Paiement en ligne et sur mobile : l’Europe ouvre la voie bancaire aux « fintech », aux GAFA et aux BATX

Depuis le 13 janvier 2018, la directive européenne sur les services de paiement
– dite DSP2 – est en vigueur. C’est une étape décisive pour le marché unique numérique : donner accès aux informations des comptes bancaires, afin d’ouvrir à la concurrence le marché des paiements en ligne ou sur mobile.

« Cet acte législatif constitue une nouvelle étape dans la création d’un marché unique numérique dans l’Union européenne (UE). Il encouragera le développement de systèmes de paiement en ligne et mobiles innovants, ce qui stimulera l’économie et la croissance. Avec l’entrée en application de la DSP2, la surfacturation appliquée aux cartes de débit et de crédit des consommateurs devient interdite. Les consommateurs de l’UE pourraient ainsi économiser plus de 550 millions d’euros par an (1). Ils bénéficieront aussi d’une protection accrue lorsqu’ils effectuent des paiements », a déclaré Valdis Dombrovskis (photo), vice-président de la Commission européenne,
en charge de la stabilité financière, des services financiers et de l’union des marchés des capitaux. Tout est dit.

Deux « fintech » : PSP tiers ou PSIP
Au moment où se tient à Paris le « Fintech Forum », les 30 et 31 janvier 2018 au Palais Brongniart, les nouvelles règles de l’open banking édictées par cette directive européenne sur les services de paiement – dite DSP2 (pour deuxième directive sur les services de paiement ou, en anglais, PSD2 pour Payment Services Directive) – arrivent pour mettre de l’ordre dans ce nouvel eldorado de la « fintech », marché né à la croisée des chemins entre la finance et la technologie. Concrètement, ces règles permettront d’élargir et d’améliorer le choix sur le marché des consommateurs des paiements de détail unique numérique de l’UE, tout en instaurant des normes de sécurité plus strictes pour les paiements en ligne pour renforcer la confiance des consommateurs dans le e-commerce. Avec la DSP2, c’est la consécration des sociétés de technologie financière que sont les start-up de la « fintech », mais aussi une voie royale pour les GAFA américains et les BATX chinois (lire p. 4). Apple ne propose-t-il pas son propre système de paiement mobile ? Facebook ne permet-il pas le transfert d’argent via sa messagerie Messenger ? Tencent est un incontournable du paiement mobile via WeChat. Tandis que les opérateurs télécoms, à l’instar d’Orange Bank, sont tentés de jouer eux aussi les banquiers. Ces nouveaux entrants sur le marché du paiement en ligne sont aussi appelés « prestataires de services de paiement tiers » (PSP tiers), tels que Bankin’ (2), Linxo ou Lydia en France, lesquels sont : soit des prestataires de services d’initiation de paiement (PSIP), qui offrent d’initier les paiements pour le compte de clients (donnant ainsi l’assurance aux détaillants que l’argent est en route), soit des agrégateurs et prestataires de services d’information sur les comptes (PSIC), qui fournissent à leurs clients une vue d’ensemble des comptes et soldes disponibles. Les consommateurs et les entreprises en Europe seront désormais en mesure d’autoriser l’accès à leurs données de paiement à des PSP tiers, lesquels peuvent être des
« fintech », mais aussi d’autres banques. « Les PSP tiers ne pourront pas accéder
à des données du compte de paiement autres que celles ayant fait l’objet d’une autorisation expresse du client », prévient cependant la Commission européenne (3).

De plus, les titulaires de compte peuvent exercer un contrôle sur la transmission de leurs données à caractère personnel aussi bien au titre de la DSP2 qu’au titre du règlement général sur la protection des données (RGPD) applicable à partir du 25 mai 2018. Mais pour que l’open banking se passe dans de meilleures conditions, la directive « fintech » habilite l’exécutif européen à adopter des normes techniques de réglementation sur la base d’un projet présenté par l’Autorité bancaire européenne (ABE), laquelle va quitter Londres pour s’installer à Paris, dans le but d’assurer la protection des consommateurs par la sécurité des paiements électroniques et de garantir des conditions de concurrence équitables dans un marché en mutation rapide. « Ces normes définissent les exigences à remplir pour permettre une “authentification forte” des clients et précisent les cas dans lesquels les prestataires de services de paiement peuvent être dispensés de cette authentification », précise la Commission européenne. Lors de l’utilisation de leurs services de banque en ligne ou lorsqu’ils feront des achats en ligne, que cela soit dans l’achat de biens et services, ou lors de la consommation de contenus et médias, les Européens seront mieux protégés lorsqu’ils effectuent des paiements ou des transactions électroniques.

Imposer l’« authentification forte »
« Les normes techniques de réglementation font de l’authentification forte la condition de base pour que le client puisse accéder à son compte de paiement ou effectuer des paiements en ligne », souligne l’exécutif européen. Cela suppose que, pour prouver son identité, l’utilisateur réponde à au moins deux des trois conditions suivantes : connaître un certain mot de passe ou code PIN ; être en possession d’une certaine carte ou d’un certain téléphone mobile ; et présenter certaines caractéristiques biométriques (empreintes digitales ou scan de l’iris, par exemple). Pour l’heure, lorsqu’il s’agit d’opérations de paiement électronique à distance telles que le paiement par carte ou
le virement depuis une banque en ligne, l’authentification forte du client n’est appliquée que dans certains pays de l’UE – dont la Belgique, les Pays-Bas et la Suède. Tandis que dans d’autres pays européens, certains prestataires de services de paiement l’appliquent sur une base volontaire. Alors que dans un magasin physique, en revanche, un client doit valider l’opération en saisissant son code PIN sur un lecteur de carte lorsqu’il paie avec sa carte bancaire. Deux poids, deux mesures. L’authentification forte existe dans la vraie vie mais pas dans le monde virtuel.

Evaluer l’ampleur du risque de fraude
Avec la DSP2, l’authentification forte devient obligatoire pour l’accès du client à son compte de paiement et pour ses opérations de paiement en ligne. Ce qui suppose que les banques et les autres prestataires de services de paiement mettent en place non seulement les infrastructures nécessaires à l’authentification forte, mais aussi des solutions pour améliorer la gestion des fraudes. Des dérogations à l’authentification forte pourront être accordées pour les paiements à distance : l’une concerne par exemple l’analyse des risques liés à l’opération et l’autre les paiements de faible valeur (moins de 30 euros). Mais il y a dérogation à condition qu’il y ait d’autres mécanismes d’authentification tout aussi sûrs et sécurisés et de suivi des opérations afin d’évaluer l’ampleur du risque de fraude. « En cas d’opération de paiement frauduleuse, le consommateur pourra prétendre à un remboursement intégral », prévient la Commission européenne.
Si la DSP2 est applicable depuis le 13 janvier 2018, il n’en  va cependant pas de même pour les mesures de sécurité décrites dans les normes techniques de réglementation, qui deviendront applicables dix-huit mois après la date d’entrée en vigueur de ces normes élaborées par l’ABE. Ce texte prévoit notamment  en annexe des taux de référence en matière de fraude en fonction de chaque type d’opération de paiement à distance. « Le prestataire de services de paiement veille à ce que les taux de fraude globaux liés tant aux opérations de paiement authentifiées par une authentification forte du client qu’à celles effectuées au titre des dérogations (…) soient équivalents ou inférieurs au taux de référence en matière de fraude lié au même type d’opération de paiement qui est mentionné dans le tableau figurant en annexe (4)», indique l’article
19 du projet de règlement « ABE ». Or, ce « règlement délégué de la Commission européenne complétant la directive 2015/2366 par des normes techniques de réglementation relatives à l’authentification forte du client et à des normes ouvertes communes et sécurisées de communication » (5) n’est pas encore entré en vigueur (c’est-à-dire après leur publication au Journal officiel de l’Union européenne). Il est actuellement soumis au Parlement européen et du Conseil de l’UE. Ces deux ans environ doivent permettre aux prestataires de services de paiement, notamment aux banques, d’avoir suffisamment de temps pour adapter leur système de sécurité (6) aux exigences accrues de sécurité définies par la DSP2. Il s’agit aussi pour la Commission européenne de ne pas perturber le commerce électronique sur le Vieux Continent. Cependant, si la DSP2 et les normes techniques concernent les prestataires de services de paiement, dont les banques des consommateurs et celles des commerçants, il n’en va pas de même des commerçants eux-mêmes qui n’entrent pas dans le champ d’application des normes. « Il appartiendra aux commerçants et à leurs prestataires de services de paiement de s’entendre sur la manière d’atteindre l’objectif de réduction de la fraude », précise l’exécutif européen. Quant aux banques, elles devront mettre en place d’ici à septembre 2019 un « canal de communication » qui permettra, d’une part, aux PSP tiers d’accéder aux données de clients dont ils ont besoin, et, d’autre part, aux banques et aux PSP tiers de s’identifier réciproquement
et de communiquer à tout moment par une messagerie sécurisée. Cette Application Programming Interface (API) doit bénéficier d’une sauvegarde d’urgence et un mécanisme de secours afin « d’assurer la continuité du service ainsi qu’une concurrence loyale sur ce marché ». Comme la DSP2 prévoit que les clients devront consentir à l’accès, à l’utilisation et au traitement de ses données, il ne sera plus permis d’accéder aux données du client par le recours aux techniques dites de « screen scraping » ou « web scraping » (capture de données d’écran), qui consistent à accéder aux données via l’interface client avec utilisation des données de sécurité du client (7). Ce qui revenait à siphonner les données du client !

Futur « groupe de marché » pour les API
Toutes les API feront l’objet d’un essai de prototype de trois mois et d’un essai dans
les conditions réelles du marché, de trois mois également, et ne devront « pas créer d’obstacles à la fourniture des services d’initiation de paiement et des services d’information sur les comptes ». Pour examiner la qualité des API, la Commission européenne promeut la création d’un groupe de marché composé de représentants
des banques, des prestataires de services d’initiation de paiement et de services d’information sur les comptes, et des utilisateurs de services de paiement. @

Charles de Laubier

Audrey Azoulay face à la mise en oeuvre la Convention de l’Unesco de 2005 «dans l’environnement numérique»

Les « directives opérationnelles sur la mise en oeuvre de la Convention [de 2005] dans l’environnement numérique », approuvées à Paris en juin et entérinées en décembre 2017, font désormais parties des objectifs des Nations Unies à l’horizon 2030. A Audrey Azoulay maintenant de les mettre en musique.

La Française Audrey Azoulay (photo), directrice générale d’l’Unesco depuis novembre 2017, va maintenant devoir mettre en oeuvre « dans l’environnement numérique » la Convention de 2005 sur la protection et la promotion de la diversité des expressions culturelles. Plus de quinze ans après sa signature à Paris (le 20 octobre 2005) et dix ans après son entrée en vigueur il y a dix ans (le 18 mars 2007), la Convention de l’Unesco – ratifiée par 145 Etats et l’Union européenne (UE) – cherche à s’adapter à Internet et aux plateformes en ligne dominées par les GAFA, sous peine d’obsolescence.

« Feuille de route ouverte » à venir
Dans le cadre de la 11e session du Comité intergouvernemental de la Convention 2005, qui s’est déroulée mi-décembre (12-15), il fut plus que jamais question du numérique. Parmi les décisions prises lors de cette réunion au siège de l’Unesco à Paris, il est prévu que le secrétariat de l’Unesco établisse d’ici la prochaine session
« une feuille de route ouverte, comprenant une collection diverse de bonnes pratiques, pour la mise en oeuvre des directives opérationnelles sur la Convention dans l’environnement numérique ». Le projet de plan de travail pour les activités du comité de la Convention 2005 pour les années 2018 et 2019 fixe notamment les « activités pour mettre en oeuvre les directives opérationnelles sur la diversité des expressions culturelles dans l’environnement numérique », avec une « étude d’impact sur le commerce et la culture, la liberté d’expression artistique à l’ère numérique ». Autant
dire que l’Unesco avance à pas comptés pour mettre en phase son texte emblématique avec le monde digital qui l’entoure. Un pas décisif a bien été franchi en juin 2017
lors de la Conférence dite des parties (Etats ou organisations régionales d’intégration économique ayant ratifié la Convention telles que l’UE), qui est l’organe plénier et souverain de la Convention de l’Unesco et sous laquelle fonctionne le Comité intergouvernemental. Ont en effet été adoptées « les directives opérationnelles pour
la mise en oeuvre de la Convention au sein de l’environnement numérique » (1) qui présentent la voie à suivre pour le développement de politiques publiques dans ces différents domaines. La France, qui a été moteur dès 2013 dans l’élaboration de ces directives « numérique », comme l’avait révélé Edition Multimédi@ (2) (*) (**), avait présenté en 2015 avec le Canada – rejoints par la Belgique – « une directive opérationnelle transversale l’ère du numérique » (3).
Il s’agit pour ces directives opérationnelles désormais adoptées, entre autres
« principes directeurs », de : réaffirmer le principe de « neutralité technologique »
de la Convention ; réaffirmer le droit souverain des Etats de formuler, d’adopter et de mettre en oeuvre « des politiques et mesures en matière de protection et de promotion de la diversité des expressions culturelles dans l’environnement numérique » ; garantir, conformément au principe de la neutralité de l’Internet, « un traitement égal et non discriminatoire du trafic de données dans le cadre de la fourniture de services d’accès
à Internet et les droits des utilisateurs finaux » ; promouvoir un accès équitable et un échange équilibré des biens et services culturels dans l’environnement numérique,
« notamment par l’application de dispositions de traitement préférentiel pour les œuvres créées ou produites par des artistes et des professionnels de la culture, des entreprises et des organisations indépendantes issus des pays en développement » ; soutenir les mécanismes nécessaires à l’émergence d’industries culturelles et créatives dynamiques dans l’environnement numérique.
Il s’agit aussi d’assurer le renforcement des « systèmes de gouvernance de la culture dans l’environnement numérique » tels que la protection et la promotion de « la diversité des expressions culturelles dans l’environnement numérique », la promotion de « la diversité des médias dans l’environnement numérique », la mise en place de groupes interministériels sur les questions numériques qui rassembleront des représentants des ministères et institutions concernés (entre autres ceux en charge
de la Culture, de la Recherche, du Commerce, de l’Industrie, des Télécommunications et de l’Education), « et impliqueraient dans leurs travaux le point de contact de la Convention et les représentants de la société civile ».

Tenir compte des « nouveaux acteurs »
Les directives opérationnelles « numérique » précisent en outre que ces politiques et mesures devront viser à englober tous les domaines – création, production, distribution, diffusion, accès et jouissance – en tenant compte des changements profonds de la chaîne de valeur et de l’arrivée de nouveaux acteurs. « Ces directives s’adressent en priorité aux pouvoirs publics. Les organisations non gouvernementales, les industries culturelles et créatives des secteurs public et privé, y compris les plateformes mondiales numériques, les fournisseurs d’accès Internet (FAI) et les autres acteurs dans l’environnement numérique sont également encouragés à les suivre », est-il précisé en préambule du texte adopté en juin 2017. Mais ces directives opérationnelles « numérique » n’ont pas de caractère contraignant vis-à-vis non seulement des FAI nationaux mais surtout des GAFA mondiaux.

Aides et financements publics
Désormais parties intégrantes des objectifs de développement durable (ODD) des Nations Unies à l’horizon 2030 et de ses principes directeurs sur les droits de l’homme, ces directives opérationnelles « numérique » incitent les Etats et l’UE à « soutenir les nouvelles formes de créativité dans l’environnement numérique, incluant les pratiques artistiques interactives et en temps réel » via des politiques publiques et des systèmes de financement. Toujours au niveau de la création, il est demandé aux Etats et à l’UE de reconnaître et de valoriser le travail des créateurs dans l’environnement numérique en promouvant : une rémunération juste et équitable des artistes et professionnels
de la culture ; la transparence dans la répartition des revenus entre les distributeurs numériques, les FAI et les titulaires de droits, ainsi qu’entre les titulaires de droits ; l’accès à la bande passante nécessaire ; le respect et la protection des droits de propriété intellectuelle, en permettant la gestion collective, le cas échéant, et la négociation collective des droits numériques ; les systèmes de dépôt légal électronique pour documenter et archiver leurs œuvres.
Du côté de la production cette fois, les Etats et l’UE doivent s’efforcer de soutenir la modernisation des industries culturelles et créatives telle que la numérisation et l’incorporation d’outils technologiques dans les processus de production des industries culturelles et créatives, ou encore la promotion dans l’environnement numérique de nouvelles formes de financement des industries culturelles et créatives et de nouvelles formes de partenariat entre le secteur public et privé.

Pour la distribution/diffusion, les directives opérationnelles « numérique » prévoient que les Etats et l’UE s’engagent à soutenir la distribution des œuvres dans l’environnement numérique et à offrir des opportunités comme :
Encourager la diversité des médias numériques, y compris la multiplicité des distributeurs numériques de biens et services culturels et des acteurs du numérique (plateformes en ligne, FAI, moteurs de recherche, réseaux sociaux), tout en garantissant la visibilité et la déc-ouvrabilité des contenus culturels nationaux et locaux.
Promouvoir le dialogue entre opérateurs privés et autorités publiques afin de valoriser une plus grande transparence dans la collecte et l’utilisation des données qui génèrent des algorithmes, et encourager la création d’algorithmes qui assurent une plus grande diversité des expressions culturelles dans l’environnement numérique et qui favorisent la présence et la disponibilité d’œuvres culturelles locales.
Développer le cadre juridique pour la distribution en ligne de biens et services culturels tel que la ratification des traités internationaux relatifs au droit d’auteur et aux droits voisins pertinents, des arrangements contractuels et des mesures de protection et de lutte contre la piraterie et le trafic illicite de biens culturels en ligne.
Promouvoir la coopération entre les plateformes en ligne (vidéo, audio et autres agrégateurs) et les titulaires des droits relatifs à ces biens et services (y compris des accords de licences et le déploiement d’outils techniques) pour améliorer la distribution en ligne des biens et services culturels et mieux trouver les contenus diffusés.
Enfin, au niveau de l’accès, les directives opérationnelles « numérique » exigent des Etats et de l’UE à instaurer une plus grande transparence et une meilleure lisibilité des modes d’indexation et de référencement des contenus afin que les mécanismes numériques (algorithmes de recommandation) qui déterminent les contenus disponibles pour les utilisateurs offrent un large éventail d’expressions culturelles diverses dans l’environnement numérique. Internet et les services en ligne sont en outre perçus comme un moyen de rééquilibrer les échanges de biens et services culturels comme
« mettre en place des dispositions de traitement préférentiel afin de faciliter des échanges plus équilibrés de biens et services culturels issus des pays en développement dans l’environnement numérique ».

GAFA, concentration et risques IA
La 11e session du Comité intergouvernemental de la Convention 2005 a aussi été l’occasion pour Audrey Azoulay de présenter le rapport mondial de l’Unesco 2018 intitulé « Re|penser les politiques culturelles » (4). Selon la directrice générale, « ce rapport met en lumière les cadres stratégiques les mieux adaptés à l’environnement numérique, et souligne l’émergence de plateformes d’échange (…) ». Dans un chapitre sur « les politiques culturelles à l’ère des plateformes numériques », l’Unesco prévient : « Le secteur public pourrait bien perdre le pouvoir dont il jouit sur la scène créative
s’il n’adopte pas une approche ciblée concernant l’émergence et la concentration
du marché des grandes plateformes numériques ou le monopole de l’intelligence artificielle ». @

Charles de Laubier

Europe : mais que font les « Digital Champion » ?

En fait. Le 28 novembre, Gerard de Graaf, directeur du marché unique numérique à la DG Connect de la Commission européenne, a indiqué à EM@ que la prochaine réunion des « Digital Champion » au lieu le 6 décembre. Il nous répond, alors que Gilles Babinet a été nommé par la France il y a plus de
5 ans maintenant.

En clair. Selon nos informations, les vingt « Digital Champion » de l’Union européenne actuellement en fonction vont se réunir à Bruxelles le 6 décembre (1). Et ce, pour la 15e fois depuis que ce poste d’« ambassadeur pour le “Digital Single Market” » a été lancé il y a six ans maintenant par Neelie Kroes, alors commissaire européenne au Numérique (2). Edition Multimédi@ a contacté Gerard de Graaf, directeur du marché unique numérique à la DG Connect de la Commission européenne, pour savoir au juste pourquoi n’y avait-il jamais eu de rapport d’activité des « Digital Champion » mis à part des « Minutes » (3) mis en ligne en guise de brefs comptes-rendus ?
« Les domaines d’activité principales des “Digital Champion” se concentrent sur leurs propres pays et c’est la raison pour laquelle la Commission européenne – jusqu’à maintenant – n’a pas préparé un rapport d’activité, et nos discussions avec eux se concentrent plutôt aux échanges de bonnes pratiques nationales », nous répond-t-il. Nous avons voulu aussi connaître le statut et la rémunération de ces ambassadeurs du numérique chargés d’« aider chaque Européen à devenir numérique ». « La nomination des “Digital Champion”, la durée de leurs mandats et leurs rémunérations éventuelles sont la prérogative des Etats membres, et quelques-uns d’entre eux ont décidé de
ne pas nommer de Digital Champion ou de ne pas le remplacer à la suite d’une démission », nous explique Gerard de Graaf. Le Royaume-Uni devança l’appel de Neelie Kroes en désignant dès 2009 Martha Lane Fox comme sa « championne du numérique ». Mais la cofondatrice de Lastminute.com a démissionné en novembre 2013.
Ils furent jusqu’à vingt-sept « champions du numérique », l’Estonie – pourtant le pays européen le plus digital et président de l’UE jusqu’à fin 2017 – n’ayant pas jugé bon de désigner de « Digital Champion ». Aujourd’hui, ils ne sont plus que vingt (4). La France, elle, a désigné Gilles Babinet « Digital Champion » il y a un peu plus de cinq ans maintenant, sans l’acter dans le Journal Officiel. Là non plus, il n’y a jamais eu de rapport d’activité. Contacté par EM@, le serial-entrepreneur et ancien président du Conseil national du numérique (CNNum) nous a répondu que sa fonction est bénévole – « à part quelques missions rémunérées » – et que son mandat doit se terminer fin 2019 en même temps que la Commission Juncker. Il n’exclut pas d’être reconduit. @

Le futur code européen des télécoms fait débat

En fait. Le 24 octobre, s’est tenu à Luxembourg le Conseil européen des ministres des télécoms. Le 10 octobre, la présidence estonienne de l’UE a
obtenu le mandat de négocier avec le Parlement européen le nouveau code
des communications électroniques « à l’ère de la 5G ». Les opérateurs mobile s’inquiètent.

En clair. Le Conseil de l’Union européenne (UE) table toujours sur l’objectif d’achever
« au plus tard en 2018 » la mise en place du marché unique numérique afin de
« stimuler l’innovation et la croissance ». C’est dire que le temps presse pour que le projet de « code européen des communications électroniques » (1) soit enfin débattu par le Parlement européen. D’autant que cette prochaine règlementation des télécoms et du numérique prépare l’Europe à l’ère de la 5G « en encourageant les investissements, la concurrence, la protection des consommateurs et le développement de nouveaux services ». C’est sur les licences des fréquences 5G que se cristallisent le rapport de force entre les opérateurs mobile représentés par la puissante association mondiale GSMA et les Etats membres de l’UE propriétaires souverains des ressources spectrales.
« Chers ministres [des télécoms européens], je dois exprimer mes profondes préoccupations quant à l’état actuel des discussions », leur a fait savoir le 23 octobre Mats Granryd, directeur général de la GSMA, dans une lettre ouverte adressée la veille de leur réunion à Luxembourg. Les opérateurs mobile veulent : « une durée de licence minimum de 25 ans [comme l’a proposée la Commission européenne dans ses propositions de septembre 2016 en vue d’harmoniser la gestion du spectre dans l’UE, ndlr], avec une forte présomption de renouvellement » pour invertir à long terme,
« des redevances structurées de manière à s’éloigner d’une création de revenu à court terme » pour plus investir dans les réseaux « Gigabit » que dans les fréquences des Etats. Or cette durée de 25 ans a été rayée du projet de texte (2) du mandat confié à la présidence estonienne de l’UE, car cette disposition continue d’être contestée par une dizaine d’Etats membres, tels que le l’Allemagne, l’Autriche, l’Italie, les Pays-Bas, l’Espagne la Finlande, la Pologne, ou encore le Royaume-Uni, lesquels veulent garder leur pouvoir régalien de gérer et monnayer leur spectre (durée et prix).
En France, qui ne conteste pas les 25 ans, les prix des licences mobile ont rapporté 240 millions d’euros en 2009 pour le 4e réseau 3G (Free), 600 millions d’euros pour les fréquences 3G résiduelles en 2010, 3,6 milliards d’euros en 2012 pour les fréquences 4G dans les bandes 800 Mhz et 2.6 Ghz, et 2,98 milliards en 2015 pour les 700 Mhz (lire p. 8 et 9). C’est maintenant tout l’avenir de la 5G qui est en jeux. @

Réforme du droit d’auteur en Europe : inquiétudes légitimes du secteur de l’audiovisuel

La Commission européenne avait présenté, le 14 septembre 2016, la version finale du « Paquet Droit d’auteur ». Ce texte, qui vise à réformer le droit d’auteur afin de l’adapter au « marché unique numérique », suscite inquiétudes et critiques de la part des acteurs du secteur de l’audiovisuel.

Par Etienne Drouard et Olivia Roche, avocats, cabinet K&L Gates

Ces propositions de la Commission européenne s’inscrivent dans la lignée de sa « Stratégie pour le marché unique numérique » (1) adoptée en mai 2015 et de sa communication de décembre de la même année intitulée « Vers un cadre moderne et plus européen pour le droit d’auteur » (2). La Commission européenne avait alors affirmé sa volonté d’adapter le cadre européen en matière de droits d’auteur aux nouvelles réalités du numérique, notamment en améliorant l’accès transfrontière aux œuvres et en clarifiant le rôle des services en ligne dans la distribution des œuvres.

Combler des vides juridiques et rééquilibrer
En effet, la régulation actuelle de la propriété littéraire et artistique en Europe repose essentiellement sur la directive européenne sur l’harmonisation de certains aspects
du droit d’auteur et des droits voisins dans la société de l’information de 2001 (directive « DADVSI » (3)), rédigée à l’heure où les technologies numériques émergeaient tout juste. En quinze ans, les évolutions des technologies numériques ont mené à des bouleversements considérables de l’offre et des pratiques culturelles, en particulier dans le secteur de l’audiovisuel, que les législateurs européens de 2001 n’avaient
pas envisagés, ce qui explique les nombreux vides juridiques que la Commission européenne souhaite aujourd’hui combler.
Cette stratégie est structurée autour de trois objectifs qui touchent directement le secteur de l’audiovisuel : améliorer l’accès aux biens et services numériques dans toute l’Union européenne (UE) pour les consommateurs et les entreprises, mettre en place un environnement propice au développement des réseaux et services numériques, et maximiser le potentiel de croissance de l’économie numérique européenne. La réponse que la Commission européenne souhaite apporter aux enjeux du numérique s’articule ainsi autour de la nécessité, d’une part, de réformer le cadre réglementaire actuel pour mieux protéger les industries culturelles face à l’émergence de nouveaux risques et d’acteurs tels que les GAFA et, d’autre part, d’adapter l’offre et la structure du marché culturel aux nouvelles pratiques des consommateurs depuis l’apparition du numérique. A l’appui de cette double logique (réformer/adapter), le « Paquet Droit d’auteur »,
qui comporte quatre volets, développe des obligations nouvelles figurant dans la proposition de directive sur le droit d’auteur dans le marché unique numérique (4) et dans la proposition de règlement établissant des règles sur l’exercice du droit d’auteur et des droits voisins applicables à certaines diffusions en ligne d’organismes de radiodiffusion et retransmissions d’émissions de télévision et de radio (5). S’y ajoutent deux textes (6) qui entérinent les exigences du Traité de Marrakech (7) dont l’UE est signataire depuis 2014 et organisent des aménagements du droit d’auteur en faveur des aveugles, déficients visuels et personnes ayant d’autres difficultés de lecture des textes imprimés. La révolution numérique a abouti à l’émergence de nouveaux canaux de distribution sur le marché de l’audiovisuel via la démultiplication des services en ligne et des plateformes permettant le partage, par les utilisateurs, de contenus protégés.
Ces acteurs de l’Internet ont progressivement bénéficié d’une part grandissante des revenus générés par l’exploitation en ligne des œuvres audiovisuelle, en partie grâce à leur statut privilégié d’hébergeurs (8), confirmé par une jurisprudence établie des juridictions nationales et européennes. Les plateformes telles que YouTube ou Dailymotion, pour ne citer que les plus célèbres, n’avaient en effet jusqu’à ce jour aucune obligation de contrôle « a priori » de la licéité des contenus publiés par les internautes.

Risque de divergences d’interprétation
La Commission européenne propose ainsi d’instaurer, pour certains types de services en lignes, l’obligation de se doter de technologies permettant le filtrage automatisé et systématiques des contenus mis en ligne par les utilisateurs (9). Ce type de technologie s’apparenterait au système ContentID développé et déjà utilisé par YouTube pour lutter contre la contrefaçon, la pédophilie ou l’apologie des actes terroristes, et aurait ainsi vocation à être généralisé. Néanmoins, cette mesure a fait l’objet de vives critiques et de plusieurs amendements déposés par les eurodéputés qui, pour certains vont jusqu’à en demander la suppression. En effet, les observateurs jugent, pour certains, que les termes de la proposition de directive sont trop vagues, dans la mesure où, d’après le considérant 38, cette disposition ne s’appliquerait qu’aux « prestataires de services de la société de l’information qui stockent un grand nombre d’œuvres ou autres objets protégés par le droit d’auteur ». L’absence de précision sur l’appréciation du « grand nombre » pourrait générer des divergences d’interprétation entre les États membres
et réduire considérablement le champ d’application de cette disposition.

Répartition équitable et territorialité des droits
Par ailleurs, plusieurs autres mesures de la proposition de directive sur le droit d’auteur dans le marché unique numérique visent à favoriser une répartition plus équitable des bénéfices issus de la distribution en ligne de contenus protégés par le droit d’auteur.
La Commission européenne propose, notamment, la création d’une obligation pour les plateformes de conclure, dans certaines conditions, des contrats de licence avec les titulaires des droits.
De même, le texte met en place une obligation de transparence quant à l’exploitation des œuvres et des revenus générés, à la charge des prestataires de services en ligne, via la mise en place de mécanismes appropriés et suffisants. Néanmoins, là encore, d’après le considérant 38 de la proposition, ces obligations n’ont vocation à s’appliquer que si le prestataire de services joue un « rôle actif, notamment en optimisant la présentation des œuvres ou autres objets protégés mis en ligne ». Le grand nombre d’amendements, parfois contradictoires, déposés par les eurodéputés sur ces dispositions, illustre la cristallisation des débats autour de ce sujet, ainsi que l’importance de ces enjeux pour les acteurs du secteur de l’audiovisuel.
En outre, la Cour de justice de l’Union européenne (CJUE), dans une décision du
14 juin 2017 (10), vient de confirmer la position de durcissement de la Commission européenne à l’égard des fournisseurs de services en ligne et, en particulier, des plateformes de partage de contenus audiovisuels. Dans cette décision, la CJUE affirme en effet que la mise à disposition et la gestion sur Internet d’une plateforme, intégrant l’indexation des œuvres, un moteur de recherche et des moyens de partage peer-to-peer, constituent « un acte de communication au public » (11). Cette interprétation de
la CJUE, dans la lignée de ses récentes décisions « GS Media » (12) et « Stichting Brein contre Jack Frederik Wullems » (13), devrait ainsi permettre d’engager la responsabilité de ces plateformes sur le terrain de la contrefaçon.

πUne autre mesure proposée par la Commission européenne en vue d’adapter le cadre réglementaire européen du droit d’auteur aux évolutions du marché de l’audiovisuel sous l’influence des technologies numériques, émane de la proposition de règlement
« Télévision et Radio » (14). En effet, le cadre réglementaire actuel reposant sur la directive de 1993 concernant le câble et le satellite (15), prévoit pour la seule radiodiffusion par satellite un droit de communication au public fondé sur le principe
dit « du pays d’origine », à savoir qu’une seule licence, octroyée dans le pays d’origine du programme diffusé par satellite, est suffisante pour une exploitation sur l’ensemble du territoire de l’UE. La proposition de règlement vise à étendre ce régime à la transmission des programmes audiovisuels en ligne. La proposition de la Commission européenne ne concerne que les services directement liés à l’émission originale (par exemple, les services de rattrapage ou les services dits « accessoires »).
Les critiques autour de cette extension du principe du pays d’origine sont particulièrement virulentes dans la mesure où le modèle de financement de la création audiovisuelle repose essentiellement sur la territorialité des droits et l’acquisition des droits par les diffuseurs des différents Etats membres de l’UE. Les détracteurs de
ce texte, dénoncent une évolution du financement des créations audiovisuelles qui pourrait, à terme, fragiliser l’indépendance des acteurs européens du secteur et la diversité de l’offre culturelle européenne, au profit des grandes productions. Il est difficile de ne pas être convaincu par cet argument, tant l’impact sur les schémas actuels semble évident.

Divergence et importance des intérêts en jeu
Au-delà de l’apparente complexité de ces débats autour de la réforme, pourtant souhaitable, du droit d’auteur, notamment dans son application au secteur de l’audiovisuel, se révèlent la divergence et l’importance, culturelle et économique,
des intérêts en jeu tant au niveau européen qu’à un niveau global. Il serait temps
que les spécialistes de l’inflation réglementaire soient substitués à des représentants des Etats membres disposant d’une vision politique et stratégique européenne claire sur l’articulation entre le financement durable de politiques culturelles et le poids de
la concurrence extra-européenne sur la diffusion numérique des contenus. @

Règlement européen sur la protection des données : ce qui va changer pour les internautes

Le règlement européen sur la protection des données – proposé il y a plus de quatre ans par la Commission européenne – a été publié au J.O. de l’Union européenne le 4 mai. Il sera applicable sur toute l’Europe le 25 mai 2018. Il renforce les droits des Européens sur leurs données personnelles.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Ayant constaté l’existence d’une fragmentation dans la mise en oeuvre de la protection des données à caractère personnel dans l’Union européenne (UE), la Commission européenne a soumis le
25 janvier 2012 (1) au Parlement et au Conseil européens une proposition de règlement européen « relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation des données ».

Renforcement des droits de la personne
Cette nouvelle législation a fait l’objet d’un accord informel en trilogue le 17 décembre 2015, et a été votée définitivement le 14 avril dernier et publiée le 4 mai au Journal officiel de l’UE. L’une des avancées majeures du règlement « Protection des données » – entré en vigueur 20 jours après sa publication (soit le 24 mai), pour être applicable dans tous les pays de l’UE le 25 mai 2018 (les entreprises ont donc deux années entières pour s’y préparer) – est sans conteste le renforcement des droits de la personne.
Dans un univers dématérialisé où tout devient possible en quelques clics, l’UE avait dans une directive, dès 1995, souhaité protéger l’individu en lui accordant un certain nombre de droits. Elle prévoyait ainsi :
• un droit à l’information qui consiste en l’obligation, pour le responsable de traitement, de fournir certaines informations énumérées dans la directive ;
• un droit d’accès qui est le droit pour la personne concernée de réclamer de la part du responsable de traitement la consultation de certaines informations portant sur ses données personnelles et sur le traitement de ses données ;
• un droit de rectification qui consiste en la possibilité pour la personne concernée
de demander la rectification, l’effacement ou le verrouillage des données qui sont incomplètes ou inexactes ;
• un droit d’opposition qui est le droit pour la personne concernée de s’opposer à
tout moment à ce que ses données fassent l’objet d’un traitement, pour des raisons légitimes. Pourtant, comme le soulignait Viviane Reding en 2012, lorsqu’elle était encore commissaire européenne à la Justice, aux Droits fondamentaux et à la Citoyenneté, les citoyens « n’ont pas toujours le sentiment de maîtriser entièrement
les données à caractère personnel les concernant ».
En effet, qui n’a pas déjà reçu des publicités dans sa boîte aux lettres sans que l’on n’ait jamais ni effectué d’achats chez l’émetteur de publicités ni donné ses informations personnelles telles que les nom, prénom, et adresse ? Qui n’a pas réceptionné des appels téléphoniques inconnus dont l’objet est de promouvoir un produit, ou de vous solliciter pour un sondage téléphonique, l’interlocuteur connaissant déjà vos nom et prénom sans même que vous ne l’ayez déjà contacté de votre vie, ou sans même que les prestataires de services professionnels avec qui vous avez contracté ne vous ait prévenu de la communication de vos informations à ces tiers précisément ?
Pour remédier à ce problème de maîtrise des données, le règlement prévoit un chapitre entier sur les droits de la personne concernée, ce que ne faisait pas la directive de 1995, laquelle se contentait de placer les droits de la personne concernée dans un chapitre intitulé « Conditions générales de licéité des traitements de données à caractère personnel ».
Le renforcement des droits de la personne concernée se fait en accentuant les droits préexistants de celle-ci, par exemple en prévoyant une meilleure transparence quant
à la communication des informations relatives au traitement des données à caractère personnel, ou encore en rallongeant la liste des informations à fournir à la personne concernée.

Quatre principaux nouveaux outils
Mais surtout, le règlement européen lui octroie de nouveaux droits :
• Un droit à l’information lors de l’apparition de failles de sécurité.
Ainsi, le droit à la notification d’une violation de ses données à caractère personnel semble aujourd’hui indispensable, alors que l’on ne compte plus le nombre d’entreprises victimes de failles de sécurité relatives aux informations sur leur clientèle : noms, adresses, numéros de téléphone ou encore données bancaires se retrouvent alors publics.
• Un droit d’opposition à une mesure fondée sur le profilage.
Au-delà des failles de sécurité dont peuvent être victimes les entreprises, les internautes doivent, aussi, à leur échelle, faire preuve de vigilance. En effet, au travers des historiques de navigations, des blogs, des réseaux sociaux ou des moteurs de recherche, ils dévoilent, sans souvent en avoir pleinement conscience, des pans entiers de leur vie privée. Or ces informations se révèlent souvent précieuses puisqu’elles pourront être valorisées, alimentant ainsi une véritable économie des données. En ce sens, le « profilage », destiné à évaluer et analyser certains aspects personnels afin d’orienter les publicités selon les intérêts ou de prévenir certains comportements illicites peut être source d’erreurs ou d’abus. C’est dans cet objectif que le Règlement prévoit une obligation d’information spécifique en matière de profilage ainsi que la possibilité
de s’y opposer.
• Un droit à l’« effacement » numérique.
Comme le souligne la CNIL dans son rapport d’activité 2013, « la circulation d’informations concernant une personne peut avoir de graves conséquences sur sa
vie privée et professionnelle, parfois plusieurs années après les faits ». Aussi, le Règlement européen vient consacrer un « droit à l’effacement » qui permettra à la personne concernée, selon des motifs limitativement énumérés, d’obtenir l’effacement de données personnelles la concernant et la cessation de la diffusion de ces données. La consécration de ce nouveau droit par le Règlement achève ainsi une évolution nécessaire au regard de la protection de la vie privée des citoyens européens.
• Un droit à la portabilité de ses données.
Ces nouveaux droits sont primordiaux en ce qu’ils permettent à la personne concernée d’exercer un contrôle ex post sur ses données. La personne concernée a le droit de se voir communiquer ses données personnelles par le responsable de traitement, sous un format « structuré, couramment utilisé et lisible par machine » afin de faciliter leur transfert vers un autre prestataire de services si elle le souhaite et sans que le responsable de traitement ne puisse s’y opposer. L’objectif ici est d’éviter à la personne concernée de se lancer dans une fastidieuse récupération manuelle de ses données qui pourrait l’inciter à renoncer à changer de prestataire.

« Education » et « hygiène informatique »
Ces nouveaux outils doivent cependant s’accompagner d’une part, d’une « éducation » à la protection des données, et d’autre part, de la promotion d’une certaine « hygiène informatique », selon l’expression consacrée par l’ANSSI (2), qui permettra à la personne concernée de fixer elle-même les frontières de sa vie privée.

Le règlement européen tient aussi compte de l’invalidation du « Safe Harbor » (3) (décision CJUE du 6 octobre 2015 (4). et ses conséquences en consacrant son chapitre V au transfert de données à caractère personnel vers des pays tiers ou à des organisations internationales L’invalidation de cette décision a conduit la Commission européenne et le gouvernement américain à conclure un accord visant à assurer un niveau de protection suffisant aux données transférées de l’UE vers les Etats-Unis appelé « Privacy Shield ».

Articulation avec le « Privacy Shield »
Le G29 réunissant les « Cnil » européennes, qui avait publié son avis le 13 avril 2016 sur le niveau de protection des données personnelles assuré par le « Privacy Shield » (5), a cependant rappelé qu’il devrait tenir compte du règlement européen sur les données personnelles – lequel n’avait pas encore été adopté au moment de la publication du « Privacy Shield ». L’article 45 du règlement énonce les critères à prendre en compte par la Commission européenne lors de l’évaluation du caractère adéquat du niveau de protection des pays tiers à l’Union. Au nombre de ces critères,
on trouve « le respect des droits de l’homme et des libertés fondamentales, la législation pertinente, tant générale que sectorielle, y compris en ce qui concerne la sécurité publique, la défense, la sécurité nationale et le droit pénal ainsi que l’accès
des autorités publiques aux données à caractère personnel (…) ».
Outre le renforcement de la sécurité juridique, on notera que le règlement vise à : réduire la charge administrative des responsables de traitement de données, faire peser davantage de responsabilité sur les sous-traitants, renforcer l’exercice effectif par les personnes physiques de leur droit à la protection des données les concernant au sein de l’UE (notamment leur droit à l’effacement et leur droit d’exiger que leur consentement préalable, clair et explicite soit requis avant l’utilisation de leurs données personnelles), améliorer l’efficacité de la surveillance et du contrôle de l’application des règles en la matière (6).
Le règlement aura d’autant plus d’impact qu’il s’appliquera, dès le 25 mai 2018, de manière uniforme dans l’ensemble des pays de l’UE, sans devoir être transposé en droit national (7). Son champ d’application s’étendra au-delà des frontières des Vingt-huit puisque, désormais, des entreprises ayant leur siège social en dehors de l’UE pourront se voir appliquer le règlement dès lors que les données qu’elles traitent concernent des résidents de l’UE, ce que ne prévoyait pas la directive. @

* Ancien bâtonnier du Barreau de Paris.

 

Neutralité du Net, Bruxelles prêt à suivre Washington

En fait. Le 3 mars, Andrus Ansip, vice-président de la Commission européenne, en charge du Marché unique numérique, a rencontré à Barcelone Tom Wheeler, président de la FCC, le régulateur des télécoms américain, lequel a adopté le 26 février des règles « strictes » en faveur de la neutralité de l’Internet.

En clair. « La Commission européenne suit avec grand intérêt les développements
sur la neutralité de l’Internet aux Etats- Unis. La neutralité du Net est un pilier-clé du marché unique numérique qui est une priorité majeure de la Commission Juncker, laquelle s’est engagée à transformer le principe de la neutralité d’Internet en une loi européenne dans le cadre du paquet du marché unique des télécoms », a indiqué Mina Andreeva, porte-parole en cheffe adjointe de l’exécutif européen, à Edition Multimédi@. Mais les ministres des télécoms des Etats membres, qui étaient réunis le lendemain à Bruxelles, ont prévu des « exceptions » à la neutralité du Net et des « trafic privilégiées ». Autrement dit, des assouplissements au principe. Mina Andreev nous a confirmé
que Andrus Ansip, vice-président de la Commission européenne, en charge du Marché unique numérique, et Tom Wheeler, président de la FCC (1), se sont rencontrés à Barcelone lors du Mobile World Congress. Le régulateur américain des télécoms a adopté le 26 février dernier une neutralité « stricte » de l’Internet (lire notre article ci-dessous). La Commission européenne nous explique être sur la même longueur d’ondes que la FCC et que le président des Etats-Unis, Barack Obama. « Il y a une volonté politique forte, des deux côtés de l’Atlantique, pour sauvegarder l’Internet ouvert. Les propositions vont dans la même direction, notamment pour garantir que
les consommateurs ne seront pas injustement bloqués ou ralentis sur l’Internet ouvert, et que les fournisseurs de contenus et d’applications pourront les rendre disponibles sans discrimination », nous a encore assuré Mina Andreeva. Elle nous a rappelé qu’Andrus Ansip et Günther Oettinger, commissaire en charge de l’Economie numérique, étaient décidés à «éviter la fragmentation du marché avec vingthuit approches et incertitudes juridiques différentes pour les entreprises ». Pour ce faire,
« ils ont demandé aux ministres de l’Union européenne d’arriver à un accord sur des règles de neutralité de l’Internet, de façon à ce que les négociations avec le Parlement européen puissent commencer le plus rapidement possible [à partir de fin mars, ndlr]». Reste à savoir si l’exécutif européen et les eurodéputés résisteront au lobbying des opérateurs télécoms européens, exigeant notamment – à travers leur organisation ETNO (2) basée à Bruxelles – des règles « souples et flexibles » et non celles
« strictes » des Etats-Unis. @