Archives de l’auteur : Charles de Laubier

A propos Charles de Laubier

Rédacteur en chef de Edition Multimédi@, directeur de la publication.

L’AFDPM refuse Amazon, Alibaba et Cdiscount

Publié le par

En fait. Le 14 février, l’Alliance française des places de marché (AFDPM) – fondée en octobre 2022 par Back Market, eBay, Etsy, ManoMano et Rakuten – a annoncé que Leboncoin, Vinted et Ankorstore l’avaient rejointe comme nouveaux membres. En revanche, Amazon, Alibaba ou Cdiscount ne sont pas les bienvenus.

En clair. Amazon a confirmé à Edition Multimédi@ ne pas être membre de l’Alliance française des places de marché (AFDPM). Mais le géant du e-commerce est adhérent de bien d’autres organisations ou fédérations professionnelles telles que la Fédération du e-commerce et de la vente à distance (Fevad), l’Alliance française des industries du numérique (Afnum), l’Alliance Digitale (issue du rapprochement de Mobile Marketing Association et d’IAB France) ou encore l’Union TLF (Transport et Logistique de France).
Amazon, pourtant numéro une mondiale des plateformes de e- commerce et première aussi en France selon Médiamétrie, n’est pas la seule à ne pas être membre de l’AFDPM cofondée en octobre 2022 par Back Market, eBay, Etsy, ManoMano et Rakuten. Ne sont pas adhérents de cette alliance Cdiscount (groupe Casino), numéro trois des plateformes de e-commerce en France (derrière Amazon et Leboncoin), mais aussi le chinois Alibaba et sa plateforme AliExpress. Et pour cause. « L’AFPDM vise à rassembler des places de marché qui n’ont pas d’activité significative de vente directe de biens, afin de se concentrer sur les enjeux propres au statut d’intermédiaire, et qui contribuent au développement de l’économie française notamment s’agissant des vendeurs présents sur ces plateformes. Seules les places de marché remplissant ces critères ont vocation à rejoindre l’association », nous a répondu le président de cette nouvelle alliance, Sébastien Duplan, par ailleurs directeur des affaires publiques de ManoManon.
Les « marketplaces » ne doivent donc pas faire de vente en propre ni concurrencer leurs vendeurs tiers. « Nous ne serons jamais rejoints par des acteurs comme Amazon ou Cdiscount », avait-il précisé dans LSA (1). Si l’AFDPM se veut « une structure à laquelle les pouvoirs publics et l’ensemble de l’écosystème e-commerce peuvent s’adresser », elle entretient la division face au gouvernement qui, lui, vient de créer le Conseil national du commerce (CNC) présidé par Olivia Grégoire, ministre déléguée en charge des PME, du Commerce, de l’Artisanat et du Tourisme (2). Dotée de 24 millions d’euros pour financer cette transformation en 2023, cette instance gouvernementale – dont la première réunion a eu lieu assez discrètement le 9 décembre dernier (3) – entend faire des propositions « dès juin 2023 » pour faire évoluer le secteur du commerce en France. @

Taxe GAFA (OCDE) : convention multilatérale en vue

Publié le par

En fait. Les 24 et 25 février, s’est tenue la première réunion des ministres des Finances et des gouverneurs des banques centrales du G20, lequel avait lieu en Inde à Bangalore. Il a été question de la future taxe « GAFA » de l’OCDE qui s’appliquera une fois la « convention multilatérale » signée par 138 pays. Fin 2023 ?

En clair. L’« accord historique » du 8 octobre 2021, arraché à 136 pays (aujourd’hui 138) par l’Organisation de coopération et de développement économiques (OCDE) sur les 140 qui se sont engagés auprès d’elle à lutter contre l’évasion fiscale et les paradis fiscaux (1), n’a pas encore produit tous ses effets. Le « pilier 2 » de cet accord – à savoir un taux d’imposition de 15 % minimum sur le bénéfice des multinationales (GAFAM compris) réalisant au moins 750 millions d’euros de chiffre d’affaires annuel – a été transposé par la plupart des pays, y compris par l’Union européenne avec la directive du 14 décembre 2022 et applicable « au plus tard le 31 décembre 2023 » (2). Pour des pays comme la France et les Etats-Unis, où l’impôt sur les sociétés est respectivement de 25 % (15 % pour les PME) et 21 %, cela ne change rien.
En revanche, le « pilier 1 » de l’accord « OCDE » piétine. Il vise particulièrement les GAFAM, lesquels seront taxés à hauteur de 25 % de leur bénéfice taxable (au-delà d’un seuil des 10 % de profits, pour que ces sommes soient réattribuées aux pays concernés selon une clé de répartition en fonction des revenus générés dans chacun de ces pays (3). Mais cette réaffectation de l’impôt collecté auprès de ces « grands champions » de la mondialisation et de la dématérialisation nécessite une « convention multilatérale » (CML) que doivent signer chacun des 138 pays ayant à ce jour accepté la déclaration du 8 octobre 2021 (4). Aux Etats-Unis, ce texte devra être ratifié par les deux tiers des sénateurs américains – ce qui n’est pas gagné au pays des GAFAM ! L’Inde, qui reçoit cette année le G20 à Bangalore, bloque tant que les pays en développement ne seront pas aidés financièrement dans la mise en œuvre. Tandis que l’Arabie saoudite veut des exceptions.
C’est au sein de l’instance appelée « Cadre inclusif OCDE/G20 sur le BEPS » (5), chargée de remédier à l’évasion fiscale et aux paradis fiscaux, que se joue l’avenir de la fiscalité numérique des géants du Net. La CML, soumise à signature jusqu’au 31 décembre 2023, obligera dès son entrée en vigueur la sup- pression des « taxes GAFA » instaurées dans leur coin par certains pays comme la France, l’Espagne ou le Royaume-Uni. La France, qui fait « cavalier seul » depuis 2019 (3 % du chiffre d’affaires publicitaire des GAFA réalisé en France), compte récupérer 670 millions d’euros en 2023, contre 591 millions en 2022. @

Cookies et consentement des internautes : les leçons à tirer des récentes sanctions de la Cnil

Publié le par

En décembre 2021 et en décembre 2022, la Cnil a sanctionné Google, Facebook, TikTok, Apple, Microsoft et Voodoo d’une amende allant de 3 millions à 90 millions d’euros. Il leur est reproché de ne pas faciliter aux internautes le refus des cookies publicitaires aussi facilement que leur acceptation.

Par Vanessa Bouchara et Florian Viel, cabinet Bouchara Avocats

Pour la seconde année consécutive, le mois de décembre aura été riche en décisions rendues par la Commission nationale de l’informatique et des libertés (Cnil) sur la thématique de la gestion des cookies. Alors que le mois de décembre 2021 voyait le gendarme de la protection des données personnelles et de la vie privée prononcer des sanctions administratives contre Google (1) et Facebook (2), ce sont en décembre 2022 les sociétés TikTok (3), Apple (4), Microsoft (5) et Voodoo (6) qui ont fait à leur tour l’objet de sanctions pour des manquements à loi française « Informatique et Libertés » dans le cadre de la gestion de leurs cookies.

Pas de consentement, pas de cookies
Google a eu une amende de 90 millions d’euros, Facebook de 60 millions d’euros, TikTok de 5 millions d’euros, Apple de 8 millions d’euros, Microsoft de 60 millions d’euros et Voodoo de 3 millions d’euros. Il ressort de toutes ces décisions deux principaux manquements récurrents que tout éditeur de site Internet ou d’application mobile devrait appréhender afin de les éviter.
Comme le rappelle la Cnil dans l’ensemble de ces décisions, « tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : 1° de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; 2° des moyens dont il dispose pour s’y opposer » (7). Se faisant, ces accès ou inscriptions – via l’utilisation de traceurs – ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement. Par exception à ce qui précède, il est prévu deux cas spécifiques dans lesquels certains traceurs bénéficient d’une exemption au consentement : soit lorsque ceux-ci ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique, soit lorsqu’ils sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur (8). Ainsi, afin de déterminer si l’utilisation de cookies nécessite le recueil préalable du consentement de l’abonné ou de l’utilisateur, l’éditeur du site en ligne ou de l’application mobile doit déterminer si l’ensemble des finalités associées à ces cookies sont exemptées ou non de consentement. Comme le souligne expressément la Cnil dans ses décisions à l’encontre de respectivement Apple et de Microsoft, à l’appui de ses lignes directrices du 17 septembre 2020 (9), l’utilisation d’un même traceur pour plusieurs finalités, dont certaines n’entrent pas dans le cadre de ces exemptions, nécessite de recueillir préalablement le consentement des personnes concernées. Sans consentement, l’éditeur du service en ligne devra alors s’abstenir d’utiliser ce cookie pour la finalité non exemptée de consentement.
En effet, en considérant que les éventuelles différentes finalités fonctionnelles et non fonctionnelles d’un même cookie sont indissociables les unes des autres, l’utilisation de cette catégorie de traceurs reviendrait alors à détourner les dispositions de la loi « Informatique et Libertés » puisque le consentement de l’utilisateur ne serait plus jamais sollicité préalablement au dépôt de cookies. Par extension à ce qui précède et comme le remarque la Cnil dans sa décision à l’encontre de la société Voodoo, le refus exprès d’un utilisateur à l’utilisation de cookies pour des finalités non exemptées de consentement se doit d’être respecté par l’éditeur du service concerné, à défaut de quoi ce dernier prive d’effectivité le choix exprimé par l’utilisateur.

Aussi facile d’accepter que de refuser
Depuis l’entrée en application du RGPD, le « consentement » prévu à l’article 82 de la loi « Informatique et Libertés » précité doit s’entendre au sens du règlement général européen sur la protection des données (RGPD), c’est-à-dire qu’il doit être donné de manière libre, spécifique, éclairée et univoque, et se manifester par un acte positif clair. Dans ses décisions prononcées à l’encontre des sociétés Google, Facebook, TikTok et Microsoft, la Cnil rappelle que le considérant 42 du RGPD : « Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ». La Cnil précise par ailleurs que, comme mentionné dans ses lignes directrices et ses recommandations (10) datées du même jour, et confirmées par un arrêt du Conseil d’Etat du 19 juin 2020 (11), il doit être aussi aisé de refuser ou retirer son consentement aux traceurs que de le donner.

Inventivité des éditeurs et « dark pattern »
Le caractère « libre » du consentement implique en effet un choix et un contrôle réel pour les personnes concernées (12). Or, dès lors qu’un éditeur rend le refus d’utilisation de cookies non fonctionnels plus complexe que son acceptation, celui-ci incite l’internaute qui souhaite pouvoir visualiser le site Internet ou utiliser l’application rapidement, à accepter ces cookies en le décourageant à les refuser – viciant ainsi son consentement qui n’est plus libre. Les modalités proposées à l’utilisateur pour manifester son choix ne doivent donc pas être biaisées en faveur du consentement, comme l’indique la Cnil dans sa décision à l’encontre de Microsoft.
Par ailleurs, si le refus de l’utilisateur de consentir aux cookies peut potentiellement se déduire de son silence, c’est à la stricte condition que l’utilisateur en soit pleinement informé, et que l’équilibre entre les modalités d’acceptation et de refus soit respecté. Ainsi, si l’utilisation d’un bouton « tout accepter » est commune sur les bandeaux cookies, cette modalité de recueil du consentement de l’utilisateur ne sera licite que si l’utilisateur dispose d’un bouton « tout refuser » présent au même niveau et sur le même format, afin de ne pas altérer la liberté de son choix. La pratique encore commune des éditeurs de sites web ou d’applications mobiles d’opposer un bouton « tout accepter » à un bouton « paramétrer » ou « personnaliser » (ou équivalent), n’est donc pas licite et constitue un « dark pattern », comme l’indique la Cnil dans ses décisions à l’encontre des sociétés Facebook et Google.
A propos de ces « dark pattern », la délégation de la Cnil – qui a effectué un contrôle en ligne sur le site web « facebook.com » – mentionne d’ailleurs une étude universitaire de 2020 intitulée « Les “dark patterns” au temps du RGPD : récupération des fenêtres de consentement et démonstration de leur influence » (13). Les chercheurs – provenant notamment des universités de Cambridge et du MIT – ont démontré que 93,1 % du panel des internautes confrontés à des bandeaux cookies s’arrêtent au premier niveau et que seule une faible minorité d’entre eux vont au second niveau pour personnaliser ou refuser. Cette étude démontrait également que le fait de reléguer le bouton du refus au second niveau augmentait en moyenne de 23,1 points de pourcentage le taux de consentement aux cookies. Enfin, pour que le consentement de l’internaute soit libre, l’éditeur du site ou de l’application doit également veiller à ce que l’information relative à ses cookies et transmise à l’internaute – avant le recueil de son éventuel consentement – soit complète, visible et mise en évidence. Cette information doit en particulier porter sur les finalités poursuivies par les opérations de dépôt et de lecture des cookies, et sur les moyens dont l’utilisateur dispose pour s’y opposer. Une description générale et approximative des finalités de l’ensemble cookies non fonctionnels déposés, par l’utilisation de termes généraux tels que « améliorer votre expérience sur nos sites web » et « à des fins d’analyse et de marketing », est imprécise et constitue un manquement à la loi « Informatique et Libertés » (14), comme le mentionne la Cnil dans sa décision à l’encontre de TikTok.
Il résulte ainsi de ces six décisions, rendues par la Cnil sur les seuls mois de décembre 2021 et 2022, des rappels de règles bien établies ou en phase de l’être depuis l’entrée en vigueur du RGPD (15) – à savoir depuis le 25 mai 2018. Si ces règles sont claires, leur application n’est toutefois pas toujours l’objectif des éditeurs de sites et d’applications qui font preuve d’inventivité pour limiter la chute du taux de consentement de leur utilisateurs ou abonnés (16) à l’utilisation de cookies non fonctionnels, comme le démontre le Comité européen de la protection des données (CEPD) dans son rapport « Cookie Banner » publié le 18 janvier 2023 (17). Ces éditeurs considèrent en effet que leur intérêt à utiliser des cookies non fonctionnels, en particulier à des fins de publicités ciblées ou analytiques, prévaut sur le respect du consentement de leurs utilisateurs ou abonnés, et par extension acceptent le risque de sanctions administratives et d’actions judiciaires qui en résulte.

Sanctions plus rapides et solutions alternatives
Les modifications de la loi « Informatique et Libertés » et de son décret d’application, intervenues le 24 janvier puis le 8 avril 2022, ont pour ambition de permettre une plus grande souplesse dans le recours aux mises en demeure ou aux sanctions. Si la réforme des procédures correctrices de la Cnil (18) – permettant à celle-ci de prononcer des sanctions plus rapidement – ne sera probablement pas suffisante pour convaincre toutes les entreprises et organisations de changer leurs pratiques, le développement de solutions alternatives aux cookies non exemptés de consentement pourrait l’être. @

* Vanessa Bouchara, avocate et spécialiste en droit
de la propriété intellectuelle, a fondé
le cabinet Bouchara Avocats (www.cabinetbouchara.com).

Google Analytics, outil de mesure d’audience le plus utilisé au monde : toujours illégal en Europe ?

Publié le par

Il y a un an, la Cnil mettait en demeure une première société française éditrice d’un site web utilisant Google Analytics, jugé incompatible avec le RGPD quant au transfert des données vers les Etats-Unis. Deux autres sociétés ont été aussi épinglées sur les 101 plaintes de l’association Noyb.

Il y a plus de trois mois, Russell Ketchum (photo de gauche), directeur de Google Analytics, confirmait qu’Universal Analytics sera remplacé 1er juillet 2023 par la version 4 de Google Analytics (GA4), tandis qu’« Universal Analytics 360 » sera, lui, finalement prolongé jusqu’au 1er juillet 2024 (1), soit au-delà du 1er octobre 2023 initialement prévu (2). Quésaco ? Universal Analytics est la version basique et gratuite de l’outil de mesure d’audience le plus utilisé au monde par des sites web et des applications mobiles.

Le transfert des données vers les USA
Google Analytics détient en effet 86,1 % de parts de marché au 7 février 2023 en étant utilisé par 56,5 % de tous les sites web, selon W3Techs, suivi par Facebook Pixel et de bien d’autres analyseurs de trafic (3). « Universal Analytics 360 » est, elle, la version premium payante de Google Analytics destinée principalement aux grandes entreprises. Edition Multimédi@ a demandé à Google si GA4 répondait aux préoccupations des Européens sur la protection de leur vie privée, conformément au règlement général sur la protection des données (RGPD), et notamment aux mises en demeure prononcées par la Cnil en décembre 2021 et en décembre 2022 ? « Nous avons en effet récemment introduit de nouvelles fonctionnalités pour Google Analytics 4 qui permettent par exemple aux sites web de ne pas enregistrer ni stocker les adresses IP via GA4, ou encore de minimiser les données collectées concernant l’utilisateur, ce qui peut ainsi aider à répondre aux préoccupations d’identification des utilisateurs. Cependant, le véritable problème au cœur de tout cela reste les transferts de données entre l’Union européenne et les Etats-Unis qui manquent d’un cadre juridique stable pour les entreprises européennes et américaines », nous a répondu le géant du Net. Et d’ajouter : « Nous considérons que l’Executive Order récent[d’octobre 2022, ndlr] de la Maison Blanche est une étape importante dans ce travail » (4). De quoi rassurer les éditeurs de sites web et d’applis mobiles utilisant Google Analytics et les « Cnil » en Europe qui les surveillent voire les sanctionnent ? Rien n’est moins sûr. Il y a un an en France, le 10 février 2022, la Cnil mettait en demeure la toute première société pour non-respect du RGPD pour l’utilisation de Google Analytics pour mesurer son audience web (5). La Cnil considère implicitement que Google Analytics est ni plus ni moins illégal au regard du RGPD pour deux motifs principaux : les mesures mises en place par Google ne sont pas suffisantes pour exclure la possibilité d’un accès aux données de résidents européens ; les données des internautes européens sont donc transférées illégalement vers les Etats-Unis par le biais de ce même outil. Cette première décision de la Cnil a été publiée il y a un an, mais de façon anonymisée, pour l’exemple (6). Mais il s’agit de l’une des trois sociétés françaises utilisant Google Analytics contre lesquelles l’organisation autrichienne Noyb dirigée par Max Schrems (photo de droite) avait déposé plaintes – parmi un total de 101 plaintes (7) déposées en août 2020 – auprès des « Cnil » européennes, dénonçant des transferts illégaux de données à caractère personnel vers les Etats-Unis.
La Cnil en France avait ainsi été destinataire de trois plaintes à l’encontre de respectivement Decathlon, Auchan et Sephora. Parallèlement, concernant cette fois l’outil Facebook Connect, la Cnil était aussi saisie de trois autres plaintes à l’encontre de Free Mobile, Leroy Merlin et Le Huffington Post. Après sa première décision concernant Google Analytics, la Cnil mettra également en demeure les deux autres sites web mis en cause (parmi Decathlon, Auchan et Sephora). Ce dont se félicitera à nouveau la Noyb le 5 avril 2022 dans un communiqué où sont mises en ligne les deux autres décisions de la Cnil, là aussi anonymisées (8). Ces trois sociétés disposaient d’un délai d’un mois – renouvelable à leur demande – pour se mettre en conformité et justifier cette conformité auprès de la Cnil.
Mais la Cnil n’a pas été la première à épingler les éditeurs de services en ligne qui utilisent Google Analytics. Son homologue autrichienne – la Datenschutzbehörde (DSB) – avait ouvert la voie deux semaines avant dans une décision inédite datée du 22 décembre 2021 et considérée comme « révolutionnaire » par la Noyb (9).

L’Italie, la Grèce mais pas l’Espagne
Ce fut la première fois en Europe que l’utilisation de Google Analytics est considérée comme une violation du RGPD. D’autres décisions ont été prises par d’autres autorités en Europe – la Grèce par décision de l’APD de janvier 2022 (10) et l’Italie par décision de la GPDP de juin 2022 (11) – à l’encontre de l’utilisation de « GA ». En revanche, la « Cnil » espagnole – l’AEDP – n’a pas suivi ni ses homologues européennes ni la CEPD en publiant le 15 décembre 2022 une décision rejetant la plainte de Noyb (12). Ces premières décisions sur les 101 plaintes déposées par Noyb faisaient suite à la décision de 2020 dite « Schrems II » de la Cour de justice de l’Union européenne (CJUE) estiment que l’utilisation des services Internet américains violait le RGPD, car les lois de surveillance américaines exigent que les Google, Facebook et autres Twitter fournissent aux autorités américaines des détails personnels sur leurs utilisateurs, mêmes Européens.

Le spectre de la loi américaine FISA
Par exemple, la loi américaine FISA – Foreign Intelligence Surveillance Act – autorise expressément la NSA – National Security Agency – à collecter les données personnelles des utilisateurs situés hors des Etats-Unis si ces data sont stockées sur des serveurs américains. Autre texte américain, présidentiel celui-ci : l’OE – Executive Order – numéro 12.333 qui renforce les services de renseignement aux Etats-Unis depuis Ronald Reagan et George W. Bush. C’est pour ces raisons que la CJUE avait annulé en 2020 l’accord de transfert « Privacy Shield » (décision « Schrems II » de 2020), après avoir annulé l’accord précédent « Safe Harbor » (décision « Schrems I » de 2015). Cela provoqua une onde de choc pour les GAFAM qui les secouent encore aujourd’hui (13). « Nous nous attendons à ce que des décisions similaires tombent progressivement dans la plupart des Etats membres de l’UE. Nous avons déposé 101 plaintes dans presque tous les Etats membres et les autorités [les « Cnil » européennes, ndlr] ont coordonné la réponse », s’était félicité Max Schrems. Il est prêt à attaquer à nouveau devant la CJUE la nouvelle décision sur le transfert des données « UE-USA » (14) publiée par la Commission européenne le 13 décembre dernier (15). Dans la foulée de la décision de la DSB en Autriche, le Contrôleur européen de la protection des données (CEPD) – regroupant les « Cnil » européennes – avait également rendue une semaine avant une décision commune similaire (16). S’il devait y avoir sanction, le RGPD prévoit qu’elle peut aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise du Net.
C’est justement parce que Google Analytics est largement utilisé par une écrasante majorité d’éditeurs de services en ligne que la Cnil avait décidé d’anonymiser ses trois décisions. « Il ne paraissait pas utile de citer le nom d’un éditeur de site en particulier, l’usage de cet outil étant très répandu. L’objectif est que l’ensemble des responsables de traitement utilisant cet outil se mette en conformité », justifiait ainsi le gendarme des données personnelles. Il avait d’ailleurs mis en garde tous les éditeurs concernés : « Tous les responsables de traitement utilisant Google Analytics d’une façon similaire à ces organismes doivent considérer dès à présent cette utilisation comme illégale au regard du RGPD. Ils doivent donc se tourner vers un prestataire proposant des garanties suffisantes de conformité ». D’après la Cnil, les trois sociétés mises en demeure avaient établi avec Google des clauses contractuelles types, proposées par défaut. Or ces dernières ne peuvent assurer seules un niveau de protection suffisant en cas de demande d’accès d’autorités étrangères, notamment si cet accès est prévu par des lois locales. En réponse au questionnaire envoyé par la Cnil, Google a indiqué que l’ensemble des données collectées par le biais de Google Analytics était hébergé aux Etats-Unis. Néanmoins, avait mentionné le gendarme français des données personnelles le 7 juin 2022, « Google avait indiqué avoir mis en place des mesures supplémentaires d’ordre juridique, organisationnel et technique, qui ont cependant été jugées insuffisantes pour assurer la protection effective des données personnelles transférées, en particulier contre des demandes d’accès aux données par des services de renseignement états-uniens » (17).
La Cnil avait en outre fait savoir que Google avait indiqué utiliser des mesures de pseudonymisation (18), mais non d’anonymisation (19). « Google propose bien une fonction d’anonymisation des adresses IP, a constaté la Cnil, mais celle-ci n’est pas applicable à tous les transferts. En outre, les éléments fournis par Google ne permettent pas de déterminer si cette anonymisation a lieu avant le transfert aux Etats-Unis ». Autre problème que pose Google Analytics : la réidentification de l’internaute. En effet, la seule utilisation d’identifiants uniques permettant de différencier les individus peut amener à rendre les données identifiables, en particulier lorsqu’elles sont associées à d’autres informations telles que les métadonnées relatives au navigateur et au système d’exploitation.

Data et navigation : le risque de suivi demeure
De plus, l’utilisation de Google Analytics avec d’autres services de Google, notamment marketing, peut amplifier le risque de suivi. « En effet, explique la Cnil, ces services, très utilisés en France, peuvent permettre un recoupement de l’adresse IP et ainsi de retracer l’historique de navigation de la majorité des internautes sur un grand nombre de sites ». Quant au chiffrement de données par Google, il s’est avéré insuffisant car Google procède lui-même au chiffrement des données et a l’obligation d’accorder l’accès ou de fournir les données importées qui sont en sa possession, y compris les clés de chiffrement nécessaires pour les décrypter. @

Charles de Laubier

La réalité augmentée n’augmente pas la rentabilité de Snap malgré la hausse des « snapchatteurs »

Publié le par

Le réseau social Snapchat a beau voir le nombre de ses utilisateurs augmenter de 17 % en 2022, à 375 millions de « snapchatteurs », cela n’empêche pas la société Snap d’augmenter son déficit. Et lors de son « Investor Day » le 16 février, elle devra convaincre sur son avenir en réalité augmentée.

En publiant ses résultats 2022 le 31 janvier, la société californienne Snap a déçu, malgré la hausse de 17 % de ses utilisateurs, à 375 millions, et un objectif d’atteindre entre 382 et 384 millions de « snapchatteurs » d’ici la fin de ce premier trimestre 2023. Pour l’exercice de l’an dernier, le chiffre d’affaires est de 4,6 milliards de dollars, certes en hausse de 12 % sur un an, mais les pertes nettes – 1,4 milliard de dollars – se sont creusées de… 193 %. Son cours de Bourse a décroché à Wall Street et sa capitalisation n’est plus de que 19,3 milliards de dollars (au 09-02-23), bien loin du pic des 54 milliards de dollars d’octobre 2020.

R&D : 2,1 milliards de dollars en 2022
Bien qu’ayant terminé 2022 avec 3,9 milliards de dollars de cash, Snap est par ailleurs très endetté, à hauteur de 3,7 milliards avec une première échéance de remboursement en 2025. De tout cela, le PDG cofondateur de Snap, Evan Spiegel (photo), devra s’en expliquer devant les investisseurs lors de l’« Investor Day » qu’il organise le 16 février prochain dans ses locaux de Santa Monica (Californie). Dans la lettre aux actionnaires datée du 31 janvier (1), l’entreprise a d’ores et déjà prévenu que « le chiffre d’affaires du premier trimestre 2023 devrait être en baisse, entre – 10 % et – 2 % sur un an ».
Snap avait lancé au troisième trimestre 2022 un plan de restructuration qui prévoyait « une réduction d’environ 20 % de [son] effectif mondial » – dont 1.300 suppressions d’emploi en août dernier. Les productions « Snap Originals » et le drone Pixy ont été sacrifiés. Au 31 décembre 2022, ses effectifs étaient de 5.288 de salariés. « Nous sommes en voie de réaliser les 500 millions de dollars de réduction des coûts d’ici le premier trimestre de 2023 », assure le groupe au fantôme (2).
Parallèlement, Snap ne lésine pas sur les dépenses de recherche et développement (R&D) qui s’élèvent à 2,1 milliards de dollars rien qu’en 2022, en forte hausse de 34,7 % sur un an. « Nos efforts de R&D sont axés sur le développement de produits, la technologie publicitaire et l’infrastructure à grande échelle », précise l’entreprise dans son rapport annuel publié par la SEC, le gendarme boursier américain, le 1er février dernier (3). Pour se différencier des Facebook, Instagram et autres TikTok, Snap mise gros sur la réalité augmentée (RA) dont l’écosystème dépasse à ce jour plus de 300.000 créateurs et développeurs qui ont construit plus de 3 millions de « lentilles » de RA (« lens » en anglais) pour permettent la créativité et l’expression de soi. Snapchat s’ouvre directement sur l’appareil photo (« camera ») du smartphone ou de la tablette, voire la webcam de l’ordinateur sur le Web, ce qui facilite la création d’un « snap » et l’envoi de photos et de vidéos à des amis (via messagerie, « map » ou « stories »). Snap vend aussi depuis septembre 2016 – et malgré l’échec de la première version – des lunettes de RA, connectées en Bluetooth et appelées « Spectacles », utilisables sur son réseau social (4). Les lentilles se distinguent des « filtres » (« filter » en anglais) par le fait que les premières sont des animations virtuelles – autrement dit un filtre à réalité augmentée. C’est là que le réseau social au fantôme, très prisé de la génération Z, se distingue de ses concurrents. Y compris sur le marché publicitaire d’où Snap tire l’essentiel de ses revenus : ses offres « Snap Ads » et « AR Ads » proposent aux annonceurs et partenaires des filtres sponsorisés (« sponsored filters ») et des lentilles sponsorisées (« sponsored lenses »), pour peu que les marques se familiarisent avec ces technologies visuelles – surtout en RA. « Nous avons ajouté de nouvelles fonctionnalités et capacités à Lens Studio, notre logiciel de développement de réalité augmentée, qui permettent des expériences plus riches et plus immersives, et aident à approfondir l’engagement », assure Snap.
Mais le contexte macroéconomique (crise sanitaire, inflation, guerre en Ukraine, …) amène des entreprises à réduire leur budget publicitaire, notamment ceux orientés vers la RA souvent utilisée à titre expérimental. Sans parler du durcissement de la protection des données (fin des cookies tiers) qui limite le ciblage et l’efficacité publicitaire. Les autres acteurs du Net surveillent Snap comme un thermomètre pour prendre la température de la publicité en ligne (5).

Plus de 2 millions d’abonnés à Snapchat+
Lancé au début de l’été 2022 dans plusieurs pays, dont la France, le service par abonnement payant Snapchat+ – mais toujours avec publicités – a dépassé les 2 millions de souscripteurs (4,59 euros par mois, ou moins selon la durée de l’engagement), lesquels bénéficient d’exclusivités, d’expérimentations et d’avant-premières. L’avenir de Snapchat est entre les mains d’Evan Spiegel, qui détient 53,1 % des droits de vote de l’entreprise mais seulement 3 % du capital de Snap (6) aux côtés des 17,6 % du chinois Tencent. @

Charles de Laubier