Bilan de Thierry Breton à la Commission européenne

En fait. Le 1er mars, Thierry Breton, commissaire européen au Marché intérieur, était l’invité de l’Association des journalistes économiques et financiers (Ajef). A neuf mois de la fin de son mandat, il estime que « l’Union européenne a fait un pas gigantesque sur la régulation numérique », malgré « les lobbies ».

En clair. « On a fait sur la régulation du numérique un pas absolument gigantesque. […] L’une des causes principales du fait que l’on n’ait pas de géant du numérique est que l’Union européenne était fragmentée, avec vingt-sept marchés, vingt-sept régulateurs. C’était quelque chose qui est très difficile », a expliqué le 1er mars Thierry Breton, commissaire européen au Marché intérieur, devant l’Association des journalistes économiques et financiers (Ajef). Il s’est félicité des règlements mis en œuvre pour y remédier : « Pour la première fois, on a maintenant un marché européen informationnel unifié, le marché unique numérique qui va se superposer au marché unique classique, avec les règles qui sont les mêmes pour tous, avec un même régulateur ».
Le Digital Markets Act (DMA), qui impose depuis le 7 mars 2024 des obligations renforcées (1) à six « gatekeepers » (Alphabet, Amazon, Apple, ByteDance, Meta et Microsoft), a été « l’une des législations européennes les plus compliquées à faire ». Et « on a fait le DSA [Digital Services Act, ndlr] pour commencer à réguler sur ce qui se passe sur les réseaux sociaux, et croyez moi, les lobbies que j’ai eus, je n’en ai jamais tant connus de ma vie. On a résisté ; on est passé » (2). La Commission européenne a aussi fait le Data Governance Act (DGA) pour mettre les données publiques à la disposition du privé. « On a aussi fait le Data Act pour les données que l’on génère, a poursuivi le commissaire européen, ex-PDG d’Atos (3). Il fallait passer du cloud industriel [centralisé, ndlr] au Edge [décentralisé, ndlr] pour amener les données au plus près des utilisateurs – en industrie 4.0, en médecine, dans les véhicules connectés, … – et pour ne pas encombrer les tuyaux avec des allers-retours ».
Quant à l’AI Act, autour duquel le lobbying n’a jamais été aussi fort, il a nécessité « un trilogue qui a duré 38 heures d’affilé, avec 100 personnes : c’est le plus long trilogue de notre histoire institutionnelle », a-t-il affirmé. Il reste le Digital Networks Act (DNA) (4) : « Je veux rapprocher les opérateurs de cloud au sens large [GAFAM compris, ndlr] et les opérateurs télécoms, car ils n’ont pas les mêmes obligations. J’ai voulu qu’il soit incontournable pour le prochain mandat [de la Commission européenne] ». Candidat à un nouveau mandat ? « Je ne suis candidat à rien »,assure Thierry Breton. L’appellera-t-on au téléphone comme en 2019 ? @

Data Act et AI Act, ou l’art de ménager la chèvre (innovation) et le chou (droits individuels)

Le Data Act et l’AI Act ont un objectif commun : tirer profit des opportunités offertes par les données, qu’elles soient issues d’objets connectés pour le premier, ou de modèles d’intelligence artificielle pour le second, tout en protégeant les droits des individus contre les dérives.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Les premiers mois de l’année 2024 ont été marqués par des développements substantiels sur le plan réglementaire concernant les données en Europe, développements à la lumière desquels le règlement général sur la protection des données (RGPD) est pensé de manière dynamique. Avec deux autres règlements que sont le Data Act (déjà en vigueur) et le AI Act (toujours en cours d’examen), l’Union européenne (UE) tente de préserver cet élan innovateur tout en assurant une protection efficace des droits individuels.

Socle solide de règles sur les données
Adoption du Data Act :
le 11 janvier 2024, le Conseil de l’UE a adopté le règlement portant sur des règles harmonisées en matière d’accès et d’utilisation équitables des données. Le texte vise à « relever les défis et à libérer les opportunités offertes par les données dans l’[UE], en mettant l’accent sur l’accès équitable et les droits des utilisateurs, tout en assurant la protection des données à caractère personnel » (1). Il s’inscrit dans une stratégie européenne pour les données afin de créer un marché unique des données garantissant la compétitivité et la souveraineté de l’Europe.
Projet d’AI Act : le 2 février 2024, le Conseil de l’UE a adopté à l’unanimité la proposition de règlement du Parlement européen et du Conseil de l’UE établissant des règles harmonisées concernant l’intelligence artificielle, texte pour lequel un accord avait été trouvé dès décembre 2023 (2). Ce texte est pour le moment d’une ambition unique au monde. Le Data Act et prochainement l’AI Act prendront donc place aux côtés du Digital Services Act (entré en vigueur le 25 août 2023 dans le but de responsabiliser les plateformes numériques et de lutter contre la diffusion de contenus illicites ou préjudiciables ou de produits illégaux), du Digital Markets Act (entré en vigueur le 2 mai 2023 et visant à mieux encadrer les activités économiques des grandes plateformes numériques) et du RGPD (entré en application le 25 mai 2018 dans le but de protéger les droits des personnes concernées par un traitement de leurs données personnelles).
A eux cinq, ces règlements européens forment les principaux piliers de la régulation des plateformes et données en Europe. Un sixième texte, le Digital Governance Act, entré en vigueur le 23 juin 2022, concerne également les données, en traitant principalement du secteur public. Il s’agit de réglementer par-delà les frontières en s’appliquant aussi à l’international. Cette réglementation, devenue cruciale pour rechercher un usage éthique, transparent et équitable des données traitées massivement, demeurera exceptionnelle en ce qu’elle s’érige à un échelon européen et transnational capable d’atteindre des entreprises de toutes tailles, y compris les plus grandes, installées hors d’Europe. L’article 3 du Data Act prévoit que le règlement s’applique dès qu’un produit connecté ou un service connexe est mis à disposition sur le territoire de l’UE et/ou qu’un utilisateur ou destinataire de données sont situés dans les Vingt-sept. Et ce, quel que soit le lieu d’établissement du détenteur de données ou du fournisseur de services de traitement de données.
De la même manière, l’article 2 de l’AI Act prévoit que le règlement s’appliquera dès qu’un système d’IA sera mis sur le marché de l’UE ou qu’un utilisateur de système d’IA est établi ou est localisé sur le territoire des Vingt-sept, ou encore que le contenu généré par l’IA est utilisé au sein de l’UE. Le but est de ne pas favoriser les acteurs non européens au détriment des entreprises locales. Il s’agit donc, comme pour le RGPD, d’assurer une protection efficace des citoyens européens sans entraver la compétitivité des entreprises européennes. Les textes cherchent aussi à ne pas décourager les entreprises européennes à innover, en ayant notamment pour effet d’imposer de manière extraterritoriale, même aux plus grandes entreprises internationales, des obligations. Les Gafam ont mis en avant les risques liés notamment au AI Act, la mise en conformité entraînant des coûts importants.

Transparence et secret des affaires : équilibre
Un enjeu du Data Act et de l’AI Act est de trouver un équilibre entre la transparence dans le traitement des données et la préservation du secret des affaires, afin de ne pas freiner l’innovation :
• Le Data Act : la maîtrise par l’utilisateur de ses données limitée par le secret des affaires. L’article 3 du Data Act prévoit l’obligation pour les entreprises concevant et fabriquant des objets connectés et des services connexes de rendre, par défaut, les données et métadonnées générées par ces objets et/ou services connexes facilement accessibles à l’utilisateur, voire lorsque cela est « pertinent et techniquement possible » directement accessibles à l’utilisateur par une simple demande électronique. A ce sujet, l’article 3.2 du Data Act prévoit qu’un certain nombre d’informations précontractuelles doivent être délivrées par le vendeur, le loueur ou le bailleur d’objets connectés « de manière claire et compréhensible ». Ces informations sont notamment relatives au type, format et volume estimé de données générées par l’objet en question ou encore à la capacité de l’objet de générer des données en continu et en temps réel (3). Aussi, l’article 5 du Data Act prévoit le droit pour l’utilisateur de partager des données avec des tiers.

Les obligations du détenteur de données
Cependant, afin d’assurer la compétitivité des entreprises en Europe, le texte prévoit, que ce soit au sujet du droit d’accès ou du droit de partage des données par l’utilisateur à des tiers, le respect du secret des affaires par lequel seraient protégées certaines données. Le détenteur de la donnée a ainsi l’obligation de recenser les données ou métadonnées protégées en tant que secret des affaires et de mettre en place des « mesures techniques et organisationnelles proportionnées » nécessaires à la préservation de la confidentialité des données partagées. Le texte prévoit notamment la possibilité d’élaboration de clauses de confidentialité entre le détenteur de données et l’utilisateur et/ou le tiers, ou encore l’adoption de « codes de conduite ».
A défaut d’accord ou si l’utilisateur ou le tiers contrevient aux mesures convenues avec le détenteur du secret des affaires, le détenteur de données peut bloquer ou suspendre le partage des données confidentielles. Il devra alors avertir l’utilisateur ou le tiers concerné et le notifier à l’autorité compétente. De surcroît, même si l’utilisateur ou le tiers respecte les mesures convenues avec le détenteur de données, ce dernier peut démontrer « qu’il est très probable qu’il subisse un préjudice économique grave du fait de la divulgation de secrets d’affaires » et ainsi refuser une demande d’accès pour les données en question en avertissant et en expliquant les raisons précises de sa décision et en le notifiant à l’autorité compétente. La décision du détenteur de données est toutefois susceptible de recours par l’utilisateur ou le tiers devant une juridiction d’un Etat membre et peut aussi être l’objet d’une réclamation auprès de l’autorité compétente. Enfin, l’utilisateur ou le tiers ont l’interdiction de se servir des données obtenues pour concurrencer le produit connecté en question.
L’AI Act : la « synthèse suffisamment détaillée » des données d’entraînement au cœur des interrogations. L’AI Act réalisera en substance le même compromis que le Data Act en ce qui concerne les données d’entraînement qui sont utilisées par les IA pour générer du contenu (4). En effet, le texte prévoit que les fournisseurs d’IA à usage général devront prendre des mesures pour respecter le droit d’auteur, en particulier le droit d’opposition des ayants droit, peu importe la juridiction où l’entraînement a lieu. Ces mêmes fournisseurs devront également, afin d’accroître la transparence sur les données d’entrainement, publier une « synthèse suffisamment détaillée » de ces données. Cette synthèse devra être globalement exhaustive dans sa portée plutôt que techniquement détaillée afin de faciliter aux parties ayant des intérêts légitimes, notamment les ayants-droits, l’exercice de leurs droits. Le texte donne simplement de vagues exemples d’informations fournies au titre de la synthèse détaillée, comme l’énumération des principales collections de données ou les ensembles utilisés pour former le modèle. Les fournisseurs de modèles d’IA gratuits et open source seront exemptés de cette obligation sauf s’ils présent un risque systémique, afin d’inciter leur développement dans la mesure où ils contribuent à la recherche à l’innovation sur le marché et peuvent être des sources de croissance importante pour l’économie de l’UE. Le « Bureau de l’IA » – « AI Office » tel que prévu dans la version consolidée de l’AI Act (5) datée du 21 janvier (6) – devrait entrer en vigueur le 21 février 2024 (7). Il fournira des modèles de synthèses à destination des fournisseurs d’IA concernés et veillera au respect de ces dispositions. La Commission européenne a d’ailleurs, dans une déclaration (8) publiée après l’adoption du texte, réaffirmé le rôle primordial du Bureau de l’IA dans la nouvelle réglementation et dans lequel la France a bien l’intention d’être représentée afin de faire entendre sa voix (9).
Cependant, afin de préserver l’innovation d’une règlementation trop encombrante, l’AI Act prévoit que les rédacteurs de cette synthèse suffisamment détaillée devront prendre en considération le besoin de protéger le secret des affaires et les informations confidentielles. Attention toutefois, à la différence du Data Act, cette mention figure dans les considérants et non pas dans le corps du texte du règlement.
Le Data Act a été pensé pour favoriser l’accès par les petites et moyennes entreprises (PME) à des données pertinentes et leur permettre ainsi d’innover et de rivaliser face à de grandes entreprises qui possèdent déjà une puissance économique considérable sur le marché. C’est précisément pour cette raison que le texte a exclu les entreprises désignées en tant que « contrôleur d’accès » au sens de l’article 3 du DMA (10) du bénéfice de la désignation en tant que « tiers »au sens du Data Act et donc de l’accès aux données issues d’objets connectés et services connexes par le biais du droit de partage de l’utilisateur.

Ménager les PME, éviter les monopoles
Concernant l’AI Act, la Commission européenne a lancé le 24 janvier 2024 des mesures visant à soutenir les jeunes pousses et les PME européennes dans le développement de l’IA (11). Cette volonté se retrouve donc logiquement dans le texte de l’AI Act dont les rédacteurs ont souhaité accélérer l’accès au marché pour les PME en éliminant les obstacles. Le texte entend ainsi permettre des moyens simplifiés de conformité pour les entreprises de plus petite taille et éviter un monopole des plus grandes entreprises dotées d’une grande force de frappe, comme OpenAI. @

* Anne-Marie Pecoraro est avocate spécialisée en droit de la
propriété intellectuelle, des médias et des technologies

Données produites par l’Internet des objets et l’informatique en nuage : ce que dit le Data Act

Le législateur européen poursuit ses travaux en vue de créer un marché unique des données. La dernière avancée en date : le règlement sur les données, dit « Data Act », entré en vigueur le 11 janvier 2024. Il sera applicable à compter du 12 septembre 2025. Tour d’horizon de ses principales dispositions.

Par Sandra Tubert, avocate associée, et Antoine Tong, avocat, Algo Avocats

A l’instar du « Data Governance Act » (1), le « Data Act » (2) s’inscrit dans la stratégie européenne visant à créer un « marché unique des données » (3) équitable pour toutes les parties prenantes. En effet, en février 2020, la Commission européenne constatait une disponibilité insuffisante des données pour une réutilisation innovante par les acteurs publics comme privés, des situations de monopole sur les marchés du cloud et de l’accès aux données compromettant l’équilibre concurrentiel, ainsi qu’un manque d’interopérabilité et de qualité des données dans le contexte du déploiement de l’intelligence artificielle (IA)…

Droits d’accès et à la portabilité
Autant de problématiques qui faisaient, selon la Commission européenne, obstacle au développement d’un véritable marché unique du numérique. Pour y remédier, le Data Act encadre les droits et obligations de chacune des parties impliquées dans la création de la valeur autour des données générées par les « produits connectés » (4) et « services connexes » (5), avant de réguler les services « en nuage » (cloud).
La régulation de l’accès et du partage des données. Plusieurs catégories de mesures ont été prévues pour favoriser l’accès et le partage des données. La première catégorie de mesures impacte la documentation précontractuelle des fabricants de produits connectés et fournisseurs de services connexes puisqu’ils seront tenus de fournir aux utilisateurs des informations précises, telles que le type, le format et le volume estimé des données générées par le produit connecté, sa capacité à stocker des données sur un dispositif intégré ou un serveur distant, ou encore la manière d’accéder aux données, de les extraire voire de les effacer. Les fournisseurs de services connexes devront quant à eux préciser s’ils ont l’intention d’utiliser les données ainsi que les finalités de cette utilisation, ou bien d’autoriser des tiers à utiliser les données pour les finalités convenues. La seconde catégorie de mesures consiste à créer de nouveaux droits au bénéfice des utilisateurs (c’est-à-dire droits d’accéder aux données et de partager des données avec des tiers) qui s’apparentent fortement aux droits d’accès et à la portabilité des données à caractère personnel déjà prévus par le RGPD, le règlement général sur la protection des données (6). Le Data Act donne ainsi un nouvel élan aux droits d’accès et à la portabilité, puisque les droits qui y sont prévus sont applicables à toutes les données générées par les produits connectés et les services connexes, qu’elles soient à caractère personnel ou non, et disponibles pour l’ensemble des « utilisateurs » (7), personne physique ou morale.
En pratique, le droit d’accès se matérialise par l’obligation de concevoir des produits connectés et services connexes qui permettront à l’utilisateur, lorsque cela est techniquement possible, d’accéder de manière directe aux données et aux métadonnées relatives aux produits et services dans un format complet, structuré, couramment utilisé et lisible par machine. A défaut d’accès direct par l’utilisateur depuis le produit connecté ou le service connexe, le « détenteur de données » (8), c’est-à-dire le fabricant de produit connecté ou le fournisseur de service connexe, sera tenu d’une obligation de rendre les données et les métadonnées accessibles, dans un format complet, structuré, couramment utilisé et lisible par machine, voire en continu et en temps réel, sur simple demande de l’utilisateur formulée par voie électronique.
Le droit à la portabilité se traduit, quant à lui, par l’obligation pour le détenteur de données de mettre les données et les métadonnées à disposition d’un tiers, c’est-à-dire un « destinataire de données » (9), sur simple demande d’un utilisateur. Naturellement, le tiers ne sera pas libre d’exploiter les données à sa guise. Elles ne pourront être traitées qu’aux fins et dans les conditions déterminées avec l’utilisateur. Le détenteur de données devra permettre l’exercice de ces droits, sans retard injustifié, de manière aisée, sécurisée et sans frais pour les utilisateurs.

Nombreux garde-fous et exceptions
Si le Data Act prend le soin de préciser que le détenteur des données ne peut refuser d’accéder aux demandes des utilisateurs sous couvert du droit à la protection des bases de données (10), les droits prévus par ce règlement ne sont pas absolus et un certain nombre de garde-fous et d’exceptions ont été mis en place dans un but d’équité. Ainsi, les données générées ne pourront pas, dans le cadre du droit à la portabilité, être transmises aux entreprises désignées comme « gatekeepers » par le « Digital Markets Act » (11), telles qu’Amazon ou Google. De l’autre côté, les PME seront, sous certaines réserves (12), exemptées des obligations d’accès et de partage des données aux utilisateurs et aux tiers. Il sera par ailleurs strictement interdit à l’utilisateur ou au destinataire d’utiliser les données – auxquelles il a eu accès suite à une demande de droit d’accès ou de partage – afin de concevoir un produit concurrent (13).
Comme le RGPD avant lui, le Data Act souhaite préserver le secret des affaires des détenteurs de données (14). Il adopte néanmoins une approche différente de celle pratiquée en application du RGPD, en estimant que le secret des affaires ne devrait pas constituer un obstacle absolu à l’accès et/ou au partage des données.

Détenteur de données et mise à disposition
Le Data Act invite donc les détenteurs de données (ou les détenteurs de secret d’affaires s’il ne s’agit pas de la même entité) à recenser les données et métadonnées protégées en tant que secret d’affaires et à convenir avec l’utilisateur et/ou le tiers de mesures techniques et organisationnelles nécessaires (clauses contractuelles types, accord de confidentialité, protocoles d’accès stricts, normes techniques et application de codes de conduites) pour préserver leur confidentialité.
Exceptionnellement, le détenteur de données pourra refuser de partager les données s’il démontre, sur la base d’éléments objectifs, des « circonstances exceptionnelles » et qu’il est « très probable » qu’il subisse un « préjudice économique grave » en dépit des mesures techniques et organisationnelles prises par l’utilisateur ou le destinataire. Le Data Act précise également que le détenteur de données devra convenir des modalités de mise à disposition des données avec un destinataire, dans des conditions, équitables, raisonnables, non discriminatoires et de manière transparente. Ainsi, toute différence de traitement envers les destinataires de données sera interdite. Le détenteur de données sera en droit d’obtenir une compensation pour les coûts engendrés par la mise à disposition des données à des destinataires, mais les modalités de calcul seront fixées par des lignes directrices de la Commission européenne.
Par ailleurs, parfaitement conscient de la propension de certains acteurs à tirer profit de déséquilibres contractuels, le législateur européen a pris le soin d’énumérer les clauses abusives ou présumées abusives dans le cadre des relations entre entreprises liées à l’accès et au partage des données. Enfin, les organismes du secteur public pourront accéder aux données et aux métadonnées à des fins d’intérêt public lorsqu’ils démontrent un besoin exceptionnel. Ce dernier pourra notamment être matérialisé par l’urgence et l’absence de moyens alternatifs permettant d’obtenir les données utiles, de manière efficace dans des conditions équivalentes.
La régulation du marché du cloud. De leur côté, les fournisseurs de « services de traitement de données » (15) (à savoir les acteurs du cloud, fournisseurs de IaaS, PaaS et SaaS) devront prendre toutes les mesures, notamment commerciales, contractuelles, organisationnelles et techniques, afin de permettre aux clients de changer de fournisseurs de services cloud. Ils devront ainsi s’abstenir de mesures freinant le client dans ses démarches de changement, qu’ils s’agissent des modalités de résiliation du contrat après changement de fournisseur, du portage de ses données, ou encore du découplage entre les services IaaS et PaaS/SaaS.
De manière assez étonnante au regard des pratiques déjà installées sur le sujet, le législateur est venu fixer le contenu impératif minimum du contrat entre un client et un fournisseur de services cloud, notamment au niveau des clauses dites de réversibilité, en prévoyant entre autres des délais impératifs maximum pour le lancement du processus de réversibilité (inférieur à 2 mois) ou pour la récupération des données (minium 30 jours), une clause garantissant l’effacement intégral des données suite à l’opération de réversibilité, etc.
Les fournisseurs de services cloud doivent, depuis le 11 janvier 2024, réduire les « frais de changement de fournisseur » (16) – en les limitant aux coûts directement liés au processus de réversibilité que le Data Act estime être les frais liés au transfert des données d’un fournisseur à un autre ou les frais pour des actions de support spécifique pendant le processus de changement de fournisseur (17) – puis, à compter du 12 janvier 2027, les supprimer. Anticipant le Data Act, le projet de loi français SREN prévoit quant à lui la suppression immédiate des « frais de transfert » des fournisseurs de services en nuage. Le texte est toutefois fortement critiqué par la Commission européenne. Enfin, dans le but de faire émerger un environnement cloud multifournisseur qui permettra aux clients de mettre en œuvre des stratégies durables sans se retrouver dépendant d’un fournisseur (18) les institutions européennes misent sur des normes harmonisées et des spécifications d’interopérabilité qui seront adoptées par la Commission européenne (19).

Projet de loi français SREN critiqué
Le Data Act s’en remet de manière singulière aux Etats membres pour déterminer le régime des sanctions applicables en cas de non-respect de ses dispositions (20). Le projet de loi SREN, qui anticipe l’adoption du Data Act mais qui n’est pas encore adopté et fait l’objet de vives contestations et critiques au niveau européen, prévoit que l’autorité de contrôle pour réguler les acteurs du cloud est l’Arcep. Et les sanctions proposées vont, pour une personne morale, de 1 million d’euros à 3 % du chiffre d’affaires de l’exercice précédent, voire 5 % en cas de réitération. @

Le Data Act a à l’œil Amazon, Microsoft et Google

En fait. Le 11 janvier 2024 est entré en vigueur le Data Act, à savoir le règlement du 13 décembre 2023 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données. Le marché unique européen des données du cloud et des objets connectés se met en place.

En clair. Il n’y pas que Amazon Web Services (AWS), Microsoft Azure et Google Cloud sur le marché européen des données dans les nuages. Bien que ces hyperscalers s’arrogent environ les deux-tiers du marché européen et même mondial du cloud, il y a de la place pour des challengers qui ne sont pas forcément américains, ni chinois comme Alibaba.
Par exemple, en France, 3DS Outscale (Dassault Systèmes), OVHcloud (OVH) ou Scaleway (Iliad), considérés comme de pure players par l’Autorité de la concurrence qui a mis sous surveillance ce marché (1), doivent pouvoir exister face à ces géants dominants. Au moment où le marché des données est boosté aux objets connectés (IoT) et à l’intelligence artificielle (IA), le Data Act arrive à point nommé : après avoir été adopté par le Parlement européen le 13 décembre 2023, ce règlement harmonisant dans les Vingt-sept « l’équité de l’accès aux données et de l’utilisation des données » a été publié le 22 décembre au Journal officiel de l’Union européenne (JOUE) pour entrer « en vigueur » vingt jours après cette parution (2), soit le 11 janvier 2024. Le Data Act sera ensuite « applicable » sur le marché unique numérique à partir du 12 septembre 2025.
Vis-à-vis des utilisateurs (entreprises et particuliers), les services de cloud computing – qu’ils soient IaaS (Infrastructure-asa-Service), PaaS (Platform-as-a-Service) ou SaaS (Software-asa-Service) – doivent leur garantir un droit au changement de prestataire par la « suppression des obstacles (…) pré commerciaux, commerciaux, techniques, contractuels et organisationnels». Après résiliation et nouveau contrat avec un concurrent du cloud, le client peut faire jouer son droit au «portage [de ses] données exportables et [de ses] actifs numériques, […] y compris après avoir bénéficié d’une offre gratuite» (3).
Quant aux fabricants et fournisseurs de produits connectés, dont ceux de l’Internet des objets (IoT), ils sont tenus de rendre accessibles à l’utilisateur – « de manière aisée, sécurisée, sans frais, dans un format complet, structuré, couramment utilisé et lisible par machine » – les données relatives auxdits produits et les données relatives aux services connexes, y compris les métadonnées pertinentes nécessaires à l’interprétation et à l’utilisation de ces données (4).
Bien d’autres dispositions sont prévues par ce Data Act européen, pour tenter d’éviter les abus de position dominante. @

Abonnements payants de Facebook et Instagram en Europe : Meta se heurte aux exigences du RGPD

Pour Instagram ou Facebook sans publicités, il en coûte désormais aux Européens 9,99 euros par mois sur le Web et même 12,99 euros sur application mobile. C’est cher payé pour ne plus être ciblé dans sa vie privée. Et le consentement « libre » des utilisateurs exigé par le RGPD est-il respecté ?

(Cet article juridique a été publié dans EM@ n°312 du 18 décembre 2023. Le 11 janvier 2024, l’organisation Noyb a annoncé avoir déposé plainte contre Meta)

Par Vanessa Bouchara (photo), cabinet Bouchara Avocats

Cinq ans après l’entrée en vigueur du règlement général européen sur la protection des données (RGPD), l’entreprise américaine Meta Platforms a mis un place un système d’abonnement qui apparaît comme susceptible de rassurer les utilisateurs désireux d’échapper à la publicité, notamment ciblée. Pourtant, cet abonnement soulève un certain nombre d’interrogations sur la portée et l’effectivité de la protection des données personnelles en Europe. Pendant des années, Facebook affichait fièrement sur sa page d’accueil sa gratuité : « C’est gratuit (et ça le sera toujours) ». En 2019, la mention disparaissait dans le sillage des déclarations plus nuancées de son cofondateur Mark Zuckerberg qui, auditionné devant le Congrès américain, affirmait « qu’il y aurait toujours une version gratuite de Facebook ». Quatre ans plus tard, en novembre 2023, le groupe Meta propose, en parallèle d’une version gratuite, un abonnement payant pour ses services Instagram et Facebook, à 9,99 ou 12,99 euros, pour ses utilisateurs européens.

A la recherche d’une base légale adéquate
La mise en place de cet abonnement pourrait être une réponse aux résultats financiers décevants de Meta en 2022. En effet, le groupe de Menlo Park avait enregistré pour la première fois une baisse de son chiffre d’affaires (1). Or, il semblerait qu’il ne s’agisse pas d’une réponse strictement financière. En effet, il pourrait également s’agir de répondre au contexte normatif relatif aux géants du numérique, qui est en pleine ébullition à l’échelle européenne. Digital Markets Act (DMA), Digital Services Act (DSA), AI Act (AIA), futur Digital Networks Act (DNA), … En vigueur ou en discussion, ces nouveaux textes feraient presque oublier le RGPD, sa portée, et les sanctions infligées à ce titre à Meta, à hauteur d’environ 2,4 milliards d’euros à ce jour. La maison mère de Facebook et Instagram ne s’explique pas vraiment sur sa décision d’instaurer un abonnement, si ce n’est par un bandeau informatif à destination de ses utilisateurs européens, en évoquant un « changement de lois » le contraignant à proposer un Continuer la lecture