Blocage de Russia Today et Sputnik en Europe et en France : rappel des fondements, avant débat au fond

Publié le 11 avril 2022 par Charles de Laubier

RT et Sputnik ne diffusent plus en Europe depuis la décision et le règlement « PESC » du 1er mars. Saisi par RT France d’un recours en annulation de ces actes mais aussi d’un référé pour en suspendre l’exécution, le Tribunal de l’UE a rejeté le 30 mars ce référé. Retour sur ce blocage inédit.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Le 8 mars 2022, soit une semaine après la décision (1) du Conseil de l’Union européenne (UE), RT France avait déposé un recours en annulation de cette décision relevant de la politique étrangère et de sécurité commune (PESC) de l’UE et du règlement afférent (2), auprès du Tribunal de l’UE. La filiale de Russia Today a également déposé une demande en référé pour obtenir le sursis à l’exécution de ces derniers. Cette dernière demande a été refusée le 30 mars par le président du Tribunal, en raison de l’absence de caractère urgent.

La procédure au fond est accélérée
Selon l’ordonnance de rejet, RT France n’a pas suffisamment démontré l’existence d’un« préjudice grave et irréparable » (3). Le média russe avait fait état d’un préjudice économique et financier, d’une grave atteinte à sa réputation, et plus largement « d’une entrave totale et durable à l’activité d’un service d’information et [le fait] que de tels actes seraient irrémédiables et particulièrement graves au sein de sociétés démocratiques » (4). Quant au recours en annulation des deux actes (non législatifs), il suit son cours. Mais le président du Tribunal a précisé que « compte tenu des circonstances exceptionnelles en cause, le juge du fond a décidé de statuer selon une procédure accélérée » et que « dans l’hypothèse où RT France obtiendrait gain de cause par l’annulation des actes attaqués dans la procédure au fond, le préjudice subi (…) pourra faire l’objet d’une réparation ou une compensation ultérieure » (5). RT France pourra faire appel devant la Cour de justice de l’Union européenne (CJUE) contre l’ordonnance rejetant sa demande en référé. D’après le recours publié le 4 avril au JOUE, les bases légales invoquées par RT France reposent exclusivement sur des articles de la Charte des droits fondamentaux de l’UE. La chaîne estime que les droits de la défense, le respect du contradictoire, la liberté d’expression et d’information, la liberté d’entreprise et le principe de non-discrimination ont été méconnus (6). Compte tenu de ces fondements, les débats porteront certainement sur l’indépendance et le rôle des médias dans une société démocratique.
• Comment en est-on arrivé là ? Dès le 27 février, la présidente de la Commission européenne, Ursula von der Leyen, a annoncé l’interdiction de diffuser les médias russes Russia Today et Sputnik, en raison de l’invasion de l’Ukraine par la Russie. Elle estime en effet que ces médias – contrôlés par le Kremlin – diffusent des messages de propagande continues ciblant les citoyens européens, et menacent ainsi l’ordre et la sécurité de l’UE. Le 1er mars, le Conseil des ministres de l’UE a par conséquent adopté des mesures inédites, ordonnant de suspendre la diffusion et la distribution par tout moyen et sur tous les canaux des contenus provenant de ces médias.
Tous les opérateurs concernés ont immédiatement mis en œuvre le 2 mars 2022 ces mesures qui dérogent de manière inédite aux lois et procédures en la matière, notamment françaises.
• Quels sont les fondements juridiques européens ? Sur la procédure, la décision PESC du 1er mars 2022 se fonde sur l’article 29 du Traité sur l’UE et l’article 215 du Traité sur le fonctionnement de l’UE. Ces deux articles présentent des moyens légaux pour sanctionner financièrement des personnes physiques ou morales, des groupes ou entités non étatiques, dans le cadre de la PESC. Le Conseil de l’UE peut prendre seul des décisions, de manière unanime. Le Parlement, qui est habituellement le colégislateur, en est seulement informé. Par ailleurs, la CJUE est compétente que de manière très limitée lorsque des actes sont adoptés sur cette base. Elle peut notamment être saisie pour contrôler la légalité des décisions prévoyant des mesures restrictives à l’encontre de personnes physiques ou morales (7). Le Conseil de l’UE a recours habituellement à ces dispositions lorsqu’il souhaite stopper des échanges économiques visant à soutenir des groupes armés (8), imposer des restrictions à l’entrée de l’UE ou encore geler les avoirs dans l’UE de personnes étrangères. Bien que le champ de ces actions soit limité, les textes européens offrent par ce biais un pouvoir unilatéral important aux gouvernements – d’où le caractère inédit, l’ampleur et la rapidité des sanctions à l’égard de ces médias russes.

Liberté d’expression et des médias
Sur les droits fondamentaux protégés par l’UE, fondements de la décision PESC du 1er mars, l’UE justifie son action sur la base de l’article 11 de la Charte des droits fondamentaux de l’UE, relatif à « la liberté d’expression et d’information » (9). Ce texte ainsi que les décisions qui en découlent, à l’instar de la décision PESC contre RT et Sputnik, doivent être mis en œuvre et respectés par l’ensemble des Etats membres. En pratique, l’article 11 de la Charte renvoie à « la liberté d’opinion et la liberté de recevoir ou de communiquer des informations ou des idées sans qu’il puisse y avoir ingérence d’autorités publiques et sans considération de frontières ». Et l’article 11 d’ajouter : « La liberté des médias et leur pluralisme sont respectés ». Pour autant, l’exercice de ces libertés peut être limité – par des lois – en raison d’objectifs d’intérêt général et s’il est nécessaire de protéger la sécurité nationale, l’intégrité du territoire ou la sûreté publique, entre autres (10). Comme ces limites doivent respecter le principe de proportionnalité, le Conseil de l’UE justifie sa décision PESC par le respect notamment de la liberté d’entreprise, et précise qu’elle ne modifie pas l’obligation de respecter les constitutions des Etats membres. La protection de l’ordre et de la sécurité de l’UE a donc été centrale dans la motivation des Etats membres à adopter ces mesures exceptionnelles.

Suspensions et blocages exceptionnels
• Quelle mise en œuvre par les Etats membres ?
L’Arcom (ex-CSA), qui est l’autorité publique française de régulation de la communication audiovisuelle et numérique, s’est immédiatement conformée à ces décisions d’urgence et a résilié le 2 mars sa convention avec RT France – Sputnik, lui, n’étant pas conventionné (11), étant diffusé sur Internet. De la même manière, les fournisseurs d’accès à Internet, les réseaux sociaux et les moteurs de recherche ont immédiatement ou très rapidement bloqué l’accès au site en ligne et aux contenus de ces deux médias. On peut aussi se demander si l’application de cette décision par l’Arcom pourrait faire l’objet d’un recours devant un tribunal administratif français. Le Berec, lui, en tant qu’organisation européenne des régulateurs des télécoms, a par ailleurs précisé par le biais de deux communiqués (12) que ces sanctions sont conformes à la régulation européenne sur l’« Internet ouvert ».
La mise en œuvre de ces sanctions européennes est exceptionnelle car elle a été d’application directe et immédiate. En principe, lorsqu’il est question d’interdire la diffusion d’un média étranger sur le territoire français, la loi impose de respecter un certain nombre de conditions. Pour ce qui est de l’interdiction de diffusion et de distribution de RT et de Sputnik en Europe, comme en France, aucune des dispositions légales courantes en la matière n’a été appliquée. Cette décision PESC déroge par conséquent aux modes habituels d’interdiction de diffusion d’un média et de contenus illicites en ligne, et également en matière de blocage de sites Internet. En effet, selon la loi française de 1986 relative à la liberté de communication, la diffusion d’un média en France est en principe libre. Elle est dans certains cas soumise à l’autorisation préalable et à la conclusion d’une convention avec l’Arcom (13). Selon cette même loi et le droit européen (14), un média extra européen peut être rattaché à la compétence d’un Etat membre s’il est transmis principalement par un mode correspondant aux conditions de diffusion satellitaire (notamment par Eutelsat) décrites par les textes, et peut donc être soumis à des droits et obligations en France. Cependant, des raisons impérieuses doivent justifier une limite à l’exercice de cette liberté, notamment la sauvegarde l’ordre public ou la défense nationale (15). En cas de manquement, l’Arcom peut s’adresser – via un courrier de mise en garde – aux opérateurs de réseaux satellitaires et aux services de médias audiovisuels, afin de faire cesser ce manquement. La procédure peut aller ensuite de la mise en demeure de cesser la diffusion du médias audiovisuel (service de télévision notamment) à la saisine du Conseil d’Etat afin qu’il ordonne en référé la cessation de la diffusion de ce média par un opérateur (16). Depuis la loi de 2018 contre la manipulation de l’information, les pouvoirs de l’Arcom ont été étendus et elle peut prononcer la suspension provisoire de la diffusion d’un média et (17), dans certains cas, peut, après mise en demeure, prononcer la sanction de résiliation unilatérale de la convention avec un média extra européen, dès lors qu’il porte atteinte aux intérêts fondamentaux de la nation, notamment par la diffusion de fake news (18). Concernant le blocage des sites Internet en France, en l’occurrence ceux de RT France et de Sputnik, le code pénal et différentes lois, telles que la loi de 2004 pour la confiance dans l’économie numérique (LCEN), prévoient le retrait de contenus illicites, le blocage des sites et leur déférencement (19). Cette loi autorise par exemple l’autorité judiciaire à prescrire toutes mesures propres à prévenir ou à faire cesser un dommage causé par le contenu d’un site web ou un média en ligne (20). Dans des cas plus spécifiques, notamment la provocation à des actes terroristes et l’apologie publique de ces actes, ainsi que la pédopornographie, l’autorité administrative peut demander aux sites web ou autres intermédiaires en ligne de retirer les contenus en question. Concernant le blocage, il est mis en œuvre par les opérateurs télécoms sur la base d’une décision judiciaire ou administrative. Concernant le déréférencement, à savoir demander à un moteur de recherche de supprimer certains résultats de recherche associés à un mot, l’autorité administrative peut également notifier les adresses électroniques des sites en question afin de faire cesser le référencement (21).

Faire face au reproche de censure ?
La France, en donnant son accord à la décision et au règlement PESC, a certainement considéré l’évidence de son application directe et immédiate, par opposition à la législation française inopérante dans un tel cas d’immédiateté. Le secrétaire d’Etat chargé du numérique, Cédric O, a d’ailleurs énoncé le souhait de revoir les règles de régulation – « y compris en ce qui concerne les médias » – dans les situations de conflits (22). Plusieurs voix au sein de l’UE disent aussi vouloir travailler à un nouveau régime horizontal afin de lutter contre la désinformation, conscientes des difficultés en matière de transparence et de concertation que soulève une telle décision. @

* Anne-Marie Pecoraro est avocate spécialisée en droit de la
propriété intellectuelle, des marques, des nouvelles technologies

Le groupe Meta Platforms peut-il vraiment retirer Facebook et Instagram de l’Union européenne ?

Publié le 14 mars 2022 par Charles de Laubier

Dans son rapport annuel, Meta n’exclut pas de supprimer d’Europe ses réseaux sociaux – Facebook, Instagram ou WhatsApp – s’il ne peut pas transférer les données personnelles européennes aux Etats-Unis. Retour sur cette menace qui soulève des questions économiques et juridiques.

Par Arnaud Touati, avocat associé, Hashtag Avocats

La société américaine Meta Platforms a-t-elle le droit et le pouvoir de retirer Facebook et Instagram du marché européen ? Techniquement, elle pourrait retirer Facebook et Instagram du marché européen, notamment des Vingt-sept Etats membres de l’UE. En effet, une société est libre de déterminer son marché et de proposer ou de retirer librement ses services sur le territoire d’un Etat. Cependant, économiquement parlant, le marché européen est considérable pour la firme de Mark Zuckerberg qui en est le PDG et fondateur.

Europe : 25 % des revenus de Meta
Le groupe a annoncé que l’Europe représentait, pour le dernier trimestre 2021, plus de 8,3 milliards de dollars de chiffre d’affaires, soit près du quart du total réalisé par Meta à l’échelle mondiale. De même, le revenu moyen par utilisateur sur Facebook en Europe (Messenger, Instagram et WhatsApp compris) se situe en moyenne à 19,68 dollars sur ce quatrième trimestre 2021, en deuxième position derrière la région « Etats-Unis & Canada » (1). Au total, l’Europe a généré 25% du chiffre d’affaires trimestriel.
De même, si la maison mère Meta Platforms décidait de mettre fin à ses services en Europe, il lui appartiendrait de résoudre la délicate question du sort des données des utilisateurs européens – au nombre de 427 millions à la fin de l’année dernière (2). En effet, Facebook, Messenger, Instagram ou encore WhatsApp ont obtenu de nombreuses données des utilisateurs. Cela impliquerait donc nécessairement de restituer aux utilisateurs toutes leurs données. Dans quelles conditions ? Comment ? La question est ouverte.
Au-delà des questions économiques que soulèverait pour Meta la mise à exécution de sa menace de retirer ses réseaux sociaux, cela poserait également des questions juridiques. Le règlement général sur la protection des données (RGPD), adopté en 2016 par le Parlement européen (3) et en vigueur depuis mai 2018, prévoit l’encadrement des transferts des données à caractère personnel vers des pays tiers. Les dispositions du règlement doivent donc être appliquées, afin que le niveau de protection des personnes physiques garanti par ledit règlement ne soit pas compromis. Peut-il y avoir des passe-droits en matière de RGPD ? (4) Plutôt que de « passe-droit », parlons plutôt de « tempérament », c’est-à-dire de l’assouplissement de certaines dispositions réglementaires dans des hypothèses bien déterminées. Il conviendrait ainsi de dire qu’il n’existe pas a priori de tempérament en matière de RGPD, au vu de l’importance du respect de la protection des données et de l’obligation d’encadrement des transferts de données. Néanmoins, il convient de relativiser cet état de fait. En effet, en France, la Commission nationale de l’informatique et des libertés (Cnil) prévoit une procédure de mise en demeure, dans l’hypothèse où un organisme ne respecterait pas les obligations relatives à l’encadrement des transferts de données. Elle précise qu’une « mise en demeure est une procédure qui intervient après une plainte ou un contrôle et ne constitue pas une sanction » (5). Dans pareille situation, deux issues sont possibles. Si l’organisme se conforme aux dispositions pendant le délai imparti, le transfert des données sera considéré comme légal et conforme. Dans le cas contraire, l’organisme peut se voir attribuer des sanctions, lesquelles sont, pour la majeure partie d’entre elles, pécuniaires. Cependant, cette sanction ne garantit pas le respect postérieur du RGPD, ce qui pourrait donc in fine valoir tempérament implicite, pour peu que ledit organisme ait des capacités financières significatives.
Par ailleurs, les transferts de données vers des pays tiers à l’Union européenne (UE) doivent respecter les principes du RGPD (6). Ainsi, la Commission européenne peut prévoir des décisions d’adéquation avec certains pays lorsqu’elle estime qu’ils assurent « un niveau de protection adéquat » (7). Les transferts de données vers ces pays-là ne nécessitent alors pas d’autorisation spécifique.

Dérogations pour cas particuliers
A l’inverse, lorsqu’un pays n’est pas reconnu comme garantissant une protection adéquate, l’article 46 du RGPD permet au responsable de traitement d’assurer lui-même que les transferts envisagés sont assortis de garanties appropriées, grâce à des clauses contractuelles types, des règles d’entreprise contraignantes, un code de conduite ou un mécanisme de certification. Dans les situations dans lesquelles un pays tiers n’est pas reconnu comme offrant un niveau de protection adéquat et en l’absence de garanties appropriées encadrant ce transfert, le transfert peut néanmoins, par exception, être opéré en vertu des dérogations listées à l’article 49 du RGPD. Tempérament du tempérament : ces dérogations – telles que le consentement explicite, l’exécution d’un contrat ou les motifs d’intérêt public – ne peuvent néanmoins être utilisées que dans des situations particulières et les responsables de traitement doivent, selon la Cnil, « s’efforcer de mettre en place des garanties appropriées et ne doivent recourir à ces exceptions qu’en l’absence de telles garanties » (8).

Marge de manœuvre des « Cnil »
A l’instar de son confrère irlandais, la Data Protection Commission (DPC), la Cnil pourrait-elle décider de modifier ses accords en matière de transfert des données vers les Etats-Unis ? Pour rappel, la DPC a refusé que les données des Européens soient collectées pour être stockées sur des serveurs américains, malgré la possibilité accordée par le RGPD, sous réserve des conditions (9). En effet, l’autorité de contrôle irlandaise considère que la loi américaine FISA (Foreign Intelligence Surveillance Act) est problématique, puisqu’elle autorise expressément la NSA (National Security Agency) à collecter les données de personnes étrangères si elles sont stockées sur des serveurs américains.
A l’origine, le RGPD pose des règles relatives aux autorités de contrôle tenant notamment à leurs indépendance, compétences, missions et pouvoirs (10). Ces autorités ont une large marge de manœuvre. En effet, en France par exemple, la loi « Informatique et Libertés » modifiée dispose que « la [Cnil] est une autorité administrative indépendante » (11), et le règlement européen permet, lui, de réduire la protection des personnes dans des cas particuliers afin de tenir compte des exigences nationales. Ce n’est donc pas parce que l’autorité irlandaise a pris cette décision que la Cnil doit nécessairement suivre la même analyse. Pour autant, dans une affaire concernant Google, la Cnil a conclu, prenant une inflexion similaire à son homologue irlandaise, que, à l’heure actuelle, les transferts de données vers les Etats-Unis ne sont pas suffisamment encadrés : dans une décision du 10 février 2022, elle a en effet mis en demeure un gestionnaire de site de mettre en conformité avec le RGPD ses traitements de données, en retirant Google Analytics si besoin (12). Pour rendre pareille décision, la Cnil se fonde sur l’arrêt « Schrems II » (13) de la Cour de justice de l’Union européenne (CJUE) ayant invalidé en 2020 le « Privacy Shield » (voir encadré ci-dessous).
Toutefois, même si les autorités de contrôle protègent les données personnelles en refusant le transfert des données sur les serveurs américains, une loi américaine datant de 2018 – le Cloud Act (14) – pose problème. En effet, le « Clarifying Lawful Overseas Use of Data Act » est une loi fédérale des Etats-Unis sur l’accès aux données personnelles, notamment opérées dans le nuage informatique. Elle permet aux instances judiciaires américaines d’émettre un mandat de perquisition contraignant les fournisseurs de cloud américains – même si les données sont stockées à l’étranger –, de fournir toutes les données d’un individu, sans qu’aucune autorisation ne soit demandée à la justice du pays dans lequel se situent l’individu ou les données.
Cette loi a été largement critiquée, étant entendu qu’elle se soustrait ainsi au contrôle des autorités réglementaires au sein du territoire de l’UE. Pour limiter, voire éviter une telle situation, la Commission européenne pourrait, à l’avenir, tenter de trouver un accord avec les Etats-Unis, et ainsi assurer la conformité avec le RGPD du transfert des données personnelles outre-Atlantique. En attendant, même si l’entreprise Meta a assuré le 8 février 2022, « n’avoir absolument aucune envie de se retirer de l’Europe, bien sûr que non » (15), la Commission européenne ne contournera pas l’arrêt « Schrems II » ayant annulé le « Privacy Shield », pas plus qu’elle ne l’avait fait pour l’arrêt « Schrems I » de 2015 annulant l’accord antérieur, le « Safe Harbour ». @

FOCUS

« Privacy Shield » : la CJUE peut-elle annuler… son annulation de 2020 ?
La Cour de justice de l’Union européenne (CJUE) pourrait-elle faire machine arrière et revenir sur sa décision d’annuler l’accord entre l’Union européenne (UE) et les Etats-Unis sur la gestion des données personnelles des Européens par les entreprises américaines et certaines autorités américaines ? Cet accord dit « Privacy Shield » était une décision d’adéquation adoptée en 2016 et encadrant les transferts de données vers les Etats- Unis. Ce qui permettait aux entreprises de transférer les données personnelles de citoyens européens aux Etats-Unis sans garanties complémentaires. Il a été annulé par l’arrêt « Schrems II » (16) de la CJUE daté du 16 juillet 2020. La CJUE avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux Etats-Unis, si les transferts n’étaient pas correctement encadrés.
Cet arrêt a donc impliqué le réexamen des transferts de données personnelles à destination des Etats-Unis et la nécessité d’apporter des garanties complémentaires.
La portée de cet arrêt a des conséquences sévères et démontre que, si les Etats-Unis ne respectent pas la protection des données, la CJUE n’acceptera pas d’accords sur ces mêmes termes. Dorénavant, il sera à nouveau possible de négocier un accord entre les Etats-Unis et l’UE si, et seulement si, les Etats-Unis acceptent de se soumettre aux dispositions du RGPD et de modifier leurs lois de surveillance des données risquées. Ce qui permettrait ainsi aux entreprises américaines d’évoluer sur le marché européen. Lors d’une conférence de presse le 23 février, à l’occasion de la présentation du Data Act (lire p. 6 et 7), la commissaire européenne à la Concurrence, Margrethe Vestager, s’est prononcée à ce propos : « Il est hautement prioritaire de conclure un tel accord avec les Américains (…), afin de permettre au milieu des affaires de tirer le meilleur parti des données (…) mais (….) dans des conditions transparentes et sûres » (17). Ainsi, les Etats-Unis et l’UE devront-ils trouver un accord alliant protection des données personnelles des utilisateurs européens et impératifs sécuritaires invoqués par l’administration américaine. @

Prestataires de services sur actifs numériques : la France aiguillonne l’Europe vers plus de régulation

Publié le 28 février 2022 par Charles de Laubier

Craints par les uns (stabilité monétaire, cybersécurité, …) et poussés par les autres (innovation, compétitivité, …), les crypto-actifs s’immiscent dans le capitalisme financier. Mais les acteurs de la régulation veulent combler les lacunes en la matière, notamment vis-à-vis des prestataires.

Par Richard Willemant*, avocat associé, cabinet Féral

Les actifs numériques ont déjà conquis le paysage de la finance, en témoigne l’admission, en ce début février, de tokens sécurisés – en l’occurrence des « titres de dette digitaux » (1) – sur la liste officielle des valeurs mobilières de la Bourse de Luxembourg. Encore peu réglementés, ces actifs numériques impliquent de nombreux risques économiques notamment en matière de stabilité monétaire et de cybersécurité, et ils complexifient la lutte contre le blanchiment de capitaux et le financement du terrorisme, ce que l’on désigne sous le sigle LBC-FT (2).

Contours de la notion de crypto-actifs
Néanmoins, la digitalisation des actifs est une innovation gage de compétitivité, et son encadrement juridique par les institutions traditionnelles doit dès lors veiller à l’accompagner sans la brider, faute de perdre en attractivité. En France, le législateur a, en collaboration avec l’Autorité des marchés financiers (AMF), reconnu dès la loi de 2019 sur la croissance et la transformation des entreprises, loi dite « Pacte » (3), un statut aux prestataires de services sur actifs numériques (PSAN). Le législateur européen prévoit de reprendre très largement cet embryon d’encadrement français et de le renforcer. Lorsque l’objet régulé est en plein essor, une définition positive trop rigide risque de devenir rapidement obsolète. Les contours de la notion d’« actif numérique » ont donc en partie été tracés en négatif.
Le code monétaire et financier (CMF) a ainsi défini le terme d’actif numérique comme étant exclusif de celui d’instrument financier, de bon de caisse et de monnaie, électronique ou non (4). La proposition de règlement européen concernant les marchés de crypto-actifs, connue sous le nom de MiCA (Markets in Crypto-Assets), écarte également les instruments financiers et assimilés et la monnaie électronique de la notion d’actifs numériques. Cette proposition est actuellement en négociation entre le Conseil de l’Union européenne et le Parlement européen (5), et devrait entrer en vigueur en 2022. Des définitions positives larges et ouvertes ont également été prévues. En droit français, les crypto-actifs comprennent les cryptomonnaies, définies dans le CMF comme « toute représentation numérique d’une valeur qui n’est pas émise ou garantie par une banque centrale ou par une autorité publique […] mais qui est acceptée par des personnes physiques ou morales comme un moyen d’échange et qui peut être transférée, stockée ou échangée électroniquement » (6). Les jetons porteurs de droit sont définis, toujours dans le CMF, comme « tout bien incorporel représentant, sous forme numérique, un ou plusieurs droits pouvant être émis, inscrits, conservés ou transférés au moyen d’un dispositif d’enregistrement électronique partagé permettant d’identifier, directement ou indirectement, le propriétaire dudit bien » (7).
Le projet de définition européenne est, lui, plus précis que la définition française. Outre la définition ample d’« une représentation numérique d’une valeur ou de droits pouvant être transférée et stockée de manière électronique, au moyen de la technologie des registres distribués ou d’une technologie similaire », sont distingués trois catégories de crypto actifs :
• Le crypto-actif « se référant à un ou des actifs », qui vise les crypto-actifs tendant à conserver une valeur stable (dit « stablecoin ») et en se référant à la valeur de plusieurs monnaies qui ont cours légal (dit « fiat », du latin « qu’il soit fait », en référence au fait de l’autorité), ou à une ou plusieurs matières premières, ou à un ou plusieurs crypto-actifs, ou à une combinaison de tels actifs.
• Le « jeton de monnaie électronique », qui vise les cryptoactifs « dont l’objet principal est d’être utilisé comme moyen d’échange et qui vise à conserver une valeur stable en se référant à la valeur d’une monnaie fiat qui a cours légal ».
• Le « jeton utilitaire », qui vise les crypto-actifs destinés à fournir un accès numérique à un bien ou à un service, disponible sur le registre distribué DLT (Distributed Ledger Technology), et uniquement accepté par l’émetteur de ce jeton.

Avis ACPR et enregistrement AMF
Les services sur actifs numériques comprennent différentes prestations, variablement risquées et en conséquence différemment encadrées. Parmi les prestataires les plus surveillés, doivent être enregistrés auprès de l’AMF avant de pouvoir exercer leurs activités – dès lors qu’ils sont établis en France ou fournissent ces services en France (8) – ceux qui fournissent des services de conservation pour le compte de tiers d’actifs, des services d’achat ou de vente d’actifs numériques en monnaie ayant cours légal, des services d’échange d’actifs numériques contre d’autres actifs numériques, ou l’exploitation d’une plateforme de négociation d’actifs numériques (9). Cet enregistrement est conditionné à la démonstration par le demandeur de prérequis à l’exercice de son activité, et notamment un avis favorable de l’Autorité de contrôle prudentiel et de résolution (ACPR) sur son dispositif de lutte contre le blanchiment des capitaux et financement du terrorisme.

LBC-FT et protection de l’investisseur
L’AMF a enregistré une trentaine de PSAN (10). Une fois enregistrés, les PSAN sont soumis, sous le contrôle permanent de l’ACPR, aux mêmes obligations de lutte contre le blanchiment que les établissements bancaires ou financiers, à savoir l’évaluation des risques LBC-FT de leur activité, la connaissance des clients et de leurs bénéficiaires effectifs, la coopération avec les services de renseignement et la mise en place des mesures de gel des avoirs. Quant au régime pilote européen en cours d’élaboration avec la proposition de règlement MiCA, il fait également une place de choix à la LBC-FT en prévoyant la possibilité pour les autorités compétentes de chaque Etat membre de retirer l’agrément de l’opérateur si celui-ci commet un manquement à la législation nationale mettant en oeuvre la directive européenne « LBC-FT » de 2015 (11). Plus récemment et dans la même dynamique de LBC-FT, le Conseil de l’UE a arrêté son mandat de négociation avec le Parlement européen sur une proposition visant à actualiser les règles existantes sur les informations accompagnant les transferts de fonds (12). L’objectif est d’imposer aux prestataires de services sur cryptoactifs l’obligation de recueillir et de rendre accessibles des données complètes sur le donneur d’ordre et le bénéficiaire des transferts de crypto-actifs qu’ils traitent, et ce quel que soit le montant de la transaction. Ces obligations concerneraient notamment les transferts de crypto-actifs entre les fournisseurs de services de crypto-actifs et les portefeuilles non hébergés.
Il y a une autre manière que le registre de la LBC-FT d’appréhender les PSAN : par les normes de protection de l’investisseur. En France, la loi Pacte a également institué un agrément facultatif auprès de l’AMF des PSAN souhaitant faire du démarchage, mais il n’a pas encore réellement prospéré car les PSAN intéressés ont suspendu leurs demandes dans l’attente du régime européen en cours d’élaboration. « A ce jour, aucun PSAN n’est agréé auprès de l’AMF », est-il précisé sur le site web du gendarme des marchés financiers (13). Un visa optionnel de l’AMF pour les projets d’offre au public de jetons (ICO), mis en place au même moment, n’a pas connu plus de succès. « Nous ne l’analysons pas comme un échec », avait assuré en octobre 2021 le président de l’AMF (14). Les prestataires n’ayant pas reçu d’agrément ou de visa de l’AMF ne sont néanmoins pas privés d’exercer leur activité, seules certaines formes de publicité leur étant interdites conformément au code de la consommation (CC) : le démarchage en ligne pour proposer la fourniture de services sur actifs numériques ou d’ICO (15), la prospection en ligne par utilisation de formulaires à remplir par le prospect afin que le prestataire de services soit contacté par la suite (16), les opérations de parrainage ou de mécénat (17). Dans la mesure où le modèle économique des PSAN est largement basé sur le recours à la publicité, la flexibilité de ce dispositif – caractère optionnel du régime d’agrément et de visa, et permission encadrée de diffuser de la publicité – préserve l’attractivité de la place de Paris.
La proposition de règlement européen MiCA reprend quant à elle le dispositif français, ce qui devrait conduire au renforcement de son effectivité. Il est notamment prévu que les PSAN devront, une fois en activité, se comporter de manière « honnête, loyale et professionnelle », formule déjà connue des prestataires bancaires et financiers. Plus spécifiquement, les entités émettrices de jetons ne se référant pas à des actifs ou à des jetons de monnaie électronique seront tenues d’établir un livre blanc, exposant notamment les risques encourus, qu’ils soient liés à l’émetteur, au crypto-actif ou à la mise en oeuvre du projet (18). Ces mêmes émetteurs devront prévoir un droit de rétractation à tout consommateur qui achète de tels cryptoactifs soit directement à l’émetteur, soit à un prestataire de services sur crypto-actifs qui place des crypto-actifs pour le compte de cet émetteur.
Concernant cette fois l’offre au public de jetons (ICO) se référant à des actifs, les émetteurs devront obtenir un agrément auprès de l’autorité compétente de leur Etat d’origine. Les candidats devront pour cela justifier de l’honorabilité et de la compétence de leur gouvernance et de leurs actionnaires. Consécration du dispositif français, cet agrément n’est en revanche pas requis pour les établissements de crédit déjà soumis à l’agrément relatif à l’exercice de l’activité bancaire. Enfin, les jetons de monnaie électronique se référant à des actifs offerts au publics ne pourront, quant à eux, n’être émis que par des établissements de crédit ou des établissements de monnaie électronique (19). Les mesures existantes ou en cours d’élaboration comblent une lacune de la régulation bancaire et financière sans être aussi avant-gardistes que les objets qu’elles encadrent : il s’agit de faire entrer dans le champ d’application de la règlementation classique ces nouveaux instruments financiers numériques.

Libérer et renforcer la finance numérique
Outre la nécessaire définition inédite de la notion de cryptoactifs, l’intégration des PSAN aux dispositifs LBC-FT, d’une part, et aux normes de protection des consommateurs et investisseurs, d’autre part, correspond aux prescriptions habituellement destinées aux prestataires de services du secteur bancaire et financier. Ces nouvelles régulations visent à limiter les risques liés aux actifs numériques, à assurer la sécurité juridique, tout en libérant et en renforçant la finance numérique. Elles doivent relever le défi de protéger les investisseurs consommateurs, sans entraver l’innovation. @

* Richard Willemant, avocat associé du cabinet Féral,
est avocat aux barreaux de Paris et du Québec, délégué à la
protection des données (DPO), cofondateur de la Compliance
League, et responsable du Japan Desk de Féral.

Transfert des données UE-US : Google et Facebook veulent un accord entre Etats-Unis et Europe

Publié le 28 février 2022 par Charles de Laubier

Les deux affaires « Google Analytics jugé illégal » et « Meta menace de quitter l’Europe » ont fait réagir les deux géants du Net concernés par le même problème : le transfert de données « UEUS ». Ils pressent l’Union européenne et les Etats-Unis à se mettre d’accord. Car il y a urgence.

En janvier, la « Cnil » autrichienne (DSB) a jugé que Google Analytics, le service gratuit d’analyse d’audience de sites web ou d’applications mobiles – utilisé par des millions d’éditeurs en Europe – est illégal (1) en raison du transfert vers les Etats-Unis des données des internautes européens et en violation du RGPD (2). En février, la Cnil en France juge à son tour ces transferts de données « UE-US » de Google Analytics illégaux (3).

Près de 20 mois d’incertitude « UE-US »
Tandis qu’au même moment a circulé une rumeur selon laquelle Facebook menace de quitter l’Europe en raison de l’incertitude sur le transfert de données entre l’UE et les Etats-Unis. Entre la précipitation des « Cnil » européennes (du moins en Autriche et en France) envers la filiale d’Alphabet, en jugeant illégal son outil Google Analytics, et la rumeur sur la supposée menace de Meta Platforms (maison mère de Facebook, d’Instagram et de WhatsApp) de fermer ses services en Europe, jamais la situation n’aura été aussi absurde depuis l’invalidation en juillet 2020 du « Privacy Shield » (4) par la Cour de justice de l’Union européenne (CJUE). Car, depuis, aucun autre accord entre l’Union européenne (UE) et les Etats-Unis n’est venu combler le vide juridique sur la question du transfert des données entre la première et les seconds.
Jusqu’à il y a près de vingt mois, les Etats-Unis étaient considérés par la Commission européenne comme un pays ayant un niveau de « protection adéquate » pour les transferts de données à caractère personnel vers des organisations américaines auto certifiées. Mais depuis que la CJUE a annulé le Privacy Shield pour éviter que les services de renseignement américains n’accèdent aux données personnelles des Européens transférées aux Etats-Unis, c’est l’incertitude totale. Et Joe Biden (Washington) et Ursula von der Leyen (Bruxelles) tardent à accorder leurs violons, alors que les enjeux et les conséquences de cette inaction sont considérables pour tout l’écosystème du Web et des mobiles. Dès août 2020, la « Cnil » irlandaise (DPC) avait épinglé Facebook sur les transferts de ses données vers les Etats-Unis au regard du RGPD et préconisait que ces transferts soient « suspendus » en attendant un accord transatlantique : depuis que son recours en justice a été rejeté en mai 2021 en Irlande, le groupe Meta s’attend à une décision finale « dès le premier semestre de 2022 ». Or il faudrait un accord d’urgence entre l’Europe et les Etats-Unis, afin d’éviter que des centaines voire potentiellement des milliers de sites web en Europe ne soient mis en demeure par les « Cnil », comme l’ont été les services en ligne français d’Auchan, Decathlon, Leroy Merlin, Free Mobile, Sephora ou encore Le Huffington Post (5). Il y a aussi urgence pour ne pas pousser la firme de Mark Zuckerberg à mettre à exécution son avertissement mentionné dans son dernier rapport annuel publié le 3 février où la phrase suivante n’est pas passée inaperçue : « Si un nouveau cadre transatlantique de transfert des données n’est pas adopté (…), nous serons sûrement dans l’incapacité d’offrir une partie de nos produits et services les plus significatifs, parmi lesquels Facebook et Instagram, en Europe, ce qui affectera matériellement et négativement notre activité commerciale, notre condition financière et nos résultats opérationnels » (6).
C’est de ce risque évoqué que la rumeur d’une « menace de quitter l’Europe » est partie. Markus Reinisch (photo de gauche), vice-président de la politique publique en Europe chez Meta Plateforms, s’est inscrit en faux le 8 février en démentant cette rumeur : « La presse a rapporté que nous “menacions” de quitter l’Europe en raison de l’incertitude entourant les mécanismes de transfert de données entre l’UE et les États-Unis. Ce n’est pas vrai. (…) Nous ne voulons absolument pas nous retirer de l’Europe, bien sûr que non » (7). Après que son rival Google ait été épinglé par les « Cnil » autrichienne et française sur son Google Analytics, Facebook pourrait être le prochain à être mis en demeure sur son Facebook Connect qui est un outil similaire. « Des mesures correctrices à ce sujet pourraient être adoptées prochainement », a déjà prévenu le gendarme français de la protection des données personnelles.

Rassurer les utilisateurs en Europe
Alphabet et Google, dont le président des affaires publiques et juridiques au niveau mondial, Kent Walker (photo de droite), appelle à un nouveau cadre pour le transfert des données UE-US (8), tente de rassurer ses utilisateurs en Europe et de leur fournir des outils (9) pour identifier les données collectées et leur utilisation : « Nous allons ainsi ajouter des paramètres permettant aux clients de personnaliser davantage les données analytiques qu’ils recueillent. Nous comptons vous donner plus d’informations à ce sujet dans les semaines à venir » (10). A suivre. @

Charles de Laubier

Comment le japonais Softbank va accélérer sa conquête de l’Europe pour se refaire une santé

Publié le 14 février 2022 par Charles de Laubier

L’Union européenne est le nouvel eldorado du géant nippon Softbank, surtout depuis que le Français Michel Combes a été propulsé fin janvier à la tête de SoftBank Group International. Mais il en faudra plus pour désendetter le conglomérat actionnaire de Yahoo, d’Alibaba ou de T-Mobile.

« Grâce à des investissements dans des entreprises comme Yahoo! Inc., Yahoo Japan, Alibaba, Softbank Mobile, Sprint et Supercell, nous avons atteint un taux de rendement interne de 43 % sur les vingt-sept années, de 1994 à 2021 », s’était félicité l’an dernier le multimilliardaire Masayoshi Son (photo), fondateur et PDG du géant japonais Softbank. « En ce qui concerne les deux fonds Vision (1), les résultats ont été inférieurs aux attentes jusqu’au premier semestre de 2020, avait-il cependant admis. Les critiques ont laissé entendre que ma perspicacité n’était pas aussi bonne qu’avant ou que j’étais devenu trop gourmand. Toutefois, nous pouvons être fiers, depuis, de la reprise en forme de V des fonds Vision ».

(Sur)endettement et rentabilité volatile
accélérer sa conquête de l’Europe pour se refaire une santéMais Softbank est un colosse aux pieds d’argile. L’endettement est le point noir du conglomérat sans frontières. En mars 2020, au début de la pandémie de coronavirus, Masayoshi Son avait lancé en urgence un plan de sauvetage du groupe avec l’objectif de vendre pour plus de 40 milliards d’actifs afin, à la fois, de financer le rachat d’une bonne partie de ses propres actions, et de réduire sérieusement son endettement qui culminait à l’époque à près de 70 milliards de dollars. Les résultats annuels 2019/2020 (2) avaient sonné comme un coup de semonce : perte nette record dépassant les 8,3 milliards de dollars. Les effets négatifs du début de la pandémie sur les actifs du fonds d’investissement Vision et les contreperformances de la société américaine spécialisée dans les bureaux partagés WeWork (3) l’ont plombé. Les résultats annuels de l’exercice suivant, ceux de 2020/2021, ont montré que l’endettement avait finalement été réduit de plus de moitié, à 32 milliards de dollars, grâce à un bénéfice nette record de 65 milliards de dollars. Qu’en sera-t-il de l’exercice 2021/2022 en cours qui s’achèvera fin mars ? A mi-parcours de celui-ci, soit au 30 septembre dernier, Softbank était retombé dans le rouge avec une perte nette de 3 milliards de dollars sur le premier semestre. Le 8 février dernier, le troisième trimestre affiche un modeste bénéfice net de 251 millions de dollars.
Reste que depuis deux ans, Softbank a pris le taureau par les cornes pour procéder à des cessions afin de se renflouer. En avril 2020, le conglomérat a cédé le contrôle de sa filiale télécoms américaine Sprint (détenue depuis 2013) à T-Mobile US (filiale de l’allemand Deutsche Telekom) pour ne détenir que 24,7 % du nouvel ensemble ainsi fusionné (avec la possibilité d’acquérir d’autres actions sous certaines conditions). Dans la foulée, il décide de céder le fabricant britannique de semi-conducteurs ARM acquis en 2016. Un accord est trouvé en septembre 2020 avec l’américain de puces et cartes graphiques Nvidia pour lui vendre ARM 40 milliards de dollars tout en prévoyant de conserver 10% du capital – mais l’opération record dans les semiconducteurs pose des problèmes antitrust, poussant Nvidia et ARM à jeter l’éponge officiellement le 8 février dernier (4). Softbank mettra en Bourse cette filiale. Autre cession : fin 2020, le fabricant américain de robotique Boston Dynamics, acquis par Softbank en 2017 auprès d’Alphabet (la maison mère de Google), a été cédé au chaebol sud-coréen et géant de l’automobile Hyundai (le japonais y reste actionnaire à hauteur de 20 %).
C’est désormais du côté de l’Europe que se tourne Softbank pour se sortir d’affaire. En dehors du Japon, son bras armé dans la tech s’appelle SoftBank Group International (SGBI). Considéré comme le premier fonds mondial d’investissement dans le numérique, il inclut le fonds d’Amérique Latine (SoftBank Latin America Funds) et le fonds destiné à soutenir les start-up créées par des Noirs, des Latinoaméricains ou des Amérindiens (SB Opportunity Fund). C’est justement le Bolivien-Américain Marcelo Claure qui détenait les rênes de SGBI depuis mai 2018, tout en étant directeur des opérations (COO) du groupe Softbank. Mais celui-ci a démissionné en janvier de tous ses mandats en raison d’un désaccord sur ses prétentions quant à ses émoluments.

SGBI, tête de pont pour l’Europe
Son départ fut une opportunité pour le Français Michel Combes qui a été nommé à sa place à la tête de SGBI, mais sans pour autant être désigné COO du groupe Softbank. L’ancien PDG d’Altice-SFR, d’Alcatel-Lucent, de Vodafone Europe et jusqu’en avril 2020 DG de Sprint, supervisera « le portefeuille d’exploitation et d’investissement de SBGI ». L’Europe et la French Tech sont en ligne de mire. Après ContentSquare, Sorare, Vestiaire Collective ou encore Jellysmack, le nippon va avancer ses pions. Mais il faudra sans doute du temps à Michel Combes (bientôt 60 ans) pour que Masayoshi Son (64 ans) lui « serv[e] de mentor et d’ami pendant [son] mandat », pour reprendre les mots de Marcelo Claure (5) envers le PDG fondateur de la firme tokyoïte où celui-ci est resté neuf ans. @