Contenus illicites et piratage en ligne : la Commission européenne menace de légiférer si…

Si les acteurs du Net n’appliquent pas ses recommandations pour lutter contre les contenus à caractère terroriste, les incitations à la haine et à la violence, les contenus pédopornographiques, les produits de contrefaçon et les violations du droit d’auteur, la Commission européenne se dit prête sévir.

Facebook, Twitter, YouTube, Google, Microsoft et bien d’autres plateformes numériques et réseaux sociaux sont plus que jamais mis sous surveillance par la Commission européenne, laquelle les incite fortement – voire les obligera à terme si cela s’avérait nécessaire – à suivre ses recommandations publiées le 1er mars pour lutter contre les contenus illicites (terrorisme, haine, violence, …) et le piratage en ligne d’œuvres protégées par le droit d’auteur (musique, films, jeux vidéo, ebooks, …).

« Outils automatiques » et « vérification humaines »
Il s’agit pour les GAFAM et tous les autres de retirer le plus rapidement possible
les contenus illicites de l’Internet. Les « mesures opérationnelles » que préconisent l’exécutif européen – dans sa recommandation du 1er mars 2018 « sur les mesures destinées à lutter, de manière efficace, contre les contenus illicites en ligne » (1) –
ont pour but d’« accélérer la détection et la suppression du contenu illicites en ligne », tout en invitant les entreprises du Net à « appliquer le principe de proportionnalité lors de la suppression de contenu illicite » et « éviter la suppression – involontaire ou erronée – du contenu qui n’est pas illicite » (2) – notamment en prévoyant des procédures accélérées pour les « signaleurs de confiance ».
Il s’agit aussi de faire en sorte que les fournisseurs de contenus soient informés des suppressions de contenus illicites en ligne, afin qu’ils aient la possibilité de les contester par la voie d’un « contre-signalement ». En amont, les plateformes numériques et les réseaux sociaux sont tenus d’établir des règles simples et transparentes pour
« la notification du contenu illicite » ainsi que « des systèmes de notification clairs » pour les utilisateurs. Pour la suppression de ces contenus illicites, la Commission européenne demande à ce que, aux côtés des « outils proactifs » ou « outils automatiques » de détection et de suppression, les acteurs du Net aient aussi recours aussi à des « moyens de supervision et de vérification humaines ». Et ce, afin que les droits fondamentaux, la liberté d’expression et les règles en matière de protection des données soient respectés. Pour autant, dès qu’il existe des preuves d’une infraction pénale grave ou le soupçon qu’un contenu illicite représente une menace pour la vie d’autrui ou la sécurité, « les entreprises doivent informer sans délai les autorités répressives » – « les Etats membres [étant] encouragés à établir les obligations légales appropriées ». Quant aux contenus en ligne à caractère terroriste, ils font, eux, l’objet d’un traitement spécial et d’une « procédures accélérées » (voir encadré page suivante). Les Etats membres et les acteurs du numérique sont « invités » à présenter « dans un délai de six mois » des informations pertinentes sur tous les types de contenus illicites – exceptés les contenus à caractère terroriste où le délai du rapport est de trois mois.
Le vice-président pour le marché unique numérique, Andrus Ansip (photo), table sur l’autorégulation. Mais il menace de prendre des mesures législatives si cette autorégulation des plateformes ne donne pas des résultats efficaces. D’autant que le Parlement européen a déjà enjoint aux acteurs du Net, dans sa résolution du 15 juin 2017 sur les plateformes en ligne et le marché unique numérique (3), de « renforcer leurs mesures de lutte contre les contenus en ligne illégaux et dangereux », tout en invitant la Commission européenne à présenter des propositions pour traiter ces problèmes. Celle-ci va lancer « dans les semaines à venir » une consultation publique. « Ce qui est illicite hors ligne l’est aussi en ligne », prévient-elle. Il y a six mois, l’échéance du mois de mai 2018 avait été fixée pour aboutir sur le sujet et décider s’il y a lieu ou pas de légiférer.

Violations du droit d’auteur, fraudes, haines, …
Ainsi, cinq grandes catégories de contenus illicites en ligne sont susceptibles d’enfreindre des directives européennes déjà en vigueur :
• Violations des droits de propriété intellectuelle, au regard de la directive du 22 mai 2001 sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information – directive dite DADVSI (4).
• Escroqueries et fraudes commerciales, au regard de la directive du 11 mai 2005 sur les pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs dans le marché intérieur (5), ou la directive du 25 octobre 2011 relative aux droits des consommateurs (6).
• Discours de haine illégaux, au regard de la décision-cadre du 6 décembre 2008 sur la lutte contre certaines formes et manifestations de racisme et de xénophobie au moyen du droit pénal (7).
• Matériel pédopornographique, au regard de la directive du 13 décembre 2011 pour la lutte contre les abus sexuels et l’exploitation sexuelle des enfants, ainsi que la pédopornographie (8).
• Contenu à caractère terroriste, au regard de la directive du 15 mars 2017 pour la lutte contre le terrorisme (9).

Vers le filtrage automatisé de l’Internet
Cette recommandation « Contenus illicites en ligne » du 1er mars 2018 sera complémentaire de la révision en cours de la directive « Services de médias audiovisuels » (SMA) qui prévoit des mesures législatives spéciales pour protéger
les mineurs en ligne contre les contenus préjudiciables (10) et tous les citoyens contre les discours de haine (11). Et bien qu’elle n’ait pas de caractère contraignant comme une directive ou un règlement, la recommandation va plus loin que les orientations
pour lutter contre le contenu illicite en ligne présentées en septembre 2017 par la Commission européenne. Pour les plateformes du numérique, grandes ou petites (12), elle énonce les modalités détaillées du traitement des notifications de contenu illicite selon des procédures dites de « notification et action » (notice and action) et encourage les acteurs du Net à recourir à des « processus automatisés comme le filtrage » du contenu mis en ligne. Cependant, au regard du statut d’hébergeur des YouTube, Facebook et autre Twitter, la recommandation du 1er mars 2018 ne modifie pas la directive du 8 juin 2000 sur le commerce électronique, laquelle exonère les intermédiaires en ligne de la responsabilité du contenu qu’ils gèrent. « La recommandation est une mesure non contraignante et ne saurait modifier l’acquis
de l’UE », a justifié à ce propose la Commission européenne, qui s’était engagée en 2016 « à maintenir un régime de responsabilité équilibré et prévisible pour les plateformes en ligne, étant donné qu’un cadre réglementaire fondamental est essentiel pour préserver l’innovation numérique dans l’ensemble du marché unique numérique ». Néanmoins, la directive « Commerce électronique » laisse la place à l’autorégulation pour la suppression de contenu illicite en ligne. Quitte à ce que cette autorégulation
soit supervisée par la Commission européenne, comme avec le « Code de conduite » présenté en septembre 2017 – et convenu avec Facebook, Twitter, Google (YouTube et Google+), Microsoft ainsi que Instagram (propriété de Facebook) rallié plus récemment – pour combattre les discours de haine illégaux sur Internet.

Code de conduite contre « Far West numérique »
Les autres plateformes numériques sont appelées, par Vera Jourová, commissaire européenne à la Justice, aux Consommateurs et l’Egalité des genres, à rejoindre ce Code de conduite. « Nous ne pouvons accepter qu’il existe un Far West numérique
et nous devons agir. Le Code de conduite montre qu’une approche d’autorégulation peut servir d’exemple et produire des résultats », avait-elle prévenu il y a six mois. Récemment, dans une lettre ouverte publiée le 12 mars dernier (13) à l’occasion des
29 ans de l’invention du le World Wide Web dont il est à l’origine, Tim Berners-Lee
a appelé à réguler les grandes plateformes en prônant « un cadre légal ou réglementaire ». @

Charles de Laubier

ZOOM

Contenu à caractère terroriste : pas de temps à perdre
Pour endiguer le contenu terroriste en ligne, qu’il est interdit d’héberger, la Commission européenne joue la montre. Elle recommande la suppression de ce type de contenu
« dans l’heure ». Partant du constat que le contenu à caractère terroriste est le plus préjudiciable au cours des premières heures de sa parution en ligne, « toutes les entreprises doivent supprimer ce type de contenu dans le délai d’une heure à compter de son signalement en règle générale », préconise-t-elle.
Pour les repérer, les GAFAM seront destinataires de « signalements » émanant d’autorités telles que la police ou la gendarmerie, ainsi que ceux effectués par l’unité de signalement des contenus sur Internet (IRU) de l’Union européenne au sein d’Europol, ou par les unités de signalement des Etats membres. Les acteurs du Net auront aussi mis en oeuvre leurs « mesures proactives, notamment en matière de détection automatique, afin de retirer ou désactiver efficacement et promptement le contenu
à caractère terroriste et d’empêcher sa réapparition après qu’il a été supprimé ».
Le contenu terroriste en ligne doit en tout cas faire l’objet de « procédures accélérées » pour traiter les signalements aussi vite que possible. Les Etats membres, eux, sont appelés à s’assurer qu’ils disposent des capacités et des ressources nécessaires
pour « détecter, identifier et signaler » le contenu à caractère terroriste. Ils doivent en outre remettre à la Commission européenne un rapport – « de préférence tous les
trois mois » (six mois pour les contenus illicites non terroristes) – sur les signalements et leur suivi, ainsi que sur la coopération avec les entreprises du Net. Par ailleurs, la Commission européenne soutient ce qu’elle appelle « des voix crédibles pour diffuser en ligne des contre-récits positifs ou des contre-discours » dans le cadre du Forum de l’UE sur l’Internet via son « programme de renforcement des moyens d’action de la société civile » (14) . @

Alphabet aurait franchi en 2017 la barre des 100 milliards de dollars de chiffre d’affaires

Alors que la maison mère Alphabet entérine en janvier la démission de Eric Schmidt de sa présidence et s’apprête à fêter en septembre les 20 ans de Google, son chiffre d’affaires 2017 – qu’elle dévoilera le 1er février – devrait dépasser les 100 milliards de dollars et son résultat net les 20 milliards.

Depuis la création il y a 20 ans de la startup Google, par Larry Page et Sergey Brin, le conglomérat Alphabet qu’est devenu aujourd’hui l’entreprise a passé un cap symbolique en 2017 : le chiffre d’affaire de la firme de Mountain View, consolidé au niveau de la holding Alphabet depuis plus de deux ans maintenant (1), aurait franchi sur l’exercice de l’an dernier la barre des 100 milliards de dollars. C’est ce que devrait confirmer Larry Page (photo), directeur général d’Alphabet, lors de la présentation des résultats financiers annuels le 1er février. En franchissant ce seuil symbolique de chiffre d’affaires annuel l’an dernier, Alphabet affiche encore une croissance insolente d’au moins 10 % sur un an. Certes, c’est deux fois moins que les 20 % de croissance du chiffre d’affaires enregistrés en 2016 (90,2 milliards de dollars) par rapport à l’année antérieure, mais cela reste une progression honorable à deux chiffres.

Google reste la vache à lait
Mieux : le bénéfice net d’Alphabet aurait franchi en 2017, et pour la première fois, une autre barre symbolique, celle des 20 milliards de dollars – contre 19,4 milliards de résultat net en 2016. Un troisième seuil symbolique a également été franchi l’an dernier : le cash disponible a dépassé depuis fin septembre les 100 milliards de dollars (contre 86,3 milliards à fin 2016). L’année 2017 aura donc été, comme les années passées, faste pour Alphabet qui tire encore plus de… 98 % de ses revenus de sa filiale Google, laquelle aurait donc généré à elle seule en 2017 plus de 98 milliards de dollars provenant de ses activités moteur de recherche Google, plateforme vidéo YouTube, Android, Chrome, Google Play, Google Maps ou encore Google Cloud. Alphabet, qui emploie plus de 70.000 personnes dans le monde, reste cependant très dépendant des recettes publicitaires qui pèsent encore plus de 80 % des revenus globaux du groupe. Quant aux « autres paris » (other bets), que chapeaute Alphabet et non plus Google, ils continuent de générer des revenus embryonnaires issus principalement de la vente de services Internet et TV via le réseau de fibre aux Etats-Unis (Google Fiber et Access), des objets et services connectés dans la maison (Nest) et des licences et la R&D dans les sciences de la vie et de l’esanté (Verily (2)). Alphabet mise aussi sur d’autres projets prometteurs ou incertains tels que les recherches sur la longévité de la vie (Calico), la voiture autonome et connectée (Waymo) ou des projets financés par ses fonds GV (ex-Google Ventures) et CapitalG ou encore X Development (3). L’année 2017 aura aussi permis à l’action Alphabet (4) de bondir d’environ 30 % en un an à plus de 1.000 dollars, pour une capitalisation boursière totale de 768,5 milliards de dollars au 11 janvier 2018. Ce qui rapproche un peu plus la firme de Mountain View de la firme
de Cupertino, à savoir Apple aux 886 milliards de dollars de capitalisation boursière. Google et Apple visent tous les deux les 1.000 milliards de dollars en Bourse ! Peu
de temps après son introduction de Google en Bourse en 2004, l’agence Reuters a rapporté le récit d’un ancien employé du géant du Net racontant que lorsque Eric Schmidt, alors PDG de Google, avait expliqué que l’objectif avec Larry Page et Sergey Brin était de « créer une société à 100 milliards de dollars » (selon le propos de Sergey Brin prononcé le 28 février 2006), un salarié lui avait demandé : « Vous voulez dire à 100 milliards de capitalisation boursière ou à 100 milliards de chiffre d‘affaires ? ».
Eric Schmidt lui avait alors répondu : « A vous de choisir ! ». Si cet objectif en Bourse
a bien été atteint dès fin 2005, il aura fallu attendre treize ans pour que celui du chiffre d’affaires à 100 milliards le soit à son tour. C’est dans ce contexte d’euphorie financière que Eric Schmidt quitte, courant janvier, ses fonctions de président exécutif d’Alphabet (5) pour devenir conseiller technique « sur la science et la technologie » après 17 ans passés au service du géant du Net. Il sera remplacé par un président non exécutif cette fois – comme chez Apple ou Microsoft.

Zones de turbulence fiscale
Le retrait de Eric Schmidt sonne comme une reprise en main d’Alphabet par le Russo-américain Sergey Brin (président) et l’Américain Larry page (directeur général),
à l’heure où le groupe fait l’objet de redressement fiscaux dans plusieurs pays.
Selon l’agence Bloomberg, qui a mentionné le 2 janvier dernier des documents réglementaires néerlandais, la maison mère de Google a transféré 15,9 milliards d’euros en 2016 des Pays-Bas vers une société écran aux Bermudes. Grâce au
« Double Irish » et au « Dutch Sandwich », Alphabet a ainsi évité de payer plusieurs milliards d’euros d’impôts (6). Et aux Etats-Unis, la firme de Mountain View n’a pas encore payé d’impôt sur les 60,7 milliards de dollars qu’elle détient « outre-mer ». @

Charles de Laubier

Données personnelles ou droit de la concurrence : Facebook ne se fait pas que des amis

Alors que Facebook a franchi la barre des 2 milliards d’utilisateurs, des autorités nationales et européenne s’y intéressent de plus en plus comme en témoignent les sanctions prononcées récemment à son encontre, en matière de données à caractère personnel ou en droit de la concurrence.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Dans sa délibération du 27 avril 2017 (1), rendue publique le 16 mai suivant (2), la formation restreinte de la Cnil (3) a prononcé une sanction de 150.000 euros à l’encontre de Facebook. Cette sanction faisait suite à la mise en demeure, datée du 26 janvier 2016, par laquelle la Cnil, constatant plusieurs manquements à la loi informatique et libertés, avait demandé à Facebook de se mettre
en conformité. Plus largement, cette décision s’inscrit dans le prolongement d’une action conduite par plusieurs autorités nationales de protection
des données décidée à la suite du changement par le réseau social de sa politique
de confidentialité.

Lois nationales et acteurs globaux du Net
La Commission européenne a, quant à elle, prononcé une amende de 110 millions euros à l’encontre de Facebook pour avoir communiqué des informations inexactes ou dénaturées dans le cadre de l’enquête qu’elle a menée au titre du rachat de WhatsApp par Facebook en 2014. Cette sanction a été publiée le 18 mai dernier (4) (voir encadré page suivante). Ces procédures engagées à l’encontre de Facebook en Europe et en France démontrent l’inégalité des moyens d’action juridique existants et marquent la volonté des autorités de renforcer le montant des sanctions en matière de protection des données jugé trop peu dissuasif. L’adoption du règlement européen du 27 avril 2016 sur la protection des données personnelles (5) va résolument dans ce sens en augmentant considérablement le montant des sanctions prononcées par les « Cnil » en Europe. Sur ce point, le droit de la concurrence apparaît plus dissuasif puisqu’il prévoit déjà des sanctions dont le montant est proportionnel au chiffre d’affaires de l’entreprise condamnée. A propos de la sanction de Facebook en France par la Cnil, la délibération de cette dernière contient des enseignements intéressants notamment sur l’applicabilité de la loi française lorsqu’un responsable de traitement est établi dans plusieurs Etats de l’Union européenne (UE). Rappelons en effet que la loi « Informatique et libertés » (6) s’applique si le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi (7) et que la Cnil peut exercer un contrôle sur tout traitement dont les opérations sont mises en oeuvre, même partiellement, sur le territoire national, y compris si le responsable du traitement est établi dans un autre Etat membre de l’UE (8). Pour déterminer l’applicabilité du droit français en l’espèce, la Cnil va examiner les deux critères énoncés par la directive 95/46/CE sur la protection des données : d’une part, l’existence d’un établissement ; d’autre part, la mise en oeuvre du traitement dans le cadre de ses activités. A cet égard, il est intéressant de souligner que la Cnil a souhaité se référer au texte européen (9) plutôt qu’à celui de la loi française « Informatique et libertés ». Dans sa délibération, la Cnil fait référence à la jurisprudence de la Cour de justice de l’Union européenne (CJUE) et à son interprétation large de la notion d’établissement à l’appui de son raisonnement (10). Ainsi, la formation restreinte considère que Facebook doit être qualifié d’établissement car « Facebook France constitue une installation stable qui exerce une activité réelle et effective grâce à des moyens humains et techniques nécessaires notamment à la fourniture de services de marketing » et participe dans le cadre de ses activités aux traitements en cause. Cette analyse va à l’encontre de celle avancée par Facebook qui contestait la compétence de la Cnil au profit de la législation irlandaise et, par conséquent, de l’autorité irlandaise seule autorité compétente pour contrôler le traitement des données personnelles des utilisateurs du service en Europe. Il est également intéressant de relever que la Cnil adopte la position de la CJUE qui s’était pourtant prononcée dans un contexte différent puisque, contrairement à l’arrêt « Google Spain » cité par la Cnil, « il n’existe aucun risque de contournement des dispositions européennes », Facebook ne contestant pas l’applicabilité du droit européen mais celui du droit français.

Compétence territoriale étendue ?
La Cnil se positionne donc en faveur d’une compétence territoriale étendue pour affirmer la compétence de la loi « Informatique et libertés », sa propre compétence
et prononcer une sanction à l’encontre de Facebook. Cette analyse doit être prise en compte par les responsables de traitements qui sont établis dans plusieurs Etats de l’UE notamment à l’approche de l’entrée en vigueur – à partir du 25 mai 2018 – du règlement européen qui étend le champ de la compétence territoriale. En effet, avec
le nouveau règlement, la personne concernée pourra saisir aussi bien l’autorité de contrôle de l’Etat membre où est situé le responsable du traitement ou son sous-traitant que l’autorité de contrôle dans lequel se trouve sa propre résidence ou son lieu de travail, voire le lieu où la violation alléguée aurait été commise. La décision de la Cnil en France apporte également un certain nombre de précisions au regard des règles relatives à la protection des données à l’approche de l’entrée en vigueur du règlement européen sur la protection des données.

Six manquements de Facebook à la loi française
La délibération de la Cnil sanctionne Facebook au titre de six manquements aux obligations énoncées par cette loi, à savoir : l’obligation d’information, l’obligation de disposer d’une base légale pour les traitements, l’obligation d’une collecte loyale des données, l’obligation d’un consentement exprès pour les données sensibles, l’obligation de mettre à disposition un moyen valable pour s’opposer aux cookies, et l’obligation
de respecter une durée de conservation des données. La délibération de la Cnil est riche en enseignement, notamment sur les manquements au regard de l’obligation d’information. A ce titre, la Cnil relève que la politique d’utilisation des données de Facebook ne précise ni les droits dont disposent les utilisateurs ni les informations relatives au transfert de données hors de l’UE. Elle considère que Facebook doit afficher directement l’information sur le formulaire de collecte et non pas via un lien figurant sur le formulaire d’inscription.
Concernant cette fois la combinaison massive de données pour le ciblage publicitaire, la Cnil relève qu’« aucun des documents mis à la disposition des utilisateurs […] ne mentionne expressément la combinaison de données », Ainsi, si les utilisateurs disposent de moyens pour maîtriser l’affichage de la publicité ciblée, ils ne consentent pas à la combinaison massive de leurs données et ne peuvent s’y opposer, que ce
soit lors de la création de leur compte ou a posteriori. Enfin, sur l’utilisation du cookie
« datr », la Cnil relève que l’information « ne permet pas aux internautes et en particulier aux internautes non-inscrits sur le réseau social, d’être clairement informés
et de comprendre que leurs données sont systématiquement collectées dès lors qu’ils
se trouveront sur un site tiers comportant un module social ». Sur les autres manquements, Facebook ne recueille pas le consentement exprès des utilisateurs lorsqu’ils renseignent des données sensibles et que le paramétrage du navigateur ne permet pas aux utilisateurs de s’opposer valablement aux cookies déposés sur leur équipement terminal.
La Cnil a donc prononcé une sanction de 150.000 euros à l’encontre du réseau social, soit le maximum qu’elle peut aujourd’hui infliger (ce montant pouvant être porté au double en cas de récidive). Cependant, ce montant prévu par la loi « Informatique et liberté » apparaissant peu inadapté au regard de la potentielle gravité des violations de la législation et à la puissance de certains responsables de traitements qui s’en rendent coupables, le nouveau règlement européen prévoit, en fonction des atteintes, des sanctions allant jusqu’à 20millions d’euros ou, dans le cas d’une entreprise jusqu’à 4% du chiffre d’affaires annuel mondial total (11). La délibération de la Cnil amorce l’entrée en vigueur de la nouvelle réglementation européenne qui renforce les obligations de protection en matière de données personnelles. A titre d’illustration, le règlement viendra renforcer le droit à l’information en ajoutant notamment à la liste des informations à fournir : l’identité et les coordonnées du responsable de traitement, le cas échéant, celles de son Data Protection Officer (DPO), les finalités du traitement auxquelles sont destinées les données à caractère personnel ainsi que la base juridique du traitement, les catégories de destinataires de ces données, ainsi que, éventuellement, le transfert de ces données vers un pays tiers. En outre, le règlement prévoit une obligation d’information spécifique en matière de profilage et le consentement devra être recueilli pour toutes les finalités, à défaut de quoi il ne peut être considéré comme valable. @

* Ancien bâtonnier du Barreau de Paris.

ZOOM

Sanction de Facebook par la Commission européenne
Facebook a été sanctionné par l’Union européenne (UE) pour ses pratiques, non
plus sur le fondement des données personnelles, mais sur celui du règlement de 2004 relatif aux concentrations (12). En effet, la Commission européenne a prononcé une sanction de 110 millions d’euros à l’encontre de Facebook pour lui avoir fourni des fausses informations au moment de l’enquête menée au titre du rachat de WhatsApp par Facebook. La Commission européenne n’a toutefois pas remis en cause le rachat de WhatsApp par Facebook décidé en 2014. En l’espèce, il était question de la combinaison des données entre les deux entités, une combinaison que Facebook
disait impossible lors du rachat du service de messagerie en 2014. Ainsi, « la société
a informé la Commission [européenne] qu’elle ne serait pas en mesure d’établir d’une manière fiable la mise en correspondance automatisée entre les comptes d’utilisateurs de Facebook et ceux de WhatsApp ». Selon la Commission européenne, « Facebook a commis deux infractions distinctes en fournissant un renseignement inexact et dénaturé d’une part dans le formulaire de notification de la concentration et d’autre part, dans la réponse à une demande de renseignements de la Commission » et a fait preuve tout au moins de négligence.
Pour fixer le montant de l’amende, la Commission européenne a toutefois pris en compte certaines circonstances atténuantes, notamment la collaboration de l’entreprise durant cette enquête. L’annonce du partage de données et de numéros de téléphone entre Facebook de WhatsApp en 2016 avait déjà fait l’objet de protestions notamment par le G29, qui dans une lettre ouverte (13) avait dénoncé lui aussi la contraction du partage de ces données avec la déclaration des entreprises lors de l’opération de rachat. Dans cette lettre, le groupe européen des « Cnil » avait demandé une suspension de ce rapprochement entre les deux applications eu égard à la validité
des finalités poursuivies et à celle du consentement des utilisateurs. Cette demande avait été finalement prise en compte par WhatsApp qui avait suspendu l’envoi des informations à fin publicitaire à sa maison- mère, Facebook. Compte tenu des enjeux,
il semblerait que seule une action commune au niveau européen semble susceptible d’impacter véritablement le comportement de groupes comme Facebook. @

Le nouveau protocole IPv6 pourrait améliorer la diffusion des flux vidéo sur Internet

La loi « République numérique », promulguée le 8 octobre, prévoit qu’« à compter du 1er janvier 2018, tout nouvel équipement terminal (…) doit être compatible avec la norme IPv6 ». Passer d’IPv4, dont les adresses seront épuisées dans
cinq ans, à IPv6 permettrait notamment d’améliorer l’audiovisuel en ligne.

Quel est l’intérêt de passer à IPv6 pour les contenus en ligne ? A priori, aucun ! Sauf qu’à y regarder de plus près, le successeur du protocole IPv4 qui assure les connexions sur Internet permettrait d’améliorer de façon significative les performances des applications mobile. C’est ce qu’affirme par exemple Facebook où le temps de réponse du numéro un des réseaux sociaux est jusqu’à 40 % meilleur sous IPv6 par rapport à un accès mobile sous IPv4.

Quel intérêt « commercial » ?
A l’heure où nombre d’acteurs du Net misent sur la vidéo, le différentiel justifierait à
lui seul l’adoption de ce « nouveau » protocole Internet. « Le protocole IPv6 pourrait permettre un acheminement plus performant des flux vidéo », souligne le rapport de l’Arcep remis en juin dernier au gouvernement français sur « l’état de déploiement du protocole IPv6 en France », et publié le 30 septembre dernier (1). Les services vidéo tels que les plateformes de partage vidéo (YouTube, Dailymotion, …), la VOD, la télévision de rattrapage, les bouquets de chaînes de type Molotov ou encore les publicités vidéo pourraient voir leurs temps de latence réduits grâce à l’IPv6.
Pourtant, malgré l’augmentation de la consommation de vidéo et de contenus dévoreurs de bande passante, tous les terminaux ne sont pas compatibles avec ce nouveau protocole Internet. C’est ce que constate d’ailleurs Akamai, l’un des leaders mondiaux des services de réseau de diffusion de contenu (CDN (2)), dans son dernier rapport trimestriel sur l’état d’Internet : « Il y a une absence de compatibilité d’IPv6
dans certains appareils électroniques grand public (tels que les téléviseurs connectés
et les media players), ce qui représente une barrière à son expansion ».
Alors que la vidéo devient la killer application du Web et des applications mobile, il est paradoxale de constater que le protocole IPv6 – permettant de simplifier certaines fonctions de la couche réseau telles que le routage et la mobilité – peine à être adopté. Et l’on ne peut pas dire que les acteurs du Net sont pris de court : les spécifications techniques d’IPv6 ont une vingtaine d’années d’existence et le lancement mondial de ce protocole par l’Internet Society est intervenu le 6 juin 2012, il y a déjà plus de quatre ans ! Selon l’observatoire « 6Lab » de Cisco (3), la part de contenus en ligne disponible en IPv6 – sur les 500 sites web les plus visités par des internautes en France – est d’environ 52 % à l’heure où nous écrivons ces lignes.
Les adresses IP sont à Internet ce que sont les numéros au téléphone. Sans ce protocole réseau, pas de connexion possible entre terminaux et serveurs. En raison
de la pénurie annoncée d’adresses IPv4, qui sont limitées à un peu plus de 4 milliards différentes, le protocole IPv6 doit débloquer la situation en offrant un nombre presque infini d’adresses : 340 milliards de milliards de milliards de milliards (4), soit 340 sextillions d’adresses ! Selon le Ripe, le forum des réseaux IP européens, l’épuisement du dernier bloc d’adresses IPv4 disponibles est attendu pour 2021 – soit dans seulement cinq ans maintenant. Mais les fournisseurs d’accès à Internet (FAI), les éditeurs de sites web, d’applications mobile et de services en ligne, les hébergeurs,
les plateformes vidéo, ainsi que les intermédiaires techniques et les fabricants de terminaux traînent des pieds depuis des années pour implémenter cette nouvelle norme. Car, comme le constate le rapport de l’Arcep, les acteurs du réseau des réseaux ne voient pas « de bénéfices commerciaux immédiats » à passer d’IPv4 à IPv6. A cela s’ajoutent l’absence de coordination entre les acteurs, le manque de maîtrise et de maturité autour de ce nouveau protocole, et le maintien nécessaire en parallèle des réseaux IPv4.

Retard de la France
Il suffit qu’un des maillons de la chaîne Internet ne supporte pas le nouveau protocole pour que IPv4 soit sollicité. Autant dire que le transport de bout en bout d’une vidéo, par exemple, sous IPv6 n’est pas pour demain. Pour remédier à cet attentisme, le rapport de l’Arcep a préconisé en juin dernier que l’Etat français « montre l’exemple » en rendant accessibles en IPv6 tous les sites web et services publics en ligne.
C’est ce que prévoit la loi « Economie numérique », promulguée le 8 octobre au Journal Officiel après avoir été portée par la secrétaire d’Etat au Numérique et à l’Innovation, Axelle Lemaire (photo), dans son article 16 : « Les administrations (…) encouragent la migration de l’ensemble des composants de ces systèmes d’information vers le protocole IPv6, sous réserve de leur compatibilité, à compter du 1er janvier 2018 ».

Dans la foulée, cette loi – dont on attend maintenant les décrets d’application – prévoir dans son article 42 qu’« à compter du 1er janvier 2018, tout nouvel équipement terminal (…) destiné à la vente ou à la location sur le territoire français doit être compatible avec la norme IPv6 ». En attendant, l’Arcep a promis de publier fin 2016 un premier observatoire de la transition vers IPv6. Mise à part cette volonté politique de rattraper
le retard flagrant de la France dans l’adoption de ce nouveau protocole (voir tableau ci-dessus) , seul capable d’absorber la multiplication des terminaux dans les foyers (plus d’une demi-douzaine) et surtout la montée en charge de la vidéo et de l’Internet des objets, bon nombre d’acteurs du Net ne voient pas encore l’intérêt de se précipiter.

Les FAI sont-ils pro-IPv6 ? Orange en retard
D’autant qu’une technique dite NAT (Network Address Translation), pratiquée par les FAI sur leur « box », permet de partager une unique adresse IPv4 entre plusieurs terminaux et ainsi d’économiser de nombreuses adresses IPv4.
Or, des experts interrogés par l’Arcep, cette pratique généralisée sur le réseau d’un opérateur télécoms – technique dite alors CGN (Carrier Grade NAT) – peut « entraver le fonctionnement de certains protocoles et donc de certains types de services sur Internet » tels que « les applications pair-à-pair et certains modes de jeux en ligne ». Ainsi, plusieurs éditeurs de services en ligne qui utilisent des protocoles peer-to-peer ont dû procéder à des développements afin de s’assurer du bon fonctionnement de leurs services sur des réseaux CGN et éviter les dysfonctionnements. Du côté des FAI, Akamai montre que Verizon est le premier dans le monde à avoir la plus grande proportion (74 %) de requêtes traitées sous IPv6. Il est suivi par T-Mobile (61 %), toujours aux Etats-Unis. Viennent ensuite Sky Broadband (56 %) en Grande-Bretagne, Telenet (54 %) en Belgique et Kabel Deutschland (52 %) en Allemagne.
Tous les autres pays traitent moins de la moitié des requêtes en IPv6 (voir tableau ci-dessus), dont Free et sa filiale Proxad (25 %) en France, cependant mieux disant qu’Orange (15 %).

Dans son rapport au gouvernement, l’Arcep, elle, observe que « plusieurs plans
de déploiements de FAI majeurs en France prévoient d’allouer des adresses IPv6
en priorité aux abonnés FTTH (Fiber-To-The-Home), qui génèrent un trafic significativement plus important que les abonnés xDSL par exemple ».
Orange a en effet annoncé en début d’année 2016 le début des déploiements IPv6 non seulement pour ses clients FTTH mais également VDSL. A noter que, selon le blog The World IPv6 Launch, « plus de 12 % des utilisateurs accèdent maintenant aux services de Google sous IPv6, alors qu’ils étaient moins de 1 % quatre ans auparavant ». Le basculement est en marche. @

Charles de Laubier

En France, les contenus culturels génèreraient près de 1,3 milliard d’euros pour les acteurs du Net

Directement et indirectement, les contenus culturels participeraient jusqu’à 61 % des revenus des intermédiaires du numérique (moteurs de recherche, médias sociaux, bibliothèques personnelles, plateformes vidéo ou audio, agrégateurs
de contenus). Manque à gagner pour les industries culturelles ?

Le Groupement européen des sociétés d’auteurs et compositeurs (Gesac) – dont sont membres 32 sociétés d’auteurs européennes, parmi lesquelles la Sacem (musique), la Scam (multimédia) ou encore l’Agagp
(arts graphiques) en France, pour un total de 1 million d’auteurs et de créateurs représentés – a cherché à évaluer le « transfert de valeur » entre les industries culturelles et les acteurs du Net.

Impacts directs et indirects
Dans l’étude qu’elle a commanditée au cabinet Roland Berger et rendue publique
fin septembre, il ressort que les contenus culturels (musiques, films, livres, jeux vidéo, journaux, programmes télé, radios, arts visuels, …) contriburaient directement et indirectement à hauteur de 61 % du chiffre d’affaires global annuel (1) réalisés en France par les acteurs du Net (moteurs de recherche, médias sociaux, bibliothèques personnelles, plateformes vidéo ou audio, agrégateurs de contenus, …).
Cela représente sur l’année considérée près de 1,3 milliard d’euros, dont 23 % obtenus
« directement » et 38 % « indirectement » (voir tableau ci-dessous). L’impact direct désigne les revenus générés grâce à la monétisation ou le commerce en ligne des contenus culturels (B2C) ou aux revenus publicitaires générés par l’inventaire (les espace publicitaires disponibles) lié aux contenus culturels (B2B). Par exemple, selon Roland Berger, YouTube en profite directement dans la mesure où 66 % des vues vidéo en Europe (19 % pour la France) ont des contenus culturels, lesquels génèrent des revenus publicitaires. Pour Facebook, ce sont 51 % des contenus publiés ou partagés sur Facebook en Europe (39 % en France) qui sont liés aux contenus culturels. L’impact indirect, lui, correspond au rôle additionnel joué par les contenus culturels dans le modèle économique de l’intermédiaire de l’Internet (par exemple a d h é rence p o u r le s u t i l i s a teurs , développement de l’utilisation, …). Au niveau européen,
la proportion est quasiment la même – 62 % (23 % directement et 40 % indirectement) – mais porte cette fois sur un chiffre d’affaire global annuel de 21,9 milliards d’euros.

Le Gesac, présidé par Christophe Depreter (photo), directeur général de la Sabam
(la « Sacem » belge) et doté de trois vice-présidents parmi lesquels Jean-Noël Tronc (directeur général de la Sacem), a fait du « transfert de valeur » sont cheval de bataille – et de lobbying – auprès de la Commission européenne, laquelle a finalement fait un pas vers les industries culturelles en présentant le 14 septembre dernier un projet de réforme du droit d’auteur susceptible de remédier à ce value gap – ou perte de valeur – pour les ayants droits (2) (*) (**). « Contrairement aux fournisseurs d’accès, les plateformes en ligne ne rémunèrent pas ou très peu les créateurs pour l’exploitation
de leurs œuvres. (…) Ces plateformes revendiquent le statut de simples intermédiaires techniques (3) n’ayant aucune obligation de rémunérer les créateurs », affirme le Gesac. Dans son lobbying intensif à Bruxelles, elle-même basée à Bruxelles, cette organisation professionnelle exige que cette situation cesse. @

Charles de Laubier