Bataille du cloud : la Commission européenne pressée par OVH et Nextcloud d’enquêter sur Microsoft et d’autres

Après l’allemand Nextcloud, membre d’Euclidia, c’est au tour du français OVH, dont un dirigeant préside le Cispe, de faire savoir qu’il a aussi déposé plainte en 2021 auprès de la Commission européenne contre Microsoft accusé de favoriser ses services sur son cloud Azure. Margrethe Vestager va-t-elle lancer une enquête ?

Le groupe français OVH a porté plainte auprès de la direction générale de la concurrence (DG Competition) de la Commission européenne contre l’américain Microsoft pour abus de position dominante avec son service de cloud Azure. C’est ce qu’a révélé le 16 mars le Wall Street Journal, information confirmée le même jour, notamment auprès d’Euractiv. Le français du cloud n’est pas le seul à accuser la firme de Redmond de favoriser ses propres logiciels, dont la suite Office, dans son infrastructure nuagique Azure et de ne pas les rendre optimaux sur des plateformes de cloud concurrentes. Selon les constations de Edition Multimédi@, OVH – société fondée en 1999 à Roubaix, dans le Nord de la France, par Octave Klaba (photo), son actuel président et principal actionnaire – est membre fondateur de l’association des fournisseurs de services d’infrastructure cloud en Europe (Cispe), où l’on retrouve parmi ses vingt-cinq membres le géant Amazon Web Service (AWS), le français Outscale (Dassault Systèmes), le finlandais UpCloud, le néerlandais Altus Host, l’italien Aruba.it ou encore l’espagnol Gigas.

Porter plainte présente des risques de représailles
Cette coalition Cispe est présidée depuis sa création en octobre 2016 par Alban Schmutz, vice-président d’OVH en charge du développement et des affaires publiques. Elle est aussi par ailleurs membre fondateur de GaiaX, le cloud souverain européen. Pour autant, ni le Wall Street Journal ni Euractiv ne mentionnent l’existence de ce lobby Cispe, basé à Bruxelles, lequel prend acte le 17 mars des révélations du quotidien économique et financier américain concernant la plainte d’OVH mais, curieusement, sans nommer OVH ni dire qu’il est l’un des membres fondateurs de Cispe et qu’Alban Schmutz en est le président depuis près de six ans. De plus, la plainte d’OVH auprès de la Commission européenne remonte à l’été 2021 et n’est révélée que mi-mars et elle n’est pas la seule à avoir été déposée contre Microsoft car d’autres prestataires de cloud européens – dont les noms ne sont pas dévoilés – l’on fait de leur côté. Pourquoi  Continuer la lecture

Digital Services Act et Digital Markets Act : projets règlements européens sous influences

La proposition de règlement pour un « marché unique des services numériques » (DSA) et la proposition de règlement sur les « marchés contestables et équitables dans le secteur numérique » (DMA) sont sur les rails législatives. Chacun des rapporteurs est très courtisé par les lobbies.

La commission du marché intérieur et de la protection des consommateurs (Imco) du Parlement européen s’est réunie le 21 juin dernier pour examiner les projets de rapports de respectivement Christel Schaldemose (photo de gauche), rapporteur du projet de règlement DSA (Digital Services Act), et de Andreas Schwab (photo de droite), rapporteur du projet de règlement DMA (Digital Markets Act). Dans les deux cas, le délai pour le dépôt des amendements avait été fixé au 1er juillet.

Des rapporteurs influencés par les lobbies
La Danoise socialiste et l’Allemand démocrate-chrétien sont les rapporteurs les plus courtisés du moment par les lobbies. Et pour cause : leur projet de rapport respectif propose de multiples amendements au paquet législatif initialement présenté par la Commission européenne le 15 décembre 2020, composé du projet de règlement DSA, d’une part, et du projet de règlement DMA, d’autre part. Le premier texte règlementaire vise à mieux responsabiliser les plateformes Internet jusqu’alors protégées par leur statut d’hébergeur par la directive européenne « E-commerce » qui leur accorde une responsabilité limitée. Le second texte veut imposer à la dizaine de grandes plateformes numériques dites « systémiques » (dont les GAFAM) des contraintes antitrust et empêchant les abus de position dominante de certains écosystèmes.
Déjà, lors de la publication des textes il y a plus de six mois, les GAFAM avaient exprimé leur préoccupations face cette nouvelle régulation de l’Internet à venir, craignant pour « l’innovation numérique », « les droits fondamentaux », « la liberté d’expression et de création », « le secret des algorithmes » ou encore « les risques de sanctions financières » (1). Les projets de DSA (2) et de DMA (3) poursuivent leur marathon euro législatif ; ils passent à ce stade par les fourches caudines des eurodéputés réunis au sein de la décisive commission du marché intérieur et de la protection des consommateurs (Imco) où les deux rapporteurs ont été désignés fin janvier. Chacun a rendu son rapport, datés respectivement du 28 mai 2021 pour celui Christel Schaldemose sur le futur DSA et du 1er juin 2021 pour celui de Andreas Schwab sur le futur DMA. Les deux rapports actuellement examinés présentent de multiples amendements apportés aux textes législatifs qu’avaient proposés la Commission européenne. C’est dans l’élaboration de ces amendements que joue à plein le lobby des GAFAM et bien d’autres entreprises, organisations ou personnes « ayant apporté leur contribution à la rapporteur » (DSA) et « ayant apporté leur contribution au rapporteur » (DMA) « pour l’élaboration du projet de rapport ». Ainsi, comme ils l’ont indiqué dans une annexe de leur rapport, Christel Schaldemose a eu affaire à 56 contributeurs et Andreas Schwab à 51 contributeurs. Pour les deux projets de rapport, on retrouve les GAFAM : Google, Amazon, Facebook, Apple et Microsoft (exceptés Apple côté DSA et Microsoft côté DMA). L’eurodéputée rapporteur a aussi eu l’oreille de Alibaba, Airbnb, Huawei, Match Group, Reddit, TikTok, Wikimedia, Schibsted, Dropbox ou encore de Zalando. Elle a aussi été approchée par les organisations des GAFAM et autres Big Tech : Computer & Communications Industry Association (CCIA), Dot Europe (ex-Edima), ainsi que DigitalEurope (ex-Eicta).
Quant à l’eurodéputé rapporteur, il a aussi eu affaire de son côté à Netflix, Spotify, Snap, Expedia, Booking, Criteo, IBM, Salesforce, Kelkoo Group, DuckDuckGo ou encore à Yelp. Il a aussi été en contact avec la CCIA et la GSMA. L’Etno, association des opérateurs télécoms européens (historiques en tête), a aussi conseillé, influencé ou orienté – c’est selon – Christel Schaldemose et Andreas Schwab dans leurs travaux parlementaires. Jamais un paquet législatif européen n’a fait l’objet d’un tel lobbying intense. Ou bien, faut-il remonter à la libéralisation des télécoms de la fin des années 1990 pour retrouver une telle pression ou influence des acteurs concernés sur les travaux parlementaires.

Bras de fer entre Big Tech et l’Europe
Plus de vingt ans après le premier « paquet télécoms » (4) et plus de dix ans après le second « paquet télécoms » (5), ce nouveau « paquet DSA/DMA » est l’un des plus grands cadres règlementaires que l’Union européenne (UE) s’apprête à adopter. Les instances européennes et les industries culturelles veulent mettre au pas les GAFAM en les responsabilisant voire en les sanctionnant sur les contenus dits « illicites » qu’ils hébergent et véhiculent. Tandis que les géants du numériques plaident plus une régulation raisonnée de l’Internet pour ne pas porter atteinte aux droits fondamentaux. Les amendements contenus dans les deux projets de rapport illustrent le bras de fer qui s’opère dans les couloirs du Parlement européen et parfois sous le manteau des eurodéputés. Le salon parisien Vivatech a d’ailleurs été utilisé comme tribune par des Big Tech pour critiquer la future réglementation de l’Internet. Le 16 juin, le patron d’Apple, Tim Cook, en a profité pour mettre en garde contre notamment un DMA qui « détruirait la sécurité de l’iPhone et d’initiatives pour la vie privée ».

Conso, place de marché, pub en ligne
• Dans le projet de rapport Schaldemose de 145 pages (6) sur le « marché unique des services numériques » (DSA), plusieurs amendements vont dans le sens des consommateurs internautes et mobinautes. Par exemple, le n°1 ajoute dans les garanties du futur règlement DSA « un niveau élevé de protection des consommateurs », en plus du respect des droits fondamentaux des citoyens européens (liberté d’expression et d’information, liberté d’entreprise, droit à la non-discrimination, …). L’amendement n°4, lui, tend à « éviter un retrait excessif de contenus juridiques » en précisant que les contenus illicites sont considérés comme tels s’ils « ne sont pas conformes au droit de l’Union (européenne) ». Et Christel Schaldemose de justifier ce rajout : « Cela afin de garantir que, par exemple, une vidéo montrant une voiture qui roule trop vite ne relève pas de la définition, à moins qu’une référence à une activité illicite ne soit en soi illégale, selon le droit de l’Union ou d’un Etat membre (par exemple, des contenus pédopornographiques, des contenus à caractère terroriste, etc.) ».
Autre mesure pro-consommateur : l’amendement n°23 propose de supprimer un considérant de la Commission européenne qui prévoyait de ne pas soumettre les micro entreprises ou les petites entreprise (TPE) au règlement DSA. Motif : « Les lois sur la protection des consommateurs ne font pas la distinction entre les petites et les grandes entreprises. Les obligations [système interne de traitement des réclamations, règlement extrajudiciaire des litiges, signaleurs de confiance, mesures de lutte et de protection contre les utilisations abusives, notification des soupçons d’infraction pénale, transparence de la publicité en ligne, … (7) ndlr] devraient également s’appliquer aux micro entreprises et aux petites entreprises afin de protéger les consommateurs et les bénéficiaires des services des contenus illicites ». L’amendement n°73, lui, introduit des conditions supplémentaires pour que les places de marché en ligne ne bénéficient pas de l’exemption de responsabilité lorsqu’elles vendent des produits et services illicites. « Une plateforme en ligne ne bénéficie pas de l’exemption de responsabilité si elle ne respecte pas certaines obligations de diligence fixées dans le présent règlement ou lorsqu’un professionnel d’un pays tiers n’a pas, au sein de l’Union, d’opérateur économique responsable de la sécurité des produits. Les consommateurs seront en mesure de déposer un recours contre la plateforme en ligne et, en retour, cette dernière sera en mesure de déposer un recours contre le professionnel ». Christel Schaldemose tient d’ailleurs à respecter le principe selon lequel « ce qui est illégal hors-ligne est également illégal en ligne ».
Concernant cette fois la publicité en ligne, elle estime que « la collecte et l’utilisation généralisées des données des utilisateurs à des fins de publicité ciblée, micro-ciblée et comportementale sont devenues incontrôlables ». Aussi, l’amendement n°92 ajoute un article prévoyant que « le fournisseur de services intermédiaires est tenu, par défaut, de ne pas laisser les bénéficiaires de ses services faire l’objet de publicité ciblée, micro-ciblée et comportementale, à moins que le bénéficiaire des services n’ait donné son consentement libre, spécifique, informé et non ambigu ». Quant à l’amendement n°91, il étend la portée de la transparence de la publicité en ligne à tous les services intermédiaires (non pas seulement aux plateformes en ligne) et avec de nouvelles dispositions allant dans ce sens, y compris « un marquage visible et harmonisé » lorsqu’il s’agit de contenu provenant d’influenceurs commerciaux sur YouTube, Facebook ou autres TikTok.

Plateforme essentielle et gatekeeper
• Dans le projet de rapport Andreas Schwab de 86 pages (8) sur le « marchés contestables et équitables dans le secteur numérique » (DMA), l’amendement n°37 propose de remonter le seuil de désignation d’une plateforme numérique considérée comme « contrôleurs d’accès » (gatekeeper) : de 6,5 millions à 10 millions d’euros de chiffre d’affaires annuel, ou, si l’on considère la valorisation de l’entreprise en question, de 65 milliards à 100 milliards d’euros (capitalisation boursière moyenne ou juste valeur marchande équivalente). Le rapporteur Andreas Schwab propose en outre « d’ajouter, comme condition supplémentaire à la désignation d’entreprises en tant que contrôleurs d’accès, le fait qu’elles soient des fournisseurs non pas seulement d’un, mais, au moins, de deux services de plateforme essentiels ». Quoi qu’il en soit, les « plateformes essentielles » ayant un rôle de « contrôleurs d’accès » ne doivent pas se livrer à des pratiques déloyales, en empêchant notamment d’autres entreprises de se développer sur le marché unique numérique. @

Charles de Laubier

Digital Services Act (DSA) et Digital Markets Act (DMA) : l’Europe vise une régulation équilibrée du Net

Présenté par la Commission européenne le 15 décembre 2020, le paquet législatif « DSA & DMA » – visant à réguler Internet en Europe, des réseaux sociaux aux places de marché – relève d’un exercice d’équilibriste entre régulation des écosystèmes et responsabilités. Son adoption est espérée d’ici début 2022.

Par Laura Ziegler, Sandra Tubert et Marion Moine, avocates, BCTG Avocats

La digitalisation croissante de la société et de son économie a fait naître de nouvelles problématiques sociétales et juridiques que l’arsenal législatif jusqu’alors disponible – en particulier la directive européenne « E-commerce » adoptée il y a plus de vingt ans (1) et transposée en 2004 pour ce qui concerne la France (2) – ne parvient plus à réguler efficacement. Les exemples d’actualité sont nombreux : des contenus illicites ou préjudiciables postés sur les réseaux sociaux, à l’opacité des algorithmes aux conséquences néfastes, … Bien qu’ayant pour ambition commune de réguler le monde digital, le DSA et le DMA poursuivent chacun un objectif distinct.

L’ombre de la directive « E-commerce »
Le projet de DSA. Ce règlement a vocation à remplacer les dispositions relatives à la responsabilité des prestataires de services intermédiaires contenues dans la directive « Ecommerce » (3), et à abandonner la distinction actuelle et quelque peu dépassée entre éditeur et hébergeur. Il vise à établir des règles harmonisées concernant la fourniture de « services intermédiaires », notion qui s’interprète toujours largement et englobe à la fois le transport (4) et la transmission (5) d’informations sur un réseau de communication, la fourniture d’un accès au réseau de communication, ainsi que l’hébergement de données.
En pratique, seront donc concernés : fournisseurs d’accès Internet, bureaux d’enregistrement de noms de domaine (registrars), hébergeurs « cloud » et web, marketplaces, boutiques d’applications (app stores), réseaux sociaux et autres plateformes agissant en qualité d’intermédiaires (plateforme d’économie collaborative, etc.). Plus particulièrement, le DSA aspire à établir un cadre de responsabilité pour les prestataires de services intermédiaires, et à leur imposer des diligences raisonnables qui diffèrent selon la catégorie dont ils relèvent (6) et qui sont au nombre de quatre : services intermédiaires offrant une infrastructure réseau, services d’hébergement, plateformes en ligne réunissant vendeurs et consommateurs et très grandes plateformes. Ces règles trouveront à s’appliquer aux prestataires qui fournissent des services à des destinataires (7) ayant leur lieu d’établissement ou leur résidence dans l’Union européenne (8). Le lieu d’établissement des prestataires est donc sans incidence, dès lors qu’ils présentent un « lien substantiel » avec le territoire européen (9). Evidemment, tous ces prestataires de services intermédiaires ne se verront pas appliquer les mêmes régimes.
S’agissant tout d’abord de leur responsabilité, aucun bouleversement annoncé. En effet, les projets d’articles 3 et 4 du DSA – concernant les services dits de « mere conduit » et de « caching » – reprennent quasiment à l’identique les dispositions des articles 12 et 13 de la directive « Ecommerce » de 2000 : ils ne sont pas responsables des informations qu’ils transportent et/ou transmettent dès lors qu’ils n’ont, en substance, pas une connaissance effective de l’activité ou du contenu illégal ou à défaut, dès lors qu’ils ont agi promptement pour retirer le contenu en cause.
Pas de grand changement non plus pour les hébergeurs qui bénéficieront toujours du régime de responsabilité atténuée. La seule nouveauté relative figure sous son article 5.3. : le régime de responsabilité atténuée ne sera pas applicable si un consommateur concluant un contrat à distance avec des professionnels via une plateforme en ligne est conduit à croire que l’information, le produit ou le service faisant l’objet de la transaction est fournie par cette dernière directement, ou par un destinataire du service agissant sur son autorité ou son contrôle. L’avenir nous dira si ces nouvelles dispositions conduiront les juridictions à adopter une approche plus stricte que celle de l’actuelle jurisprudence basée sur l’interprétation du « rôle actif » des intermédiaires. En revanche, le DSA n’envisage pas d’imposer aux prestataires de services intermédiaires (10) une obligation générale de surveillance (11). Ils y seront cependant encouragés puisque les enquêtes d’initiative volontaires « visant à détecter, identifier, supprimer ou désactiver l’accès à un contenu illégal, (…) » ne leur feront pas perdre le bénéfice de l’exemption de responsabilité (12).

Transparence accrue des intermédiaires
S’agissant ensuite des diligences et obligations qui seront mises à la charge de ces acteurs, certaines seront spécifiques à la catégorie à laquelle ils appartiennent, d’autres seront communes. On relèvera parmi ces dernières, la création d’un « point de contact » permettant une communication directe par voie électronique et l’intégration, dans leurs conditions générales, d’informations rédigées dans un langage clair et sans ambiguïté, sur les politiques, procédures, mesures et outils utilisés à des fins de modération du contenu, y compris sur les algorithmes utilisés pour prendre des décisions. Toujours dans un objectif de transparence accrue, les intermédiaires devront également publier des rapports annuels sur leur activité de modération de contenus. Cette exigence ne devrait pas s’appliquer aux petites et micros entreprises mais devrait être renforcée pour les plateformes en ligne et très grandes plateformes.

Statuts d’hébergeur et contenus illégaux
Concernant plus spécifiquement les services d’hébergement, ceux-ci devront mettre en place des mécanismes d’accès faciles et conviviaux permettant à toute personne de les informer de l’existence de contenus illégaux. Toute décision de suppression ou de désactivation d’un accès à des informations devra en outre faire l’objet d’une information motivée par l’intermédiaire à l’utilisateur concerné (13). Les plateformes en ligne devront en outre créer un système gratuit de traitement des réclamations par voie électronique au sujet des décisions qu’elles sont susceptibles de prendre (modération, suspension, suppression ou résiliation d’un service ou d’un compte utilisateur). Elles auront d’ailleurs, dans ce cadre, l’obligation de suspendre pendant un délai raisonnable, après avertissement, les comptes utilisateurs à partir desquels des abus seront commis (publication de contenus manifestement illicites, et notifications et/ou plaintes manifestement infondées).
Les plateformes mettant en relation commerçants et professionnels devront enfin, procéder à des vérifications élémentaires de l’identité et des coordonnées de ces derniers. Les très grandes plateformes en ligne (14) devront quant à elles procéder, au moins une fois par an, aux études et audits nécessaires pour leur permettre notamment d’identifier les risques systémiques significatifs résultant du fonctionnement et de l’utilisation de leurs services (15). Elles devront également désigner un ou plusieurs responsables de la conformité qui seront chargés de contrôler le respect du règlement DSA. A l’image des « Data Protection Officer » (DPO), ceux-ci devront notamment, faire l’objet d’une désignation officielle auprès des organismes compétents et pouvoir s’acquitter de leurs tâches de manière indépendante. Enfin, les très grandes plateformes pourront être contraintes de fournir un accès à leurs données, en particulier à des chercheurs agréés (16).
Le projet de DMA. Ce règlement-ci ne s’appliquera qu’aux « gatekeepers » ou « contrôleurs d’accès » qui fournissent à des utilisateurs, professionnels ou non, situés dans l’Union européenne (17), des services en ligne essentiels (18). Un prestataire de services essentiels sera présumé être un gatekeeper si celui-ci répond aux trois critères cumulatifs suivants : avoir un impact significatif sur le marché intérieur (en fonction de seuils de chiffre d’affaires et de la valorisation de l’entreprise) ; exploiter un service de « plateforme essentiel » qui sert de passerelle majeure pour les utilisateurs professionnels pour atteindre les consommateurs finaux ; bénéficier d’une position enracinée et durable ou être en voie de bénéficier d’une telle position dans un proche avenir. Le contrôle de l’atteinte de ces seuils quantitatifs incombera tout d’abord aux prestataires de services qui en informeront la Commission européenne. Les gatekeepers fraichement nommés disposeront d’un délai de six mois pour se conformer aux obligations du règlement. Ces désignations pourront bien sûr être reconsidérées, modifiées ou abrogées par la Commission à la lumière de l’évolution des éléments de contexte.
S’agissant de l’étendue de ses obligations, un gatekeeper ayant une position enracinée et durable se verra imposer davantage d’obligations que ceux en voie d’en bénéficier. Dans ce contexte, le règlement introduit plus de quinze obligations et interdictions, parmi lesquelles l’interdiction des pratiques visant à empêcher leurs utilisateurs professionnels de proposer leurs produits et services aux utilisateurs finaux par le biais de services concurrents tiers à des prix ou à des conditions différents (20), ou à traiter plus favorablement, dans le classement, les produits et services qui sont proposés par le contrôleur d’accès lui-même (21), ou encore l’obligation, dans certaines hypothèses, de permettre aux consommateurs de désinstaller les applications logicielles préinstallées ou de fournir aux entreprises qui font de la publicité sur leur plateforme les outils et les informations nécessaires pour effectuer leur propre vérification des annonces publicitaires hébergées par le contrôleur d’accès. Certaines dispositions concerneront par ailleurs, les traitements de données à caractère personnel en imposant des conditions supplémentaires à celles figurant dans le RGPD (22), ou en interdisant purement et simplement certaines pratiques (23). L’interopérabilité est également au coeur des préoccupations puisque le DMA imposera désormais aux contrôleurs d’accès de mettre en place de manière proactive certaines mesures, telles que des mesures ciblées permettant aux logiciels de fournisseurs tiers de fonctionner et d’interagir correctement avec leurs propres services (24). Dans cette même dynamique, les consommateurs devront pouvoir changer d’applications logicielles et de services sans restriction technique (25).

Des sanctions et des astreintes dissuasives
Pour s’assurer de l’effectivité de cette nouvelle régulation, la Commission européenne a mis en place un véritable arsenal puisque tout manquement aux obligations prévues par les DMA et DSA, pourra être sanctionné par une amende pouvant aller jusqu’à 10 % (DMA) et/ou 6% (DSA) du chiffre d’affaires total de l’intermédiaire concerné au cours de l’exercice précédent. Des astreintes pouvant aller jusqu’à 5 % du chiffre d’affaires journalier moyen à compter de sa décision pourront également être prononcées. @