Quel rapport entre le e-commerçant Zalando et trois sites pornos ? Le Digital Services Act !

Les plateformes de e-commerce Zalando et pornographiques Pornhub et Stripchat – mais pas XVideos – ont en commun de contester devant la Cour de justice de l’Union européenne (CJUE) leur inscription dans la liste des « très grandes plateformes en ligne » dans les Vingt-sept régies par le DSA.

Le e-commerçant allemand Zalando avait été désigné le 25 avril 2023 par la Commision européenne – dans le cadre du Digital Services Act (DSA) – comme « très grande plateformes » ou VLOP (1) dans le jargon bruxellois, aux côtés de Alibaba/AliExpress, Amazon Store, Apple/AppStore, Booking, Facebook, Google Play, Google Maps, Google Shopping, Instagram, LinkedIn, Pinterest, Snapchat, TikTok, Twitter, Wikipedia et YouTube, ainsi que des « très grands moteurs de recherche en ligne » ou VLOSE (2), Bing et Google Search (3). A ce « Big 19 » sont venus s’ajouter le 28 décembre 2023 trois autres VLOP, les plateformes pornographiques Pornhub, Stripchat et XVideos (4).

La Commission européenne devant la CJUE
Chacune de ces vingt-deux plateformes très fréquentées présentent autant de « risque systémique » qu’elles ont l’obligation de gérer pour l’éviter sous peine d’amendes. Mais depuis juin 2023, Zalando demande à la Cour de justice de l’Union européenne (CJUE) l’annulation de la décision de la Commission européenne, celle du 25 avril 2023 listant les dix-neuf géants du Net qui présentent chacun un « risque systémique » et qui sont soumis de ce fait à des obligations renforcées. Et, selon les informations de Edition Multimédi@, la société Aylo Freesites éditrice du site pornographique Pornhub et basée à Chypre – elle-même rachetée il y a un an par le fonds d’investissement québécois Ethical Capital Partners (ECP) –, vient de déposer, le 1er mars 2024, son recours devant la CJUE. Également basée à Chypre, la société Technius – éditrice du site pornographique Stripchat – avait fait de même le 29 février 2024.

Lutte contre le piratage : les « cyberlockers » donnent du fil à retordre aux industries culturelles

Aiguillonnée par l’Alpa et l’Arcom, la justice française multiplie les décisions de blocage de sites pirates qui recourent aux « cyberlockers », hébergeurs générant des liens web pour permettre à leurs utilisateurs d’accéder à des fichiers de films, séries, musiques ou livres, souvent piratés. Les « cyberlockers » ont le vent en poupe et jouent au chat et à la souris avec les ayants droits, les régulateurs et les juges. En France, rien qu’en janvier 2024, ce ne sont pas moins cinq d’entre eux – Turbobit, Rapidgator, Streamtape, Upstream et Nitroflare – qui ont été bloqués par décision de justice. En un an, près d’une quinzaine de ces sites d’hébergement générateurs de liens web uniques ou multiples – des URL (Uniform Resource Locator) pour permettre de télécharger des fichiers de contenus et de les partager – ont été bloqués, sur décision du juge, par les Orange, SFR, Bouygues ou Free. Les 25 membres de l’Alpa en lutte Outre les cinq cyberlockers épinglés en janvier, il en a aussi été ainsi de Doodstream, Mixdrop, Vidoza et Netu par jugement de juin 2023, de Uptobox en mai 2023 (1), ainsi que de Uqload, Upvid, Vudeo et Fembed en janvier 2023. C’est ce que révèle une étude de l’Association de la lutte contre la piraterie audiovisuelle (Alpa), réalisée avec Médiamétrie et publiée discrètement le 7 mars dernier – communiquée, sans présentation formelle, aux membres de l’Alpa qui l’a mise en ligne sur son site web (2). Contacté par Edition Multimédi@, le délégué général de l’Alpa depuis plus de 21 ans, Frédéric Delacroix (photo), nous explique que « les sites pirates utilisent les cyberlockers pour héberger les contenus illicites qu’ils proposent sur leurs pages en mettant à disposition des liens – de téléchargement DDL (3) ou de streaming – renvoyant sur ces derniers, les cyberlockers étant des services essentiels dans l’écosystème pirate et ne servant qu’à l’hébergement de contenus illicites ». Les sites pirates et leurs sites miroirs peuvent y recourir pour brouiller les pistes en multipliant les URL. Les sites miroirs sont, eux, de nouveaux chemins d’accès via de nouveaux noms de domaine qu’utilisent les sites pirates, faisant l’objet de mesures de blocage sur leur nom de domaine initial, pour poursuivre leur activité illégale. Ces sites illégaux se nomment 1fichier.com, Yggtorrent.qa, Wawacity.autos, Papadustream.to ou encore Rapidgator.net, pour ne citer que les plus utilisés en décembre 2023 d’après Médiamétrie. « Les cyberlockers ont longtemps bénéficié du statut (favorable) d’hébergeurs, supprimant sur notification les fichiers illicites notifiés par les ayants droit, mais en favorisant leur réintroduction à l’identique en connivence avec les administrateurs pirates. Nous avons réussi à prouver que leur système économique ne reposait que sur la contrefaçon d’œuvres protégées », poursuit Frédéric Delacroix. Le délégué général de l’Alpa rappelle que la Cour de justice de l’Union européenne (CJUE) a – dans son arrêt « Cyando/ Uploaded » du 27 juillet 2021 (4) – édicté des principes permettant d’établir le caractère contrefaisant de ce type de cyberlocker (plateforme de partage de vidéos ou plateforme d’hébergement et de partage de fichiers). « Ce qui a permis aux ayants droit, membres de l’Alpa et à notre initiative, d’en demander le blocage en justice fin 2022 ». Et depuis 2017, les ayants droit membres de l’Alpa sont à l’initiative de décisions de justice portant sur 1.300 sites pirates à ce jour, correspondant à l’utilisation de plus de 3.400 noms de domaine. L’Alpa – association française créée il y aura 40 ans l’an prochain et présidée depuis plus de 20 ans par Nicolas Seydoux (84 ans), président de Gaumont – compte aujourd’hui vingt-cinq membres que Edition Multimédi@ présente de façon inédite par catégorie : Organisations professionnelles : Association des producteurs indépendants (API), Auteurs, réalisateurs et producteurs (L’Arp), Fédération nationale des éditeurs de films (FNEF), Motion Picture Association (MPA), Société civile des producteurs de cinéma et de télévision (Procirep), Société des auteurs et compositeurs dramatiques (SACD), Société des auteurs, compositeurs et éditeurs de musique (Sacem), Syndicat de l’édition vidéo numérique (SEVN), Syndicat des producteurs indépendants (SPI), Union des producteurs de cinéma (UPC). Studios de cinéma : Gaumont, Paramount Picture France, Pathé Films, Sony Pictures Home Entertainment, Universal Pictures Vidéo France, Walt Disney Entertainment, Warner Bros Home Video. Salles de cinéma : Fédération nationale du cinéma français (FNCF), UGC (ex-Union générale cinématographique). Chaînes de télévision : France Télévisions, Canal+, TF1, M6 via sa Société nouvelle de distribution (SND). Plateforme de SVOD : Netflix. Autorité publique : Centre national du cinéma et de l’image animée (CNC). L’Alpa touche des subventions publiques, notamment de la part du CNC qui est un établissement public à caractère administratif placé sous l’autorité du ministère de la Culture.Le CNC pourra bientôt saisir l’Arcom Grand argentier du cinéma, de l’audiovisuel et du multimédia (dont la création numérique sur Internet, jeu vidéo, réalité virtuelle et métavers), le CNC pourrait voir ses pouvoirs étendus aux sites miroirs par la proposition de loi « visant à conforter la filière cinématographique ». Ce texte législatif, qui a été adopté en première lecture au Sénat le 14 février dernier et est actuellement entre les mains de la commission des affaires culturelles et de l’éducation de l’Assemblée nationale (5) a fait l’objet d’un amendement adopté en commission début février (6). Celui-ci prévoit que les titulaires de droits ne soient plus les seuls à pouvoir saisir l’Autorité de régulation de la communication audiovisuelle et numérique (Arcom) pour lui demander d’enjoindre directement aux fournisseurs d’accès à internet (FAI) et sans passer par un juge (7) – comme c’est cas depuis octobre 2022 – de bloquer des sites miroirs de ces sites illégaux et cyberlockers déjà condamnés par la justice. Avec la nouvelle mesure, le CNC aurai aussi la possibilité de saisir l’Arcom pour lutter contre ces sites miroirs. Les ayants droits, les organismes de gestion collective et les organismes de défense professionnelle – autrement dit « toute personne qualifiée pour agir » (8) – pourraient aussi saisir l’Arcom sur ces sites miroirs. D’autant que les premiers résultats de cette procédure sans juge sont considérés par le régulateur et les parlementaires comme « prometteurs » au regard de « la baisse de l’audience des “galaxies” de sites miroirs ». L’Arcom aurait ainsi reçu jusqu’à maintenant plus de 600 demandes d’« actualisation de décisions de justice » qui ont lui ont permet de notifier depuis plus d’un an 770 noms de domaine aux FAI pour en empêcher l’accès. L’audience des sites illicites baisse Ces jugements de blocage de cyberlockers, ordonnés le plus souvent par le tribunal judiciaire de Paris aux opérateurs télécoms et FAI contribuent – à l’instar du blocage des sites illégaux ou de leurs miroirs – à la baisse de l’audience des sites de streaming vidéo en France. A chaque décision judicaire, les audiences de ces cyberlockers et plus généralement des sites pirates ou de leurs répliques (sites miroirs) reculent de façon significative. Pour autant, la fréquentation de ces mêmes cyberlockers et/ou sites pirates peut reprendre du poil de la bête avec la mise en ligne de nouveaux sites miroirs et de nouveau liens URL, mais sans retrouver les niveaux d’avant les jugements (voir graphique plus haut). Résultat, toujours selon Médiamétrie pour l’Alpa : l’audience globale des sites illicites en France ne cesse de baisser d’année en année (sauf en 2018), passant de 15,1 millions d’« internautes pirates » en 2016 à seulement 6,3 millions en 2023. Si l’on part de l’année 2018 où les smartphones ont été pris en compte pour la première fois, portant à 15,4 millions le nombre d’« internautes pirates », cela représente un recul de 59 % en cinq ans (voir graphique ci-dessous). Mais le piratage en ligne (streaming et téléchargement) n’est pas mort pour autant. « L’efficacité est “relative” si l’on regarde la courbe du piratage », relève le délégué général de l’Alpa, d’autant que « nos statistiques ne prennent pas en compte les blocages des services IPTV que nous opérons depuis 2020 ». @

Charles de Laubier

Abonnements payants de Facebook et Instagram en Europe : Meta se heurte aux exigences du RGPD

Pour Instagram ou Facebook sans publicités, il en coûte désormais aux Européens 9,99 euros par mois sur le Web et même 12,99 euros sur application mobile. C’est cher payé pour ne plus être ciblé dans sa vie privée. Et le consentement « libre » des utilisateurs exigé par le RGPD est-il respecté ?

(Cet article juridique a été publié dans EM@ n°312 du 18 décembre 2023. Le 11 janvier 2024, l’organisation Noyb a annoncé avoir déposé plainte contre Meta)

La Quadrature du Net n’a pas réussi à « faire tomber » l’ex-Hadopi devant le juge européen

L’association de défense des libertés fondamentales La Quadrature du Net n’a pas convaincu l’avocat général de la Cour de Justice européenne (CJUE) que l’Hadopi – devenue, avec le CSA en 2022, l’Arcom – agissait illégalement dans le traitement des données personnelles pour la riposte graduée.

Comme la Cour de Justice de l’Union européenne (CJUE) suit souvent – à près de 80% selon les statistiques – les conclusions de son avocat général, il y a fort à parier que cela sera le cas dans l’affaire « La Quadrature du Net versus Hadopi ». En l’occurrence, le 28 septembre 2023, l’avocat général de la CJUE – le Polonais Maciej Szpunar (photo) – conclut que la conservation et l’accès à des données d’identité civile, couplées à l’adresse IP utilisée, devraient être permis lorsque ces données constituent le seul moyen d’investigation permettant l’identification d’auteurs d’infractions exclusivement constituées sur Internet.

15 ans de combat contre la loi Hadopi
La Quadrature du Net (LQDN) est donc en passe de perdre un combat qu’elle a engagé il y a quinze ans – contre la loi Hadopi et contre l’autorité administrative indépendante éponyme pratiquant la « réponse graduée » à l’encontre de pirates présumés sur Internet de musiques et de films ou d’autres contenus protégés par le droit d’auteur.
L’association française défenseuse des libertés fondamentales à l’ère du numérique était repartie à la charge contre l’Hadopi. Et ce, en saisissant en 2019 le Conseil d’Etat – avec FDN (1), FFDN (2) et Franciliens.net – pour demander l’abrogation d’un décret d’application de la loi « Hadopi » signé par le Premier ministre (François Fillon à l’époque), le ministre de la Culture (Frédéric Mitterrand) et la ministre de l’Economie (Christine Lagarde). Ce décret « Traitement automatisé de données à caractère personnel » (3) du 5 mars 2010 permet à l’ex-Haute autorité pour la diffusion des œuvres et la protection des droits sur Internet (Hadopi) – devenue l’Arcom (4) en janvier 2022 par fusion avec le CSA – de gérer un fichier « riposte graduée » constitué de données obtenues auprès des ayants-droits (les adresses IP) et des fournisseurs d’accès à Internet (l’identité civile).

Google Analytics, outil de mesure d’audience le plus utilisé au monde : toujours illégal en Europe ?

Il y a un an, la Cnil mettait en demeure une première société française éditrice d’un site web utilisant Google Analytics, jugé incompatible avec le RGPD quant au transfert des données vers les Etats-Unis. Deux autres sociétés ont été aussi épinglées sur les 101 plaintes de l’association Noyb. Il y a plus de trois mois, Russell Ketchum (photo de gauche), directeur de Google Analytics, confirmait qu’Universal Analytics sera remplacé 1er juillet 2023 par la version 4 de Google Analytics (GA4), tandis qu’« Universal Analytics 360 » sera, lui, finalement prolongé jusqu’au 1er juillet 2024 (1), soit au-delà du 1er octobre 2023 initialement prévu (2). Quésaco ? Universal Analytics est la version basique et gratuite de l’outil de mesure d’audience le plus utilisé au monde par des sites web et des applications mobiles. Le transfert des données vers les USA Google Analytics détient en effet 86,1 % de parts de marché au 7 février 2023 en étant utilisé par 56,5 % de tous les sites web, selon W3Techs, suivi par Facebook Pixel et de bien d’autres analyseurs de trafic (3). « Universal Analytics 360 » est, elle, la version premium payante de Google Analytics destinée principalement aux grandes entreprises. Edition Multimédi@ a demandé à Google si GA4 répondait aux préoccupations des Européens sur la protection de leur vie privée, conformément au règlement général sur la protection des données (RGPD), et notamment aux mises en demeure prononcées par la Cnil en décembre 2021 et en décembre 2022 ? « Nous avons en effet récemment introduit de nouvelles fonctionnalités pour Google Analytics 4 qui permettent par exemple aux sites web de ne pas enregistrer ni stocker les adresses IP via GA4, ou encore de minimiser les données collectées concernant l’utilisateur, ce qui peut ainsi aider à répondre aux préoccupations d’identification des utilisateurs. Cependant, le véritable problème au cœur de tout cela reste les transferts de données entre l’Union européenne et les Etats-Unis qui manquent d’un cadre juridique stable pour les entreprises européennes et américaines », nous a répondu le géant du Net. Et d’ajouter : « Nous considérons que l’Executive Order récent[d’octobre 2022, ndlr] de la Maison Blanche est une étape importante dans ce travail » (4). De quoi rassurer les éditeurs de sites web et d’applis mobiles utilisant Google Analytics et les « Cnil » en Europe qui les surveillent voire les sanctionnent ? Rien n’est moins sûr. Il y a un an en France, le 10 février 2022, la Cnil mettait en demeure la toute première société pour non-respect du RGPD pour l’utilisation de Google Analytics pour mesurer son audience web (5). La Cnil considère implicitement que Google Analytics est ni plus ni moins illégal au regard du RGPD pour deux motifs principaux : les mesures mises en place par Google ne sont pas suffisantes pour exclure la possibilité d’un accès aux données de résidents européens ; les données des internautes européens sont donc transférées illégalement vers les Etats-Unis par le biais de ce même outil. Cette première décision de la Cnil a été publiée il y a un an, mais de façon anonymisée, pour l’exemple (6). Mais il s’agit de l’une des trois sociétés françaises utilisant Google Analytics contre lesquelles l’organisation autrichienne Noyb dirigée par Max Schrems (photo de droite) avait déposé plaintes – parmi un total de 101 plaintes (7) déposées en août 2020 – auprès des « Cnil » européennes, dénonçant des transferts illégaux de données à caractère personnel vers les Etats-Unis. La Cnil en France avait ainsi été destinataire de trois plaintes à l’encontre de respectivement Decathlon, Auchan et Sephora. Parallèlement, concernant cette fois l’outil Facebook Connect, la Cnil était aussi saisie de trois autres plaintes à l’encontre de Free Mobile, Leroy Merlin et Le Huffington Post. Après sa première décision concernant Google Analytics, la Cnil mettra également en demeure les deux autres sites web mis en cause (parmi Decathlon, Auchan et Sephora). Ce dont se félicitera à nouveau la Noyb le 5 avril 2022 dans un communiqué où sont mises en ligne les deux autres décisions de la Cnil, là aussi anonymisées (8). Ces trois sociétés disposaient d’un délai d’un mois – renouvelable à leur demande – pour se mettre en conformité et justifier cette conformité auprès de la Cnil. Mais la Cnil n’a pas été la première à épingler les éditeurs de services en ligne qui utilisent Google Analytics. Son homologue autrichienne – la Datenschutzbehörde (DSB) – avait ouvert la voie deux semaines avant dans une décision inédite datée du 22 décembre 2021 et considérée comme « révolutionnaire » par la Noyb (9). L’Italie, la Grèce mais pas l’Espagne Ce fut la première fois en Europe que l’utilisation de Google Analytics est considérée comme une violation du RGPD. D’autres décisions ont été prises par d’autres autorités en Europe – la Grèce par décision de l’APD de janvier 2022 (10) et l’Italie par décision de la GPDP de juin 2022 (11) – à l’encontre de l’utilisation de « GA ». En revanche, la « Cnil » espagnole – l’AEDP – n’a pas suivi ni ses homologues européennes ni la CEPD en publiant le 15 décembre 2022 une décision rejetant la plainte de Noyb (12). Ces premières décisions sur les 101 plaintes déposées par Noyb faisaient suite à la décision de 2020 dite « Schrems II » de la Cour de justice de l’Union européenne (CJUE) estiment que l’utilisation des services Internet américains violait le RGPD, car les lois de surveillance américaines exigent que les Google, Facebook et autres Twitter fournissent aux autorités américaines des détails personnels sur leurs utilisateurs, mêmes Européens. Le spectre de la loi américaine FISA Par exemple, la loi américaine FISA – Foreign Intelligence Surveillance Act – autorise expressément la NSA – National Security Agency – à collecter les données personnelles des utilisateurs situés hors des Etats-Unis si ces data sont stockées sur des serveurs américains. Autre texte américain, présidentiel celui-ci : l’OE – Executive Order – numéro 12.333 qui renforce les services de renseignement aux Etats-Unis depuis Ronald Reagan et George W. Bush. C’est pour ces raisons que la CJUE avait annulé en 2020 l’accord de transfert « Privacy Shield » (décision « Schrems II » de 2020), après avoir annulé l’accord précédent « Safe Harbor » (décision « Schrems I » de 2015). Cela provoqua une onde de choc pour les GAFAM qui les secouent encore aujourd’hui (13). « Nous nous attendons à ce que des décisions similaires tombent progressivement dans la plupart des Etats membres de l’UE. Nous avons déposé 101 plaintes dans presque tous les Etats membres et les autorités [les « Cnil » européennes, ndlr] ont coordonné la réponse », s’était félicité Max Schrems. Il est prêt à attaquer à nouveau devant la CJUE la nouvelle décision sur le transfert des données « UE-USA » (14) publiée par la Commission européenne le 13 décembre dernier (15). Dans la foulée de la décision de la DSB en Autriche, le Contrôleur européen de la protection des données (CEPD) – regroupant les « Cnil » européennes – avait également rendue une semaine avant une décision commune similaire (16). S’il devait y avoir sanction, le RGPD prévoit qu’elle peut aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise du Net. C’est justement parce que Google Analytics est largement utilisé par une écrasante majorité d’éditeurs de services en ligne que la Cnil avait décidé d’anonymiser ses trois décisions. « Il ne paraissait pas utile de citer le nom d’un éditeur de site en particulier, l’usage de cet outil étant très répandu. L’objectif est que l’ensemble des responsables de traitement utilisant cet outil se mette en conformité », justifiait ainsi le gendarme des données personnelles. Il avait d’ailleurs mis en garde tous les éditeurs concernés : « Tous les responsables de traitement utilisant Google Analytics d’une façon similaire à ces organismes doivent considérer dès à présent cette utilisation comme illégale au regard du RGPD. Ils doivent donc se tourner vers un prestataire proposant des garanties suffisantes de conformité ». D’après la Cnil, les trois sociétés mises en demeure avaient établi avec Google des clauses contractuelles types, proposées par défaut. Or ces dernières ne peuvent assurer seules un niveau de protection suffisant en cas de demande d’accès d’autorités étrangères, notamment si cet accès est prévu par des lois locales. En réponse au questionnaire envoyé par la Cnil, Google a indiqué que l’ensemble des données collectées par le biais de Google Analytics était hébergé aux Etats-Unis. Néanmoins, avait mentionné le gendarme français des données personnelles le 7 juin 2022, « Google avait indiqué avoir mis en place des mesures supplémentaires d’ordre juridique, organisationnel et technique, qui ont cependant été jugées insuffisantes pour assurer la protection effective des données personnelles transférées, en particulier contre des demandes d’accès aux données par des services de renseignement états-uniens » (17). La Cnil avait en outre fait savoir que Google avait indiqué utiliser des mesures de pseudonymisation (18), mais non d’anonymisation (19). « Google propose bien une fonction d’anonymisation des adresses IP, a constaté la Cnil, mais celle-ci n’est pas applicable à tous les transferts. En outre, les éléments fournis par Google ne permettent pas de déterminer si cette anonymisation a lieu avant le transfert aux Etats-Unis ». Autre problème que pose Google Analytics : la réidentification de l’internaute. En effet, la seule utilisation d’identifiants uniques permettant de différencier les individus peut amener à rendre les données identifiables, en particulier lorsqu’elles sont associées à d’autres informations telles que les métadonnées relatives au navigateur et au système d’exploitation. Data et navigation : le risque de suivi demeure De plus, l’utilisation de Google Analytics avec d’autres services de Google, notamment marketing, peut amplifier le risque de suivi. « En effet, explique la Cnil, ces services, très utilisés en France, peuvent permettre un recoupement de l’adresse IP et ainsi de retracer l’historique de navigation de la majorité des internautes sur un grand nombre de sites ». Quant au chiffrement de données par Google, il s’est avéré insuffisant car Google procède lui-même au chiffrement des données et a l’obligation d’accorder l’accès ou de fournir les données importées qui sont en sa possession, y compris les clés de chiffrement nécessaires pour les décrypter. @

Charles de Laubier