La 5G tant vantée poursuit lentement son décollage

En fait. Le 10 février, l’Arcep dévoilera les chiffres de son observatoire des services mobiles pour le quatrième trimestre. Selon les estimations de Edition Multimédi@, le parc de la 4G dépasserait pour la première fois les 70 millions de cartes SIM en France. En revanche, la 5G resterait sous la barre des 10 millions.

En clair. La 5G fait toujours pâle figure en France, alors que les quatre opérateurs télécoms (Orange, Bouygues Telecom, Free Mobile et SFR) promettaient au grand public du très haut débit mobile et de nouveaux usages, avec des débits jusqu’à dix fois supérieurs à ceux de la 4G (1). Force est de constater que, depuis les débuts de la commercialisation de la 5G il y a plus de deux ans, les clients mobiles (forfaits ou prépayés) ne se précipitent pas. Selon les chiffres de l’Arcep publiés le 12 janvier dernier sur le troisième trimestre 2022 du marché des communications électroniques, le nombre de cartes SIM actives en 5G ne dépasse pas les 6,2 millions (2) – ne pesant que 7,5 % du parc de carte mobiles actives en France. Et bien loin des 69,7 millions de clients 4G.
Si la croissance trimestrielle d’un peu plus de 21,5 % observée au troisième trimestre s’est poursuivie au quatrième trimestre l’an dernier, selon l’hypothèse basse de Edition Multimédi@, la 5G terminerait l’année 2022 avec à peine plus de 7,5 millions de clients mobiles – pesant seulement 9% du parc mobile total. Et toujours très loin des quelques 70 millions d’abonnés 4G attendus à fin 2022. Même en prenant cette fois une hypothèse haute intégrant l’effet « cadeaux de Noël », la 5G devrait rester sous la barre des 10 millions de clients. Comme l’Arcep ne précise pas dans son observatoire des services mobiles les chiffres de la 5G (ni de la 4G ni de la 3G), il faudra attendre finalement non pas le 10 février mais le 6 avril prochain pour avoir la confirmation de cette tendance poussive. @

Ce que dit l’Europe sur le rachat de Sky par Comcast

En fait. Le 22 septembre, le câblo-opérateur américain Comcast – propriétaire des studios de cinéma Universal Pictures et DreamWorks ainsi que des chaînes NBC, CNBC, Syfy ou E! – a remporté les enchères sur Sky, l’opérateur britannique de télévision. L’Europe n’y trouve rien à redire.

En clair. La Commission européenne n’a pas attendu les enchères pour autoriser,
dès le 15 juin dernier, le rachat « sans conditions » de Sky par Comcast : « Pas de problème de concurrence en Europe », a-t-elle assuré. Bruxelles rendra aussi « d’ici le 19 octobre » sa décision sur le projet de rachat des actifs de Fox aux Etats-Unis par le groupe Disney, lequel a déjà obtenu le feu vert des autorités antitrust américaines, à condition de se séparer d’une vingtaine de chaînes sportives de Fox (1). Bien qu’elle
ne participait pas à ces enchères exceptionnelles opposant à Londres Comcast à Fox pour s’emparer de Sky, la Walt Disney Compagny est la grande perdante en Europe.
Le magnat des médias Rupert Murdoch voulait lui céder – pour un total de 71 milliards de dollars – non seulement, aux Etats- Unis, ses studios de cinéma, ses chaînes de télévision axées divertissement, sa part dans Hulu, mais aussi Sky en Europe.
Ce bouquet de télévision britannique est présent au Royaume- Uni, en Irlande, en Allemagne, en Autriche et en Italie, avec 23 millions d’abonnés (2). Maintenant que Comcast a remporté Sky pour 33,4milliards d’euros, auxquels s’ajoutera le rachat des 39 % (valorisés 12,8milliards d’euros) que Fox a annoncé – le 26 septembre – vouloir céder dans Sky, il reste quand même à Disney les actifs de Fox aux Etats-Unis qu’a tenté en vain d’acquérir Comcast cet été. Rupert Murdoch, lui, cherche ainsi à recentrer son nouveau « Fox » sur l’information avec ses journaux (Wall Street Journal, New York Post, …), ses chaînes de télévision Fox News et Fox Business (3). Depuis deux ans, le magnat des médias australo-américain cherchait à s’emparer des 61 % du capital de Sky – dont Fox détenait déjà 39 %. Mais, conformément à la décision prise en avril par la commission des OPA britannique, Disney aurait eu l’obligation de faire une offre sur la totalité de Sky en Europe s’il réussissait à acquérir les actifs de Fox aux Etats-Unis. Car le projet d’acquisition de Sky par Fox était mal accueilli au Royaume-Uni (« pas dans l’intérêt du public »), la famille Murdock y étant déjà très implantée avec le groupe News Corp, lequel publie le tabloïd The Sun, le quotidien The Times ou encore The Sunday Times. En revanche, l’offre de Comcast sur Sky ne posait pas de problème aux yeux des autorités britanniques et européennes. Les actionnaires de Sky ont jusqu’au 11 octobre pour se prononcer en faveur de Comcast. @

Orange : Dufourcq se verrait bien remplacer Richard

En fait. Le 20 février, le conseil d’administration d’Orange – où siège Nicolas Dufourcq parmi les trois représentants de l’Etat (actionnaire à 23 % du capital, dont 9,5 % de Bpifrance) – a voté pour le renouvellement du mandat de Stéphane Richard, actuel PDG d’Orange, comme administrateur du groupe.

En clair. Bien qu’il ait été mis en examen – en tant qu’exdirecteur de cabinet de la ministre de l’Economie Christine Lagarde (1) – dans l’affaire de l’arbitrage de 404 millions d’euros en faveur de Bernard Tapie, et qu’en mai ou juin il sera jugé en correctionnelle avec cinq autres personnes (dont ce dernier) pour « complicité d’escroquerie » et « complicité de détournement de fonds publics », Stéphane Richard reste intouchable au sein d’Orange, dont il est le PDG depuis sept ans maintenant, après avoir été nommé DG il y a près de huit ans. Même l’Etat français – pourtant au cœur de cette affaire d’Etat qu’est le scandale « Tapie » – n’a rien trouvé à redire sur Stéphane Richard, l’un de ses plus dévoués grands commis. C’est ainsi que les trois administrateurs qui représentent « la sphère publique » – Nicolas Dufourcq en tant que PDG de Bpifrance Participations (détenteur de 9,5 % d’Orange sur les 23 % de l’Etat), Anne Lange et Lucie Muniesa – ont voté comme les autres membres du conseil d’administration « en faveur du renouvellement du mandat de Stéphane Richard comme administrateur d’Orange dans la perspective de son renouvellement en tant
que président du conseil d’administration pour une période de quatre ans ». Cette résolution sera soumise au vote de l’assemblée générale le 4 mai (2). Mais le PDG ira-t-il jusqu’au bout de son troisième mandat s’il était approuvé par les actionnaires – Etat et salariés d’Orange en tête ? Une simple formalité ? Cela semble être le cas malgré l’épée de Damoclès au-dessus de l’ex-directeur de cabinet. « S’il devait y avoir une condamnation, il remettrait immédiatement son mandat et démissionnerait », a prévenu Bruno Le Maire le 22 janvier sur Radio Classique. Ce que l’intéressé, qui assure n’avoir exécuté à l’époque qu’une décision politique prise par Christine Lagarde, a confirmé le 20 février sur RTL. Quoi qu’il en soit, les noms de successeurs potentiels circulent de plus belle, notamment celui de Nicolas Dufourcq qui passa près de dix ans chez France Télécom (1994- 2003) où il dirigea la division Multimédia et y lança Wanadoo. Président de Bpifrance depuis 2013, il est donc un administrateur de l’Etat au sein d’Orange et n’a jamais démenti son intérêt d’être calife à la place du calife. En 2016, Nicolas Dufourcq s’était dit convaincu que le rapprochement entre Orange et Bouygues Telecom allait se faire… un jour. @

La VOD reste désespérément le parent pauvre de la consommation audiovisuelle en France

Les dépenses audiovisuelles des foyers français – cinéma, télévision (redevance comprise), DVD/Blu-ray, vidéo à la demande (VOD, SVOD) et jeux vidéo – s’élèvent à plus de 10,4 milliards d’euros en 2016. Mais le cinéma à la demande peine toujours à décoller. La VOD à l’acte décline.

Le marché français de la vidéo à la demande (VOD) n’a progressé que de 8,3 %
en 2016 à 344,1 millions d’euros. C’est toujours le poste le moins disant dans les dépenses en programmes audiovisuels des foyers français. En effet, ces derniers ont déboursé l’an dernier plus de 10,4 milliards d’euros que cela soit en cinéma, télévision (abonnements télé et redevance audiovisuelle), vidéo (physique et VOD), ou encore jeu vidéo (physique et dématérialisé).

VOD à l’acte, VOD définitive et SVOD
Ce budget global en programmes audiovisuels (hors matériels donc) a progressé d’à peine 0,9 % sur un an, selon les chiffres publiés le 11 mai par le CNC (1). Les dépenses en VOD, lesquelles incluent la VOD à l’acte (location dématérialisée), la VOD par téléchargement définitif (ou EST (2)) et la SVOD (par abonnement), restent toujours
la dernière roue du carrosse audiovisuel. Avec leurs 344,1 millions d’euros en 2016, elles n’arrivent qu’en sixième et dernière place des dépenses audiovisuel des Français. Malgré la chute continue des ventes de vidéo physique (DVD et Blu-ray), lesquelles sont en recul l’an dernier de 15,8 % à 595,5 millions d’euros et avant-dernier du classement, la VOD fait toujours moins bien. La progression du marché de la vidéo à
la demande ne compense toujours pas le recul du marché de la vidéo physique. Les dépenses en vidéo (physique ou dématérialisée) sont largement devancées par celles du cinéma en salles qui progressent de 4,2 % à plus de 1,3 milliard d’euros, elles-mêmes précédées par les recettes de la redevance audiovisuelle dite CAP de plus de 2,2 milliards d’euros (3). Quant aux abonnements télé et les jeux vidéo, ils s’arrogent les deux premières places des dépenses audiovisuelles en 2016 avec respectivement plus de 3,3 milliards d’euros et 2,5 milliards d’euros – les premiers étant en baisse de
5 % et les seconds en hausse de 9 %. Il y a d’ailleurs fort à parier que les dépenses en télévision (abonnements et redevance) représenteront – à l’issue de cette année en cours et pour la première fois – moins de la moitié des dépenses audiovisuelles.
Alors que le Syndicat des éditeurs de vidéo à la demande (Sévad) a organisé du 11
au 14 mai derniers la 2e édition de « La Fête de la VOD » avec le soutien du CNC
(à 2 euros le film loué en ligne sur Arte VOD, Canal VOD, Filmo TV, Fnac Play, Imineo, MyTF1VOD, Nolim, Orange, France.tv, Club Vidéo SFR, UniversCiné et Vidéofutur),
le marché de la VOD n’est, lui, pas vraiment à la fête. La location à l’acte continue de reculer – de 4,4 % en 2016 – et passe pour la première fois sous la barre des 50 %
du marché avec une part de 48,6 %, à 167,23 millions d’euros (voir tableau ci-contre). Tandis que la vente définitive dite EST représente 19,8 % du marché après avoir progressé de 13,3 % l’an dernier. Rappelons que ces deux segments du paiement à l’acte continuent d’arriver quatre mois après la salle dans la chronologie des médias (lire EM@167, p. 6 et 7). Quant à la SVOD, toujours reléguée à trente-six mois après
la salle, elle progresse de 32,1 % entre 2015 et 2016, passant de 26,0 % à 31,7 % du marché. @

Charles de Laubier

Société de l’information : vers une généralisation du signalement des incidents de sécurité

L’Union européenne va adopter deux textes majeurs qui vont étendre et renforcer les responsabilités des entreprises et des acteurs du Net dans la société de l’information : la nouvelle directive « Cybersécurité » et le règlement « Protection des données personnelles ».

Par Christophe Clarenc, cabinet Dunaud Clarenc Combles & Associés

Les prochaines adoptions, d’une part, de la nouvelle directive
en faveur d’un niveau élevé commun de sécurité des réseaux
et systèmes d’information, et, d’autre part, du règlement général sur la protection des données personnelles confirment un renforcement de la cyber-responsabilité des entreprises à travers notamment une généralisation de l’obligation de signaler les incidents et violations de sécurité.

Dépendance critique
Les promesses et la pérennité même de la « société de l’information » promue au sein de l’Union européenne (UE) dépendent de la sécurité des technologies, systèmes et traitements d’information qui la sous-tendent et la structurent. Cette dépendance est critique, à mesure tout à la fois : de la vulnérabilité intrinsèque de ces dispositifs informatiques, de la vulnérabilité systémique résultant de l’interconnexion et de la sous-traitance en chaîne de ces dispositifs dans le cyberespace, de l’actuelle dépendance vis-à-vis des dispositifs de traitement et de sécurité étrangers, ainsi que des actes, menaces et enjeux démultipliés de cyberattaques. A quoi s’ajoutent la protection et
la transparence souvent insuffisantes des entreprises devant les incidents et violations de sécurité, et, enfin, la confiance nécessaire des citoyens-consommateurs dans cette société de l’information (1).
La législation européenne a déjà défini la notion et les risques, exigences et moyens génériques de sécurité (disponibilité, authenticité, intégrité et confidentialité) des réseaux et systèmes d’information (RSI), et a imparti différentes obligations de sécurité pour les opérateurs de communications électroniques et pour les responsables de traitements de données à caractère personnel. La directive sur la sécurité des réseaux et systèmes d’information (SRI) et le règlement général sur la protection des données personnelles viendront étendre et renforcer ces obligations, et en forcer le respect par une généralisation de l’obligation de signaler les incidents et violations de sécurité et des sanctions dissuasives en cas de manquement.

C’est en février 2013 que la Commission européenne a présenté une proposition de directive concernant des mesures destinées à assurer un niveau élevé commun de SRI dans l’UE (directive dite « Cybersécurité »). Un accord « trilogue » (2) est intervenu en décembre dernier sur un texte sensiblement remanié (3) (*) (**).
Cette proposition de directive « SRI » s’inscrivait dans la continuité des travaux et des actes européens poursuivis depuis 2001 (voir encadré page suivante). Elle visait en particulier à établir des exigences élevées et communes de SRI pour les « acteurs du marché » concernés, recouvrant à la fois les prestataire de services de la société de l’information – tels que les services d’informatique en nuage, ou les moteurs de recherche comme Google ainsi que les plateformes de e-commerce comme eBay
ou Amazon – et les opérateurs d’infrastructure critique essentielle au maintien de fonctions économiques et sociétales vitales à identifier dans les domaines de l’énergie, des transports, des services bancaires, des bourses de valeur et de la santé – sous le contrôle dans chaque Etat membre de l’autorité compétente en matière de SRI. Cette proposition prévoyait notamment l’obligation pour ces acteurs de notifier à l’autorité
« les incidents qui ont un impact significatif sur la sécurité des services essentiels
qu’ils fournissent » avec pouvoir de l’autorité d’« informer le public, ou demander
[aux acteurs] de le faire, lorsqu’elle juge qu’il est dans l’intérêt général de divulguer
les informations relatives à l’incident ».

Opérateurs d’importance vitale
Cette proposition « SRI » de 2013 était fortement soutenue et inspirée par la France dans la continuité de ses préoccupations et de sa stratégie de défense et de sécurité des systèmes d’information des infrastructures nationales devant la menace majeure des cyberattaques, et de son propre dispositif – adopté dans sa loi de programmation militaire de décembre 2013 (4) – de cyber-protection des opérateurs répertoriés d’importance vitale (OIV), placé sous l’autorité du Premier ministre et de la direction
de l’Agence nationale de défense des systèmes d’information (Anssi) (5).
L’accord trilogue intervenu en décembre 20015 a sensiblement remanié le schéma
de la proposition. Il établit deux régimes de réglementation et de contrôle SRI. L’un concerne les « opérateurs de services essentiels » à identifier par chacun des Etats membres dans les secteurs de l’énergie, des transports, des services bancaires,
des marchés financiers, de la santé, de l’eau et des infrastructures numériques, caractérisés par leur rapport direct avec des infrastructures physiques. L’autre
concerne les « fournisseurs de services numériques » génériquement et limitativement appréhendés dans les domaines des places de marché en ligne, des moteurs de recherche et des services d’informatique en nuage ou cloud, également regardés comme critiques mais différenciés par leur nature transfrontière et internationale.

Responsabilités renforcées
Les opérateurs de services essentiels désignés et les fournisseurs de services numériques concernés devront notifier sans délai indu les incidents de SRI ayant un impact significatif ou substantiel sur la continuité de leurs services, avec information du public en cas de nécessité et après consultation. Les contrats de prestation conclus par ces opérateurs avec ces fournisseurs devront être soigneusement examinés. En effet, ces opérateurs seront seuls responsables de la notification des incidents affectant la continuité de leurs services causés par des incidents survenus chez ces fournisseurs-prestataires. Enfin, les entreprises non visées pourront volontairement notifier leurs incidents de SRI.
Quant au règlement général de protection des données personnelles (6), à intervenir prochainement à la suite de l’accord trilogue également trouvé en décembre dernier,
il viendra encore étendre et renforcer les responsabilités de SRI eu égard à la capacité des failles et incidents de SRI à affecter la sécurité des traitements et des données.
En effet, outre un renforcement des obligations propres à la sécurisation des traitements, il impartit à l’ensemble des entreprises responsables de traitement, sous peine de sanctions devenant très dissuasives de manquement, de dépister et conserver la trace documentaire de toute violation de données personnelles, et de notifier à l’autorité nationale compétente (en France la Cnil), sans retard indu et si possible sous 72 heures, toute violation constatée susceptible de présenter un risque pour les droits et libertés des personnes concernées, avec information de ces dernières en cas de risque élevé et non contrecarré.
La conformité « SRI » s’impose comme un facteur critique de responsabilité administrative, pénale, contractuelle et quasi-délictuelle (et d’assurance), de crédibilité, de réputation et de différenciation compétitive dans la société de l’information. @

ZOOM

Proposition de directive « SRI » : 15 ans de gestation
Depuis 2001, des travaux et des actes se sont enchaînés au niveau européen au nom de la sécurité des réseaux et de la cybersécurité. Parmi eux :
• La communication de juin 2001 invitant à une approche politique européenne en matière de SRI ;
• La directive 2002/21/CE de mars 2002 soumettant les opérateurs de communications électroniques à des mesures pour assurer la sécurité/intégrité de leurs réseaux et services ;
• Le règlement 460/2004 de mars 2004 instituant une Agence européenne chargée de la SRI (Enisa) et apportant premières définitions des systèmes d’information, des exigences génériques de SRI, des risques de SRI et de la SRI ;
• Le livre vert de novembre 2005 pour un programme européen de protection des infrastructures critiques (IC) mentionnant les technologies de l’information (TIC) ;
• La communication de mai 2006 proposant une stratégie pour une société de l’information sûre ;
• La directive 2008/114/CE de décembre 2008 relative au recensement et à la désignation des IC européennes soulignant l’intérêt d’examiner une inclusion des TIC ;
• La communication de mars 2009 concernant la protection des infrastructures d’information critiques (IIC) soulignant la criticité de certaines infrastructures TIC (7) et envisageant à cet égard de les soumettre à l’obligation de notification des incidents de sécurité concomitamment proposée pour les opérateurs de communications électroniques ;
• La proposition de septembre 2010 de directive relative aux attaques contre les systèmes d’information (dite « cybercriminalité ») qui aboutira à la directive 2013/40/UE d’août 2013 établissant infractions pénales communes d’accès illégal à des systèmes d’information, d’atteinte illégale à l’intégrité d’un système d’information, d’atteinte illégale à l’intégrité des données et d’interception illégale, et recommandant, pour renforcer la sécurité, des mesures incitant à notifier les failles de sécurité ;
• La directive 2009/140/CE de novembre 2009 (modifiant la directive 2002/21/CE) soumettant les opérateurs de communications électroniques à l’obligation de notifier à l’autorité nationale compétente « toute atteinte à la sécurité ou perte d’intégrité ayant eu un impact significatif sur le fonctionnement des réseaux ou des services » avec pouvoir de l’autorité d’« informer le public ou exiger des entreprises qu’elles le fassent dès lors qu’elle constate qu’il est d’utilité publique de divulguer les faits » ;
• La communication de février 2013 sur la stratégie de cybersécurité de l’UE introduisant notamment la proposition de directive SRI présentée à cette même date. @