Le marché mondial du cloud est en plein boom, au risque d’échapper aux régulateurs nationaux

Les services de cloud dans le monde devraient franchir cette année la barre des 200 milliards de dollars. Les « as a service » (activité, infrastructure, application, logiciel, …) et les mégadonnées du Big Data font les affaires des prestataires du cloud computing, où les GAFAM s’en donnent à coeur joie.

« Les services en nuage bouleversent vraiment l’industrie.
Les prestataires bénéficient de plus en plus de stratégies cloud-first d’entreprises. Ce que nous voyons maintenant
n’est que le début. D’ici 2022, la croissance de l’industrie
des services infonuagiques sera près de trois fois celle de l’ensemble des services numériques », prévient Sid Nag (photo), vice-président analyste chez Gartner.

Stratégies de cloud-first, voire de cloud-only
Le marché mondial du cloud devrait encore progresser de 17,5 % durant cette année 2019 pour franchir la barre des 200 milliards de dollars, à 214,3 milliards précisément. C’est du moins ce que prévoit le cabinet d’études international Gartner, qui a fait part
de ses projections début avril. Cette croissance exponentielle à deux chiffres a de quoi faire pâlir d’autres secteurs numériques. A ce rythme, après les 200 milliards de dollars franchis cette année, la barre des 300 milliards sera allègrement dépassée en 2022.
Le segment le plus dynamique de ce marché en plein boom est celui du cloud des infrastructures systèmes, appelé IaaS (Infrastructure as a Service), suivi par le cloud des infrastructures d’applications, appelé PaaS (Platform as a Service). La troisième plus forte croissance est aussi celle du premier segment du marché des nuages numériques, à savoir le cloud des services logiciel, appelé SaaS (Software as a Service), qui pèse à lui seul 43,8 % du marché en 2018 et devrait même en représenter 44,6 % en 2022. « D’ici la fin de l’année, plus de 30 % des nouveaux investissements des fournisseurs de technologie dans les logiciels passeront du cloud-firstau cloud-only. Cela signifie que la consommation de logiciels sous licence continuera de chuter, tandis que les modèles de consommation en nuage par abonnement et le SaaS continueront de croître », prévoit Gartner. Les segments du cloud les plus techniques tels que les processus opérationnels, désignés par BPaaS (Business Process as a Service), et le management et la sécurité, désignés a fortiori par MSaaS (Management and Security as a service), continueront de progresser mais dans une moindre mesure par rapport aux autres segments. On retrouve ces tendances d’évolution du marché infonuagiques en France, qui devrait passer de 5,1 milliards de dollars/4,6 milliards d’euros en 2018
à 8,6 milliards de dollars/7,6 milliards d’euros en 2022 (voir tableau ci-dessous). Sur l’Hexagone comme ailleurs, SaaS est le plus gros segment, suivi du BPaaS, de l’IaaS, du PaaS, puis du MSaS.
Selon l’organisme de statistiques européen Eurostat, 26 % des entreprises de l’Union européenne (UE) – soit plus d’une sur quatre – ont acheté des services de cloud computing l’an dernier. La proportion est majoritaire chez les grandes entreprises
(56 %) et bien moindre chez les petites et moyennes entreprises (23 %). La première utilisation qui est faite de ces prestations à distance dans le « nuage informatique » concerne la messagerie électronique (69 %), suivie de près par le stockage des fichiers sous forme dématérialisée (68 %). Viennent ensuite la puissance de calcul achetée pour faire fonctionner leurs propres logiciels (23 %) et l’utilisation de logiciels dans le cloud pour gérer les informations sur la clientèle (29 %).
Pour les entreprises en Europe qui exploitent le Big Data, soit 12 % d’entre elles, les mégadonnées proviennent de sources de données variées : près de la moitié ont d’abord analysé les données de géolocalisation des appareils portables, tels que les smartphones, des connexions sans fil comme le Wifi ou le GPS (49 %). Ensuite, les mégadonnées sont issues des données générées par les médias sociaux et réseaux sociaux (45 %), de dispositifs ou de capteurs intelligents (29 %) ou encore de données provenant d’autres sources (26 %). Si aujourd’hui le Big Data est une expression dépassée par l’IA (l’intelligence artificielle), l’IoT (l’Internet des objets) ou encore la Blockchain, le cloud, lui, prospère tant que les données s’affirment de plus en plus comme le pétrole du XXIe siècle – comme l’a encore montré la 8e édition du Big Data Paris en mars dernier (1).

Amazon et Microsoft en tête, suivis de Google
Le nuage informatique permet aux entreprises de créer un « lac de données », ou Data Lake (stockage des données dans leurs formats originaux ou peu modifiés), à partir duquel l’analyse des données et de leur valorisation peut s’opérer (data mining, marchine learning, business intelligence, cognitive search, master data management, …). Plus de dix ans après que l’expression « Big Data » ait été prononcée – le 22 décembre 2008 dans leur livre blanc (2) par trois chercheurs universitaires de la Computing Research Association américaine –, le cloud est un marché multimilliardaire à la croissance insolente. On estime que le tournant du cloud-first a été pris au cours des années 2013-2016, avec les GAFAM qui se sont engouffrés sur ce marché porteur pour leur plus grand profit. Amazon vient de doubler ses bénéfice grâce au cloud sur le premier trimestre 2019. Sa filiale AWS (Amazon Web Services), qui compte parmi ses clients Apple, Netflix ou encore Pinterest, est le numéro un mondial du secteur. Microsoft arrive en deuxième position grâce à Azure. Google Cloud est aussi à l’offensive avec le Français Sébastien Marotte, son vice-président pour la région EMEA. Le géant du Net compte parmi ses clients européens Airbus, Alstom, Sky, BNP Paribas, Drouot Digital, GRDF, Philips ou encore Veolia (3). L’entrée en vigueur il y a près d’un an en Europe – le 25 mai 2018 – du règlement général sur la protection des données (RGPD) ne semble pas freiner les ardeurs des GAFAM qui ont plus que jamais la tête dans les nuages. « Le “Cloud Act” américain est-il une menace pour les libertés des citoyens européens ? », s’était interrogé l’avocat franco-américain Winston Maxwell dans Edition Multimédi@ après l’affaire controversée « Microsoft » (4). Le Cloud Act fut adopté aux Etats-Unis il y a plus d’un an maintenant (5) – promulgué le 23 mars 2018. Ce texte de loi fédéral et sécuritaire américain prévoit une base juridique permettant
au gouvernement des Etats-Unis de conclure des accords avec des gouvernements étrangers concernant l’accès aux données détenues par les prestataires de services américains, et vice versa. En clair : les autorités publiques et les agences de renseignement américaines sont en droit d’obtenir – des opérateurs télécoms, des fournisseurs d’accès à Internet (FAI) et des fournisseurs de services de cloud – des informations et/ou enregistrements stockés sur leurs serveurs, que ces données et contenus « soient localisés à l’intérieur ou à l’extérieur des Etats-Unis ».

Cloud Act américain et RGPD européen
En outre, ce Cloud Act permet aux Etats-Unis de passer des accords bilatéraux avec d’autres pays, lesquels pourront à leur tour obtenir des informations de la part des fournisseurs de services américains. Or l’article 48 du RGDP dispose que « toute décision d’une juridiction ou d’une autorité administrative d’un pays tiers exigeant d’un responsable du traitement ou d’un sous-traitant qu’il transfère ou divulgue des données à caractère personnel ne peut être reconnue ou rendue exécutoire de quelque manière que ce soit qu’à la condition qu’elle soit fondée sur un accord international ». Mais dans son amicus brief de 2017 dans l’affaire « Microsoft » (6), la Commission européenne estime que le RGPD tolérait – malgré son article 48 – des transmissions de données notamment sur le fondement de l’intérêt légitime ou de l’intérêt public. @

Charles de Laubier

Tout en justifiant son soutien à la directive « Copyright », Qwant prépare une grosse levée de fonds et vise la Bourse

Slogan de Qwant : « Le moteur de recherche qui respecte votre vie privée » – … « et le droit d’auteur », rajouteraiton depuis que son PDG Eric Léandri soutient la directive « Droit d’auteur » – adoptée le 26 mars. Mais il se dit opposé au filtrage du Net. Côté finances, le moteur de recherche veut lever 100 millions d’euros et vise la Bourse.

Qwant, société franco-allemande dont le capital est détenu majoritairement par son PDG fondateur Eric Léandri (photo), à 20 % par la CDC et à 18,4 % par le groupe de médias allemand Axel Springer (1), cherche d’abord à lever 30 millions d’euros de cash dans les deux mois. Objectif : accélérer le développement de ses plateformes. « Nous sollicitons des investisseurs, tandis que nos actionnaires CDC et Axel Springer nous suivent. Ensuite, nous irons vers une vraie belle augmentation de capital d’ici la fin de l’année ou début 2020, avec une levée de fonds à 100 millions d’euros », indique Eric Léandri à Edition Multimédi@. Avec une introduction en Bourse à cette occasion ? « Allez savoir… Rien n’est fermé ! Pour cela, vous avez des obligations d’être propre au niveau comptable », nous a-t-il confié. Concernant le financement de 25 millions d’euros consenti par la Banque européenne d’investissement (BEI) en octobre 2015, le solde a finalement été entièrement versé en 2018. Le renforcement financier de Qwant prend du temps, l’explication de son soutien à la directive européenne « Droit d’auteur dans le marché unique numérique » aussi ! Eric Léandri ne cesse de devoir justifier son choix – mais en assurant qu’il est contre les robots de filtrage automatisé que permet l’article 13 (devenu 17) de cette directive adoptée le 26 mars.

Liberté de l’Internet versus presse indépendante ?
 « Il fallait que la directive “Droit d’auteur” soit votée pour que la presse finisse par être indépendante et libre. Sinon, d’ici trois ans, il n’y aura plus de journaux, sauf quelques-uns financés par des géants et des journalistes payés au lance-pierre. Et sans presse, un moteur de recherche n’est pas capable de vous donner autre chose que les résultats de l’Internet », nous explique-t-il. D’un côté, il est salué par le ministre de la Culture, Franck Riester, pour « a[voir]annoncé le 20 mars son engagement en faveur de la directive “Droit d’auteur” ». De l’autre, il est critiqué pour avoir appelé à voter pour un texte qui déroule le tapis rouge aux robots filtreurs au profit des  ayants droits mais – potentiellement – au détriment de la liberté d’expression et des droits fondamentaux.
« Je ne mets pas en balance la liberté de l’Internet contre la liberté des auteurs et ayants droit, nous assure Eric Léandri. Je dis que ce n’est pas des robots filtreurs qu’il faut mettre devant les sites web ».

« Précédent démocratiquement redoutable »
Et le PDG de Qwant de mettre en garde les industries culturelles : « Si c’est le filtrage généralisé que veulent nos amis les ayants droits, ils vont se retrouver en conflit avec d’autres dispositions européennes qui l’interdisent (4) ». Pour un moteur de recherche européen « qui protège les libertés de ses utilisateurs », mais qui ouvre la boîte de Pandore à la légalisation du filtrage généralisé sur « un Internet libre » dont il se revendique pourtant comme un de ses fervents « défenseurs », c’est pour le moins troublant. Le paradoxe de Qwant a de quoi désorienter les internautes qui, à raison
de 70 millions de visites par mois atteintes à ce jour par cet « anti- Google », ont généré en 2018 plus de 18 milliards de requêtes, contre 9,8 milliards en 2017. Le moteur de recherche franco-allemande ne cesse de vanter son modèle avec « zéro traceur publicitaire », son PDG allant jusqu’à présenter son moteur de recherche comme « la Suisse de l’Internet ». Cela ne l’empêche pas d’aller dans le sens du risque énorme pour le Web – 30 ans cette année (5) – de voir se généraliser les robots pour surveiller les contenus de ses utilisateurs.
Pour éviter d’en arriver là, tout va maintenant se jouer lors de la transposition dans chaque pays européen de cette directive « Droit d’auteur » et de son article 13 (devenu 17), lequel (6), concède Eric Léandri, « est écrit avec les pieds » ! « Battons-nous pour mettre en place un site web, totalement open source de base de données globale partagée des auteurs, interrogeable à tout moment, qui est le contraire d’un filtre. Car si l’on généralise par exemple Content ID de YouTube, qui récupérera alors les adresses IP des internautes, cela entre là aussi en contradiction avec toutes les lois européennes – dont le RGPD (7) exigeant le consentement préalable des visiteurs. Cela ne passera pas », prévient-il. Le PDG de Qwant affirme n’être ni « anti-droit d’auteur » ni « pro-GAFA ». Dans un droit de réponse en juillet 2018, sa société mettait tout de même
en garde : « L’article 13 [le 17] créerait de notre point de vue un précédent démocratiquement redoutable » (8). Guillaume Champeau (photo de droite), l’ancien journaliste fondateur et dirigeant de Numerama, devenu il y a deux ans et demi directeur « Ethique et Affaires juridiques » de Qwant, ne disait pas autre chose sur le blog de l’entreprise en juin 2018 : « [L’article 13 devenu 17]exigera des plateformes qu’elles implémentent des méthodes de filtrage automatisées. (…) Ceci aura un impact sur la liberté d’expression » (9). Et il sait de quoi il parle, lui qui fut l’auteur d’un mémoire universitaire en 2015 intitulé « Les intermédiaires de l’Internet face aux droits de l’homme : de l’obligation de respecter à la responsabilité de protéger ». Tristan Nitot, ancien dirigeant de Mozilla Europe devenu il y a près d’un an vice-président
« Advocacy, Open Source & Privacy » de Qwant, se retrouve lui-aussi en porte-à-faux après l’adoption de la directive « Copyright ». Ces deux dirigeants ont forgé ces dernières années leur réputation sur la défense des droits fondamentaux sur un Internet ouvert et neutre. Vont-ils démissionner pour autant ? « Démissions ? Non, il y a aucune démission en perspective, nous répond Eric Léandri. Ils veulent maintenant trouver des solutions. Il n’est pas question de démissionner devant des lois qui ne me conviennent pas vraiment, mais qui empêchent les uns (grands) d’écrabouiller les autres (petits) ». Dans un tweet posté juste après le vote des eurodéputés en faveur de la directive
« Copyright » (lire p.3), le directeur « Ethique et Affaires juridiques » de Qwant ne s’avoue pas vaincu pour autant : « Maintenant que la #CopyrightDirective a été adoptée, nous devons travailler ensemble pour créer les outils libres et ouverts dont nous aurons besoin (y compris une base de données ouverte de signatures d’oeuvres protégées). L’article 13 [le 17] ne devrait pas être appliqué sans ceux-ci ! ». Ce projet de serveur centralisé en laisse perplexes plus d’un (10) (*). Cette solution de la dernière chance a pour but d’éviter non seulement les robots filtreurs mais aussi de recourir aux technologies propriétaires d’identification des œuvres, telles que Content ID (11) ou à Rights Manager de Facebook. Et le PDG de Qwant d’assurer à Edition Multimédi@ :
« Ma proposition règle tous les problèmes et n’entre en conflit avec aucun autre règlement. Qwant financera cette plateforme, non exclusive, que l’on mettra à disposition courant avril. Ce site aura une capacité à gérer des milliards de photos [y compris vidéos, musiques et textes, ndlr]. Nous mettrons aussi les technologies open source à disposition pour que cette base puisse être dupliquée partout en Europe ».

« Mission d’étude » Hadopi-CNC-CSPLA
Mais quid du reste du monde au regard de l’Internet sans frontières ? Reste à savoir
s’il ne s’agira pas d’une usine à gaz. Qwant n’ira pas voir lui-même tous les éditeurs de contenus ; ce sont eux qui les déposeront dans la base d’indexation pour les protéger. L’Hadopi, le CNC et le CSPLA ont lancé le 1er avril « une mission conjointe d’étude et de propositions sur les outils de reconnaissance des contenus protégés sur les plateformes ». @

Charles de Laubier

Margrethe Vestager accumule les affaires « GAFA »

En fait. Le 14 mars, la commissaire européenne à la concurrence, Margrethe Vestager, a indiqué à Bloomberg qu’elle allait « prendre au sérieux » la plainte déposée le 11 mars par Spotify contre Apple. La Danoise « antitrust », qui vient d’infliger le 20 mars une troisième amende à Google, accumule les dossiers
« GAFA ».

En clair. A quelques mois de la fin de son mandat à la Commission européenne dont elle brigue la prochaine présidence, Margrethe Vestager n’est pas prête à baisser les bras et son cabinet ne désarme pas. « Mon équipe commence à examiner la plainte
de Spotify », a-t-elle déclaré trois jours après le dépôt du dossier par la première plateforme mondiale de musique en ligne, d’origine suédoise. Six mois après avoir refermé le dossier « musique » d’Apple, en donnant son feu vert au rachat de Shazam (1), Margrethe Vestager doit le rouvrir sur, cette fois, des accusations d’abus de position dominante de la marque à la pomme dans sa boutique App Store au profit d’Apple Music. En prélevant 30 % de royalties sur les abonnements, Apple aurait contraint Spotify à les augmenter de 9,99 à 12,99 euros – Apple Music étant à 9,99 euros (2) (*) (**).
Le fabricant d’iPhone a contre-attaqué le 14 mars (3) – sans attendre l’instruction de Bruxelles… La précédente fois qu’Apple a eu affaire à la Commission européenne,
c’est lorsque celle-ci a ordonné en août 2016 à l’Irlande de récupérer auprès de la firme de Cupertino 13,1 milliards d’euros d’avantages fiscaux jugés indus. Il y a un an, cette somme de 14,3 milliards d’euros (dont 1,2 milliard d’intérêt) a été versée sur un compte bloqué. Par ailleurs, en décembre dernier, Margrethe Vestager avait déclaré qu’Apple Pay, le service de paiement mobile, n’était pas en position dominante. Bien que le verdict « Spotify versus Apple » ne sera pas prononcé par l’actuelle Commission européenne (4), c’est une affaire « GAFA » de plus à traiter dans l’immédiat par Margrethe Vestager. Google vient de se voir infliger le 20 mars une troisième amende en moins de deux ans par la Danoise « antitrust », pour abus de position dominante : 1,49 milliard d’euros pour pratiques anti-concurrentielles de sa régie publicitaire AdSense. Son moteur de recherche avait écopé de 2,42 milliards d’euros d’amende
le 27 juin 2017 et Android de 4,34 milliards d’euros le 18 juillet 2018.
Amazon, qui a aussi été épinglé en 2017 pour 250 millions d’euros d’avantages fiscaux indus obtenus du Luxembourg et la même année sur ses pratiques dans le livre numérique (EM@ 132, p. 3), fait l’objet d’une nouvelle enquête lancée en septembre 2018 sur, cette fois, l’avantage concurrentiel obtenu par le géant du ecommerce de l’utilisation des données collectées auprès des détaillants qui utilisent sa plateforme. @

Positions monopolistiques : faut-il démanteler les GAFA comme le fut AT&T il y a… 35 ans ?

Trente-cinq après le démantèlement du monopole téléphonique AT&T, les autorités antitrust américaines ont donné leur feu vert à la fusion entre AT&T et Time Warner (rebaptisé WarnerMedia). Tandis que dans le monde OTT d’en face, la question du démantèlement des GAFA se pose.

Le 26 février, se sont télescopées le même jour deux décisions des autorités antitrust aux Etats-Unis : la première, de la cour d’appel de Washington, a validé en appel l’acquisition du groupe audiovisuel Time Warner – devenu WarnerMedia –
par l’opérateur télécoms AT&T ; la seconde, annoncée par la Federal Trade Commission (FTC), porte sur la création d’un groupe de travail pour enquêter sur la concurrence dans le numérique et les GAFA.

Dans l’ombre de Donald Trump
Si le président américain Donald Trump (photo) suit de très près le contexte concurrentiel auquel se réfèrent ces deux décisions, c’est qu’il a une dent – voire plusieurs – contre à la fois les grands groupes de médias et les géants du numériques qui lui seraient hostiles depuis sa campagne présidentielle de l’automne 2016. Concernant AT&T-Time Warner, le locataire de la Maison Blanche était vent debout contre cette mégafusion à 85 milliards de dollars, qui était, selon lui,« trop de pouvoir concentré dans les mains de trop peu de gens ! », et avec le risque de voir les prix des abonnements Pay-TV flamber (1).
L’administration Trump avait attaqué le projet de fusion devant la justice : après avoir perdu en première instance en juin 2018, elle a de nouveau été déboutée en appel le 26 février dernier – et devrait en rester là. N’en déplaise à Donald Trump, le nouvel ensemble AT&T-WarnerMedia peut voir le jour pour notamment tenter de contrer Netflix et Amazon Prime Video avec sa propre plateforme de SVOD qu’il prévoit de lancer d’ici fin 2019. Pour obtenir le feu vert, AT&T a promis au département de la Justice (DoJ) de ne pas être complètement intégré et de bien séparer ses filiales Turner (éditrice de la chaîne CNN que déteste Trump) et DirecTV en mettant un « firewall » entre les deux. AT&T-WarnerMedia, qui a annoncé le 4 mars une réorganisation et la fusion de HBO avec Turner, rejoint le club des conglomérats audiovisuels américains nés avec la convergence télécoms-médias (2), tels que Comcast/NBCUniversal/Sky (3) ou encore le groupe Disney/Fox (dont le service de SVOD sera aussi lancé cette année). Prochaine opération de fusion à examiner par les autorités antitrust : le rachat de Sprint par T-Mobile pour 26 milliards de dollars (faisant passer le marché mobile américain de quatre à trois opérateurs). Mais pendant que les Etats-Unis entérinent la concentration des groupes audiovisuels, voilà que le régulateur fédéral américain du commerce – la Federal Trade Commission (FTC) – s’interroge cette fois sur le poids monopolistique des géants du numérique. Sans nommer Google, Apple, Facebook ni Amazon, la FTC n’a pas caché qu’elle pourrait remettre en cause des fusions approuvées par le passé ou exiger la cession de certains actifs. Cette démarche de l’administration Trump est perçue par certains comme une représailles de l’actuel président américain qui a maille à partir avec les entreprises de la Silicon Valley très critiques à son égard (hormis son rare soutien Peter Thiel, cofondateur de Paypal et de Palantir). L’an dernier, Donald Trump n’avait pas hésité à attaquer Google en accusant le moteur de recherche de censurer les voix des Républicains (son camp politique) et de favoriser celles des Démocrates (ses opposants). De là à envisager de démanteler Google, il y a un pas
de géant à franchir.
Facebook est aussi dans le collimateur. Lors d’une conférence téléphonique le 16 février, le directeur de la concurrence à la FTC, Bruce Hoffman, s’est bien gardé de dire si le rachat par Facebook d’Instagram en 2012 pour 1 milliard de dollars ou celui de WhatsApp en 2014 pour 19 milliards de dollars faisaient partie des dossiers à rouvrir. La « Technology Task Force », qui fut annoncée ce jour-là (4) en s’inspirant de la
« Merger Litigation Task Force » lancée en 2002 par la FTC, va repasser au peigne
fin les marchés et écosystèmes complexes de la publicité en ligne (où Google (5) et Facebook sont en position dominante), les réseaux sociaux (où la firme de Mark Zuckerberg va intégrer Facebook, WhatsApp, Instagram et Messenger), les systèmes d’exploitation mobile et leurs applications (dominés par Android de Google et iOS d’Apple), ainsi que tous les écosystèmes numériques (Amazon, Uber, AirBnb, …).

Démanteler Google et Facebook ?
La question du démantèlement des GAFA jugés « trop puissants » ne se pose pas qu’aux Etats-Unis, mais aussi dans le reste du monde. En Europe, la Commission européenne a déjà infligé deux amendes à Google pour abus de position dominante : 4,3 milliards d’euros le 18 juillet 2018 pour Android et 2,42 milliards d’euros le 27 juin 2017 pour son moteur de recherche. En France, en 2017, l’Arcep s’est dite favorable à l’idée de démanteler Google (6) (*) (**). Les « Cnil » européennes, elles, s’inquiètent du projet d’intégration de Facebook. @

Charles de Laubier

Etant basé en Irlande, Google compte rendre illégal l’amende de la Cnil devant le Conseil d’Etat

Le Conseil d’Etat devra dire si la Cnil est compétente pour sanctionner financièrement Google dont le siège européen est basé en Irlande. La firme de Mountain View doit payer 50 millions d’euros pour non-respect du règlement général sur la protection des données (RGPD) sur Android.

Google fait donc appel de la décision de la Cnil (1) qui lui a infligé le 21 janvier dernier une amende de 50 millions d’euros « en application du RGPD (2) pour manque de transparence, information insatis-faisante et absence de consentement valable pour la personnalisation de la publicité ». Pour autant, ce n’est pas le montant de la sanction financière – une goutte d’eau au regard des dizaines de milliards de dollars qu’engrange chaque année la firme de Mountain View (3) – qui va contester devant
le Conseil d’Etat, mais bien la compétence de la Cnil dans cette procédure.

« Cnil » irlandaise et Google Irlande à Dublin
Google, qui s’est bien gardé d’évoquer le problème dans son communiqué laconique
du 23 janvier savamment distillé auprès de quelques médias, va demander à la haute juridiction administrative d’invalider la délibération du 21 janvier – publiée au Journal Officiel du 22 janvier (4). Car, selon le géant du Net, « la Cnil n’est pas compétente pour mener cette procédure et qu’elle aurait dû transmettre les plaintes reçues à l’autorité
de protection des données irlandaise » – en l’occurrence la DPC (The Data Protection Commission), basée à Dublin. C’est justement à Dublin, la capitale de l’Irlande, qu’est établie la société Google Ireland Limited, dont la directrice des affaires publiques et relations gouvernementales est Anne Rooney (photo), une Irlandaise francophone et francophile. C’est elle qui dirige Google Ireland, sous la présidence européenne de Matt Brittin (5), en charge des opérations et basé à Londres. Plus connu en France où il est installé, Carlo d’Asaro Biondo est, lui, président européen des partenariats – tous les trois sur les régions EMEA (Europe, Moyen-Orient et Afrique).
Sur son profil LinkedIn, Anne Rooney déclare : « Je suis responsable de la gestion
et de la direction des agendas produits et politiques avec les décideurs politiques externes, le gouvernement, les régulateurs et les tierces parties au nom de Google Irlande et EMEA. Je développe et dirige l’engagement en matière de politiques publiques et de réglementation dans toute la gamme des domaines stratégiques qui
ont une incidence sur Google et le Web. Les questions clés comprennent l’innovation technologique, le développement économique et la sécurité ». Sa maison mère est formelle et a eu l’occasion de l’affirmer à plusieurs reprises devant la Cnil : Google Ireland Limited doit être considérée comme son établissement principal au sein de l’Union européenne pour certains des traitements transfrontaliers qu’elle met en oeuvre, « et notamment ceux objets des plaintes reçues par la Cnil ». En conséquence, poursuit Google, la DPC devrait être considérée comme l’autorité de contrôle compétente et
« chef de file » en charge, à ce titre, de traiter les plaintes reçues par son homologue française.
Devant le Conseil d’Etat, le géant du Net ne manquera pas de rappeler – comme il
l’a exposé devant la Cnil dans ses observations écrites (des 22 novembre 2018 et 4 janvier 2019) ainsi qu’oralement le 15 janvier dernier – que son siège social pour ses opérations européennes se situe précisément en Irlande depuis 2003. Google Ireland Limited est « l’entité en charge de plusieurs fonctions organisation-nelles nécessaires
à la réalisation de ces opérations pour la zone Europe, Moyen-Orient et Afrique (secrétariat général, fiscalité, comptabilité, audit interne, etc.) ». C’est en outre de cette société basée à Dublin que relève « la conclusion de l’intégralité des contrats de vente de publicités avec les clients basés dans l’Union européenne ». Le QG européen de Google emploie plus de 3.600 salariés et, selon les affirmations de l’entreprise elle-même, dispose d’une équipe dédiée en charge de « la gestion des demandes faites
au sein de l’Union européenne en lien avec la confidentialité et d’un responsable chargé de la protection de la vie privée ». Google a aussi précisé à la Cnil qu’une réorganisation tant opérationnelle qu’organisationnelle était en cours « en vue de
faire de la société Google Ireland Limited le responsable de traitement pour certains traitements de données à caractère personnel concernant les ressortissants
européens ».

Pour Google, la Cnil n’est pas « chef de file »
Autre argument avancé par Google : la définition d’établissement principal doit être distinguée de celle de responsable de traitement. « Si le législateur européen avait voulu que la notion d’établissement principal soit interprétée comme le lieu où les décisions concernant les traitements sont prises, il l’aurait expressément indiqué », estime la firme de Mountain View. De plus, invoquant la nature transfrontalière des traitements de personnalisation de la publicité et du nombre significatif d’utilisateurs d’Android en Europe faisant l’objet de ces traitements de données personnelles, dont probablement plus de 30 millions de mobinautes en France (6), elle considère que « les mécanismes de coopération et de cohérence tels que prévus [par le] RGPD auraient dû s’appliquer » et que « le Comité européen de la protection des données (CEPD) aurait dû être saisi en cas de doute sur la détermination de l’autorité chef de file ».

Sanctions suivantes : après Android, au tour de YouTube, Gmail et Search ?
Google s’appuie en particulier sur l’article 60 du RGPD, selon lequel l’autorité de contrôle chef de file coopère avec les autres autorités de contrôle concernées en s’efforçant de parvenir à un consensus – l’autorité de contrôle chef de file et les autorités de contrôle concernées échangeant toute information utile. De plus, en
dehors de la procédure engagée par la Cnil, Google estime « sans effet juridique »
les discussions informelles qui ont pu avoir lieu entre les autres autorités européennes de contrôle sur cette procédure « dès lors qu’elles ont eu lieu sans sa présence ».
La non reconnaissance par Google de l’autorité « chef de file » que s’est arrogée la
Cnil sera ainsi au coeur des réflexions du Conseil d’Etat qui devra dire si l’autorité
– présidée par Marie-Laure Denis depuis début février – a outrepassé ou pas ses compétences territoriales et si sa sanction financière est légale ou non.
Dans son considérant n°36, le RGPD prévoit que « l’établissement principal d’un responsable du traitement dans l’Union (européenne) devrait être le lieu de son administration centrale dans l’Union, à moins que les décisions quant aux finalités et aux moyens du traitement des données à caractère personnel soient prises dans un autre établissement du responsable du traitement dans l’Union, auquel cas cet autre établissement devrait être considéré comme étant l’établissement principal ». Google Ireland Limited à Dublin aurait dû alors être reconnu comme l’établissement principal en Europe et la « Cnil » irlandaise (DPC) comme le chef de file pour instruire la procédure sur les éléments fournis par son homologue française.
Cette dernière, en se référant aux lignes directrices du CEPD du 5 avril 2017 concernant la désignation d’une autorité de contrôle chef de file d’un responsable de traitement ou d’un sous-traitant (7), juge que la filiale irlandaise de Google ne dispose d’« un quelconque pouvoir décisionnel quant aux finalités et aux moyens des traitements couverts par la politique de confidentialité présentée à l’utilisateur lors de la création de son compte, à l’occasion de la configuration de son téléphone mobile sous Android ». La Cnil reconnaissant seulement son rôle dans les « activités financières et comptables, vente d’espaces publicitaires, passation de contrats etc ». L’amende de
50 millions d’euros porte sur le système d’exploitation des terminaux mobiles Android assorti de l’App Store Google Play, ainsi que sur l’activité de régie publicitaire. Il est reproché à Google de demander aux mobinautes Android d’accepter sa politique de confidentialité et ses conditions générales d’utilisation des services – et surtout, qu’à défaut d’une telle acceptation, les utilisateurs ne pourraient utiliser leur terminal (smartphone ou tablette sous Android).
Le géant du Net se permet en outre d’exploiter les traitements de données à caractère personnel à des fins publicitaires (analyse comportementale et ciblage). Or, pour enfoncer le clou, la Cnil révèle un courrier en date du 3 décembre 2018 adressé à la DPC à Dublin pour lui annoncer « que le transfert de responsabilité de Google LLC
vers la société Google Ireland Limited sur certains traitements de données à caractère personnel concernant les ressortissants européens serait finalisé le 31 janvier 2019 ». Par ailleurs, Google vient de procéder à la mise à jour de ses règles de confidentialité qui sont entrées en application le 22 janvier 2019 – soit le lendemain de sa mise à l’amende par la Cnil ! La Quadrature du Net, association française de défense des droits et libertés numériques, qui fut avec l’association autrichienne NOYB (None Of Your Business, « ce n’est pas tes affaires ») à l’origine des plaintes contre Google, dénonce cette manoeuvre qu’elle estime grossière et appelle la Cnil à continuer à sanctionner au-delà d’Android. « Nous attendons de la Cnil qu’elle ignore cette pirouette éhontée et décide de rester compétente pour prononcer les autres sanctions contre YouTube, Gmail et Google Search, notre plainte ayant été déposée bien avant ce changement unilatéral des conditions d’utilisation imposées par l’entreprise ».

Europe : 95.000 plaintes en 8 mois, c’est peu
Le bras de fer entre Google et la Cnil devant le Conseil d’Etat intervient au moment
où la Commission européenne a annoncé le 25 janvier – Journée de la protection des données – qu’au cours des huit mois depuis l’entrée en vigueur du RGPD (le 25 mai 2018), « les autorités nationales de protection des données ont reçu plus de 95.000 plaintes de citoyens à ce jour », dont 255 font l’objet d’une enquête de la part des
« Cnil » (8). Objectivement, c’est très peu au regard des quelques centaines de millions d’Européens connectés à Internet et détenteurs de smartphones. @

Charles de Laubier