Données produites par l’Internet des objets et l’informatique en nuage : ce que dit le Data Act

Le législateur européen poursuit ses travaux en vue de créer un marché unique des données. La dernière avancée en date : le règlement sur les données, dit « Data Act », entré en vigueur le 11 janvier 2024. Il sera applicable à compter du 12 septembre 2025. Tour d’horizon de ses principales dispositions.

Par Sandra Tubert, avocate associée, et Antoine Tong, avocat, Algo Avocats

A l’instar du « Data Governance Act » (1), le « Data Act » (2) s’inscrit dans la stratégie européenne visant à créer un « marché unique des données » (3) équitable pour toutes les parties prenantes. En effet, en février 2020, la Commission européenne constatait une disponibilité insuffisante des données pour une réutilisation innovante par les acteurs publics comme privés, des situations de monopole sur les marchés du cloud et de l’accès aux données compromettant l’équilibre concurrentiel, ainsi qu’un manque d’interopérabilité et de qualité des données dans le contexte du déploiement de l’intelligence artificielle (IA)…

Droits d’accès et à la portabilité
Autant de problématiques qui faisaient, selon la Commission européenne, obstacle au développement d’un véritable marché unique du numérique. Pour y remédier, le Data Act encadre les droits et obligations de chacune des parties impliquées dans la création de la valeur autour des données générées par les « produits connectés » (4) et « services connexes » (5), avant de réguler les services « en nuage » (cloud).
La régulation de l’accès et du partage des données. Plusieurs catégories de mesures ont été prévues pour favoriser l’accès et le partage des données. La première catégorie de mesures impacte la documentation précontractuelle des fabricants de produits connectés et fournisseurs de services connexes puisqu’ils seront tenus de fournir aux utilisateurs des informations précises, telles que le type, le format et le volume estimé des données générées par le produit connecté, sa capacité à stocker des données sur un dispositif intégré ou un serveur distant, ou encore la manière d’accéder aux données, de les extraire voire de les effacer. Les fournisseurs de services connexes devront quant à eux préciser s’ils ont l’intention d’utiliser les données ainsi que les finalités de cette utilisation, ou bien d’autoriser des tiers à utiliser les données pour les finalités convenues. La seconde catégorie de mesures consiste à créer de nouveaux droits au bénéfice des utilisateurs (c’est-à-dire droits d’accéder aux données et de partager des données avec des tiers) qui s’apparentent fortement aux droits d’accès et à la portabilité des données à caractère personnel déjà prévus par le RGPD, le règlement général sur la protection des données (6). Le Data Act donne ainsi un nouvel élan aux droits d’accès et à la portabilité, puisque les droits qui y sont prévus sont applicables à toutes les données générées par les produits connectés et les services connexes, qu’elles soient à caractère personnel ou non, et disponibles pour l’ensemble des « utilisateurs » (7), personne physique ou morale.
En pratique, le droit d’accès se matérialise par l’obligation de concevoir des produits connectés et services connexes qui permettront à l’utilisateur, lorsque cela est techniquement possible, d’accéder de manière directe aux données et aux métadonnées relatives aux produits et services dans un format complet, structuré, couramment utilisé et lisible par machine. A défaut d’accès direct par l’utilisateur depuis le produit connecté ou le service connexe, le « détenteur de données » (8), c’est-à-dire le fabricant de produit connecté ou le fournisseur de service connexe, sera tenu d’une obligation de rendre les données et les métadonnées accessibles, dans un format complet, structuré, couramment utilisé et lisible par machine, voire en continu et en temps réel, sur simple demande de l’utilisateur formulée par voie électronique.
Le droit à la portabilité se traduit, quant à lui, par l’obligation pour le détenteur de données de mettre les données et les métadonnées à disposition d’un tiers, c’est-à-dire un « destinataire de données » (9), sur simple demande d’un utilisateur. Naturellement, le tiers ne sera pas libre d’exploiter les données à sa guise. Elles ne pourront être traitées qu’aux fins et dans les conditions déterminées avec l’utilisateur. Le détenteur de données devra permettre l’exercice de ces droits, sans retard injustifié, de manière aisée, sécurisée et sans frais pour les utilisateurs.

Nombreux garde-fous et exceptions
Si le Data Act prend le soin de préciser que le détenteur des données ne peut refuser d’accéder aux demandes des utilisateurs sous couvert du droit à la protection des bases de données (10), les droits prévus par ce règlement ne sont pas absolus et un certain nombre de garde-fous et d’exceptions ont été mis en place dans un but d’équité. Ainsi, les données générées ne pourront pas, dans le cadre du droit à la portabilité, être transmises aux entreprises désignées comme « gatekeepers » par le « Digital Markets Act » (11), telles qu’Amazon ou Google. De l’autre côté, les PME seront, sous certaines réserves (12), exemptées des obligations d’accès et de partage des données aux utilisateurs et aux tiers. Il sera par ailleurs strictement interdit à l’utilisateur ou au destinataire d’utiliser les données – auxquelles il a eu accès suite à une demande de droit d’accès ou de partage – afin de concevoir un produit concurrent (13).
Comme le RGPD avant lui, le Data Act souhaite préserver le secret des affaires des détenteurs de données (14). Il adopte néanmoins une approche différente de celle pratiquée en application du RGPD, en estimant que le secret des affaires ne devrait pas constituer un obstacle absolu à l’accès et/ou au partage des données.

Détenteur de données et mise à disposition
Le Data Act invite donc les détenteurs de données (ou les détenteurs de secret d’affaires s’il ne s’agit pas de la même entité) à recenser les données et métadonnées protégées en tant que secret d’affaires et à convenir avec l’utilisateur et/ou le tiers de mesures techniques et organisationnelles nécessaires (clauses contractuelles types, accord de confidentialité, protocoles d’accès stricts, normes techniques et application de codes de conduites) pour préserver leur confidentialité.
Exceptionnellement, le détenteur de données pourra refuser de partager les données s’il démontre, sur la base d’éléments objectifs, des « circonstances exceptionnelles » et qu’il est « très probable » qu’il subisse un « préjudice économique grave » en dépit des mesures techniques et organisationnelles prises par l’utilisateur ou le destinataire. Le Data Act précise également que le détenteur de données devra convenir des modalités de mise à disposition des données avec un destinataire, dans des conditions, équitables, raisonnables, non discriminatoires et de manière transparente. Ainsi, toute différence de traitement envers les destinataires de données sera interdite. Le détenteur de données sera en droit d’obtenir une compensation pour les coûts engendrés par la mise à disposition des données à des destinataires, mais les modalités de calcul seront fixées par des lignes directrices de la Commission européenne.
Par ailleurs, parfaitement conscient de la propension de certains acteurs à tirer profit de déséquilibres contractuels, le législateur européen a pris le soin d’énumérer les clauses abusives ou présumées abusives dans le cadre des relations entre entreprises liées à l’accès et au partage des données. Enfin, les organismes du secteur public pourront accéder aux données et aux métadonnées à des fins d’intérêt public lorsqu’ils démontrent un besoin exceptionnel. Ce dernier pourra notamment être matérialisé par l’urgence et l’absence de moyens alternatifs permettant d’obtenir les données utiles, de manière efficace dans des conditions équivalentes.
La régulation du marché du cloud. De leur côté, les fournisseurs de « services de traitement de données » (15) (à savoir les acteurs du cloud, fournisseurs de IaaS, PaaS et SaaS) devront prendre toutes les mesures, notamment commerciales, contractuelles, organisationnelles et techniques, afin de permettre aux clients de changer de fournisseurs de services cloud. Ils devront ainsi s’abstenir de mesures freinant le client dans ses démarches de changement, qu’ils s’agissent des modalités de résiliation du contrat après changement de fournisseur, du portage de ses données, ou encore du découplage entre les services IaaS et PaaS/SaaS.
De manière assez étonnante au regard des pratiques déjà installées sur le sujet, le législateur est venu fixer le contenu impératif minimum du contrat entre un client et un fournisseur de services cloud, notamment au niveau des clauses dites de réversibilité, en prévoyant entre autres des délais impératifs maximum pour le lancement du processus de réversibilité (inférieur à 2 mois) ou pour la récupération des données (minium 30 jours), une clause garantissant l’effacement intégral des données suite à l’opération de réversibilité, etc.
Les fournisseurs de services cloud doivent, depuis le 11 janvier 2024, réduire les « frais de changement de fournisseur » (16) – en les limitant aux coûts directement liés au processus de réversibilité que le Data Act estime être les frais liés au transfert des données d’un fournisseur à un autre ou les frais pour des actions de support spécifique pendant le processus de changement de fournisseur (17) – puis, à compter du 12 janvier 2027, les supprimer. Anticipant le Data Act, le projet de loi français SREN prévoit quant à lui la suppression immédiate des « frais de transfert » des fournisseurs de services en nuage. Le texte est toutefois fortement critiqué par la Commission européenne. Enfin, dans le but de faire émerger un environnement cloud multifournisseur qui permettra aux clients de mettre en œuvre des stratégies durables sans se retrouver dépendant d’un fournisseur (18) les institutions européennes misent sur des normes harmonisées et des spécifications d’interopérabilité qui seront adoptées par la Commission européenne (19).

Projet de loi français SREN critiqué
Le Data Act s’en remet de manière singulière aux Etats membres pour déterminer le régime des sanctions applicables en cas de non-respect de ses dispositions (20). Le projet de loi SREN, qui anticipe l’adoption du Data Act mais qui n’est pas encore adopté et fait l’objet de vives contestations et critiques au niveau européen, prévoit que l’autorité de contrôle pour réguler les acteurs du cloud est l’Arcep. Et les sanctions proposées vont, pour une personne morale, de 1 million d’euros à 3 % du chiffre d’affaires de l’exercice précédent, voire 5 % en cas de réitération. @

européennes en font-elles assez en tant que gendarmes des données personnelles ?Les « Cnil » européennes en font-elles assez en tant que gendarmes des données personnelles ?

Edition Multimédi@ revient sur la Journée de la protection des données (Data Protection Day) qui a été célébrée – comme tous les ans depuis 2007 – le 28 janvier. L’organisation Noyb a publié un sondage montrant, en creux, que les « Cnil » européennes ne contrôlent pas assez le respect du RGPD.

La Journée de la protection des données (Data Protection Day) qui été célébrée – comme tous les ans depuis 2007 (1) – le 28 janvier, est tombée cette année un dimanche. D’où le peu d’intérêt qu’elle a cette fois suscité. Pourtant, cette cause est cruciale pour les vies numériques des presque 404 millions d’internautes de l’Union européenne (UE), laquelle compte 445,8 millions d’Européens (2). Les données personnelles de ces citoyens de l’UE sont censées être protégées par les « gendarmes » des données personnelles justement, à savoir les « Cnil » dans chacun des Vingt-sept.

Les « Cnil » font-elles leur boulot ?
Or les « Cnil » de l’UE, réunies au sein du Comité européen de la protection des données (CEPD/EDPB) aux côtés de la Commission européenne qui participe à leurs réunions (sans droit de vote), n’useraient pas suffisamment de leurs pouvoirs de contrôle et d’enquête pour vérifier que les plateformes numériques et les sites web respectent – entre autres obligations de protection de la vie privée de leurs utilisateurs – le règlement général sur la protection des données (RGPD). C’est ce qui ressort, en creux, d’un vaste sondage mené par l’organisation autrichienne Noyb – « centre européen pour les droits numériques » cofondé à Vienne et dirigé par Max Schrems (photo) – auprès de 1.000 professionnels de la protection des données travaillant dans des entreprises européennes.
Dans les résultats de cette étude sans précédent depuis l’entrée en vigueur du RGPD le 25 mai 2018, il y a plus de cinq ans, il ressort que 74,4 % des professionnels interrogés – de nombreux étant eux-mêmes des DPO (Data Protection Officers), à savoir des délégués à la protection des données dans une entreprise – affirment que « si les autorités de protection des données personnelles [les « Cnil » européennes, ndlr] menaient une enquête sur place dans une entreprise moyenne traitant des données d’utilisateurs, elles trouveraient des “violations pertinentes” ». Autrement dit, la plupart des entreprises, au premier rang desquelles les grandes sociétés, ne respectent pas les obligations du RGPD (3) pour protéger la vie privée des personnes dont elles exploitent les données personnelles. Et, en toute impunité puisque les « Cnil » – les Data Protection Authorities (DPA) – en contrôlent très peu. Les sociétés et organisations sont donc en infraction avec ce règlement européen, lequel prévoit trois types sanctions financières en cas de violation des données personnelles :
Pour les violations des obligations incombant au responsable du traitement et au sous-traitant, des obligations incombant à l’organisme de certification, ou des obligations incombant à l’organisme chargé du suivi des codes de conduite : amendes administratives pouvant s’élever jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
Pour les violations aux principes de base d’un traitement, y compris les conditions applicables au consentement, aux droits dont bénéficient les personnes concernées, aux transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale, à toutes les obligations découlant du droit des Etats membres, ou au non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle, ou le fait de ne pas accorder l’accès prévu : amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. « Le non-respect d’une injonction émise par l’autorité de contrôle [une « Cnil » en Europe, ndlr] fait l’objet d’amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu », prévoit le RDPD (4).

France : seulement 125 agents habilités
Chaque autorité de contrôle des données personnelles est dotée de pouvoirs, sur son territoire, de contrôler l’application du RGPD et de veiller à son respect, ainsi que de pouvoirs d’enquêtes sur l’application de ce même règlement, « y compris sur la base d’informations reçues d’une autre autorité de contrôle ou d’une autre autorité publique » (5). Parmi ses nombreuses attributions en tant que gendarme des données personnelles, la « Cnil » européenne traite aussi « les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association, […] et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de contrôle est nécessaire ». Mais les autorités de contrôle des données dans l’UE remplissent-elles bien leur mission de contrôles, d’enquêtes voire de sanctions ? Au vu des constatations de Noyb, le doute s’installe sur leurs capacités à faire respecter la loi, en l’occurrence le RGPD. En France, la Cnil ne dispose que de 125 agents habilités « à procéder à des missions de vérification », d’après sa dernière délibération du 7 décembre 2023 publiée au Journal Officiel (6). Contactée par Edition Multimédi@, la Cnil nous indique qu’elle n’a « pas de commentaires à faire concernant le sondage Noyb ».

Le « soft-law » des DPA jugé inefficace
Le fait que 74,4 % des sondés par Noyb se disent d’accord avec l’affirmation selon laquelle « les autorités de protection des données trouveraient sûrement des violations pertinentes du RGPD » (voir tableau ci-dessous) en disent long sur le peu de contrôles et d’enquêtes qui sont menés sur le terrain. Les « Cnil » sont donc appelées à, en substance, faire vraiment leur travail de vérification en se rendant dans les entreprises. Avec ses 125 agents habilités, la Cnil française semble par exemple presque désarmée – en tant que gendarme des données personnelles – face à l’ampleur de la tâche. Sachant que, rien qu’en France d’après le rapport annuel de la Cnil, présenté par sa présidente Marie-Laure Denis (photo ci-contre) en mai 2023, il y a 89.841 délégués à la protection des données (DPO) susceptibles d’être contrôlés. Cela fait par agent assermenté plus de 700 responsables – de traitement des données personnelles et de la protection de la vie privée – à « vérifier »… Résultat, comme le constate Noyb, « les professionnels évoluent encore dans une culture de non-conformité ou de conformité partielle ». Et le président honoraire de Noyb d’enfoncer le clou : « Il est extrêmement alarmant de constater que 74,4 % des professionnels de la protection des données au sein des entreprises déclarent que les autorités trouveraient en des violations importantes dans une entreprise moyenne. De tels chiffres seraient inimaginables s’il s’agissait de se conformer à la législation fiscale ou à la réglementation en matière de sécurité incendie. La non-conformité ne semble être la norme que lorsqu’il s’agit des données personnelles des utilisateurs » (7). Autre critique à l’égard des « Cnil » et de leur représentation CEPD/EDPB à Bruxelles : les instruments dits de soft-law sont inefficaces, à savoir notamment leurs lignes directrices et recommandations qui n’ont que peu d’influence et sont considérées comme généralistes. D’après l’enquête de Noyb, 70,9 % des personnes interrogées pensent qu’il faudrait des décisions plus claires de la part des gendarmes européens des données personnelles (les vingt-sept DPA) et des tribunaux pour améliorer la conformité. Pour l’écrasante majorité des sondés, il y a « un besoin d’une plus grande implication réellement des DPA pour améliorer la protection de la vie privée des utilisateurs dans la pratique » et il y a encore « beaucoup d’interprétations contradictoires du RGPD ».
Et un avocat néerlandais spécialiste du RGPD de faire remarquer : « Si les Big Tech ne respectent pas le RGPD, pourquoi les petites entreprises se donneraient la peine de se conformer ? ». L’outil d’audit de site web WAT lancé le 29 janvier dernier par le CEPD/EDPB, sous forme de logiciel open source et gratuit (8), devrait permettre aux gendarmes des données et aux éditeurs Internet de vérifier la conformité ou pas de sites web. Reste qu’aujourd’hui le droit à la vie privée et à la protection des données est en grande partie bafoué en Europe, plus de cinq ans après l’entrée en vigueur du RGPD qui devrait en principe faire l’objet d’une révision cette année (9). @

Charles de Laubier

 

Le Data Act a à l’œil Amazon, Microsoft et Google

En fait. Le 11 janvier 2024 est entré en vigueur le Data Act, à savoir le règlement du 13 décembre 2023 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données. Le marché unique européen des données du cloud et des objets connectés se met en place.

En clair. Il n’y pas que Amazon Web Services (AWS), Microsoft Azure et Google Cloud sur le marché européen des données dans les nuages. Bien que ces hyperscalers s’arrogent environ les deux-tiers du marché européen et même mondial du cloud, il y a de la place pour des challengers qui ne sont pas forcément américains, ni chinois comme Alibaba.
Par exemple, en France, 3DS Outscale (Dassault Systèmes), OVHcloud (OVH) ou Scaleway (Iliad), considérés comme de pure players par l’Autorité de la concurrence qui a mis sous surveillance ce marché (1), doivent pouvoir exister face à ces géants dominants. Au moment où le marché des données est boosté aux objets connectés (IoT) et à l’intelligence artificielle (IA), le Data Act arrive à point nommé : après avoir été adopté par le Parlement européen le 13 décembre 2023, ce règlement harmonisant dans les Vingt-sept « l’équité de l’accès aux données et de l’utilisation des données » a été publié le 22 décembre au Journal officiel de l’Union européenne (JOUE) pour entrer « en vigueur » vingt jours après cette parution (2), soit le 11 janvier 2024. Le Data Act sera ensuite « applicable » sur le marché unique numérique à partir du 12 septembre 2025.
Vis-à-vis des utilisateurs (entreprises et particuliers), les services de cloud computing – qu’ils soient IaaS (Infrastructure-asa-Service), PaaS (Platform-as-a-Service) ou SaaS (Software-asa-Service) – doivent leur garantir un droit au changement de prestataire par la « suppression des obstacles (…) pré commerciaux, commerciaux, techniques, contractuels et organisationnels». Après résiliation et nouveau contrat avec un concurrent du cloud, le client peut faire jouer son droit au «portage [de ses] données exportables et [de ses] actifs numériques, […] y compris après avoir bénéficié d’une offre gratuite» (3).
Quant aux fabricants et fournisseurs de produits connectés, dont ceux de l’Internet des objets (IoT), ils sont tenus de rendre accessibles à l’utilisateur – « de manière aisée, sécurisée, sans frais, dans un format complet, structuré, couramment utilisé et lisible par machine » – les données relatives auxdits produits et les données relatives aux services connexes, y compris les métadonnées pertinentes nécessaires à l’interprétation et à l’utilisation de ces données (4).
Bien d’autres dispositions sont prévues par ce Data Act européen, pour tenter d’éviter les abus de position dominante. @

Yannick Carriou, PDG de Médiamétrie : « Nous allons mesurer en 2024 les plateformes de SVOD comme Netflix »

Médiamétrie – dont le conseil d’administration est composé de membres actionnaires issus des médias (télés en tête), des annonceurs, des agences, mais pas encore des plateformes – sortira en septembre 2024 les volumes de consommations de Netflix, Amazon Prime Video et autres, « qu’ils le veuillent ou non ».

Médiamétrie, qui fêtera ses 40 ans dans deux ans (en juin 2025), fait monter encore plus la pression sur les grandes plateformes numériques comme Netflix, Amazon Prime Video, Disney+ ou Apple TV+. Alors que les discussions confidentielles s’éternisent depuis plus d’un an avec certaines d’entre elles, dont Netflix, l’institut français de mesure d’audience réaffirme sa volonté aller de l’avant, avec ou sans leur coopération. « Nous sortirons une quantification totale de consommation des plateformes, puis au niveau des principaux contenus des audiences, avec des définitions ayant du sens, une information auditée, un certain niveau de transparence. A partir de septembre 2024, du moins au troisième trimestre 2024, on sortira des volumes de consommation, par exemple de Netflix. Puis six à neuf mois plus tard [soit à partir de mars 2025 au plus tôt, ndlr], on descendra au niveau des contenus », a indiqué Yannick Carriou (photo), PDG de Médiamétrie, lors d’une rencontre le 12 juillet avec l’Association des journalistes médias (AJM), dont fait partie Edition Multimédi@. Et d’ajouter : « C’est la raison pour laquelle nous avons passé un accord avec Nielsen, qui nous apporte immédiatement des technologies que nous sommes en train de tester et d’adapter à l’Internet français pour faire cette mesure-là ».

Vers une plateforme coactionnaire de Médiamétrie ?
Nielsen, le géant américain de la mesure d’audience présent dans le monde, collabore déjà avec Médiamétrie depuis 1999 mais, avec ce nouveau partenariat signé fin 2022, il fournit au français ses technologies – déjà éprouvées aux Etats-Unis – de mesure des flux digitaux à domicile par des routeurs Internet, de gestion informatique des contenus numériques de télévision, ainsi que de reconnaissance de contenus des plateformes de vidéo à la demande (VOD, SVOD, AVOD, FAST, …). « On sait mesurer quand un terminal se connecte à un serveur qui appartient à Netflix, Amazon ou Spotify, et quantifier automatiquement et de manière assez certaine les volumes de consommation. La situation est un peu différente au niveau des contenus : dans l’univers de la SVOD, 90 % à 95 % des contenus sont quasi exclusifs et on les reconnaît par une technique de type Shazam [reconnaissance de contenus, ndlr], alors que sur la télévision les contenus sont watermarqués [par du watermarking ou tatouage numérique, ndlr]. Sur l’audio digital, c’est plus difficile car les contenus sont aussi diffusés par les autres », explique Yannick Carriou.

Vers une plateforme coactionnaire de Médiamétrie ?
Médiamétrie travaille déjà sur les acteurs de l’Internet comme Google/YouTube, Facebook, Snap et Twitter ou encore Dailymotion, lesquels participent aux travaux de son comité Internet. En revanche, ce n’est toujours pas le cas des plateformes de SVOD qui sont absentes. « Si Netflix, Amazon, Disney et d’autres veulent participer d’avantage, et ils sont les bienvenus ; ils le peuvent en apportant un peu plus de précisions (logs, informations, …) qui seront auditées. Mais à ce jour, aucune plateforme ne nous a encore apporté ses données, constate le PDG de Médiamétrie. De tout façon, on n’en a pas besoin car nous allons d’abord développer notre mesuresocle. Or une fois que l’on commence à les mesurer pour de vrai, qu’ils le veuillent ou non, ils ne rigolent plus et les discussions s’ouvrent ». Comme avec Netflix. Médiamétrie, qui compte cinq comités décisionnels (Audimétrie, TV, Internet, Radio, Métridom (1)) et un atelier Cross média pub, « invite » les plateformes de SVOD à y participer. Mais « à deux conditions : que l’on ait une mesure à discuter et que l’on se mette d’accord sur la comitologie (2) ; probablement qu’en 2024 on aura une discussion pour l’insertion de ces acteurs », indique le PDG de Médiamétrie. Pour l’heure, en France, les Netflix, Amazon et autres Disney pratiquent l’automesure de l’audience de leurs plateformes et de leurs contenus, et ne partagent pas leurs données avec le marché. Certains acteurs de la SVOD peuvent annoncer des chiffres, comme Amazon avec Roland Garros que le géant du ecommerce retransmet depuis 2021, mais ils ne sont pas audités. «La posture de l’automesure qui consiste à dire “Prenez et mangez-en tous” ne marche pas trop », dit Yannick Carriou. Dans l’audio, Spotify fait aussi de la publicité digitale mais « ils sont très opaques sur les chiffres », des annonceurs lui achetant de l’impression (3). « Mais quelle est l’audience derrière ces impressions ? », s’interroge le patron de Médiamétrie. Pour lui, « la plateformisation relève de l’extension du domaine de la lutte ».
Un double bras de fer a lieu avec ces plateformes, notamment de SVOD. D’un côté, Médiamétrie les prévient qu’il va bientôt les mesurer à partir du troisième trimestre 2024, et, de l’autre, l’Union des marques (UDM) dirigée par Jean-Luc Chetrit (photo ci-dessus) les met en garde sur le fait que les annonceurs ne leur achèteront pas d’espaces de publicité tant qu’ils ne seront pas mesurés par Médiamétrie. Si certaines marques se laissent néanmoins tenter par Netflix ou Amazon, « c’est pour essayer et par effet de curiosité », assure Yannick Carriou. Et d’affirmer : « Il n’y a pas eu d’évasion massive de la publicité vers les plateformes de SVOD, et cela n’explique surtout pas la baisse de la publicité de la télévision ». Mais Médiamétrie se garde bien de tirer de conclusion hâtive sur un échec ces derniers mois de Netflix, lequel prépare son « inventaire » (4), tout comme Disney+. « Le plus gros est devant nous », concède-t-il.
Reste la question sensible pour Médiamétrie de l’évolution de son conseil d’administration, dont les 17 membres (maximum) ont la particularité – sauf son président (Yannick Carriou) – d’être salariés des entreprises actionnaires de l’institut de mesure, « société anonyme de droit privée », tient à rappeler son PDG. Actuellement, le capital de 14.880.000 euros est détenu à 65 % par des médias (France Télévisions 22,89 %, TF1 10,8 %, Canal+ 1,4 %, Radio France 13,5 %, Europe 1/ Lagardère 5,4 %, NextRadioTV/Altice 5,4 %, M6/RTL 2,7 %, Ina 2,81 %). Et les 35 % restants par des publicitaires annonceurs, agences conseils et… opérateur télécom (Union des marques 9,33 %, Publicis 6,7 %, Dentsu 6,7 %, Havas 6,7 %, Orange 2,44 %, Omnicom 1,62 %, IPG 1,61 %). Parmi eux, le dernier arrivé au capital (en juillet 2021) est Orange via sa filiale Orange Participations (5). Alors pourquoi ne pas faire aussi entrer une plateforme du Net au conseil d’administration en tant que coactionnaire ? « Mais pourquoi feraisje entrer une plateforme ? », a demandé Yannick Carriou. Pour refléter l’évolution du paysage médiatique et publicitaire, lui répond-on. « C’est un peu romantique comme idée, a-til répliqué, puisque le rôle du conseil d’administration consiste à valider mon budget, les règles de fonctionnement et à vérifier, mais à ne prendre aucune décision sur les mesures. Je pourrais faire entrer Auchan si vous voulez… Mais ça n’apportera rien à la fonction elle-même ». Alors pourquoi avoir fait entrer un opérateur télécom ? « Parce qu’Orange a voulu y entrer, tout en apportant de la data, et s’est rapproché de l’Union des marques qui a bien voulu lui vendre une partie de ses actions et qui donc passé de 11,77 % à 9,33 % », a-t-il justifié. Vous pourriez faire une augmentation de capital si aucun actionnaire actuel n’est vendeur d’actions ? « Je n’ai pas besoin d’argent ». Que dirait Médiamétrie si Netflix, Amazon ou un autre géant du Net venait lui proposer d’être coactionnaire en apportant son expertise data ? « Je ne dis pas non. Il faudrait que la plateforme achète des actions ». Aucun GAFAM n’en a fait la demander à ce jour ? « Non ». Yannick Carriou, qui a entamé un second mandat de trois ans depuis le 1er avril, assure en tout cas que les médias traditionnels ont conscience de l’évolution des usages et les télévisions se plateformisent elles-mêmes.

Etats-Unis : Nielsen compare déjà la TV et le Net
Il serait impossible pour une chaîne comme TF1 de dire qu’elle va devenir une plateforme et de refuser à ce que les autres plateformes comme Netflix soient mesurées. « Ce serait totalement illogique, souligne-t-il. Par contre, là où les chaînes ou les éditeurs sont extrêmement sourcilleux, et ils ont raison car une partie de leur destin difficile est en jeu, c’est sur la comparabilité des mesures ». Les médias veulent la stricte comparabilité des chiffres avec les plateformes, comme a commencé à le faire Nielsen aux Etats-Unis et avec Amazon dès l’année dernière malgré la résistance de certains groupes de télévision américains (6). @

Charles de Laubier

Le marché unique du numérique et de ses données fait face à un foisonnement de textes législatifs

Les acteurs du numérique et de la data en Europe ne sont pas au bout de leur peine. Le marché est peut-être unique, mais la législation – en vigueur et à venir – est multiple. La mise en œuvre pratique des textes, souvent imbriqués, est complexe et peu intelligible. Petit aperçu de ce labyrinthe.

Si l’Union européenne (UE) a déjà pris plusieurs mesures depuis 2014 afin de faciliter le développement d’une économie des données (1), elle entend, dans le cadre de sa stratégie pour les données et des objectifs fixés pour la « décennie numérique » (2), compléter les textes existants afin de créer de nouveaux droits et obligations destinés à favoriser l’accès et le partage des données, le développement des technologies et la souveraineté numérique. D’où le foisonnement de textes législatifs qui vont bouleverser considérablement l’écosystème de l’économie numérique et des données.

Chantier de la « décennie numérique »
Les principaux acteurs concernés (notamment les fabricants d’objets connectés, les fournisseurs de services d’intermédiation de données et les prestataires de cloud) devront tenir compte de ces nouvelles obligations et anticiper leur entrée en application dans la conception de leurs solutions et de leurs produits, ainsi qu’au sein de leur documentation contractuelle. Pas si simple. Tour d’horizon de ces nouveaux textes :
• Data Governance Act (DGA). Ce règlement sur la gouvernance des données (3) a été adopté le 30 mai 2022 et entrera en application à partir du 24 septembre 2023, avec pour objectif de favoriser la disponibilité des données, de renforcer les mécanismes de partage et d’augmenter la confiance dans les intermédiaires de données. Ainsi, le DGA adresse trois grandes thématiques : conditions d’accès et de réutilisation des « données protégées » détenues par des organismes publics ; régulation des fournisseurs de services d’intermédiation de données ; régulation de l’utilisation altruiste des données. Sur le premier point, le DGA vient compléter la directive « Open Data » de 2019, mais ne crée pas d’obligation de mise à disposition pour les organismes publics (4). Il vient encadrer les réutilisations qui peuvent être faites de ces données protégées en veillant (5) à les préserver (6). Concernant les deux autres points, le DGA crée deux régimes spécifiques et dédiés pour les services d’intermédiation de données (7) et les organisations altruistes en matière de données (8). Les services d’intermédiation de données (data marketplaces ou data pool par exemple) seront soumis à une notification auprès d’une autorité compétente préalablement à tout début d’activité et auront notamment l’obligation de fournir les services selon des conditions équitables, transparentes et non-discriminatoires, de prendre des mesures pour assurer l’interopérabilité avec d’autres services d’intermédiation de données, de mettre en place des mesures de sécurité appropriées pour empêcher l’accès et le transfert illicite de données non-personnelles. Ils devront également notifier aux détenteurs de données en cas d’accès, de transfert ou d’utilisation non-autorisés aux données non-personnelles partagées. De leur côté, les organisations altruistes se verront notamment imposer la tenue d’un registre des utilisations des données, la publication d’un rapport annuel d’activité, des obligations de transparence vis-à-vis des personnes concernées ou des détenteurs de données (objectifs d’intérêt général, finalités des traitements) et de sécurisation des données non-personnelles.
Le DGA crée enfin un régime restrictif de transfert des données non-personnelles hors-UE similaire au régime prévu par le RGPD.
• Data Act (DA). Ce projet de règlement sur les données (9) a été soumis par la Commission européenne le 23 février 2022. Un objectif d’adoption ambitieux a été fixé à mi-2023, pour une entrée en application douze mois après son adoption. Il s’agit de faciliter l’accès aux données et leur utilisation, de favoriser leur portabilité, d’améliorer l’interopérabilité des solutions et infrastructures et enfin de favoriser la création de valeur autour de la donnée. Sont notamment impactés : les fabricants et distributeurs d’objets connectés et les fournisseurs de services connexes basés sur l’utilisation de données générées par ces objets, tout détenteur et destinataire de données, les prestataires et utilisateurs de services cloud (IaaS, PaaS, SaaS) ou encore les opérateurs de data spaces.

Portabilité des données et services de cloud Le DA prévoit notamment des obligations pour les fabricants ou distributeurs d’objets connectés qui viennent compléter les obligations d’information et de portabilité prévues par le RGPD, comme l’obligation d’informer leurs utilisateurs sur les données générées par l’usage des objets et les conditions d’accès et de partage de telles données, ainsi qu’une obligation de mise à disposition gratuite et prompte (le cas échéant en temps réel et continu) des données générées par des objets connectés à leurs utilisateurs ou à un tiers à la demande de l’utilisateur, et ce dans des conditions équitables, raisonnables, transparentes, non-discriminatoires et non-exclusives. Ces obligations sont complétées par des interdictions (par exemple des clauses restreignant les droits des utilisateurs d’objets ou des clauses abusives imposées aux petites et moyennes entreprises). Objets connectés, dossiers médicaux, … Le Data Act impose par ailleurs une série d’obligations aux prestataires de services cloud en matière de migration de données et d’interopérabilité (par exemple supprimer les obstacles commerciaux, techniques et contractuels empêchant le client de porter ses données, applications ou autres actifs numériques vers d‘autres prestataires ; assurer une période transitoire de migration de 30 jours avec assistance ; ou encore assurer la compatibilité de ses services avec les normes d’interopérabilité de la Commission européenne).
• European Health Data Space (EHDS). La proposition de règlement sur l’espace européen des données de santé (10) a été soumise par la Commission européenne le 3 mai 2022. L’UE entend adopter ce texte d’ici 2025, pour une entrée en application douze mois après sa publication. L’objectif est triple : établir les règles régissant l’espace européen des données de santé afin d’améliorer et garantir aux personnes physiques un accès sûr à leurs propres données de santé et un contrôle sur ces données dans le contexte des soins de santé (dite « utilisation primaire ») ; améliorer le fonctionnement du marché unique pour la mise au point et l’utilisation de produits et services de santé innovants fondés sur des données de santé, et veiller à ce que les chercheurs et les entreprises innovantes puissent tirer le meilleur parti des données de santé disponibles pour leurs travaux (dite « utilisation secondaire ») ; établir un cadre juridique uniforme pour le développement, la commercialisation et l’utilisation des systèmes de dossiers médicaux électroniques (DME). Dans le cadre de l’utilisation primaire des données, les citoyens de l’UE auront à leur disposition des droits et mécanismes supplémentaires complétant leurs droits existants au titre du RGPD sur leurs données de santé électroniques.
Concernant l’utilisation secondaire, le projet de règlement EHDS vient encadrer avec précision les pratiques des chercheurs et acteurs de l’industrie de santé (par exemple : limitation des catégories de données pouvant être utilisées, encadrement des finalités autorisées) et leur imposer des obligations (sécurité des solutions utilisées, transparence sur le calcul des redevances générées par l’utilisation secondaire).
• Artificial Intelligence Act (AIA). Cette proposition de règlement sur l’intelligence artificielle (11) a été soumise le 21 avril 2021 par la Commission européenne. L’adoption de ce texte est pressentie à horizon 2024, pour une entrée en application entre 18 et 24 mois après son adoption. Le texte vise à créer les conditions propices au développement et à l’utilisation d’une IA de pointe, éthique, sûre et digne de confiance dans l’UE. Pour se faire, l’approche est technologiquement neutre et le texte met en place des règles impératives, applicables de façon proportionnée en fonction des risques que présentent les systèmes d’IA concernés. Ainsi, les IA présentant un risque inacceptable pour les personnes sont interdites ; celles présentant un haut risque se voient imposer un certain nombre d’obligations; celles présentant un risque faible sont soumises à des obligations de transparence et d’information vis-à-vis des utilisateurs ; et enfin celles présentant un risque résiduel ne sont pas soumises au projet de règlement AIA, mais régulées par l’adoption volontaire de code de conduite et/ou de charte éthique (12).
• Digital Services Act (DSA) et Digital Markets Act (DMA). Un accord politique a été conclu sur le DMA (13) le 24 mars 2022 et sur le DSA (14) le 23 avril 2022, suivi d’un vote final au Parlement européen le 5 juillet dernier. Une fois adoptés respectivement en juillet et en septembre 2022, le DMA entrera en application six mois après l’entrée en vigueur, et le DSA quinze mois après l’entrée en vigueur ou à partir du 1er janvier 2024, la date la plus tardive étant retenue (15).
• Modifications de textes existants. Plusieurs autres textes sont également en cours de révision. La directive NIS (16) est modifiée par le projet de directive NIS2, dont le champ d’application a été considérablement élargi, puisqu’il vise désormais à réguler beaucoup plus d’organisations et entreprises et qu’il renforce les obligations à la charge des acteurs concernés en imposant notamment des obligations renforcées en termes de gestion des risques, de notification des incidents et de divulgation des vulnérabilités (17). La directive Machines (18) devient un projet de règlement Machines (19), visant principalement une numérisation de la documentation en la matière (instructions d’utilisation et déclaration) et la mise en place d’évaluations de conformité (pour certaines catégories de produits). De son côté, la directive ePrivacy (21), transformée en projet de règlement ePrivacy peine à voir le jour depuis la publication de sa première version en janvier 2017. De nombreux points restent encore et toujours en débat, notamment sur le régime applicable au dépôt de cookies et à la prospection commerciale.

Imbrication des textes parfois peu intelligible
Ces textes sont ambitieux et mêlent approche globale et sectorielle. Il en résulte une imbrication parfois peu intelligible des différents mécanismes et obligations pesant sur les acteurs qui multiplient souvent de nombreuses casquettes et entrent donc simultanément dans les champs d’application de plusieurs de ces textes. Bien qu’il soit louable de vouloir emboîter le pas au développement exponentiel de la valeur des données et du numérique, on peut s’interroger sur l’efficacité d’une telle multiplication de textes qui entraîne malheureusement la publication de textes peu aboutis, péniblement interopérables, voire difficilement transposables à la pratique des industries qu’ils visent. @