La veille informationnelle (panorama de presse, veille web, agrégateurs de flux, …) se démultiplie

Publié le par

Les contenus des médias sont de plus en plus utilisés par les entreprises et les organisations pour suivre l’actualité les concernant. Grâce au numérique, une multitude de prestataires de « panoramas de presse » leur offrent une veille informationnelle qui génèrent des revenus pour les éditeurs.

En 2022, le Centre français d’exploitation du droit de copie (CFC) – seul organisme en France à être mandaté par le ministère de la Culture pour percevoir et répartir les redevances au titre du droit de reproduction de la presse et du livre – a reversé aux auteurs et éditeurs adhérents 54,5 millions d’euros, soit une hausse de 5 %. Environ 40 % de ce montant, soit près de 22 millions d’euros, proviennent des copies numériques professionnelles effectuées sous forme de panoramas de presse, de prestations de veille et de copies numériques ponctuelles.

Veille classique versus veille web
Le CFC, que dirige Laura Boulet (photo) depuis novembre 2021, a signé à ce jour des contrats d’autorisation de veille avec 30 prestataires de veille informationnelle, que cela soit pour de la veille médias traditionnelle, audiovisuelle, documentaire, stratégique ou encore de la veille entièrement sur le Web.
« Ces contrats définissent les cadres de l’autorisation fournie, prévoient le versement de redevances destinées à rémunérer les titres de presse concernés ainsi que l’identification des publications utilisées et de leur volume. Ces autorisations permettent à ces acteurs de la veille de reproduire en toute légalité des contenus des publications de presse dont le CFC gère les droits, dans le cadre de leurs activités de veille et de sélection d’articles de presse à destination de leurs clients », explique l’organisme de gestion collective agréé par le ministère de la Culture depuis 1996.
Reste que les acteurs de cette veille informationnelle sont méconnus du grand public puisque leurs activités sont tournées vers les entreprises, les organisations et les administrations. Cette « veille BtoB » (1) est assurée par de nombreux prestataires, aussi divers que variés (voir graphique page suivante), dont certains sont en concurrence frontale comme les prestataires de veille média traditionnels versus les prestataires de la veille web – ces deux catégories d’acteurs ayant les mêmes clients : les directions de la communication et des relations presse des entreprises ou d’organisations.
• Pour la veille médias classique, les prestataires se nomment Onclusive (ex-Kantar Media), Cision (ex- L’Argus de la presse), Aday (ex-EDD), Explore (Explore Group), ou encore Synthèse & Médias. Ils fournissent à des entreprises clientes des copies d’articles le plus souvent au format PDF (mais aussi par e-mail, par un intranet ou un extranet) et notamment sous la forme de panoramas de presse.
• Pour la veille documentaire, les sociétés Factiva (filiale de l’américain Dow Jones) et LexisNexis (filiale de l’anglo-néerlandais Relx, anciennement Reed Elsevier) sont des acteurs historiques, aux côtés de Cision (Europresse) et Aday (ex-EDD). Ils mettent à disposition de leurs clients professionnels des contenus de presse agrégés dans leurs bases de données constituées le plus souvent sous le format XML (2).
• Pour la veille entièrement en ligne, il y a des acteurs tels que le norvégien Meltwater spécialisé dans la veille sociale (sur les réseaux sociaux), l’intelligence média (veille de la presse en ligne) et l’e-réputation (3), ou le britannique Access Intelligence (Isentia, Pulsar, ResponseSource, Vuelio), le new-yorkais Emplifi (ex- Astute-Socialbakers), ou encore l’indien Press Monitor. Ils fournissent des liens et des analyses pointant vers les articles de presse, notamment pour que les entreprises clientes puissent connaître les retombées médiatiques de leurs communiqués de presse.
• Pour la veille par les agrégateurs de flux RSS que sont ces formats de syndication simplifié (4), les éditeurs d’applications de visualisation de ces flux sont le français Netvibes (racheté par Dassault Systèmes en 2012), le suédois Feeder, le bulgare Inoreader et les américains Flipboard et Feedly. Ils proposent de consulter les flux à partir d’une application, d’un logiciel ou d’un module intégré à une messagerie, qui permettent de n’importe quel terminal connecté d’afficher et de consulter les flux d’actualité.

L’intelligence artificielle à la rescousse
• Pour la veille dite stratégique, lorsqu’il s’agit de veille marketing et concurrentielle, les principaux fournisseurs de services sont les français Digimind (racheté en juillet 2012 par Onclusive/ex-Kantar Media), KB Crawl, Launchmetrics et Sindup (Netprestation).
Ils collectent toutes les informations tous azimut (presse en ligne, réseaux sociaux, bases de données, …). Ils « crawlent » le Web pour proposer à des directions d’entreprises (marketing, stratégie, R&D, …) du « market intelligence » basés sur l’intelligence artificielle (IA).
• Pour la veille « sociale », sur les réseaux sociaux, les prestataires de « social listening » s’appellent Linkluence (une société française intégrée au groupe Meltwater depuis 2021), Meltwater en tant que tel, et le luxembourgeois Talkwalker. Les réseaux sociaux sont leur principal terrain de jeu, mais ils s’intéressent de plus en plus à la presse en ligne.

592 éditeurs concernés en France
• Pour la veille issue des data brokers, ces courtiers de données exploitant le Big Data, dont les sources sont à la fois privées et publiques. Le norvégien Opoint et l’israélien Webz.io prospèrent dans ce domaine. Leur clientèle se trouve aussi bien dans les entreprises que chez des prestataires de veille.
• Pour la veille de référencement naturel, ou SEO (Search Engine Optimization), les trois principaux acteurs sont le français Botify, l’américain Semrush et l’allemand Sistrix. Leur spécialité : proposer en général en mode SaaS la recherche de mots-clés et de données d’analyse (classement, volume, coût, …).
Tous ces prestataires présents en France sont tenus de fournir au CFC le nombre d’articles de presse, de programmes audiovisuels et d’émissions radiophoniques, ainsi que des liens diffusées ou stockés pour la veille web). Et ce : par publication, par chaîne, par radio et par client. « Ces déclarations permettent d’établir la facturation. Pour la veille média traditionnelle, elle est également fonction de la redevance par article définie par l’éditeur pour chacune de ses publications sur la grille tarifaire du CFC. Pour les autres types de veille, il s’agit d’une somme forfaitaire, par client et par prestation dans le cas de la veille web », indique le CFC sans dévoiler les grilles tarifaires.
Ils sont 592 éditeurs en France à bénéficier des versements de redevances destinées à rémunérer les titres de presse concernés en fonction de l’identification de leur(s) publication(s) sur un total atteignant aujourd’hui 2.793 titres de presse et programmes audiovisuels. Rien que pour la répartition des droits pour les copies numériques professionnelle, le CFC indique que « 63 % des titres concernés par cette répartition sont des publications françaises » et « ces dernières représentent 98 % du montant total des redevances réparties ». Les sommes sont reversées aux éditeurs et aux auteurs en deux temps chaque année : en avril pour les redevances perçues au cours du second semestre de l’année précédente, et en décembre pour celles collectées au cours du premier semestre de l’année en cours. Ainsi, au premier semestre 2022 par exemple pour lequel plus de 8 millions d’euros ont été distribués par le CFC au titre des copies numériques, 15 éditeurs ont reçu chacun plus de 100.000 euros, 115 éditeurs ont reçu entre 10.000 et 100.000 euros et 342 plus de 1.000 euros. Mais il reste beaucoup à faire pour que tous les contenus de presse utilisés dans la veille soient monétisés au profit des éditeurs. Par exemple, les robots de crawling qui aspirent les contenus se bousculent au portillon des sites web sans forcément payer leur écot.

Du crawling à la rediffusion de podcasts
Aussi, le CFC a commencé à déployer un « outil de régulation des robots de crawling » (ORRC), dont la seconde version a été déployées en 2022 sur une quinzaine de sites de presse en ligne (dont Le Monde, Le Figaro ou encore Challenges). Ce qui permet à 17 « crawlers » en France de respecter le droit d’auteur dans le cadre d’une licence. La veille s’étend en outre aux podcasts qui rencontrent un large succès sur les plateformes Spotify, Deezer, Apple Podcast, Google Podcast, Acast ou encore Auscha. Le CFC propose désormais aux éditeurs de presse un nouveau mandat pour englober les rediffusions de podcasts. @ Charles de Laubier

Radio France tourne la page de la redevance et se mue en média social, mais conserve sa PDG

Publié le par

Sibyle Veil avait pris ses fonctions de présidente directrice générale de Radio France le 16 avril 2018. Elle a été reconduite pour cinq autres années à compter du 16 avril 2023. La « Maison ronde » devrait poursuive sa mue en média social mais sans compter sur la redevance audiovisuelle.

Rendez-vous compte : il y aura 90 ans cette année que la redevance a été créée en France par une loi budgétaire datée du 31 mai 1933, laquelle instaurait une redevance destinée à financer la radiodiffusion et assise sur les postes de radio. Elle fut ensuite étendue à la télévision en 1948, qui fut depuis lors le poste de référence. L’année 2023 marque une rupture historique puisque les médias publics, dont Radio France, ne peuvent plus compter sur la manne de cette « contribution à l’audiovisuel public » jusqu’alors payée par près de 23 millions de foyers.

Budget 2023 : 623,4 millions d’euros
Les 138 euros en métropole et les 88 euros en outremer ont rapporté – et pour la dernière fois en 2022 (1) – 3,2 milliards d’euros l’an dernier. Comme pour ses homologues de l’audiovisuel public, la PDG de Radio France, Sibyle Veil (photo), devra faire cette année – et les suivantes – sans la redevance mais avec un budget issu d’une partie de la TVA. Ainsi en avait décidé la loi du 16 août 2022 de finances rectificative pour 2022 (2).
L’an dernier, Radio France avait bénéficié de plus de 591,4 millions d’euros d’« avances » de la part de l’Etat. Pour cette année, comme le prévoit la loi de finances 2023, Radio France touchera plus de 623,4 millions d’euros. Cela représente une hausse budgétaire de 5,4 %. Cette même loi de finances 2023 liste des objectifs aux acteurs de l’audiovisuel public : pour Radio France, il s’agit notamment de : « proposer une offre radiophonique de service public, axée sur la culture, dans un univers de média global » ; « s’adresser au public le plus large dans un environnement numérique » ; « assurer la maîtrise de la masse salariale, optimiser la gestion et être une entreprise de média exemplaire » (3). C’est dans ce contexte financier et stratégique que Sibyle Veil achève son premier mandat de cinq ans à la tête de Radio France, avant d’entamer un second « quinquennat » à compter du 16 avril prochain. Cette reconduction a été décidée le 19 décembre par l’Arcom (4) qui « a fait le choix de la poursuite des transformations engagées ces dernières années, dont les résultats en termes d’audience, de développements numériques et d’accès à la culture témoignent de la capacité d’adaptation de [Radio France] à son environnement et aux attentes des publics ». Dans sa décision publiée au Journal Officiel le 21 décembre dernier (5), le régulateur souligne les «mutations profondes du média radio », notamment dans « l’audio numérique ». Sibyle Veil a su convaincre les membres de la Tour Mirabeau lors de son audition le 19 décembre, aussitôt suivie d’une séance plénière du collège la nommant pour un nouveau mandat au détriment des deux autres candidats : Maïa Wirgin (6) et Florent Chatain (7). « A compter de 2023, il nous faudra définir une nouvelle feuille de route pour Radio France dans le cadre qui sera donné par le prochain contrat d’objectifs et de moyens pour les années 2024 à 2028, avait expliqué la PDG candidate à sa succession. […] D’ici 2028, de nouveaux acteurs, de nouvelles technologies que nous ne connaissons pas auront émergé. L’intelligence artificielle va certainement s’accélérer, créer de nouvelles opportunités, mais aussi demander une plus grande capacité d’adaptation. L’Internet des objets va gagner notre quotidien et amplifier le mouvement vers une connexion permanente ».
Radio France est en outre confronté à la baisse continue de la consommation des médias traditionnels qui n’épargne ni la radio, ni la télévision, ni la presse. La consommation média est de plus en plus fragmentée. Mais la radio publique a, selon Sibyle Veil, un rôle à jouer par rapport à Internet : « Les algorithmes et les réseaux sociaux créent un effet de gravitation autour de silos d’informations cloisonnés entre eux, attirant des personnes partageant des points de vue similaires. […] Cette évolution va rendre à l’avenir encore plus indispensable l’objectif d’universalité qui a sous-tendu la création du service public […] sans avoir à viser des cibles commerciales », assure-t-elle dans son projet stratégique d’une quarantaine de pages remis à l’Arcom dès octobre (8). Radio France entend aussi inspirer confiance face à la défiance envers les médias sur fond d’« infobésité ». FM, DAB+, IP : hybridation audio Pour autant, Radio France va devoir « se préparer à une accélération de la délinéarisation de la radio dans les prochaines années », même si l’écoute en direct pourrait rester majoritaire pour ce média. « Le “temps 2” de notre transformation est à engager pour devenir pleinement un média audio hybridant le flux et le stock, le direct et le temps long en donnant plusieurs vies à nos créations. […] Cette dualité va peser pendant les prochaines années sur notre entreprise », a prévenu la PDG de la « Maison de la radio et de la musique ». Et ce dans un contexte d’hyper concurrence de l’audio : podcasts, livres audio, fictions audio, documentaires sonores, … @

Charles de Laubier

Game over Stadia, place au Cloud Gaming de Netflix

Publié le par

En fait. Le 18 janvier, Google fermera son service de jeux en streaming Stadia faute d’avoir séduit suffisamment d’utilisateurs. Mais la « plateforme technologique sous-jacente » pourrait servir à YouTube, Google Play ou à la réalité augmentée, voire à un « partenaire industriel ». Pourquoi pas Netflix ?

En clair. Stadia est mort, vive Netflix Cloud Gaming ? Stadia ne pouvait sérieusement pas devenir le « Netflix » du jeu vidéo, en raison d’un catalogue de titres insuffisant. Mais aussi parce que Netflix lui-même a commencé à se diversifier en proposant des jeux vidéo pour mobiles et surtout à étudier – comme l’a annoncé en octobre dernier à TechCrunch (1) Mike Verdu, le Monsieur « jeux vidéo » de la plateforme de SVOD – le lancement d’une offre de Cloud Gaming. Edition Multimédi@ se demande donc si Google ne va pas apporter à Netflix sa plateforme technique jusqu’alors utilisée par Stadia. « La plateforme technologique sous-jacente qui alimente Stadia a fait ses preuves à grande échelle et transcende le jeu », avait expliqué en septembre dernier Phil Harrison, vice-président chez Google et directeur général de Stadia. Et en précisant ceci : « Nous voyons des occasions évidentes d’appliquer cette technologie à d’autres parties de Google, comme YouTube, Google Play et à nos efforts de réalité augmentée (RA), ainsi que de la mettre à la disposition de nos partenaires de l’industrie ». Netflix sera-t-il un partenaire industriel ? La firme de Los Gatos pourrait réussir là où la firme de Mountain View a échoué, surtout si la seconde devait prêter main forte à la première. Cela relève de la spéculation, mais ce partenariat ferait sens. Une chose est sûre : Google jette l’éponge au moment où Netflix se prépare à lancer son « Stadia », tout en investissant dans la production de jeux vidéo. Coïncidence ? Contacté, Mike Verdu chez Netflix ne nous a pas répondu. Face à des géants bien installés dans le Cloud Gaming comme Sony, Microsoft et Nintendo, il sera difficile – comme l’a montré Stadia – de s’imposer.
Comme annoncé le 29 septembre 2022 par Phil Harrison, Stadia sera donc inaccessible à partir du 18 janvier. C’est sur un constat d’échec que la firme de Mountain View s’est résolue à fermer le service qu’elle avait lancé en grande pompe le 19 novembre 2019, il y a un peu plus de trois ans (2). « Stadia n’a pas gagné l’adhésion des utilisateurs autant que nous l’espérions », avait justifié le patron de la plateforme à l’automne dernier (3). Les joueurs seront remboursés de la plupart de leurs achats (4). Si le catalogue de Stadia s’est étoffé avec plusieurs centaines de jeux, il n’a jamais été satisfaisant pour les gamers qui lui reprochaient une offre très réduite de blockbusters de type « AAA ». @

Le marché unique a 30 ans, pas celui du numérique

Publié le par

En fait. Le 1er janvier 2023, le marché unique européen a eu 30 ans. Il comprend 27 Etats membres depuis le Brexit de janvier 2020 – contre 12 lors de sa création en 1993. Internet alors embryonnaire n’était connu que des centres de recherche et des universités. Le « Digital Single Market », lui, émerge en 2015.

En clair. Si le marché unique européen a 30 ans au 1er janvier 2023, il n’en va pas de même pour le marché unique numérique qui est fixé comme objectif en 2015 seulement. Neelie Kroes, auparavant commissaire européenne en charge de l’« Agenda numérique » (2010-2014) en avait rêvé (1) ; la Commission Juncker (2014-2019) en a fait une stratégie pour l’Union européenne. Avant elle, la Commission Barroso (2004-2014) avait bien commencé à poser des jalons d’un « marché unique pour les contenus et les services en ligne » (2), tâche confiée à Neelie Kroes justement (ex-commissaire à la Concurrence), mais il faudra encore attendre pour que le spectre s’élargisse.
C’est seulement le 6 mai 2015 que Jean-Claude Juncker, président de la Commission européenne, lance la stratégie « marché unique numérique pour l’Europe » (3) afin de « casser les silos nationaux dans la régulation télécoms, le droit d’auteur et la protection des données ». Mission sensible confiée alors au duo Andrus Ansip-Günther Oettinger (4), le premier en charge du Marché unique numérique et le second à l’Economie numérique et à la Société. Objectif : déverrouiller les marchés et abolir les frontières. En voulant « briser les barrières nationales en matière de réglementation (…) du droit d’auteur » (licences multi-territoriales, géo-blocage, chronologie des médias, copie privée, exceptions au droit d’auteur, …), Jean-Claude Juncker va faire sortir de ses gonds les industries culturelles redoutant la fin de « l’exception culturelle ». Le Parlement européen, qui avait adopté dès avril 2012 une résolution « sur un marché unique du numérique concurrentiel » (5), puis une seconde en juillet 2013, accueille favorablement le Digital Single Market de Juncker par une troisième en janvier 2016. Des avancées majeures suivront : fin du géo-blocage injustifié, fin des frais d’itinérance mobile, fin des surcoûts de portabilité transfrontalière des contenus en ligne, fin des violations envers la neutralité d’Internet, fin des restrictions à la libre circulation des données, …
La directive sur les « services de médias audiovisuels » à la demande (SMAd) sera adoptée en novembre 2018, celle sur « le droit d’auteur dans le marché unique numérique » en avril 2019, ou encore, sous l’actuelle Commission von der Leyen, les règlements DSA (Digital Services Act) et DMA (Digital Markets Act) adoptés en 2022. @

Blockchain et RGPD : relations complexes, surtout lorsqu’il s’agit du traitement des données

Publié le par

La protection des données personnelles et la blockchain sont souvent vues comme incompatibles. Pourtant, les réflexions en cours permettent de nuancer, même si les droits des personnes (comme le droit à l’oubli) ou la question de la responsabilité (dans un monde décentralisé) restent à définir.

Par Arnaud Touati, avocat associé, Hashtag Avocats, et Benjamin Allouch, consultant*.

Le 25 mai 2018, le règlement général sur la protection des données (RGPD) est entré en application (1). Ce règlement européen, présenté comme le texte juridique le plus abouti en matière de protection des données à caractère personnel, s’applique dès que l’on utilise des données personnelles à des fins professionnelles. Il s’impose à tous, des autoentreprises aux institutions publiques, en passant par les sociétés commerciales. Le RGPD est également applicable dans le monde entier, si tant est que l’entité concernée utilise des données appartenant à des résidents de l’Union européenne (UE).

Blockchain et RGPD en chiens de faïence ?
Le 3 janvier 2009, le premier bloc de bitcoins est créé, selon son créateur anonyme Satoshi Nakamoto et auteur de l’article fondateur publié deux mois plus tôt (2), pour répondre aux dérives de la crise financière de 2008. Bitcoin, c’est notamment une transparence absolue des transactions, conservées ad vitam aeternam, dans « un système peer-to-peerde monnaie électronique ». Dès lors, comment conjuguer deux principes de prime abord antagonistes ? Comment protéger les données personnelles au sein d’une technologie où tout est transparent ? Comment garantir certains droits des personnes quand les données ne peuvent pas être effacées ? D’aucuns ont alors conclu à une incompatibilité entre la blockchain et le RGPD. Pourtant, s’il existe certainement des difficultés, la blockchain comme le RGPD peuvent s’adapter pour coopérer. Petit tour d’horizon des conflits relevés et des adaptations trouvées. Avant l’entrée en vigueur du RGPD, la législation sur la protection des données souffrait d’un manque de clarté quant à la répartition des rôles de chaque acteur. En outre, la responsabilité de certains d’entre eux était pour le moins incertaine. Aujourd’hui, le rôle de chacun et leurs responsabilités corrélatives sont clairement définis.
Il y a tout d’abord le responsable du traitement, soit l’entité qui « détermine les finalités et les moyens du traitement ». En d’autres termes, les données sont collectées pour l’activité du responsable du traitement. Ce sont par exemple les données des salariés d’une entreprise dans le cadre de sa gestion des ressources humaines. Il y a ensuite le soustraitant, lequel agit « au nom et pour le compte du responsable du traitement ». Autrement dit, il assiste son client dans la collecte des données ou à y accéder une fois collectées. C’est typiquement le cas d’un éditeur de logiciel, qui permet à son client de les consulter.
Et la blockchain dans tout ça ? Pour une bonne application du RGPD, il convient – même dans cette industrie décentralisée – de déterminer le rôle de chacun. Pour une entité centralisée, le procédé est plutôt aisé. Ainsi, une plateforme d’échange d’actifs numériques sera assimilée à un responsable du traitement pour les données de ses clients, voire de ses salariés si l’entreprise est basée sur le territoire de l’UE. Il en va de même, par exemple, pour les données de prospection commerciale. Mais qu’en est-il des applications décentralisées ? Déterminer son rôle est difficile. C’est le cas lorsqu’un protocole de finance décentralisée est lancé par un groupe de développeurs qui a, ensuite, le contrôle uniquement pour y effectuer de la maintenance. Peut-on considérer que, par exemple, Uniswap Labs – l’entité derrière le protocole Uniswap – est responsable du traitement des données ? Ou est-elle davantage sous-traitante des blockchains, comme Ethereum, qui tournent sur son protocole ? Derrière la question de la détermination du rôle de chacun, se cache invariablement celle, épineuse, de la responsabilité encourue.
La responsabilité d’une plateforme centralisée ne se pose pas, puisqu’il s’agit d’une entreprise avec des organes de direction précisément identifiés. En revanche, pour ce qui concerne les applications décentralisées et les acteurs qui construisent un protocole, la question est bien plus complexe. Prenons l’exemple d’un assureur qui aurait « blockchainisé » l’un de ses produits. L’octroi d’une indemnisation dépend non pas d’un humain, mais d’un algorithme, en l’occurrence un smart contract dans le langage « blockchain » (3). Qui serait alors considéré comme le sous-traitant ? Les développeurs ou l’éventuelle entité de la blockchain utilisée ?

Responsabilité dans un monde blockchainisé
Le RGPD exige du sous-traitant qu’il agisse en fonction des instructions écrites de son client. Or, si l’assureur utilise un protocole existant, ce dernier n’agira pas en fonction des instructions de son « client », puisqu’il est théoriquement le même pour tous. En outre, en cas de manquement au RGPD, comment rendre responsables les développeurs d’un protocole ? Ces questions restent, pour l’heure, sans réponse… En théorie, la blockchain est publique, transparente et accessible à tous. Cela signifie que n’importe qui peut avoir accès aux données. En pratique, cette transparence ne sera pas pour autant absolue. Il en va notamment des données médicales, dont l’accès sera protégé. Ainsi, si la donnée est visible dans la blockchain, elle n’est pas pour autant aisément accessible et fait l’objet d’un chiffrement, dont seule la personne concernée possède la clé de déchiffrement. Cependant, quid des données brutes et accessibles à tous ?

Quid des droits des personnes ?
En théorie, toujours, la blockchain est immuable. Ainsi, les données ne peuvent ni être modifiées ni même effacées. Or, l’article 17 du RGPD instaure un droit à l’effacement (4), que l’on appelle plus communément « droit à l’oubli » (5). Comment concilier ce droit à l’effacement avec l’immutabilité de la blockchain ? A priori, cela paraît impossible. Pourtant, la réalité diffère… D’une part, l’immutabilité de la blockchain (pas de retour en arrière possible) est issue du protocole Bitcoin et n’est pas un principe gravé dans le marbre. Grâce à un smart contract (non applicable à Bitcoin mais à d’autres protocoles), il est tout à fait possible de prévoir l’effacement de certaines données à une date précise. En outre, le droit à l’oubli luimême n’est pas absolu, puisque le RGPD prévoit des exceptions, notamment celle du droit à l’information. Enfin, la blockchain n’est pas nécessairement transparente. En effet, il existe des blockchains privées ou de consortium, qui ne sont accessibles qu’à un certain nombre d’individus précisément identifiés. Dans cette hypothèse, il s’agit simplement d’une base de données améliorée, qui répond aux mêmes exigences que les bases de données classiques. Si les dispositions du RGPD sont bien respectées, les données sont sécurisées et seules les personnes autorisées y ont accès.
Les personnes dont les données sont collectées peuvent exercer plusieurs droits distincts. Outre le droit à l’oubli, le droit d’accès, le droit d’opposition, le droit de rectification, le droit à la suppression ou encore le droit à la portabilité font partie de ce que l’on appelle les droits des personnes. Or, si le principe d’immutabilité de la blockchain n’est pas absolu, cela ne signifie pas que l’on peut y modifier aisément les données inscrites. Ainsi, le droit à la rectification des données inscrites dans la blockchain semble plus que complexe. En effet, chaque donnée d’une blockchain est conservée dans des blocs qui s’enchaînent chronologiquement, d’où son nom (chaîne de blocs). Ce faisant, pour modifier une donnée, il faudrait, en principe, en modifier l’ensemble du bloc, ce qui constituerait un travail d’envergure.
De même, le droit à la portabilité semble, à l’heure actuelle, impossible. La portabilité est la possibilité pour toute personne de solliciter le responsable du traitement aux fins de transférer l’ensemble de ses données à un autre responsable du traitement. Qu’est-ce que cela signifierait réellement dans la blockchain ? L’on pourrait imaginer le passage d’une plateforme centralisée à une autre. En l’espèce, cela serait possible, puisqu’il s’agit de données clients. En revanche, la portabilité entre différents protocoles décentralisés et différentes blockchains semble presque impossible. L’un des problèmes principaux des blockchains est effectivement l’interopérabilité entre elles. Or, faire passer des données entre, par exemple, le réseau Bitcoin et le réseau Ethereum est tellement complexe que personne ne s’essaierait à le faire. Toutefois, il existe des protocoles appelés « bridge », qui sont justement prévus pour permettre cette interopérabilité. Mais de là à faire passer un jeu de données d’un protocole à l’autre, c’est une autre histoire…
Au-delà même du droit des personnes, subsiste la question de la nature des données concernées. Pour la blockchain Bitcoin, la seule donnée personnelle présente est l’adresse publique… qui est une donnée pseudonymisée. Il en va de même pour la majorité des autres protocoles, qui, s’ils diffèrent de Bitcoin, reprennent ce principe de collecter un minimum de données personnelles, à l’exception de l’adresse IP pour certains. Ainsi, l’exercice du droit d’opposition est impossible pour de telles données puisque refuser le traitement signifie tout simplement refuser d’utiliser le protocole en question. Encore une fois, nous en revenons toujours au même point : ce sont les plateformes centralisées qui conservent le plus de données personnelles, en raison notamment de la vérification d’identité, ou KYC (Know Your Customer) à effectuer. La question principale est donc celle de la prochaine articulation entre les protocoles décentralisés, le RGPD et le futur règlement européen TFR (Transfer of Funds Regulation). Ce dernier, bientôt en première lecture au Parlement européen (6), va effectivement obliger les plateformes d’échange à effectuer une vérification d’identité pour tout transfert vers les portefeuilles non hébergés.

Nécessaire souplesse dans l’interprétation
Or, à l’exception de l’adresse IP pour certains protocoles bien identifiés, aucune donnée personnelle n’est collectée à ce jour lors de la création de ces portefeuilles, comme ceux de l’entreprise française Ledger. Si tel est le cas à l’avenir, la collecte et la conservation des données devraient a priori respecter les dispositions du RGPD.
En définitive, il est envisageable de respecter les principes du RGPD, tout en utilisant la blockchain (7). Les marges d’appréciation sont importantes et le règlement dispose de nombreuses exceptions. Cela nécessite de la souplesse. Depuis le rapport de 2019 du Parlement européen (8), les réflexions dans ce domaine se poursuivent. Il ne faudrait cependant pas qu’une règlementation trop stricte retarde l’Europe par rapport aux Etats-Unis et à la Chine, comme cela l’a été pour le développement d’Internet dans les années 1990… Affaire à suivre ! @

* Benjamin Allouch est consultant indépendant Web3
et protection des données.