Jean-Frédéric Lambert (ePresse) : « La pluralité de la presse numérique n’est pas protégée »

La loi « Bichet » de 1947 est morte, vive la loi de 2019 sur la modernisation de la distribution de la presse. Elle a été publiée au Journal Officiel le 19 octobre. Mais selon Jean-Frédéric Lambert, président de Toutabo et d’ePresse, le pluralisme de la presse sur le numérique n’est pas garantie.

1947-2019 : la loi « Bichet » est morte, vive la loi « Garcia-Laugier » ! Soixante-douze ans après la loi instaurant le « statut des entreprises de groupage et de distribution des journaux et publications périodiques », voici venue la loi de «modernisation de la distribution de la presse » (1). C’est qu’entre ces deux lois, le tsunami du numérique a chamboulé toute la presse française – comme celle du monde entier – à partir du milieu des années 1990 (2) avec comme conséquences la disparition de titres et la chute de nombre de kiosques physiques.

Pas d’obligation d’aller sur les « e-Kiosques »
Mais sur le volet numérique de la loi, le pluralisme de la presse est loin d’être garantie. C’est du moins l’avis de Jean-Frédéric Lambert (photo), président du conseil d’administration de Toutabo, qui a racheté fin 2015 le kiosque numérique ePresse (dont il est aussi président). Contacté par Edition Multimédi@, il estime que la nouvelle loi ne va pas assez loin, même si elle entérine bien l’existence des kiosques numériques comme moyen de distribution de la presse : « En fait, nous estimons que la pluralité de la presse d’actualité en format numérique n’est pas protégée dans le cadre de cette loi, car nous ne pouvons pas obliger les différents journaux et magazines à être présent sur nos kiosques numériques », regrette-t-il. Par exemple : ni Le Monde, ni Le Canard Enchaîné, ni les titres du groupe Centre France (La Montagne, …) ne veulent être présents sur un kiosque numérique comme ePresse. Le président du directoire du groupe Le Monde, Louis Dreyfus, s’est toujours refusé à franchir le pas, estimant que « c’est un risque trop important » car il y a, selon lui, trop de destruction de valeur (3). Les kiosques numériques s’inscrivent en faux, regrettant qu’il y ait un amalgame de fait – comme dans le rapport Schwartz-Terraillot pour moderniser la distribution de la presse remis en juin 2018 au gouvernement (4) – entre les kiosques numériques et les agrégateurs d’information. La nouvelle loi est censée garantir la pluralité de la distribution de la presse d’information et réguler les kiosques et les agrégateurs numériques, en soumettant les premiers à des obligations de diffusion et les seconds à des obligations de transparence. Objectif : garantir le libre choix des lecteurs de journaux sur l’ensemble du territoire. Les kiosques numériques – dont le chiffre d’affaires dépasse un seuil déterminé par décret – ne pourront s’opposer à la diffusion d’un service de presse en ligne d’information politique et générale (IPG) ou de la version numérisée d’un titre d’IPG (5), dès lors qu’elle serait réalisée dans des conditions techniques et financières raisonnables et non discriminatoires (6). « La seule obligation qui nous est faite, explique Jean-Frédéric Lambert, est d’accepter de distribuer tous les titres d’IPG, ce que nous faisons déjà. En effet, les deux paragraphes consacrés à la presse numérique [lire encadré page suivante, ndlr] ont pour objectif de s’assurer que la pluralité de la distribution de la presse d’information soit respectée ». Mais rien n’oblige donc ces mêmes éditeurs de journaux d’aller sur ePresse, LeKiosk ou encore SFR Presse/Milibris. « Pour être efficace, estime-t-il, la loi devrait prévoir une obligation de diffusion équitable de toutes les titres d’IPG ».
L’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (« Arcepdp ») – prenant la place du Conseil supérieur des messageries de la presse (CSMP) et l’Autorité de régulation de distribution de la presse (ARDP) – disposera d’un pouvoir de sanction à l’encontre des acteurs qui ne respecteraient pas les règles. « Pour l’instant, le régulateur ne pourra que relever les compteurs. Son objectif à terme devrait être double : s’assurer de la présence de tous les titre d’IPG et s’assurer que les algorithmes de mise en avant assure une visibilité équilibrée pour tous les titres. On en est encore très loin et la loi ne lui donne pas encore d’instrument d’intervention », déplore le patron de Toutabo et d’ePresse.

Agrégateurs : pas d’obligation de référencer
Toujours concernant le souci de la loi de garantir la pluralité de la distribution de la presse, les agrégateurs que sont les moteurs de recherche donnant accès à l’actualité se voient obligés de « fourni[r] à l’utilisateur (…) une information loyale, claire et transparente sur l’utilisation de ses données personnelles dans le cadre du classement ou du référencement de ces contenus » et d’« établi[r] chaque année des éléments statistiques, qu’ils rendent publics, relatifs aux titres, aux éditeurs et au nombre de consultations de ces contenus ». Là aussi, selon Jean-Frédéric Lambert, la diffusion en direct des différents journaux et magazines n’est pas garantie par les agrégateurs : « Même si les agrégateurs jouent le jeu de la transparence sur leurs algorithmes, tel que cela est prévu dans la loi, rien ne les empêchera de ne pas référencer des titres. Si demain les agrégateurs décident que le contenu de tel journal ne génère pas assez d’audience, ils pourront faire disparaître tout son contenu de leur page. Le journal en question, même s’il a une forte image de marque comme Le Monde, n’a aucun moyen d’assurer sa diffusion si les agrégateurs ne le diffusent plus. On peut d’ores et déjà constater que le journal L’Humanité a souffert de ce manque d’exposition ».

Les spectres de Google et d’Amazon sur la loi
Quant à la directive européenne sur le droit d’auteur dans le marché unique numérique, elle pourrait pousser les GAFA à déréférencer certains titres de presse si le coût de diffusion de ces derniers était trop élevé. « Ils préfèrerons les déréférencer, craint Jean-Frédéric Lambert. Nous allons ainsi nous retrouver dans une situation de bras de fer similaire à celui que l’on rencontre dans la grande distribution entre les distributeurs et les producteurs ». Le 24 octobre, la presse française – via l’Alliance de la presse d’information générale (APIG) et d’autres syndicats d’éditeurs (SEPM, FNPS, …) – a annoncé avoir déposé plainte auprès de l’Autorité de la concurrence contre Google qu’elle accuse de « bafouer la loi » sur le droit voisin (lire EM@219, p. 5).
Outre les démêlés de la presse française avec le moteur de recherche dominant et son Google News, le spectre d’Amazon plane aussi sur cette loi. En juillet dernier, un amendement avait tenté de barrer la route au géant américain du e-commerce en voulant interdire que les société de distribution de la presse soient détenues « par des entreprises ou leur filiales dont l’activité principale n’est pas la distribution de la presse », au motif, selon des parlementaires à l’origine de cet amendement finalement rejeté, « que rien n’empêche que de grands groupes, aux pratiques contestables et contestées, comme Amazon, créent des filiales de distribution de la presse. Ce secteur mérite pourtant des égards, d’une part pour assurer que les salarié·e·s seront correctement traité·e·s, ainsi que pour assurer l’absence de conflits d’intérêts dans la distribution de la presse ». A défaut d’empêcher complètement un GAFA comme Amazon ou une entreprise non-européenne, un autre amendement (n°15) a, lui, été adopté cet été également. Il prévoir « une limitation à 20 % de la part d’actionnariat extra-communautaire directe ou indirecte dans une société de distribution de presse ». Pour les parlementaires qui ont obtenu gain de cause, « il s’agit de garantir la libre circulation des idées et l’expression de la pluralité des opinions à travers la distribution de notre presse nationale, contre toute velléité d’influence étrangère trop importante » (7). Un autre amendement (n°36), adopté lui aussi, est allé dans le même sens (8). Ce plafond capitalistique de 20 % n’est pas une première en France puisque, par ailleurs, il est déjà utilisé dans la loi de du 1er août 1986 sur la réforme du régime juridique de la presse vis-à-vis des entreprises éditant une publication de langue française (9).
Cette nouvelle loi entérine définitivement la fin du quasimonopole de l’ère des NMPP (Nouvelles messageries de la presse parisienne), dont le nom a été changé il y a dix ans maintenant pour celui de Presstalis. Avec les Messageries lyonnaises de presse (MLP), nées deux ans avant les NMPP créées avec la loi Bichet, la France s’est contentée d’un duopole de la distribution des journaux en quasi-faillite. Avec la nouvelle loi de 2019, le marché de la distribution de la presse va pouvoir s’ouvrir. Mais il faudra encore attendre… le second semestre 2023 avant de voir apparaître des nouveaux entrants distributeurs agréés par l’Arcep-dp. Cette dernière devra publier avant le 1er janvier 2023 le cahier des charges qui sera fixé par décret après consultation des professionnels de la presse (10). Y seront consignées les obligations des distributeurs de journaux « dans le respect des principes d’indépendance et de pluralisme de la presse, de transparence, d’efficacité, de non-discrimination et de continuité territoriale de la distribution ainsi que de protection de l’environnement [et] en tenant compte de la diversité des titres de presse ». En outre, les sociétés candidates à la distribution de la presse en France devront garantir le droit des éditeurs à la portabilité des données les concernant. @

Charles de Laubier

ZOOM

Les kiosques relèvent de l’Arcep-dp, les agrégateurs de la DGCCRF
Le titre II de la loi est intitulé « La diffusion numérique de la presse » et comporte deux paragraphes.
• Le premier concerne les kiosques numériques (« personnes qui proposent, à titre professionnel, un service de communication au public en ligne assurant la diffusion numérique groupée de services de presse en ligne ou de versions numérisées de journaux ou publications périodiques »). La loi précise que la régulation de ces kiosques numérique (LeKiosk, ePresse, SFR Presse/Milibris, …) est assurée par l’Arcep-dp.
• Le second paragraphe concerne cette fois les agrégateurs d’informations (« opérateurs de plateformes en ligne proposant le classement ou le référencement de contenus extraits de publications de presse ou de services de presse en ligne d’information politique et générale et qui dépassent un seuil de connexions sur le territoire français fixé par décret »). Ces agrégateurs d’actualité (Google News, Yahoo News, Microsoft MSN, …) relèvent, eux, de la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF). @

Réseaux sociaux et plateformes vidéo : les influenceurs dans le collimateur de la régulation

Les influenceurs du Net sont suivis par des milliers voire des millions d’abonnés,
de fans ou d’amis qu’ils informent ou conseillent. Ils vantent des marques et des produits dont ils font la publicité. L’aura de ces bloggeurs en fait des médias d’influence en marge de la régulation audiovisuelle. Pour l’instant.

Le Danemark envisage d’encadrer les influenceurs. Qu’ils soient sur YouTube, Facebook, Instagram, Twitter, Dailymotion, Pinterest ou Twitch, lorsque ce n’est pas sur d’autres plateformes vidéo ou réseaux sociaux, ces éditeurs individuels – hommes ou femmes – ont acquis pour certains une très forte audience. Le 8 juillet dernier, la ministre danoise de l’Enfance et de l’Education, Pernille Rosenkrantz-Theil (photo), a publié sur son compte Facebook un commentaire appelant à responsabiliser ces influenceurs.

Les soumette « aux règles de l’éthique »
« Nous devons mieux nous occuper des enfants et des jeunes sur les médias sociaux – et entre nous en général. Par conséquent, nous devrions nous efforcer de faire en sorte que les règles en matière d’éthique de la presse s’appliquent aux titulaires de profils [influenceurs] de grande taille, qui devraient assumer des responsabilités analogues à
celles de l’éditeur. (…) Nous devons mieux nous occuper des enfants et des jeunes, ainsi que de la communauté sur le Web », a expliqué la ministre danoise. Deux jours après, son ministère publiait un communiqué se posant la question : « Les blogueurs ont-ils une responsabilité ? ». Pour Pernille Rosenkrantz-Theil, la réponse est oui : « Les profils sur les médias sociaux qui comptent de nombreux adeptes doivent être soumis aux règles de l’éthique ».
Sa déclaration est intervenue après qu’une blogueuse connue et influente – Fie Laursen (star de la télé-réalité au Danemark) – ait publié un message de suicide sur son compte Instagram (1), lu et commenté par des dizaines de milliers de jeunes (elle comptait 334.000 abonnés en août). La star du petit écran et des réseaux sociaux avait été hospitalisée mais ses écrits funèbres étaient, eux, restés en ligne. La mère de Fie Laursen s’en était même émue sur la chaîne TV 2 Danmark : « On aurait préféré que le post soit supprimé, mais cela n’a pas été faisable ; cela fait mal au coeur car le message pouvait inspirer d’autres jeunes ». Le ministère danois concerné a aussitôt lancé le débat : « La ministre de l’Enfance et de l’Education a-t-elle raison de dire que les blogueurs ayant de nombreux adeptes assument une responsabilité qui correspond aux médias établis ? Où est la limite entre l’éthique des médias et la liberté d’expression personnelle ? », peut-on lire sur la page du débat en question, laissant la parole aux experts, aux hommes politiques et aux leaders d’opinion (2). En France, le Conseil supérieur de l’audiovisuel (CSA) ne s’est pas encore penché sur la responsabilité des influenceurs et bloggeurs à fortes audience. Leur responsabilité éditoriale est quasi inexistante puisqu’ils ne relèvent pour l’instant ni de la presse ni des médias audiovisuels. La directive européenne dite « SMA » de 2010 excluait clairement « les activités dont la vocation première n’est pas économique et qui ne sont pas en concurrence avec la radiodiffusion télévisuelle, comme les sites web privés et les services qui consistent à fournir ou à diffuser du contenu audiovisuel créé par des utilisateurs privés à des fins de partage et d’échange au sein de communautés d’intérêt » (3). Mais la directive européenne du 14 novembre 2018, également dite « SMA », est venue modifier celle de 2010 pour tenir compte de « l’évolution des réalités du marché ». Publiée auJournal Officiel de l’Union européenne (JOUE) le 28 novembre 2018 et transposable par les Etats membres « au plus tard le 19 septembre 2020 », cette nouvelle directive SMA (4) responsabilise les YouTube, Dailymotion et autres plateformes vidéo (Facebook, Snapchat, Musical.ly/TikTok, …).
Ces acteurs du Net sont donc désormais censés – comme les services de télévision traditionnels et de diffusion à la demande (replay et VOD) – protéger les mineurs contre les contenus préjudiciables comme la pornographie, et protéger tous les citoyens européens contre la haine et les propos racistes, ainsi qu’en interdisant tout contenu incitant à la violence et au terrorisme. « Parce qu’ils se disputent les mêmes publics et les mêmes recettes que les services de médias audiovisuels, ces services de médias sociaux doivent être inclus dans le champ d’application de la directive [SMA de 2010]. En outre, ils ont également un impact considérable en ce qu’ils permettent plus facilement aux utilisateurs de façonner et d’influencer l’opinion d’autres utilisateurs » (5).

Lignes directrices au niveau européen
Selon les informations de Edition Multimédi@, les discussions sur les lignes directrices que prépare la Commission européenne sur « l’application pratique du critère relatif à la “fonctionnalité essentielle” figurant dans la définition d’un service de plateformes de partage de vidéos » se poursuivent en septembre en vue d’une publication qui pourrait intervenir dès cet automne. Trois pays – la Finlande, l’Irlande et les Pays-Bas – avaient, eux, émis des réserves quant à la portée de cette nouvelle directive modifiant l’ancienne directive SMA
de 2010, en mettent en garde contre les dérives possibles au détriment de la liberté d’expression et de la créativité (6). Pour autant, si les plateformes numériques qui les hébergent sont tenues responsables des contenus mis en ligne, les influenceurs, youtubeurs et autres bloggeurs ne semblent pas directement responsables de la légalité
de leurs diffusions.

Placements de produits et sponsoring
Les influenceurs sont en outre très sollicités par les marques pour faire de la publicité de leurs produits – via, entres autres, du band content. La nouvelle directive SMA de 2018 ouvre grand les vannes du placement de produit, tout en y mettant des limites. « Le placement de produit devrait donc être autorisé dans tous les services de médias audiovisuels et services de plateformes de partage de vidéos, sauf exceptions. Le placement de produit ne devrait pas être autorisé dans les programmes d’information et d’actualité, les émissions de consommateurs, les programmes religieux et les programmes pour enfants. Il est en particulier avéré que le placement de produit et les publicités incorporées peuvent influer sur le comportement des enfants, ceux-ci n’étant généralement pas capables de reconnaître le contenu commercial » (7). Encore fautil aussi que les adultes soient bien informés de l’existence de tels contenus sponsorisés, sinon cette pratique devient de la publicité déguisée illicite.
Beaucoup d’influenceurs omettent de signaler le placement de produit, alors qu’ils sont les bénéficiaires directs de ce type d’opération promotionnelle contre rémunération et/ou remise de produit. Les « micro-influenceurs » comptent 1.000 abonnés, les « mid » moins de 100.000 abonnés, tandis que les « top-influenceurs » dépassent ce seuil pour atteindre ou dépasser 1 million de fans. La rémunération peut alors aller jusqu’’à 10.000 euros pour une « story » ou une photo de marque. Se transformer en homme-sandwich du Web leur apporte un regain de visibilité, un renforcement de leur image et une consolidation de leur
e-réputation. Les plateformes de mise en relation des influenceurs et des marques se sont développées, comme Kolsquare (société Brand and Celebrities) ou Socialbakers. Or la loi française de 2004 sur la confiance dans l’économie numérique (loi dite LCEN) prévoit bien que dans son article 20 : « Toute publicité, sous quelque forme que ce soit, accessible par un service de communication au public en ligne, doit pouvoir être clairement identifiée comme telle. Elle doit rendre clairement identifiable la personne physique ou morale pour le compte de laquelle elle est réalisée » (8). La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) veille au respect de cette disposition. Elle s’appuie aussi sur l’article L121-1 du code de la consommation, selon lequel « une pratique commerciale est également trompeuse si, compte tenu des limites propres au moyen de communication utilisé et des circonstances qui l’entourent, elle omet, dissimule ou fournit de façon inintelligible, ambiguë ou à contretemps une information substantielle ou lorsqu’elle n’indique pas sa véritable intention commerciale dès lors que celle-ci ne ressort pas déjà du contexte » (9). Dès décembre 2015, la DGCCRF démarre une enquête contre une dizaine de youtubeurs ayant été rémunérés jusqu’à 100.000 euros pour faire la promotion d’une marque de voiture sans mentionner leur relation contractuelle avec le constructeur automobile. Une publicité mensongère est une pratique commerciale déloyale et trompeuse, qui, en tant que délit pénal, peut valoir à son auteur deux ans de prison et 300.000 euros d’amende pour les personnes physiques (10). « Si vous vous estimez mal informé ou trompé par une communication d’influenceur ou lors de vos achats, vous pouvez vous retourner vers le jury de déontologie publicitaire », indique Stéphane Martin, directeur général de l’Autorité de régulation professionnelle de la publicité (ARPP). Le JDP (11) a été mis en place en 2008. La France n’est pas pionnière dans cette chasse aux publicités déguisées émises par les influenceurs. Aux Etats-Unis, la Federal Trade Commission (FTC) avait épinglé des youtubeurs et instragrameurs ayant fait la promotion du jeu « Shadow of Mordor » de Warner Bros sans en informer les internautes.
Le marketing d’influence (ou influence marketing) est estimé en France à 150 millions d’euros en 2018 et devrait atteindre 300 millions d’euros cette année. Les marques et les entreprises y consacrent un budget pouvant atteindre aujourd’hui 20 % de leurs dépenses publicitaires. Webedia (Fimalac) surfe sur cette nouvelle tendance, avec les trois youtubeurs les plus suivis : Cyprien, Squeezie, Norman, Caroline, Aurélien. Lorsque le groupe de Marc Ladreit de Lacharrière a pris le contrôle au printemps 2019 de la société de production audiovisuelle Elephant, l’Autorité de la concurrence s’est pour la première fois penchée sur « l’industrie que constitue la monétisation de l’”influence” et des “influenceurs” » (12).

Webedia, Studio71, Studio Bagel, Golden Network
De son côté, TF1 est présent avec sa filiale Studio71 (150 chaînes YouTube). Canal+ a aussi sa filiale Studio Bagel (chaînes Studio Bagel et Mister V), tandis que M6 détient le collectif Golden Network (Golden Moustache, Enjoyphoenix et Horia). Les influenceurs ont désormais leur World Bloggers Awards (13), dont la première édition s’est déroulée à Cannes le 24 mai dernier pendant le festival du film. Et depuis juin dernier, a été créée la
« Guilde des vidéastes » pour fédérer les métiers de la création audiovisuelle sur Internet. @

Charles de Laubier

Le débat sur le possible démantèlement de Facebook, de Google et d’Amazon fait rage aux Etats-Unis

La question du démantèlement de certains GAFA – Facebook, Google et Amazon – se pose avec plus d’acuité. Plusieurs Etats américains s’apprêteraient à monter au créneau contre leurs pratiques monopolistiques et anticoncurrentielles. La FTC, elle, n’exclut pas le démantèlement en « défusionnant ».

« Un groupe d’Etats [américains, dont le Texas, la Caroline du Nord et le Mississippi, ndlr] se préparent à se joindre à l’enquête antitrust engagée contre les grandes entreprises de technologies. On s’attend à ce que l’initiative à laquelle participent les procureurs généraux de ces Etats (1) soit officiellement lancée dès le mois prochain [en septembre, ndlr] », a révélé le 19 août dernier le Wall Street Journal.

« Nous avons fait une erreur » (patron de la FTC)
L’enquête menée parallèlement par la division antitrust du département américain de la Justice (DoJ) et la commission fédérale américaine du commerce (FTC) va s’accélérer. Sont notamment dans le collimateur : Facebook, Google et Amazon, sur les marchés respectifs du réseau social, du moteur de recherche et du e-commerce, ainsi que sur la publicité en ligne et les applications mobiles. Le président de la FTC, Joseph Simons (photo), a même indiqué dans une interview accordée le 13 août dernier à l’agence de presse Bloomberg qu’il n’était pas opposé à un démantèlement des géants du numérique (2). « S’il le faut, il faut le faire, a-t-il dit. Ce n’est pas idéal parce que c’est très compliqué. Mais s’il le faut, il faut le faire ». Cette sorte de DGCCRF (3) américaine a déjà ouvert une vaste enquête sur Facebook, tant sur ses pratiques commerciales que sur ses acquisitions passées. Le numéro un mondial des réseaux sociaux, créé il y a 15 ans maintenant, avait racheté le service de partage de photos Instagram en 2012 pour 1 milliard de dollars et la messagerie instantanée WhatsApp en 2014 pour 19 milliards de dollars (4). Ces deux acquisitions avaient été approuvées à l’époque par la FTC. Aujourd’hui, Joseph Simons pense que cette dernière pourrait dire : « Nous avons fait une erreur ». Si l’enquête devait constater que ces acquisitions se sont avérées anticoncurrentielles, il explique que ces fusions pourraient être dénouées après le feu vert d’un tribunal. Les GAFA ont pu acquérir des start-up pour prendre le contrôle de concurrents ou pour les éliminer, au point d’atteindre une position dominante. Google s’est emparé en 2013 de l’application de navigation Waze pour près de 1milliard de dollars. La régie publicitaire DoubleClick était tombé dans son escarcelle en 2007 pour 3,1 milliards de dollars, précédés par YouTube en 2006 pour 1,65 milliard de dollars. De son côté, le DoJ mène depuis juillet des investigations sur les Big Tech pour savoir si ces géants du numérique mettent à mal la concurrence. Les deux autorités antitrust coopèrent mais continuent d’examiner les mêmes groupes. « Il est possible que nous puissions enquêter sur la même entreprise en même temps, mais seulement pour une conduite différente », a indiqué Joseph Simons à Bloomberg, en donnant cet exemple :
en raison de son expertise dans le secteur des supermarchés, la FTC pourrait examiner Amazon pour l’achat d’un magasin, tandis que le DoJ pourrait se pencher sur l’achat éventuel par Amazon d’un site de musique en streaming.
Des élus américains, comme Elizabeth Warren (5), appellent depuis mars dernier au démantèlement des Big Tech par la vente d’activités. Le cofondateur de Facebook, Chris Hughes (qui n’est plus dans l’entreprise), a aussi appelé en mai à s’attaquer à la position monopolistique du groupe de Mark Zuckerberg, en forçant le réseau social à se séparer d’Instagram et de WhatsApp. Quant au président américain Donald Trump, qui a une dent contre à la fois les grands groupes de médias et les géants du numérique qui lui auraient été hostiles durant sa campagne présidentielle de l’automne 2016, il a encore accusé le 6 août Google de le défavoriser à l’approche des élections de 2020. « Tout cela est très illégal. Nous surveillons Google de près », a prévenu le locataire de la Maison-Blanche.
Un sondage publié le 29 juillet par l’institut Pew Research Center fait par ailleurs état d’un désamour grandissant des Américains envers les GAFA accusés par 33 % d’entre eux d’avoir « un effet négatif sur la façon dont vont les choses aux Etats-Unis ». L’affaire Cambridge Analytica (6) éclaboussant Facebook (5 milliards de dollars d’amende infligés en juillet par la FTC) et plusieurs scandales sur l’utilisation abusives des données personnelles des internautes, ont terni l’image des géants de la Silicon Valley.

Vraies enquêtes ou coups de bluff ?
Reste à savoir si ces enquêtes antitrust aboutiront. Cité par l’AFP le 25 juillet, Christopher Sagers, professeur de droit à l’université Cleveland-Marshall, pense qu’« il est possible que tout ça ne soit qu’une parade politique sans intention sérieuse de faire quoi que ce soit ». D’autant qu’il faudra obtenir l’aval des tribunaux fédéraux quelque peu sceptiques. Le lobby des GAFA, via notamment l’Information Technology Industry Council (ITI), reste puissant. Apple et son App Store pourrait aussi se retrouver dans le collimateur. @

Charles de Laubier

Sécurité des systèmes d’information et des données personnelles : nul ne peut ignorer ses responsabilités

RSI, NIS, OSE, OIV, PSC, EBIOS, RGPD, SecNumCloud, … Derrière ces acronymes du cadre réglementaire numérique, en France et en Europe, apparaissent les risques et les obligations en matière de sécurité des systèmes d’information et des traitements de données personnelles.

Par Christophe Clarenc, avocat, Cabinet DTMV & Associés

Les rapports d’activité pour 2018 publiés mi-avril (1) par, respectivement, l’Agence nationale de la sécurité des systèmes d’information (ANSSI), le « régulateur de la sécurité numérique » en sa qualité d’autorité en charge de la cybersécurité nationale,
et la Commission nationale de l’informatique et des libertés (Cnil), en charge de la sécurité des traitements de données personnelles, offrent et permettent un tour d’horizon rapide des évolutions réglementaires et de l’état des responsabilités en la matière.

Une réglementation évolutive
Au plan réglementaire, on doit tout d’abord mentionner la loi n° 2018-133 du 26 février 2018, le décret 2018-384 du 23 mai 2018 et l’arrêté du 14 septembre 2018 qui sont venus assurer la transposition en France de la directive européenne du 6 juillet 2016, dite « NIS », sur la sécurité des réseaux et systèmes d’information (RSI) des
« opérateurs de services essentiels » (2) (OSE) et des grands « fournisseurs de services numériques » (3) (FSN). Cette réglementation est supervisée en France
par l’ANSSI et dans la ligne de son dispositif de protection des RSI des opérateurs d’importance vitale (OIV) (4). Elle soumet les OSE et les FSN pour la protection de leurs RSI critiques à un régime de « règles de sécurité nécessaires pour garantir un niveau de sécurité adapté au risque existant compte tenu de l’état des connaissances », et de déclaration des incidents et de contrôle.
Cette réglementation définit et prescrit pour les OSE l’ensemble des « mesures appropriées » pour tout à la fois prévenir, limiter l’impact et gérer les incidents et compromissions de sécurité. Les règles de sécurité prescrites pour les FSN sont établies dans un règlement d’exécution du 30 janvier 2018 (5). Ces règles et mesures sont définies dans cinq « domaines » : celui de la « gouvernance » des RSI concernés (6) (analyse de risque, politique de sécurité décrivant l’ensemble des procédures et
des moyens organisationnels et techniques de sécurité mis en oeuvre, homologation
et audits de sécurité, cartographie (7)) ; celui de leur « protection » (architecture, administration, identités et accès), celui de leur « défense » (détection et traitement des incidents) ; et celui de la « résilience des activités » (gestion de crise en cas d’incident de sécurité ayant un impact majeur sur la fourniture des services essentiels en cause). Ces règles établissent le champ et les mesures de référence de la protection responsable des systèmes d’information critiques.
On peut ensuite mentionner le règlement européen sur la cybersécurité (8), voté en mars 2019 par le Parlement européen, qui vient, d’une part, donner mandat permanent et compétences à l’ENISA, l’Agence européenne chargée de la sécurité des RSI (9), d’autre part, établir une cadre pour la mise en place d’un « système européen de certification de cybersécurité » pour les processus, produits et services des technologies de l’information et de la communication (TIC). Ce dispositif, qui pourrait devenir un ressort essentiel du « marché unique numérique », devra s’articuler avec
les compétences de souveraineté et les intérêts normatifs et industriels fondamentaux des Etats membres avancés dans ce domaine, dont la France avec l’ANSSI. Les deux chambres du Parlement français avaient émis fin 2017 alerte et réserve sur ce point.
Le dispositif prévoit que la Commission européenne proposera la liste prioritaire des processus, produits et services TIC susceptibles d’être soumis à ce système de certification et que la certification, structurée en trois « niveaux d’assurance » (élémentaire, substantiel et élevé) procédera par démarche volontaire des acteurs intéressés.

Référentiels et socle de conformité
L’ANSSI a présenté en 2018 sa méthode EBIOS Risk Manager de référence pour l’analyse des risques de sécurité numérique et l’élaboration d’un « socle de sécurité solide appliquant les référentiels pertinents vis-à-vis de l’état de l’art (10) et de la réglementation », en vue notamment d’un label de conformité pour les éditeurs de solutions logicielles de gestion des risques et de la conformité. Le « régulateur de
la sécurité numérique » s’est également intéressé spécifiquement à la sécurité des données personnelles, en faisant évoluer son référentiel SecNumCloud pour intégrer les exigences du règlement général sur la protection des données (RGPD) et en publiant pour la matière des recommandations (« commandements de base »,
« précautions élémentaires ») tirées et adaptées de son guide d’hygiène informatique. Ce référentiel SecNumCloud concerne les prestations de services d’informatique en nuage (PSIN). Il fait partie des référentiels d’exigences et de labellisation développés par l’ANSSI pour qualifier les « prestataires de services de confiance » (PSC) (11).

Incidents, risques et manquements
La Cnil a elle-même publié en 2018 un guide de sécurité des données personnelles (12), consolidant et développant ses recommandations antérieures. Elle souligne dans son rapport pour 2018 que les « mesures de précautions élémentaires » rappelées dans les recommandations de son guide et de celui de l’ANSSI permettent de prévenir ou de limiter l’impact de nombreuses violations de données personnelles et « doivent aujourd’hui être le socle minimum sur lequel toute organisation fait reposer son système d’information ». D’autant que le RGPD, entré en vigueur en mai 2018, « impose à tous les organismes qui traitent des données personnelles de mettre en place des mesures pour prévenir les violations de ces données » et de pouvoir « apporter la preuve de
leur conformité ». En effet, le RGPD place la « garantie de sécurité appropriée » des données personnelles parmi les « principes » de conformité et de responsabilité du traitement des données personnelles, avec la responsabilité de « mettre en oeuvre des mesures techniques et organisationnelles appropriées pour assurer et être en mesure de démontrer que le traitement est effectué conformément au règlement » (13). La mise en oeuvre du « socle de sécurité » recommandé aura ainsi vocation à constituer la preuve de la conformité à l’obligation de garantie de sécurité appropriée des données personnelles traitées, obligation de moyen renforcée et de moyens effectifs à l’état de l’art, en particulier dans le cadre de la notification obligatoire d’une violation de données susceptible de révéler non seulement un défaut de sécurité causal mais une politique de sécurité défaillante.
L’ANSSI rapporte la survenance en 2018 de 1.869 signalements d’événements de sécurité, dont 391 incidents (hors OIV) et 16 incidents majeurs, contre respectivement 2.435, 794 et 20 en 2017. Elle rappelle l’étendue et l’intensité constantes des menaces et des risques de cybersécurité (sabotage, déstabilisation, espionnage, captations, fraudes, etc.), en soulignant que l’espionnage est le risque qui pèse le plus fortement sur les organisations, à travers notamment des attaques indirectes exploitant des relations de confiance établies entre parties prenantes. Le rapport publié en mai 2018 par la Délégation interministérielle aux industries de sécurité et à la lutte contre les cybermenaces (DMISC) sur l’état de la menace numérique en 2018 présente un tableau instructif des attaques, des fraudes et des dommages enregistrés avec le développement notamment du « crimeas- a-service » (CaaS) et souligne le risque majeur des objets connectés, à la fois cibles et vecteurs d’attaques, dont la sécurité n’est souvent pas la préoccupation principale de leurs fabricants. Il note par ailleurs que si la grande majorité des entreprises françaises sont touchées par des cyberattaques et que la France est le deuxième pays au monde le plus affecté par les vols de données personnelles, « la sécurité représente moins de 5 % du budget IT dans près de deux tiers des entreprises ». La Délégation parlementaire au renseignement a pu constater dans son rapport publié en avril 2018 que le tissu économique français « pâtit encore d’une culture de sécurité, notamment informatique, très largement déficitaire ». Pour sa part, la CNIL mentionne la poursuite en 2018 de nombreux signalements de violations de données personnelles issues de failles de sécurité et la réception entre fin mai 2018 (entrée en vigueur du RGPD) et fin décembre 2018 de 1.170 notifications de violations à la suite principalement d’atteintes à la confidentialité. De son analyse de ces notifications, elle a constaté tout d’abord que plus de 50 % des violations avaient pour cause un acte externe malveillant (principalement par piratage cyber et secondairement par vol physique) et environ 17 % un acte interne accidentel (principalement par adressage à un mauvais destinataire et secondairement par publication non volontaire). Ensuite, que ces violations mettaient « en évidence des faiblesses des systèmes d’information ou des processus mis en oeuvre au sein des entreprises ».
Tout comme en 2017, la majorité des sanctions (7 sur 10) et les montants les plus élevés de sanctions pécuniaires prononcés par la Cnil en 2018 l’ont été pour des manquements à la sécurité et à la confidentialité des données des utilisateurs ou des clients (14). Ces montants restent néanmoins limités au regard de la gravité des manquements des atteintes constatées.

Sanctions des carences ou insuffisances
La Cnil souligne que ce ne sont pas les incidents de sécurité en tant que tels qu’elle
a sanctionnés, mais les carences ou les insuffisances manifestes dans les mesures prises pour assurer la sécurité, causales dans les violations constatées y compris dans les cas d’intrusions élaborées. Les motifs de manquement et les montants de sanctions pourraient se développer fortement sur la base du RGPD, et avec une meilleure répartition entre les différentes parties prenantes à la sécurité des traitements. Il sera également instructif de suivre le traitement par la DGCCRF du signalement que lui
a adressé la Cnil en novembre 2017, dans l’affaire de la sécurisation des jouets connectés (15), au regard des « enjeux de sécurité et de conformité qui persistent
en dehors du champ d’application de la loi “Informatique et Liberté” ». @

Comment la DGCCRF (Bercy) se pose de plus en plus en redresseur de torts de l’économie numérique

La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) est en passe de devenir le vrai gendarme de l’économie numérique. E-commerce, crowdfunding, réseaux sociaux, et demain algorithmes, Internet des objets ou encore voitures connectées : gare aux abus !

Un récent rapport du Conseil général de l’économie, de l’industrie,
de l’énergie et des technologies (CGE), lequel dépend du ministère de l’Economie et des Finances, propose de créer un « bureau des technologies de contrôle de l’économie numérique » qui « pourrait être localisé au sein de la DGCCRF », la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), rattachée à Bercy et dirigée par Nathalie Homobono (photo) depuis 2009.

« Bureau de contrôle » à la DGCCRF ?
Le rôle de ce bureau spécialisé, s’il était créé, serait de contrôler le Big Data, l’Internet des objets, les nouvelles méthodes de paiement, la maison intelligente, la loyauté des algorithmes, ou encore les voitures connectées (1) (*). Bref, cela reviendrait à lui donner un droit de regard sur presque toutes les coulisses de l’économie numérique. Selon les auteurs de ce rapport de Bercy, cette cellule de contrôle – inspirée du modèle américain de l’Office of Technology Research and Investigation (OTRI) crée en mars 2015 au sein de la Federal Trade Commission (FTC) – pourrait être saisie par la Cnil (2), l’AMF (3) et l’Arjel (4), mais aussi par l’Autorité de la concurrence, l’Arcep (5), le CSA (6), ainsi que par l’Acam (7), l’ACPR (8) ou encore l’ANSM (9). Le bureau en question nécessiterait environ six personnes, dont les compétences seraient non seulement techniques et scientifiques, mais aussi juridiques et économiques, avec un « conseil d’orientation » composé de représentants des pouvoirs publics, d’experts et de chercheurs.

Plus particulièrement sur les algorithmes, sur lesquels portait spécifiquement ce rapport, le CGE préconise en outre la mise en place d’une « plateforme collaborative scientifique » destinée à favoriser notamment le développement d’outils logiciels et de méthodes de tests d’algorithmes « responsables, éthiques et transparents ». L’Institut national de recherche en informatique et en automatique (Inria) a proposé de porter une telle plateforme, dénommée TransAlgo, qui sera développée en coopération avec non seulement la DGCCRF mais aussi le Conseil national du numérique (CNNum) et la Direction générale des entreprises (DGE) du ministère de l’Economie et des Finances. Avec un tel bureau de contrôle de l’économie numérique, le pouvoir d’enquête et d’investigation de la DGCCRF serait considérablement renforcé. Pour l’heure, elle dispose déjà d’un service spécialisé dans le contrôle du commerce électronique. Ses compétences portent aussi bien sur la protection des droits des consommateurs que sur le fonctionnement équilibré de ces marchés. La DGCCRF identifie les pratiques déloyales ou trompeuses vis à vis des utilisateurs finaux, ainsi que dans les relations interentreprises. En 2016, la surveillance du commerce électronique l’a ainsi amené
à contrôler un total de 10.829 sites Internet. Il en est ressorti que 31 % d’entre eux présentaient une « anomalie ». Ces enquêtes ont particulièrement porté sur l’information et la protection du consommateur dans des secteurs tels que le transport aérien ou le financement participatif (crowdfunding). Les constats établis lors de ces enquêtes peuvent en outre l’amener à proposer des évolutions normatives au droit
de la consommation. Cela touche essentiellement le e-commerce, tandis que des questions commencent à se poser sur les objets connectés par exemple.

Dans les communications électroniques, elle veille à la transparence des offres des opérateurs télécoms et à l’absence d’abus (tarifs des appels de service après-vente, sollicitations via spams vocaux ou SMS, arnaques aux consommateurs, …). En 2016,
la DGCCRF a mené vingtquatre enquêtes qui ont concerné l’économique numérique. Certaines d’entre elles ont porté sur la vente à distance où 1.430 sites Internet ont fait l’objet d’un contrôle l’an dernier, la majorité de ces contrôles ayant été suivis d’une perquisition dans les locaux même des entreprises.

Avertissements, injonctions, amendes, …
Il s’agissait de vérifier que les nouvelles règles des droits des consommateurs
– telles que les obligations d’information pré-contractuelle et le droit de rétractation issus de la loi « Hamon » sur la consommation du 17 mars 2014 (10) – soient respectées. Résultat : « Un taux de non-conformité élevé (49 %) a été relevé et les contrôles ont donné lieu à 355 avertissements, 312 injonctions, 23 procès verbaux (pour pratiques commerciales trompeuses) et 17 amendes administratives (manquements aux règles de la vente à distance et non-respect d’injonctions) », indique la DGCCRF dans son rapport annuel d’activité rendu public le 23 février dernier.

Réseaux sociaux dans le collimateur
D’autres enquêtes ont concerné le financement participatif où 30 établissements ont été contrôlés l’an dernier. Plusieurs manquements et infractions ont été constatés dans le crowdfunding immobilier tels que l’absence de mise à disposition des prêteurs d’un outil d’évaluation de leurs capacités de financement ou l’absence de fourniture d’un contrat de prêt type. Résultat : « Quatre avertissements, trois injonctions et deux rapports sur
la base de l’article 40 du Code de procédure pénale transmis aux parquets ». Dans le e-commerce, les réductions de prix « illusoires » ou « factices » (promotions déloyales et prix de référence) ont aussi été épinglées et ont fait l’objet de dix-neuf procèsverbaux – auprès d’Amazon, Vente-privee.com, Showroomprive.com, GrosBill, Zalando, H&M, Darel, Netquattro ou encore Comptoir des Cotonniers – ainsi que de 2,4 millions d’euros d’amendes.
Concernant les places de marché en ligne, la DGCCRF a vérifié leur conformité avec
le Code de commerce des relations commerciales et procédé à quarante-huit contrôles – suivis d’une assignation, d’un procès-verbal et de deux injonctions – mettant au jour des relations contractuelles déséquilibrées, des clauses illicites et des conditions de facturation non conformes. Mais depuis l’an dernier, ce sont les réseaux sociaux et leurs clauses contractuelles « abusives et illicites » qui sont dans la ligne de mire de la DGCCRF. Facebook, qui a été le premier à essuyer les plâtres l’an dernier, avait fait l’objet d’une procédure d’injonction à son encontre, laquelle s’est conclue par la mise
à jour de ses conditions générales d’utilisation (CGU) en décembre 2016. Il y a un an, en février, la DGCCRF avait donné 60 jours à Facebook pour se mettre en conformité
– sachant que les CGU non professionnelles de Facebook sont régies par les sociétés Facebook Ireland et Facebook Payments International. Posaient alors problème : clauses au détriment des utilisateurs, pouvoir discrétionnaire dans le retrait des contenus ou informations publiés par l’internaute, pouvoir de modifier unilatéralement ses conditions d’utilisation sans en informer préalablement l’internaute, clauses abusives dans les conditions de paiements, ou encore droit de modifier ou résilier unilatéralement son service de paiement sans en informer au préalable le consommateur. La procédure de la DGCCRF à l’encontre de Facebook se faisait indépendamment de celle lancée, en mars 2016, par cette fois par l’office anti-cartel fédéral allemand (Bundeskartellamtes) qui soupçonne le numéro un des réseaux sociaux d’abus de position dominante et d’infraction aux règlements de protection des données personnelles. Le cofondateur et patron de Facebook, Mark Zuckerberg, s’était même rendu à Berlin pour y rencontrer la chancelière Angela Merkel. C’est dire que l’affaire outre- Rhin est prise très au sérieux, la filiale irlandaise de Facebook où se situe son siège européen et sa filiale allemande à Hambourg étant directement visées. Parallèlement, dans la foulée de son homologue belge, la Cnil s’en est prise il y a un an également à Facebook en lui donnant trois mois – prolongés par la suite de trois autres mois jusqu’à août 2016 – pour respecter la loi « Informatique et libertés » en matière de collecte et d’utilisation des données des internautes. Il est notamment reproché au réseau social de tracer la navigation des internautes à leur insu sur des sites web tiers, même s’ils ne font pas partie des plus de 30 millions d’utilisateurs disposant en France d’un compte Facebook. Selon nos informations auprès de la Cnil, le dossier est toujours en cours d’instruction. En plus de cette procédure « Facebook », la DGCCRF a procédé à des investigations auprès de six autres réseaux sociaux « ciblés notamment en raison de leur attractivité vis-à-vis des jeunes consommateurs » : Twitter, Periscope (Twitter), Google+ (Google/Alphabet), Snapchat (Snap), WhatsApp (Facebook) et Tumblr (Yahoo).

Avec la Commission européenne en soutien
« Les investigations en cours ont montré la présence de clauses abusives, illicites,
voire inintelligibles pour le consommateur », a révélé Nathalie Homobono, lors de la présentation du rapport annuel d’activité, tout en précisant que les procédures engagées se poursuivent en vue d’obtenir la mise en conformité des CGU respectives. « Cette enquête est menée en coordination avec la Commission européenne et les autres Etats membres, afin d’en faire bénéficier l’ensemble des consommateurs de l’Union européenne », a-t-elle précisé. Bruxelles a envoyé à différents réseaux sociaux, qui ont commencé à répondre, les griefs dont font état des autorités de la concurrence en Europe. @

Charles de Laubier

ZOOM

Europe : la DGCCRF oeuvre pour le marché unique numérique
La Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF) contribue aux travaux conduits par l’Union européenne, afin de créer le fameux marché unique numérique. Elle se présente même comme « le chef
de file » pour quatre textes en négociation dans le cadre de la stratégie numérique européenne. Il s’agit d’une part de deux propositions de directives : l’une sur certains aspects des contrats de fourniture de contenus numériques, l’autre sur certains aspects des contrats de vente en ligne et autres ventes à distance.
D’autre part, elle oeuvre pour deux propositions de règlements : l’un sur les pratiques injustifiées de blocage géographique et l’autre révisant la coopération entre autorités nationales de protection des consommateurs. @