Archives par mot-clé : ePrivacy

Devant la justice française, Apple remporte une manche qui lui permet de poursuivre son dispositif ATT

Publié le par

Le Tribunal judiciaire de Paris a estimé, dans son ordonnance du 20 janvier 2026, qu’il n’y avait pas lieu de suspendre le dispositif App Tracking Transparency (ATT) mis en œuvre par Apple. L’Alliance Digitale, le Geste, le SRI et l’Udecam, qui l’avaient saisi en référé, pourraient ne pas en rester là.

La coalition française formée par l’Alliance Digitale, le Groupement des éditeurs de services en ligne (Geste), le Syndicat des régies Internet (SRI) et l’Union des entreprises de conseil et d’achat médias (Udecam) est mobilisée depuis 2020 contre l’« ATT » d’Apple, comprenez l’App Tracking Transparency – le mécanisme de la Pomme imposant aux éditeurs le consentement de leurs utilisateurs si ces premiers – éditeurs, régies, annonceurs et partenaires technologiques – veulent accéder à l’identifiant publicitaire (IDFA) du fabricant des iPhone et des iPad, pour suivre les seconds.

Les petits éditeurs sont les plus touchés
Pour eux, ATT est « artificiellement complexe au détriment de l’ensemble des acteurs de l’écosystème, de manière asymétrique, discriminatoire et non proportionnée aux objectifs prétendus de protection des données des utilisateurs ». L’Autorité de la concurrence leur avait donné raison dans sa décision du 31 mars 2025, en sanctionnant le groupe Apple – dirigé par Tim Cook (photo) – d’une amende de 150 millions d’euros (que la Pomme a payé depuis) pour les « modalités de mise en œuvre » de ce dispositif ATT qui « ne sont ni nécessaires ni proportionnées à l’objectif, affiché par Apple, de protection des données personnelles » (1).
Le gendarme de la concurrence avait reproché à ce mécanisme contesté d’engendrer une multiplication de fenêtres de recueil de consentement, « compliquant excessivement le parcours des utilisateurs d’applications tierces au sein de l’environnement iOS ». De plus, ces différentes fenêtres affichées à l’écran de l’utilisateur « portent atteinte à la neutralité du dispositif, causant un préjudice économique certain aux éditeurs d’applications et aux fournisseurs de services publicitaires », et en particulier aux plus petits éditeurs qui dépendent en grande partie de la collecte de données tierces pour financer leur activité dans l’écosystème mobile, contrairement aux principales plateformes verticalement intégrées. Deux asymétries ont ainsi été dénoncées par (suite) l’Autorité de la concurrence (ADLC) il y a près d’un an maintenant : « Si le refus d’une opération de traçage publicitaire ne doit être effectué qu’une fois, l’acceptation d’une telle opération doit, quant à elle, toujours être confirmée une seconde fois par l’utilisateur. L’asymétrie en résultant empêche le recueil d’un consentement éclairé que l’ATT est pourtant censé favoriser », tout en constatant en outre « une asymétrie de traitement entre celui qu’Apple se réservait [une fenêtre unique de consentement pour de la publicité personnalisée, ndlr] et celui qu’elle appliquait aux éditeurs [double consentement pour la collecte de données tierces réalisées par les éditeurs, ndlr] » (voir graphique ci-dessous). Apple a fait appel de la décision de l’ADLC devant la Cour d’appel de Paris (saisie au fond) et, d’après les quatre organisations professionnelles, a multiplié « les manœuvres dilatoires pour tenter d’en neutraliser les effets en France ».
Après une audience qui s’était tenue le 9 décembre 2025, le Tribunal judiciaire de Paris a rendu le 20 janvier 2026 une ordonnance décidant de ne pas suspendre ATT. « Apple assume n’avoir rien modifié à ATT mais semble considérer que le seul paiement de l’amende de 150 millions d’euros suffit », ont regretté les quatre organisations de la coalisation française, laquelle avait saisi le tribunal en référé pour obtenir la suspension d’ATT sous astreinte en France (2). Mais le président du tribunal a décidé de ne pas ordonner de mesures conservatoires, « en retenant qu’il n’était pas suffisamment établi qu’ATT persiste ». Pour l’Alliance Digitale, le Geste, le SRI et l’Udecam, qui pourraient faire appel de cette décision (ils ont jusqu’autour du 4 février pour le faire), ce premier jugement vient réduire significativement la portée de la décision de l’Autorité de la concurrence : « C’est une occasion manquée de suspendre temporairement l’impact préjudiciable d’ATT sur l’écosystème dans l’attente que la décision de l’[ADLC] soit définitive, et ce alors que l’autorité italienne de concurrence vient de condamner ATT pour les mêmes motifs ».

Après la France, l’Italie a sanctionné Apple
Car la France n’est pas le seul pays européen à accuser le fabriquant des iPhone et iPad d’abus de position dominante et de violation de la directive européenne « ePrivacy ». Ainsi, le 22 décembre 2025, l’autorité de la concurrence italienne (AGCM) a condamné Apple à une amende de 98,6 millions d’euros pour les mêmes pratiques et « abus de position super-dominante ». « Puisque les données des utilisateurs sont une entrée clé pour la publicité en ligne personnalisée, justifie l’AGCM, la demande de double consentement – qui découle inévitablement de la politique ATT telle qu’elle est mise en œuvre – limite la collecte, le lien et l’utilisation de ces données. En conséquence, cette exigence de double consentement nuit aux promoteurs, dont le modèle économique repose sur la vente d’espaces publicitaires, ainsi qu’aux annonceurs et aux plateformes d’intermédiation publicitaire » (3).

Plusieurs enquêtes en Europe, et au Brésil
D’autres procédures contre l’ATT d’Apple sont en cours dans d’autres Etats membres de l’Union européenne, toutes sous la coordination de la Commission européenne (4).
En Allemagne, l’Office fédéral des cartels (Bundeskartellamt) – qui avait remis le 13 février 2025 à Apple sa première évaluation juridique de son dispositif ATT controversé – finalise actuellement avec la Pomme un « test de marché » pour examiner les solutions sur lesquelles s’est engagé Apple. Or le président du gendarme de la concurrence allemand, Andreas Mundt, tique encore sur un point : « Apple n’a proposé aucun changement dans sa manière de mesurer le succès publicitaire (attribution), ayant l’intention de poursuivre sa pratique de ces mesures sans obtenir le consentement préalable des utilisateurs » (5).
En Roumanie, le Conseil de la concurrence (Consiliul Concurentei) – qui a lancé son enquête sur l’ATT le 19 octobre 2023 – estime aussi qu’Apple – via ATT – a limité l’accès des autres applications au profil publicitaire de l’IDFA (Identifier for Advertisers), ce qui a conduit à une restriction de la concurrence sur le marché publicitaire pour les applications tierces sur les appareils mobiles iOS (6). Verdict sur ce qu’il considère aussi comme un abus de position dominante : courant 2026.
En Pologne, l’Office de la concurrence et de la protection des consommateurs (UOKiK) a aussi Apple et son ATT dans son collimateur. Dès le 13 décembre 2021, cette autorité a lancé son enquête (7), aussitôt après que la firme de Cupertino a modifié – en avril 2021 – sa politique de confidentialité et de traitement des données personnelles sur tous ses appareils Apple fonctionnant sous iOS 14.5, iPadOS 14.5, tvOS 14.5 et versions ultérieures. Le 25 novembre 2025, le président de l’UOKiK, Tomasz Chróstny, a engagé « une procédure antitrust » contre trois entreprises de la firme de Cupertino, « accusant Apple, Apple Operations International et Apple Distribution International d’abuser de leur position dominante » (8). Ces actions coordonnées à l’encontre d’Apple, quand bien même cela pourrait aussi déplaire à Donald Trump déjà très remonté contre la règlementation et la régulation de l’Union européenne, pourraient faire tache d’huile partout dans le reste du monde – à commencer par le Brésil.
Au Brésil, le Conselho Administrativo de Defesa Econômica (Cade, pour Conseil administratif de défense économique) a la Pomme dans son collimateur depuis bien avant le lancement de son enquête en décembre 2022, à la suite d’une plainte déposée par le groupe Mercado Livre, qui a dénoncé un possible abus de position dominante sur le marché de la distribution d’applications pour les appareils fonctionnant sous iOS – même si l’App Tracking Transparency n’est pas évoquée dans cette affaire. Pour éviter une amende jusqu’à 150 millions de réals brésiliens (24 millions d’euros), Apple a demandé en juillet 2025 à négocier avec le tribunal du Cade, ce qui a abouti à un accord d’obligations signé le 23 décembre 2025 et annoncé le 5 janvier 2026 (9). Mais selon le quotidien brésilien Brazil Journal il y a un an (daté du 27 janvier 2025), le gendarme de la concurrence brésilien a ouvert une enquête contre Apple Brésil afin d’examiner le fonctionnement de l’ATT (10), à la suite d’une plainte de Meta Platforms – propriétaire de Facebook, Instagram et WhatsApp. @

Charles de Laubier

L’Europe n’en a pas terminé avec le « Chat Control »

Publié le par

En fait. Le 31 octobre, la présidence danoise de l’UE a retiré le projet controversé d’obliger de surveiller les conversations des messageries cryptées telles que WhatsApp, Telegram ou Signal pour lutter contre la pédopornographie. Mais la Pologne, à partir du 1er janvier 2026, pourrait réintroduire ce « Chat Control ».

En clair. Ce n’est que partie remise… pour 2026. Bien que la présidence danoise de l’Union européenne (UE) ait annoncé le 31 octobre le retrait de l’obligation – pour les éditeurs de messageries cryptées – de surveiller les conversations de leurs millions d’utilisateurs européens dans le cadre de la lutte contre les contenus d’abus sexuels sur enfants, cela ne signifie pas que l’obligation du « Chat Control » (contrôle du chat) soit abandonnée pour autant. Car la Pologne, bien qu’hostile à l’obligation de « décryptage du cryptage », va prendre à partir du 1er janvier 2026 la présidence tournante de l’UE et va être soumise à de fortes pressions en faveur d’une surveillance obligatoire des WhatsApp, Telegram et autres Signal. Gmail de Google et Messenger de Facebook sont aussi parmi les messageries concernées. Pour l’heure, et jusqu’à l’échéance du 3 avril prochain (1), le « scanning » des contenus et conversations en ligne n’est pas obligatoire pour les éditeurs de ces plateformes.
Un règlement européen de 2021, parfois surnommé « Derogation ePrivacy », a instauré une « dérogation temporaire » à la directive « ePrivacy » de 2022 pour « permettre » aux plateformes de messageries instantanées d’utiliser des technologies de « scanning » (traduit en français par « examiner ») de tous les contenus des conversations, données à caractère personnel et autres données, afin de « lutte[r] contre les abus sexuels commis contre des enfants en ligne » ((2). Cette dérogation basée actuellement sur le volontariat, devait durer (suite) jusqu’au 3 août 2024, mais l’an dernier le Parlement européen a prorogé cette mesure provisoire jusqu’au 3 avril 2026 (3). Et ce, le temps de trouver un compromis sur le projet de règlement « Combattre les abus sexuels sur les enfants en ligne » (dite régulation CSAM, pour Child Sexual Abuse Material).
Le point de blocage de ce texte était de rendre le « contrôle du chat » obligatoire (c’est-à-dire l’instauration d’une surveillance de toutes les conversations en scannantles messageries malgré leur chiffrement de bout en bout supposé inviolable), contre lequel se sont opposées l’Allemagne et… la Pologne, ainsi que sept autres Etats membres. Mais des vents contraires sont attendus sur la Pologne d’ici au 3 avril 2026. D’autant que le texte « CSAM », lui, poursuit sa procédure législative (4). La France, elle, est pour l’obligation de « Chat Control » avec une dizaine d’autres pays européens. Au risque de violer la vie privée. @

Micro-ciblage en Europe : état des lieux, sept ans après le scandale « Cambridge Analytica »

Publié le par

Depuis le scandale « Cambridge Analytica » il y a sept ans, dont Facebook est à l’origine et qui a bouleversé notre perception du numérique, l’Union européenne s’est constituée un arsenal réglementaire unique au monde, encadrant le micro-ciblage et la transparence des publicités politiques.

Par Jade Griffaton, avocate counsel, Milestone Avocats

En 2018, le monde découvrait avec stupeur que Facebook avait permis la collecte illégale de données personnelles de plus de 87 millions d’utilisateurs par la société britannique Cambridge Analytica (1). Ces données, minutieusement exploitées entre 2014 et 2015, avaient servi à influencer les électeurs lors de scrutins majeurs, notamment la présidentielle américaine de 2016 et le référendum sur le Brexit de la même année. Ce scandale retentissant a brutalement mis en lumière les dangers considérables que représente le micro-ciblage politique pour l’intégrité des processus démocratiques.

Techniques de persuasion psychologique
Sept ans après cette affaire aux répercussions mondiales, l’Europe a considérablement renforcé son arsenal juridique concernant l’encadrement des publicités politiques et la protection des citoyens contre ces pratiques particulièrement invasives. Le micro-ciblage constitue une méthode de publicité numérique sophistiquée qui exploite méthodiquement les données personnelles pour identifier avec précision les intérêts, les préoccupations et les vulnérabilités d’individus ou de groupes spécifiques. Cette identification minutieuse poursuit un objectif précis : influencer délibérément leurs comportements et leurs opinions politiques par des messages personnalisés.
Contrairement au profilage publicitaire classique, le microciblage politique présente des caractéristiques particulièrement préoccupantes pour nos démocraties. Il transcende la simple identification des personnes en croisant de multiples sources de données pour en déduire des informations particulièrement sensibles telles que les opinions politiques latentes, les convictions religieuses ou l’orientation sexuelle des individus. Cette technique permet (suite)

également la diffusion simultanée de messages parfaitement contradictoires à différents groupes d’électeurs sans que ceux-ci en aient conscience, créant ainsi des espaces informationnels fragmentés et hermétiques. Les stratégies contemporaines de micro-ciblage s’appuient par ailleurs sur des techniques de persuasion psychologique avancées, adaptées avec une minutie inquiétante à chaque profil d’électeur identifié par les algorithmes. Il a été démontré que, selon son degré de sophistication, le micro-ciblage politique peut engendrer plusieurs effets profondément délétères sur le processus démocratique européen. Il renforce significativement la polarisation politique en enfermant méthodiquement les citoyens dans des bulles informationnelles, lesquelles confortent exclusivement leurs opinions préexistantes et limitent drastiquement leur exposition à des points de vue divergents ou contradictoires. Cette technique influence considérablement le comportement électoral, particulièrement auprès des segments les plus vulnérables comme les indécis ou les primovotants, naturellement plus sensibles à ces formes de persuasion personnalisée. Le micro-ciblage contribue également à dégrader substantiellement la qualité du débat démocratique en fragmentant l’espace public en une multitude de sphères de communication isolées, où les citoyens ne partagent plus un socle commun d’informations nécessaire au dialogue civique. Par ailleurs, il amplifie méthodiquement la diffusion de fausses informations en les adaptant spécifiquement aux biais cognitifs de chaque segment d’électeurs, maximisant ainsi leur impact persuasif sans considération pour la vérité factuelle.
Cette capacité inédite à manipuler l’opinion de manière invisible et personnalisée représente actuellement un risque majeur pour l’intégrité des processus démocratiques européens, d’autant plus inquiétant qu’il opère largement sous le radar des régulations traditionnelles des campagnes électorales. Face à ces défis sans précédent, l’Union européenne (UE) a progressivement développé un cadre réglementaire particulièrement ambitieux combinant plusieurs instruments juridiques complémentaires.
Le RGPD, fondement de la régulation sur la collecte des données (2). Entré en vigueur en 2018, le règlement général sur la protection des données (RGPD) constitue indéniablement la pierre angulaire de la protection contre le micro-ciblage abusif.

Les opinions politiques : données sensibles
Le RGPD impose systématiquement l’obtention d’un consentement libre, spécifique, éclairé et univoque des utilisateurs avant toute collecte et utilisation de leurs données personnelles. Il exige également la limitation stricte de la collecte aux données rigoureusement nécessaires, conformément au principe de minimisation qui vise explicitement à réduire l’empreinte numérique des citoyens européens. Ce règlement accorde aux individus des droits substantiellement renforcés, notamment en matière d’accès complet, de rectification immédiate, d’effacement définitif et d’opposition justifiée au traitement de leurs données. Une protection particulièrement renforcée est accordée aux données catégorisées comme sensibles, parmi lesquelles figurent expressément les opinions politiques des individus. En cas de violation avérée de ces principes fondamentaux, le règlement prévoit des amendes dissuasives pouvant atteindre l’impressionnant montant de quatre pour cent du chiffre d’affaires mondial des organisations contrevenantes.

Des directives et des règlements renforcés
La directive « ePrivacy 1 » (3), et son évolution nécessaire vers « ePrivacy 2 ». Datant de 2002, la directive « ePrivacy 1 » encadre précisément les communications électroniques et les diverses techniques de traçage en ligne. Elle établit une régulation particulièrement stricte de l’utilisation des cookies et autres « mouchards » numériques, exigeant systématiquement un consentement explicite préalable à leur déploiement pour tout suivi publicitaire. La directive renforce considérablement la protection de la confidentialité des communications électroniques, élément essentiel pour prévenir efficacement la collecte non autorisée d’informations susceptibles d’alimenter les algorithmes de micro-ciblage politique. Sa révision actuellement en cours, vers la directive « ePrivacy 2 » (4) vise à renforcer substantiellement ces dispositions face à l’évolution très rapide des technologies de suivi comportemental.
Le Digital Services Act (5) et le Digital Markets Act (6), pour la régulation des plateformes. Adoptés conjointement en 2022, ces règlements complémentaires, DSA et DMA, constituent une avancée particulièrement significative dans la régulation des plateformes numériques dominantes. Ils instaurent des obligations de transparence sans précédent concernant les systèmes algorithmiques de recommandation et les mécanismes publicitaires, permettant aux utilisateurs de comprendre précisément pourquoi et comment certains contenus leur sont spécifiquement présentés. Ces textes novateurs interdisent formellement toute forme de ciblage publicitaire basé sur des données catégorisées comme sensibles, classification dans laquelle s’inscrivent naturellement les opinions politiques des citoyens européens. Des obligations substantiellement renforcées s’appliquent désormais aux très grandes plateformes en ligne, qui doivent impérativement procéder à des audits réguliers et approfondis des risques systémiques liés à leurs services, incluant spécifiquement et explicitement ceux susceptibles d’affecter négativement les processus électoraux et la qualité du débat démocratique européen.
Le règlement « Transparence des publicités politiques » (7), une innovation mondiale. Ce règlement sur « la transparence et le ciblage de la publicité à caractère politique » est une législation pionnière adoptée en 2023 – et applicable à partir du 10 octobre 2025 – vise spécifiquement et exclusivement à encadrer rigoureusement la publicité politique en ligne. Elle instaure une interdiction formelle et sans ambiguïté d’utiliser des techniques de micro-ciblage basées sur des données sensibles dans tout contexte politique ou électoral. Ce règlement impose aux plateformes numériques la création méticuleuse de bibliothèques publiques exhaustives répertoriant l’intégralité des publicités politiques diffusées, assurant ainsi une transparence démocratique sans précédent. Un étiquetage particulièrement clair et visible des publicités politiques devient désormais obligatoire, systématiquement accompagné d’informations détaillées sur l’identité précise du commanditaire et les montants exactement investis dans chaque campagne. Des restrictions significatives et contraignantes sont imposées quant à l’utilisation des données personnelles à des fins de ciblage politique, et une protection spécifiquement renforcée s’applique durant les périodes électorales particulièrement sensibles.
Malgré ces avancées législatives remarquables, plusieurs défis substantiels demeurent, malgré des sanctions exemplaires infligées à plusieurs acteurs majeurs comme Google et Meta. Des pratiques manipulatoires particulièrement sophistiquées, telles que les interfaces délibérément trompeuses comme les « dark patterns » ou les algorithmiques de ciblage complexes, sont régulièrement et systématiquement employés pour obtenir subrepticement un consentement vicié des utilisateurs, qui ne mesurent généralement pas pleinement la portée réelle de leur acceptation apparemment anodine. Autre défi persistant : la circulation internationale des données utilisées pour le microciblage politique. L’invalidation retentissante en 2020 du Privacy Shield (8), cadre qui régulait précédemment les transferts de données entre l’UE et les Etats-Unis, a mis en lumière les risques considérables et sous-estimés associés aux transferts internationaux d’informations personnelles à caractère politique. Le nouveau cadre transatlantique de protection des données, laborieusement adopté en 2023 (9), tente d’apporter une solution juridique viable, mais sa solidité réelle face aux exigences strictes de la jurisprudence européenne reste encore largement à démontrer dans la pratique.

Evolutions technologiques imprévisibles
L’approche réglementaire européenne équilibrée, combinant protection rigoureuse des données personnelles et préservation de l’intégrité démocratique, constitue aujourd’hui une référence mondiale incontestable en la matière. Toutefois, l’évolution technologique rapide et imprévisible – notamment avec les IA génératives – ouvre continuellement de nouvelles possibilités de manipulation politique difficiles à anticiper pour le législateur européen. La sensibilisation des citoyens européens demeure par ailleurs insuffisante, limitant significativement leur capacité à exercer pleinement leurs droits légitimes face aux technologies de persuasion. @

L’accord sur le transfert des données personnelles vers les Etats-Unis peut-il aboutir ?

Publié le par
Après l’échec du « Safe Harbor » et celui du « Privacy Shield », un nouvel accord se fait attendre entre l’Union européenne et les Etats-Unis sur le transfert des données à caractère personnel. Si le processus est incontestablement en cours, il suscite des réserves qui compromettent son aboutissement. Par Emmanuelle Mignon, avocat associé, et Gaël Trouiller, avocat, August Debouzy (Article paru le 26-06-23 dans EM@ n°302. Le 03-07-23, les Etats-Unis ont déclaré avoir « rempli leurs engagements » pour la protection des données UE-US. Le 10-07-23, la Commission européenne a publié sa décision d’adéquation) En mars 2022, la Commission européenne avait annoncé qu’un accord politique entre sa présidente Ursula von der Leyen et le président des Etats-Unis Joe Biden avait été trouvé (1) : une première traduction juridique de cet accord, intitulé « Data Privacy Framework » (DPF) est alors née, le 7 octobre 2022, du décret présidentiel américain – Executive Order n°14086 – sur « le renforcement des garanties relatives aux activités de renseignement sur les transmissions des Etats-Unis » (2). Après l’annulation du « Privacy Shield » Sur le fondement de cet Executive Order (EO), la Commission européenne a publié, le 13 décembre 2022 (3), un projet de décision d’adéquation du système étasunien de protection des données au droit de l’Union européenne (UE). Celui-ci a fait l’objet d’un avis consultatif du Comité européen de la protection des données (CEPD) du 28 février dernier. Cet avis reconnaît que l’EO apporte de « substantielles améliorations », mais souligne cependant que des écueils subsistent et que des clarifications du régime américain demeurent nécessaires (4). Plus critique, le Parlement européen, dans sa résolution du 11 mai 2023, « conclut que le cadre de protection des données UE–Etats-Unis ne crée [toujours] pas d’équivalence substantielle du niveau de protection [et] invite la Commission à ne pas adopter le constat d’adéquation » (5). Epicentre du DPF, l’EO n°14086 de Joe Biden a pour objet d’instaurer des garanties juridiques afin de prendre en considération le droit de l’UE, en particulier l’arrêt « Schrems II » de 2020. On se souvient que, par cet arrêt, la Cour de justice de l’UE (CJUE) avait jugé que : Le « Privacy Shield » instituait des limitations au droit à la protection des données à caractère personnel – protégé par les articles 7 et 8 de la Charte des droits fondamentaux de l’UE – méconnaissant les exigences de nécessité et de proportionnalité découlant de l’article 52 de cette même Charte. Etait en particulier visée la collecte « en vrac » de données des citoyens européens opérée par les services de renseignement étasuniens en application : de la section 702 du Foreign Intelligence Surveillance Act (FISA) de 2008, qui autorise les services de renseignement américains à adresser à un fournisseur de services de communications électroniques des directives écrites lui imposant de procurer immédiatement au gouvernement toute information ayant pour objet d’obtenir des renseignements (métadonnées et données de contenu) se rapportant à des personnes étrangères susceptibles de menacer la sécurité des EtatsUnis ; de l’Executive Order n°12333 de 1981, qui permet aux services de renseignement américains d’accéder à des données « en transit » vers les Etats-Unis, notamment aux câbles sous-marins posés sur le plancher de l’Atlantique, ainsi que de recueillir et de conserver ces données. Le « Privacy Shield » ne fournissait pas de voie de contestation devant un organe offrant aux citoyens européens, dont les données sont transférées vers les EtatsUnis, des garanties substantiellement équivalentes à celles requises par l’article 47 de la Charte des droits fondamentaux de l’UE consacrant le droit à un recours effectif (6). Pour répondre aux attentes du droit de l’UE, l’EO n°14086 de Biden instaure des principes devant guider les services de renseignement américains lorsqu’ils traitent de données à caractère personnel. A cet égard, les services de renseignement doivent : respecter la vie privée et les libertés civiles indépendamment du lieu de résidence et de la nationalité des personnes dont les données sont collectées (en particulier, cette collecte ne pourra être opérée qu’à condition d’être « nécessaire » et « proportionnée » à la priorité en matière de renseignement alléguée) ; poursuivre des objectifs limitativement définis par l’EO, comme la protection contre le terrorisme ou l’espionnage, et s’écarter, en toute hypothèse, de ceux expressément exclus tels que l’entrave à la liberté d’expression. L’Executive Order de Biden L’EO de Biden prévoit, en outre, un mécanisme de recours à double niveau. En premier lieu, les citoyens européens pourront saisir, par l’intermédiaire d’une autorité publique désignée à cet effet, l’officier de protection des libertés publiques – Civil Liberties Protection Officer (CLPO) – d’une plainte. Ce dernier adoptera alors, s’il estime que les garanties conférées par l’EO n’ont pas été respectées, les mesures correctives appropriées comme la suppression des données illicitement récoltées. En second lieu, un appel de la décision du CLPO pourra être interjeté devant la Cour de révision de la protection des données – Data Protection Review Court (DPRC) – spécialement créée par l’EO. Elle sera composée de membres nommés en dehors du gouvernement américain et ayant une certaine expérience juridique en matière de données à caractère personnel et de sécurité nationale. La décision de cette Cour sera rendue en dernière instance et revêtue d’un caractère contraignant. Des frictions avec le droit de l’UE Les points persistants de friction avec le droit de l’UE qui sont mis en avant par ceux qui sont hostiles à l’adoption du DPF sont les suivants : La collecte « en vrac » de données à caractère personnel, bien qu’encadrée par l’EO de Biden, n’est pas entièrement prohibée et ne nécessite pas une autorisation préalable indépendante. Le recours à cette méthode peut poser une sérieuse difficulté de compatibilité avec le droit de l’UE. En effet, la CJUE voit dans la collecte généralisée et non différenciée des données une incompatibilité avec le principe de proportionnalité (7), à tout le moins lorsqu’une telle collecte ne fait l’objet d’aucune surveillance judiciaire et n’est pas précisément et clairement encadrée (8). Or, cet encadrement pourrait, au cas présent, faire défaut dans la mesure où il est très largement extensible par la seule volonté du Président américain qui est habilité par l’EO à modifier, secrètement, la liste des motifs sur le fondement desquels il peut être recouru à cette technique de surveillance (9). Il n’est pas acquis, faute de définition dans l’EO, que les caractères « nécessaire » et « proportionné » des collectes de données aient la même signification que celle – exigeante – prévalant en droit européen. L’indépendance des organes de recours peut être mise en doute, bien que le système instauré par l’EO comprenne des garanties supérieures à celles antérieurement attachées au médiateur – l’Ombudsperson – du Privacy Shield. En particulier, le CLPO et la DPRC sont organiquement rattachés au pouvoir exécutif américain, n’appartiennent pas organiquement au pouvoir judiciaire et pourraient alors ne pas pouvoir être qualifiés de tribunal au sens de l’article 47 de la Charte des droits fondamentaux de l’UE. L’EO institue toutefois des garanties fonctionnelles d’indépendance à ces deux instances. Ainsi, le directeur du renseignement national ne pourra pas intervenir dans l’examen d’une plainte déposée auprès du CLPO et il lui est interdit de révoquer ce dernier pour toute mesure prise en application de l’EO. Quant à la DPRC, ses membres – qualifiés de juges – ne pourront pas recevoir d’instructions du pouvoir exécutif, ni être limogés à raison des décisions qu’ils prendront. A cet égard, on peut s’interroger mutatis mutandis sur la portée de certaines des garanties apportées par le droit des Etats membres en matière de contrôle des activités de surveillance. L’équilibre n’est pas simple à trouver, mais, s’agissant de la France, le caractère secret de la procédure de contrôle devant le Conseil d’Etat suscite à tout le moins des interrogations. Enfin, d’autres règlementations américaines comme le Cloud Act – régissant la communication de données dans le cadre d’enquêtes judiciaires – n’entrent pas dans le champ de l’EO. Leur application, qui n’est donc pas tempérée par les garanties instituées par ce dernier, pourrait se révéler incompatible avec le niveau de protection des données à caractère personnel en droit de l’UE. Il y a lieu toutefois de souligner que les dispositions du Cloud Act s’inscrivent dans le cadre de l’activité judiciaire des autorités américaines (poursuites et répression des infractions pénales et administratives), qui doit être clairement distinguée des activités de renseignement. Le Cloud Act offre en pratique des garanties qui n’ont rien à envier à celles du droit de l’UE et du droit des Etats membres (10).Ces points de vigilance, non-exhaustifs, devront être scrutés avec attention tout au long de l’examen du processus d’adoption de la décision d’adéquation. Après le CEPD et le Parlement européen, c’est au tour du comité composé des représentants des Etats membres de l’UE d’émettre prochainement un avis sur le projet de la Commission européenne. A supposer qu’il y soit favorable à la majorité qualifiée de ses membres, la décision d’adéquation pourra alors être adoptée. Si la Commission européenne s’est initialement affichée plutôt confiante sur l’avènement du DPF (11), celui-ci pourrait évidemment se retrouver grippé par une contestation de la décision d’adéquation devant le juge européen qui a déjà été annoncée par ses adversaires. En cas de succès de ce recours, l’avenir serait alors bien incertain dans la mesure où les Etats-Unis semblent être arrivés au bout de ce qu’ils sont prêts à concéder pour parvenir à un accord transatlantique sur le transfert des données qui ne se fera pas au prix d’un affaiblissement de la conception qu’ils se font de leur sécurité nationale. Vers une 3e annulation par la CJUE ? Il est peu de dire qu’une éventuelle annulation par la CJUE de la future troisième décision d’adéquation après celles relatives aux « Safe Harbor » (décision « Schrems I » de 2015) et au « Privacy Shield » (décision « Schrems II » de 2020), cristalliserait, de part et d’autre de l’Atlantique, des positions politiques et juridiques certainement irréconciliables. Surtout, cela prolongerait la situation d’incertitude juridique dans laquelle sont plongés les acteurs économiques qui peuvent se voir infliger de lourdes sanctions en cas de transferts transatlantiques irréguliers de données, à l’image de la société Meta condamnée, le 12 mai 2023, à une amende record de 1,2 milliard d’euros par le régulateur irlandais. @

Le chinois TikTok fait une percée sur le marché français de la publicité dominée par les Gafam

Publié le par
Alors que les acteurs européens de la publicité digitale en France ne pèsent que 20 % du marché français, face notamment à la domination américaine des Google, Meta (Facebook) et autres Amazon, la « progression fulgurante » du chinois TikTok pourrait accroître encore le poids des non-européens. « TikTok fait au premier semestre 2022 une progression fulgurante, qui représente deux tiers de la croissance de la publicité en ligne sur les réseaux sociaux », a souligné Sylvia Tassan Toffola (photo), présidente du SRI, le syndicat français des régies Internet, lors de la présentation le 12 juillet de son Observatoire de l’e-pub. La filiale du groupe chinois ByteDance profite en France comme ailleurs de la croissance exponentielle des vidéos de courte durée sur les réseaux sociaux. TikTok en est un précurseur dans le monde, Instagram, Snap et YouTube ayant par la suite adopté des formats similaires. TikTok : haro sur Google, Meta et Amazon Résultat, sur l’Hexagone, TikTok contribue largement à la plus forte croissance qu’enregistre la publicité sur les réseaux sociaux (le « Social », dans le jargon des professionnels de la publicité digitale), à savoir + 27 % sur les six premiers mois de l’année par rapport au semestre de l’année précédente, pour atteindre plus de 1,2 milliard d’euros. Selon Médiamétrie, TikTok en France arrive en 23e position en termes d’audience mensuelle avec plus de 18,2 millions de visiteurs uniques par mois (sur mai 2022, dont les chiffres ont été publiés fin juin). Ainsi, le chinois TikTok vient perturber la domination des géants du Net américains – dont « le trio Google-Meta-Amazon (GMA) » qui représente encore les deux tiers (66 %) du marché global de la publicité en ligne en France. Tandis que les acteurs européens pèsent moins d’un quart (20 %). Ce trio GMA prend en compte Alphabet (Google, YouTube), Meta (Facebook, Instagram, WhatsApp), Amazon (dont Twitch), mais pas Apple ni Microsoft. TikTok pourrait jouer les trouble-fête si sa croissance se poursuit à ce rythme. La filiale de ByteDance (1) grignote des parts de marché « Social » à ses principaux concurrents que sont Meta, Twitter, Pinterest et LinkedIn (Microsoft). TikTok participe aussi, de près ou de loin, au « léger recul » du trio Google-Meta-Amazon, dont la part de marché en France passe de 68 % à 66 % – « du fait d’un ralentissement de leur croissance » (+16 % versus + 27 % entre 2021 et 2020). Mais ce triumvirat a généré à lui seul au premier semestre 2022 un chiffre d’affaires publicitaire de plus de 2,8 milliards d’euros. Selon l’Observatoire de l’e-pub, réalisé par le cabinet OliverWyman pour le SRI en partenariat avec l’Udecam (2), Meta accuse un ralentissement de sa croissance et sa part de marché « Social » s’est érodée. Un rééquilibrage entre les trois dominants Google-Meta-Amazon et les autres acteurs qui ne font pas partie du GMA est en tain de se faire, mais principalement en faveur de TikTok : les GMA ont progressé en six mois de « seulement » 16 % pendant que les non-GMA ont fait mieux avec une augmentation de leurs revenus de 16 %. « Les dynamiques de croissance montrent une forme de rééquilibre. Mais dans ce + 26 % de hausse des non-GMA, il y a bien évidemment la progression d’acteurs du “Social” comme TikTok », constate Sylvia Tassan Toffola, par ailleurs directrice générale de TF1 Publicité (dont la maison mère veut fusionner avec M6). La montée en puissance du chinois en France risque d’accroître le poids des acteurs non-européens – déjà massif avec 80 % de parts de marché – face aux acteurs européens (dont la maison mère est située en Europe) cantonnés actuellement à 20 %. « Là, c’est vrai, c’est un peu préoccupant puisque le poids des Européens a perdu 3 pourcents, passant de 23 % du marché français au premier semestre 2021 à 20 % au premier semestre de cette année, s’est inquiétée Sylvia Tassan Toffola. Mon message, il est le suivant : dans les périodes de crise, vous, agences, annonceurs, vous devez faire des choix, et des choix d’efficience [notamment en faveur de] la proposition de valeur des membres du SRI pour relever vos propres défis ». Selon les prévisions du cabinet OliverWyman, la croissance du marché français de l’e-pub devrait ralentir au second semestre 2022 pour aboutir à une hausse d’environ 14 % sur l’ensemble de l’année, à 8,8 milliards d’euros. Europe : la filiale de ByteDance contrariée En Europe, où il compte 100 millions d’utilisateurs, TikTok est aussi en pleine croissance publicitaire. Mais le chinois rencontre quelques difficultés. « Sa stratégie de croissance largement centrée sur le e-commerce (3) a ralenti en Europe, à la suite de la performance décevante des outils comme TikTok Shopping en test au Royaume-Unis », relève l’étude OliverWyman. Par ailleurs, le 12 juillet dernier, un porte-parole de la « Cnil » irlandaise – la DPC (4) – a annoncé au site américain TechCrunch que TikTok mettait « sur pause » une mise à jour controversée de ses règles de confidentialité (privacy policy) et de ciblage publicitaire (5) qui devaient entrer en vigueur le 13 juillet. Ce qu’a aussitôt confirmé TikTok (6). La « Cnil » italienne avait, elle, été la première à « avertir formellement » (7) la filiale de ByteDance. @

Charles de Laubier