Abonnements payants de Facebook et Instagram en Europe : Meta se heurte aux exigences du RGPD

Pour Instagram ou Facebook sans publicités, il en coûte désormais aux Européens 9,99 euros par mois sur le Web et même 12,99 euros sur application mobile. C’est cher payé pour ne plus être ciblé dans sa vie privée. Et le consentement « libre » des utilisateurs exigé par le RGPD est-il respecté ?

(Cet article juridique a été publié dans EM@ n°312 du 18 décembre 2023. Le 11 janvier 2024, l’organisation Noyb a annoncé avoir déposé plainte contre Meta)

Par Vanessa Bouchara (photo), cabinet Bouchara Avocats

Cinq ans après l’entrée en vigueur du règlement général européen sur la protection des données (RGPD), l’entreprise américaine Meta Platforms a mis un place un système d’abonnement qui apparaît comme susceptible de rassurer les utilisateurs désireux d’échapper à la publicité, notamment ciblée. Pourtant, cet abonnement soulève un certain nombre d’interrogations sur la portée et l’effectivité de la protection des données personnelles en Europe. Pendant des années, Facebook affichait fièrement sur sa page d’accueil sa gratuité : « C’est gratuit (et ça le sera toujours) ». En 2019, la mention disparaissait dans le sillage des déclarations plus nuancées de son cofondateur Mark Zuckerberg qui, auditionné devant le Congrès américain, affirmait « qu’il y aurait toujours une version gratuite de Facebook ». Quatre ans plus tard, en novembre 2023, le groupe Meta propose, en parallèle d’une version gratuite, un abonnement payant pour ses services Instagram et Facebook, à 9,99 ou 12,99 euros, pour ses utilisateurs européens.

A la recherche d’une base légale adéquate
La mise en place de cet abonnement pourrait être une réponse aux résultats financiers décevants de Meta en 2022. En effet, le groupe de Menlo Park avait enregistré pour la première fois une baisse de son chiffre d’affaires (1). Or, il semblerait qu’il ne s’agisse pas d’une réponse strictement financière. En effet, il pourrait également s’agir de répondre au contexte normatif relatif aux géants du numérique, qui est en pleine ébullition à l’échelle européenne. Digital Markets Act (DMA), Digital Services Act (DSA), AI Act (AIA), futur Digital Networks Act (DNA), … En vigueur ou en discussion, ces nouveaux textes feraient presque oublier le RGPD, sa portée, et les sanctions infligées à ce titre à Meta, à hauteur d’environ 2,4 milliards d’euros à ce jour. La maison mère de Facebook et Instagram ne s’explique pas vraiment sur sa décision d’instaurer un abonnement, si ce n’est par un bandeau informatif à destination de ses utilisateurs européens, en évoquant un « changement de lois » le contraignant à proposer un Continuer la lecture

La Quadrature du Net n’a pas réussi à « faire tomber » l’ex-Hadopi devant le juge européen

L’association de défense des libertés fondamentales La Quadrature du Net n’a pas convaincu l’avocat général de la Cour de Justice européenne (CJUE) que l’Hadopi – devenue, avec le CSA en 2022, l’Arcom – agissait illégalement dans le traitement des données personnelles pour la riposte graduée.

Comme la Cour de Justice de l’Union européenne (CJUE) suit souvent – à près de 80% selon les statistiques – les conclusions de son avocat général, il y a fort à parier que cela sera le cas dans l’affaire « La Quadrature du Net versus Hadopi ». En l’occurrence, le 28 septembre 2023, l’avocat général de la CJUE – le Polonais Maciej Szpunar (photo) – conclut que la conservation et l’accès à des données d’identité civile, couplées à l’adresse IP utilisée, devraient être permis lorsque ces données constituent le seul moyen d’investigation permettant l’identification d’auteurs d’infractions exclusivement constituées sur Internet.

15 ans de combat contre la loi Hadopi
La Quadrature du Net (LQDN) est donc en passe de perdre un combat qu’elle a engagé il y a quinze ans – contre la loi Hadopi et contre l’autorité administrative indépendante éponyme pratiquant la « réponse graduée » à l’encontre de pirates présumés sur Internet de musiques et de films ou d’autres contenus protégés par le droit d’auteur.
L’association française défenseuse des libertés fondamentales à l’ère du numérique était repartie à la charge contre l’Hadopi. Et ce, en saisissant en 2019 le Conseil d’Etat – avec FDN (1), FFDN (2) et Franciliens.net – pour demander l’abrogation d’un décret d’application de la loi « Hadopi » signé par le Premier ministre (François Fillon à l’époque), le ministre de la Culture (Frédéric Mitterrand) et la ministre de l’Economie (Christine Lagarde). Ce décret « Traitement automatisé de données à caractère personnel » (3) du 5 mars 2010 permet à l’ex-Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hadopi) – devenue l’Arcom (4) en janvier 2022 par fusion avec le CSA – de gérer un fichier « riposte graduée » constitué de données obtenues auprès des ayants-droits (les adresses IP) et des fournisseurs d’accès à Internet (l’identité civile).
L’association LQDN a considéré devant le Conseil d’Etat que « la riposte graduée est doublement contraire au droit de l’Union européenne ». « D’une part, elle repose sur un accès à l’adresse IP des internautes accusés de partager des fichiers. D’autre part, elle implique l’accès à l’identité civile de ces internautes. Or, la CJUE estime que seule la criminalité grave permet de justifier un accès aux données de connexion (une adresse IP ou une identité civile associée à une communication sont des données de connexion). L’accès par l[‘]Hadopi à ces informations est donc disproportionné puisqu’il ne s’agit pas de criminalité grave » (5). A ces griefs portés par LQDN à l’encontre de la réponse graduée s’ajoute le fait que ce même décret oblige les opérateurs télécoms – Orange, SFR, Bouygues Telecom et Free principalement – et les hébergeurs à conserver pendant une durée d’un an les données de connexion de l’ensemble des internautes, à savoir leurs identifiants, la date, l’heure et l’objet de leurs consultations. C’est par cette conservation généralisée des données de connexion – en particulier de l’adresse IP considérée comme une donnée personnelle depuis une décision (6) de la Cour de cassation en 2016 (subordonnant leur collecte à une déclaration préalable auprès de la Cnil) – que l’Hadopi (devenue Arcom) peut identifier les internautes « flashés » sur le Net. Rappelons que depuis près de quinze ans maintenant, ce sont les organisations de la musique (SCPP, Sacem/SDRM et SPPF) et du cinéma (Alpa) qui fournissent à l’Hadopi-Arcom les millions d’adresses IP collectées par la société nantaise Trident Media Guard (TMG) sous le contrôle de la Cnil (7).
Or, n’a cessé de rappeler LQDN, ce régime de conservation généralisée des données de connexion est contraire au droit de l’Union européenne puisque la CJUE elle-même s’est opposées – dans quatre arrêts différents (2014, 2016, 2020 et 2022) – à toute conservation généralisée et indifférenciée des données de connexion, sauf à deux conditions cumulatives : qu’il s’agisse d’affaires de criminalité grave et à la condition qu’il y ait un contrôle préalable de ces accès par une autorité indépendante. LQDN avait « enfoncé le clou », selon sa propre expression, en posant lors de sa saisine du Conseil d’Etat une question prioritaire de constitutionnalité (QPC) pour demander au Conseil constitutionnel de se prononcer sur la conformité à la Constitution d’une loi lorsque celle-ci (loi Hadopi de 2009 et son décret « Traitement automatisé de données à caractère personnel ») est cruciale pour la résolution d’un litige.

Adresse IP : « Petit couac », grande procédure
Dans une décision alambiquée rendue le 20 mars 2020, le Conseil constitutionnel a censuré le mot « notamment » jugé anticonstitutionnelle dans l’article 5 de la loi dite « Hadopi 1 » (8). Les juges du Palais-Royal avaient ainsi ordonné à l’Hadopi de s’en tenir aux seules données personnelles que sont « l’identité, l’adresse postale, l’adresse électronique et les coordonnées téléphoniques » de l’abonné concerné (9). Or dans cette énumération, il n’y a pas l’adresse IP parmi les données personnelles. « Petit couac pour la Hadopi », s’était alors félicitée LQDN. Les quatre associations françaises ont profité de cette brèche pour remonter au créneau juridictionnel en affirmant que l’accès par l’Hadopi- Arcom aux adresses IP des internautes contrevenants est illégal (car il n’y a pas de criminalité grave au sens de la CJUE) et que le décret permettant d’enregistrer ces adresses IP serait sans fondement depuis cette censure partielle du Conseil constitutionnel (l’adresse IP n’étant pas mentionné).

Deux mêmes conclusions de l’avocat général
Pour une nouvelle audience publique organisée précipitamment par Conseil d’Etat le 3 mai 2021 dans le cadre de cette même affaire (n°433539), les associations LQDN, FDN, FFDN et Franciliens.net ont déposé un nouveau mémoire (10) développant ces deux points susceptibles de « faire tomber » l’Hadopi. « Le Conseil d’Etat a décidé de botter en touche et de transmettre à la CJUE une “question préjudicielle” (c’est-à-dire une question relative à l’interprétation du droit de l’UE) sur l’accès par la Hadopi à l’identité civile à partir de l’adresse IP d’une personne. Rien concernant l’accès à l’adresse IP préalable à l’accès à l’identité civile. Rien non plus concernant la conservation de ces données, alors même que la question de l’accès est intimement liée à celle de la conservation », avait pointé LQDN. Le mémoire, déposé par l’avocat des associations, Alexis Fitzjean Ó Cobhthaigh, conclut que « le décret [“Traitement automatisé de données à caractère personnel” du 5 mars 2010] attaqué a été pris en application de dispositions législatives contraires à la Charte des droits fondamentaux de l’Union européenne […], ainsi qu’à […] la directive [“ePrivacy”] du 12 juillet 2002 en ce qu’il organise l’accès par [l‘Hadopi] à des données de connexion ».
Donc, « le refus, opposé par le Premier ministre, d’abroger ces dispositions, est illégal et ne pourra ainsi qu’être annulé ». A la question préjudicielle transmise par le Conseil d’Etat, l’avocat général de la CJUE Maciej Szpunar avait une première fois – le 27 octobre 2022 (affaire n°C-470/21) – présenté ses conclusions : « L’article 15, paragraphe 1, de la directive [“ePrivacy”], lu à la lumière […] de la Charte des droits fondamentaux de l’Union européenne, […] ne s’oppose pas à une réglementation nationale [la loi Hadopi et son décret contesté en France, ndlr] permettant la conservation […] des données d’identité civile correspondant à des adresses IP […] lorsque ces données constituent le seul moyen d’investigation permettant l’identification de la personne à laquelle cette adresse était attribuée au moment de la commission de l’infraction » (11). Fermez le ban ? Or coup de théâtre, la grande chambre de la CJUE a demandé le 7 mars 2023 le renvoi de cette affaire à l’assemblée plénière. Par cette réouverture de la procédure pour poser des questions orales, notamment sur l’identité civile correspondant à une adresse IP (12) et en présence cette fois du Contrôleur européen de la protection des données (CEPD) et de l’Agence de l’Union européenne pour la cybersécurité (ENISA), l’avocat général Maciej Szpunar a dû « approfondir certains éléments de [son] raisonnement ». Mais ses deuxièmes conclusions présentées le 28 septembre 2023 s’avèrent identiques (13) aux premières du 27 octobre 2022.
Tout ça pour ça, pourrait-on dire. La réponse graduée est donc sur le point – sans préjuger du verdict final de la CJUE – d’être confortée au regard du droit de l’Union européenne, alors que le traitement automatisé de données à caractère personnel de la loi Hadopi de 2009 et de son décret du 5 mars 2010 semblaient « hors-la-loi ». Faut-il rappeler le fonctionnement de la réponse graduée :
Dans un premier temps, et sans contrôle préalable par une juridiction ou une entité administrative, l’adresse IP (donnée personnelle) de l’internaute collectées par les ayants droit est transmise au FAI (14) par l’Arcom (ex-Hadopi) pour obtenir d’eux (Orange, SFR, Bouygues Telecom et Free) l’identité civile de l’internaute présumé « pirate du Net » ;
Dans un second temps, l’Arcom (ex-Hadopi) adresse à ce dernier une recommandation lui enjoignant de s’abstenir de tout nouveau manquement, suivie d’un nouvel avertissement en cas de renouvellement de l’atteinte. S’il n’est pas tenu compte des deux premiers avertissements et qu’une troisième atteinte a lieu, l’Arcom (ex-Hadopi) peut saisir l’autorité judiciaire compétente en vue d’engager des poursuites pénales.
La réponse graduée porte-t-elle atteinte à la vie privée de l’internaute ? Réponse de Maciej Szpunar : « Ainsi que je l’ai souligné, la gravité de l’ingérence que suppose la mise en relation d’une donnée d’identité civile et d’une adresse IP est bien moindre que celle résultant de l’accès à l’ensemble des données de trafic et de localisation d’une personne, dans la mesure où cette mise en relation n’apporte aucun élément permettant de tirer des conclusions précises sur la vie privée de la personne visée ». Ce à quoi l’avocat général ajoute : « Ainsi que je l’ai déjà souligné, (…) l’obtention des données d’identité civile correspondant à une adresse IP est le seul moyen d’investigation permettant l’identification de la personne à laquelle cette adresse était attribuée au moment de la commission de l’infraction en cause ».

Mise en cause de la jurisprudence existante ?
Pour convaincre la CJUE, il précise tout de même que « la solution qu[‘il] propose vise non pas à remettre en cause la jurisprudence existante, mais à permettre, au nom d’un certain pragmatisme, son adaptation en des circonstances particulières et très étroitement circonscrites ». L’affaire semble entendue. A moins que la CJUE ne suivent pas les conclusions de son avocat général, comme cela est le cas dans plus de 20 % des affaires tout de même… A suivre. @

Charles de Laubier

Faut-il appliquer le prix unique du livre aux mangas et webtoons vendus en ligne contre des coins ?

Le Médiateur du livre, Jean-Philippe Mochon, a lancé jusqu’au 14 novembre 2023 une consultation publique sur un projet d’avis concernant l’utilisation de jetons numériques (coins) pour commercialiser des livres (mangas, webtoons, webnovels) sur les plateformes numériques de lecture.

Durant deux mois et jusqu’au 14 novembre, un projet d’avis du Médiateur du livre « sur l’utilisation de jetons numériques (« coins ») pour commercialiser des livres sur les plateformes numériques de lecture (mangas, webtoons, …) » est soumis à consultation publique. Il contient dix recommandations pour que la loi de 2011 sur le prix du livre numérique (1) s’applique à la vente en ligne des mangas numériques, voire des webtoons, lorsque les plateformes Internet (Webtoon/Naver (2), Mangas.io, Piccoma/Kakao, Ducktoon/UHM (3), Ono/Média-Participations, …) les vendent contre de la monnaie numérique de type coin.

Trois « questions délicates » se posent
Pour Jean-Philippe Mochon (photo), Médiateur du livre, les jetons numériques sont compatibles avec la loi sur le prix unique du livre numérique mais cela pose des « questions juridiques délicates » – au nombre de trois :
Prix de vente en coins fixé par l’éditeur ? L’article 2 de la loi «Prix unique du livre numérique» dispose que «toute personne établie en France qui édite un livre numérique dans le but de sa diffusion commerciale en France est tenue de fixer un prix de vente au public pour tout type d’offre à l’unité ou groupée (…) ». Si les contrats conclus entre éditeur et plateforme établissent un prix fixe en euros du chapitre ou du tome versé à l’éditeur ainsi qu’un prix fixe du jeton, l’éditeur qui fixe ainsi le prix de vente au public (conformément à la loi de 2011) peut perdre la maîtrise de ce prix en euros lorsque le prix du livre acquitté par le lecteur est déterminé par la plateforme en termes de prix du jeton et d’attributions gratuites de jetons. Cette perte de maîtrise du prix unique numérique des mangas, webtoons et autres webnovels contreviendrait à la loi.
Comment respecter le « prix unique » numérique ? Bien que la loi « Prix unique du livre numérique » n’utilise pas l’expression « prix unique », elle parle de « prix de vente qui s’impose ». Or le recours aux jetons est censé respecter non seulement le prix fixé par l’éditeur mais aussi le prix unique. Mais si le prix affiché en coins est le même pour tous les clients d’une plateforme, il n’en va pas de même du prix en euros, qui dépendra du prix auquel chaque client aura luimême acquis ses jetons numériques, à savoir en fonction de son historique d’achats de jetons et du nombre de jetons attribués gratuitement. Quant à la notion de prix unique, elle renvoie à l’idée de prix identique d’un même livre sur toutes les plateformes. Cependant, le prix de vente au public acquitté sur chacune d’entre elles dépendra de ses pratiques commerciales en matière de prix du jeton et d’attribution gratuite de jetons.
Y a-t-il transparence du prix pour l’acheteur ? Toujours dans cet article 2 de la loi de 2011, il y a une obligation de transparence tarifaire : « toute personne établie en France qui édite un livre numérique dans le but de sa diffusion commerciale en France est tenue de fixer un prix de vente au public pour tout type d’offre à l’unité ou groupée. Ce prix est porté à la connaissance du public ». Or, constate le Médiateur du livre, l’acheteur – a priori – ne reçoit d’information explicite de la plateforme que sur le prix en jetons et celui-ci ne se traduit pas de façon immédiate en un prix en euros (cela dépend encore une fois de la manière dont les coins ont été achetés ou reçus gratuitement). Donc, l’obligation de transparence du prix pour l’acheteur ne serait pas remplie, tout comme les barèmes de prix de ces offres fixés par l’éditeur et – comme l’indique un décret d’application de 2011 – figurant dans « une base de données rendue accessible » à tout détaillants (4).
Il y a donc matière à « insécurité juridique » pour les plateformes numériques au regard de l’usage qu’elles font des coins (ou tokens) dans le paiement de leur offre de livres numériques. Pour le Médiateur du livre, « seul un juge, s’il en était saisi, pourrait trancher » ces trois questions délicates, auxquelles s’ajoute le problème de la TVA applicable à la vente de jetons utilisés pour acheter des livres numériques : appliquer le taux réduit 5,5 % (livre en métropole) ou bien 20 % (services rendus par voie électronique) ? « Si une incertitude juridique subsistait, elle pourrait mériter d’être levée », estime le Médiateur du livre.

Risque d’obstacle à l’innovation ?
Pour ne pas laisser les plateformes désemparées face à tant d’incertitudes, le projet d’avis du Médiateur du livre – susceptible d’être amendé et complété en fonction des contributions à la consultation publique (5) – fait dix recommandations « pour pleinement assurer le respect de la loi » ou tout du moins afin d’« assurer la conformité à la loi des pratiques de l’ensemble des acteurs sur la base de l’interprétation que celle-ci semble pouvoir appeler, en l’état de l’information du Médiateur du livre ». Pour autant, assure Jean-Philippe Mochon, il ne s’agit pas – avec cette loi « Prix unique du livre numérique » – de faire obstacle à l’innovation ou à la concurrence mais de mettre celles-ci au service du livre, de la lecture et des lecteurs. Objectif : assurer la compatibilité des pratiques de jetons numériques avec la loi sur le prix unique, notamment « en donnant toute la maîtrise du prix à l’éditeur, en évitant les pratiques d’exploitation exclusive par une plateforme ou encore en assurant la transparence des prix pour les lecteurs ».

Dix recommandations pour respecter la loi
Recommandation 1 : veiller à la maîtrise du prix des livres numériques. La fixation d’un prix de vente au public exprimé en jetons ne peut être conforme à la loi que si les modalités de fixation du prix du jeton applicable à chaque offre de livres numériques sont suffisamment maîtrisées par l’éditeur dans le contrat qui le lie à la plateforme. Les caractéristiques de l’offre (à l’unité ou groupée) doivent être précisément fixées par le contrat. « La détermination d’un prix du jeton en euros, d’une part, et d’un prix de l’offre de livres en jetons, d’autre part, est à cet égard un minimum qui doit être complété par des éléments sur les pratiques de la plateforme en matière d’attribution de jetons ». Des prix identiques pourront alors être imposés par les éditeurs pour la commercialisation d’offres identiques sur plusieurs plateformes.
Recommandation 2 : encadrer la distribution des jetons gratuits. L’exercice par les éditeurs de leur prérogative de fixation du prix doit s’accompagner – contractuellement – d’un encadrement des pratiques de distribution gratuite de jetons par les plateformes. « Il n’est pas envisageable qu’une plateforme puisse sans limite attribuer des jetons gratuits qui ont pour effet de diminuer le prix du livre pour le lecteur ». En baissant le prix effectif pris en charge par la plateforme, celle-ci peut ainsi se constituer une clientèle « au risque d’évincer les autres plateformes ». Ce que le Médiateur du livre considère comme « l’aspect le plus nettement problématique de l’usage des jetons au regard de la loi sur le prix du livre numérique ». Car cela ne contribue pas à un prix identique sur toutes les plateformes.
Recommandation 3 : éviter les pratiques d’exclusivité. La loi de 2011 prohibe – a priori – toute pratique de commercialisation exclusive de livres numériques sur une plateforme. Sans préjudice des négociations commerciales, « tout éditeur établi en France est tenu de proposer à la vente les livres numériques qu’il édite à l’ensemble des plateformes qui devront pratiquer le prix qu’il fixe pour l’offre de livres numériques correspondante ». Et aucune partie ne saurait être tenue par une obligation de résultats.
Recommandation 4 : encadrer les offres gratuites et payantes. La gratuité, qui est un prix égal à zéro, doit être fixée par l’éditeur et proposée par celui-ci de façon uniforme pour toutes les offres identiques. Les contrats doivent encadrer aussi bien les offres de lecture gratuite de livres numériques que celles de lecture payante.
Recommandation 5 : assurer la transparence des prix publics. Le prix de vente au public doit être porté à la connaissance des lecteurs. Chaque plateforme assure à chaque lecteur « une information de manière non équivoque, visible et lisible sur le prix de vente qu’il acquitte », en lui indiquant le prix effectif payé pour chaque épisode en fonction du prix auquel il a acquis les jetons utilisés à cet effet.
Recommandation 6 : fixer les mêmes prix sur les plateformes. La description de chaque offre et le prix ou le barème (en cas d’usage collectif) fixé par l’éditeur figure dans une base de données accessible à tous les détaillants (telle que prévue par le décret de 2011). « C’est seulement sur cette base que chaque plateforme pourra s’assurer qu’est bien appliqué, pour toute offre de livres numérique, le prix qui s’impose à elle ».
Recommandation 7 : préciser s’il s’agit de livres homothétiques. La loi de 2011 ne s’applique qu’aux « livres homothétiques ». Le livre est « à la fois commercialisé sous sa forme numérique et publié sous forme imprimée ou [qui] est, par son contenu et sa composition, susceptible d’être imprimé ». Si les mangas peuvent être considérés comme tels, il n’en va pas forcément des webtoons « susceptibles d’être imprimés qu’au prix d’une adaptation plus importante ».
Recommandation 8 : clarifier les règles fiscales applicables. Même si des plateformes pratiquent le paiement en jetons pour les webtoons, mangas ou webnovels en appliquant le taux réduit de TVA à 5,5 % applicable au livre numérique (6), il y a une « incertitude sur le point de savoir si ce taux réduit est bien applicable lorsque la transaction porte sur des jetons qui servent pour acquérir ces services fournis par voie électronique ».
Recommandation 9 : préciser le champ et la portée de la loi. Les deux caractéristiques du champ d’application de la loi de 2011 sont : qu’elle ne s’applique pas à des livres numériques non publiés par des éditeurs établis en France ; que des éditeurs établis en France peuvent céder les droits d’exploitation secondaires à une plateforme, qui devient alors éditrice.
Recommandation 10 : inscrire cette régulation dans la durée. « Les présentes recommandations, rédigées en l’état des informations disponibles et au regard des enjeux d’un marché en rapide mutation, n’épuisent probablement pas le sujet », prévient le Médiateur du livre, qui se dit « prêt en tant que de besoin à accompagner les acteurs du marché dans leur mise en œuvre ».

Un précédent avis similaire en 2015
Quoi qu’il en soit, ce n’est pas la première fois que le Médiateur du livre doit se prononcer sur les plateformes de lecture en ligne (7). Sur l’abonnement illimité et le prix unique du livre numérique, un avis du 9 février 2015 émis par Laurence Engel (photo ci-dessus), Médiatrice du livre à l’époque, avait conclu (8) que « le prix des livres numériques est fixé par les éditeurs ». Les plateformes s’étaient alors mises en conformité avec la loi. @

Charles de Laubier

Chrome, Safari, Edge, Firefox, … : les navigateurs Internet pourraient filtrer, voire censurer

Le projet de loi « Sécuriser et réguler l’espace numérique » sera examiné à l’Assemblée nationale par une « commission spéciale » qui se réunira du 19 au 22 septembre. Parmi les mesures controversées : obliger les navigateurs web à faire la chasse aux contenus illicites, par filtrage ou blocage.

Les navigateurs Chrome de Google, Safari d’Apple, Edge de Microsoft ou encore Firefox de Mozilla sont appelés à lutter contre les sites web et les contenus illicites, au risque de devenir des censeurs de l’Internet. L’article 6 du projet de loi – du gouvernement donc (1) – visant à sécuriser et réguler l’espace numérique (« SREN »). Le texte dans son ensemble a déjà été adopté en première lecture par le Sénat le 5 juillet dernier ; il doit maintenant passer par les fourches caudines d’une « commission spéciale » créée à l’Assemblée nationale. Les réunions pour l’examiner dans ce cadre se tiendront du 19 au 22 septembre (2).

Les navigateurs avertissent voire bloquent
« L’autorité administrative notifie l’adresse électronique du service concerné aux fournisseurs de navigateurs Internet […], aux fins de la mise en œuvre de mesures conservatoires » prévoit l’article 6 du projet SREN. Et de préciser : « La personne destinataire d’une notification prend sans délai, à titre conservatoire, toute mesure utile consistant à afficher un message avertissant l’utilisateur du risque de préjudice encouru en cas d’accès à cette adresse. Ce message est clair, lisible, unique et compréhensible et permet aux utilisateurs d’accéder au site Internet officiel du groupement d’intérêt public pour le dispositif national d’assistance aux victimes d’actes de cyber malveillance ».
Tout en fixant un délai durant lequel apparaîtra le message d’avertissement : « Cette mesure conservatoire est mise en œuvre pendant une durée de sept jours ». De deux choses l’une, alors : soit l’éditeur du service en cause cesse de mettre en ligne le contenu illicite, auquel cas il est mis fin à la mesure conservatoire, soit l’infraction en ligne continue, auquel cas « l’autorité administrative peut, par une décision motivée, enjoindre aux fournisseurs de navigateurs Internet […], aux fournisseurs de services d’accès à internet ou aux fournisseurs de systèmes de résolution de noms de domaine [DNS, ndlr] de prendre sans délai toute mesure utile destinée à empêcher l’accès à l’adresse de ce service pour une durée maximale de trois mois ». Pendant ces trois mois de blocage, destiné à empêcher l’accès à l’adresse du service incriminé, les internautes seront redirigés vers « une page d’information de l’autorité administrative compétente indiquant les motifs de la mesure de blocage ». Mais le blocage peut être prolongée « de six mois au plus » sur avis conforme de la personnalité qualifiée désignée au sein de la Commission nationale pour l’informatique et les libertés (Cnil). Et si cela ne suffit pas, « une durée supplémentaire de six mois peut être prescrite selon la même procédure ». Il est en outre précisé que l’autorité administrative établit « une liste des adresses des services de communication au public en ligne dont l’accès a été empêché » et vérifie cette « liste noire » à l’approche de l’expiration de la durée des trois mois de blocage.
Dans son rapport daté du 27 juin 2023, la commission du Sénat fait remarquer que « le dispositif de filtrage proposé s’inspire à la fois des dispositifs de filtrage déjà existants, des dispositifs mis en œuvre à l’étranger, mais aussi des solutions gratuites déjà mises en œuvre par les principaux navigateurs sur Internet depuis plusieurs années, en particulier l’outil Safe Browsing de Google et Smart Screen de Microsoft, qui sont d’ailleurs utilisables sur d’autres navigateurs tels que Mozilla Firefox ». Pourtant, elle reconnaît que « le dispositif proposé va toutefois plus loin que ce que le marché offre actuellement, en permettant le blocage de l’accès aux sites frauduleux » (3).
Pour la fondation Mozilla justement, éditrice du navigateur Firefox, c’est là que le bât blesse selon elle. Ces mesures présentent un risque de censure pour Internet, non seulement en France mais aussi ailleurs. « Obliger les navigateurs à créer des fonctionnalités pour bloquer des sites web créera un précédent inquiétant à l’échelle mondiale », explique à Edition Multimédi@ Tasos Stampelos (photo ci-dessus), responsable des politiques publiques et des relations gouvernementales de Mozilla en Europe.

Le « filtre anti-arnaque » de Macron
« Car, poursuit-il, de telles fonctionnalités pourraient être utilisées par des régimes autoritaires pour restreindre les droits fondamentaux, les libertés publiques et imposer une censure sur les sites web auxquels les utilisateurs voudraient accéder ». La fondation Mozilla a en outre lancé en ligne, le 17 août dernier, une pétition (4) « pour empêcher la France d’obliger les navigateurs comme Mozilla Firefox à censurer des sites web ». Elle a déjà recueilli « plus de 50.000 signatures », nous indique Tasos Stampelos. Au Sénat, il était intervenu lors de la table ronde « Navigateurs Internet » réunie avant l’été par la commission sénatoriale, où était aussi présent Sylvestre Ledru, directeur de l’ingénierie et responsable de Mozilla en France. Google (Chrome) et Apple (Safari) y participaient également. Selon l’éditeur de Firefox, la loi poussée par le gouvernement français – lequel a engagé la procédure accélérée – « pourrait menacer la liberté sur Internet », en obligeant les navigateurs à bloquer des sites web directement au niveau du navigateur. « Cette mesure créerait un dangereux précédent et servirait de modèle à d’autres gouvernements pour, à leur tour, transformer les navigateurs en outils de censure gouvernementale », craint-elle.

Mozilla contre le risque de « dystopie »
L’article 6 est au cœur du « filtre anti-arnaque » promis par le président de la République au printemps 2022, lorsque Emmanuel Macron était candidat à sa propre succession : « Un filtre anti arnaques [qui] avertira en temps réel tous les usagers d’Internet avant qu’ils ne se rendent sur un site potentiellement piégé ». On y est. Dans un post sur le blog de Mozilla publié le 27 juin 2023, Sylvestre Ledru (photo ci-contre) estime que « la proposition française de bloquer les sites web via le navigateur nuira gravement à l’Internet ouvert mondial ». Ce texte de loi, s’il devait être adopté, « serait un désastre pour un Internet libre et serait disproportionnée par rapport aux objectifs du projet de loi, à savoir la lutte contre la fraude ». Pire, selon la fondation Mozilla : « La France s’apprête à obliger les créateurs de navigateurs à mettre en œuvre une fonctionnalité technique relevant de la dystopie », à savoir, d’après le Larousse, une « société imaginaire régie par un pouvoir totalitaire ou une idéologie néfaste ».
Mozilla affirme en outre que « cette mesure fournira aux gouvernements autoritaires un moyen de minimiser l’efficacité des outils qui peuvent être utilisés pour contourner la censure », comme les VPN (réseaux privés virtuels) ou les « proxy ». La France entre, selon la fondation de Firefox, dans « un terrain inconnu » et crée « un précédent mondial ». Sylvestre Ledru rappelle que « même les régimes les plus répressifs dans le monde préfèrent jusqu’à présent bloquer les sites web en amont du réseau (fournisseurs d’accès à Internet, etc.) » plutôt que d’ordonner aux éditeurs de navigateur du Net de bloquer ou censurer (c’est selon) les sites indésirables. Pour éviter d’en arriver là, « il serait plus judicieux de tirer parti des outils de protection existants contre les logiciels malveillants et l‘hameçonnage (phishing) plutôt que de les remplacer par des listes de blocage de sites web imposées par le gouvernement » (5). La fondation Mozilla rappelle que « les deux systèmes de protection contre les logiciels malveillants et l’hameçonnage les plus utilisés dans l’industrie sont Safe Browsing de Google et Smart Screen de Microsoft, Mozilla (ainsi qu’Apple, Brave et bien d’autres) utilisant Safe Browsing de Google ». Safe Browsing, qui couvre les logiciels malveillants, les logiciels indésirables et l’ingénierie sociale (hameçonnage et autres sites trompeurs), existe depuis au moins 2005 et protègerait actuellement près de la moitié de la population mondiale en ligne sur divers appareils et logiciels. Firefox utilise l’offre Safe Browsing de Google depuis 2007 et dispose d’une implémentation unique qui protège la vie privée des utilisateurs tout en les empêchant d’être victimes de logiciels malveillants et d’hameçonnage. Ce paramètre peut également être désactivé par les utilisateurs à tout moment, ce qui leur permet de garder le contrôle de leur expérience sur le Web. Dans le cadre de son audition pour le rapport du Sénat, Benoît Tabaka, secrétaire général de Google France, a expliqué que Safe Browsing utilise l’intelligence artificielle et se base sur les analyses menées par les équipes du géant du Net. « Cette interface de programmation d’application (API) affiche les informations dans les navigateurs comme Safari, Firefox ou Google Chrome, mais aussi dans les navigateurs internes de certaines applications. Nos équipes travaillent aujourd’hui sur l’articulation entre l’outil et le nouveau cadre juridique français, en sachant qu’un blocage via Safe Browsing serait par nature mondial », avait-il indiqué aux sénateurs.

La France outrepasse les DSA et DMA
Mettre à contribution obligatoire les navigateurs Internet dans la lutte contre les contenus illicites outrepasse les dispositions des deux règlements européens DSA et DMA, lesquels, assure Tasos Stampelos, « ne prévoient pas d’obligations pour les navigateurs web en matière de modération de contenu ». Selon lui, « l’article 6 du projet SREN va trop loin et crée directement une incohérence avec la législation européenne ». Le 2 août, le commissaire européen Thierry Breton, chargé du marché intérieur, a mis en garde la France : « L’effet direct des règlements de l’UE rend toute transposition nationale inutile et […] les Etats membres devraient s’abstenir d’adopter des législations nationales qui feraient double emploi » (6). Il a indiqué aussi que « les autorités françaises n’ont que partiellement notifié leur projet de loi » et « l’appréciation de sa compatibilité avec le droit de l’Union est en cours ». @

Charles de Laubier

Le Digital Services Act (DSA) présente un vrai risque pour la liberté d’expression des Européens

Les 19 très grandes plateformes Internet en Europe avaient quatre mois, après avoir été désignées comme telles le 25 avril 2023 par la Commission européenne, pour se mettre en règle avec la législation sur les services numériques (DSA). La liberté d’expression sera-t-elle la victime collatérale ?

La liberté d’expression risque gros en Europe depuis le 25 août 2023, date à laquelle les 19 très grandes plateformes numériques – Alibaba, AliExpress, Amazon Store, Apple AppStore, Booking.com, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia, YouTube, Zalando, Bing, et Google Search – doivent appliquer à la lettre le Digital Services Act (DSA), sous peine d’être sanctionnées financièrement jusqu’à 6 % de leur chiffre d’affaires mondial.

« Définition large » des « contenus illicites »
Cette épée de Damoclès suspendue au-dessus de la tête de ces 19 géants du Net, dépassant chacun plus de 45 millions d’utilisateurs actifs par mois (soit l’équivalent de 10 % de la population de l’Union européenne), pourrait les pousser à faire de l’excès de zèle. Et ce, pour ne pas prendre le risque d’être hors des clous du DSA et de se voir infliger une sanction pécuniaire. Entre leur désignation le 25 avril 2023 comme « Very large Online Platforms » (VLOP) par la Commission « von der Leyen » (photo) et leur mise en conformité avec la législation sur les services numériques, les dix-sept très grandes plateformes et les deux grands moteurs de recherche avaient un délai de quatre mois pour se préparer.
Depuis le 25 août 2023, soit moins d’un an après la publication du règlement au Journal officiel de l’Union européenne (1), le « Big 19 » est censé agir comme un seul homme pour réguler en Europe une grande partie de l’Internet relevant de leurs activités (2). Le DSA les oblige désormais à lutter contre « la diffusion de contenus illicites en ligne et contre les risques pour la société que la diffusion d’informations trompeuses ou d’autres contenus peuvent produire ». Vaste et flou à la fois. Le règlement européen donne en effet à la notion de « contenus illicites » une « définition large » (3). Elle couvre ainsi « les informations relatives aux contenus, produits, services et activités illégaux » ainsi que « des informations, quelle que soit leur forme, qui, en vertu du droit applicable, sont soit ellesmêmes illicites, comme les discours haineux illégaux ou les contenus à caractère terroriste et les contenus discriminatoires illégaux, soit rendues illicites par les règles applicables en raison du fait qu’elles se rapportent à des activités illégales ». Et le DSA de donner des exemples d’« activités illégales » : partage d’images représentant des abus sexuels commis sur des enfants, partage illégal d’images privées sans consentement, harcèlement en ligne, vente de produits non conformes ou contrefaits, vente de produits ou de la fourniture de services en violation du droit en matière de protection des consommateurs, utilisation non autorisée de matériel protégé par le droit d’auteur, offre illégale de services de logement ou vente illégale d’animaux vivants. « En revanche, précise néanmoins le DSA, la vidéo d’un témoin oculaire d’une infraction pénale potentielle ne devrait pas être considérée comme constituant un contenu illicite simplement parce qu’elle met en scène un acte illégal, lorsque l’enregistrement ou la diffusion au public d’une telle vidéo n’est pas illégal ». Pour lutter contre les contenus illicites, et ils sont nombreux, les grandes plateformes du Net doivent assurer – elles-mêmes ou par un intermédiaire, de façon automatisées ou pas – une « modération des contenus », à savoir : « détecter et identifier les contenus illicites ou les informations incompatibles avec leurs conditions générales », « lutter contre ces contenus ou ces informations, y compris les mesures prises qui ont une incidence sur la disponibilité, la visibilité et l’accessibilité de ces contenus ou ces informations ». La modération de contenus illicites peut consister en leur « rétrogradation », leur « démonétisation », leur « accès impossible » ou leur « retrait », voire en procédant à « la suppression ou la suspension du compte d’un destinataire » (4).
Toutes ces restrictions possibles doivent être stipulées dans les conditions générales d’utilisation de la grande plateforme numérique, renseignements comprenant « des informations sur les politiques, procédures, mesures et outils utilisés à des fins de modération des contenus, y compris la prise de décision fondée sur des algorithmes et le réexamen par un être humain » (5).

Responsabilité limitée et injonctions
Si le DSA conserve le cadre de l’« exemption de responsabilité » des « fournisseurs de services intermédiaires » (statut d’hébergeur) telle qu’édictée par la directive européenne « E-commerce » de 2000 (6), cette « sécurité juridique » tombe dès lors que la plateforme numérique « a effectivement connaissance ou conscience d’une activité illégale ou d’un contenu illicite », et qu’elle doit de ce fait « agir rapidement pour retirer ce contenu ou rendre l’accès à ce contenu impossible » (7). Les exemptions de responsabilité sont réaffirmées par le DSA, lequel précise bien qu’elles n’empêchent pas de pouvoir aussi « procéder à des injonctions de différents types à l’encontre des fournisseurs de services intermédiaires », ces injonctions pouvant émaner « de juridictions ou d’autorités administratives » pour exiger « qu’il soit mis fin à toute infraction ou que l’on prévienne toute infraction, y compris en retirant les contenus illicites spécifiés dans ces injonctions, ou en rendant impossible l’accès à ces contenus » (8). C’est en cela que le DSA modifie la fameuse directive « E-commerce ».

La liberté d’expression menacée
Les Européens risquent-ils d’être les grands perdants en termes de liberté d’expression sur Internet ? Garantis par la Charte des droits fondamentaux de l’Union européenne (9), la liberté d’expression et d’information, la liberté d’entreprise, le droit à la non-discrimination et la garantie d’un niveau élevé de protection des consommateurs le sont aussi par le DSA qui y fait référence à de nombreuses reprises (10). « Les fournisseurs de très grandes plateformes en ligne devraient, par exemple, en particulier, tenir dûment compte de la liberté d’expression et d’information, notamment la liberté et le pluralisme des médias », stipule notamment le DSA (11). « Toute mesure prise par un fournisseur de services d’hébergement à la suite de la réception d’une notification devrait être strictement ciblée [sur le contenu illicite, ndlr], sans porter indûment atteinte à la liberté d’expression et d’information des destinataires du service », est-il ajouté (12).
Les très grandes plateformes en ligne et les très grands moteurs de recherche en ligne sont tenus d’« éviter des restrictions inutiles à l’utilisation de leur service, compte devant dûment être tenu des effets négatifs potentiels sur les droits fondamentaux » et « accorder une attention particulière aux répercussions sur la liberté d’expression » (13). Le règlement sur les services numériques, dans son article 14, oblige donc les plateformes à « [tenir] compte des droits et des intérêts légitimes de toutes les parties impliquées, et notamment des droits fondamentaux des destinataires du service, tels que la liberté d’expression, la liberté et le pluralisme des médias et d’autres libertés et droits fondamentaux ». Et dans son article 34, le DSA oblige les grands acteurs du Net à recenser, analyser et évaluer de manière diligente « tout risque systémique », notamment « tout effet négatif réel ou prévisible pour l’exercice des droits fondamentaux » : non seulement liberté d’expression et d’information, y compris liberté et le pluralisme des médias, mais aussi dignité humaine, respect de la vie privée et familiale, protection des données à caractère personnel, non-discrimination, droits de l’enfant, et protection des consommateurs (14). Pour parer au pire, il est prévu à l’article 48 que la Commission européenne – assistée par un Comité pour les services numériques (Digital Services Committee) – « s’efforce de garantir que les protocoles de crise établissent clairement », entre autres, « les mesures de sauvegarde contre les effets négatifs éventuels sur l’exercice des droits fondamentaux consacrés dans la Charte [des droits fondamentaux de l’Union européenne], en particulier la liberté d’expression et d’information et le droit à la non-discrimination » (15). A la question « Comment comptez-vous maintenir un juste équilibre avec les droits fondamentaux tels que la liberté d’expression ? », la Commission européenne avait répondu, dans un Q&A du 25 avril dernier : « Le règlement sur les services numériques donne aux utilisateurs la possibilité de contester les décisions de suppression de leurs contenus prises par les plateformes en ligne, y compris lorsque ces décisions s’appuient sur les conditions générales des plateformes. Les utilisateurs peuvent introduire une plainte directement auprès de la plateforme, choisir un organisme de règlement extrajudiciaire des litiges ou demander réparation devant les tribunaux ».
Au plus tard le 17 novembre 2025, la Commission européenne évalue notamment « l’incidence sur le respect du droit à la liberté d’expression et d’information » (16) et remet un rapport à ce sujet au Parlement européen, au Conseil de l’Union européenne et au Comité économique et social. L’avenir nous dira si le DSA est une arme à double tranchant pour la liberté d’expression et la démocratie en Europe. Tandis que pour le Digital Markets Act (DMA), cette fois, sept géants du Net – Alphabet (Google/ YouTube), Amazon, Meta (Facebook/ Instagram), Apple, Microsoft, Samsung et ByteDance (TikTok) – vont être le 6 septembre désignés officiellement par la Commission européenne (17) comme des « gatekeepers » (contrôleurs d’accès) soumis à des règles de concurrence renforcées.

Des garde-fous contre la censure ?
Lorsque le commissaire européen au Marché intérieur, Thierry Breton (photo ci-dessus), a lancé le 10 juillet 2023 sur Franceinfo que « lorsqu’il y aura des contenus haineux, des contenus qui appellent par exemple à la révolte, qui appellent également à tuer ou à brûler des voitures, [ces plateformes] auront l’obligation dans l’instant de les effacer » (18). Et en prévenant :« Si elles ne le font pas, elles seront immédiatement sanctionnées (…) non seule-ment donner une amende mais interdire l’exploitation sur notre territoire ». Ses propos ont aussitôt soulevé une vague d’inquiétudes sur les risques de censures. Il a dû revenir sur Franceinfo le 25 août (19) pour tenter de rassurer à propos du DSA : « C’est la garantie de nos libertés, c’est tout sauf le ministère de la censure ». @

Charles de Laubier