Les associations de consommateurs veillent à ce que le Data Act mette les utilisateurs au centre

Les particuliers sont les principaux générateurs de données numériques provenant de leurs terminaux et objets connectés. Au-delà de leurs données personnelles, ils doivent avoir le contrôle sur l’ensemble des data qu’ils produisent. Afin que l’économie des données leur profite à eux aussi.

« En tant qu’initiateurs d’une grande partie de ces données, grâce à leur utilisation d’appareils connectés et de services numériques, les consommateurs doivent garder le contrôle sur la façon dont les données – qu’ils ont aidé à générer – sont partagées et avec qui. Ces données sont utiles pour toutes sortes de services dans l’économie, dont les consommateurs pourraient également bénéficier, tels que les fournisseurs de services concurrents ou un plus large choix de services après-vente, y compris la réparation et l’entretien », a prévenu Monique Goyens (photo), directrice générale du Bureau européen des unions de consommateurs (Beuc). Monique Goyens a ainsi interpellé le 23 février dernier la Commission européenne qui présentait ce jour-là sa proposition de règlement sur les données, baptisé Data Act, dont l’objectif est de favoriser une « économie des données » dans les Vingt-sept, et de préciser « qui peut utiliser et les données générées dans l’UE dans tous les secteurs économiques et accéder à ces données ».

Data de 398 millions d’internautes européens
Le texte lui-même de ce projet de règlement sur les données est un document de 64 pages. Mais le Beuc, qui est basé à Bruxelles et qui fête cette année ses 60 ans, met en garde l’Union européenne contre la mise en place d’un cadre législatif ne mettant pas les utilisateurs – en l’occurrence les 398 millions d’internautes européens, selon l’Internet World Stats – au coeur de cette « libéralisation » de la data. « Par exemple, illustre concrètement Monique Goyens, les données générées par un réfrigérateur intelligent devraient pouvoir être transmises à un concurrent ou être consultées par un service tiers si le consommateur le souhaite. Ces données peuvent inclure les paramètres du réfrigérateur, des informations sur le contenu du réfrigérateur, la façon dont il interagit avec d’autres appareils intelligents dans la maison, ou sur la façon dont le réfrigérateur est utilisé ou peut être défectueux ». Autrement dit, le Data Act ne doit pas seulement favoriser l’exploitation par des tiers des masses de données, le plus souvent générées par les Européens des Vingt-sept, mais aussi  Continuer la lecture

Souveraineté numérique européenne : Microsoft se dit compatible

En fait. Le 19 mai, se sont tenues les 5es Assises de la souveraineté numérique, organisées par l’agence Aromates sur le thème cette année de « Quelle stratégie pour une 3e voie européenne ? ». Parmi les intervenants extra-européens : l’américain Microsoft, qui, par la voix de Marc Mossé, se dit eurocompatible.

En clair. Le directeur des affaires publiques et juridique de Microsoft – fonction que Marc Mossé (photo) a exercée pour la filiale française entre février 2006 et mai 2016 avant de passer à l’échelon européen (1) tout en restant basé à Paris et non au siège de Microsoft Europe à Dublin en Irlande –, était attendu au tournant. Lors de ces 5es Assises de la souveraineté numérique, le « M » de GAFAM a voulu montrer pattes blanches et démontrer que l’on pouvait être une « entreprise étrangère américaine » et être compatible avec la « souveraineté numérique européenne ». Antinomique ? Non. Marc Mossé, lui, parle de « ligne de crête » en rappelant les propos tenus par quatre femmes au pouvoir en Europe, Angela Merkel (chancelière d’Allemagne), Mette Frederiksen (Première ministre du Danemark), Sanna Marin (Première ministre de Finlande) et Kaja Kallas (Première ministre d’Estonie), dans une lettre adressée le 1er mars dernier à une cinquième femme de pouvoir, Ursula von der Leyen (présidente de la Commission européenne).

La souveraineté numérique, ce n’est ni exclure ni faire du protectionnisme
« La souveraineté numérique, c’est miser sur nos forces et réduire nos faiblesses stratégiques, et non pas exclure les autres ou adopter une approche protectionniste. Nous faisons partie d’un monde mondial avec des chaînes d’approvisionnement mondiales que nous voulons développer dans l’intérêt de tous. Nous sommes déterminés à ouvrir les marchés et à favoriser un commerce libre, équitable et fondé sur des règles ». Tout est dit. Et le directeur juridique de Microsoft Europe d’approuver : « C’est cette ligne de crête sur laquelle il faut être, qui renvoie à l’essentiel lorsque l’on parle de la souveraineté. C’est aussi la question de la règle de droit. La souveraineté, c’est la garantie par le droit de fonctions essentielles comme les valeurs européennes [auxquelles] les acteurs qui opèrent en Europe (et donc en France) doivent le plein respect ». Marc Mossé a aussi rappelé l’annonce faite le 6 mai par Microsoft qui s’engage à stocker et à traiter dans ses data centers en Europe – au nombre de treize dont trois en France – les données de ses clients, entreprises ou Continuer la lecture

Presse d’information politique et générale : le fragile statut IPG soulève des questions juridiques

Particulier à la France, le statut dit « IPG » – assez fragile – divise la presse et amène l’Etat à aider plus certains journaux que d’autres, imprimés et/ou en ligne. Ce statut, aux frontières floues, soulève au moins trois questions juridiques, tant au niveau national qu’européen.

Par Emmanuelle Mignon*, avocate associée, August Debouzy

Considérée comme une condition nécessaire à l’exercice des autres libertés (1) et au bon fonctionnement de la démocratie, la liberté d’expression et de communication justifie, depuis longtemps et dans presque tous les pays occidentaux, l’existence d’aides étatiques aux médias, et plus particulièrement à la presse écrite qui a été pionnière dans la conquête de la liberté par la diffusion de la pensée.

Aides d’Etat à la presse : avantage à l’« IPG »
Le régime français, lui, se caractérise par une addition de dispositifs qui, comme souvent, se superposent sans jamais que la création d’une aide nouvelle ne soit accompagnée de la disparition d’une aide existante. La raison en est politique, mais pas seulement. Les objectifs des aides à la presse écrite sont en effet multiples, depuis l’encouragement au lectorat jeune jusqu’à la préservation de l’emploi local, en passant par le pluralisme ou l’aide à la transition numérique.
Cette superposition entraîne des effets d’aubaine et de seuils, ainsi que de frottements anticoncurrentiels entre les différentes familles de presse, que les textes successifs s’efforcent de corriger au prix d’une complexification croissante du système. Selon la Commission paritaire des publications et agences de presse (CPPAP), qui délivre le numéro d’inscription permettant à une publication d’accéder au régime économique général de la presse (2), près de 7.000 publications bénéficient actuellement de ce dispositif (3), dont 50 % correspondent à des titres de la presse « éditeur » (4). Depuis 2009, les services de presse en ligne (SPEL) – aujourd’hui au nombre de 1.200 (pendants de journaux imprimés ou pure players) – ont eu progressivement accès eux aussi aux aides, en particulier au taux super réduit de TVA (2,10 % depuis 2014).
Mais, à l’intérieur de ce régime général de soutien, la presse d’information politique et générale (IPG) bénéficie d’aides supplémentaires : tarif postal encore plus favorable, aide au portage (presse sportive quotidienne aussi), avantages fiscaux (5), aides aux publications à faibles ressources, … Les critères à remplir pour bénéficier du statut IPG ne sont pas strictement identiques selon les différents dispositifs d’aides, mais généralement la condition principale est de consacrer la majorité de la surface rédactionnelle à des informations politiques et générales relatives à l’actualité dépassant les préoccupations d’une catégorie particulière de lecteurs (6). D’après la CPPAP, 412 titres imprimés relèvent du statut IPG (soit environ 6 % de tous les titres) mais son site web n’indique pas le nombre de SPEL (presse en ligne) bénéficiant de ce statut. Les grands quotidiens nationaux – presque tous d’IPG – étant en plus, depuis une quinzaine d’années, les principaux bénéficiaires des subventions à la réforme des imprimeries de presse et du réseau de distribution, il est clair que la presse IPG (incluant aussi les quotidiens régionaux ou locaux et certains magazines) est beaucoup plus aidée que les autres.
L’objectif poursuivi est le pluralisme et l’indépendance de la presse, mais au profit d’une information politique, afin que tous les Français puissent accéder régulièrement – dans des conditions de prix raisonnables, et malgré les difficultés économiques du secteur – à un contenu informatif et éditorial susceptible de les éclairer dans leurs choix de citoyens. Le statut IPG – dont la définition est consacrée législativement pour la première fois dans la loi de 2019 portant réforme de la distribution (7) – s’étend d’ailleurs au-delà des seuls avantages d’aides publiques renforcées. Dans le sens des contraintes, il comprend des limites à la concentration. Dans le sens des privilèges, il donne un droit absolu d’accès au réseau physique de distribution dans les quantités déterminées par les éditeurs. Pour autant, ce statut soulève plusieurs questions juridiques.

Le principe d’égalité mis à mal
• La première question juridique est la conformité du statut IPG au principe d’égalité dès lors que la frontière entre la presse dite IPG et celle non-IPG n’est pas toujours très nette et que la première bénéficie d’avantages concurrentiels susceptibles de pénaliser la seconde aussi bien sur le marché des lecteurs que sur celui de la publicité. Il a toutefois été jugé, et par le Conseil d’Etat (8) et par le Conseil constitutionnel (9), que l’objectif de pluralisme – auquel est parfois ajouté celui d’indépendance – de l’information politique et générale justifiait l’existence de ce statut particulier. On ne peut pas dire que ces décisions soient très motivées. Elles ramènent à la seule presse IPG les objectifs de pluralisme et d’indépendance, alors que la liberté d’expression et de communication vise toute sorte de pensée et d’opinion. Et ces décisions ne s’intéressent pas aux effets anticoncurrentiels concrets que ces publications dites IPG exercent sur les autres familles de presse. De même, il a été jugé que la préservation des équilibres économiques du réseau de distribution de la presse écrite, sans lequel les citoyens ne pourraient pas avoir accès à une presse IPG pluraliste et indépendante, justifiait que la résiliation d’un contrat librement conclu entre une société de messagerie de presse et un dépositaire central de presse puisse être imposée par un organisme tiers composé d’éditeurs (10). En d’autres termes, les objectifs qui s’attachent à la défense du pluralisme et de l’indépendance de la presse IPG peuvent conduire à assujettir les autres formes de presse à ses besoins.

Aides « IPG », toutes euroconformes ?
• La deuxième question juridique est celle de la conformité du statut de la presse IPG avec le droit de l’Union européenne (UE). Dans les autres Etats membres, les aides à la presse ne sont pas aussi segmentées au profit d’une catégorie de presse. Il y a d’ailleurs relativement peu de décisions de la Commission européenne sur des dispositifs d’aides à la presse (en tout cas s’agissant des grands pays), ce qui laisse penser que les régimes existants sont anciens, stables et relativement neutres. Les aides nouvelles, quand elles existent, sont toujours justifiées par l’objectif de pluralisme, mais appliqué à toutes les publications. Toutefois, la Suède et le Danemark ont récemment institué des aides – respectivement à la transformation numérique (11) et à la presse écrite (12) – subordonnées à des critères de contenu ou de cibles proches du statut IPG français. Les décisions de la Commission ne laissent guère planer de doute sur la compatibilité des aides françaises à la presse IPG avec le droit des aides d’Etat, dès lors qu’elles restent raisonnables dans leur ampleur.
Bien consciente des difficultés économiques de la presse, elle valide généralement les aides qui lui sont notifiées au nom du principe d’intérêt commun de pluralisme et d’indépendance de la presse. Si l’on ne peut exclure que ces aides affectent le commerce intra-communautaire dès lors que les publications des différents Etats membres sont en concurrence sur le marché des lecteurs, mais aussi de la publicité, de l’impression et de la distribution, la Commission européenne relève également que cet effet reste limité du fait que les publications éditées dans d’autres pays de l’UE ne sont que marginalement substituables aux titres nationaux. Et elle reconnaît que le pluralisme et l’indépendance de l’information politique destinée à l’édification des citoyens peut appeler des mesures particulières puisqu’elle a validé (13), outre les dispositifs suédois et danois, l’extension de l’aide française aux quotidiens à faibles recettes publicitaires aux titres de périodicité hebdomadaire à trimestrielle, alors que cette aide cible exclusivement la presse IPG. Ce qui est plus surprenant est que seuls deux dispositifs français d’aides à la presse IPG aient été notifiés à Bruxelles : le premier étant l’extension de l’aide mentionnée ci-dessus ; le second étant le crédit d’impôt pour premier abonnement à un titre IPG (14) créé par la loi de finances rectificative pour 2020, pour lequel une réponse de la Commission européenne est toujours en attente. En 1999, le Conseil d’Etat a jugé – non sans bénévolence – que l’aide postale ciblée à la presse IPG n’était pas soumise à l’exigence de notification dès lors qu’elle réaménageait un régime existant d’aides postales créé antérieurement à l’entrée en vigueur du Traité de Rome (15). De même, les dispositifs fiscaux relatifs aux provisions pour investissement et à la réduction de l’impôt sur les sociétés (IS) pour souscription au capital d’entreprises de presse sont couverts par le principe de dispense de notification des aides de minimis. Reste que d’autres aides à la presse IPG n’ont pas été notifiées, à commencer par l’aide aux quotidiens IPG à faibles ressources publicitaires créée en 1986 (seule son extension l’a été), laissant planer un doute sur leur légalité.
• La troisième question juridique soulevée est le caractère en grande partie réglementaire du statut de la presse IPG, alors que l’article 34 de la Constitution française confie au législateur (depuis la réforme constitutionnelle du 23 juillet 2008) le soin de fixer les règles relatives à la liberté, au pluralisme et à l’indépendance des médias. Bien sûr, on pourrait penser que l’introduction de cette disposition dans la Constitution n’avait pas d’autre vocation que de codifier l’état du droit antérieur, lequel a déjà reconnu que toute atteinte à la liberté d’expression et de communication ne peut résulter que de la loi (16). Or, instituer des d’aides, c’est a priori aider la presse et l’on voit mal pourquoi le recours à la loi serait nécessaire. Mais en aidant certaines familles de presse ou en posant des conditions à l’attribution des aides, on exclut nécessairement certaines publications de leur bénéfice, au risque de porter atteinte à leur indépendance (17) ou de faire des choix arbitraires, justifiant que seul le législateur puisse être autorisé à déterminer ces régimes.

Un fragile régime d’aides à réformer
La question s’est posée directement dans la requête contre le décret n°2015-1440 du 6 novembre 2015 étendant à tous les périodiques jusqu’aux trimestriels le bénéfice des aides aux publications IPG à faibles ressources publicitaires, auparavant réservées aux quotidiens. Malgré les conclusions du rapporteur public invitant le Conseil d’Etat à censurer ce décret intervenu dans le domaine de la loi, la haute assemblée a préféré censurer le décret sur le terrain du droit de l’UE (18). L’avantage est de ne pas avoir ébranlé tout d’un coup, et sans que personne ne s’y attende sans doute, une bonne partie du régime des aides à la presse ; l’inconvénient est que le système perdure et souffre d’une fragilité dont le gouvernement serait bien inspiré de se préoccuper. @

* Emmanuelle Mignon, ancienne conseiller d’Etat, est depuis
février 2015 avocate associée chez August Debouzy. Elle a été
directrice de cabinet à la présidence de la République
(sous Nicolas Sarkozy) et secrétaire générale d’EuropaCorp.

Brexit : entre l’Union européenne et le Royaume-Uni, les données personnelles sont entre deux eaux

Le RGPD sur la protection des données personnelles en Europe reste applicable à leurs transferts vers le Royaume-Uni jusqu’au 1er juillet 2021. Mais, depuis le début de l’année, la « Cnil » britannique ne peut plus être « chef de file ». En tout cas, il faut anticiper avec ce « pays tiers ».

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

A l’heure où le Brexit devient réalité, la question du transfert des données personnelles entre l’Union européenne (UE) et le Royaume-Uni (RU) mérite une attention particulière. Pas d’urgence absolue puisque le règlement européen sur la protection des données RGPD reste applicable au Royaume-Uni de manière transitoire jusqu’au 1er juillet 2021. A noter toutefois que, depuis le 1er janvier 2021, le mécanisme du « guichet unique » ne sera plus effectif par le biais de l’Information Commissioner’s Office (ICO), la « Cnil » britannique.

RGPD, applicable jusqu’au 1er juillet 2021
Ainsi, à moins qu’une décision d’adéquation ne soit accordée au Royaume-Uni par la Commission européenne d’ici mi- 2021, les transferts de données personnelles vers le Royaume-Uni devront être encadrés par les outils prévus par le RGPD. Autant s’en préoccuper dès à présent ! Concrètement, jusqu’au 1er juillet 2021, le Royaume-Uni est toujours considéré comme un Etat membre de l’UE dans le cadre des transferts de données. Si aucune modification n’est requise dans l’immédiat pour continuer à transférer des données personnelles avec le territoire britannique, l’autorité de contrôle britannique ICO recommande aux entreprises britanniques ayant des activités transfrontalières avec les Vingt-sept d’anticiper tout risque potentiel d’interruption des transferts.
L’accord de commerce et de coopération entre l’UE et le RU, conclu le 24 décembre 2020 et en vigueur depuis le 1er janvier 2021, prévoit, en matière de protection des données à caractère personnel, que le RGPD demeure applicable pour une durée maximum de six mois. Cet accord a fait suite à une période transitoire qui courait depuis un premier accord de retrait trouvé le 31 janvier 2020 à minuit. Car les textes européens étant alors encore applicables, cet accord n’ouvrant en réalité qu’une période de transition s’étalant jusqu’au 31 décembre 2020. Rappelons que c’est à la suite du référendum du 23 juin 2016 que le Royaume-Uni a actionné la procédure de retrait de l’Union européenne prévue par l’article 50 du Traité de l’UE. Cette décision en faveur du Brexit (pour « British Exit ») a donné lieu à de nombreuses discussions afin d’organiser cette sortie effective du Royaume-Uni. L’accord conclu entre le RU et l’UE a conduit à l’exclusion de l’autorité britannique du mécanisme de guichet unique. Ce mécanisme permet aux entreprises opérant des traitements transfrontaliers (entre plusieurs Etats membres) de centraliser leur communication avec une seule autorité qualifiée alors de « chef de file » (1). Cette autorité n’est pas choisie par l’entreprise mais correspond à celle du pays dans lequel se situe l’établissement principal de l’entreprise en question. En France, c’est la Commission nationale de l’informatique et des libertés (Cnil). Au Royaume- Uni, c’est l’Information Commissioner’s Office (ICO).
La fin du guichet unique pour le Royaume-Uni signifie donc que les entreprises qui effectuaient des traitements transfrontaliers et qui avaient l’ICO comme autorité chef de file ne pourront plus bénéficier de ce mécanisme. Seuls les responsables de traitement ou sous-traitants ayant un établissement principal au sein de l’Espace économique européen (EEE) pourront continuer de bénéficier du guichet unique, avec pour autorité chef de file, celle du pays dans lequel est implanté ledit établissement. Concernant les entreprises exclusivement basées au Royaume-Uni, il est important de rappeler que le caractère extraterritorial du champ d’application du RGPD rend ce dernier applicable dès lors que les activités de traitement sont liées à une offre de bien ou de service destinée à des personnes concernées de l’Union européenne ou au suivi du comportement de ces personnes. Dès lors, ces entreprises britanniques seront tenues de désigner un représentant au sein de l’Union européenne conformément à l’article 27 du RGPD. Une fois le délai de transition expiré, il faudra appréhender les transferts au Royaume-Uni comme des transferts vers un pays tiers, c’est-à-dire comme un pays situé en dehors de l’EEE.

Une « décision d’adéquation » avec le RU ?
Cependant, le Royaume-Uni, en sa qualité d’ancien Etat membre de l’UE, dispose déjà d’un important arsenal juridique en matière de protection des données avec des dispositifs tels que le « Data Protection Act » ou encore le « Privacy and Electronic Communication Regulations ». Ces textes de loi reprenant déjà la majorité des dispositions du RGPD, il apparaît possible que la Commission européenne autorise de façon générale l’ensemble des transferts de données vers le Royaume-Uni à travers une « décision d’adéquation ». Tel sera le cas si la Commission européenne considère que le Royaume-Uni offre toujours un niveau de protection au moins équivalent à celui exigé au sein de l’UE. Pour autant, il convient de rester vigilant car les dernières déclarations du Premier ministre Boris Johnson annonce une évolution de la législation interne dans le sens d’un assouplissement de cette dernière. L’hypothèse d’une décision d’adéquation semble ainsi s’éloigner notamment compte tenu de l’appartenance du Royaume-Uni au « Five Eyes », alliance des services secrets britanniques, canadiens, australiens, américains et néo-zélandais.

Sinon, explorer les « garanties appropriées »
On rappellera que cette alliance à cinq (également désignée par FVEY), qui remonte à l’époque de la Guerre froide, permet aux agences de renseignement de ces cinq pays de se demander respectivement d’intercepter des communications de leurs citoyens. Ce partage d’informations et de données alerte de plus en plus les institutions et l’opinion publique, notamment depuis les révélations d’Edward Snowden en 2013. Selon ce lanceur d’alerte, les Etats contourneraient leur propre législation nationale en demandant aux membres de l’alliance de collecter des informations pour leur compte, et ce sur le fondement de cet accord. En 2014, la Commission européenne avait publié un rapport (2) confirmant le fait que les agences de renseignement néo-zélandaises et canadiennes auraient coopéré avec la National Security Agency (NSA) dans le cadre du programme Five Eyes et potentiellement partagé activement des données personnelles de citoyens de l’UE. Si l’option « décision d’adéquation » devait être écartée, il conviendra alors d’explorer d’autres solutions, notamment les « garanties appropriées » prévues par le RGPD. Il s’agit soit des clauses contractuelles types (CCT) à insérer dans le contrat entre l’importateur et l’exportateur de données (3), soit des règles d’entreprise contraignantes (BCR) qui désignent les règles internes de protection des données applicables entre exportateur et importateur de données au sein d’un groupe d’entreprise (4), soit encore d’outils tels que : code de conduite, mécanisme de certification, instrument juridique contraignant entre autorités publiques, etc (5).
Le RGPD prévoit également certaines dérogations exceptionnelles. L’organisation souhaitant transférer des données en dehors de l’EEE pourrait ainsi faire valoir l’une de ces dérogations à condition que le transfert ait un caractère exceptionnel (ni régulier, ni structurel) et qu’aucun autre cadre juridique ne puisse être utilisé. Tel est le cas lorsque la personne concernée consent au transfert de ses données ou lorsque le transfert de données est nécessaire à la conclusion ou à l’exécution d’un contrat ou encore lorsque le transfert est nécessaire par exemple à l’exercice des droits de la défense dans le cadre de procédures judiciaires. On notera cependant que, dans tous les cas, il appartient au responsable de traitement et au destinataire des données de vérifier, préalablement à tout transfert, si le pays tiers permet en pratique d’assurer un niveau de protection essentiellement équivalent à celui garanti dans l’UE par le RGPD, et notamment que les personnes concernées disposent de droits opposables et de voies de droit effective (6). Cette règle a été rappelée par la Cour de justice de l’Union européenne (CJUE), dans son arrêt « Schrems II » (7) du 16 juillet 2020. On rappellera que, dans cette affaire, Maximillian Schrems, défenseur autrichien de la protection des données personnelles, avait sollicité l’interdiction ou la suspension du transfert de ses données personnelles par Facebook Ireland à la maison mère Facebook Inc. établie aux Etats-Unis. Ce dernier considérait que la législation américaine ne permettait pas en pratique de protéger adéquatement les données personnelles détenues sur son territoire contre l’accès des autorités publiques et qu’il n’y avait pas de recours efficace pour les personnes concernées européennes. La CJUE étant particulièrement regardante sur l’effectivité des droits des personnes concernées ainsi que sur leur exercice, c’est précisément ce qui a fondé l’invalidation du « Privacy Shield » au sein de cette décision.
De même, si la CJUE a confirmé la validité des clauses contractuelles types comme outil de transfert, il est important de préciser que ces clauses ne lient pas les autorités des pays tiers, en raison de leur caractère contractuel. Ainsi, dans les situations où la législation de ces pays compromettrait en pratique le niveau de protection adéquat que ces outils garantissent, la CJUE incite à prévoir des mesures supplémentaires. De nature technique, contractuelle ou organisationnelle selon les recommandations du Contrôleur européen de la protection des données (CEPD), ces mesures permettraient d’assurer l’effectivité des « garanties appropriées » au sein de ces systèmes juridiques (8). Toutefois, en fonction des caractéristiques du transfert de données envisagé, et de l’évaluation de la législation du pays tiers faite par l’importateur et l’exportateur des données, si aucune mesure supplémentaire efficace ne peut être mise en œuvre pour garantir le niveau de protection équivalent, il conviendra de renoncer au transfert.

Considérer le RU comme « pays tiers »
En conclusion, si le RGPD reste applicable aux transferts de données vers le Royaume-Uni jusqu’au 1er juillet 2021, il n’est certainement pas trop tôt pour anticiper la suite. En l’absence d’une décision d’adéquation avant cette date butoir, les transferts de données devront être considérés comme ayant pour destination un pays tiers. De ce fait, il est d’ores et déjà recommandé d’identifier les traitements en question pour, le jour venu, adopter l’une des solutions évoquées à l’aune de la future législation britannique. @

* Christiane Féral-Schuhl, ancienne présidente
du Conseil national des barreaux (CNB)
après avoir été bâtonnier du Barreau de Paris,
est l’auteure de « Cyberdroit » paru aux éditions Dalloz.

Comment la Cnil a contourné le RGPD pour pouvoir elle-même mettre à l’amende Amazon et Google

La Cnil a invoqué la directive « ePrivacy » et non le RGPD. Et si Amazon et Google n’avaient pas modifié en septembre 2020 leur site web (amazon.fr et google.fr) pour être en conformité – mais partiellement – avec les règles françaises sur les cookies, leurs amendes auraient été plus salées.

Par Mélanie Erber, avocate associée, et Sacha Bettach, avocate, cabinet Coblence

Le 7 décembre 2020, la Commission nationale de l’informatique et des libertés (Cnil) a prononcé deux sanctions inédites en Europe à l’encontre d’Amazon (1) et de Google (2), pour des montants respectifs de 35 et 100 millions d’euros. Le gendarme français des données personnelles reproche aux deux géants d’avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs des sites web google.fr et de amazon.fr sans consentement préalable de ces utilisateurs ni information suffisamment claire. Ces sanctions s’inscrivent dans le cadre d’un durcissement national des règles en matière de cookies et dans une volonté européenne plus globale de réguler le monde du numérique.

Ce que la Cnil reproche à Amazon et Google
Après plusieurs contrôles en ligne de la Cnil sur les sites Internet amazon.fr et google.fr, la Cnil a constaté que des cookies – poursuivant essentiellement un objectif publicitaire – étaient automatiquement déposés sur l’ordinateur de l’utilisateur, sans action de sa part. Ce faisant, Amazon et Google ont violé l’article 82 de la loi « Informatique et libertés », qui impose au responsable de traitement des données, d’une part, une information claire et complète de la finalité de toute action tendant à accéder à des informations déjà stockées dans l’ordinateur de l’utilisateur et des moyens dont il dispose pour s’y opposer, et, d’autre part, un recueil préalable du consentement de l’utilisateur.
Pour rappel, les cookies sont des fichiers informatiques stockés sur un serveur et présents dans l’ordinateur de l’internaute. A l’aide de ceux-ci, les éditeurs de sites Internet peuvent collecter les données de navigation des internautes voire recueillir un ensemble d’informations telles que les paniers d’achat, les comportements des consommateurs, la publicité ciblée, etc. Selon la Cnil, les techniques de dépôt de cookies d’Amazon et Google ne permettraient pas d’assurer le respect du droit à l’information, le recueil préalable du consentement et du droit à l’opposition des utilisateurs. Plus précisément, concernant amazon.fr, le gendarme français des données personnelles a considéré que les informations fournies n’étaient ni claires ni complètes, en ce que le bandeau d’information affiché en visitant le site web ne contenait qu’une inscription générale, ne permettant pas à l’utilisateur de comprendre que les cookies qui allaient être déposés sur son ordinateur avaient pour finalité de lui afficher des publicités personnalisées. Ledit bandeau n’indiquait pas non plus le droit et les moyens pour l’utilisateur de s’opposer au dépôt de ces cookies. Enfin, dans certaines situations telles que notamment après avoir cliqué sur une publicité d’un autre site Internet, aucune information n’était délivrée aux utilisateurs, alors pourtant que les mêmes cookies étaient déposés.
Le montant de la sanction retenue contre Amazon tient par conséquent compte de tous ces éléments. La notoriété et la place dans le commerce en ligne d’Amazon ont été des facteurs aggravants de la sanction, puisque la personnalisation des annonces rendue possible en grande partie grâce au dépôt de cookies permet d’augmenter considérablement la visibilité des produits d’Amazon sur d’autres sites Internet. Il est à noter au demeurant que la gravité des faits a été légèrement atténuée par la refonte du site amazon.fr en septembre 2020, à la suite de laquelle la Cnil a relevé qu’aucun cookie n’était désormais déposé avant que l’utilisateur n’ait donné son consentement. Néanmoins, le bandeau d’information reste imprécis quant au dépôt de cookies et au droit d’opposition à ce dépôt. Concernant cette fois le site web google.fr, les faits sont globalement semblables. Le bandeau d’information qui s’affichait en bas de page à chaque visite d’un utilisateur sur le site Internet ne fournissait pas d’information relative aux cookies, pourtant déjà déposés sur l’ordinateur de l’internaute. En outre, si un utilisateur décidait de désactiver la personnalisation des annonces sur la recherche Google, un des cookies publicitaires demeurait stocké sur son ordinateur, ce qui ne permettait pas le respect du mécanisme d’opposition.

La notoriété est une circonstance aggravante
Google LLC, établie en Californie, a été condamnée au paiement d’une amende de 60 millions d’euros, et Google Ireland LTD, établie à Dublin, de 40 millions d’euros. Comme pour Amazon, la notoriété et la portée du moteur de recherche Google Search en France ont été des facteurs aggravants de la sanction, puisque la société tire des revenus publicitaires considérables indirectement générés à partir des données collectées par les cookies publicitaires. La refonte du site google.fr en septembre 2020 – en dépit du fait que la Cnil a relevé qu’aucun cookie n’était désormais déposé avant que l’utilisateur n’ait donné son consentement – n’a pas permis d’atténuer le triple manquement à la loi « Informatique et libertés » qui a été retenu, d’autant que le nouveau bandeau d’information ne permettait toujours pas aux utilisateurs résidant en France de comprendre les finalités pour lesquelles les cookies sont utilisés et ne les informait pas du fait qu’ils pouvaient refuser ces cookies.

La Cnil a sanctionné sans passer par le RGPD
Il est intéressant de relever un point de droit habile de la part de la Cnil dans ses délibérations. En effet, l’autorité ne s’est pas fondée sur le règlement général des données personnelles (RGPD) – pourtant en vigueur au niveau européen depuis le 25 mai 2018 – mais sur la directive européenne « ePrivacy » (3), transposée à l’article 82 de la loi française « Informatique et libertés », laquelle a explicitement vocation à s’appliquer aux cookies. En effet, cette directive – ayant également servi de base légale à l’établissement des nouvelles lignes directrices (4) et recommandations (5) de la Cnil en matière de cookies – prévoit en son article 5.3 que : « Les Etats membres garantissent que l’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition que l’abonné ou l’utilisateur, soit muni, (…) d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données. (…) ». Cet article, transposé dans des termes similaires en droit français dans la loi « Informatique et libertés », a permis à la Cnil d’éviter l’application du RGPD et de se cantonner à son droit interne.
L’intérêt est double : d’une part, l’éviction du RGPD permet une lecture plus simple des règles en matière de cookies, pour lesquelles un seul texte fait référence, à savoir la loi « Informatique et liberté ». D’autre part, l’exclusion du RGPD a permis au gendarme français des données personnelles de se considérer comme territorialement compétente pour contrôler et sanctionner les cookies déposés par Amazon et Google sur les ordinateurs des utilisateurs résidant en France. Si le RGPD avait été applicable, le principe de « guichet unique » aurait été mis en place. En pareil cas, l’autorité chef de file qui envisage de prendre une décision à l’égard de traitements transfrontaliers de données, à savoir à l’encontre d’une entreprise établie dans plusieurs Etats de l’Union européenne (UE), aurait dû se charger de coordonner la prise de décision avec les autres autorités concernées par le traitement. En d’autres termes, pour pouvoir sanctionner Amazon et Google, la Cnil aurait dû s’accorder avec tous les pays de l’UE dans lesquels les entreprises sont présentes, à savoir les Vingt-sept… Autant dire : mission impossible ! Au contraire, la Cnil a décidé de se fonder uniquement sur le droit national et sur l’article 3 de la loi « Informatique et libertés » pour juger que le dépôt de cookies a été effectué dans le cadre des activités d’Amazon France et de Google France, lesquelles sont constituées sur le territoire français. Ces sanctions, qui se veulent exemplaires (quoique relatives au regard du chiffre d’affaires de ces « GAFA »), s’expliquent par l’influence de ces sociétés sur les internautes, lesquels seraient plus 50 millions selon la Cnil à avoir été affectés par ces pratiques. Ces sanctions infligées par le gendarme français des données personnelles n’ont rien de surprenant en ce qu’elles s’inscrivent dans la droite lignée des directives prises depuis l’été 2019 relatives aux cookies, et mises à jour le 1er octobre 2020, aux termes desquelles la Cnil rappelle deux règles fondamentales visant à la protection des internautes. La première est l’information : avant une acceptation des cookies, le site internet doit informer de façon claire et synthétique la finalité poursuivie pour la collecte de ces cookies (publicité, réseaux sociaux, contenu ciblé etc.).
La seconde est un refus aussi simple qu’une acceptation : l’internaute doit pouvoir refuser les cookies aussi facilement qu’il lui est proposé de les accepter. Par conséquent, si un seul clic est mis en place pour accepter les cookies, le même procédé aussi rapide doit être mis en place par les éditeurs pour pouvoir les refuser. Sur ce fondement, la Cnil dispose donc d’une série d’outils juridiques pour sanctionner les dépôts automatiques de cookies ou des comportements peu clairs des éditeurs en matière de recueil de consentement ou d’information. En complément de ces amendes administratives, la Cnil a également adopté une injonction sous astreinte à l’encontre d’Amazon et de Google, afin que les sociétés procèdent à une information des personnes conforme à l’article 82 de la loi « Informatique et libertés » dans un délai de trois mois à compter de la notification. Dans le cas contraire, les sociétés s’exposeront à partir de mars 2021 au paiement d’une astreinte de 100.000 euros par jour de retard. Amazon et Google ont ainsi trois mois pour mettre de nouveau à jour leur site internet et en particulier les bandeaux d’information d’accès aux différents sites.

A partir de fin mars 2021, la Cnil sévit
Gardons en mémoire qu’à la suite de la publication des lignes directrices de la Cnil et de ses recommandations le 1er octobre 2020, il a été laissé six mois – soit jusqu’à fin mars 2021 (6) – aux différents acteurs concernés, principalement les éditeurs ou hébergeurs de sites Internet, pour se conformer aux règles édictées, qui sont identiques à celles rappelées à Amazon et Google. Amazon et Google n’ont que trois mois – jusqu’à fin mars également – pour se mettre en conformité, sous peine d’une lourde astreinte en cas de défaut. Ainsi, à partir du printemps prochain, tous les éditeurs de sites Internet – gros ou petits – seront soumis en France aux mêmes règles et risques de sanction. @