Services de médias audiovisuels (SMA) : la nouvelle directive devrait être votée le… 1er octobre

La future nouvelle directive européenne sur les services de médias audiovisuels (SMA) pourrait être votée à l’automne. Si le cinéma, l’audiovisuel et les régulateurs concernés sont satisfaits, les acteurs
du Net, eux, restent presque sans voix. En France, la grande loi audiovisuelle a ses premiers jalons.

« Cet accord est une avancée historique pour la création. (…) Cela signifie concrètement que, pour la première fois, l’Europe accepte l’idée d’intégrer tous les diffuseurs établis à l’étranger mais qui ciblent notre marché dans l’écosystème de l’exception culturelle européenne », s’est félicitée le 26 avril Frédérique Bredin (photo de gauche), présidente du Centre national du cinéma et de l’image animée (CNC). Cet établissement public administratif, sous la tutelle du ministre de la Culture, est d’autant plus satisfait qu’il constitue la plaque tournante du financement du cinéma et de l’audiovisuel en France.

Exception culturelle versus dumping culturel
Le Parlement européen, le Conseil des ministres de l’Union européenne et la Commission européenne – réunis en « trilogue » ce jour-là – sont en effet parvenus à un « accord politique » (1) sur la nouvelle directive « Services de médias audiovisuels » (SMA). Et ce, alors que la fin des négociations est prévue d’ici juin prochain en prévision du vote final en séance plénière
du Parlement européen programmé pour septembre – voire début octobre. Selon nos constatations (2), une date indicative de séance plénière pour
la première et unique lecture est fixée au 1er octobre 2018. Le projet de nouvelle directive SMA prévoit notamment un quota minimal de 30 % d’œuvres européennes sur tous les services à la demande en Europe (Netflix, Amazon Video, YouTube, Apple, Facebook, …), alors que la proposition initiale proposait d’établir ce taux à 20 %. Ces mêmes plateformes vidéo pourront en outre être taxées et obligées d’investir dans la production audiovisuelle et cinématographique, selon le principe du
« pays de destination » (ou pays « ciblé ») – une brèche dans le principe de
« pays d’origine » cher à la Commission européenne et aux acteurs du Net (lire encadré page suivante).
Pour les eurodéputés,« le niveau de contribution dans chaque pays devra être proportionnel aux bénéfices qu’elles réalisent dans ce pays ». Le Conseil supérieur de l’audiovisuel (CSA), qui fut – sous la présidence d’Olivier Schrameck (photo de droite) – aux avant-postes pour préparer
le terrain, s’est réjoui le 26 avril également de cette avancée décisive : « La nouvelle directive renforce la pertinence et l’efficacité de la régulation en réduisant les asymétries réglementaires entre les différents types d’acteurs [par] l’extension du champ d’application de la directive aux plateformes de partage de vidéos, aux réseaux sociaux et aux plateformes de diffusion en direct sur Internet ». En France, où les défenseurs de « l’exception culturelle » et pourfendeurs de ce qu’ils appellent « le dumping culturel » sont légion, le cinéma, l’audiovisuel et les auteurs avaient déjà exprimé leur satisfaction à la suite de l’adoption, le 23 mai 2017 (3), de ce projet de directive concernant télévision de rattrapage, VOD, SVOD et plateformes vidéo. Mais, cette fois, le trilogue européen a validé le texte législatif européen qui fut présenté il y a deux ans et qui entre maintenant dans la dernière ligne droite de négociations avant sa promulgation à l’automne prochain – puis sa transposition par chacun des Etats membres. « Les bases d’une nouvelle régulation européenne ont été posées garantissant le financement et l’exposition de la création européenne. Toutes les plateformes de vidéo à la demande en Europe devront proposer a minima 30 % d’œuvres audiovisuelles et cinématographiques européennes dans leurs catalogues. Par ailleurs, chacun des Etats européens va pouvoir les soumettre à ses obligations d’investissement dans la création, même quand elles sont établies à l’étranger, en proportion du chiffre d’affaires généré sur son territoire », ont déclaré satisfaits le 27 avril six syndicats professionnels français du cinéma et de l’audiovisuel, parmi lesquels l’Union des producteurs de cinéma (UPC), le Syndicats de producteurs indépendants (SPI), l’Union syndicale de la production audiovisuelle (USPA) et le Syndicat des producteurs de films d’animation (SPFA).
Les cinéastes de la société civile des Auteurs- Réalisateurs- Producteurs (ARP) se sont aussi réjouis le même jour : « Cette décision inscrit la politique culturelle européenne dans un mouvement moderne et constructif, adapté au numérique sans pour autant abandonner les fondements qui ont fait la vitalité de notre écosystème. (…) En retenant le principe du pays de destination, les institutions européennes répondent par ailleurs à la nécessité d’enrayer les stratégies de dumping trop souvent pratiquées par les géants de l’économie numérique ».

Quid des algorithmes et de la rémunération ?
Mais l’ARP souhaite que le quota minimum de 30 % d’œuvres européennes et les obligations de financement de la création soient soumis à « un dispositif de contrôle efficace et contraignant ». De son côté, la Société des auteurs et compositeurs dramatiques (SACD) rappelle que « ce taux de 30 % n’est évidemment pas aussi élevé que les auteurs l’auraient souhaité à juste titre » – certains en France voulaient aller jusqu’à 60 % du catalogue – mais elle estime que « la fixation d’une telle règle commune constitue une novation positive et importante au niveau européen ». Cette société de gestion collective des droits salue l’autre avancée sur les obligations de financements de la création de la part de tous les services de vidéo à la demande : «Même établies à l’étranger, ces plateformes ne pourront plus
se soustraire aux politiques nationales de soutien à la création. C’est là le risque du dumping culturel qui se trouve directement combattu par cette directive ». La SACD demande cependant que les avancées obtenues soient
« rapidement complétées » par « la prise de nouvelles mesures permettant notamment d’intégrer un objectif de diversité culturelle dans les algorithmes de recommandation des plateformes » et par « des prolongements pour garantir aux auteurs le droit à une juste rémunération sur les plateformes numériques partout en Europe » – faisant référence sur ce dernier point à la révision en cours de la directive sur le droit d’auteur que la Commission européenne a démenti en février dernier le report (4).

Vers une nouvelle régulation audiovisuelle
Quant à la Société civile des auteurs multimédias (Scam), elle se félicite aussi que les plateformes vidéo et télé aient « l’obligation de contribuer à
la création, selon les règles en vigueur du territoire européen ciblé par leur offre et non pas celles du territoire dans lequel ils sont installés » et du
« taux de 30 % d’œuvres européennes dans leurs catalogues ». Et la Scam d’espérer en outre que « les discussions autour de la directive sur le droit d’auteur déboucheront sur un partage tangible de la valeur et, notamment dans ce cadre, sur un droit à rémunération au bénéfice des auteurs audiovisuels européens ». Cette nouvelle directive SMA arrive à point nommé pour le gouvernement qui prépare, sous la houlette du chef de l’Etat, une grande loi sur l’audiovisuel incluant la réforme sur l’audiovisuel public. Rappelons que l’une des promesses de campagne de l’ex-candidat Emmanuel Macron durant la campagne présidentielle de 2017 est d’« investir dans les industries créatives et culturelles françaises en créant un fonds d’investissement dédié de 200 millions d’euros» et de «favoriser la diffusion du spectacle vivant notamment en multipliant les spectacles coproduits et adapter le soutien au cinéma et à l’audiovisuel aux nouveaux formats ». Il a aussi promis de « simplifier la réglementation audiovisuelle en matière de publicité, de financement et de diffusion, pour lever les freins à la croissance de la production et de la diffusion audiovisuelles et préparer le basculement numérique, tout en préservant la diversité culturelle » (5). Alors que la grande loi sur l’audiovisuel est sur les rails, la ministre de la Culture, Françoise Nyssen (lire en Une), s’est félicitée elle aussi le 27 avril
de la nouvelle directive SMA: « Ce texte marque une nouvelle étape dans la régulation audiovisuelle. Il répond parfaitement à la volonté de la France en matière de promotion de la diversité culturelle, de financement de la création et de protection des publics. (…)
Cela permettra de remédier aux distorsions de concurrence et de prévenir les délocalisations opportunistes ».
La locataire de la rue de Valois s’est dite satisfaite que le champ de la régulation audiovisuelle soit étendu aux plateformes de partage de vidéos telles que YouTube ou Dailymotion, lesquels échappaient à l’obligation de prendre des mesures pour protéger les jeunes publics et de lutter contre les contenus haineux ou violents. Comme le souligne la Scam, « ces obligations s’appliquent désormais aux sites de partage de vidéos, mais aussi aux réseaux sociaux et aux plateformes de diffusion en direct (livestreaming)». Les acteurs du Net, eux, plutôt favorables à une autorégulation, n’ont pas réagi immédiatement. Dans le texte législatif, les eurodéputés ont aussi élargi à toutes les plateformes de nouvelles règles « efficientes et efficaces » interdisant tout contenu incitant à la violence, à la haine et au terrorisme, et soumettant la violence gratuite et la pornographie aux règles les plus strictes. « Même si la priorité est donnée à la corégulation et à l’autorégulation, les plateformes de partage de vidéos devront désormais réagir de façon responsable et rapide lorsqu’un contenu nocif est signalé par les utilisateurs », souligne le Parlement européen. @

Charles de Laubier

ZOOM

DigitalEurope à Bruxelles et l’Asic à Paris restent sans voix
Du côté des plateformes vidéo, ni l’organe de lobbying bruxellois DigitalEurope, dont sont membres Amazon, Google/YouTube et Apple, ni
en France l’Association des services Internet communautaires (Asic), qui compte Netflix parmi ses membres depuis le début de l’année aux côtés de Google/YouTube et Dailymotion, n’ont réagi immédiatement à l’annonce de l’accord politique du 26 avril. En France, l’Asic était plutôt préoccupé par
« la potentielle entrave au développement du numérique européen que peut représenter la proposition de règlement sur l’équité dans les relations inter-entreprises ». Quant à l’association DigitalEurope, contactée par Edition Multimédi@, elle a répondu être encore en train d’étudier l’accord du 26 avril.
Il y a un an, lorsque le Parlement européen avait entamé les débats en avril 2017, notamment en voulant porter à 30 % le quota d’oeuvres européennes, DigitalEurope avait déclaré alors que cette proposition était « contre-productive ». En outre, la future directive SMA prévoit des mesures garantissent l’intégrité du signal qui s’appliquent aux téléviseurs connectés (Smart TV) et qui prévoient qu’un fournisseur de services de médias ne peut pas ajouter une fenêtre avec du contenu à l’écran au cours d’un programme audiovisuel sans avoir l’accord préalable du diffuseur ou de la chaîne. Réaction de DigitalEurope : « La mise en oeuvre de la directive SMA doit être harmonisée pour éviter un marché unique numérique fragmenté. Et nous espérons qu’elle ne limitera pas inutilement l’interface utilisateur ou les fonctionnalités des téléviseurs et terminaux », nous a juste indiqué son directeur de la communication et de la politique, Lionel Sola. @

Contenus illicites et piratage en ligne : la Commission européenne menace de légiférer si…

Si les acteurs du Net n’appliquent pas ses recommandations pour lutter contre les contenus à caractère terroriste, les incitations à la haine et à la violence, les contenus pédopornographiques, les produits de contrefaçon et les violations du droit d’auteur, la Commission européenne se dit prête sévir.

Facebook, Twitter, YouTube, Google, Microsoft et bien d’autres plateformes numériques et réseaux sociaux sont plus que jamais mis sous surveillance par la Commission européenne, laquelle les incite fortement – voire les obligera à terme si cela s’avérait nécessaire – à suivre ses recommandations publiées le 1er mars pour lutter contre les contenus illicites (terrorisme, haine, violence, …) et le piratage en ligne d’œuvres protégées par le droit d’auteur (musique, films, jeux vidéo, ebooks, …).

« Outils automatiques » et « vérification humaines »
Il s’agit pour les GAFAM et tous les autres de retirer le plus rapidement possible
les contenus illicites de l’Internet. Les « mesures opérationnelles » que préconisent l’exécutif européen – dans sa recommandation du 1er mars 2018 « sur les mesures destinées à lutter, de manière efficace, contre les contenus illicites en ligne » (1) –
ont pour but d’« accélérer la détection et la suppression du contenu illicites en ligne », tout en invitant les entreprises du Net à « appliquer le principe de proportionnalité lors de la suppression de contenu illicite » et « éviter la suppression – involontaire ou erronée – du contenu qui n’est pas illicite » (2) – notamment en prévoyant des procédures accélérées pour les « signaleurs de confiance ».
Il s’agit aussi de faire en sorte que les fournisseurs de contenus soient informés des suppressions de contenus illicites en ligne, afin qu’ils aient la possibilité de les contester par la voie d’un « contre-signalement ». En amont, les plateformes numériques et les réseaux sociaux sont tenus d’établir des règles simples et transparentes pour
« la notification du contenu illicite » ainsi que « des systèmes de notification clairs » pour les utilisateurs. Pour la suppression de ces contenus illicites, la Commission européenne demande à ce que, aux côtés des « outils proactifs » ou « outils automatiques » de détection et de suppression, les acteurs du Net aient aussi recours aussi à des « moyens de supervision et de vérification humaines ». Et ce, afin que les droits fondamentaux, la liberté d’expression et les règles en matière de protection des données soient respectés. Pour autant, dès qu’il existe des preuves d’une infraction pénale grave ou le soupçon qu’un contenu illicite représente une menace pour la vie d’autrui ou la sécurité, « les entreprises doivent informer sans délai les autorités répressives » – « les Etats membres [étant] encouragés à établir les obligations légales appropriées ». Quant aux contenus en ligne à caractère terroriste, ils font, eux, l’objet d’un traitement spécial et d’une « procédures accélérées » (voir encadré page suivante). Les Etats membres et les acteurs du numérique sont « invités » à présenter « dans un délai de six mois » des informations pertinentes sur tous les types de contenus illicites – exceptés les contenus à caractère terroriste où le délai du rapport est de trois mois.
Le vice-président pour le marché unique numérique, Andrus Ansip (photo), table sur l’autorégulation. Mais il menace de prendre des mesures législatives si cette autorégulation des plateformes ne donne pas des résultats efficaces. D’autant que le Parlement européen a déjà enjoint aux acteurs du Net, dans sa résolution du 15 juin 2017 sur les plateformes en ligne et le marché unique numérique (3), de « renforcer leurs mesures de lutte contre les contenus en ligne illégaux et dangereux », tout en invitant la Commission européenne à présenter des propositions pour traiter ces problèmes. Celle-ci va lancer « dans les semaines à venir » une consultation publique. « Ce qui est illicite hors ligne l’est aussi en ligne », prévient-elle. Il y a six mois, l’échéance du mois de mai 2018 avait été fixée pour aboutir sur le sujet et décider s’il y a lieu ou pas de légiférer.

Violations du droit d’auteur, fraudes, haines, …
Ainsi, cinq grandes catégories de contenus illicites en ligne sont susceptibles d’enfreindre des directives européennes déjà en vigueur :
• Violations des droits de propriété intellectuelle, au regard de la directive du 22 mai 2001 sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information – directive dite DADVSI (4).
• Escroqueries et fraudes commerciales, au regard de la directive du 11 mai 2005 sur les pratiques commerciales déloyales des entreprises vis-à-vis des consommateurs dans le marché intérieur (5), ou la directive du 25 octobre 2011 relative aux droits des consommateurs (6).
• Discours de haine illégaux, au regard de la décision-cadre du 6 décembre 2008 sur la lutte contre certaines formes et manifestations de racisme et de xénophobie au moyen du droit pénal (7).
• Matériel pédopornographique, au regard de la directive du 13 décembre 2011 pour la lutte contre les abus sexuels et l’exploitation sexuelle des enfants, ainsi que la pédopornographie (8).
• Contenu à caractère terroriste, au regard de la directive du 15 mars 2017 pour la lutte contre le terrorisme (9).

Vers le filtrage automatisé de l’Internet
Cette recommandation « Contenus illicites en ligne » du 1er mars 2018 sera complémentaire de la révision en cours de la directive « Services de médias audiovisuels » (SMA) qui prévoit des mesures législatives spéciales pour protéger
les mineurs en ligne contre les contenus préjudiciables (10) et tous les citoyens contre les discours de haine (11). Et bien qu’elle n’ait pas de caractère contraignant comme une directive ou un règlement, la recommandation va plus loin que les orientations
pour lutter contre le contenu illicite en ligne présentées en septembre 2017 par la Commission européenne. Pour les plateformes du numérique, grandes ou petites (12), elle énonce les modalités détaillées du traitement des notifications de contenu illicite selon des procédures dites de « notification et action » (notice and action) et encourage les acteurs du Net à recourir à des « processus automatisés comme le filtrage » du contenu mis en ligne. Cependant, au regard du statut d’hébergeur des YouTube, Facebook et autre Twitter, la recommandation du 1er mars 2018 ne modifie pas la directive du 8 juin 2000 sur le commerce électronique, laquelle exonère les intermédiaires en ligne de la responsabilité du contenu qu’ils gèrent. « La recommandation est une mesure non contraignante et ne saurait modifier l’acquis
de l’UE », a justifié à ce propose la Commission européenne, qui s’était engagée en 2016 « à maintenir un régime de responsabilité équilibré et prévisible pour les plateformes en ligne, étant donné qu’un cadre réglementaire fondamental est essentiel pour préserver l’innovation numérique dans l’ensemble du marché unique numérique ». Néanmoins, la directive « Commerce électronique » laisse la place à l’autorégulation pour la suppression de contenu illicite en ligne. Quitte à ce que cette autorégulation
soit supervisée par la Commission européenne, comme avec le « Code de conduite » présenté en septembre 2017 – et convenu avec Facebook, Twitter, Google (YouTube et Google+), Microsoft ainsi que Instagram (propriété de Facebook) rallié plus récemment – pour combattre les discours de haine illégaux sur Internet.

Code de conduite contre « Far West numérique »
Les autres plateformes numériques sont appelées, par Vera Jourová, commissaire européenne à la Justice, aux Consommateurs et l’Egalité des genres, à rejoindre ce Code de conduite. « Nous ne pouvons accepter qu’il existe un Far West numérique
et nous devons agir. Le Code de conduite montre qu’une approche d’autorégulation peut servir d’exemple et produire des résultats », avait-elle prévenu il y a six mois. Récemment, dans une lettre ouverte publiée le 12 mars dernier (13) à l’occasion des
29 ans de l’invention du le World Wide Web dont il est à l’origine, Tim Berners-Lee
a appelé à réguler les grandes plateformes en prônant « un cadre légal ou réglementaire ». @

Charles de Laubier

ZOOM

Contenu à caractère terroriste : pas de temps à perdre
Pour endiguer le contenu terroriste en ligne, qu’il est interdit d’héberger, la Commission européenne joue la montre. Elle recommande la suppression de ce type de contenu
« dans l’heure ». Partant du constat que le contenu à caractère terroriste est le plus préjudiciable au cours des premières heures de sa parution en ligne, « toutes les entreprises doivent supprimer ce type de contenu dans le délai d’une heure à compter de son signalement en règle générale », préconise-t-elle.
Pour les repérer, les GAFAM seront destinataires de « signalements » émanant d’autorités telles que la police ou la gendarmerie, ainsi que ceux effectués par l’unité de signalement des contenus sur Internet (IRU) de l’Union européenne au sein d’Europol, ou par les unités de signalement des Etats membres. Les acteurs du Net auront aussi mis en oeuvre leurs « mesures proactives, notamment en matière de détection automatique, afin de retirer ou désactiver efficacement et promptement le contenu
à caractère terroriste et d’empêcher sa réapparition après qu’il a été supprimé ».
Le contenu terroriste en ligne doit en tout cas faire l’objet de « procédures accélérées » pour traiter les signalements aussi vite que possible. Les Etats membres, eux, sont appelés à s’assurer qu’ils disposent des capacités et des ressources nécessaires
pour « détecter, identifier et signaler » le contenu à caractère terroriste. Ils doivent en outre remettre à la Commission européenne un rapport – « de préférence tous les
trois mois » (six mois pour les contenus illicites non terroristes) – sur les signalements et leur suivi, ainsi que sur la coopération avec les entreprises du Net. Par ailleurs, la Commission européenne soutient ce qu’elle appelle « des voix crédibles pour diffuser en ligne des contre-récits positifs ou des contre-discours » dans le cadre du Forum de l’UE sur l’Internet via son « programme de renforcement des moyens d’action de la société civile » (14) . @

Alphabet aurait franchi en 2017 la barre des 100 milliards de dollars de chiffre d’affaires

Alors que la maison mère Alphabet entérine en janvier la démission de Eric Schmidt de sa présidence et s’apprête à fêter en septembre les 20 ans de Google, son chiffre d’affaires 2017 – qu’elle dévoilera le 1er février – devrait dépasser les 100 milliards de dollars et son résultat net les 20 milliards.

Depuis la création il y a 20 ans de la startup Google, par Larry Page et Sergey Brin, le conglomérat Alphabet qu’est devenu aujourd’hui l’entreprise a passé un cap symbolique en 2017 : le chiffre d’affaire de la firme de Mountain View, consolidé au niveau de la holding Alphabet depuis plus de deux ans maintenant (1), aurait franchi sur l’exercice de l’an dernier la barre des 100 milliards de dollars. C’est ce que devrait confirmer Larry Page (photo), directeur général d’Alphabet, lors de la présentation des résultats financiers annuels le 1er février. En franchissant ce seuil symbolique de chiffre d’affaires annuel l’an dernier, Alphabet affiche encore une croissance insolente d’au moins 10 % sur un an. Certes, c’est deux fois moins que les 20 % de croissance du chiffre d’affaires enregistrés en 2016 (90,2 milliards de dollars) par rapport à l’année antérieure, mais cela reste une progression honorable à deux chiffres.

Google reste la vache à lait
Mieux : le bénéfice net d’Alphabet aurait franchi en 2017, et pour la première fois, une autre barre symbolique, celle des 20 milliards de dollars – contre 19,4 milliards de résultat net en 2016. Un troisième seuil symbolique a également été franchi l’an dernier : le cash disponible a dépassé depuis fin septembre les 100 milliards de dollars (contre 86,3 milliards à fin 2016). L’année 2017 aura donc été, comme les années passées, faste pour Alphabet qui tire encore plus de… 98 % de ses revenus de sa filiale Google, laquelle aurait donc généré à elle seule en 2017 plus de 98 milliards de dollars provenant de ses activités moteur de recherche Google, plateforme vidéo YouTube, Android, Chrome, Google Play, Google Maps ou encore Google Cloud. Alphabet, qui emploie plus de 70.000 personnes dans le monde, reste cependant très dépendant des recettes publicitaires qui pèsent encore plus de 80 % des revenus globaux du groupe. Quant aux « autres paris » (other bets), que chapeaute Alphabet et non plus Google, ils continuent de générer des revenus embryonnaires issus principalement de la vente de services Internet et TV via le réseau de fibre aux Etats-Unis (Google Fiber et Access), des objets et services connectés dans la maison (Nest) et des licences et la R&D dans les sciences de la vie et de l’esanté (Verily (2)). Alphabet mise aussi sur d’autres projets prometteurs ou incertains tels que les recherches sur la longévité de la vie (Calico), la voiture autonome et connectée (Waymo) ou des projets financés par ses fonds GV (ex-Google Ventures) et CapitalG ou encore X Development (3). L’année 2017 aura aussi permis à l’action Alphabet (4) de bondir d’environ 30 % en un an à plus de 1.000 dollars, pour une capitalisation boursière totale de 768,5 milliards de dollars au 11 janvier 2018. Ce qui rapproche un peu plus la firme de Mountain View de la firme
de Cupertino, à savoir Apple aux 886 milliards de dollars de capitalisation boursière. Google et Apple visent tous les deux les 1.000 milliards de dollars en Bourse ! Peu
de temps après son introduction de Google en Bourse en 2004, l’agence Reuters a rapporté le récit d’un ancien employé du géant du Net racontant que lorsque Eric Schmidt, alors PDG de Google, avait expliqué que l’objectif avec Larry Page et Sergey Brin était de « créer une société à 100 milliards de dollars » (selon le propos de Sergey Brin prononcé le 28 février 2006), un salarié lui avait demandé : « Vous voulez dire à 100 milliards de capitalisation boursière ou à 100 milliards de chiffre d‘affaires ? ».
Eric Schmidt lui avait alors répondu : « A vous de choisir ! ». Si cet objectif en Bourse
a bien été atteint dès fin 2005, il aura fallu attendre treize ans pour que celui du chiffre d’affaires à 100 milliards le soit à son tour. C’est dans ce contexte d’euphorie financière que Eric Schmidt quitte, courant janvier, ses fonctions de président exécutif d’Alphabet (5) pour devenir conseiller technique « sur la science et la technologie » après 17 ans passés au service du géant du Net. Il sera remplacé par un président non exécutif cette fois – comme chez Apple ou Microsoft.

Zones de turbulence fiscale
Le retrait de Eric Schmidt sonne comme une reprise en main d’Alphabet par le Russo-américain Sergey Brin (président) et l’Américain Larry page (directeur général),
à l’heure où le groupe fait l’objet de redressement fiscaux dans plusieurs pays.
Selon l’agence Bloomberg, qui a mentionné le 2 janvier dernier des documents réglementaires néerlandais, la maison mère de Google a transféré 15,9 milliards d’euros en 2016 des Pays-Bas vers une société écran aux Bermudes. Grâce au
« Double Irish » et au « Dutch Sandwich », Alphabet a ainsi évité de payer plusieurs milliards d’euros d’impôts (6). Et aux Etats-Unis, la firme de Mountain View n’a pas encore payé d’impôt sur les 60,7 milliards de dollars qu’elle détient « outre-mer ». @

Charles de Laubier

Données personnelles ou droit de la concurrence : Facebook ne se fait pas que des amis

Alors que Facebook a franchi la barre des 2 milliards d’utilisateurs, des autorités nationales et européenne s’y intéressent de plus en plus comme en témoignent les sanctions prononcées récemment à son encontre, en matière de données à caractère personnel ou en droit de la concurrence.

Par Christiane Féral-Schuhl*, avocate associée, cabinet Féral-Schuhl/Sainte-Marie

Dans sa délibération du 27 avril 2017 (1), rendue publique le 16 mai suivant (2), la formation restreinte de la Cnil (3) a prononcé une sanction de 150.000 euros à l’encontre de Facebook. Cette sanction faisait suite à la mise en demeure, datée du 26 janvier 2016, par laquelle la Cnil, constatant plusieurs manquements à la loi informatique et libertés, avait demandé à Facebook de se mettre
en conformité. Plus largement, cette décision s’inscrit dans le prolongement d’une action conduite par plusieurs autorités nationales de protection
des données décidée à la suite du changement par le réseau social de sa politique
de confidentialité.

Lois nationales et acteurs globaux du Net
La Commission européenne a, quant à elle, prononcé une amende de 110 millions euros à l’encontre de Facebook pour avoir communiqué des informations inexactes ou dénaturées dans le cadre de l’enquête qu’elle a menée au titre du rachat de WhatsApp par Facebook en 2014. Cette sanction a été publiée le 18 mai dernier (4) (voir encadré page suivante). Ces procédures engagées à l’encontre de Facebook en Europe et en France démontrent l’inégalité des moyens d’action juridique existants et marquent la volonté des autorités de renforcer le montant des sanctions en matière de protection des données jugé trop peu dissuasif. L’adoption du règlement européen du 27 avril 2016 sur la protection des données personnelles (5) va résolument dans ce sens en augmentant considérablement le montant des sanctions prononcées par les « Cnil » en Europe. Sur ce point, le droit de la concurrence apparaît plus dissuasif puisqu’il prévoit déjà des sanctions dont le montant est proportionnel au chiffre d’affaires de l’entreprise condamnée. A propos de la sanction de Facebook en France par la Cnil, la délibération de cette dernière contient des enseignements intéressants notamment sur l’applicabilité de la loi française lorsqu’un responsable de traitement est établi dans plusieurs Etats de l’Union européenne (UE). Rappelons en effet que la loi « Informatique et libertés » (6) s’applique si le responsable d’un traitement qui exerce une activité sur le territoire français dans le cadre d’une installation, quelle que soit sa forme juridique, y est considéré comme établi (7) et que la Cnil peut exercer un contrôle sur tout traitement dont les opérations sont mises en oeuvre, même partiellement, sur le territoire national, y compris si le responsable du traitement est établi dans un autre Etat membre de l’UE (8). Pour déterminer l’applicabilité du droit français en l’espèce, la Cnil va examiner les deux critères énoncés par la directive 95/46/CE sur la protection des données : d’une part, l’existence d’un établissement ; d’autre part, la mise en oeuvre du traitement dans le cadre de ses activités. A cet égard, il est intéressant de souligner que la Cnil a souhaité se référer au texte européen (9) plutôt qu’à celui de la loi française « Informatique et libertés ». Dans sa délibération, la Cnil fait référence à la jurisprudence de la Cour de justice de l’Union européenne (CJUE) et à son interprétation large de la notion d’établissement à l’appui de son raisonnement (10). Ainsi, la formation restreinte considère que Facebook doit être qualifié d’établissement car « Facebook France constitue une installation stable qui exerce une activité réelle et effective grâce à des moyens humains et techniques nécessaires notamment à la fourniture de services de marketing » et participe dans le cadre de ses activités aux traitements en cause. Cette analyse va à l’encontre de celle avancée par Facebook qui contestait la compétence de la Cnil au profit de la législation irlandaise et, par conséquent, de l’autorité irlandaise seule autorité compétente pour contrôler le traitement des données personnelles des utilisateurs du service en Europe. Il est également intéressant de relever que la Cnil adopte la position de la CJUE qui s’était pourtant prononcée dans un contexte différent puisque, contrairement à l’arrêt « Google Spain » cité par la Cnil, « il n’existe aucun risque de contournement des dispositions européennes », Facebook ne contestant pas l’applicabilité du droit européen mais celui du droit français.

Compétence territoriale étendue ?
La Cnil se positionne donc en faveur d’une compétence territoriale étendue pour affirmer la compétence de la loi « Informatique et libertés », sa propre compétence
et prononcer une sanction à l’encontre de Facebook. Cette analyse doit être prise en compte par les responsables de traitements qui sont établis dans plusieurs Etats de l’UE notamment à l’approche de l’entrée en vigueur – à partir du 25 mai 2018 – du règlement européen qui étend le champ de la compétence territoriale. En effet, avec
le nouveau règlement, la personne concernée pourra saisir aussi bien l’autorité de contrôle de l’Etat membre où est situé le responsable du traitement ou son sous-traitant que l’autorité de contrôle dans lequel se trouve sa propre résidence ou son lieu de travail, voire le lieu où la violation alléguée aurait été commise. La décision de la Cnil en France apporte également un certain nombre de précisions au regard des règles relatives à la protection des données à l’approche de l’entrée en vigueur du règlement européen sur la protection des données.

Six manquements de Facebook à la loi française
La délibération de la Cnil sanctionne Facebook au titre de six manquements aux obligations énoncées par cette loi, à savoir : l’obligation d’information, l’obligation de disposer d’une base légale pour les traitements, l’obligation d’une collecte loyale des données, l’obligation d’un consentement exprès pour les données sensibles, l’obligation de mettre à disposition un moyen valable pour s’opposer aux cookies, et l’obligation
de respecter une durée de conservation des données. La délibération de la Cnil est riche en enseignement, notamment sur les manquements au regard de l’obligation d’information. A ce titre, la Cnil relève que la politique d’utilisation des données de Facebook ne précise ni les droits dont disposent les utilisateurs ni les informations relatives au transfert de données hors de l’UE. Elle considère que Facebook doit afficher directement l’information sur le formulaire de collecte et non pas via un lien figurant sur le formulaire d’inscription.
Concernant cette fois la combinaison massive de données pour le ciblage publicitaire, la Cnil relève qu’« aucun des documents mis à la disposition des utilisateurs […] ne mentionne expressément la combinaison de données », Ainsi, si les utilisateurs disposent de moyens pour maîtriser l’affichage de la publicité ciblée, ils ne consentent pas à la combinaison massive de leurs données et ne peuvent s’y opposer, que ce
soit lors de la création de leur compte ou a posteriori. Enfin, sur l’utilisation du cookie
« datr », la Cnil relève que l’information « ne permet pas aux internautes et en particulier aux internautes non-inscrits sur le réseau social, d’être clairement informés
et de comprendre que leurs données sont systématiquement collectées dès lors qu’ils
se trouveront sur un site tiers comportant un module social ». Sur les autres manquements, Facebook ne recueille pas le consentement exprès des utilisateurs lorsqu’ils renseignent des données sensibles et que le paramétrage du navigateur ne permet pas aux utilisateurs de s’opposer valablement aux cookies déposés sur leur équipement terminal.
La Cnil a donc prononcé une sanction de 150.000 euros à l’encontre du réseau social, soit le maximum qu’elle peut aujourd’hui infliger (ce montant pouvant être porté au double en cas de récidive). Cependant, ce montant prévu par la loi « Informatique et liberté » apparaissant peu inadapté au regard de la potentielle gravité des violations de la législation et à la puissance de certains responsables de traitements qui s’en rendent coupables, le nouveau règlement européen prévoit, en fonction des atteintes, des sanctions allant jusqu’à 20millions d’euros ou, dans le cas d’une entreprise jusqu’à 4% du chiffre d’affaires annuel mondial total (11). La délibération de la Cnil amorce l’entrée en vigueur de la nouvelle réglementation européenne qui renforce les obligations de protection en matière de données personnelles. A titre d’illustration, le règlement viendra renforcer le droit à l’information en ajoutant notamment à la liste des informations à fournir : l’identité et les coordonnées du responsable de traitement, le cas échéant, celles de son Data Protection Officer (DPO), les finalités du traitement auxquelles sont destinées les données à caractère personnel ainsi que la base juridique du traitement, les catégories de destinataires de ces données, ainsi que, éventuellement, le transfert de ces données vers un pays tiers. En outre, le règlement prévoit une obligation d’information spécifique en matière de profilage et le consentement devra être recueilli pour toutes les finalités, à défaut de quoi il ne peut être considéré comme valable. @

* Ancien bâtonnier du Barreau de Paris.

ZOOM

Sanction de Facebook par la Commission européenne
Facebook a été sanctionné par l’Union européenne (UE) pour ses pratiques, non
plus sur le fondement des données personnelles, mais sur celui du règlement de 2004 relatif aux concentrations (12). En effet, la Commission européenne a prononcé une sanction de 110 millions d’euros à l’encontre de Facebook pour lui avoir fourni des fausses informations au moment de l’enquête menée au titre du rachat de WhatsApp par Facebook. La Commission européenne n’a toutefois pas remis en cause le rachat de WhatsApp par Facebook décidé en 2014. En l’espèce, il était question de la combinaison des données entre les deux entités, une combinaison que Facebook
disait impossible lors du rachat du service de messagerie en 2014. Ainsi, « la société
a informé la Commission [européenne] qu’elle ne serait pas en mesure d’établir d’une manière fiable la mise en correspondance automatisée entre les comptes d’utilisateurs de Facebook et ceux de WhatsApp ». Selon la Commission européenne, « Facebook a commis deux infractions distinctes en fournissant un renseignement inexact et dénaturé d’une part dans le formulaire de notification de la concentration et d’autre part, dans la réponse à une demande de renseignements de la Commission » et a fait preuve tout au moins de négligence.
Pour fixer le montant de l’amende, la Commission européenne a toutefois pris en compte certaines circonstances atténuantes, notamment la collaboration de l’entreprise durant cette enquête. L’annonce du partage de données et de numéros de téléphone entre Facebook de WhatsApp en 2016 avait déjà fait l’objet de protestions notamment par le G29, qui dans une lettre ouverte (13) avait dénoncé lui aussi la contraction du partage de ces données avec la déclaration des entreprises lors de l’opération de rachat. Dans cette lettre, le groupe européen des « Cnil » avait demandé une suspension de ce rapprochement entre les deux applications eu égard à la validité
des finalités poursuivies et à celle du consentement des utilisateurs. Cette demande avait été finalement prise en compte par WhatsApp qui avait suspendu l’envoi des informations à fin publicitaire à sa maison- mère, Facebook. Compte tenu des enjeux,
il semblerait que seule une action commune au niveau européen semble susceptible d’impacter véritablement le comportement de groupes comme Facebook. @

Le nouveau protocole IPv6 pourrait améliorer la diffusion des flux vidéo sur Internet

La loi « République numérique », promulguée le 8 octobre, prévoit qu’« à compter du 1er janvier 2018, tout nouvel équipement terminal (…) doit être compatible avec la norme IPv6 ». Passer d’IPv4, dont les adresses seront épuisées dans
cinq ans, à IPv6 permettrait notamment d’améliorer l’audiovisuel en ligne.

Quel est l’intérêt de passer à IPv6 pour les contenus en ligne ? A priori, aucun ! Sauf qu’à y regarder de plus près, le successeur du protocole IPv4 qui assure les connexions sur Internet permettrait d’améliorer de façon significative les performances des applications mobile. C’est ce qu’affirme par exemple Facebook où le temps de réponse du numéro un des réseaux sociaux est jusqu’à 40 % meilleur sous IPv6 par rapport à un accès mobile sous IPv4.

Quel intérêt « commercial » ?
A l’heure où nombre d’acteurs du Net misent sur la vidéo, le différentiel justifierait à
lui seul l’adoption de ce « nouveau » protocole Internet. « Le protocole IPv6 pourrait permettre un acheminement plus performant des flux vidéo », souligne le rapport de l’Arcep remis en juin dernier au gouvernement français sur « l’état de déploiement du protocole IPv6 en France », et publié le 30 septembre dernier (1). Les services vidéo tels que les plateformes de partage vidéo (YouTube, Dailymotion, …), la VOD, la télévision de rattrapage, les bouquets de chaînes de type Molotov ou encore les publicités vidéo pourraient voir leurs temps de latence réduits grâce à l’IPv6.
Pourtant, malgré l’augmentation de la consommation de vidéo et de contenus dévoreurs de bande passante, tous les terminaux ne sont pas compatibles avec ce nouveau protocole Internet. C’est ce que constate d’ailleurs Akamai, l’un des leaders mondiaux des services de réseau de diffusion de contenu (CDN (2)), dans son dernier rapport trimestriel sur l’état d’Internet : « Il y a une absence de compatibilité d’IPv6
dans certains appareils électroniques grand public (tels que les téléviseurs connectés
et les media players), ce qui représente une barrière à son expansion ».
Alors que la vidéo devient la killer application du Web et des applications mobile, il est paradoxale de constater que le protocole IPv6 – permettant de simplifier certaines fonctions de la couche réseau telles que le routage et la mobilité – peine à être adopté. Et l’on ne peut pas dire que les acteurs du Net sont pris de court : les spécifications techniques d’IPv6 ont une vingtaine d’années d’existence et le lancement mondial de ce protocole par l’Internet Society est intervenu le 6 juin 2012, il y a déjà plus de quatre ans ! Selon l’observatoire « 6Lab » de Cisco (3), la part de contenus en ligne disponible en IPv6 – sur les 500 sites web les plus visités par des internautes en France – est d’environ 52 % à l’heure où nous écrivons ces lignes.
Les adresses IP sont à Internet ce que sont les numéros au téléphone. Sans ce protocole réseau, pas de connexion possible entre terminaux et serveurs. En raison
de la pénurie annoncée d’adresses IPv4, qui sont limitées à un peu plus de 4 milliards différentes, le protocole IPv6 doit débloquer la situation en offrant un nombre presque infini d’adresses : 340 milliards de milliards de milliards de milliards (4), soit 340 sextillions d’adresses ! Selon le Ripe, le forum des réseaux IP européens, l’épuisement du dernier bloc d’adresses IPv4 disponibles est attendu pour 2021 – soit dans seulement cinq ans maintenant. Mais les fournisseurs d’accès à Internet (FAI), les éditeurs de sites web, d’applications mobile et de services en ligne, les hébergeurs,
les plateformes vidéo, ainsi que les intermédiaires techniques et les fabricants de terminaux traînent des pieds depuis des années pour implémenter cette nouvelle norme. Car, comme le constate le rapport de l’Arcep, les acteurs du réseau des réseaux ne voient pas « de bénéfices commerciaux immédiats » à passer d’IPv4 à IPv6. A cela s’ajoutent l’absence de coordination entre les acteurs, le manque de maîtrise et de maturité autour de ce nouveau protocole, et le maintien nécessaire en parallèle des réseaux IPv4.

Retard de la France
Il suffit qu’un des maillons de la chaîne Internet ne supporte pas le nouveau protocole pour que IPv4 soit sollicité. Autant dire que le transport de bout en bout d’une vidéo, par exemple, sous IPv6 n’est pas pour demain. Pour remédier à cet attentisme, le rapport de l’Arcep a préconisé en juin dernier que l’Etat français « montre l’exemple » en rendant accessibles en IPv6 tous les sites web et services publics en ligne.
C’est ce que prévoit la loi « Economie numérique », promulguée le 8 octobre au Journal Officiel après avoir été portée par la secrétaire d’Etat au Numérique et à l’Innovation, Axelle Lemaire (photo), dans son article 16 : « Les administrations (…) encouragent la migration de l’ensemble des composants de ces systèmes d’information vers le protocole IPv6, sous réserve de leur compatibilité, à compter du 1er janvier 2018 ».

Dans la foulée, cette loi – dont on attend maintenant les décrets d’application – prévoir dans son article 42 qu’« à compter du 1er janvier 2018, tout nouvel équipement terminal (…) destiné à la vente ou à la location sur le territoire français doit être compatible avec la norme IPv6 ». En attendant, l’Arcep a promis de publier fin 2016 un premier observatoire de la transition vers IPv6. Mise à part cette volonté politique de rattraper
le retard flagrant de la France dans l’adoption de ce nouveau protocole (voir tableau ci-dessus) , seul capable d’absorber la multiplication des terminaux dans les foyers (plus d’une demi-douzaine) et surtout la montée en charge de la vidéo et de l’Internet des objets, bon nombre d’acteurs du Net ne voient pas encore l’intérêt de se précipiter.

Les FAI sont-ils pro-IPv6 ? Orange en retard
D’autant qu’une technique dite NAT (Network Address Translation), pratiquée par les FAI sur leur « box », permet de partager une unique adresse IPv4 entre plusieurs terminaux et ainsi d’économiser de nombreuses adresses IPv4.
Or, des experts interrogés par l’Arcep, cette pratique généralisée sur le réseau d’un opérateur télécoms – technique dite alors CGN (Carrier Grade NAT) – peut « entraver le fonctionnement de certains protocoles et donc de certains types de services sur Internet » tels que « les applications pair-à-pair et certains modes de jeux en ligne ». Ainsi, plusieurs éditeurs de services en ligne qui utilisent des protocoles peer-to-peer ont dû procéder à des développements afin de s’assurer du bon fonctionnement de leurs services sur des réseaux CGN et éviter les dysfonctionnements. Du côté des FAI, Akamai montre que Verizon est le premier dans le monde à avoir la plus grande proportion (74 %) de requêtes traitées sous IPv6. Il est suivi par T-Mobile (61 %), toujours aux Etats-Unis. Viennent ensuite Sky Broadband (56 %) en Grande-Bretagne, Telenet (54 %) en Belgique et Kabel Deutschland (52 %) en Allemagne.
Tous les autres pays traitent moins de la moitié des requêtes en IPv6 (voir tableau ci-dessus), dont Free et sa filiale Proxad (25 %) en France, cependant mieux disant qu’Orange (15 %).

Dans son rapport au gouvernement, l’Arcep, elle, observe que « plusieurs plans
de déploiements de FAI majeurs en France prévoient d’allouer des adresses IPv6
en priorité aux abonnés FTTH (Fiber-To-The-Home), qui génèrent un trafic significativement plus important que les abonnés xDSL par exemple ».
Orange a en effet annoncé en début d’année 2016 le début des déploiements IPv6 non seulement pour ses clients FTTH mais également VDSL. A noter que, selon le blog The World IPv6 Launch, « plus de 12 % des utilisateurs accèdent maintenant aux services de Google sous IPv6, alors qu’ils étaient moins de 1 % quatre ans auparavant ». Le basculement est en marche. @

Charles de Laubier