Carte d’identité numérique européenne : c’est parti

Publié le 27 mars 2023 par Charles de Laubier

En fait. Le 16 mars, le Parlement européen a adopté la décision de la commission parlementaire d’engager des « négociations » (trilogues) sur l’identité numérique européenne qui consistera à créer un portefeuille électron

En clair. Le coup d’envoi des « négociations interinstitutionnelles » en vue d’instaurer une identité numérique européenne – désignée parfois par « eID » – pour chacun des citoyens des Vingt-sept a été donné par le Parlement européen réuni en séance plénière le 16 mars. Il s’agit pour cette phase de « trilogues » – dont la première réunion tripartite (1) s’est tenue le 21 mars – de trouver un accord politique sur un cadre réglementaire entourant un système de portefeuilles électroniques à puce. Ces e-wallets nationaux seront émis par chaque Etat membre mais interopérables à travers l’Union européenne (UE). Les Européens pourront ainsi avoir dans leur smartphone – a priori dès 2024 – toute leurs données personnelles, de l’état civil (nom, prénom, date de naissance, nationalité, …) au certificat de naissance en passant par son dossier de santé ou encore le permis de conduire. Ils se serviront de leur carte d’identité numérique pour : s’identifier en ligne ou hors ligne (prouver l’identité d’une personne sur Internet sans mot de passe), conserver et échanger des informations fournies par des administrations publiques ou des acteurs privés dignes de confiance, ou encore utiliser ces informations afin d’attester de leur droit de résider, de travailler ou d’étudier dans un Etat membre (authentification transfrontière). Les e-portefeuilles faciliteront par exemple aussi la demande d’un prêt auprès de banques (2). Pour l’UE, il s’agit d’un enjeu de souveraineté visà-vis des GAFAM qui, en tant que très grandes plateformes et conformément au règlement européen DSA (3), devront faire en sorte de reconnaître ces e-wallets européens. Ce sera particulièrement le cas pour Google, Amazon, Facebook ou encore Apple, dont les systèmes d’identification seront ainsi concurrencés. Rien n’empêcherait alors d’obliger les réseaux sociaux de vérifier l’âge des adolescents (de 13 ans) sur présentation de l’e-wallet européen.
Proposé en juin 2021 par la Commission européenne pour compléter le règlement dit « eIDAS » de 2014 sur « l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur » (4), ce nouveau cadre « eID » a déjà été adopté par le Conseil des ministres de l’UE en décembre dernier. Les négociations porteront notamment sur le niveau de sécurité qui sera plus élevé que, par exemple, système national France Connect (5). @

Le groupe Meta Platforms peut-il vraiment retirer Facebook et Instagram de l’Union européenne ?

Publié le 14 mars 2022 par Charles de Laubier

Dans son rapport annuel, Meta n’exclut pas de supprimer d’Europe ses réseaux sociaux – Facebook, Instagram ou WhatsApp – s’il ne peut pas transférer les données personnelles européennes aux Etats-Unis. Retour sur cette menace qui soulève des questions économiques et juridiques.

Par Arnaud Touati, avocat associé, Hashtag Avocats

La société américaine Meta Platforms a-t-elle le droit et le pouvoir de retirer Facebook et Instagram du marché européen ? Techniquement, elle pourrait retirer Facebook et Instagram du marché européen, notamment des Vingt-sept Etats membres de l’UE. En effet, une société est libre de déterminer son marché et de proposer ou de retirer librement ses services sur le territoire d’un Etat. Cependant, économiquement parlant, le marché européen est considérable pour la firme de Mark Zuckerberg qui en est le PDG et fondateur.

Europe : 25 % des revenus de Meta
Le groupe a annoncé que l’Europe représentait, pour le dernier trimestre 2021, plus de 8,3 milliards de dollars de chiffre d’affaires, soit près du quart du total réalisé par Meta à l’échelle mondiale. De même, le revenu moyen par utilisateur sur Facebook en Europe (Messenger, Instagram et WhatsApp compris) se situe en moyenne à 19,68 dollars sur ce quatrième trimestre 2021, en deuxième position derrière la région « Etats-Unis & Canada » (1). Au total, l’Europe a généré 25% du chiffre d’affaires trimestriel.
De même, si la maison mère Meta Platforms décidait de mettre fin à ses services en Europe, il lui appartiendrait de résoudre la délicate question du sort des données des utilisateurs européens – au nombre de 427 millions à la fin de l’année dernière (2). En effet, Facebook, Messenger, Instagram ou encore WhatsApp ont obtenu de nombreuses données des utilisateurs. Cela impliquerait donc nécessairement de restituer aux utilisateurs toutes leurs données. Dans quelles conditions ? Comment ? La question est ouverte.
Au-delà des questions économiques que soulèverait pour Meta la mise à exécution de sa menace de retirer ses réseaux sociaux, cela poserait également des questions juridiques. Le règlement général sur la protection des données (RGPD), adopté en 2016 par le Parlement européen (3) et en vigueur depuis mai 2018, prévoit l’encadrement des transferts des données à caractère personnel vers des pays tiers. Les dispositions du règlement doivent donc être appliquées, afin que le niveau de protection des personnes physiques garanti par ledit règlement ne soit pas compromis. Peut-il y avoir des passe-droits en matière de RGPD ? (4) Plutôt que de « passe-droit », parlons plutôt de « tempérament », c’est-à-dire de l’assouplissement de certaines dispositions réglementaires dans des hypothèses bien déterminées. Il conviendrait ainsi de dire qu’il n’existe pas a priori de tempérament en matière de RGPD, au vu de l’importance du respect de la protection des données et de l’obligation d’encadrement des transferts de données. Néanmoins, il convient de relativiser cet état de fait. En effet, en France, la Commission nationale de l’informatique et des libertés (Cnil) prévoit une procédure de mise en demeure, dans l’hypothèse où un organisme ne respecterait pas les obligations relatives à l’encadrement des transferts de données. Elle précise qu’une « mise en demeure est une procédure qui intervient après une plainte ou un contrôle et ne constitue pas une sanction » (5). Dans pareille situation, deux issues sont possibles. Si l’organisme se conforme aux dispositions pendant le délai imparti, le transfert des données sera considéré comme légal et conforme. Dans le cas contraire, l’organisme peut se voir attribuer des sanctions, lesquelles sont, pour la majeure partie d’entre elles, pécuniaires. Cependant, cette sanction ne garantit pas le respect postérieur du RGPD, ce qui pourrait donc in fine valoir tempérament implicite, pour peu que ledit organisme ait des capacités financières significatives.
Par ailleurs, les transferts de données vers des pays tiers à l’Union européenne (UE) doivent respecter les principes du RGPD (6). Ainsi, la Commission européenne peut prévoir des décisions d’adéquation avec certains pays lorsqu’elle estime qu’ils assurent « un niveau de protection adéquat » (7). Les transferts de données vers ces pays-là ne nécessitent alors pas d’autorisation spécifique.

Dérogations pour cas particuliers
A l’inverse, lorsqu’un pays n’est pas reconnu comme garantissant une protection adéquate, l’article 46 du RGPD permet au responsable de traitement d’assurer lui-même que les transferts envisagés sont assortis de garanties appropriées, grâce à des clauses contractuelles types, des règles d’entreprise contraignantes, un code de conduite ou un mécanisme de certification. Dans les situations dans lesquelles un pays tiers n’est pas reconnu comme offrant un niveau de protection adéquat et en l’absence de garanties appropriées encadrant ce transfert, le transfert peut néanmoins, par exception, être opéré en vertu des dérogations listées à l’article 49 du RGPD. Tempérament du tempérament : ces dérogations – telles que le consentement explicite, l’exécution d’un contrat ou les motifs d’intérêt public – ne peuvent néanmoins être utilisées que dans des situations particulières et les responsables de traitement doivent, selon la Cnil, « s’efforcer de mettre en place des garanties appropriées et ne doivent recourir à ces exceptions qu’en l’absence de telles garanties » (8).

Marge de manœuvre des « Cnil »
A l’instar de son confrère irlandais, la Data Protection Commission (DPC), la Cnil pourrait-elle décider de modifier ses accords en matière de transfert des données vers les Etats-Unis ? Pour rappel, la DPC a refusé que les données des Européens soient collectées pour être stockées sur des serveurs américains, malgré la possibilité accordée par le RGPD, sous réserve des conditions (9). En effet, l’autorité de contrôle irlandaise considère que la loi américaine FISA (Foreign Intelligence Surveillance Act) est problématique, puisqu’elle autorise expressément la NSA (National Security Agency) à collecter les données de personnes étrangères si elles sont stockées sur des serveurs américains.
A l’origine, le RGPD pose des règles relatives aux autorités de contrôle tenant notamment à leurs indépendance, compétences, missions et pouvoirs (10). Ces autorités ont une large marge de manœuvre. En effet, en France par exemple, la loi « Informatique et Libertés » modifiée dispose que « la [Cnil] est une autorité administrative indépendante » (11), et le règlement européen permet, lui, de réduire la protection des personnes dans des cas particuliers afin de tenir compte des exigences nationales. Ce n’est donc pas parce que l’autorité irlandaise a pris cette décision que la Cnil doit nécessairement suivre la même analyse. Pour autant, dans une affaire concernant Google, la Cnil a conclu, prenant une inflexion similaire à son homologue irlandaise, que, à l’heure actuelle, les transferts de données vers les Etats-Unis ne sont pas suffisamment encadrés : dans une décision du 10 février 2022, elle a en effet mis en demeure un gestionnaire de site de mettre en conformité avec le RGPD ses traitements de données, en retirant Google Analytics si besoin (12). Pour rendre pareille décision, la Cnil se fonde sur l’arrêt « Schrems II » (13) de la Cour de justice de l’Union européenne (CJUE) ayant invalidé en 2020 le « Privacy Shield » (voir encadré ci-dessous).
Toutefois, même si les autorités de contrôle protègent les données personnelles en refusant le transfert des données sur les serveurs américains, une loi américaine datant de 2018 – le Cloud Act (14) – pose problème. En effet, le « Clarifying Lawful Overseas Use of Data Act » est une loi fédérale des Etats-Unis sur l’accès aux données personnelles, notamment opérées dans le nuage informatique. Elle permet aux instances judiciaires américaines d’émettre un mandat de perquisition contraignant les fournisseurs de cloud américains – même si les données sont stockées à l’étranger –, de fournir toutes les données d’un individu, sans qu’aucune autorisation ne soit demandée à la justice du pays dans lequel se situent l’individu ou les données.
Cette loi a été largement critiquée, étant entendu qu’elle se soustrait ainsi au contrôle des autorités réglementaires au sein du territoire de l’UE. Pour limiter, voire éviter une telle situation, la Commission européenne pourrait, à l’avenir, tenter de trouver un accord avec les Etats-Unis, et ainsi assurer la conformité avec le RGPD du transfert des données personnelles outre-Atlantique. En attendant, même si l’entreprise Meta a assuré le 8 février 2022, « n’avoir absolument aucune envie de se retirer de l’Europe, bien sûr que non » (15), la Commission européenne ne contournera pas l’arrêt « Schrems II » ayant annulé le « Privacy Shield », pas plus qu’elle ne l’avait fait pour l’arrêt « Schrems I » de 2015 annulant l’accord antérieur, le « Safe Harbour ». @

FOCUS

« Privacy Shield » : la CJUE peut-elle annuler… son annulation de 2020 ?
La Cour de justice de l’Union européenne (CJUE) pourrait-elle faire machine arrière et revenir sur sa décision d’annuler l’accord entre l’Union européenne (UE) et les Etats-Unis sur la gestion des données personnelles des Européens par les entreprises américaines et certaines autorités américaines ? Cet accord dit « Privacy Shield » était une décision d’adéquation adoptée en 2016 et encadrant les transferts de données vers les Etats- Unis. Ce qui permettait aux entreprises de transférer les données personnelles de citoyens européens aux Etats-Unis sans garanties complémentaires. Il a été annulé par l’arrêt « Schrems II » (16) de la CJUE daté du 16 juillet 2020. La CJUE avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux Etats-Unis, si les transferts n’étaient pas correctement encadrés.
Cet arrêt a donc impliqué le réexamen des transferts de données personnelles à destination des Etats-Unis et la nécessité d’apporter des garanties complémentaires.
La portée de cet arrêt a des conséquences sévères et démontre que, si les Etats-Unis ne respectent pas la protection des données, la CJUE n’acceptera pas d’accords sur ces mêmes termes. Dorénavant, il sera à nouveau possible de négocier un accord entre les Etats-Unis et l’UE si, et seulement si, les Etats-Unis acceptent de se soumettre aux dispositions du RGPD et de modifier leurs lois de surveillance des données risquées. Ce qui permettrait ainsi aux entreprises américaines d’évoluer sur le marché européen. Lors d’une conférence de presse le 23 février, à l’occasion de la présentation du Data Act (lire p. 6 et 7), la commissaire européenne à la Concurrence, Margrethe Vestager, s’est prononcée à ce propos : « Il est hautement prioritaire de conclure un tel accord avec les Américains (…), afin de permettre au milieu des affaires de tirer le meilleur parti des données (…) mais (….) dans des conditions transparentes et sûres » (17). Ainsi, les Etats-Unis et l’UE devront-ils trouver un accord alliant protection des données personnelles des utilisateurs européens et impératifs sécuritaires invoqués par l’administration américaine. @

Les Etats et la régulation des GAFAM : le paradoxal retour à la souveraineté nationale

Publié le 11 février 2019 par Charles de Laubier

Dès le début du XXe siècle avec la Standard Oil, puis avec les conglomérats
de l’électricité, du rail ou des télécoms, et récemment de l’agro-alimentaire
ou de l’industrie pharmaceutique, les lois antitrust américaines ont préservé
la concurrence en démantelant des groupes surpuissants. Et sur Internet ?

Par Rémy Fekete, avocat associé, cabinet Jones Day

Indulgence des autorités de la concurrence ou inadaptation de la régulation de la concurrence à l’ère numérique, les GAFAM ont été laissés libres de poursuivre leur croissance interne et l’acquisition de leurs concurrents (1) pour devenir non seulement les « géants du numérique », mais surtout des concurrents significatifs dans tous les domaines d’activité : régie publicitaire, secteur bancaire
et financier, et vente de tous biens et services.

L’exéquatur rendu difficile
On a pu en conclure que la régulation à l’échelle nationale – que ce soit en matière fiscale, sociale, concurrentielle ou dans les domaines de la régulation des médias et des télécoms – n’était plus adaptée à ces acteurs globaux. Il est vrai que le principe
de l’économie numérique, cette désintermédiation mettant en contact directement l’entreprise globale et ses consommateurs à travers le monde, laisse peu de prises
aux instruments juridiques traditionnels. Sans présence physique, ni filiale ni distributeur ou agent, il est en effet difficile d’appréhender l’entité à qui imposer la réglementation nationale. Au surplus, les groupes internationaux ont su optimiser les conditions légales applicables selon les pays, dans des organisations qui rendent difficiles l’exéquatur des règles et décisions de justice à leur encontre.
Ce phénomène s’illustre particulièrement en matière de fiscalité : dès lors que le critère pour taxer une entreprise repose sur la présence physique de celle-ci – à savoir un établissement stable –, la fourniture de ses prestations numériques ne saurait justifier
à elle seule une imposition de son activité, du moins à l’aune du droit positif (2).
Il y a également une inadéquation de certaines modalités d’application du droit de la concurrence à l’économie numérique, laissant la porte ouverte à des activités non contrôlées, à des acteurs non régulés. En effet, dès lors que le chiffre d’affaires déclaré est érigé en critère de référence dans l’examen d’une concentration à l’échelle nationale (3), l’organisation en nuage des entreprises du numérique leur a permis
de demeurer sous les seuils nationaux en vigueur. Devant l’inertie des mécanismes nationaux, on a pu craindre que l’Etat soit devenu impuissant – voire obsolète – pour engager une régulation efficace du numérique, et orienter ses espoirs vers une action supranationale pour tenter de régenter efficacement les acteurs globaux du Net. L’année 2018 a été en partie décisive pour la régulation internationale des grandes entreprises du numérique, avec l’entrée en vigueur en Europe à compter de mai 2018 du RGPD (4) : la concomitance de son entrée en vigueur avec le déferlement médiatique lié aux affaires de pillage de données personnelles à des fins électorales
a sûrement aidé au succès du modèle européen. On est loin du modèle initial défendu par Eric Schmidt (5) en 2009 lorsqu’il affirmait que « seuls les criminels se soucient de protéger leurs données personnelles » (6). Ironie, dix ans plus tard, le 21 janvier 2019, la Cnil a infligé à Google une amende de 50 millions d’euros pour non-respect du RGPD justement (lire pages 6 et 7).
Sur le terrain fiscal, les espoirs d’une solution globale risquent de s’évanouir. La Commission européenne avait pourtant proposé le 21 mars 2018 une taxe européenne sur les recettes publicitaires (7). Cependant, au sein du Conseil de l’Union européenne (UE), l’unanimité est requise en matière fiscale (8). Tant que certains pays membres – Irlande, Suède, Danemark – verront leurs intérêts propres à héberger des groupes internationaux comme supérieurs à l’intérêt global qui tend à une régulation fiscale raisonnable de ceux-ci, le vote d’une taxe européenne sur les services numériques restera à l’état de chimère. La Commission européenne vient de suggérer le passage
à la majorité qualifiée pour certaines propositions législatives relatives à la fiscalité (9). Mais cette modification ne requiert-elle pas elle-même un vote à l’unanimité ? Il est parfois des gesticulations qui sont autant d’aveux d’impuissance.

L’OCDE espère « le consensus d’ici 2020 »
L’OCDE (10) s’est pourtant saisi du sujet de la fiscalité des acteurs du numérique depuis plus de vingt ans (11) avec son « Plan d’action sur l’érosion de la base d’imposition et le transfert de bénéfices » (BEPS). Malgré son rapport de 2015 sur
« l’Action 1 » (12) et son rapport du 16 mars 2018 sur « les défis fiscaux soulevés par
la numérisation » (13), un accord international dans le cadre de l’OCDE ne sera pas adopté avant 2020. Pascal Saint-Amans, directeur du centre de politique et d’administration fiscales de l’OCDE, peut se réjouir, le 21 janvier 2019, que « la communauté internationale [ait] fait un pas significatif vers la résolution des défis fiscaux soulevés par la numérisation de l’économie » (14). Il reste qu’il a fallu cinq ans
à l’organisation internationale pour produire un rapport qui n’est que la première étape de longues discussions. A titre de comparaison, dans l’intervalle, Amazon a plus que doublé son chiffre d’affaires entre 2014 et 2018 (15).

Organisations internationales : impéritie ?
L’Afrique n’est pas en reste : si la téléphonie et le paiement mobile sont largement diffusés, l’économie numérique africaine n’en est qu’à son émergence, et c’est un euphémisme de dire que les GAFAM sont jusqu’à présent peu sensibles aux interpellations des autorités africaines. L’exiguïté des marchés domestiques nationaux du Continent rend d’autant plus urgente une intervention panafricaine. L’Union africaine (UA) vient de lancer un forum de discussion avec l’UE en matière d’économie numérique afin de trouver des solutions communes (16). L’alliance Smart Africa
– qui comprend neuf Etats membres et qui est présidée par Paul Kagamé (17) – promeut une plus grande souveraineté numérique via l’investissement dans les infrastructures et la gouvernance numérique panafricaine.
Toujours est-il que le temps d’élaboration de propositions internationales apparaît d’une longueur en décalage avec la vitesse à laquelle les géants de l’Internet acquièrent de nouvelles parts de marché dans tous les domaines de l’économie. La compétence des organismes internationaux, UA ou OCDE, reste pour l’essentiel au stade de l’aimable recommandation. Ils ne porteront pas d’effet avant de faire l’objet de mise en oeuvre
au sein du droit positif de chaque pays. A la suite de ce long cheminement qui aura consacré l’impéritie des organisations communautaires et internationales, il semble que l’on voit sous un jour plus favorable aujourd’hui la pertinence d’interventions étatiques dans la régulation du Net.
Face à l’urgence soulevée par l’économie numérique, la souveraineté nationale fait l’objet d’un retour en grâce.
• Levier n°1 : le droit national fiscal
Face à un projet européen de taxe sur les services numériques en difficulté, la France
a déclaré vouloir prélever sa propre taxe sur les GAFAM dès le 1er janvier 2019. Un projet de loi sera voté cette année, avec un effet rétroactif pour l’année 2019 (18). L’Espagne a voté un impôt de 3 % sur la publicité en ligne, les plateformes et la revente de données personnelles dans le cadre de son budget pour 2019 ; la Grande-Bretagne s’apprête à adopter une taxe de 2 % sur le chiffre d’affaires des géants du numérique ; l’Italie a voté un prélèvement de 3 % sur les transactions digitales entre entreprises ; l’Autriche devrait suivre. Le sujet est également à l’ordre du jour en Inde
et à Singapour.
• Levier n°2 : Le droit national de la concurrence Faut-t-il encore considérer que le
e-commerce est un marché différent du commerce physique et que les acteurs de ces deux mondes ne sont pas concurrents ? Avec sa décision Fnac-Darty (19), il semble que l’Autorité de la concurrence considère désormais comme appartenant au même marché pertinent les ventes en ligne et les ventes en magasins. Dorénavant, celle-ci tend à englober les acteurs de l’ecommerce dans son analyse des marchés pertinents pour évaluer les concurrents des magasins physiques, de sorte que les deux canaux sont pleinement substituables.
• Levier n°3 : Le droit national des communications électroniques La neutralité
du Net constitue un principe fondateur d’Internet, protégé par un règlement européen
« Internet ouvert » (20) de 2015 et en France par la loi pour une « République numérique » (21) de 2016, tandis que certains parlementaires proposent même une Charte du numérique à l’occasion de la future réforme constitutionnelle. Pourtant,
ses effets peuvent être préjudiciables pour l’écosystème national et donner lieu à
des situations asymétriques au profit des géants du numérique, au détriment des opérateurs investissant en infrastructures.
Si le nouveau code européen des communications électroniques (22) tend à inclure
ces nouveaux acteurs dans son champ d’application, le régime des Over-The-Top (OTT) reste moins contraignant que celui des opérateurs télécoms classiques (23). Surtout, la généralisation de la vidéo et la multiplication d’applications gourmandes
en capacités augmentent le besoin en débit. Or, une participation des GAFAM aux investissements considérables dans la fibre ou la 5G n’est manifestement pas à l’ordre du jour. Totem fragile, le principe de neutralité du Net commence à être révisé, y compris aux Etats Unis, au nom de l’investissement et de l’innovation (24).
• Levier n°4 : Le droit national de l’audiovisuel
Force est de constater que les acteurs OTT, qui fournissent des services audiovisuels en accès direct sur Internet, ne sont pas soumis aux mêmes règles de diffusion que
les éditeurs de services hertziens. L’adoption en novembre dernier de la révision de la directive européenne SMA (25) devrait permettre d’étendre le champ d’application de
la régulation audiovisuelle aux plateformes et aux réseaux sociaux. Audiovisuel : deux poids, deux mesures Toutefois, certaines obligations – telles que l’obligation de pluralisme, de diversité culturelle et de visibilité des contenus d’intérêt général – n’ont pas été mises à la charge des plateformes de partage vidéo, alors même qu’elles proposent des contenus reçus sur les mêmes terminaux que les acteurs classiques. Aussi, c’est une des fiertés du président sortant du CSA, Olivier Schrameck (26), de penser avoir obtenu que la future loi sur l’audiovisuel confère au CSA une compétence sur la régulation des médias numériques. @

Paiement en ligne et sur mobile : l’Europe ouvre la voie bancaire aux « fintech », aux GAFA et aux BATX

Publié le 29 janvier 2018 par Charles de Laubier

Depuis le 13 janvier 2018, la directive européenne sur les services de paiement
– dite DSP2 – est en vigueur. C’est une étape décisive pour le marché unique numérique : donner accès aux informations des comptes bancaires, afin d’ouvrir à la concurrence le marché des paiements en ligne ou sur mobile.

« Cet acte législatif constitue une nouvelle étape dans la création d’un marché unique numérique dans l’Union européenne (UE). Il encouragera le développement de systèmes de paiement en ligne et mobiles innovants, ce qui stimulera l’économie et la croissance. Avec l’entrée en application de la DSP2, la surfacturation appliquée aux cartes de débit et de crédit des consommateurs devient interdite. Les consommateurs de l’UE pourraient ainsi économiser plus de 550 millions d’euros par an (1). Ils bénéficieront aussi d’une protection accrue lorsqu’ils effectuent des paiements », a déclaré Valdis Dombrovskis (photo), vice-président de la Commission européenne,
en charge de la stabilité financière, des services financiers et de l’union des marchés des capitaux. Tout est dit.

Deux « fintech » : PSP tiers ou PSIP
Au moment où se tient à Paris le « Fintech Forum », les 30 et 31 janvier 2018 au Palais Brongniart, les nouvelles règles de l’open banking édictées par cette directive européenne sur les services de paiement – dite DSP2 (pour deuxième directive sur les services de paiement ou, en anglais, PSD2 pour Payment Services Directive) – arrivent pour mettre de l’ordre dans ce nouvel eldorado de la « fintech », marché né à la croisée des chemins entre la finance et la technologie. Concrètement, ces règles permettront d’élargir et d’améliorer le choix sur le marché des consommateurs des paiements de détail unique numérique de l’UE, tout en instaurant des normes de sécurité plus strictes pour les paiements en ligne pour renforcer la confiance des consommateurs dans le e-commerce. Avec la DSP2, c’est la consécration des sociétés de technologie financière que sont les start-up de la « fintech », mais aussi une voie royale pour les GAFA américains et les BATX chinois (lire p. 4). Apple ne propose-t-il pas son propre système de paiement mobile ? Facebook ne permet-il pas le transfert d’argent via sa messagerie Messenger ? Tencent est un incontournable du paiement mobile via WeChat. Tandis que les opérateurs télécoms, à l’instar d’Orange Bank, sont tentés de jouer eux aussi les banquiers. Ces nouveaux entrants sur le marché du paiement en ligne sont aussi appelés « prestataires de services de paiement tiers » (PSP tiers), tels que Bankin’ (2), Linxo ou Lydia en France, lesquels sont : soit des prestataires de services d’initiation de paiement (PSIP), qui offrent d’initier les paiements pour le compte de clients (donnant ainsi l’assurance aux détaillants que l’argent est en route), soit des agrégateurs et prestataires de services d’information sur les comptes (PSIC), qui fournissent à leurs clients une vue d’ensemble des comptes et soldes disponibles. Les consommateurs et les entreprises en Europe seront désormais en mesure d’autoriser l’accès à leurs données de paiement à des PSP tiers, lesquels peuvent être des
« fintech », mais aussi d’autres banques. « Les PSP tiers ne pourront pas accéder
à des données du compte de paiement autres que celles ayant fait l’objet d’une autorisation expresse du client », prévient cependant la Commission européenne (3).

De plus, les titulaires de compte peuvent exercer un contrôle sur la transmission de leurs données à caractère personnel aussi bien au titre de la DSP2 qu’au titre du règlement général sur la protection des données (RGPD) applicable à partir du 25 mai 2018. Mais pour que l’open banking se passe dans de meilleures conditions, la directive « fintech » habilite l’exécutif européen à adopter des normes techniques de réglementation sur la base d’un projet présenté par l’Autorité bancaire européenne (ABE), laquelle va quitter Londres pour s’installer à Paris, dans le but d’assurer la protection des consommateurs par la sécurité des paiements électroniques et de garantir des conditions de concurrence équitables dans un marché en mutation rapide. « Ces normes définissent les exigences à remplir pour permettre une “authentification forte” des clients et précisent les cas dans lesquels les prestataires de services de paiement peuvent être dispensés de cette authentification », précise la Commission européenne. Lors de l’utilisation de leurs services de banque en ligne ou lorsqu’ils feront des achats en ligne, que cela soit dans l’achat de biens et services, ou lors de la consommation de contenus et médias, les Européens seront mieux protégés lorsqu’ils effectuent des paiements ou des transactions électroniques.

Imposer l’« authentification forte »
« Les normes techniques de réglementation font de l’authentification forte la condition de base pour que le client puisse accéder à son compte de paiement ou effectuer des paiements en ligne », souligne l’exécutif européen. Cela suppose que, pour prouver son identité, l’utilisateur réponde à au moins deux des trois conditions suivantes : connaître un certain mot de passe ou code PIN ; être en possession d’une certaine carte ou d’un certain téléphone mobile ; et présenter certaines caractéristiques biométriques (empreintes digitales ou scan de l’iris, par exemple). Pour l’heure, lorsqu’il s’agit d’opérations de paiement électronique à distance telles que le paiement par carte ou
le virement depuis une banque en ligne, l’authentification forte du client n’est appliquée que dans certains pays de l’UE – dont la Belgique, les Pays-Bas et la Suède. Tandis que dans d’autres pays européens, certains prestataires de services de paiement l’appliquent sur une base volontaire. Alors que dans un magasin physique, en revanche, un client doit valider l’opération en saisissant son code PIN sur un lecteur de carte lorsqu’il paie avec sa carte bancaire. Deux poids, deux mesures. L’authentification forte existe dans la vraie vie mais pas dans le monde virtuel.

Evaluer l’ampleur du risque de fraude
Avec la DSP2, l’authentification forte devient obligatoire pour l’accès du client à son compte de paiement et pour ses opérations de paiement en ligne. Ce qui suppose que les banques et les autres prestataires de services de paiement mettent en place non seulement les infrastructures nécessaires à l’authentification forte, mais aussi des solutions pour améliorer la gestion des fraudes. Des dérogations à l’authentification forte pourront être accordées pour les paiements à distance : l’une concerne par exemple l’analyse des risques liés à l’opération et l’autre les paiements de faible valeur (moins de 30 euros). Mais il y a dérogation à condition qu’il y ait d’autres mécanismes d’authentification tout aussi sûrs et sécurisés et de suivi des opérations afin d’évaluer l’ampleur du risque de fraude. « En cas d’opération de paiement frauduleuse, le consommateur pourra prétendre à un remboursement intégral », prévient la Commission européenne.
Si la DSP2 est applicable depuis le 13 janvier 2018, il n’en va cependant pas de même pour les mesures de sécurité décrites dans les normes techniques de réglementation, qui deviendront applicables dix-huit mois après la date d’entrée en vigueur de ces normes élaborées par l’ABE. Ce texte prévoit notamment en annexe des taux de référence en matière de fraude en fonction de chaque type d’opération de paiement à distance. « Le prestataire de services de paiement veille à ce que les taux de fraude globaux liés tant aux opérations de paiement authentifiées par une authentification forte du client qu’à celles effectuées au titre des dérogations (…) soient équivalents ou inférieurs au taux de référence en matière de fraude lié au même type d’opération de paiement qui est mentionné dans le tableau figurant en annexe (4) », indique l’article
19 du projet de règlement « ABE ». Or, ce « règlement délégué de la Commission européenne complétant la directive 2015/2366 par des normes techniques de réglementation relatives à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication » (5) n’est pas encore entré en vigueur (c’est-à-dire après leur publication au Journal officiel de l’Union européenne). Il est actuellement soumis au Parlement européen et du Conseil de l’UE. Ces deux ans environ doivent permettre aux prestataires de services de paiement, notamment aux banques, d’avoir suffisamment de temps pour adapter leur système de sécurité (6) aux exigences accrues de sécurité définies par la DSP2. Il s’agit aussi pour la Commission européenne de ne pas perturber le commerce électronique sur le Vieux Continent. Cependant, si la DSP2 et les normes techniques concernent les prestataires de services de paiement, dont les banques des consommateurs et celles des commerçants, il n’en va pas de même des commerçants eux-mêmes qui n’entrent pas dans le champ d’application des normes. « Il appartiendra aux commerçants et à leurs prestataires de services de paiement de s’entendre sur la manière d’atteindre l’objectif de réduction de la fraude », précise l’exécutif européen. Quant aux banques, elles devront mettre en place d’ici à septembre 2019 un « canal de communication » qui permettra, d’une part, aux PSP tiers d’accéder aux données de clients dont ils ont besoin, et, d’autre part, aux banques et aux PSP tiers de s’identifier réciproquement
et de communiquer à tout moment par une messagerie sécurisée. Cette Application Programming Interface (API) doit bénéficier d’une sauvegarde d’urgence et un mécanisme de secours afin « d’assurer la continuité du service ainsi qu’une concurrence loyale sur ce marché ». Comme la DSP2 prévoit que les clients devront consentir à l’accès, à l’utilisation et au traitement de ses données, il ne sera plus permis d’accéder aux données du client par le recours aux techniques dites de « screen scraping » ou « web scraping » (capture de données d’écran), qui consistent à accéder aux données via l’interface client avec utilisation des données de sécurité du client (7). Ce qui revenait à siphonner les données du client !

Futur « groupe de marché » pour les API
Toutes les API feront l’objet d’un essai de prototype de trois mois et d’un essai dans
les conditions réelles du marché, de trois mois également, et ne devront « pas créer d’obstacles à la fourniture des services d’initiation de paiement et des services d’information sur les comptes ». Pour examiner la qualité des API, la Commission européenne promeut la création d’un groupe de marché composé de représentants
des banques, des prestataires de services d’initiation de paiement et de services d’information sur les comptes, et des utilisateurs de services de paiement. @

Charles de Laubier

Audrey Azoulay face à la mise en oeuvre la Convention de l’Unesco de 2005 «dans l’environnement numérique»

Publié le 15 janvier 2018 par Charles de Laubier

Les « directives opérationnelles sur la mise en oeuvre de la Convention [de 2005] dans l’environnement numérique », approuvées à Paris en juin et entérinées en décembre 2017, font désormais parties des objectifs des Nations Unies à l’horizon 2030. A Audrey Azoulay maintenant de les mettre en musique.

La Française Audrey Azoulay (photo), directrice générale d’l’Unesco depuis novembre 2017, va maintenant devoir mettre en oeuvre « dans l’environnement numérique » la Convention de 2005 sur la protection et la promotion de la diversité des expressions culturelles. Plus de quinze ans après sa signature à Paris (le 20 octobre 2005) et dix ans après son entrée en vigueur il y a dix ans (le 18 mars 2007), la Convention de l’Unesco – ratifiée par 145 Etats et l’Union européenne (UE) – cherche à s’adapter à Internet et aux plateformes en ligne dominées par les GAFA, sous peine d’obsolescence.

« Feuille de route ouverte » à venir
Dans le cadre de la 11e session du Comité intergouvernemental de la Convention 2005, qui s’est déroulée mi-décembre (12-15), il fut plus que jamais question du numérique. Parmi les décisions prises lors de cette réunion au siège de l’Unesco à Paris, il est prévu que le secrétariat de l’Unesco établisse d’ici la prochaine session
« une feuille de route ouverte, comprenant une collection diverse de bonnes pratiques, pour la mise en oeuvre des directives opérationnelles sur la Convention dans l’environnement numérique ». Le projet de plan de travail pour les activités du comité de la Convention 2005 pour les années 2018 et 2019 fixe notamment les « activités pour mettre en oeuvre les directives opérationnelles sur la diversité des expressions culturelles dans l’environnement numérique », avec une « étude d’impact sur le commerce et la culture, la liberté d’expression artistique à l’ère numérique ». Autant
dire que l’Unesco avance à pas comptés pour mettre en phase son texte emblématique avec le monde digital qui l’entoure. Un pas décisif a bien été franchi en juin 2017
lors de la Conférence dite des parties (Etats ou organisations régionales d’intégration économique ayant ratifié la Convention telles que l’UE), qui est l’organe plénier et souverain de la Convention de l’Unesco et sous laquelle fonctionne le Comité intergouvernemental. Ont en effet été adoptées « les directives opérationnelles pour
la mise en oeuvre de la Convention au sein de l’environnement numérique » (1) qui présentent la voie à suivre pour le développement de politiques publiques dans ces différents domaines. La France, qui a été moteur dès 2013 dans l’élaboration de ces directives « numérique », comme l’avait révélé Edition Multimédi@ (2) (*) (**), avait présenté en 2015 avec le Canada – rejoints par la Belgique – « une directive opérationnelle transversale l’ère du numérique » (3) (*) (**).
Il s’agit pour ces directives opérationnelles désormais adoptées, entre autres
« principes directeurs », de : réaffirmer le principe de « neutralité technologique »
de la Convention ; réaffirmer le droit souverain des Etats de formuler, d’adopter et de mettre en oeuvre « des politiques et mesures en matière de protection et de promotion de la diversité des expressions culturelles dans l’environnement numérique » ; garantir, conformément au principe de la neutralité de l’Internet, « un traitement égal et non discriminatoire du trafic de données dans le cadre de la fourniture de services d’accès
à Internet et les droits des utilisateurs finaux » ; promouvoir un accès équitable et un échange équilibré des biens et services culturels dans l’environnement numérique,
« notamment par l’application de dispositions de traitement préférentiel pour les œuvres créées ou produites par des artistes et des professionnels de la culture, des entreprises et des organisations indépendantes issus des pays en développement » ; soutenir les mécanismes nécessaires à l’émergence d’industries culturelles et créatives dynamiques dans l’environnement numérique.
Il s’agit aussi d’assurer le renforcement des « systèmes de gouvernance de la culture dans l’environnement numérique » tels que la protection et la promotion de « la diversité des expressions culturelles dans l’environnement numérique », la promotion de « la diversité des médias dans l’environnement numérique », la mise en place de groupes interministériels sur les questions numériques qui rassembleront des représentants des ministères et institutions concernés (entre autres ceux en charge
de la Culture, de la Recherche, du Commerce, de l’Industrie, des Télécommunications et de l’Education), « et impliqueraient dans leurs travaux le point de contact de la Convention et les représentants de la société civile ».

Tenir compte des « nouveaux acteurs »
Les directives opérationnelles « numérique » précisent en outre que ces politiques et mesures devront viser à englober tous les domaines – création, production, distribution, diffusion, accès et jouissance – en tenant compte des changements profonds de la chaîne de valeur et de l’arrivée de nouveaux acteurs. « Ces directives s’adressent en priorité aux pouvoirs publics. Les organisations non gouvernementales, les industries culturelles et créatives des secteurs public et privé, y compris les plateformes mondiales numériques, les fournisseurs d’accès Internet (FAI) et les autres acteurs dans l’environnement numérique sont également encouragés à les suivre », est-il précisé en préambule du texte adopté en juin 2017. Mais ces directives opérationnelles « numérique » n’ont pas de caractère contraignant vis-à-vis non seulement des FAI nationaux mais surtout des GAFA mondiaux.

Aides et financements publics
Désormais parties intégrantes des objectifs de développement durable (ODD) des Nations Unies à l’horizon 2030 et de ses principes directeurs sur les droits de l’homme, ces directives opérationnelles « numérique » incitent les Etats et l’UE à « soutenir les nouvelles formes de créativité dans l’environnement numérique, incluant les pratiques artistiques interactives et en temps réel » via des politiques publiques et des systèmes de financement. Toujours au niveau de la création, il est demandé aux Etats et à l’UE de reconnaître et de valoriser le travail des créateurs dans l’environnement numérique en promouvant : une rémunération juste et équitable des artistes et professionnels
de la culture ; la transparence dans la répartition des revenus entre les distributeurs numériques, les FAI et les titulaires de droits, ainsi qu’entre les titulaires de droits ; l’accès à la bande passante nécessaire ; le respect et la protection des droits de propriété intellectuelle, en permettant la gestion collective, le cas échéant, et la négociation collective des droits numériques ; les systèmes de dépôt légal électronique pour documenter et archiver leurs œuvres.
Du côté de la production cette fois, les Etats et l’UE doivent s’efforcer de soutenir la modernisation des industries culturelles et créatives telle que la numérisation et l’incorporation d’outils technologiques dans les processus de production des industries culturelles et créatives, ou encore la promotion dans l’environnement numérique de nouvelles formes de financement des industries culturelles et créatives et de nouvelles formes de partenariat entre le secteur public et privé.

Pour la distribution/diffusion, les directives opérationnelles « numérique » prévoient que les Etats et l’UE s’engagent à soutenir la distribution des œuvres dans l’environnement numérique et à offrir des opportunités comme :
• Encourager la diversité des médias numériques, y compris la multiplicité des distributeurs numériques de biens et services culturels et des acteurs du numérique (plateformes en ligne, FAI, moteurs de recherche, réseaux sociaux), tout en garantissant la visibilité et la déc-ouvrabilité des contenus culturels nationaux et locaux.
• Promouvoir le dialogue entre opérateurs privés et autorités publiques afin de valoriser une plus grande transparence dans la collecte et l’utilisation des données qui génèrent des algorithmes, et encourager la création d’algorithmes qui assurent une plus grande diversité des expressions culturelles dans l’environnement numérique et qui favorisent la présence et la disponibilité d’œuvres culturelles locales.
• Développer le cadre juridique pour la distribution en ligne de biens et services culturels tel que la ratification des traités internationaux relatifs au droit d’auteur et aux droits voisins pertinents, des arrangements contractuels et des mesures de protection et de lutte contre la piraterie et le trafic illicite de biens culturels en ligne.
• Promouvoir la coopération entre les plateformes en ligne (vidéo, audio et autres agrégateurs) et les titulaires des droits relatifs à ces biens et services (y compris des accords de licences et le déploiement d’outils techniques) pour améliorer la distribution en ligne des biens et services culturels et mieux trouver les contenus diffusés.
Enfin, au niveau de l’accès, les directives opérationnelles « numérique » exigent des Etats et de l’UE à instaurer une plus grande transparence et une meilleure lisibilité des modes d’indexation et de référencement des contenus afin que les mécanismes numériques (algorithmes de recommandation) qui déterminent les contenus disponibles pour les utilisateurs offrent un large éventail d’expressions culturelles diverses dans l’environnement numérique. Internet et les services en ligne sont en outre perçus comme un moyen de rééquilibrer les échanges de biens et services culturels comme
« mettre en place des dispositions de traitement préférentiel afin de faciliter des échanges plus équilibrés de biens et services culturels issus des pays en développement dans l’environnement numérique ».

GAFA, concentration et risques IA
La 11e session du Comité intergouvernemental de la Convention 2005 a aussi été l’occasion pour Audrey Azoulay de présenter le rapport mondial de l’Unesco 2018 intitulé « Re|penser les politiques culturelles » (4). Selon la directrice générale, « ce rapport met en lumière les cadres stratégiques les mieux adaptés à l’environnement numérique, et souligne l’émergence de plateformes d’échange (…) ». Dans un chapitre sur « les politiques culturelles à l’ère des plateformes numériques », l’Unesco prévient : « Le secteur public pourrait bien perdre le pouvoir dont il jouit sur la scène créative
s’il n’adopte pas une approche ciblée concernant l’émergence et la concentration
du marché des grandes plateformes numériques ou le monopole de l’intelligence artificielle ». @