Archives par mot-clé : Europe

Transfert des données UE-US : Google et Facebook veulent un accord entre Etats-Unis et Europe

Publié le par

Les deux affaires « Google Analytics jugé illégal » et « Meta menace de quitter l’Europe » ont fait réagir les deux géants du Net concernés par le même problème : le transfert de données « UEUS ». Ils pressent l’Union européenne et les Etats-Unis à se mettre d’accord. Car il y a urgence.

En janvier, la « Cnil » autrichienne (DSB) a jugé que Google Analytics, le service gratuit d’analyse d’audience de sites web ou d’applications mobiles – utilisé par des millions d’éditeurs en Europe – est illégal (1) en raison du transfert vers les Etats-Unis des données des internautes européens et en violation du RGPD (2). En février, la Cnil en France juge à son tour ces transferts de données « UE-US » de Google Analytics illégaux (3).

Près de 20 mois d’incertitude « UE-US »
Tandis qu’au même moment a circulé une rumeur selon laquelle Facebook menace de quitter l’Europe en raison de l’incertitude sur le transfert de données entre l’UE et les Etats-Unis. Entre la précipitation des « Cnil » européennes (du moins en Autriche et en France) envers la filiale d’Alphabet, en jugeant illégal son outil Google Analytics, et la rumeur sur la supposée menace de Meta Platforms (maison mère de Facebook, d’Instagram et de WhatsApp) de fermer ses services en Europe, jamais la situation n’aura été aussi absurde depuis l’invalidation en juillet 2020 du « Privacy Shield » (4) par la Cour de justice de l’Union européenne (CJUE). Car, depuis, aucun autre accord entre l’Union européenne (UE) et les Etats-Unis n’est venu combler le vide juridique sur la question du transfert des données entre la première et les seconds.
Jusqu’à il y a près de vingt mois, les Etats-Unis étaient considérés par la Commission européenne comme un pays ayant un niveau de « protection adéquate » pour les transferts de données à caractère personnel vers des organisations américaines auto certifiées. Mais depuis que la CJUE a annulé le Privacy Shield pour éviter que les services de renseignement américains n’accèdent aux données personnelles des Européens transférées aux Etats-Unis, c’est l’incertitude totale. Et Joe Biden (Washington) et Ursula von der Leyen (Bruxelles) tardent à accorder leurs violons, alors que les enjeux et les conséquences de cette inaction sont considérables pour tout l’écosystème du Web et des mobiles. Dès août 2020, la « Cnil » irlandaise (DPC) avait épinglé Facebook sur les transferts de ses données vers les Etats-Unis au regard du RGPD et préconisait que ces transferts soient « suspendus » en attendant un accord transatlantique : depuis que son recours en justice a été rejeté en mai 2021 en Irlande, le groupe Meta s’attend à une décision finale « dès le premier semestre de 2022 ». Or il faudrait un accord d’urgence entre l’Europe et les Etats-Unis, afin d’éviter que des centaines voire potentiellement des milliers de sites web en Europe ne soient mis en demeure par les « Cnil », comme l’ont été les services en ligne français d’Auchan, Decathlon, Leroy Merlin, Free Mobile, Sephora ou encore Le Huffington Post (5). Il y a aussi urgence pour ne pas pousser la firme de Mark Zuckerberg à mettre à exécution son avertissement mentionné dans son dernier rapport annuel publié le 3 février où la phrase suivante n’est pas passée inaperçue : « Si un nouveau cadre transatlantique de transfert des données n’est pas adopté (…), nous serons sûrement dans l’incapacité d’offrir une partie de nos produits et services les plus significatifs, parmi lesquels Facebook et Instagram, en Europe, ce qui affectera matériellement et négativement notre activité commerciale, notre condition financière et nos résultats opérationnels » (6).
C’est de ce risque évoqué que la rumeur d’une « menace de quitter l’Europe » est partie. Markus Reinisch (photo de gauche), vice-président de la politique publique en Europe chez Meta Plateforms, s’est inscrit en faux le 8 février en démentant cette rumeur : « La presse a rapporté que nous “menacions” de quitter l’Europe en raison de l’incertitude entourant les mécanismes de transfert de données entre l’UE et les États-Unis. Ce n’est pas vrai. (…) Nous ne voulons absolument pas nous retirer de l’Europe, bien sûr que non » (7). Après que son rival Google ait été épinglé par les « Cnil » autrichienne et française sur son Google Analytics, Facebook pourrait être le prochain à être mis en demeure sur son Facebook Connect qui est un outil similaire. « Des mesures correctrices à ce sujet pourraient être adoptées prochainement », a déjà prévenu le gendarme français de la protection des données personnelles.

Rassurer les utilisateurs en Europe
Alphabet et Google, dont le président des affaires publiques et juridiques au niveau mondial, Kent Walker (photo de droite), appelle à un nouveau cadre pour le transfert des données UE-US (8), tente de rassurer ses utilisateurs en Europe et de leur fournir des outils (9) pour identifier les données collectées et leur utilisation : « Nous allons ainsi ajouter des paramètres permettant aux clients de personnaliser davantage les données analytiques qu’ils recueillent. Nous comptons vous donner plus d’informations à ce sujet dans les semaines à venir » (10). A suivre. @

Charles de Laubier

Comment le japonais Softbank va accélérer sa conquête de l’Europe pour se refaire une santé

Publié le par

L’Union européenne est le nouvel eldorado du géant nippon Softbank, surtout depuis que le Français Michel Combes a été propulsé fin janvier à la tête de SoftBank Group International. Mais il en faudra plus pour désendetter le conglomérat actionnaire de Yahoo, d’Alibaba ou de T-Mobile.

« Grâce à des investissements dans des entreprises comme Yahoo! Inc., Yahoo Japan, Alibaba, Softbank Mobile, Sprint et Supercell, nous avons atteint un taux de rendement interne de 43 % sur les vingt-sept années, de 1994 à 2021 », s’était félicité l’an dernier le multimilliardaire Masayoshi Son (photo), fondateur et PDG du géant japonais Softbank. « En ce qui concerne les deux fonds Vision (1), les résultats ont été inférieurs aux attentes jusqu’au premier semestre de 2020, avait-il cependant admis. Les critiques ont laissé entendre que ma perspicacité n’était pas aussi bonne qu’avant ou que j’étais devenu trop gourmand. Toutefois, nous pouvons être fiers, depuis, de la reprise en forme de V des fonds Vision ».

(Sur)endettement et rentabilité volatile
accélérer sa conquête de l’Europe pour se refaire une santéMais Softbank est un colosse aux pieds d’argile. L’endettement est le point noir du conglomérat sans frontières. En mars 2020, au début de la pandémie de coronavirus, Masayoshi Son avait lancé en urgence un plan de sauvetage du groupe avec l’objectif de vendre pour plus de 40 milliards d’actifs afin, à la fois, de financer le rachat d’une bonne partie de ses propres actions, et de réduire sérieusement son endettement qui culminait à l’époque à près de 70 milliards de dollars. Les résultats annuels 2019/2020 (2) avaient sonné comme un coup de semonce : perte nette record dépassant les 8,3 milliards de dollars. Les effets négatifs du début de la pandémie sur les actifs du fonds d’investissement Vision et les contreperformances de la société américaine spécialisée dans les bureaux partagés WeWork (3) l’ont plombé. Les résultats annuels de l’exercice suivant, ceux de 2020/2021, ont montré que l’endettement avait finalement été réduit de plus de moitié, à 32 milliards de dollars, grâce à un bénéfice nette record de 65 milliards de dollars. Qu’en sera-t-il de l’exercice 2021/2022 en cours qui s’achèvera fin mars ? A mi-parcours de celui-ci, soit au 30 septembre dernier, Softbank était retombé dans le rouge avec une perte nette de 3 milliards de dollars sur le premier semestre. Le 8 février dernier, le troisième trimestre affiche un modeste bénéfice net de 251 millions de dollars.
Reste que depuis deux ans, Softbank a pris le taureau par les cornes pour procéder à des cessions afin de se renflouer. En avril 2020, le conglomérat a cédé le contrôle de sa filiale télécoms américaine Sprint (détenue depuis 2013) à T-Mobile US (filiale de l’allemand Deutsche Telekom) pour ne détenir que 24,7 % du nouvel ensemble ainsi fusionné (avec la possibilité d’acquérir d’autres actions sous certaines conditions). Dans la foulée, il décide de céder le fabricant britannique de semi-conducteurs ARM acquis en 2016. Un accord est trouvé en septembre 2020 avec l’américain de puces et cartes graphiques Nvidia pour lui vendre ARM 40 milliards de dollars tout en prévoyant de conserver 10% du capital – mais l’opération record dans les semiconducteurs pose des problèmes antitrust, poussant Nvidia et ARM à jeter l’éponge officiellement le 8 février dernier (4). Softbank mettra en Bourse cette filiale. Autre cession : fin 2020, le fabricant américain de robotique Boston Dynamics, acquis par Softbank en 2017 auprès d’Alphabet (la maison mère de Google), a été cédé au chaebol sud-coréen et géant de l’automobile Hyundai (le japonais y reste actionnaire à hauteur de 20 %).
C’est désormais du côté de l’Europe que se tourne Softbank pour se sortir d’affaire. En dehors du Japon, son bras armé dans la tech s’appelle SoftBank Group International (SGBI). Considéré comme le premier fonds mondial d’investissement dans le numérique, il inclut le fonds d’Amérique Latine (SoftBank Latin America Funds) et le fonds destiné à soutenir les start-up créées par des Noirs, des Latinoaméricains ou des Amérindiens (SB Opportunity Fund). C’est justement le Bolivien-Américain Marcelo Claure qui détenait les rênes de SGBI depuis mai 2018, tout en étant directeur des opérations (COO) du groupe Softbank. Mais celui-ci a démissionné en janvier de tous ses mandats en raison d’un désaccord sur ses prétentions quant à ses émoluments.

SGBI, tête de pont pour l’Europe
Son départ fut une opportunité pour le Français Michel Combes qui a été nommé à sa place à la tête de SGBI, mais sans pour autant être désigné COO du groupe Softbank. L’ancien PDG d’Altice-SFR, d’Alcatel-Lucent, de Vodafone Europe et jusqu’en avril 2020 DG de Sprint, supervisera « le portefeuille d’exploitation et d’investissement de SBGI ». L’Europe et la French Tech sont en ligne de mire. Après ContentSquare, Sorare, Vestiaire Collective ou encore Jellysmack, le nippon va avancer ses pions. Mais il faudra sans doute du temps à Michel Combes (bientôt 60 ans) pour que Masayoshi Son (64 ans) lui « serv[e] de mentor et d’ami pendant [son] mandat », pour reprendre les mots de Marcelo Claure (5) envers le PDG fondateur de la firme tokyoïte où celui-ci est resté neuf ans. @

Charles de Laubier

Les alternatives aux cookies tiers, lesquels vont disparaître, veulent s’affranchir du consentement

Publié le par

Le numéro un mondial de la publicité en ligne, Google, a confirmé le 25 janvier qu’il bannira à partir de fin 2023 de son navigateur Chrome les cookies tiers – ces mouchards du ciblage publicitaire. Comme l’ont déjà fait Mozilla sur Firefox ou Apple sur Safari. Mais attention à la vie privée.

Il y a près d’un an, le 3 mars 2021, Google avait annoncé qu’il allait abandonner les cookies tiers – utilisés par les annonceurs et publicitaires à des fins de traçage des internautes et de ciblage personnalisé – au profit de « centres d’intérêts » de groupes d’individus, alors appelés « cohortes » ou, dans le jargon des développeurs «FLoC», pour Federated Learning of Cohorts (1). Une « cohorte » est un groupe d’utilisateurs aux comportements de navigation similaires et aux « intérêts communs » (2). Et ce, sans ne plus avoir à identifier les individus un par un, mais tous ensemble de façon non indentifiable.

Cohortes, fingerprinting, centres d’intérêt, …
Mais cette technique de traçage anonymisé soulevait toujours des questions au regard du consentement des internautes et de sa conformité avec le règlement général sur la protection des données (RGPD) en Europe. De plus, les « cohortes » laissaient la porte ouverte à de l’espionnage par browser fingerprinting, c’est-à-dire la prise d’empreinte à partir du navigateur web pour collecter une floppée d’information sur l’utilisateur et son équipement. Car les réseaux publicitaires s’appuient principalement sur deux méthodes pour mettre les internautes sous surveillance. Son donc dans le même bateau : le suivi par des mouchards déposés dans le terminal et les empreintes digitales issues du navigateur.
Si les cookies tombent à l’eau, qu’est-ce qui reste ? Le fingerprinting. Cette technique de traçage des internautes, indépendamment des cookies eux-mêmes, est en fait illégale sans consentement préalable de l’internaute. L’Electronic Frontier Foundation (EFF), une ONG internationale de protection des libertés sur Internet, basée à San Francisco et aujourd’hui dirigée par Cindy Cohn (photo), a mis en place il y a une dizaine d’année un outil – Cover Your Tracks (3) – qui permet à tout internaute de vérifier le niveau de traçage de son navigateur. « Lorsque vous visitez un site web, votre navigateur fait une “demande” pour ce site. En arrière-plan, le code publicitaire et les trackers invisibles sur ce site peuvent également amener votre navigateur à faire des dizaines ou même des centaines de demandes à d’autres tiers cachés. Chaque demande contient plusieurs informations sur votre navigateur et sur vous, de votre fuseau horaire aux paramètres de votre navigateur en passant par les versions de logiciels que vous avez installés », met en garde l’EFF. Si certaines de ces informations sont transmises par défaut pour simplement mieux visualiser la page sur votre écran (smartphone, ordinateur ou tablette) et en fonction du navigateur utilisé, bien d’autres informations aspirées par du navigateur peuvent remonter – de façon sournoise et à l’insu de l’intéressé – jusqu’aux réseaux publicitaires tiers. En naviguant sur le Web, chaque internaute laisse des traces comme en marchant dans la neige. C’est ce que l’on appelle une « empreinte digitale numérique », ou fingerprinting : il s’agit essentiellement de caractéristiques propres à un utilisateur, à son navigateur et à sa configuration informatique (jusqu’à la résolution de son écran et aux polices de caractère installées dans son ordinateur…). Et le tout collecté par des scripts de suivi (tracking scripts) qui constituent les multiples pièces d’un puzzle sur le profit de l’utilisateur, qui, une fois assemblées, révèlent l’image unique de l’individu ciblé. Contrairement aux cookies qui tombent sous le coup du RGPD imposant le consentement préalable de l’internaute concerné, lequel peut aussi supprimer les cookies voire bloquer les publicités en ligne à l’aide d’un adblocker (4), les empreintes digitales échappent à tout contrôle et restent difficilement modifiables et impossible à supprimer. « Cela équivaut à suivre un oiseau par son chant ou ses marques de plumes, ou une voiture par sa plaque d’immatriculation, sa marque, son modèle et sa couleur », compare l’EFF, laquelle suggère de désactiver JavaScript pour arrêter l’exécution des scripts de suivi. JavaScript est le fameux langage de programmation de scripts, créé il y a plus d’un quart de siècle maintenant et principalement employé dans les pages web interactives, autrement dit partout sur le Web. Mais désactiver JavaScript compliquera la vie de l’internaute…

Les requêtes JavaScript et le RGPD
« Le principal objectif de Cover Your Tracks est de vous aider à établir votre propre équilibre entre la confidentialité et la commodité, explique l’ONG américain. En vous donnant un résumé de votre protection globale et une liste des caractéristiques qui composent votre empreinte digitale numérique, vous pouvez voir exactement comment votre navigateur apparaît aux trackers, et comment la mise en oeuvre de différentes méthodes de protection change cette visibilité ». C’est pour éviter notamment que le fingerprinting, avec ses requêtes JavaScript, ne le mette en infraction visà- vis du RGPD et ne se retourne contre lui, que Google a abandonné FloC pour « Topics ». Quèsaco ? Fini les « cohortes », place aux « thèmes ». Moins d’intrusions dans la vie privée, plus d’information sur les centres d’intérêt, bien que cela ne sonne pas la fin du tracking publicitaire sur ordinateurs et smartphones… Ce changement de pied sera généralisé sur Chrome à partir de fin 2023, après une phase de transition dès le troisième trimestre prochain.

La Grande-Bretagne et l’Allemagne scrutent
Et l’avantage présenté par Google le 25 janvier dernier est que toute cette « cuisine thématique » reste dans le terminal de l’utilisateur et les thèmes y sont conservés durant trois semaines avant d’être effacés. Tandis que l’interface de programmation d’applications – l’API (5) – de Google exploite trois thèmes, à raison d’un thème par semaine. Explication de Vinay Goel (photo ci-contre), directeur Privacy chez Google, basé à New York : « Avec Topics, le navigateur identifie des thèmes (topics) représentatifs des principaux centres d’intérêt des utilisateurs pour une semaine donnée, tels que “fitness”ou “voyages”, en fonction de l’historique de navigation. Ces thèmes sont gardés en mémoire pendant seulement trois semaines avant d’être supprimés. Ce processus se déroule entièrement sur l’appareil utilisé, sans impliquer de serveurs externes, Google ou autre. Lorsqu’un internaute visite un site Web participant, Topics sélectionne seulement trois thèmes, un thème pour chacune des trois dernières semaines, que l’API transmet ensuite à ce même site ainsi qu’à ses annonceurs partenaires » (6). Tout cela en toute transparence : fini les mouchards, fini le suivi dissimulé et autres cookies indigestes, fini aussi le fingerprinting sournois. L’utilisateur garde la main sur ces données le concernant.
Du moins sur Chrome où il peut accéder aux paramètres de contrôle pour y voir les thèmes partagés avec les annonceurs, en supprimer certains, avec la possibilité de désactiver entièrement la fonctionnalité. « Plus important encore, souligne Vinay Goel, les thèmes sont sélectionnés avec attention afin d’exclure les catégories potentiellement sensibles, telles que le genre ou l’appartenance ethnique ». Google n’est pas le premier à bannir les cookies tiers de son navigateur Chrome. Avant lui, Mozilla, Apple, Microsoft et Brave Software les ont écartés de respectivement Firefox, Safari, Edge et Brave. Mais le plus souvent pas des filtres « anti-cookies ». L’aggiornamento du ciblage publicitaire est en tout cas venu, quitte à secouer certains acteurs comme ce fut le cas fin 2017 lorsque Criteo a dévissé en Bourse après l’annonce d’Apple contre les cookies sur iOS 11. Depuis l’adtech française a dû s’adapter (7). D’autres, comme Prisma Media ou Webedia (8), contournent le problème en imposant des « cookies walls ». Tôt ou tard, tout l’écosystème devra passer à la publicité basée sur les intérêts – Interest-based advertising (IBA) – qui est une forme de publicité personnalisée dans laquelle une annonce est sélectionnée pour l’utilisateur en fonction des intérêts dérivés des sites qu’il a visités antérieurement. « Les thèmes sont sélectionnés à partir d’une taxonomie publicitaire, qui comprendra entre quelques centaines et quelques milliers de sujets [entre 350 et 1.500 thèmes, ndlr], tout en excluant les sujets sensibles », précise par ailleurs la plateforme de développement de logiciels GitHub (9). Reste que le monde publicitaire (marques, régies, éditeurs, adtech, …) devra se faire une raison : l’IBA donnera des résultats d’affichages différents – moins performants ? – par rapport à la publicité contextuelle mais peut-être plus utiles pour l’internaute. Mais la démarche de Google – en position dominante sur le marché mondial de la publicité en ligne – inquiète de nombreux acteurs du numérique. La firme de Mountain View (Californie) a déjà eu à répondre l’an dernier devant l’autorité de la concurrence britannique, la Competition and Markets Authority (CMA), ainsi qu’à la « Cnil » britannique, l’Information Commissioner’s Office (ICO), en prenant des engagements vis-à-vis des autres acteurs du marché et envers la protection de la vie privée (10). En Allemagne, la fédération des éditeurs VDZ a fait savoir le 24 janvier dernier qu’elle en appelait – au nom de ses 500 membres – à la Commission européenne pour dénoncer « les distorsions de concurrence de Google », suite à sa décision de « bloquer les cookies de tiers dans le navigateur dominant Chrome ». La VDZ demande à ce « que l’utilisation de cookies fournis par des tiers reste autorisée, à condition, notamment, que les utilisateurs consentent eux-mêmes à leur utilisation » (11). Elle rappelle au passage qu’en avril 2021 elle a engagé avec d’autres organisations professionnelles une action antitrust contre Apple auprès de l’autorité fédérale allemande de lutte contre les cartels (12).

La Commission européenne enquête
En France, la Commission nationale de l’informatique et des libertés (Cnil) se penche sur « les alternatives aux cookies » (13) mais n’a encore rien dit sur les « Topics » de Google. De son côté, Margrethe Vestager, vice-présidente de la Commission européenne et en charge de la Concurrence et du Numérique, n’a pas attendu la requête de la VDZ pour s’interroger sur la fin des cookies tiers – notamment sur les intentions de Google – comme l’atteste un courrier daté du 23 avril 2021 et envoyé au Parlement européen (14). Deux mois après, le 22 juin 2021, la Commission européenne ouvrait une enquête sur les pratiques publicitaires de Google et sur la décision de ce dernier d’« interdire le placement de “cookies tiers” sur Chrome » (15) : « L’enquête se poursuit », nous indique Margrethe Vestager. La filiale Internet d’Alphabet est donc scrutée de toute part en Europe. Autant que les internautes eux-mêmes ? @

Charles de Laubier

Droits voisins et presse : l’accord Google-AFP sur 5 ans est un bon début de (re)partage de la valeur

Publié le par

Résultat de plusieurs mois de négociations, l’accord d’une durée de cinq ans annoncé le 17 novembre 2021 entre Google et l’Agence France-Presse (AFP), sur les droits voisins de cette dernière, est un précédent qui devrait inspirer les éditeurs en France et dans le reste de l’Europe.

Par Fabrice Lorvo*, avocat associé, FTPA.

Projet de fusion TF1-M6 : Xavier Niel appelle à la rescousse la Commission européenne

Publié le par

Le président du conseil d’administration du groupe Iliad (maison mère de Free dont il est le fondateur), Xavier Niel, estime que la Commission européenne serait bien mieux à même d’instruire le projet de fusion entre TF1 et M6, au lieu de laisser faire l’Autorité de la concurrence.

A défaut d’avoir pu racheter le groupe M6, pour lequel il s’était porté candidat parmi d’autres au printemps dernier auprès du principal actionnaire vendeur, l’allemand Bertelsmann, Xavier Niel (photo) est décidé à mettre des bâtons dans les roues du projet de fusion entre TF1 – filiale du groupe Bouygues qui a été retenue comme l’acquéreur – et M6. L’Autorité de la concurrence, qui n’a pas attendu d’avoir la notification de cette opération pour lancer dès le mois d’octobre (1) les « tests de marché » (2) avec envoi de questionnaires aux professionnels concernés, compte rendre sa décision d’ici à l’été 2022.