Archives par mot-clé : Europe

Le marché unique du numérique et de ses données fait face à un foisonnement de textes législatifs

Publié le par

Les acteurs du numérique et de la data en Europe ne sont pas au bout de leur peine. Le marché est peut-être unique, mais la législation – en vigueur et à venir – est multiple. La mise en œuvre pratique des textes, souvent imbriqués, est complexe et peu intelligible. Petit aperçu de ce labyrinthe.

Si l’Union européenne (UE) a déjà pris plusieurs mesures depuis 2014 afin de faciliter le développement d’une économie des données (1), elle entend, dans le cadre de sa stratégie pour les données et des objectifs fixés pour la « décennie numérique » (2), compléter les textes existants afin de créer de nouveaux droits et obligations destinés à favoriser l’accès et le partage des données, le développement des technologies et la souveraineté numérique. D’où le foisonnement de textes législatifs qui vont bouleverser considérablement l’écosystème de l’économie numérique et des données.

Chantier de la « décennie numérique »
Les principaux acteurs concernés (notamment les fabricants d’objets connectés, les fournisseurs de services d’intermédiation de données et les prestataires de cloud) devront tenir compte de ces nouvelles obligations et anticiper leur entrée en application dans la conception de leurs solutions et de leurs produits, ainsi qu’au sein de leur documentation contractuelle. Pas si simple. Tour d’horizon de ces nouveaux textes :
• Data Governance Act (DGA). Ce règlement sur la gouvernance des données (3) a été adopté le 30 mai 2022 et entrera en application à partir du 24 septembre 2023, avec pour objectif de favoriser la disponibilité des données, de renforcer les mécanismes de partage et d’augmenter la confiance dans les intermédiaires de données. Ainsi, le DGA adresse trois grandes thématiques : conditions d’accès et de réutilisation des « données protégées » détenues par des organismes publics ; régulation des fournisseurs de services d’intermédiation de données ; régulation de l’utilisation altruiste des données. Sur le premier point, le DGA vient compléter la directive « Open Data » de 2019, mais ne crée pas d’obligation de mise à disposition pour les organismes publics (4). Il vient encadrer les réutilisations qui peuvent être faites de ces données protégées en veillant (5) à les préserver (6). Concernant les deux autres points, le DGA crée deux régimes spécifiques et dédiés pour les services d’intermédiation de données (7) et les organisations altruistes en matière de données (8). Les services d’intermédiation de données (data marketplaces ou data pool par exemple) seront soumis à une notification auprès d’une autorité compétente préalablement à tout début d’activité et auront notamment l’obligation de fournir les services selon des conditions équitables, transparentes et non-discriminatoires, de prendre des mesures pour assurer l’interopérabilité avec d’autres services d’intermédiation de données, de mettre en place des mesures de sécurité appropriées pour empêcher l’accès et le transfert illicite de données non-personnelles. Ils devront également notifier aux détenteurs de données en cas d’accès, de transfert ou d’utilisation non-autorisés aux données non-personnelles partagées. De leur côté, les organisations altruistes se verront notamment imposer la tenue d’un registre des utilisations des données, la publication d’un rapport annuel d’activité, des obligations de transparence vis-à-vis des personnes concernées ou des détenteurs de données (objectifs d’intérêt général, finalités des traitements) et de sécurisation des données non-personnelles.
Le DGA crée enfin un régime restrictif de transfert des données non-personnelles hors-UE similaire au régime prévu par le RGPD.
• Data Act (DA). Ce projet de règlement sur les données (9) a été soumis par la Commission européenne le 23 février 2022. Un objectif d’adoption ambitieux a été fixé à mi-2023, pour une entrée en application douze mois après son adoption. Il s’agit de faciliter l’accès aux données et leur utilisation, de favoriser leur portabilité, d’améliorer l’interopérabilité des solutions et infrastructures et enfin de favoriser la création de valeur autour de la donnée. Sont notamment impactés : les fabricants et distributeurs d’objets connectés et les fournisseurs de services connexes basés sur l’utilisation de données générées par ces objets, tout détenteur et destinataire de données, les prestataires et utilisateurs de services cloud (IaaS, PaaS, SaaS) ou encore les opérateurs de data spaces.

Portabilité des données et services de cloud Le DA prévoit notamment des obligations pour les fabricants ou distributeurs d’objets connectés qui viennent compléter les obligations d’information et de portabilité prévues par le RGPD, comme l’obligation d’informer leurs utilisateurs sur les données générées par l’usage des objets et les conditions d’accès et de partage de telles données, ainsi qu’une obligation de mise à disposition gratuite et prompte (le cas échéant en temps réel et continu) des données générées par des objets connectés à leurs utilisateurs ou à un tiers à la demande de l’utilisateur, et ce dans des conditions équitables, raisonnables, transparentes, non-discriminatoires et non-exclusives. Ces obligations sont complétées par des interdictions (par exemple des clauses restreignant les droits des utilisateurs d’objets ou des clauses abusives imposées aux petites et moyennes entreprises). Objets connectés, dossiers médicaux, … Le Data Act impose par ailleurs une série d’obligations aux prestataires de services cloud en matière de migration de données et d’interopérabilité (par exemple supprimer les obstacles commerciaux, techniques et contractuels empêchant le client de porter ses données, applications ou autres actifs numériques vers d‘autres prestataires ; assurer une période transitoire de migration de 30 jours avec assistance ; ou encore assurer la compatibilité de ses services avec les normes d’interopérabilité de la Commission européenne).
• European Health Data Space (EHDS). La proposition de règlement sur l’espace européen des données de santé (10) a été soumise par la Commission européenne le 3 mai 2022. L’UE entend adopter ce texte d’ici 2025, pour une entrée en application douze mois après sa publication. L’objectif est triple : établir les règles régissant l’espace européen des données de santé afin d’améliorer et garantir aux personnes physiques un accès sûr à leurs propres données de santé et un contrôle sur ces données dans le contexte des soins de santé (dite « utilisation primaire ») ; améliorer le fonctionnement du marché unique pour la mise au point et l’utilisation de produits et services de santé innovants fondés sur des données de santé, et veiller à ce que les chercheurs et les entreprises innovantes puissent tirer le meilleur parti des données de santé disponibles pour leurs travaux (dite « utilisation secondaire ») ; établir un cadre juridique uniforme pour le développement, la commercialisation et l’utilisation des systèmes de dossiers médicaux électroniques (DME). Dans le cadre de l’utilisation primaire des données, les citoyens de l’UE auront à leur disposition des droits et mécanismes supplémentaires complétant leurs droits existants au titre du RGPD sur leurs données de santé électroniques.
Concernant l’utilisation secondaire, le projet de règlement EHDS vient encadrer avec précision les pratiques des chercheurs et acteurs de l’industrie de santé (par exemple : limitation des catégories de données pouvant être utilisées, encadrement des finalités autorisées) et leur imposer des obligations (sécurité des solutions utilisées, transparence sur le calcul des redevances générées par l’utilisation secondaire).
• Artificial Intelligence Act (AIA). Cette proposition de règlement sur l’intelligence artificielle (11) a été soumise le 21 avril 2021 par la Commission européenne. L’adoption de ce texte est pressentie à horizon 2024, pour une entrée en application entre 18 et 24 mois après son adoption. Le texte vise à créer les conditions propices au développement et à l’utilisation d’une IA de pointe, éthique, sûre et digne de confiance dans l’UE. Pour se faire, l’approche est technologiquement neutre et le texte met en place des règles impératives, applicables de façon proportionnée en fonction des risques que présentent les systèmes d’IA concernés. Ainsi, les IA présentant un risque inacceptable pour les personnes sont interdites ; celles présentant un haut risque se voient imposer un certain nombre d’obligations; celles présentant un risque faible sont soumises à des obligations de transparence et d’information vis-à-vis des utilisateurs ; et enfin celles présentant un risque résiduel ne sont pas soumises au projet de règlement AIA, mais régulées par l’adoption volontaire de code de conduite et/ou de charte éthique (12).
• Digital Services Act (DSA) et Digital Markets Act (DMA). Un accord politique a été conclu sur le DMA (13) le 24 mars 2022 et sur le DSA (14) le 23 avril 2022, suivi d’un vote final au Parlement européen le 5 juillet dernier. Une fois adoptés respectivement en juillet et en septembre 2022, le DMA entrera en application six mois après l’entrée en vigueur, et le DSA quinze mois après l’entrée en vigueur ou à partir du 1er janvier 2024, la date la plus tardive étant retenue (15).
• Modifications de textes existants. Plusieurs autres textes sont également en cours de révision. La directive NIS (16) est modifiée par le projet de directive NIS2, dont le champ d’application a été considérablement élargi, puisqu’il vise désormais à réguler beaucoup plus d’organisations et entreprises et qu’il renforce les obligations à la charge des acteurs concernés en imposant notamment des obligations renforcées en termes de gestion des risques, de notification des incidents et de divulgation des vulnérabilités (17). La directive Machines (18) devient un projet de règlement Machines (19), visant principalement une numérisation de la documentation en la matière (instructions d’utilisation et déclaration) et la mise en place d’évaluations de conformité (pour certaines catégories de produits). De son côté, la directive ePrivacy (21), transformée en projet de règlement ePrivacy peine à voir le jour depuis la publication de sa première version en janvier 2017. De nombreux points restent encore et toujours en débat, notamment sur le régime applicable au dépôt de cookies et à la prospection commerciale.

Imbrication des textes parfois peu intelligible
Ces textes sont ambitieux et mêlent approche globale et sectorielle. Il en résulte une imbrication parfois peu intelligible des différents mécanismes et obligations pesant sur les acteurs qui multiplient souvent de nombreuses casquettes et entrent donc simultanément dans les champs d’application de plusieurs de ces textes. Bien qu’il soit louable de vouloir emboîter le pas au développement exponentiel de la valeur des données et du numérique, on peut s’interroger sur l’efficacité d’une telle multiplication de textes qui entraîne malheureusement la publication de textes peu aboutis, péniblement interopérables, voire difficilement transposables à la pratique des industries qu’ils visent. @

DSA et DMA : deux épées de Damoclès sur les Gafam

Publié le par

En fait. Le 5 juillet, le Parlement européen a procédé au vote final des deux textes législatifs européens sur respectivement les services numériques (DSA) adopté par 539 voix pour (54 contre/30 abstentions) et les marchés numériques (DMA) adopté par 588 voix pour (11 contre/31 abstentions). Ce que risquent les Gafam.

En clair. Maintenant que le Parlement européen, réuni à Strasbourg, a adopté par deux votes finaux le 5 juillet 2022 les deux piliers de la nouvelle régulation d’Internet et de l’économie numérique, il reste encore l’approbation officielle du Conseil de l’Union européenne (UE) qui interviendra courant juillet pour le DMA (Digital Markets Act) et en septembre pour le DSA (Digital Services Act). Pour autant, ces deux textes législatifs n’entreront pleinement en application que bien plus tard : le DSA quinze mois après son entrée en vigueur ou à partir du 1er janvier 2024, la date la plus tardive étant retenue (1) ; le DMA six mois après son entrée en vigueur (2). Ce point de départ de « l’entrée en vigueur » correspond au vingtième jour suivant celui de sa publication au Journal officiel de l’UE (JOUE).
« Toutefois », précisent les deux règlements, des articles sont applicables dès cette entrée en vigueur : pour le DSA les rapports de transparence incombant aux fournisseurs de plateformes en ligne, et des dispositions concernant les très grandes plateformes en ligne aux « risques systémiques » ; pour le DMA les obligations incombant aux contrôleurs d’accès (gatekeepers) et celles concernant l’interopérabilité des services de messageries sur Internet (3). Les moteurs de recherche, les réseaux sociaux, les plateformes de e-commerce et les places de marché sont les premiers concernés par ce nouvel arsenal. De par les sanctions qu’ils prévoient en cas d’infraction, ces textes européens – uniques au monde – constituent deux épées de Damoclès au-dessus des têtes des géants du numérique, américains (Gafam) ou asiatique (Alibaba, TikTok et autres Huawei). Si un gatekeeper enfreint le DMA, il encourt une amende pouvant atteindre 10 % de son chiffre d’affaires mondial annuel, voire 20 % en cas de récidive.
Si un « fournisseur de services intermédiaire » se retrouve en infraction avec les obligations du DSA, il peut se voir infliger une amende représentant jusqu’à 6 % de son chiffre d’affaires mondial annuel. Et il risque une sanction pécuniaire jusqu’à 1% de ses revenus ou de son chiffre d’affaires mondial en cas de « fourniture d’informations inexactes, incomplètes ou dénaturées », d’absence de réponse ou encore de « manque-ment à l’obligation de se soumettre à une inspection ». Boîtes noires, algorithmes, intelligence artificielle et autres ciblages publicitaires sont tenus à la transparence. @

Souveraineté numérique : l’Europe en quête de fonds

Publié le par

En fait. Les 21 et 22 juin, s’est tenue l’Assemblée numérique (Digital Assembly) qui est organisée chaque année – depuis juin 2011 – par la Commission européenne et la présidence de l’Union européenne. Cette année, sous présidence française (1er semestre 2022), ce rendez-vous s’est déroulé à Toulouse et en ligne. Et après ?

En clair. C’est la première fois que Bruno le Maire intervenait publiquement (en vidéo préenregistrée cependant) en tant que ministre de l’Economie, des Finances et de la Souveraineté industrielle et numérique (sa nouvelle dénomination depuis le 20 mai). C’est aussi la dernière fois que le locataire de Bercy depuis plus de cinq ans prononçait un discours sous la présidence française de l’Union européenne qui s’achève le 30 juin pour passer le relais semestriel à la Tchéquie. « Chers représentant de l’écosystème numérique européen… », a-t-il commencé en guise d’ouverture de l’Assemblée numérique (Digital Assembly) qui s’est tenue les 21 et 22 juin.
Ce rendez-vous annuel, organisé depuis plus de dix ans maintenant (1) (la première édition a eu lieu en juin 2011) par la Commission européenne et la présidence de l’Union européenne (UE), fut, selon lui, « l’occasion de poser la question de l’avenir numérique de notre Continent » car « la souveraineté numérique de l’Europe est stratégique (…) et doit reposer sur quatre grands principes : l’innovation, la régulation, la protection et la résilience ». Face aux GAFAM américains que les Vingt-sept ont tendance depuis des années à accuser de les avoir « colonisés » (2) et les BATX chinois en embuscades malgré les contraintes imposées par Pékin, l’Europe entend notamment « faire grandir [ses] champions » : « Il ne peut pas y avoir de souveraineté numérique sans entreprises de technologie européennes, puissantes de rang mondial », prévient le locataire de Bercy. Cela suppose, a-t-il rappelé, de « financer la croissance de [ces] entreprises », notamment par le biais du plan « Scale-up Europe » lancé en mars 2021 par Emmanuel Macron en lien avec la Commission européenne et les autres Etats membres. Objectif : « Créer plus de dix géants technologiques valorisés à plus de 100 milliards d’euros au sein de l’Union européenne avant 2030 » (3). L’Europe manquant de fonds de taille suffisante pour financer des start-up en phase de croissance et les investisseurs institutionnels étant plus frileux vis-à-vis d’elles, l’idée est, a expliqué Bruno le Maire, de « faire émerger dix à vingt fonds de plus de 1 milliard d’euros [chacun, ndlr] capables de rivaliser avec nos concurrents américains ou asiatiques ». Et d’annoncer devant l’écosystème numérique européen de la Digital Assembly : « Le financement, c’est la clé. Ce projet a déjà reçu le soutien de 22 Etats membres ». @

« Facebook, Google & Big Telecoms veulent continuer à violer la neutralité du Net en Europe… »

Publié le par

« … Les régulateurs devraient les arrêter ». C’est l’alerte lancée par Barbara van Schewick, professeure de droit de l’Internet à la Stanford Law School aux Etats-Unis. Pour cette juriste allemande, les régulateurs des télécoms européens – du Berec – doivent préserver la neutralité de l’Internet.

L’organe des régulateurs européens des télécoms, appelé en anglais le Berec (1), s’est réuni du 8 au 10 juin à Chypre pour se mettre d’accord sur une mise à jour des lignes directrices sur « l’Internet ouvert » – alias la neutralité de l’Internet. Les précédentes avaient été publiées le 30 août 2016. Depuis, un arrêt de la Cour de justice de l’Union européenne (CJUE), daté du 15 septembre 2020, avait jeté un pavé dans la mare en déclarant contraire à la neutralité de l’Internet – donc illégale – la pratique du « trafic gratuit ».

Fort lobbying des Gafam et des telcos
Appelé aussi zero-rating, cet avantage consiste pour un opérateur télécoms à ne pas décompter dans son forfait mobile les données consommées par l’internaute pour un service « partenaire ». Le problème est qu’en « favorisant » tel ou tel service, l’opérateur mobile le fait au détriment des autres applications concurrentes. Facebook/ Instagram/WhatsApp, Google/YouTube, Netflix, Spotify, Apple Music, Deezer, Twitter ou encore Viber profitent du dispositif qui incite implicitement les abonnés mobiles à les utiliser en priorité puisqu’ils ne sont pas décomptés du crédit de données lié à leur forfait. Dans son arrêt de 2020, la CJUE épinglait ainsi le norvégien Telenor en Hongrie (2). Plus récemment, dans un autre arrêt daté du 2 septembre 2021, la CJUE s’en est prise cette fois à Vodafone et de TMobile en Allemagne pour leurs options à « tarif nul » contraires à l’Internet ouvert (3).
Ce favoritisme applicatif était identifié depuis près de dix ans, mais les régulateurs européens n’y ont pas mis le holà. Les « telcos » font ainsi deux poids-deux mesures : des applications gratuites et attrayantes face à d’autres payantes et donc moins utilisées. « Nous sommes réticents à la sacralisation du zero-rating qui, par définition, pousse les consommateurs de smartphones à s’orienter vers un service – généralement le leader capable de payer le plus – au détriment de ses concurrents, au risque de les faire disparaître », avait déclaré au Monde en 2016 l’association de consommateurs UFC-Que choisir (4). Plus de six ans après l’adoption par les eurodéputés du règlement européen « Internet ouvert » (5), les inquiétudes demeurent. « Des plans de gratuité discriminatoires tels que StreamOn de T-Mobile et le Pass de Vodafone violent la loi européenne sur la neutralité du Net », a dénoncé le 30 mai dernier Barbara van Schewick (photo), professeure de droit de l’Internet à la Stanford Law School aux Etats-Unis. Dans un plaidoyer publié par le CIS (Center for Internet and Society) qu’elle dirige dans cette faculté américaine (6), l’informaticienne et juriste allemande fustige « ces stratagèmes discriminatoires [qui] favorisent presque invariablement les propres services de l’opérateur ou ceux de plateformes géantes comme Facebook et YouTube ». Elle appelle le Berec à contrecarrer ces pratiques en les proscrivant clairement dans les prochaines lignes directrices révisées sur l’Internet ouvert. « Ce que décide le Berec aura un impact sur des millions d’Européens et, s’il fait les choses correctement, cela augmentera la quantité de données que les gens obtiennent chaque mois, tout en rétablissant la concurrence en ligne », espère Barbara van Schewick. Mais l’Organe des régulateurs européens des communications électroniques, basé à Bruxelles, subit de fortes pressions des lobbies des Gafam et des telcos « pour laisser des échappatoires afin que la gratuité discriminatoire puisse continuer ». Or, dénonce-t-elle, « cette pratique injuste cimente le pouvoir de marché des plateformes dominantes ».
Cette concurrence déloyale se fait aussi dans la musique en ligne et la SVOD. La professeure de droit de l’Internet cite le cas d’une start-up américaine lancée il y a dix ans, Audiomack. Après avoir examiné 34 programmes de zerorating pour les applications de musique en Europe, où cette plateforme musicale voulait de lancer, elle n’a pas eu d’offres ou de réponses de la part de 25 opérateurs télécoms. « Après dix mois de travail, elle a été incluse dans 3 programmes. Pendant ce temps, Apple Music était présent dans 26 et Spotify dans 23 », relate Barbara van Schewick.

Que le « trafic nul » soit bien interdit
Et d’après une étude d’Epicenter.works publiée en 2019, WhatsApp et Facebook, du groupe Meta, suivis par le français Deezer, sont les applications les plus « détaxées » parmi les 186 plans de trafic gratuit recensés (7). La professeure du CIS espère en tout cas que le Berec confirmera ce qu’il a déjà prévu d’indiquer dans les prochaines lignes directrices : à savoir que le trafic gratuit viole la neutralité du Net. C’est net et clair dans le projet de guidelines de mars dernier (8). Mais la professeure espère que toutes ces pratiques seront in fine clairement interdites, noir sur blanc, afin que les opérateurs télécoms ne puissent pas contourner l’obstacle. @

Charles de Laubier

Livre : l’Arcep veut ménager libraires et Amazon

Publié le par

En fait. Le 27 mai, se termine la consultation publique de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) sur sa proposition de « tarif minimum » pour la livraison de livres vendus en e-commerce. Fini les 0,01 euro TTC d’Amazon ? Pas vraiment.

En clair. Etant déjà régulateur des télécoms et, depuis octobre 2019, de la distribution de la presse, l’Arcep est en plus depuis décembre 2021 celui des tarifs d’expédition des livres. A ce titre, elle va proposer aux ministres de la Culture et de l’Economie « un montant minimal de tarification » de livraison du livre qui sera rendu obligatoire par arrêté aux plateformes de e-commerce – Amazon en tête – et aux librairies.
Le but de la loi « Economie du livre » du 30 décembre 2021 (1) à l’origine de ce projet est d’empêcher la pratique de livraison de livres à 0,01 euro TTC, initiée par le géant américain du e-commerce, avec lequel les librairies physiques ne peuvent rivaliser. Dans sa proposition de « tarif minimum pour la livraison des livres » soumise à consultation publique jusqu’au 27 mai (2), l’Arcep ménage la chèvre (Amazon) et le chou (le libraire) en avançant deux prix de livraison de livres. Le premier – « le tarif minimum d’expédition des livres neufs » – est proposé à « 3 euros TTC ». Ce qui devrait être accueilli favorablement par les librairies. Le second – « le tarif minimum d’envoi des livres à partir d’un seuil d’achat de livres neufs » – devrait rencontrer en revanche plus d’opposition, étant proposé à « 0,01 euro TTC » à partir d’un seuil « aux alentours de 25 euros d’achat ». Contactée par Edition Multimédi@, la sénatrice (LR) Laure Darcos à l’origine de la loi « Economie du livre » se dit « totalement défavorable à cette proposition ». Selon elle, « le point d’équilibre consisterait, d’une part à fixer un tarif minimal de livraison entre 3 euros et 4,50 euros, d’autre part à fixer le seuil de déclenchement de la quasi-gratuité des frais de port à 50 ou 60 euros ». L’Arcep justifie ce « seuil de quasi-gratuité » par le fait qu’il est déjà pratiqué par les acteurs du e-commerce pour inciter les acheteurs à « commander plus de livres ».
Ces deux tarifs s’appliqueront aussi pour les abonnements de type Amazon Prime ou Fnac+. L’Arcep prévoit en outre 0 euro de frais de port « si le livre est retiré dans un commerce de vente au détail de livres » (3). Le gouvernement pourrait notifier cet été le projet d’arrêté à la Commission européenne. S’il y avait feu vert au bout de trois mois de « statu quo », l’arrêté pourra être publié au J.O. et les vendeurs de livres auront six mois pour se mettre en conformité, soit pas avant 2023. @