Europe : iMessage d’Apple enfreint le règlement DMA

Publié le 19 septembre 2022 par Charles de Laubier

En fait. Le 7 septembre, à la conférence Code 2022 de Vox Media, le PDG d’Apple Tim Cook a fait part de son désintérêt pour le nouveau protocole RCS (Rich Communication Services) censé remplacer à terme SMS et MMS. La messagerie iMessage des iPhone de la marque à la pomme n’est pas « DMA-compatible ».

En clair. La messagerie iMessage d’Apple enfreint le règlement européen sur les marchés numériques, le fameux DMA (Digital Markets Act), en étant non-interopérable avec le protocole de messagerie RCS déjà utilisé par plus de 420 millions de mobinautes dans le monde (1). Dans son article 7, le DMA oblige tout « contrôleur d’accès » [gatekeeper], comme Apple, de « rend[re] interopérables au moins les fonctionnalités de (…) messagerie textuelle, (…) partage d’images, de messages vocaux, de vidéos et d’autres fichiers joints ».
Cross-plateforme, RCS – Rich Communication Services – est justement plébiscité comme messagerie instantanée et réseau social multimédia (texte, photo, vidéo, audio, …) fonctionnant sous IP sur les mobiles. Promu par les opérateurs mobiles au sein de la GSMA et par Google, ce standard remplacera à termes les SMS/MMS. Tim Cook, PDG de la marque à la pomme, est censé se mettre en conformité avec le DMA qui a été adopté le 18 juillet dernier (2) et qui sera applicable par les Vingt-sept « six mois après son entrée en vigueur [laquelle est prévue le vingtième jour suivant la publication au Journal Officiel de l’UE, ndlr] » – à savoir d’ici fin 2022 ou début 2023. Apple sera alors obligé de « publier (…) les détails techniques et les conditions générales d’interopérabilité avec [iMessage, ndlr] ». La Commission européenne, elle, pourra consulter les « Arcep » de l’UE au sein du Berec (3) afin de déterminer si « l’offre de référence » d’Apple lui permet de « se conformer avec cette obligation ».
Si l’iMessage des iPhone devait rester incompatible avec la plupart des smartphones en Europe – dont ceux de Samsung, Xiaomi, Huawei, Sony ou encore LG Electronics, tous fonctionnant sous Android –, Apple prendrait le risque d’une amende pouvant aller jusqu’à 10 % de son chiffre d’affaires mondial. Google, lui, est très remonté contre Apple (4). Tim Cook fait la sourde-oreille : « Je n’entends pas nos utilisateurs demander que nous mettions beaucoup d’énergie pour l’instant là-dessus », a-t-il répondu le 7 septembre. « J’adorerais vous convertir à un iPhone », s’est contenté de répliquer le PDG d’Apple pour enterrer toute perspective d’interopérabilité avec RCS. Tim Cook a même lancé un « Achetez un iPhone à votre mère ! » à son interlocuteur qui racontait que celle-ci se plaignait de cette incompatibilité entre iMessage et RCS. @

Le groupe Meta Platforms peut-il vraiment retirer Facebook et Instagram de l’Union européenne ?

Publié le 14 mars 2022 par Charles de Laubier

Dans son rapport annuel, Meta n’exclut pas de supprimer d’Europe ses réseaux sociaux – Facebook, Instagram ou WhatsApp – s’il ne peut pas transférer les données personnelles européennes aux Etats-Unis. Retour sur cette menace qui soulève des questions économiques et juridiques.

Par Arnaud Touati, avocat associé, Hashtag Avocats

La société américaine Meta Platforms a-t-elle le droit et le pouvoir de retirer Facebook et Instagram du marché européen ? Techniquement, elle pourrait retirer Facebook et Instagram du marché européen, notamment des Vingt-sept Etats membres de l’UE. En effet, une société est libre de déterminer son marché et de proposer ou de retirer librement ses services sur le territoire d’un Etat. Cependant, économiquement parlant, le marché européen est considérable pour la firme de Mark Zuckerberg qui en est le PDG et fondateur.

Europe : 25 % des revenus de Meta
Le groupe a annoncé que l’Europe représentait, pour le dernier trimestre 2021, plus de 8,3 milliards de dollars de chiffre d’affaires, soit près du quart du total réalisé par Meta à l’échelle mondiale. De même, le revenu moyen par utilisateur sur Facebook en Europe (Messenger, Instagram et WhatsApp compris) se situe en moyenne à 19,68 dollars sur ce quatrième trimestre 2021, en deuxième position derrière la région « Etats-Unis & Canada » (1). Au total, l’Europe a généré 25% du chiffre d’affaires trimestriel.
De même, si la maison mère Meta Platforms décidait de mettre fin à ses services en Europe, il lui appartiendrait de résoudre la délicate question du sort des données des utilisateurs européens – au nombre de 427 millions à la fin de l’année dernière (2). En effet, Facebook, Messenger, Instagram ou encore WhatsApp ont obtenu de nombreuses données des utilisateurs. Cela impliquerait donc nécessairement de restituer aux utilisateurs toutes leurs données. Dans quelles conditions ? Comment ? La question est ouverte.
Au-delà des questions économiques que soulèverait pour Meta la mise à exécution de sa menace de retirer ses réseaux sociaux, cela poserait également des questions juridiques. Le règlement général sur la protection des données (RGPD), adopté en 2016 par le Parlement européen (3) et en vigueur depuis mai 2018, prévoit l’encadrement des transferts des données à caractère personnel vers des pays tiers. Les dispositions du règlement doivent donc être appliquées, afin que le niveau de protection des personnes physiques garanti par ledit règlement ne soit pas compromis. Peut-il y avoir des passe-droits en matière de RGPD ? (4) Plutôt que de « passe-droit », parlons plutôt de « tempérament », c’est-à-dire de l’assouplissement de certaines dispositions réglementaires dans des hypothèses bien déterminées. Il conviendrait ainsi de dire qu’il n’existe pas a priori de tempérament en matière de RGPD, au vu de l’importance du respect de la protection des données et de l’obligation d’encadrement des transferts de données. Néanmoins, il convient de relativiser cet état de fait. En effet, en France, la Commission nationale de l’informatique et des libertés (Cnil) prévoit une procédure de mise en demeure, dans l’hypothèse où un organisme ne respecterait pas les obligations relatives à l’encadrement des transferts de données. Elle précise qu’une « mise en demeure est une procédure qui intervient après une plainte ou un contrôle et ne constitue pas une sanction » (5). Dans pareille situation, deux issues sont possibles. Si l’organisme se conforme aux dispositions pendant le délai imparti, le transfert des données sera considéré comme légal et conforme. Dans le cas contraire, l’organisme peut se voir attribuer des sanctions, lesquelles sont, pour la majeure partie d’entre elles, pécuniaires. Cependant, cette sanction ne garantit pas le respect postérieur du RGPD, ce qui pourrait donc in fine valoir tempérament implicite, pour peu que ledit organisme ait des capacités financières significatives.
Par ailleurs, les transferts de données vers des pays tiers à l’Union européenne (UE) doivent respecter les principes du RGPD (6). Ainsi, la Commission européenne peut prévoir des décisions d’adéquation avec certains pays lorsqu’elle estime qu’ils assurent « un niveau de protection adéquat » (7). Les transferts de données vers ces pays-là ne nécessitent alors pas d’autorisation spécifique.

Dérogations pour cas particuliers
A l’inverse, lorsqu’un pays n’est pas reconnu comme garantissant une protection adéquate, l’article 46 du RGPD permet au responsable de traitement d’assurer lui-même que les transferts envisagés sont assortis de garanties appropriées, grâce à des clauses contractuelles types, des règles d’entreprise contraignantes, un code de conduite ou un mécanisme de certification. Dans les situations dans lesquelles un pays tiers n’est pas reconnu comme offrant un niveau de protection adéquat et en l’absence de garanties appropriées encadrant ce transfert, le transfert peut néanmoins, par exception, être opéré en vertu des dérogations listées à l’article 49 du RGPD. Tempérament du tempérament : ces dérogations – telles que le consentement explicite, l’exécution d’un contrat ou les motifs d’intérêt public – ne peuvent néanmoins être utilisées que dans des situations particulières et les responsables de traitement doivent, selon la Cnil, « s’efforcer de mettre en place des garanties appropriées et ne doivent recourir à ces exceptions qu’en l’absence de telles garanties » (8).

Marge de manœuvre des « Cnil »
A l’instar de son confrère irlandais, la Data Protection Commission (DPC), la Cnil pourrait-elle décider de modifier ses accords en matière de transfert des données vers les Etats-Unis ? Pour rappel, la DPC a refusé que les données des Européens soient collectées pour être stockées sur des serveurs américains, malgré la possibilité accordée par le RGPD, sous réserve des conditions (9). En effet, l’autorité de contrôle irlandaise considère que la loi américaine FISA (Foreign Intelligence Surveillance Act) est problématique, puisqu’elle autorise expressément la NSA (National Security Agency) à collecter les données de personnes étrangères si elles sont stockées sur des serveurs américains.
A l’origine, le RGPD pose des règles relatives aux autorités de contrôle tenant notamment à leurs indépendance, compétences, missions et pouvoirs (10). Ces autorités ont une large marge de manœuvre. En effet, en France par exemple, la loi « Informatique et Libertés » modifiée dispose que « la [Cnil] est une autorité administrative indépendante » (11), et le règlement européen permet, lui, de réduire la protection des personnes dans des cas particuliers afin de tenir compte des exigences nationales. Ce n’est donc pas parce que l’autorité irlandaise a pris cette décision que la Cnil doit nécessairement suivre la même analyse. Pour autant, dans une affaire concernant Google, la Cnil a conclu, prenant une inflexion similaire à son homologue irlandaise, que, à l’heure actuelle, les transferts de données vers les Etats-Unis ne sont pas suffisamment encadrés : dans une décision du 10 février 2022, elle a en effet mis en demeure un gestionnaire de site de mettre en conformité avec le RGPD ses traitements de données, en retirant Google Analytics si besoin (12). Pour rendre pareille décision, la Cnil se fonde sur l’arrêt « Schrems II » (13) de la Cour de justice de l’Union européenne (CJUE) ayant invalidé en 2020 le « Privacy Shield » (voir encadré ci-dessous).
Toutefois, même si les autorités de contrôle protègent les données personnelles en refusant le transfert des données sur les serveurs américains, une loi américaine datant de 2018 – le Cloud Act (14) – pose problème. En effet, le « Clarifying Lawful Overseas Use of Data Act » est une loi fédérale des Etats-Unis sur l’accès aux données personnelles, notamment opérées dans le nuage informatique. Elle permet aux instances judiciaires américaines d’émettre un mandat de perquisition contraignant les fournisseurs de cloud américains – même si les données sont stockées à l’étranger –, de fournir toutes les données d’un individu, sans qu’aucune autorisation ne soit demandée à la justice du pays dans lequel se situent l’individu ou les données.
Cette loi a été largement critiquée, étant entendu qu’elle se soustrait ainsi au contrôle des autorités réglementaires au sein du territoire de l’UE. Pour limiter, voire éviter une telle situation, la Commission européenne pourrait, à l’avenir, tenter de trouver un accord avec les Etats-Unis, et ainsi assurer la conformité avec le RGPD du transfert des données personnelles outre-Atlantique. En attendant, même si l’entreprise Meta a assuré le 8 février 2022, « n’avoir absolument aucune envie de se retirer de l’Europe, bien sûr que non » (15), la Commission européenne ne contournera pas l’arrêt « Schrems II » ayant annulé le « Privacy Shield », pas plus qu’elle ne l’avait fait pour l’arrêt « Schrems I » de 2015 annulant l’accord antérieur, le « Safe Harbour ». @

FOCUS

« Privacy Shield » : la CJUE peut-elle annuler… son annulation de 2020 ?
La Cour de justice de l’Union européenne (CJUE) pourrait-elle faire machine arrière et revenir sur sa décision d’annuler l’accord entre l’Union européenne (UE) et les Etats-Unis sur la gestion des données personnelles des Européens par les entreprises américaines et certaines autorités américaines ? Cet accord dit « Privacy Shield » était une décision d’adéquation adoptée en 2016 et encadrant les transferts de données vers les Etats- Unis. Ce qui permettait aux entreprises de transférer les données personnelles de citoyens européens aux Etats-Unis sans garanties complémentaires. Il a été annulé par l’arrêt « Schrems II » (16) de la CJUE daté du 16 juillet 2020. La CJUE avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux Etats-Unis, si les transferts n’étaient pas correctement encadrés.
Cet arrêt a donc impliqué le réexamen des transferts de données personnelles à destination des Etats-Unis et la nécessité d’apporter des garanties complémentaires.
La portée de cet arrêt a des conséquences sévères et démontre que, si les Etats-Unis ne respectent pas la protection des données, la CJUE n’acceptera pas d’accords sur ces mêmes termes. Dorénavant, il sera à nouveau possible de négocier un accord entre les Etats-Unis et l’UE si, et seulement si, les Etats-Unis acceptent de se soumettre aux dispositions du RGPD et de modifier leurs lois de surveillance des données risquées. Ce qui permettrait ainsi aux entreprises américaines d’évoluer sur le marché européen. Lors d’une conférence de presse le 23 février, à l’occasion de la présentation du Data Act (lire p. 6 et 7), la commissaire européenne à la Concurrence, Margrethe Vestager, s’est prononcée à ce propos : « Il est hautement prioritaire de conclure un tel accord avec les Américains (…), afin de permettre au milieu des affaires de tirer le meilleur parti des données (…) mais (….) dans des conditions transparentes et sûres » (17). Ainsi, les Etats-Unis et l’UE devront-ils trouver un accord alliant protection des données personnelles des utilisateurs européens et impératifs sécuritaires invoqués par l’administration américaine. @

Messagerie multimédia RCS : coup d’envoi en France

Publié le 4 octobre 2021 par Charles de Laubier

En fait. Le 20 octobre prochain, est organisé par l’Association française du multimédia mobile (AF2M) un webinar pour marquer le lancement en France du RCS – Rich Communication Services – censé remplacer à terme les SMS et les MMS. Le nouvel écosystème, sous Android, est contrôlé par les opérateurs mobiles.

En clair. Réunis en France au sein de l’Association française du multimédia mobile (AF2M), les quatre opérateurs mobiles – Orange, Bouygues Telecom et SFR, membres fondateurs depuis sa création en 2005 (1), et Free adhérent depuis mars 2021 – rajoutent une corde à leurs arcs. En plus des solutions dites de « paiement sur facture opérateur », telles que SMS+ et Internet+, ils lancent officiellement en France le RCS (Rich Communication Services), un système de messagerie instantanée et de réseau social multimédia (texte, photo, vidéo, audio, Gif animé, live, carrousel, chatbot/robot, chat/humain, QR code, fichiers, …), fonctionnant sur le protocole IP (Internet) et sous Android (Google).
Dans le monde, RCS a déjà été utilisé par 473 millions d’utilisateurs au bout de deux ans (2). Il est censé remplacer à terme les SMS et leurs déclinaisons surtaxées SMS+ qui évoluent, eux, dans un écosystème mobile fermé. « Il s’agit cette fois d’une mise à disposition technologies auprès des marques de ce nouveau canal de communication, d’autant que le parc français arrive à maturité et va atteindre d’ici la fin de cette année 18 millions d’utilisateurs actifs, avec une prévision de 26 millions en 2022 », a indiqué le 30 septembre Renan Abgrall (Bouygues Telecom), président de l’AF2M depuis le début de l’été dernier, ayant succédé à Christian Bombrun (lire EM@236, p. 1). Tablant sur les mobiles Android compatibles RCS chez Orange, Bouygues Telecom, SFR et Free, l’AF2M veut convaincre les entreprises et les agrégateurs de s’emparer de cet écosystème multi-opérateur et monétisable baptisé RCS Business Messaging (RBM). A l’instar de chaque SMS qui rapporte quelques centimes d’euro aux opérateurs mobiles, la valeur ajoutée et l’enrichissement multimédia des RCS pourraient rapporter encore plus aux « telcos » (une dizaine de centimes à chaque message).
RCS est surtout la réponse des opérateurs mobiles – plus de 750 dans leur association mondiale GSMA (3) – pour ne pas se faire évincer du marché des messageries instantanées dominé par Facebook (WhatsApp, Instagram, Messenger), Gmail (intégrant Google Chat et Google Meet), iMessage (Apple), Snapchat, Telegram, Viber (Rakuten) ou encore Signal. Google a été choisi comme « fournisseur technologique » de la plateforme RCS. Reste à convaincre Apple de l’adopter aussi. @

Pourquoi WhatsApp a écopé en Europe d’une amende ré-évaluée à 225 millions d’euros

Publié le 20 septembre 2021 par Charles de Laubier

La « Cnil » irlandaise avait proposé fin 2020 à ses homologues européennes de mettre à l’amende WhatsApp et sa maison mère Facebook à hauteur de 30 à 50 millions d’euros. « Insuffisant ! », ont-elles estimé. Leur comité européen (CEPD) leur a donné raison et la note a plus que quadruplé.

La « Cnil » irlandaise, en l’occurrence la Data Protection Commission (DPC) dirigée par la commissaire Helen Dixon (photo de gauche), a annoncé le 2 septembre 2021 avoir infligé une amende de 225 millions d’euros à la société WhatsApp pour ne pas avoir respecté le règlement européen sur la protection des données personnelles (RGPD) – un record après la condamnation d’Amazon au Luxembourg à payer une sanction pécuniaire de 746 millions d’euros pour avoir aussi enfreint ce même RGPD.

Amende administrative insuffisante
WhatsApp devrait faire appel de cette décision. La filiale de Facebook, dont le siège européen est basé à Dublin (capitale de l’Irlande), a non seulement écopé d’une amende salée mais aussi reçu une « réprimande » – autrement dit un blâme – et une injonction de se mettre en conformité avec le RGPD (1), lequel est en vigueur depuis le 25 mai 2018. C’est d’ailleurs moins de six mois après cette date d’application que la « Cnil » irlandaise avait débuté son enquête (à partir du 10 décembre 2018) sur les pratiques de WhatsApp en termes de transparence des informations devant être fournies aux utilisateurs de cette messagerie instantanée comme aux non-utilisateurs du service.
« Cela comprend les informations fournies aux personnes concernées sur le traitement des données entre WhatsApp et d’autres entreprises Facebook [le réseau social Facebook, la plateforme de partage de photos et de vidéo Instagram, ou encore la messagerie Messenger, ndlr] », a précisé la DPC qui, conformément à l’article 60 du RGPD, s’est constituée en « chef de file » des autres autorités de contrôle (visà- vis donc des autres « Cnil » dans l’Union européenne) afin de « s’effor[cer] de parvenir à un consensus » entre elles. Après des mois d’enquête, la DPC avait soumis un projet de décision en décembre 2020 à toutes ses homologues européennes. Mais faut de consensus sur les objections de huit « Cnil » sur les vingt-sept, l’autorité irlandaise a déclenché le processus de règlement de différends le 3 juin dernier. Ce mécanisme de contrôle de la cohérence peu aboutir à ce que le Comité européen de la protection des données (CEPD) – ou European Data Protection Board (EDPB) – adopte une décision contraignante, comme ce fut le cas dans l’affaire « WhatsApp ». En effet, le 28 juillet 2021, cet organe européen indépendant présidé par Andrea Jelinek (photo de droite) – successeur du groupe de travail dit « Article 29 » sur la protection des données – a rendu sa décision. Notifiée à la « Cnil » irlandaise, celle-ci a été obligée « à réévaluer et à augmenter l’amende proposée sur la base d’un certain nombre de facteurs » détaillés dans la décision contraignante. C’est ainsi que la société WhatsApp Ireland Limited s’est vu imposer une amende de 225 millions d’euros. « Le CEPD charge la DPC de fixer un montant d’amende plus élevé pour les infractions constatées, par rapport à l’amende administrative envisagée dans le projet de décision, tout en restant conforme aux critères d’efficacité, la proportionnalité et la dissuasion », a notamment exigé le comité européen. Dans son projet de sanction établi en 2020, la « Cnil » irlandaise avait calculé son amende sur la base du chiffre d’affaires combiné du groupe Facebook (Inc.) et de sa filiale WhatsApp en Irlande pour l’année se terminant le 31 décembre 2019. Elle a cependant dû revoir à la hausse le montant, étant donné que sa décision finale allait intervenir cette année, donc devant se référer au chiffre d’affaires au 31 décembre 2020 – et en tenant compte de la hausse de 15 % environ de ces revenus annuels.
Quels sont les griefs faits à WhatsApp ? Plusieurs violations du RGPD ont été constatées non seulement pas la « Cnil » irlandaise mais aussi par ses homologues européennes qui ont obtenu auprès du CEPD un durcissement de la décision finale de la DPC sur certains points :
• Informations à fournir lorsque des données à caractère personnel sont collectées auprès de la personne concernée (article 13) : le CEPD charge la DPC de « constater dans sa décision finale qu’il y a eu infraction à [fournir les informations sur les intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, ndlr (2)] » sur la base des insuffisances qu’elle a identifiées.

Anonymisation des données personnelles
En outre, le CEPD exige que la DPC inclue dans sa décision finale une constatation de violation – « au lieu de formuler une simple recommandation » – de l’obligation pour WhatsApp de fournir aux personnes concernées les informations complémentaires, notamment « sur la question de savoir si l’exigence de fourniture de données à caractère personnel a un caractère réglementaire ou contractuel ou si elle conditionne la conclusion d’un contrat et si la personne concernée est tenue de fournir les données à caractère personnel, ainsi que sur les conséquences éventuelles de la non-fourniture de ces données » (3) .
• Risques pour les libertés et droits fondamentaux des personnes concernées (article 4) : le CEPD conclut que le « tableau des hachures avec perte » (dans le cadre de la procédure dite de Lossy Hashing censée anonymiser les données personnelles), ainsi que les numéros de téléphone des utilisateurs associés en tant que liste de non-utilisateurs, constituent des données personnelles, et demande à la DPC de modifier son projet de décision en conséquence pour éviter un risques pour les libertés et droits fondamentaux des personnes concernées (4).

Objections et griefs des autres « Cnil »
De plus, le CEPD exige de la DPC qu’elle modifie son projet de décision « de manière à ce que le délai de six mois pour la conformité soit réduit à une période de trois mois » – à savoir a priori jusqu’au 2 décembre 2021 par rapport au 2 septembre de la décision finale.
• Principes relatifs au traitement des données à caractère personnel (article 5) : Compte tenu de la gravité, de la nature générale et de l’impact des infractions, la DPC est tenue d’inclure dans sa décision finale une constatation de violation du principe de transparence (5) selon lequel « les données à caractère personnel doivent être traitées de manière licite, loyale et transparente au regard de la personne concernée (licéité, loyauté, transparence) ».
• Informations à fournir lorsque les données à caractère personnel n’ont pas été collectées auprès de la personne concernée (article 14) : La DPC est tenue, là aussi, de modifier son projet de décision pour tenir compte du fait que la violation de l’obligation d’informations à fournir sur le traitement des données des non-utilisateurs sous la forme de listes de non-utilisateurs après la procédure d’anonymisation des données personnelles (Lossy Hashing).
• Concernant l’amende administrative : le CEPD charge la DPC de modifier son projet de décision afin de tenir compte du chiffre d’affaires total de toutes les sociétés composant l’entreprise unique Facebook (WhatsApp, Instagram inclus) pour calculer le montant de l’amende elle-même, et considérer la date de la décision finale (2021) à partir de laquelle les revenus de l’exercice précédent (2020) devrait être considéré.
• Concernant l’amende administrative (article 83) : la DPC a été contrainte d’amender son projet de décision afin de prendre également en compte les autres infractions – en plus de l’infraction la plus grave – dans le calcul de l’amende (6), sous réserve des critères d’efficacité, de proportionnalité et de dissuasion (7). Compte tenu du chiffre d’affaires annuel global de Facebook, ainsi que des infractions constatées et des facteurs aggravants correctement identifiés par la DPC, le CEPD a estimé que l’amende administrative initiale envisagée par la « Cnil » irlandaise – à savoir entre 30 et 50 millions d’euros – n’était pas suffisante et lui a demandé de la réévaluer. Pour autant, bien que les 225 millions d’euros représentent plus de quatre fois l’amende initialement envisagée par l’Irlande et qu’elle soit la deuxième plus élevée dans les sanctions pécuniaires sur les données personnelles en Europe, la somme à payer par Facebook ne représente que… 0,08 % de son chiffre d’affaires concerné. Mais pour la firme de Mark Zuckerberg, qui avait tenté en vain de bloquer l’enquête de la « Cnil » irlandaise devant la Haute cour de justice du pays, la sanction est jugée disproportionnée. « Le RGPD prévoit des amendes allant jusqu’à 4 % du chiffre d’affaires. Cela montre à quel point la DPC est encore extrêmement dysfonctionnelle », a taclé le 2 septembre l’Autrichien Max Schrems (photo ci-dessous), président de l’organisation à but non lucratif Noyb dont il est le fondateur (8).
Cette décision contraignante (9) adoptée par le CEPD dans la torpeur de l’été (le 28 juillet 2021 donc) a non seulement été adressée à la « Cnil » irlandaise mais aussi à ses homologues de l’Union européenne. La DPC a ainsi durci et annoncé sa décision finale rectifiée début septembre (10). La DPC avait un délai d’un mois à compter de la réception de la décision contraignante pour transmettre sa décision finale corrigée à la présidente du CEPD, actuellement Andrea Jelinek. La décision contraignante et la décision finale (11) qui en découle ont été rendues publiques (12).
Ce verdict à l’encontre de Facebook-WhatsApp fera date, en Europe mais aussi dans le monde. Cela restera un cas d’école pour tous les praticiens et les garants de la vie privée. Bien d’autre plaintes sont déjà sur le bureau de la DPC. Mais Facebook n’est pas au bout de ses peines, notamment depuis que WhatsApp a annoncé en début d’année à ses 2milliards d’utilisateurs de nouvelles conditions d’utilisation permettant – depuis mi-mai (13) – des transferts de données personnelles vers le réseau social.

Les « amis » consommateurs se rebiffent
C’est sur ces nouvelles règles controversées de WhatsApp que le Bureau européen des unions de consommateurs (Beuc) et huit de ses membres – dont l’association UFC-Que Choisir en France – ont déposé plainte contre la filiale de Facebook le 12 juillet dernier auprès de la Commission européenne et du CPC, réseau européen des autorités de consommateurs (14). Le Beuc accuse le numéro un mondial des réseaux sociaux de « violations multiples des droits des consommateurs de l’UE » et de « pressions indues sur ses utilisateurs pour qu’ils acceptent ses nouvelles conditions d’utilisation et sa politique de confidentialité » (15), alors qu’elles ne sont ni transparentes ni compréhensibles pour les internautes. @

Charles de Laubier

Autoriser les rachats d’Instagramet de WhatsApp par Facebook fut deux graves erreurs de la FTC

Publié le 26 octobre 2020 par Charles de Laubier

Instagram, le réseau social de partage de photos et vidéos, fête ses dix ans. Lancé en octobre 2010 par l’Américain Kevin Systrom et le Brésilien Michel Mike Krieger, il fut vendu dix-huit mois après à Facebook pour 1 milliard de dollars. La FTC se mort les doigts d’avoir autorisé cette acquisition.

« Nous avons fait une erreur », avait admis Joseph Simons (photo), l’actuel président de la FTC, l’autorité américaine antitrust, dans une interview à l’agence Bloomberg le 13 août 2019. Il faisait le mea culpa de la Federal Trade Commission (FTC) à propos des autorisations accordées à Facebook pour les rachats de respectivement Instagram en 2012 pour 1milliard de dollars et WhatsApp en 2014 pour – tenez-vous bien – près de 20 milliards de dollars ! Sur la centaine d’acquisitions faites par la firme de Mark Zuckerberg (1), seule celle d’Instagram fit l’objet d’une enquête approfondie – avant le feu vert.

« Zuck » rachète ses concurrents menaçants
L’ensemble Facebook-Instagram-WhatsApp pourrait devenir un cas d’école s’il venait à être le premier GAFA à être démantelé, comme ne l’exclut pas Joseph Simons, ou sinon lui interdire le brassage des données personnelles entre ses plateformes (2). Le groupe spécial antitrust de la commission des Affaires judiciaires (3) de la Chambre des représentants des Etats-Unis vient, le 6 octobre dernier, d’appeler le Congrès américain à légiférer pour recourir à « deux outils essentiels de la boîte à outils anti-monopole : séparation structurelle et restrictions sectorielles » pour mettre un terme aux abus de position dominante des géants américains du Net – Google/YouTube, Amazon/Amazon.com, Facebook/Instagram/WhatsApp, Apple/App Store – et remédier aux conflits d’intérêts sous-jacents.
Les quatre patrons respectifs de ces Big Four, respectivement Sundar Pichai, Jeff Bezos, Mark Zuckerberg et Tim Cook, avaient été convoqués pour une audition qui s’est déroulée le 29 juillet dernier. Ce jour-là, le démocrate David Cicilline, le président de la sous-commission antitrust (bipartisane), n’avait pas caché que les conclusions allaient être en faveur du démantèlement ou à défaut de fortes restrictions. Dans son rapport de 451 pages intitulé « Investigation of competition in the Digital markets » (4), la sous-commission antitrust justifie d’en arriver au spinoff pour empêcher ces mastodontes planétaires du numérique aux comportements monopolistiques d’évincer la concurrence : « Les séparations structurelles interdisent à un intermédiaire dominant d’opérer sur des marchés qui le mettent en concurrence avec les entreprises dépendantes de son infrastructure. Entre-temps, les restrictions imposées aux secteurs d’activité limitent généralement les marchés dans lesquels une entreprise dominante peut s’engager » (5). C’est plus particulièrement le cas du groupe Facebook, devenu maison mère de ses ex-concurrents Instagram et WhatsApp, qui préoccupe le plus les parlementaires américains. « Facebook voyait Instagram comme une menace, […] donc ils les ont rachetés », avait grondé après l’audition de juillet le Démocrate Jerrold (Jerry) Nadler, président de la commission des Affaires judiciaires. « Zuck » l’a même écrit dans un e-mail confidentiel daté du 9 avril 2012 au moment du rachat d’Instagram, message interne (6) porté à l’enquête judiciaire. Son homologue David Cicilline avait, lui, renvoyé dos à dos la FTC et le patron du numéro un des réseaux sociaux : « La FTC n’aurait pas dû approuver l’acquisition de WhatsApp par Facebook », tout en pointant « la façon décontractée dont le PDG de Facebook, Mark Zuckerberg, a reconnu qu’il avait acquis le service de messagerie WhatsApp en 2014 parce qu’il était un concurrent en pleine croissance » (7). Les parlementaires Républicains sont moins critiques, au point de ne pas avoir approuvé le rapport antitrust publié le 6 octobre. Dans son rapport, la sous-commission antitrust souligne que « le marché des réseaux sociaux est très concentré » : Facebook (1,8 milliard d’utilisateurs) et sa gamme de produits – WhatsApp (2 milliards), Instagram (1,4 milliard) – comptent beaucoup plus d’utilisateurs et de temps passé sur sa plateforme que ses plus proches concurrents. En effet, Snapchat (443 millions d’utilisateurs) ou Twitter (582 millions) sont loin derrière la firme de « Zuck » (8). Il relève aussi que la « monopolisation » de Facebook a aussi des effets endogènes : « Par exemple, les forts effets de réseau associés à Facebook ont fait pencher le marché vers le monopole, de sorte que Facebook fait concurrence plus vigoureusement à ses propres produits – Facebook, Instagram, WhatsApp et Messenger – qu’à ses concurrents réels » (9).

Rachat d’Instagram par Facebook : « felony »
Instagram – mot-valise créé de l’anglais « instant camera » (appareil photo instantané) et « gram » (du mot telegram) – a subi comme WhatsApp la double peine : perte d’indépendance et concurrence inter-filiales ! En juin 2019, le professeur Tim Wu de la Columbia Law School avait estimé que « le rachat d’instagram par Facebook était une infraction majeure, voire un délit » : il emploie le terme de felony (10). Il ne reste plus qu’à réformer la loi antitrust américaine. @