Archives par mot-clé : Data

Yannick Carriou, PDG de Médiamétrie : « Nous allons mesurer en 2024 les plateformes de SVOD comme Netflix »

Publié le par

Médiamétrie – dont le conseil d’administration est composé de membres actionnaires issus des médias (télés en tête), des annonceurs, des agences, mais pas encore des plateformes – sortira en septembre 2024 les volumes de consommations de Netflix, Amazon Prime Video et autres, « qu’ils le veuillent ou non ».

Médiamétrie, qui fêtera ses 40 ans dans deux ans (en juin 2025), fait monter encore plus la pression sur les grandes plateformes numériques comme Netflix, Amazon Prime Video, Disney+ ou Apple TV+. Alors que les discussions confidentielles s’éternisent depuis plus d’un an avec certaines d’entre elles, dont Netflix, l’institut français de mesure d’audience réaffirme sa volonté aller de l’avant, avec ou sans leur coopération. « Nous sortirons une quantification totale de consommation des plateformes, puis au niveau des principaux contenus des audiences, avec des définitions ayant du sens, une information auditée, un certain niveau de transparence. A partir de septembre 2024, du moins au troisième trimestre 2024, on sortira des volumes de consommation, par exemple de Netflix. Puis six à neuf mois plus tard [soit à partir de mars 2025 au plus tôt, ndlr], on descendra au niveau des contenus », a indiqué Yannick Carriou (photo), PDG de Médiamétrie, lors d’une rencontre le 12 juillet avec l’Association des journalistes médias (AJM), dont fait partie Edition Multimédi@. Et d’ajouter : « C’est la raison pour laquelle nous avons passé un accord avec Nielsen, qui nous apporte immédiatement des technologies que nous sommes en train de tester et d’adapter à l’Internet français pour faire cette mesure-là ».

Vers une plateforme coactionnaire de Médiamétrie ?
Nielsen, le géant américain de la mesure d’audience présent dans le monde, collabore déjà avec Médiamétrie depuis 1999 mais, avec ce nouveau partenariat signé fin 2022, il fournit au français ses technologies – déjà éprouvées aux Etats-Unis – de mesure des flux digitaux à domicile par des routeurs Internet, de gestion informatique des contenus numériques de télévision, ainsi que de reconnaissance de contenus des plateformes de vidéo à la demande (VOD, SVOD, AVOD, FAST, …). « On sait mesurer quand un terminal se connecte à un serveur qui appartient à Netflix, Amazon ou Spotify, et quantifier automatiquement et de manière assez certaine les volumes de consommation. La situation est un peu différente au niveau des contenus : dans l’univers de la SVOD, 90 % à 95 % des contenus sont quasi exclusifs et on les reconnaît par une technique de type Shazam [reconnaissance de contenus, ndlr], alors que sur la télévision les contenus sont watermarqués [par du watermarking ou tatouage numérique, ndlr]. Sur l’audio digital, c’est plus difficile car les contenus sont aussi diffusés par les autres », explique Yannick Carriou.

Vers une plateforme coactionnaire de Médiamétrie ?
Médiamétrie travaille déjà sur les acteurs de l’Internet comme Google/YouTube, Facebook, Snap et Twitter ou encore Dailymotion, lesquels participent aux travaux de son comité Internet. En revanche, ce n’est toujours pas le cas des plateformes de SVOD qui sont absentes. « Si Netflix, Amazon, Disney et d’autres veulent participer d’avantage, et ils sont les bienvenus ; ils le peuvent en apportant un peu plus de précisions (logs, informations, …) qui seront auditées. Mais à ce jour, aucune plateforme ne nous a encore apporté ses données, constate le PDG de Médiamétrie. De tout façon, on n’en a pas besoin car nous allons d’abord développer notre mesuresocle. Or une fois que l’on commence à les mesurer pour de vrai, qu’ils le veuillent ou non, ils ne rigolent plus et les discussions s’ouvrent ». Comme avec Netflix. Médiamétrie, qui compte cinq comités décisionnels (Audimétrie, TV, Internet, Radio, Métridom (1)) et un atelier Cross média pub, « invite » les plateformes de SVOD à y participer. Mais « à deux conditions : que l’on ait une mesure à discuter et que l’on se mette d’accord sur la comitologie (2) ; probablement qu’en 2024 on aura une discussion pour l’insertion de ces acteurs », indique le PDG de Médiamétrie. Pour l’heure, en France, les Netflix, Amazon et autres Disney pratiquent l’automesure de l’audience de leurs plateformes et de leurs contenus, et ne partagent pas leurs données avec le marché. Certains acteurs de la SVOD peuvent annoncer des chiffres, comme Amazon avec Roland Garros que le géant du ecommerce retransmet depuis 2021, mais ils ne sont pas audités. «La posture de l’automesure qui consiste à dire “Prenez et mangez-en tous” ne marche pas trop », dit Yannick Carriou. Dans l’audio, Spotify fait aussi de la publicité digitale mais « ils sont très opaques sur les chiffres », des annonceurs lui achetant de l’impression (3). « Mais quelle est l’audience derrière ces impressions ? », s’interroge le patron de Médiamétrie. Pour lui, « la plateformisation relève de l’extension du domaine de la lutte ».
Un double bras de fer a lieu avec ces plateformes, notamment de SVOD. D’un côté, Médiamétrie les prévient qu’il va bientôt les mesurer à partir du troisième trimestre 2024, et, de l’autre, l’Union des marques (UDM) dirigée par Jean-Luc Chetrit (photo ci-dessus) les met en garde sur le fait que les annonceurs ne leur achèteront pas d’espaces de publicité tant qu’ils ne seront pas mesurés par Médiamétrie. Si certaines marques se laissent néanmoins tenter par Netflix ou Amazon, « c’est pour essayer et par effet de curiosité », assure Yannick Carriou. Et d’affirmer : « Il n’y a pas eu d’évasion massive de la publicité vers les plateformes de SVOD, et cela n’explique surtout pas la baisse de la publicité de la télévision ». Mais Médiamétrie se garde bien de tirer de conclusion hâtive sur un échec ces derniers mois de Netflix, lequel prépare son « inventaire » (4), tout comme Disney+. « Le plus gros est devant nous », concède-t-il.
Reste la question sensible pour Médiamétrie de l’évolution de son conseil d’administration, dont les 17 membres (maximum) ont la particularité – sauf son président (Yannick Carriou) – d’être salariés des entreprises actionnaires de l’institut de mesure, « société anonyme de droit privée », tient à rappeler son PDG. Actuellement, le capital de 14.880.000 euros est détenu à 65 % par des médias (France Télévisions 22,89 %, TF1 10,8 %, Canal+ 1,4 %, Radio France 13,5 %, Europe 1/ Lagardère 5,4 %, NextRadioTV/Altice 5,4 %, M6/RTL 2,7 %, Ina 2,81 %). Et les 35 % restants par des publicitaires annonceurs, agences conseils et… opérateur télécom (Union des marques 9,33 %, Publicis 6,7 %, Dentsu 6,7 %, Havas 6,7 %, Orange 2,44 %, Omnicom 1,62 %, IPG 1,61 %). Parmi eux, le dernier arrivé au capital (en juillet 2021) est Orange via sa filiale Orange Participations (5). Alors pourquoi ne pas faire aussi entrer une plateforme du Net au conseil d’administration en tant que coactionnaire ? « Mais pourquoi feraisje entrer une plateforme ? », a demandé Yannick Carriou. Pour refléter l’évolution du paysage médiatique et publicitaire, lui répond-on. « C’est un peu romantique comme idée, a-til répliqué, puisque le rôle du conseil d’administration consiste à valider mon budget, les règles de fonctionnement et à vérifier, mais à ne prendre aucune décision sur les mesures. Je pourrais faire entrer Auchan si vous voulez… Mais ça n’apportera rien à la fonction elle-même ». Alors pourquoi avoir fait entrer un opérateur télécom ? « Parce qu’Orange a voulu y entrer, tout en apportant de la data, et s’est rapproché de l’Union des marques qui a bien voulu lui vendre une partie de ses actions et qui donc passé de 11,77 % à 9,33 % », a-t-il justifié. Vous pourriez faire une augmentation de capital si aucun actionnaire actuel n’est vendeur d’actions ? « Je n’ai pas besoin d’argent ». Que dirait Médiamétrie si Netflix, Amazon ou un autre géant du Net venait lui proposer d’être coactionnaire en apportant son expertise data ? « Je ne dis pas non. Il faudrait que la plateforme achète des actions ». Aucun GAFAM n’en a fait la demander à ce jour ? « Non ». Yannick Carriou, qui a entamé un second mandat de trois ans depuis le 1er avril, assure en tout cas que les médias traditionnels ont conscience de l’évolution des usages et les télévisions se plateformisent elles-mêmes.

Etats-Unis : Nielsen compare déjà la TV et le Net
Il serait impossible pour une chaîne comme TF1 de dire qu’elle va devenir une plateforme et de refuser à ce que les autres plateformes comme Netflix soient mesurées. « Ce serait totalement illogique, souligne-t-il. Par contre, là où les chaînes ou les éditeurs sont extrêmement sourcilleux, et ils ont raison car une partie de leur destin difficile est en jeu, c’est sur la comparabilité des mesures ». Les médias veulent la stricte comparabilité des chiffres avec les plateformes, comme a commencé à le faire Nielsen aux Etats-Unis et avec Amazon dès l’année dernière malgré la résistance de certains groupes de télévision américains (6). @

Charles de Laubier

Le marché unique du numérique et de ses données fait face à un foisonnement de textes législatifs

Publié le par

Les acteurs du numérique et de la data en Europe ne sont pas au bout de leur peine. Le marché est peut-être unique, mais la législation – en vigueur et à venir – est multiple. La mise en œuvre pratique des textes, souvent imbriqués, est complexe et peu intelligible. Petit aperçu de ce labyrinthe.

Si l’Union européenne (UE) a déjà pris plusieurs mesures depuis 2014 afin de faciliter le développement d’une économie des données (1), elle entend, dans le cadre de sa stratégie pour les données et des objectifs fixés pour la « décennie numérique » (2), compléter les textes existants afin de créer de nouveaux droits et obligations destinés à favoriser l’accès et le partage des données, le développement des technologies et la souveraineté numérique. D’où le foisonnement de textes législatifs qui vont bouleverser considérablement l’écosystème de l’économie numérique et des données.

Chantier de la « décennie numérique »
Les principaux acteurs concernés (notamment les fabricants d’objets connectés, les fournisseurs de services d’intermédiation de données et les prestataires de cloud) devront tenir compte de ces nouvelles obligations et anticiper leur entrée en application dans la conception de leurs solutions et de leurs produits, ainsi qu’au sein de leur documentation contractuelle. Pas si simple. Tour d’horizon de ces nouveaux textes :
• Data Governance Act (DGA). Ce règlement sur la gouvernance des données (3) a été adopté le 30 mai 2022 et entrera en application à partir du 24 septembre 2023, avec pour objectif de favoriser la disponibilité des données, de renforcer les mécanismes de partage et d’augmenter la confiance dans les intermédiaires de données. Ainsi, le DGA adresse trois grandes thématiques : conditions d’accès et de réutilisation des « données protégées » détenues par des organismes publics ; régulation des fournisseurs de services d’intermédiation de données ; régulation de l’utilisation altruiste des données. Sur le premier point, le DGA vient compléter la directive « Open Data » de 2019, mais ne crée pas d’obligation de mise à disposition pour les organismes publics (4). Il vient encadrer les réutilisations qui peuvent être faites de ces données protégées en veillant (5) à les préserver (6). Concernant les deux autres points, le DGA crée deux régimes spécifiques et dédiés pour les services d’intermédiation de données (7) et les organisations altruistes en matière de données (8). Les services d’intermédiation de données (data marketplaces ou data pool par exemple) seront soumis à une notification auprès d’une autorité compétente préalablement à tout début d’activité et auront notamment l’obligation de fournir les services selon des conditions équitables, transparentes et non-discriminatoires, de prendre des mesures pour assurer l’interopérabilité avec d’autres services d’intermédiation de données, de mettre en place des mesures de sécurité appropriées pour empêcher l’accès et le transfert illicite de données non-personnelles. Ils devront également notifier aux détenteurs de données en cas d’accès, de transfert ou d’utilisation non-autorisés aux données non-personnelles partagées. De leur côté, les organisations altruistes se verront notamment imposer la tenue d’un registre des utilisations des données, la publication d’un rapport annuel d’activité, des obligations de transparence vis-à-vis des personnes concernées ou des détenteurs de données (objectifs d’intérêt général, finalités des traitements) et de sécurisation des données non-personnelles.
Le DGA crée enfin un régime restrictif de transfert des données non-personnelles hors-UE similaire au régime prévu par le RGPD.
• Data Act (DA). Ce projet de règlement sur les données (9) a été soumis par la Commission européenne le 23 février 2022. Un objectif d’adoption ambitieux a été fixé à mi-2023, pour une entrée en application douze mois après son adoption. Il s’agit de faciliter l’accès aux données et leur utilisation, de favoriser leur portabilité, d’améliorer l’interopérabilité des solutions et infrastructures et enfin de favoriser la création de valeur autour de la donnée. Sont notamment impactés : les fabricants et distributeurs d’objets connectés et les fournisseurs de services connexes basés sur l’utilisation de données générées par ces objets, tout détenteur et destinataire de données, les prestataires et utilisateurs de services cloud (IaaS, PaaS, SaaS) ou encore les opérateurs de data spaces.

Portabilité des données et services de cloud Le DA prévoit notamment des obligations pour les fabricants ou distributeurs d’objets connectés qui viennent compléter les obligations d’information et de portabilité prévues par le RGPD, comme l’obligation d’informer leurs utilisateurs sur les données générées par l’usage des objets et les conditions d’accès et de partage de telles données, ainsi qu’une obligation de mise à disposition gratuite et prompte (le cas échéant en temps réel et continu) des données générées par des objets connectés à leurs utilisateurs ou à un tiers à la demande de l’utilisateur, et ce dans des conditions équitables, raisonnables, transparentes, non-discriminatoires et non-exclusives. Ces obligations sont complétées par des interdictions (par exemple des clauses restreignant les droits des utilisateurs d’objets ou des clauses abusives imposées aux petites et moyennes entreprises). Objets connectés, dossiers médicaux, … Le Data Act impose par ailleurs une série d’obligations aux prestataires de services cloud en matière de migration de données et d’interopérabilité (par exemple supprimer les obstacles commerciaux, techniques et contractuels empêchant le client de porter ses données, applications ou autres actifs numériques vers d‘autres prestataires ; assurer une période transitoire de migration de 30 jours avec assistance ; ou encore assurer la compatibilité de ses services avec les normes d’interopérabilité de la Commission européenne).
• European Health Data Space (EHDS). La proposition de règlement sur l’espace européen des données de santé (10) a été soumise par la Commission européenne le 3 mai 2022. L’UE entend adopter ce texte d’ici 2025, pour une entrée en application douze mois après sa publication. L’objectif est triple : établir les règles régissant l’espace européen des données de santé afin d’améliorer et garantir aux personnes physiques un accès sûr à leurs propres données de santé et un contrôle sur ces données dans le contexte des soins de santé (dite « utilisation primaire ») ; améliorer le fonctionnement du marché unique pour la mise au point et l’utilisation de produits et services de santé innovants fondés sur des données de santé, et veiller à ce que les chercheurs et les entreprises innovantes puissent tirer le meilleur parti des données de santé disponibles pour leurs travaux (dite « utilisation secondaire ») ; établir un cadre juridique uniforme pour le développement, la commercialisation et l’utilisation des systèmes de dossiers médicaux électroniques (DME). Dans le cadre de l’utilisation primaire des données, les citoyens de l’UE auront à leur disposition des droits et mécanismes supplémentaires complétant leurs droits existants au titre du RGPD sur leurs données de santé électroniques.
Concernant l’utilisation secondaire, le projet de règlement EHDS vient encadrer avec précision les pratiques des chercheurs et acteurs de l’industrie de santé (par exemple : limitation des catégories de données pouvant être utilisées, encadrement des finalités autorisées) et leur imposer des obligations (sécurité des solutions utilisées, transparence sur le calcul des redevances générées par l’utilisation secondaire).
• Artificial Intelligence Act (AIA). Cette proposition de règlement sur l’intelligence artificielle (11) a été soumise le 21 avril 2021 par la Commission européenne. L’adoption de ce texte est pressentie à horizon 2024, pour une entrée en application entre 18 et 24 mois après son adoption. Le texte vise à créer les conditions propices au développement et à l’utilisation d’une IA de pointe, éthique, sûre et digne de confiance dans l’UE. Pour se faire, l’approche est technologiquement neutre et le texte met en place des règles impératives, applicables de façon proportionnée en fonction des risques que présentent les systèmes d’IA concernés. Ainsi, les IA présentant un risque inacceptable pour les personnes sont interdites ; celles présentant un haut risque se voient imposer un certain nombre d’obligations; celles présentant un risque faible sont soumises à des obligations de transparence et d’information vis-à-vis des utilisateurs ; et enfin celles présentant un risque résiduel ne sont pas soumises au projet de règlement AIA, mais régulées par l’adoption volontaire de code de conduite et/ou de charte éthique (12).
• Digital Services Act (DSA) et Digital Markets Act (DMA). Un accord politique a été conclu sur le DMA (13) le 24 mars 2022 et sur le DSA (14) le 23 avril 2022, suivi d’un vote final au Parlement européen le 5 juillet dernier. Une fois adoptés respectivement en juillet et en septembre 2022, le DMA entrera en application six mois après l’entrée en vigueur, et le DSA quinze mois après l’entrée en vigueur ou à partir du 1er janvier 2024, la date la plus tardive étant retenue (15).
• Modifications de textes existants. Plusieurs autres textes sont également en cours de révision. La directive NIS (16) est modifiée par le projet de directive NIS2, dont le champ d’application a été considérablement élargi, puisqu’il vise désormais à réguler beaucoup plus d’organisations et entreprises et qu’il renforce les obligations à la charge des acteurs concernés en imposant notamment des obligations renforcées en termes de gestion des risques, de notification des incidents et de divulgation des vulnérabilités (17). La directive Machines (18) devient un projet de règlement Machines (19), visant principalement une numérisation de la documentation en la matière (instructions d’utilisation et déclaration) et la mise en place d’évaluations de conformité (pour certaines catégories de produits). De son côté, la directive ePrivacy (21), transformée en projet de règlement ePrivacy peine à voir le jour depuis la publication de sa première version en janvier 2017. De nombreux points restent encore et toujours en débat, notamment sur le régime applicable au dépôt de cookies et à la prospection commerciale.

Imbrication des textes parfois peu intelligible
Ces textes sont ambitieux et mêlent approche globale et sectorielle. Il en résulte une imbrication parfois peu intelligible des différents mécanismes et obligations pesant sur les acteurs qui multiplient souvent de nombreuses casquettes et entrent donc simultanément dans les champs d’application de plusieurs de ces textes. Bien qu’il soit louable de vouloir emboîter le pas au développement exponentiel de la valeur des données et du numérique, on peut s’interroger sur l’efficacité d’une telle multiplication de textes qui entraîne malheureusement la publication de textes peu aboutis, péniblement interopérables, voire difficilement transposables à la pratique des industries qu’ils visent. @

Collecte de données de géolocalisation mobile : la Cnil mène l’enquête au regard du RGPD

Publié le par

Le 13 juin 2022, la Commission nationale de l’informatique et des libertés (Cnil) a annoncé avoir confié à son laboratoire Linc une étude sur les données de géolocalisation collectées par des applications mobiles, la revente de données et les data brokers. Elle vérifiera la conformité avec le RGPD.

« Si cette étude n’est pas liée à une procédure de contrôle ou de sanction, elle s’inscrit néanmoins dans l’une des thématiques prioritaires de contrôles puisqu’en 2022 la Cnil vérifiera la conformité au RGPD des professionnels du secteur [en l’occurrence de la prospection commercial, dont la publicité en ligne, ndlr], en particulier de ceux qui procèdent à la revente de données, y compris, des nombreux intermédiaires de cet écosystème (aussi appelés data brokers) », précise le gendarme français des données et des fichiers informatiques.

Données anonymisées ou authentiques
Cela fait partie de ses priorités pour l’année en cours, dans le cadre sa mission de contrôle du respect du règlement général sur la protection des données (RGPD), lequel fut adopté en 2016 par le Parlement européen (1) et en vigueur depuis mai 2018 dans les Vingt-sept. Cette enquête est confiée au Laboratoire d’innovation numérique (Linc), dirigé depuis plus d’un an par Vincent Toubiana (photo). Cette mission s’achèvera dans quinze mois – en septembre 2023 – et « ce projet donnera lieu à plusieurs publications sur le site web du Linc » (2). Si la Cnil n’envisage pas – pour l’instant ? – d’actions répressives à l’encontre des exploitants de données, anonymisées et/ou personnelles, qui enfreindraient le RGPD et la protection de la vie privée des internautes, elle prévoit de « sensibiliser le public et les professionnels sur les enjeux liés à la collecte de données de géolocalisation par les applications mobiles ».
Pour étudier les pratiques aux finalités publicitaires et marketing, le Linc est en train d’analyser « un échantillon de données correspondant à la France » que la Cnil s’est procuré auprès d’un data broker de la place en se faisant passer pour un client potentiel lambda. Elle a pu ainsi obtenir du courtier de données « un jeu de données de géolocalisation » concernant des personnes. La Cnil précise que le jeu de données concerné est un fichier comportant des données de géolocalisation horodatées avec des points de localisation associés à près de 5 millions d’identifiants publicitaires de smartphones (Android et iOS) sur une période d’environ une semaine en 2021. « Les données transmises, précise le régulateur des données personnelles, sont présentées comme anonymisées par le revendeur de données. Après une rapide analyse, la Cnil considère qu’au moins une partie de ces données est authentique. Elle vérifiera si, sur la base de ce jeu de données, elle est en capacité de réidentifier les personnes et, dans l’affirmative, elle informera individuellement celles-ci ».
Dans l’éventualité où des personnes seraient réidentifiées, assure donc l’autorité indépendante de la place de Fontenoy, le traitement de leurs données sera suspendu jusqu’à ce qu’elles soient individuellement informées. « Si vous souhaitez plus d’informations sur ce traitement ou si vous souhaitez exercer vos droits, vous pouvez contacter ip@cnil.fr ou adresser un courrier à la Cnil à l’attention du service Linc », indique-t-elle. Des mesures particulières ont même été prises pour assurer la confidentialité de ces données auxquelles ne pourront accéder que l’équipe du Linc. Dans le jeu de données fourni, apparaissent des identifiants publicitaires. Ce que l’on appelle « identifiant publicitaire » consiste en une chaîne de caractères associée à un unique smartphone et permettant à des annonceurs de le reconnaître pour lui adresser de la publicité. « Comme son nom l’indique, cette donnée est identifiante : il s’agit donc d’une donnée personnelle. Un acteur disposant de deux sources de données présentant le même identifiant publicitaire est en mesure de relier les informations et de construire un profil plus complet de la personne à laquelle l’identifiant est associé », souligne la Cnil.

Deux missions : information et veille techno
Un courtier de données est à même de pouvoir relier les données d’utilisations collectées à partir de différentes applications installées sur un même smartphone. « Plus cet identifiant est stable dans le temps, fait remarquer l’autorité, plus il permet d’accumuler des informations sur les habitudes des propriétaires de smartphones. Il est donc conseillé de renouveler régulièrement cet identifiant ». Dans l’étude du Linc, l’identifiant publicitaire ne sera utilisé que pour faire le lien entre les points de localisation correspondant à un même smartphone. Un acteur de la publicité, lui, cherchera à faire le lien utiliser la valeur de l’identifiant pour l’associer à d’autres données telles que des données d’utilisation d’applications mobiles. La course à la géolocalisation mobile à des fins de publicités ciblées en temps réel – le RTB (Real Time Bidding) – serait la plus grande atteinte à la vie privée, selon l’ONG irlandaise ICCL (3), qui a publié le 16 mai dernier une étude édifiante (4) : en Europe, l’industrie du RTB expose les données des gens 376 fois par jour en moyenne ; aux Etats-Unis, c’est 747 fois ! L’industrie américaine et européenne du RTB a généré plus de 117 milliards de dollars en 2021.

Des mesures législatives ou réglementaires ?
Cette étude sur les données de géolocalisation collectées par des applications mobiles s’inscrit dans le cadre de deux missions précises de la Cnil prévues par la loi « Informatique et Liberté » : d’une mission d’information telle que définie dans l’article 8.I.1 (« Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises ») ; d’une mission de suivi de l’évolution des technologies de l’information telle que définie dans l’article 8.I.4 (« Elle se tient informée de l’évolution des technologies de l’information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l’exercice des droits et libertés mentionnés à l’article 1er »).
Dans sa mission de suivi de l’évolution des technologies de l’information, la Cnil peut même proposer au gouvernement des mesures législatives ou réglementaires pour procéder à l’« adaptation de la protection des libertés à l’évolution des procédés et techniques informatiques et numériques ». Reste à savoir s’il faudra adapter les textes en vigueur aux données de géolocalisation collectées par des applications mobiles, à la revente de données et aux pratiques des data brokers. Quoi qu’il en soit, la Cnil est tenue de contrôler la conformité des acteurs du numérique en France au RGPD, et les données de géolocalisation des données mobile – à l’ère du smartphone utilisé comme premier écran – sont particulièrement sensibles à cet égard.
D’autant que la loi « Informatique et Libertés » de 1978 n’a jamais été autant réécrite depuis l’ordonnance « Protection des données personnelles » du 12 décembre 2018 qui a mis en conformité le droit national français (5) avec le RGPD entré en vigueur au niveau européen depuis le 25 mai 2018. Cette transposition a notamment eu un impact sur le 1er article de cette loi française historique sur l’informatique, les fichiers et les libertés, qui en réfère désormais au RGPD européen notamment. Ainsi : « L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Les droits des personnes de décider et de contrôler les usages qui sont faits des données à caractère personnel les concernant et les obligations incombant aux personnes qui traitent ces données s’exercent dans le cadre du [RGPD], de la directive [dite « Police-Justice », ndlr (6)] et de la présente loi [« Informatique et Libertés »] ».
L’on comprend pourquoi la collecte des données de géolocalisation par les éditeurs d’applications mobiles soit mise sous surveillance et fasse l’objet d’une enquête de la part du régulateur des données personnelles. La question de l’anonymisation de ces data géolocalisées et de leur identification en tant que données personnelles est cruciale, voire épineuse pour tout l’écosystème numérique et publicitaire.
Surtout que la directive européenne dite « ePrivacy » – modifiée (7) et transposée à l’article 82 de la loi « Informatique et Libertés » – interdit la collecte de données sans le consentement préalable de l’internaute (du mobinaute) concerné et sans qu’elle ait été rendues anonymes. Or cette directive « ePrivacy » prévoit en son article 5.3 que « les Etats membres garantissent que l’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition que l’abonné ou l’utilisateur, soit muni, (…) d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données. (…) ». Cette disposition, transposée dans des termes similaires en droit français dans la loi « Informatique et Libertés », concerne a priori aussi bien les cookies stockés sur tout terminal connecté que l’accès aux données de géolocalisation qui y sont stockées.

Cookies et data géolocalisées, même combat ?
D’ailleurs, comme elle l’a déjà fait pour les cookies déposés par Amazon et Google (8), la Cnil pourrait très bien recourir non pas au RGPD – lequel suppose à « l’autorité chef de file » de coordonner la prise de décision avec les autres autorités concernées par le traitement des données en question – mais à s’appuyer plutôt sur cette directive « ePrivacy ». Dans ce cas, le gendarme français des données personnelles peut se considérer comme territorialement compétente pour contrôler et sanctionner des acteurs – même étrangers – abusant de la géolocalisation de données mobiles via leurs activités en France. @

Charles de Laubier

Les associations de consommateurs veillent à ce que le Data Act mette les utilisateurs au centre

Publié le par

Les particuliers sont les principaux générateurs de données numériques provenant de leurs terminaux et objets connectés. Au-delà de leurs données personnelles, ils doivent avoir le contrôle sur l’ensemble des data qu’ils produisent. Afin que l’économie des données leur profite à eux aussi.

« En tant qu’initiateurs d’une grande partie de ces données, grâce à leur utilisation d’appareils connectés et de services numériques, les consommateurs doivent garder le contrôle sur la façon dont les données – qu’ils ont aidé à générer – sont partagées et avec qui. Ces données sont utiles pour toutes sortes de services dans l’économie, dont les consommateurs pourraient également bénéficier, tels que les fournisseurs de services concurrents ou un plus large choix de services après-vente, y compris la réparation et l’entretien », a prévenu Monique Goyens (photo), directrice générale du Bureau européen des unions de consommateurs (Beuc).

Data de 398 millions d’internautes de l’UE
Monique Goyens a ainsi interpellé le 23 février dernier la Commission européenne qui présentait ce jour-là sa proposition de règlement sur les données, baptisé Data Act, dont l’objectif est de favoriser une « économie des données » dans les Vingt-sept, et de préciser « qui peut utiliser et les données générées dans l’UE dans tous les secteurs économiques et accéder à ces données ». Le texte lui-même de ce projet de règlement sur les données est un document de 64 pages (1), dont la traduction dans d’autres langues est en cours. Mais le Beuc, qui est basé à Bruxelles et qui fête cette année ses 60 ans, met en garde l’Union européenne contre la mise en place d’un cadre législatif ne mettant pas les utilisateurs – en l’occurrence les 398 millions d’internautes européens, selon l’Internet World Stats (2) – au cœur de cette « libéralisation » de la data. « Par exemple, illustre concrètement Monique Goyens, les données générées par un réfrigérateur intelligent devraient pouvoir être transmises à un concurrent ou être consultées par un service tiers si le consommateur le souhaite. Ces données peuvent inclure les paramètres du réfrigérateur, des informations sur le contenu du réfrigérateur, la façon dont il interagit avec d’autres appareils intelligents dans la maison, ou sur la façon dont le réfrigérateur est utilisé ou peut être défectueux ». Autrement dit, le Data Act ne doit pas seulement favoriser l’exploitation par des tiers des masses de données, le plus souvent générées par les Européens des Vingt-sept, mais aussi les rendre utiles et bénéfiques pour les utilisateurs eux-mêmes. « La loi sur les données est un élément important du puzzle pour s’assurer que les données peuvent être consultées équitablement dans toutes les industries tout en donnant aux utilisateurs le plein pouvoir de décider ce qui arrive aux données qu’ils génèrent. Il est essentiel que les consommateurs décident ce qui arrive aux données qu’ils génèrent, quand ils les partagent et avec qui », insiste la directrice générale du Beuc. Quant au droit de portabilité des données, il doit pouvoir être simplement exerçable par chaque consommateur qui le souhaite lorsqu’il veut passer d’un prestataire de services numériques à un autre : réseau social, cloud, plateforme de contenus, logiciel, etc. Et surtout le Data Act prévoit d’étendre ce droit de « mobilité numérique » au-delà des données personnelles. En effet, le RGPD (3) limite ce droit aux données à caractère personnel. Le Data Act, lui, renforcera ce droit à la portabilité de la data à toutes les données, à caractère personnel ou non.
Dans une lettre adressée le 16 février à Margrethe Vestager, vice-présidente de la Commission européenne, en charge notamment du numérique, le Beuc plaidé pour que « le consommateur soit au centre de la proposition de règlement sur les données ». Car Monique Goyens et la cosignataire du courrier (4), Ursula Pachl, directrice générale adjointe du Beuc, reprochent à l’exécutif européen que « les discussions sur l’accès aux données sont souvent dominées par des considérations d’entreprise à entreprise et d’entreprise à gouvernement ». Alors que, insistent-elles, ce sont les consommateurs eux-mêmes qui jouent un rôle central dans l’économie des données ; ce sont eux qui fournissent et génèrent d’énormes quantités de données grâce à leur utilisation d’appareils connectés et de services numériques ; eux encore qui permettent à une myriade de services en ligne de prospérer et d’innover grâce à l’accès à leurs données d’utilisateur. « En d’autres termes, résument les deux signataires, ces données sont essentielles du point de vue de la concurrence, du choix du consommateur et de l’innovation. La loi sur les données doit suivre l’approche centrée sur l’humain décrite dans la communication de la Commission européenne intitulée “Une stratégie européenne pour les données” (5) ».

Les quatre exigences du Beuc
Dans ce courrier adressé en copie au commissaire européen chargé du marché intérieur, Thierry Breton, le Beuc estime que le Data Act devrait intégrer quatre éléments favorables aux consommateurs : • S’assurer que les consommateurs contrôlent les données générées par leurs appareils connectés et les services associés. Lorsque les consommateurs sont à l’origine des données, ils devraient pouvoir décider librement et contrôler quand et avec qui partager leurs données. • Un droit amélioré de portabilité des données ne devrait pas se limiter aux données à caractère personnel, comme c’est actuellement le cas avec le RGPD, et devrait être beaucoup plus facile à exercer qu’il ne l’est aujourd’hui dans ce dernier. • Prendre des mesures de protection visant à empêcher l’accumulation et l’exploitation supplémentaires de données de tiers par les entreprises qui gardent le contrôle (gatekeeper). Il s’agit d’un élément clé du Digital Markets Act (DMA) qui doit être réaffirmé dans le Data Act afin d’assurer une économie des données ouverte, concurrentielle et saine. • S’assurer que les consommateurs ont accès à tous les recours et mécanismes de recours nécessaires si leurs droits ne sont pas respectés, y compris ceux prévus par la directive sur les actions représentatives [appelées aussi actions de groupe, ou class action (6), ndlr].

Des données inexploitées ou verrouillées
« En plus de fournir un cadre dans lequel les données sont accessibles et partagées, la loi européenne sur les données doit compléter les règles existantes en matière de protection des données, de protection des consommateurs et de concurrence. (…) L’UE doit également veiller à ce que la loi sur les données ne finisse pas par renforcer les monopoles des Big Tech sur les données », a prévenu le Beuc (7), qui compte UFC-Que Choisir et le CLCV (8) parmi ses 46 organisations de consommateurs membres de 32 pays (9), donc bien au-delà des Vingt-sept.
La proposition de règlement sur les données s’inscrit dans un contexte où l’on assiste à un « data-boom », dont le volume va exploser et passer de plusieurs dizaines de zettaoctets à plusieurs centaines de zettaoctets d’ici la prochaine décennie. Or une grosse partie de ces gisements de data sont inexploités ou sous-utilisés, en raison de « problèmes juridiques, économiques et techniques ». Par exemple, la Commission européenne affirme que « 80% des données industrielles n’étant jamais utilisées ».
Le Data Act est là pour déverrouiller la situation. « Les nouvelles règles augmenteront le volume de données disponibles en vue de leur réutilisation et devraient générer 270 milliards d’euros de PIB supplémentaire d’ici à 2028 », avancent Margrethe Vestager et Thierry Breton qui ont présenté la proposition. Mais l’utilisateur final sera-t-il au coeur du dispositif comme le souhaitent les organisations de consommateurs fédérées par le Beuc ? C’est ce que tente de mettre en place la proposition du Data Act. Dans ses explications annexées à sa communication du 23 février, la Commission européenne donne un exemple précis : « Lorsque vous achetez un produit “traditionnel”, vous devenez propriétaire de toutes les pièces et de tous les accessoires de ce produit. En revanche, lorsque vous achetez un produit connecté – par exemple, un appareil domestique intelligent ou une machine industrielle intelligente – qui génère des données, il est souvent difficile de savoir qui peut faire quoi avec les données, ou il peut être stipulé dans le contrat que toutes les données générées sont exclusivement recueillies et utilisées par le fabricant ». Le Data Act permettra non seulement aux entreprises mais aussi aux particuliers de mieux contrôler les données qu’ils génèrent à partir de tous les objets connectés en leur possession : terminaux (smartphones, ordinateurs, tablettes, téléviseurs, …), enceintes connectées, appareils électro-ménagers connectés, ou encore objets dits intelligents. Les services de cloud tels que Amazon Web Services, Microsoft Azure, Google Cloud ou encre OVHcloud sont concernés par ce nouveau droit au contrôle des données. Ce contrôle des données sera assorti d’un « droit à la portabilité renforcé » qui permet de copier ou de transférer facilement des données entre différents services en concurrence. « Il sera plus facile de transférer des données et des applications (qu’il s’agisse d’archives photographiques privées ou de l’administration entière d’une entreprise) d’un fournisseur à un autre sans engager de frais, grâce aux nouvelles obligations contractuelles que la proposition présente pour les fournisseurs de services en nuage et à un nouveau cadre de normalisation pour l’interopérabilité des données et des services en nuage », explique la Commission européenne.
L’utilisateur aura en outre la possibilité de partager les données qu’il génère avec d’autres prestataires en vue d’améliorer les services rendus. L’article 3 du Data Act crée une « obligation de rendre accessibles les données générées par l’utilisation de produits ou de services connexes ». L’article 4 donne le « droit des utilisateurs d’accéder et d’utiliser les données générées par l’utilisation de produits ou de services connexes ». Et l’article 5 accorde à l’utilisateur le « droit de partager des données avec des tiers ». Ces dispositions inquiètent d’emblée les entreprises numériques, notamment américaines au sein de la CCIA (10), et les éditeurs de logiciels, dont ceux réunis au sein du BSA (11).

Obligation de partager avec des tiers
En pratique, pour prendre une situation précise, « le propriétaire d’une voiture ou d’une machine pourrait choisir de partager les données produites par leur utilisation avec sa compagnie d’assurances » et « ces données, agrégées auprès de plusieurs utilisateurs, pourraient également contribuer au développement ou à l’amélioration d’autres services numériques, par exemple en ce qui concerne la circulation routière ou les zones à haut risque d’accident ». Cela stimulera le développement d’un éventail plus large de services par des tiers avec lesquels l’utilisateur acceptera de partager des données, généralement pour un meilleur prix ou une meilleure qualité de service. @

Charles de Laubier

Règles éco-énergétiques : les data centers doivent passer des salles blanches aux « salles vertes »

Publié le par

Les gestionnaires de centres informatiques (data centers), qui n’apprécient déjà pas le dispositif « Eco Energie Tertiaire » de 2019, sont maintenant vent debout contre le durcissement règlementaire du « verdissement » du numérique. Cela risque de « plomber » leur compétitivité face aux GAFAM.

Par Déborah Boussemart, avocate en droit de l’immobilier

Tandis que la mise en œuvre du dispositif « Eco Energie Tertiaire » – anciennement « décret Tertiaire » (1) de 2019 – par les gestionnaires de centres de données informatiques s’avère inadaptée et paralysée, de nouvelles mesures de « verdissement » des data centers entrent en vigueur : d’une part, avec l’introduction d’un principe de « promotion de centres de données et des réseaux moins énergivores » inscrit dans la loi du 15 novembre 2021 visant à réduire l’empreinte environnementale du numérique en France, loi dite « Reen » (2), et, d’autre part, l’attribution à l’Arcep d’un nouveau pouvoir de régulation environnementale dans le secteur numérique par la loi du 23 décembre 2021 visant à renforcer la régulation environnementale du numérique.

Une équation à deux inconnues
Si les grands axes du dispositif « Eco Energie Tertiaire » sont connus et le compte-à-rebours lancé, les gestionnaires de data centers sont encore dans l’expectative des arrêtés dits « Valeur absolue II et III » annoncés par le gouvernement. Dans cette attente, la mise en œuvre du dispositif est paralysée et pose un problème de prévisibilité du droit dans ce secteur immobilier qui a besoin d’une stabilité juridique dès lors qu’il mobilise d’importants capitaux et nécessite de longues durées de retour sur investissements.
Soumis au dispositif « Eco Energie Tertiaire » modifié et recodifié (3) par la loi « Climat résilience » (4), les gestionnaires (propriétaires et le cas échéant les locataires) de data centers sont appelés à plus de sobriété énergétique. Ils sont tenus, pour tout bâtiment (ou tout ensemble de bâtiments situés sur un même site ou unité foncière) hébergeant – exclusivement ou non – des activités tertiaires sur une surface de plancher supérieure ou égale à 1.000 m2, d’atteindre pour chacune des années 2030, 2040 et 2050 les objectifs suivants :
• soit un niveau de consommation d’énergie finale réduit, respectivement, de 40 %, 50 % et 60 % par rapport à une consommation énergétique de référence qui ne peut être antérieure à 2010 ;
• soit un niveau de consommation d’énergie finale fixé en valeur absolue, en fonction de la consommation énergétique des bâtiments nouveaux de leur catégorie. Le gouvernement a rappelé son attachement à ces objectifs dans sa feuille de route « Numérique & Environnement » (5) de février 2021.
Pourtant, dans la mesure où les data centers fonctionnent en permanence, avec leurs « salles blanches » (aux particules et températures maîtrisées), nous verrons plus loin que les professionnels consultés dénoncent le caractère inadapté du dispositif de « verdissement ». Les actions destinées à atteindre ces objectifs portent notamment sur la performance énergétique des bâtiments, l’installation d’équipements performants et de dispositifs de contrôle et de gestion active de ces équipements, les modalités d’exploitation des équipements, et l’adaptation des locaux à un usage économe en énergie et le comportement des occupants. Le comportement de l’utilisateur est pris en compte (6). Conscient que ces actions peuvent se révéler coûteuses et/ou se confronter à des obstacles techniques, le législateur a prévu des modulations – sous réserve d’établir un dossier technique et une étude énergétique – et des déductions.
A titre d’exemple, une modulation est possible lorsque les coûts des actions apparaissent manifestement disproportionnés par rapport aux avantages attendus en termes de consommation d’énergie finale. Une autre modulation est également possible en cas de contraintes techniques, architecturales ou patrimoniales.

Plateforme Operat : saisir avant le 30 septembre
En outre, deux hypothèses de déduction sont acceptées afin de suivre au plus juste la consommation d’énergie réelle du bâtiment. D’une part, lorsque la chaleur fatale (7) est autoconsommée par le bâtiment tertiaire, cette chaleur peut être déduite de la consommation. D’autre part, en présence de véhicules électriques et hybrides rechargeables dans le bâtiment tertiaire, la consommation d’énergie liée à la recharge est déduite (8). Les données relatives à l’année 2020 doivent être saisies par les assujettis au plus tard le 30 septembre 2022 sur la plateforme « Operat » (9), laquelle est gérée par l’Agence de la transition écologique (Ademe). Puis, chaque année à partir de 2022 seront transmises, au plus tard le 30 septembre, les données relatives à l’année précédente (10). La première vérification par l’Ademe est fixée au 31 décembre 2031 (11). Les responsabilités sont partagées entre les propriétaires et les locataires, le législateur leur laissant le soin de s’organiser contractuellement. Dans la perspective de développer un immobilier plus vert, l’attestation annuelle générée par la plateforme Operat est annexée aux documents de vente et de location (12). Enfin, une notation « Eco Energie Tertiaire » annuelle est mise en place. Quant au préfet, il demande de justifier d’un plan d’actions. A défaut, il peut sévir en recourant au « Name & Shame » ou à des amendes administratives (13).

Arrêtés « Valeur absolue » en vue
S’agissant des valeurs à retenir pour les data centers, le dispositif est incomplet (14). Le 17 juin 2021, le gouvernement a indiqué travailler sur deux arrêtés :
• un arrêté « Valeur absolue II » devant présenter la totalité de la segmentation des activités tertiaires et préciser les objectifs en valeur absolue pour un grand nombre d’activités en métropole (15) ;
• un arrêté « Valeur absolue III », dont la publication est prévue en mai 2022, devant préciser les objectifs exprimés en valeur absolue pour les dernières activités pour lesquels les travaux sont en cours et intégrer les valeurs spécifiques pour les départements d’outremer (16).

Des voix se sont élevées pour dénoncer le caractère inadapté et imprévisible de ce cadre réglementaire. Une association professionnelle rassemblant les principaux acteurs de cette filière, France Data Center, a rappelé l’importance pour la France de conserver en permanence la maîtrise opérationnelle du numérique. Afin de gagner en compétitivité, son président Olivier Micheli (17) a souligné qu’il est essentiel de réfléchir à la création de champions du numérique européens pour faire face aux champions américains (GAFAM) et asiatiques (BATX).
Enfin, il a ajouté que « le décret “Tertiaire” n’est pas du tout adapté aux data centers puisqu’il vise à réduire le nombre de kilowattheures consommés dans les data centers, ce qui est impossible. Il n’est pas possible de supprimer des serveurs du jour au lendemain pour atteindre un objectif en valeur absolue défini par décret » (18). Dans le même sens, le Groupement des industries de l’équipement électrique (Gimelec), syndicat des entreprises de la filière électro-numérique française, a souligné que la régulation de la performance énergétique des data centers pourrait « plomber » la compétitivité des acteurs et les « mettre en irrégularité » sans garantie de gain énergétique (19). Espérons que les arrêtés à paraître prendront acte de ces critiques et fixeront un cadre adapté au secteur. Il est toutefois permis d’en douter car, dans cette attente, le législateur entend désormais faire converger transition numérique et écologie, et a adopté en urgence de nouvelles mesures tendant à promouvoir des data centers plus vertueux. Sans nous livrer à une exégèse exhaustive de ses dispositions, soulignerons que la loi « Reen », qui vise à réduire l’impact du numérique sur l’environnement, se fait le relai de la Convention citoyenne pour le climat de 2020 (20).
Longtemps qualifié d’angle mort des politiques environnementales, le numérique – dont son parc immobilier matérialisé par les data centers – est aujourd’hui dans le viseur du législateur qui ambitionne de « faire du numérique un accélérateur de la transition écologique à l’empreinte environnementale soutenable » (21). Une étude réalisée à la demande du Sénat en juin 2020 (22) a confirmé ce qui était déjà pressenti depuis longtemps. Le numérique est susceptible de représenter près de 7 % de l’empreinte carbone des Français en 2040, tandis que les data centers consommeraient déjà à eux seuls 10 % de l’électricité mondiale (23).

Dans ce contexte, la loi « Reen » entend désormais « promouvoir des centres de données et des réseaux moins énergivores ». Le texte renforce les conditionnalités environnementales qui s’appliqueront, dès 2022, au tarif réduit de la taxe intérieure de consommation finale d’électricité (TICFE) applicable aux data centers. Les opérateurs de communications électroniques devront, quant à eux, publier des indicateurs clés récapitulant leurs engagements en faveur de la transition écologique (24). L’Arcep, elle, désormais régulateur environnemental de tout l’écosystème numérique, a désormais le pouvoir de collecter des données en vue de dresser le bilan de l’empreinte environnementale.

Verdissement aux forceps et à risques
Pour conclure, rappelons que derrière les échanges, les partages et les stockages dématérialisés des services de cloud, il existe un univers bien matériel fait de câbles, de serveurs, de bâtiments climatisés énergivores que le législateur entend verdir en urgence, eu égard aux enjeux climatiques et au calendrier législatif. Gageons que le verdissement aux forceps des data centers ne se fasse pas au détriment de la compétitivité et de la souveraineté numérique. @