurope : « La mise en oeuvre de la directive SMA doit être harmonisée pour éviter un marché unique numérique fragmenté. Et nous espérons qu’elle ne limitera pas inutilement l’interface utilisateur ou les fonctionnalités des téléviseurs et terminaux », nous a juste indiqué son directeur de la communication et de la politique, Lionel Sola. @

Objets connectés, vie privée et données personnelles : une équation difficile pour protéger l’utilisateur

Malgré un vaste arsenal juridique limitant les impacts négatifs des objets connectés, les risques d’intrusions demeurent pour les utilisateurs de ces appareils – du compteur électrique à la montre connectée, en passant par la
« mesure de soi ». Recueillir leur consentement est un préalable.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Selon une étude menée par Gartner, 20 milliards d’objets connectés seraient en circulation en 2020 (1). Qu’il s’agisse du domaine de la santé, du bien-être, du sport, de la domotique ou encore du loisir, l’attrait des utilisateurs pour les objets connectés est caractérisé. Paradoxalement, bien qu’avertis, ces derniers ne mesurent pas toujours les risques qui pèsent sur leur vie privée et leurs données personnelles. Ces deux notions – vie privée et données personnelles – ne sont pas synonymes, bien qu’intrinsèquement liées (2).

Les exemples de Linky et de Gazpar
La donnée personnelle se définit comme « toute information se rapportant à une personne physique identifiée ou identifiable » (3). A l’inverse, la vie privée ne trouve pas de définition légale bien que le Code civil consacre un droit au respect de la vie privée (4). Les apports de la jurisprudence permettent aujourd’hui de définir la notion de vie privée comme « le droit pour une personne d’être libre de mener sa propre existence avec le minimum d’ingérences extérieures » (5). Ainsi, si un objet connecté peut porter atteinte aux données personnelles d’un utilisateur (collecte illicite des données personnelles, failles de sécurité permettant aux tiers d’accéder aux données, etc.), il peut également dans une plus large mesure porter atteinte à sa vie privée (captation d’images ou de voix, intrusion dans l’intimité, etc.). L’ubiquité et l’omniprésence des objets connectés dans la vie des utilisateurs conduisent à une collecte permanente et instantanée des données. Par ce biais, de nombreuses informations relatives à la vie privée des utilisateurs deviennent identifiables. D’ailleurs, la divulgation massive de données relatives à la vie privée lors de l’utilisation d’un objet connecté est souvent
une condition sine qua non à l’existence du service proposé par le fabricant. A titre d’exemple, la nouvelle génération de compteurs d’électricité et de gaz, tels que respectivement Linky et Gazpar qui ont fait l’objet d’une communication (6) de la Cnil en novembre 2017, peut collecter des données de consommation énergétique journalières d’un foyer. Si l’utilisateur y consent, des données de consommation plus fines peuvent être collectées par tranche horaire et/ou à la demi-heure. Cela permet d’avoir des informations très précises sur la consommation énergétique de l’usager. Dans l’hypothèse d’un traitement insuffisamment sécurisé, une personne malveillante pourrait alors avoir accès à des informations telles que les plages horaires durant lesquelles l’usager est absent de son logement, celles pendant lesquelles il dort ou encore les types d’appareils utilisés. Les habitudes d’une personne peuvent ainsi être déterminées aisément, ce qui constitue une atteinte à la vie privée. La décision de la Cnil, datée du 20 novembre 2017 et mettant demeure la société Genesis Industries Limited (7), est une autre illustration des risques encourus par l’utilisation des objets connectés notamment au regard de la vie privée. Cette société commercialisait des jouets connectés qui pouvaient interagir avec les enfants. Suite à un contrôle effectué par la Cnil, il a été constaté une absence de sécurisation des jouets (8) qui permettait à toute personne possédant un dispositif équipé d’un système de communication Bluetooth de s’y connecter à l’insu des personnes et d’avoir accès aux discussions échangées dans un cercle familial ou amical (9). L’intrusion dans la vie privée à travers les objets connectés peut ainsi être importante et particulièrement dangereuse lorsqu’il s’agit d’un utilisateur vulnérable tel qu’un enfant mineur.
Pour autant, une réglementation est difficilement applicable aux objets connectés. Tout d’abord, une incompatibilité d’origine des objets connectés avec certains principes relatifs au traitement des données personnelles doit être soulignée.

Proportionnalité, mesure de soi et Big Data
A titre d’exemple, le principe de proportionnalité (10), qui requiert que les données soient adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées, ne peut être satisfait dans le cadre de l’utilisation d’un objet connecté dit quantified-self – c’està- dire un appareil connecté pour la «mesure de
soi ». En effet, le nombre de données collectées sera nécessairement important
pour qu’un service adapté à l’utilisateur puisse être fourni. De même le principe
de conservation limité des données collectées (11) peut difficilement être mis en application dans le cadre d’un service fourni par un objet connecté. En effet, la conservation des données pour une durée indéterminée représente souvent une opportunité pour les fabricants dans le cadre du Big Data.
Aujourd’hui, en vertu de la loi « Informatique et Libertés », une obligation d’information pèse sur les responsables de traitement (12). De même, en vertu du Code de la consommation, une obligation pré-contractuelle d’information pèse sur le professionnel qui propose un bien ou un service (13). L’utilisateur d’un objet connecté doit ainsi pouvoir avoir des informations claires et précises sur le traitement de ses données, mais également sur les caractéristiques de l’objet connecté.

Loi française et règlement européen
Or, la récente assignation de deux plateformes majeures dans le monde numérique
– notamment sur le fondement de pratiques commerciales trompeuses au motif d’un nonrespect de l’obligation précontractuelle d’information dans le cadre de la vente d’objets connectés (14) – souligne les difficultés relatives à l’information des utilisateurs. L’avis de 2014 du G29, le groupe qui réunit les « Cnil » européennes, sur les objets connectés illustre également le manque d’informations des utilisateurs sur le traitement de leurs données (15). Ainsi, bien qu’une réglementation protectrice des utilisateurs d’objets connectés soit applicable, celle-ci est difficilement mise en oeuvre. De cet obstacle découle la question de la validité du consentement de l’utilisateur. Si le droit
à l’autodétermination informationnelle – droit pour toute personne de décider et de contrôler les usages qui sont faits des données à caractère personnel la concernant, dans les conditions fixées par la loi « Informatique et libertés » – a été récemment affirmé en France, son effectivité au regard des objets connectés semble moindre.
En effet, même si au moment de l’activation de l’appareil le consentement à la collecte de certaines données est recueilli auprès de l’utilisateur, il convient de souligner que
par la suite des données sont délivrées de manière involontaire. Par exemple, dans le cadre d’une montre connectée, l’utilisateur consent à la collecte de données relatives au nombre de pas qu’il effectue au cours de la journée. Mais lors de cette collecte, le responsable de traitement peut également avoir accès à d’autres données telles que celles relatives à la géolocalisation de l’utilisateur. En ce sens, le consentement recueilli n’est pas toujours éclairé et le droit à l’autodétermination informationnelle n’en sera qu’affaibli. Ainsi, la protection de l’utilisateur d’un objet connecté semble moindre. L’applicabilité du règlement européen sur la protection des données personnelles le
25 mai prochain – règlement dit RGPD pour « règlement général sur la protection des données » (16) – permet d’envisager une amélioration de la protection des utilisateurs d’objets connectés sur plusieurs points. Tout d’abord, par l’exigence de la mise en place de mesures permettant d’assurer une protection de la vie privée par défaut et dès la conception de l’objet connecté, le fabricant sera amené à prendre en compte les questions relatives à la vie privée de l’utilisateur en amont d’un projet (17). De même, les nouvelles mesures de sécurité devant être prises, tant par les responsables de traitement que les sous-traitants (par exemple, la pseudo-nymisation, les tests d’intrusion réguliers, ou encore le recours à la certification), tendront à garantir une meilleure protection des données personnelles des utilisateurs (18). Ensuite, la mise
en place de nouveaux droits pour l’utilisateur tels que le droit d’opposition à une mesure de profilage (19), le droit d’effacement des données pour des motifs limitativement énumérés (20) ou encore le droit à la portabilité des données (disposition déjà introduite par la loi « République numérique » du 7 octobre 2016 dans le Code de la consommation aux articles L. 224-42-1 et suivants) consolideront les moyens conférés aux utilisateurs d’objets connectés pour protéger leur vie privée. Il convient de souligner que cette amélioration dépend tout de même d’une information effective de l’utilisateur. En effet, si le fabricant ou le distributeur de l’objet n’informe pas l’utilisateur des différents droits dont il dispose, il semble peu probable que les utilisateurs les moins avertis agissent. Enfin, si la question de l’applicabilité de la réglementation européenne pour les acteurs situés en dehors de l’Union européenne (UE) pouvait se poser notamment lorsqu’ils collectaient des données d’utilisateurs européens, celle-ci n’aura plus lieu d’être à compter du 25 mai 2018. En effet, tout responsable de traitement ou sous-traitant qui n’est pas établi dans l’UE dès lors qu’il collectera des données personnelles de personnes se trouvant sur le territoire de l’UE sera contraint de respecter la réglementation européenne relative aux données personnelles. Ce point est important puisque dans le cadre des objets connectés, souvent, les flux de données ne connaissent pas de frontières.

Gagner la confiance du public
L’équation objets connectés, vie privée et données personnelles est par définition difficile. La révélation massive et constante de données relatives à une personne implique nécessairement une intrusion importante et parfois non voulue dans la vie des utilisateurs. Cependant, l’existence d’un arsenal juridique tant en droit français qu’en droit européen permet de limiter les impacts négatifs générés par les objets connectés. D’ailleurs il convient de noter que, dans le récent cadre de la réécriture de la loi
« Informatique et Libertés », la commission des lois a adopté un amendement permettant à une personne concernée d’obtenir réparation au moyen d’une action
de groupe du dommage causé par un manquement du responsable de traitement
ou sous-traitant aux dispositions de cette loi. Finalement, dans un marché hautement concurrentiel, les objets connectés qui survivront seront ceux qui auront su gagner la confiance du public et présenteront le plus de garanties en matière de respect à la vie privée et de sécurité. @

* Ancien bâtonnier du Barreau de Paris, et auteure de « Cyberdroit », dont
la 7e édition (2018-2019) paraîtra en novembre 2017 aux éditions Dalloz.

 

Désinformations, rumeurs infondées, ragots, … A quand de vraies nouvelles sur les fake news ?

Lutter contre la désinformation suppose de responsabiliser les acteurs impliqués dans sa propagation, depuis la source d’une fake news, en passant par les algorithmes sacralisant la popularité des contenus, jusqu’à l’internaute qui la relaie – sciemment ou non. Et il faut adapter le cadre juridique.

(Cet article juridique est paru le 18 décembre 2017 dans le n°180 de Edition Multimédi@. Le 3 janvier 2018, lors de ses vœux à la presse, Emmanuel Macron a annoncé un futur projet de loi contre les « fausses informations ».)

Par Alexandre Euverte et Etienne Drouard (photo), cabinet K&L Gates

« Johnny Hallyday a trouvé la mort aujourd’hui à l’âge de 74 ans ». Cette affirmation ne correspond pas à la triste nouvelle qui a endeuillé la France à l’aube du 6 décembre 2017. C’est la réponse que donnait l’application Siri d’Apple le 30 novembre 2017 si vous lui demandiez : « Comment va Johnny ? ». Cette information fausse, relayée par Siri, faisait suite à une modification trompeuse de la page Wikipedia du légendaire chanteur, mise en ligne par un individu anonyme annonçant son décès de façon prématurée.
Si Internet forme aujourd’hui un forum d’échanges global favorisant l’expansion de la liberté d’expression, il est impossible d’ignorer les dérives induites par la vitesse et l’effervescence des contenus. C’est le cas des fake news, ces actualités créées intentionnellement pour tromper le public et lui fournir une représentation erronée de la réalité ou une dénaturation des faits, souvent utilisées à des fins malveillantes.

Loi de 1881 et fake news du XXIe siècle
Au-delà de la désinformation de masse, les fake news nourrissent des théories conspirationnistes, en augmentation en France, ainsi que les propagandes les plus nauséabondes. L’impulsion des réseaux sociaux permet de donner une ampleur inédite aux fake news, parfois relayées par des médias institutionnels ou historiques, voire par des responsables politiques. Lutter efficacement contre ce « cancer » de la désinformation exige de responsabiliser tous les acteurs impliqués dans sa propagation, depuis la source d’une fake news, en passant par les algorithmes de classement basés sur la popularité des contenus, jusqu’à l’internaute qui relaie la désinformation – sciemment ou à son insu – à travers l’audience de masse des réseaux sociaux. Il est nécessaire d’adapter notre cadre juridique et d’inciter les acteurs les plus impliqués à privilégier la vérité par rapport à la popularité. Or notre arsenal législatif Lire la suite

Les trois « injustices fiscales » qui pénalisent les opérateurs télécoms, selon leur fédération

Créée il y a dix ans (septembre 2007), la Fédération française des télécoms (FFTélécoms) fait de la fiscalité qu’elle juge « discriminatoire » envers les opérateurs un combat. Au moment où le projet de loi de Finances 2018 est débattu, revenons sur ces taxes qui profitent à la culture et aux collectivités.

Par Katia Duhamel, experte en droit et régulation des TIC, K. Duhamel Consulting

La Fédération française des télécoms (FFTélécoms) a publié en mars 2017 un état des lieux du secteur et des propositions pour faciliter les déploiements, assurer une équité entre tous les acteurs du numérique et favoriser l’innovation et la confiance numérique. La nécessité de revoir une fiscalité que les opérateurs télécoms jugent
« rigide, complexe et inéquitable » est un des principaux messages délivrés par ce document (1).

Fiscaliste jugée « discriminatoire »
Selon la FFTélécoms , les opérateurs de télécommunications sont « discriminés »
si on les compare à d’autres acteurs économiques – au moins pour les trois raisons suivantes : primo, ils sont soumis à une fiscalité spécifique qui se caractérise par une instabilité chronique ; secundo, cette fiscalité spécifique est particulièrement lourde ; tertio, elle accroît les distorsions de concurrence face à d’autres acteurs qui – les GAFA ou GAFAM pour Google, Apple, Facebook, Amazon, Microsoft – ne paient déjà en France qu’un impôt dérisoire au regard de leur chiffres d’affaires et de leur puissance financière.
Au titre de leur activité traditionnelle de télécommunications, les opérateurs français sont soumis à des taxes (instituées ou modifiées par la loi) ou à des redevances (créés ou modifiées par voie réglementaire) dites « spécifiques » que l’on retrouve cependant dans la plupart des pays du monde. Il s’agit essentiellement de la contribution au service universel, à la formation et à la R&D ainsi que de redevances instituées pour l’utilisation, la gestion et le contrôle des ressources rares (fréquences et numérotation) (2). Mais ce qui caractérise le système français, c’est la contribution élevée des opérateurs au financement de l’industrie culturelle (cinéma, télévision) et des collectivités territoriales résultant d’un empilement législatif qui a prospéré au cours
des dix dernières années pour instituer une série de taxes ne bénéficiant pas au secteur, à savoir :
La taxe pour le financement de l’audiovisuel public, la TOCE dite « taxe Copé ». Instituée par la loi du 5 mars 2009 pour financer la fin de la publicité sur les chaînes
de France Télévisions, elle a été augmentée de 44 % par la loi de Finances 2016.
La taxe sur les services de télévision (TST) étendue aux distributeurs (TST-D),
dont font partie les opérateurs télécoms et fournisseurs d’accès à Internet (FAI). Créée en 2008 pour le financement du cinéma et de la télévision via le CNC (3). La loi de Finances 2012 a élargi l’assiette de la TST-D à l’ensemble de l’abonnement pour contrer la stratégie de certains opérateurs télécoms, notamment de Free, qui réduisaient l’assiette de cette taxe en vendant la télévision séparément dans leurs offres triple play. Cette réforme vivement contestée a été finalement validée par Bruxelles à la fin de l’année 2013 (4).
La taxe pour la copie privée dont l’application a été étendue par la loi « Copé » aux téléphones, smartphones, tablettes, set-top-box et au cloud audiovisuel (5) pour compenser les ayants droits (6).
L’imposition forfaitaire pour les entreprises de réseaux (IFER) qui, au demeurant,
ne concerne pas que les opérateurs télécoms car elle s’applique à d’autres entreprises de réseaux (énergie, transport ferroviaire), bénéficie aux collectivités territoriales. En pratique, il s’agit d’une taxe annuelle forfaitaire par station radioélectrique, c’est-à-dire les antennes relais de téléphonie mobile (7), et par répartiteurs principaux de la boucle locale de cuivre (8). A noter que cette taxe a été allégée en 2016 dans certaines conditions pour les antennes mobiles.

Industrie culturelle et collectivités territoriales
Au total, selon une étude réalisée en 2013 pour le compte de la FFTélécoms par le cabinet Greenwich Consulting (9), seule la France en Europe – et dans une moindre mesure l’Espagne – impose au secteur des télécoms de contribuer si fortement au financement de l’industrie culturelle et des collectivités territoriales. Et ce, au prix d’une cadre législatif et réglementaire complexe qui ne cesse d’évoluer de façon imprévisible. Si on en croit les derniers chiffres publiés par la FFTélécoms concernant cette seule fiscalité spécifique, ses trois principaux opérateurs membres que sont Orange, Numericable à l’époque et Bouygues Telecom (Free n’étant plus membre depuis 2008 (10)) auraient payé 1,209 milliard d’euros en 2015. Cette somme ne bénéficie pas au secteur des télécoms, dans la mesure où 80 % financent d’autres industries ou les collectivités locales, et 20 % financent l’Etat. En 2013, selon l’étude Greenwich, la fiscalité spécifique applicable au secteur des télécoms représentait déjà 2,98 % des revenus totaux des opérateurs télécoms, soit plus d’un tiers de leur niveau global d’imposition et 20 % du montant de leurs investissements, ce dernier chiffre étant à comparer à 4,26 % aux Etats-Unis, 2 % au Royaume- Uni ou 1,33 % en Allemagne.

Distorsions de concurrence Telcos-GAFA
De surcroit, cette fiscalité spécifique s’ajoute au coût relativement élevé des dernières licences mobiles : 240 millions d’euros en 2009 pour le 4e réseau 3G (Free), 600 millions d’euros pour les fréquences 3G résiduelles en 2010, 3,6 milliards d’euros en 2012 pour les fréquences 4G dans les bandes 800 Mhz et 2600 Mhz, et 2,98 milliards en 2015 pour les fréquences de la bande 700 Mhz.
Si on compare enfin la pression fiscale globale pesant sur le secteur des télécoms à celle d’autres secteurs, il semble que la première soit significativement plus élevée. Ainsi, une autre étude commanditée elle aussi par la FFTélécoms, cette fois auprès
du cabinet Arthur D Little (11), indiquait que les opérateurs télécoms sont globalement taxés à hauteur de 27 % de leur Ebitda, à comparer au niveau moyen de 19 % pour
les entreprises du CAC 40. Toujours selon la FFTélécoms, l’impôt sur les sociétés des opérateurs télécoms est neuf fois supérieur à celui des géants de l’Internet. Ce ratio est du reste corroboré par un certain nombre d’études, dont le rapport de la Commission européenne publié le 28 mai 2014 par son groupe d’experts de haut niveau sur la taxation de l’économie numérique (12). Ce dernier montre que non seulement les Etats ne perçoivent que peu de revenus fiscaux de ces entreprises, mais qu’en plus celles-ci absorbent chaque jour davantage de valeur ajoutée, privant également les Etats de ces revenus. Grâce aux failles du cadre fiscal européen, et au-delà international, les pratiques d’optimisation fiscales des champions américains de l’économie numérique leur confèrent un avantage comparatif indéniable leur permettant de dégager des marges financières exceptionnelles qui confortent leur position dominante face aux entreprises nationales — notamment par le rachat d’entreprises innovantes qui pourraient à l’avenir les concurrencer (par exemple le rachat de WhatsApp par Facebook) – ou la diversification de leurs activités vers de nouveaux marchés. Le débat fait rage depuis plusieurs objectivement inéquitable qui vient d’être décrite, et la France en a fait un de ces chevaux de bataille auprès de la Commission européenne en fédérant un certain nombre de pays autour d’une initiative commune (13) pour taxer les GAFA sur la base de leur chiffre d’affaires et non de leur bénéfice. Mais cette initiative bouscule le travail de fond effectué par la Commission européenne et le Parlement européen pour harmoniser au niveau de l’UE la base de calcul de l’impôt sur toutes les sociétés incluant les entreprises numériques (projet de directive ACCIS (14)), alors que dans le même temps l’Organisation de coopération et de développement économiques (OCDE) travaille également sur ces sujets dans le cadre de son plan BEPS (15). De plus, des Etats membres de l’UE comme Chypre, Malte et l’Irlande – qui profitent de
la concurrence fiscale dans l’Union Européenne – y sont farouchement opposés. Bref, au niveau européen, le débat risque de durer, même si le président de la Commission européenne, Jean-Claude Juncker, a indiqué récemment qu’il souhaite faire passer
à la majorité qualifiée le domaine fiscal (alors que pour l’instant toute réforme fiscale nécessite l’unanimité dans l’UE). A terme, au-delà de l’Europe, des réformes de la fiscalité internationale devront être engagées au sein du G20 ou par l’OCDE, afin d’éviter que d’autres pays hors de l’UE bénéficient à ses dépens de la manne fiscale des GAFA.
Bien entendu, la FFTélécoms soutient l’initiative du gouvernement « Macron » pour localiser en France et soumettre à l’impôt le chiffre d’affaires réalisé en France par
des acteurs du numérique. Mais son autre cheval de bataille, en vue de limiter les contributions spécifiquement françaises du secteur au financement de l’industrie culturelle, n’en est pas moins important. En effet, même si quelqu’un d’un peu sensible et sensé (ayant passé du temps à l’étranger) ne peut que s’enorgueillir d’un système qui permet de maintenir la fameuse « exception culturelle française », il faut toutefois se demander s’il est juste de faire peser autant le poids de son financement sur une seule catégorie d’acteurs à savoir les opérateurs télécoms.

Exception culturelle française et télécoms
De ce point de vue, les propositions de la FFTélécoms concernant la simplification
de la fiscalité sectorielle des opérateurs, la suppression de la TOCE au profit d’un financement plus équitablement réparti et le plafonnement de la TST-D méritent d’être examinées avec attention. Pour le reste et, en particulier s’agissant de l’obsession française de « faire cracher les GAFA au bassinet fiscal », il nous semble qu’elle devrait être en partie reconvertie dans le souci au moins aussi utile de mettre en oeuvre une politique industrielle qui lui fait cruellement défaut pour développer des géants du Net capables de rivaliser avec les GAFA américains. @