Archives par mot-clé : Europe

Le groupe Meta Platforms peut-il vraiment retirer Facebook et Instagram de l’Union européenne ?

Publié le par

Dans son rapport annuel, Meta n’exclut pas de supprimer d’Europe ses réseaux sociaux – Facebook, Instagram ou WhatsApp – s’il ne peut pas transférer les données personnelles européennes aux Etats-Unis. Retour sur cette menace qui soulève des questions économiques et juridiques.

Par Arnaud Touati, avocat associé, Hashtag Avocats

La société américaine Meta Platforms a-t-elle le droit et le pouvoir de retirer Facebook et Instagram du marché européen ? Techniquement, elle pourrait retirer Facebook et Instagram du marché européen, notamment des Vingt-sept Etats membres de l’UE. En effet, une société est libre de déterminer son marché et de proposer ou de retirer librement ses services sur le territoire d’un Etat. Cependant, économiquement parlant, le marché européen est considérable pour la firme de Mark Zuckerberg qui en est le PDG et fondateur.

Europe : 25 % des revenus de Meta
Le groupe a annoncé que l’Europe représentait, pour le dernier trimestre 2021, plus de 8,3 milliards de dollars de chiffre d’affaires, soit près du quart du total réalisé par Meta à l’échelle mondiale. De même, le revenu moyen par utilisateur sur Facebook en Europe (Messenger, Instagram et WhatsApp compris) se situe en moyenne à 19,68 dollars sur ce quatrième trimestre 2021, en deuxième position derrière la région « Etats-Unis & Canada » (1). Au total, l’Europe a généré 25% du chiffre d’affaires trimestriel.
De même, si la maison mère Meta Platforms décidait de mettre fin à ses services en Europe, il lui appartiendrait de résoudre la délicate question du sort des données des utilisateurs européens – au nombre de 427 millions à la fin de l’année dernière (2). En effet, Facebook, Messenger, Instagram ou encore WhatsApp ont obtenu de nombreuses données des utilisateurs. Cela impliquerait donc nécessairement de restituer aux utilisateurs toutes leurs données. Dans quelles conditions ? Comment ? La question est ouverte.
Au-delà des questions économiques que soulèverait pour Meta la mise à exécution de sa menace de retirer ses réseaux sociaux, cela poserait également des questions juridiques. Le règlement général sur la protection des données (RGPD), adopté en 2016 par le Parlement européen (3) et en vigueur depuis mai 2018, prévoit l’encadrement des transferts des données à caractère personnel vers des pays tiers. Les dispositions du règlement doivent donc être appliquées, afin que le niveau de protection des personnes physiques garanti par ledit règlement ne soit pas compromis. Peut-il y avoir des passe-droits en matière de RGPD ? (4) Plutôt que de « passe-droit », parlons plutôt de « tempérament », c’est-à-dire de l’assouplissement de certaines dispositions réglementaires dans des hypothèses bien déterminées. Il conviendrait ainsi de dire qu’il n’existe pas a priori de tempérament en matière de RGPD, au vu de l’importance du respect de la protection des données et de l’obligation d’encadrement des transferts de données. Néanmoins, il convient de relativiser cet état de fait. En effet, en France, la Commission nationale de l’informatique et des libertés (Cnil) prévoit une procédure de mise en demeure, dans l’hypothèse où un organisme ne respecterait pas les obligations relatives à l’encadrement des transferts de données. Elle précise qu’une « mise en demeure est une procédure qui intervient après une plainte ou un contrôle et ne constitue pas une sanction » (5). Dans pareille situation, deux issues sont possibles. Si l’organisme se conforme aux dispositions pendant le délai imparti, le transfert des données sera considéré comme légal et conforme. Dans le cas contraire, l’organisme peut se voir attribuer des sanctions, lesquelles sont, pour la majeure partie d’entre elles, pécuniaires. Cependant, cette sanction ne garantit pas le respect postérieur du RGPD, ce qui pourrait donc in fine valoir tempérament implicite, pour peu que ledit organisme ait des capacités financières significatives.
Par ailleurs, les transferts de données vers des pays tiers à l’Union européenne (UE) doivent respecter les principes du RGPD (6). Ainsi, la Commission européenne peut prévoir des décisions d’adéquation avec certains pays lorsqu’elle estime qu’ils assurent « un niveau de protection adéquat » (7). Les transferts de données vers ces pays-là ne nécessitent alors pas d’autorisation spécifique.

Dérogations pour cas particuliers
A l’inverse, lorsqu’un pays n’est pas reconnu comme garantissant une protection adéquate, l’article 46 du RGPD permet au responsable de traitement d’assurer lui-même que les transferts envisagés sont assortis de garanties appropriées, grâce à des clauses contractuelles types, des règles d’entreprise contraignantes, un code de conduite ou un mécanisme de certification. Dans les situations dans lesquelles un pays tiers n’est pas reconnu comme offrant un niveau de protection adéquat et en l’absence de garanties appropriées encadrant ce transfert, le transfert peut néanmoins, par exception, être opéré en vertu des dérogations listées à l’article 49 du RGPD. Tempérament du tempérament : ces dérogations – telles que le consentement explicite, l’exécution d’un contrat ou les motifs d’intérêt public – ne peuvent néanmoins être utilisées que dans des situations particulières et les responsables de traitement doivent, selon la Cnil, « s’efforcer de mettre en place des garanties appropriées et ne doivent recourir à ces exceptions qu’en l’absence de telles garanties » (8).

Marge de manœuvre des « Cnil »
A l’instar de son confrère irlandais, la Data Protection Commission (DPC), la Cnil pourrait-elle décider de modifier ses accords en matière de transfert des données vers les Etats-Unis ? Pour rappel, la DPC a refusé que les données des Européens soient collectées pour être stockées sur des serveurs américains, malgré la possibilité accordée par le RGPD, sous réserve des conditions (9). En effet, l’autorité de contrôle irlandaise considère que la loi américaine FISA (Foreign Intelligence Surveillance Act) est problématique, puisqu’elle autorise expressément la NSA (National Security Agency) à collecter les données de personnes étrangères si elles sont stockées sur des serveurs américains.
A l’origine, le RGPD pose des règles relatives aux autorités de contrôle tenant notamment à leurs indépendance, compétences, missions et pouvoirs (10). Ces autorités ont une large marge de manœuvre. En effet, en France par exemple, la loi « Informatique et Libertés » modifiée dispose que « la [Cnil] est une autorité administrative indépendante » (11), et le règlement européen permet, lui, de réduire la protection des personnes dans des cas particuliers afin de tenir compte des exigences nationales. Ce n’est donc pas parce que l’autorité irlandaise a pris cette décision que la Cnil doit nécessairement suivre la même analyse. Pour autant, dans une affaire concernant Google, la Cnil a conclu, prenant une inflexion similaire à son homologue irlandaise, que, à l’heure actuelle, les transferts de données vers les Etats-Unis ne sont pas suffisamment encadrés : dans une décision du 10 février 2022, elle a en effet mis en demeure un gestionnaire de site de mettre en conformité avec le RGPD ses traitements de données, en retirant Google Analytics si besoin (12). Pour rendre pareille décision, la Cnil se fonde sur l’arrêt « Schrems II » (13) de la Cour de justice de l’Union européenne (CJUE) ayant invalidé en 2020 le « Privacy Shield » (voir encadré ci-dessous).
Toutefois, même si les autorités de contrôle protègent les données personnelles en refusant le transfert des données sur les serveurs américains, une loi américaine datant de 2018 – le Cloud Act (14) – pose problème. En effet, le « Clarifying Lawful Overseas Use of Data Act » est une loi fédérale des Etats-Unis sur l’accès aux données personnelles, notamment opérées dans le nuage informatique. Elle permet aux instances judiciaires américaines d’émettre un mandat de perquisition contraignant les fournisseurs de cloud américains – même si les données sont stockées à l’étranger –, de fournir toutes les données d’un individu, sans qu’aucune autorisation ne soit demandée à la justice du pays dans lequel se situent l’individu ou les données.
Cette loi a été largement critiquée, étant entendu qu’elle se soustrait ainsi au contrôle des autorités réglementaires au sein du territoire de l’UE. Pour limiter, voire éviter une telle situation, la Commission européenne pourrait, à l’avenir, tenter de trouver un accord avec les Etats-Unis, et ainsi assurer la conformité avec le RGPD du transfert des données personnelles outre-Atlantique. En attendant, même si l’entreprise Meta a assuré le 8 février 2022, « n’avoir absolument aucune envie de se retirer de l’Europe, bien sûr que non » (15), la Commission européenne ne contournera pas l’arrêt « Schrems II » ayant annulé le « Privacy Shield », pas plus qu’elle ne l’avait fait pour l’arrêt « Schrems I » de 2015 annulant l’accord antérieur, le « Safe Harbour ». @

FOCUS

« Privacy Shield » : la CJUE peut-elle annuler… son annulation de 2020 ?
La Cour de justice de l’Union européenne (CJUE) pourrait-elle faire machine arrière et revenir sur sa décision d’annuler l’accord entre l’Union européenne (UE) et les Etats-Unis sur la gestion des données personnelles des Européens par les entreprises américaines et certaines autorités américaines ? Cet accord dit « Privacy Shield » était une décision d’adéquation adoptée en 2016 et encadrant les transferts de données vers les Etats- Unis. Ce qui permettait aux entreprises de transférer les données personnelles de citoyens européens aux Etats-Unis sans garanties complémentaires. Il a été annulé par l’arrêt « Schrems II » (16) de la CJUE daté du 16 juillet 2020. La CJUE avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux Etats-Unis, si les transferts n’étaient pas correctement encadrés.
Cet arrêt a donc impliqué le réexamen des transferts de données personnelles à destination des Etats-Unis et la nécessité d’apporter des garanties complémentaires.
La portée de cet arrêt a des conséquences sévères et démontre que, si les Etats-Unis ne respectent pas la protection des données, la CJUE n’acceptera pas d’accords sur ces mêmes termes. Dorénavant, il sera à nouveau possible de négocier un accord entre les Etats-Unis et l’UE si, et seulement si, les Etats-Unis acceptent de se soumettre aux dispositions du RGPD et de modifier leurs lois de surveillance des données risquées. Ce qui permettrait ainsi aux entreprises américaines d’évoluer sur le marché européen. Lors d’une conférence de presse le 23 février, à l’occasion de la présentation du Data Act (lire p. 6 et 7), la commissaire européenne à la Concurrence, Margrethe Vestager, s’est prononcée à ce propos : « Il est hautement prioritaire de conclure un tel accord avec les Américains (…), afin de permettre au milieu des affaires de tirer le meilleur parti des données (…) mais (….) dans des conditions transparentes et sûres » (17). Ainsi, les Etats-Unis et l’UE devront-ils trouver un accord alliant protection des données personnelles des utilisateurs européens et impératifs sécuritaires invoqués par l’administration américaine. @

Prestataires de services sur actifs numériques : la France aiguillonne l’Europe vers plus de régulation

Publié le par

Craints par les uns (stabilité monétaire, cybersécurité, …) et poussés par les autres (innovation, compétitivité, …), les crypto-actifs s’immiscent dans le capitalisme financier. Mais les acteurs de la régulation veulent combler les lacunes en la matière, notamment vis-à-vis des prestataires.

Par Richard Willemant*, avocat associé, cabinet Féral

Les actifs numériques ont déjà conquis le paysage de la finance, en témoigne l’admission, en ce début février, de tokens sécurisés – en l’occurrence des « titres de dette digitaux » (1) – sur la liste officielle des valeurs mobilières de la Bourse de Luxembourg. Encore peu réglementés, ces actifs numériques impliquent de nombreux risques économiques notamment en matière de stabilité monétaire et de cybersécurité, et ils complexifient la lutte contre le blanchiment de capitaux et le financement du terrorisme, ce que l’on désigne sous le sigle LBC-FT (2).

Contours de la notion de crypto-actifs
Néanmoins, la digitalisation des actifs est une innovation gage de compétitivité, et son encadrement juridique par les institutions traditionnelles doit dès lors veiller à l’accompagner sans la brider, faute de perdre en attractivité. En France, le législateur a, en collaboration avec l’Autorité des marchés financiers (AMF), reconnu dès la loi de 2019 sur la croissance et la transformation des entreprises, loi dite « Pacte » (3), un statut aux prestataires de services sur actifs numériques (PSAN). Le législateur européen prévoit de reprendre très largement cet embryon d’encadrement français et de le renforcer. Lorsque l’objet régulé est en plein essor, une définition positive trop rigide risque de devenir rapidement obsolète. Les contours de la notion d’« actif numérique » ont donc en partie été tracés en négatif.
Le code monétaire et financier (CMF) a ainsi défini le terme d’actif numérique comme étant exclusif de celui d’instrument financier, de bon de caisse et de monnaie, électronique ou non (4). La proposition de règlement européen concernant les marchés de crypto-actifs, connue sous le nom de MiCA (Markets in Crypto-Assets), écarte également les instruments financiers et assimilés et la monnaie électronique de la notion d’actifs numériques. Cette proposition est actuellement en négociation entre le Conseil de l’Union européenne et le Parlement européen (5), et devrait entrer en vigueur en 2022. Des définitions positives larges et ouvertes ont également été prévues. En droit français, les crypto-actifs comprennent les cryptomonnaies, définies dans le CMF comme « toute représentation numérique d’une valeur qui n’est pas émise ou garantie par une banque centrale ou par une autorité publique […] mais qui est acceptée par des personnes physiques ou morales comme un moyen d’échange et qui peut être transférée, stockée ou échangée électroniquement » (6). Les jetons porteurs de droit sont définis, toujours dans le CMF, comme « tout bien incorporel représentant, sous forme numérique, un ou plusieurs droits pouvant être émis, inscrits, conservés ou transférés au moyen d’un dispositif d’enregistrement électronique partagé permettant d’identifier, directement ou indirectement, le propriétaire dudit bien » (7).
Le projet de définition européenne est, lui, plus précis que la définition française. Outre la définition ample d’« une représentation numérique d’une valeur ou de droits pouvant être transférée et stockée de manière électronique, au moyen de la technologie des registres distribués ou d’une technologie similaire », sont distingués trois catégories de crypto actifs :
• Le crypto-actif « se référant à un ou des actifs », qui vise les crypto-actifs tendant à conserver une valeur stable (dit « stablecoin ») et en se référant à la valeur de plusieurs monnaies qui ont cours légal (dit « fiat », du latin « qu’il soit fait », en référence au fait de l’autorité), ou à une ou plusieurs matières premières, ou à un ou plusieurs crypto-actifs, ou à une combinaison de tels actifs.
• Le « jeton de monnaie électronique », qui vise les cryptoactifs « dont l’objet principal est d’être utilisé comme moyen d’échange et qui vise à conserver une valeur stable en se référant à la valeur d’une monnaie fiat qui a cours légal ».
• Le « jeton utilitaire », qui vise les crypto-actifs destinés à fournir un accès numérique à un bien ou à un service, disponible sur le registre distribué DLT (Distributed Ledger Technology), et uniquement accepté par l’émetteur de ce jeton.

Avis ACPR et enregistrement AMF
Les services sur actifs numériques comprennent différentes prestations, variablement risquées et en conséquence différemment encadrées. Parmi les prestataires les plus surveillés, doivent être enregistrés auprès de l’AMF avant de pouvoir exercer leurs activités – dès lors qu’ils sont établis en France ou fournissent ces services en France (8) – ceux qui fournissent des services de conservation pour le compte de tiers d’actifs, des services d’achat ou de vente d’actifs numériques en monnaie ayant cours légal, des services d’échange d’actifs numériques contre d’autres actifs numériques, ou l’exploitation d’une plateforme de négociation d’actifs numériques (9). Cet enregistrement est conditionné à la démonstration par le demandeur de prérequis à l’exercice de son activité, et notamment un avis favorable de l’Autorité de contrôle prudentiel et de résolution (ACPR) sur son dispositif de lutte contre le blanchiment des capitaux et financement du terrorisme.

LBC-FT et protection de l’investisseur
L’AMF a enregistré une trentaine de PSAN (10). Une fois enregistrés, les PSAN sont soumis, sous le contrôle permanent de l’ACPR, aux mêmes obligations de lutte contre le blanchiment que les établissements bancaires ou financiers, à savoir l’évaluation des risques LBC-FT de leur activité, la connaissance des clients et de leurs bénéficiaires effectifs, la coopération avec les services de renseignement et la mise en place des mesures de gel des avoirs. Quant au régime pilote européen en cours d’élaboration avec la proposition de règlement MiCA, il fait également une place de choix à la LBC-FT en prévoyant la possibilité pour les autorités compétentes de chaque Etat membre de retirer l’agrément de l’opérateur si celui-ci commet un manquement à la législation nationale mettant en oeuvre la directive européenne « LBC-FT » de 2015 (11). Plus récemment et dans la même dynamique de LBC-FT, le Conseil de l’UE a arrêté son mandat de négociation avec le Parlement européen sur une proposition visant à actualiser les règles existantes sur les informations accompagnant les transferts de fonds (12). L’objectif est d’imposer aux prestataires de services sur cryptoactifs l’obligation de recueillir et de rendre accessibles des données complètes sur le donneur d’ordre et le bénéficiaire des transferts de crypto-actifs qu’ils traitent, et ce quel que soit le montant de la transaction. Ces obligations concerneraient notamment les transferts de crypto-actifs entre les fournisseurs de services de crypto-actifs et les portefeuilles non hébergés.
Il y a une autre manière que le registre de la LBC-FT d’appréhender les PSAN : par les normes de protection de l’investisseur. En France, la loi Pacte a également institué un agrément facultatif auprès de l’AMF des PSAN souhaitant faire du démarchage, mais il n’a pas encore réellement prospéré car les PSAN intéressés ont suspendu leurs demandes dans l’attente du régime européen en cours d’élaboration. « A ce jour, aucun PSAN n’est agréé auprès de l’AMF », est-il précisé sur le site web du gendarme des marchés financiers (13). Un visa optionnel de l’AMF pour les projets d’offre au public de jetons (ICO), mis en place au même moment, n’a pas connu plus de succès. « Nous ne l’analysons pas comme un échec », avait assuré en octobre 2021 le président de l’AMF (14). Les prestataires n’ayant pas reçu d’agrément ou de visa de l’AMF ne sont néanmoins pas privés d’exercer leur activité, seules certaines formes de publicité leur étant interdites conformément au code de la consommation (CC) : le démarchage en ligne pour proposer la fourniture de services sur actifs numériques ou d’ICO (15), la prospection en ligne par utilisation de formulaires à remplir par le prospect afin que le prestataire de services soit contacté par la suite (16), les opérations de parrainage ou de mécénat (17). Dans la mesure où le modèle économique des PSAN est largement basé sur le recours à la publicité, la flexibilité de ce dispositif – caractère optionnel du régime d’agrément et de visa, et permission encadrée de diffuser de la publicité – préserve l’attractivité de la place de Paris.
La proposition de règlement européen MiCA reprend quant à elle le dispositif français, ce qui devrait conduire au renforcement de son effectivité. Il est notamment prévu que les PSAN devront, une fois en activité, se comporter de manière « honnête, loyale et professionnelle », formule déjà connue des prestataires bancaires et financiers. Plus spécifiquement, les entités émettrices de jetons ne se référant pas à des actifs ou à des jetons de monnaie électronique seront tenues d’établir un livre blanc, exposant notamment les risques encourus, qu’ils soient liés à l’émetteur, au crypto-actif ou à la mise en oeuvre du projet (18). Ces mêmes émetteurs devront prévoir un droit de rétractation à tout consommateur qui achète de tels cryptoactifs soit directement à l’émetteur, soit à un prestataire de services sur crypto-actifs qui place des crypto-actifs pour le compte de cet émetteur.
Concernant cette fois l’offre au public de jetons (ICO) se référant à des actifs, les émetteurs devront obtenir un agrément auprès de l’autorité compétente de leur Etat d’origine. Les candidats devront pour cela justifier de l’honorabilité et de la compétence de leur gouvernance et de leurs actionnaires. Consécration du dispositif français, cet agrément n’est en revanche pas requis pour les établissements de crédit déjà soumis à l’agrément relatif à l’exercice de l’activité bancaire. Enfin, les jetons de monnaie électronique se référant à des actifs offerts au publics ne pourront, quant à eux, n’être émis que par des établissements de crédit ou des établissements de monnaie électronique (19). Les mesures existantes ou en cours d’élaboration comblent une lacune de la régulation bancaire et financière sans être aussi avant-gardistes que les objets qu’elles encadrent : il s’agit de faire entrer dans le champ d’application de la règlementation classique ces nouveaux instruments financiers numériques.

Libérer et renforcer la finance numérique
Outre la nécessaire définition inédite de la notion de cryptoactifs, l’intégration des PSAN aux dispositifs LBC-FT, d’une part, et aux normes de protection des consommateurs et investisseurs, d’autre part, correspond aux prescriptions habituellement destinées aux prestataires de services du secteur bancaire et financier. Ces nouvelles régulations visent à limiter les risques liés aux actifs numériques, à assurer la sécurité juridique, tout en libérant et en renforçant la finance numérique. Elles doivent relever le défi de protéger les investisseurs consommateurs, sans entraver l’innovation. @

* Richard Willemant, avocat associé du cabinet Féral,
est avocat aux barreaux de Paris et du Québec, délégué à la
protection des données (DPO), cofondateur de la Compliance
League, et responsable du Japan Desk de Féral.

Transfert des données UE-US : Google et Facebook veulent un accord entre Etats-Unis et Europe

Publié le par

Les deux affaires « Google Analytics jugé illégal » et « Meta menace de quitter l’Europe » ont fait réagir les deux géants du Net concernés par le même problème : le transfert de données « UEUS ». Ils pressent l’Union européenne et les Etats-Unis à se mettre d’accord. Car il y a urgence.

En janvier, la « Cnil » autrichienne (DSB) a jugé que Google Analytics, le service gratuit d’analyse d’audience de sites web ou d’applications mobiles – utilisé par des millions d’éditeurs en Europe – est illégal (1) en raison du transfert vers les Etats-Unis des données des internautes européens et en violation du RGPD (2). En février, la Cnil en France juge à son tour ces transferts de données « UE-US » de Google Analytics illégaux (3).

Près de 20 mois d’incertitude « UE-US »
Tandis qu’au même moment a circulé une rumeur selon laquelle Facebook menace de quitter l’Europe en raison de l’incertitude sur le transfert de données entre l’UE et les Etats-Unis. Entre la précipitation des « Cnil » européennes (du moins en Autriche et en France) envers la filiale d’Alphabet, en jugeant illégal son outil Google Analytics, et la rumeur sur la supposée menace de Meta Platforms (maison mère de Facebook, d’Instagram et de WhatsApp) de fermer ses services en Europe, jamais la situation n’aura été aussi absurde depuis l’invalidation en juillet 2020 du « Privacy Shield » (4) par la Cour de justice de l’Union européenne (CJUE). Car, depuis, aucun autre accord entre l’Union européenne (UE) et les Etats-Unis n’est venu combler le vide juridique sur la question du transfert des données entre la première et les seconds.
Jusqu’à il y a près de vingt mois, les Etats-Unis étaient considérés par la Commission européenne comme un pays ayant un niveau de « protection adéquate » pour les transferts de données à caractère personnel vers des organisations américaines auto certifiées. Mais depuis que la CJUE a annulé le Privacy Shield pour éviter que les services de renseignement américains n’accèdent aux données personnelles des Européens transférées aux Etats-Unis, c’est l’incertitude totale. Et Joe Biden (Washington) et Ursula von der Leyen (Bruxelles) tardent à accorder leurs violons, alors que les enjeux et les conséquences de cette inaction sont considérables pour tout l’écosystème du Web et des mobiles. Dès août 2020, la « Cnil » irlandaise (DPC) avait épinglé Facebook sur les transferts de ses données vers les Etats-Unis au regard du RGPD et préconisait que ces transferts soient « suspendus » en attendant un accord transatlantique : depuis que son recours en justice a été rejeté en mai 2021 en Irlande, le groupe Meta s’attend à une décision finale « dès le premier semestre de 2022 ». Or il faudrait un accord d’urgence entre l’Europe et les Etats-Unis, afin d’éviter que des centaines voire potentiellement des milliers de sites web en Europe ne soient mis en demeure par les « Cnil », comme l’ont été les services en ligne français d’Auchan, Decathlon, Leroy Merlin, Free Mobile, Sephora ou encore Le Huffington Post (5). Il y a aussi urgence pour ne pas pousser la firme de Mark Zuckerberg à mettre à exécution son avertissement mentionné dans son dernier rapport annuel publié le 3 février où la phrase suivante n’est pas passée inaperçue : « Si un nouveau cadre transatlantique de transfert des données n’est pas adopté (…), nous serons sûrement dans l’incapacité d’offrir une partie de nos produits et services les plus significatifs, parmi lesquels Facebook et Instagram, en Europe, ce qui affectera matériellement et négativement notre activité commerciale, notre condition financière et nos résultats opérationnels » (6).
C’est de ce risque évoqué que la rumeur d’une « menace de quitter l’Europe » est partie. Markus Reinisch (photo de gauche), vice-président de la politique publique en Europe chez Meta Plateforms, s’est inscrit en faux le 8 février en démentant cette rumeur : « La presse a rapporté que nous “menacions” de quitter l’Europe en raison de l’incertitude entourant les mécanismes de transfert de données entre l’UE et les États-Unis. Ce n’est pas vrai. (…) Nous ne voulons absolument pas nous retirer de l’Europe, bien sûr que non » (7). Après que son rival Google ait été épinglé par les « Cnil » autrichienne et française sur son Google Analytics, Facebook pourrait être le prochain à être mis en demeure sur son Facebook Connect qui est un outil similaire. « Des mesures correctrices à ce sujet pourraient être adoptées prochainement », a déjà prévenu le gendarme français de la protection des données personnelles.

Rassurer les utilisateurs en Europe
Alphabet et Google, dont le président des affaires publiques et juridiques au niveau mondial, Kent Walker (photo de droite), appelle à un nouveau cadre pour le transfert des données UE-US (8), tente de rassurer ses utilisateurs en Europe et de leur fournir des outils (9) pour identifier les données collectées et leur utilisation : « Nous allons ainsi ajouter des paramètres permettant aux clients de personnaliser davantage les données analytiques qu’ils recueillent. Nous comptons vous donner plus d’informations à ce sujet dans les semaines à venir » (10). A suivre. @

Charles de Laubier

Comment le japonais Softbank va accélérer sa conquête de l’Europe pour se refaire une santé

Publié le par

L’Union européenne est le nouvel eldorado du géant nippon Softbank, surtout depuis que le Français Michel Combes a été propulsé fin janvier à la tête de SoftBank Group International. Mais il en faudra plus pour désendetter le conglomérat actionnaire de Yahoo, d’Alibaba ou de T-Mobile.

« Grâce à des investissements dans des entreprises comme Yahoo! Inc., Yahoo Japan, Alibaba, Softbank Mobile, Sprint et Supercell, nous avons atteint un taux de rendement interne de 43 % sur les vingt-sept années, de 1994 à 2021 », s’était félicité l’an dernier le multimilliardaire Masayoshi Son (photo), fondateur et PDG du géant japonais Softbank. « En ce qui concerne les deux fonds Vision (1), les résultats ont été inférieurs aux attentes jusqu’au premier semestre de 2020, avait-il cependant admis. Les critiques ont laissé entendre que ma perspicacité n’était pas aussi bonne qu’avant ou que j’étais devenu trop gourmand. Toutefois, nous pouvons être fiers, depuis, de la reprise en forme de V des fonds Vision ».

(Sur)endettement et rentabilité volatile
accélérer sa conquête de l’Europe pour se refaire une santéMais Softbank est un colosse aux pieds d’argile. L’endettement est le point noir du conglomérat sans frontières. En mars 2020, au début de la pandémie de coronavirus, Masayoshi Son avait lancé en urgence un plan de sauvetage du groupe avec l’objectif de vendre pour plus de 40 milliards d’actifs afin, à la fois, de financer le rachat d’une bonne partie de ses propres actions, et de réduire sérieusement son endettement qui culminait à l’époque à près de 70 milliards de dollars. Les résultats annuels 2019/2020 (2) avaient sonné comme un coup de semonce : perte nette record dépassant les 8,3 milliards de dollars. Les effets négatifs du début de la pandémie sur les actifs du fonds d’investissement Vision et les contreperformances de la société américaine spécialisée dans les bureaux partagés WeWork (3) l’ont plombé. Les résultats annuels de l’exercice suivant, ceux de 2020/2021, ont montré que l’endettement avait finalement été réduit de plus de moitié, à 32 milliards de dollars, grâce à un bénéfice nette record de 65 milliards de dollars. Qu’en sera-t-il de l’exercice 2021/2022 en cours qui s’achèvera fin mars ? A mi-parcours de celui-ci, soit au 30 septembre dernier, Softbank était retombé dans le rouge avec une perte nette de 3 milliards de dollars sur le premier semestre. Le 8 février dernier, le troisième trimestre affiche un modeste bénéfice net de 251 millions de dollars.
Reste que depuis deux ans, Softbank a pris le taureau par les cornes pour procéder à des cessions afin de se renflouer. En avril 2020, le conglomérat a cédé le contrôle de sa filiale télécoms américaine Sprint (détenue depuis 2013) à T-Mobile US (filiale de l’allemand Deutsche Telekom) pour ne détenir que 24,7 % du nouvel ensemble ainsi fusionné (avec la possibilité d’acquérir d’autres actions sous certaines conditions). Dans la foulée, il décide de céder le fabricant britannique de semi-conducteurs ARM acquis en 2016. Un accord est trouvé en septembre 2020 avec l’américain de puces et cartes graphiques Nvidia pour lui vendre ARM 40 milliards de dollars tout en prévoyant de conserver 10% du capital – mais l’opération record dans les semiconducteurs pose des problèmes antitrust, poussant Nvidia et ARM à jeter l’éponge officiellement le 8 février dernier (4). Softbank mettra en Bourse cette filiale. Autre cession : fin 2020, le fabricant américain de robotique Boston Dynamics, acquis par Softbank en 2017 auprès d’Alphabet (la maison mère de Google), a été cédé au chaebol sud-coréen et géant de l’automobile Hyundai (le japonais y reste actionnaire à hauteur de 20 %).
C’est désormais du côté de l’Europe que se tourne Softbank pour se sortir d’affaire. En dehors du Japon, son bras armé dans la tech s’appelle SoftBank Group International (SGBI). Considéré comme le premier fonds mondial d’investissement dans le numérique, il inclut le fonds d’Amérique Latine (SoftBank Latin America Funds) et le fonds destiné à soutenir les start-up créées par des Noirs, des Latinoaméricains ou des Amérindiens (SB Opportunity Fund). C’est justement le Bolivien-Américain Marcelo Claure qui détenait les rênes de SGBI depuis mai 2018, tout en étant directeur des opérations (COO) du groupe Softbank. Mais celui-ci a démissionné en janvier de tous ses mandats en raison d’un désaccord sur ses prétentions quant à ses émoluments.

SGBI, tête de pont pour l’Europe
Son départ fut une opportunité pour le Français Michel Combes qui a été nommé à sa place à la tête de SGBI, mais sans pour autant être désigné COO du groupe Softbank. L’ancien PDG d’Altice-SFR, d’Alcatel-Lucent, de Vodafone Europe et jusqu’en avril 2020 DG de Sprint, supervisera « le portefeuille d’exploitation et d’investissement de SBGI ». L’Europe et la French Tech sont en ligne de mire. Après ContentSquare, Sorare, Vestiaire Collective ou encore Jellysmack, le nippon va avancer ses pions. Mais il faudra sans doute du temps à Michel Combes (bientôt 60 ans) pour que Masayoshi Son (64 ans) lui « serv[e] de mentor et d’ami pendant [son] mandat », pour reprendre les mots de Marcelo Claure (5) envers le PDG fondateur de la firme tokyoïte où celui-ci est resté neuf ans. @

Charles de Laubier

Les alternatives aux cookies tiers, lesquels vont disparaître, veulent s’affranchir du consentement

Publié le par

Le numéro un mondial de la publicité en ligne, Google, a confirmé le 25 janvier qu’il bannira à partir de fin 2023 de son navigateur Chrome les cookies tiers – ces mouchards du ciblage publicitaire. Comme l’ont déjà fait Mozilla sur Firefox ou Apple sur Safari. Mais attention à la vie privée.

Il y a près d’un an, le 3 mars 2021, Google avait annoncé qu’il allait abandonner les cookies tiers – utilisés par les annonceurs et publicitaires à des fins de traçage des internautes et de ciblage personnalisé – au profit de « centres d’intérêts » de groupes d’individus, alors appelés « cohortes » ou, dans le jargon des développeurs «FLoC», pour Federated Learning of Cohorts (1). Une « cohorte » est un groupe d’utilisateurs aux comportements de navigation similaires et aux « intérêts communs » (2). Et ce, sans ne plus avoir à identifier les individus un par un, mais tous ensemble de façon non indentifiable.

Cohortes, fingerprinting, centres d’intérêt, …
Mais cette technique de traçage anonymisé soulevait toujours des questions au regard du consentement des internautes et de sa conformité avec le règlement général sur la protection des données (RGPD) en Europe. De plus, les « cohortes » laissaient la porte ouverte à de l’espionnage par browser fingerprinting, c’est-à-dire la prise d’empreinte à partir du navigateur web pour collecter une floppée d’information sur l’utilisateur et son équipement. Car les réseaux publicitaires s’appuient principalement sur deux méthodes pour mettre les internautes sous surveillance. Son donc dans le même bateau : le suivi par des mouchards déposés dans le terminal et les empreintes digitales issues du navigateur.
Si les cookies tombent à l’eau, qu’est-ce qui reste ? Le fingerprinting. Cette technique de traçage des internautes, indépendamment des cookies eux-mêmes, est en fait illégale sans consentement préalable de l’internaute. L’Electronic Frontier Foundation (EFF), une ONG internationale de protection des libertés sur Internet, basée à San Francisco et aujourd’hui dirigée par Cindy Cohn (photo), a mis en place il y a une dizaine d’année un outil – Cover Your Tracks (3) – qui permet à tout internaute de vérifier le niveau de traçage de son navigateur. « Lorsque vous visitez un site web, votre navigateur fait une “demande” pour ce site. En arrière-plan, le code publicitaire et les trackers invisibles sur ce site peuvent également amener votre navigateur à faire des dizaines ou même des centaines de demandes à d’autres tiers cachés. Chaque demande contient plusieurs informations sur votre navigateur et sur vous, de votre fuseau horaire aux paramètres de votre navigateur en passant par les versions de logiciels que vous avez installés », met en garde l’EFF. Si certaines de ces informations sont transmises par défaut pour simplement mieux visualiser la page sur votre écran (smartphone, ordinateur ou tablette) et en fonction du navigateur utilisé, bien d’autres informations aspirées par du navigateur peuvent remonter – de façon sournoise et à l’insu de l’intéressé – jusqu’aux réseaux publicitaires tiers. En naviguant sur le Web, chaque internaute laisse des traces comme en marchant dans la neige. C’est ce que l’on appelle une « empreinte digitale numérique », ou fingerprinting : il s’agit essentiellement de caractéristiques propres à un utilisateur, à son navigateur et à sa configuration informatique (jusqu’à la résolution de son écran et aux polices de caractère installées dans son ordinateur…). Et le tout collecté par des scripts de suivi (tracking scripts) qui constituent les multiples pièces d’un puzzle sur le profit de l’utilisateur, qui, une fois assemblées, révèlent l’image unique de l’individu ciblé. Contrairement aux cookies qui tombent sous le coup du RGPD imposant le consentement préalable de l’internaute concerné, lequel peut aussi supprimer les cookies voire bloquer les publicités en ligne à l’aide d’un adblocker (4), les empreintes digitales échappent à tout contrôle et restent difficilement modifiables et impossible à supprimer. « Cela équivaut à suivre un oiseau par son chant ou ses marques de plumes, ou une voiture par sa plaque d’immatriculation, sa marque, son modèle et sa couleur », compare l’EFF, laquelle suggère de désactiver JavaScript pour arrêter l’exécution des scripts de suivi. JavaScript est le fameux langage de programmation de scripts, créé il y a plus d’un quart de siècle maintenant et principalement employé dans les pages web interactives, autrement dit partout sur le Web. Mais désactiver JavaScript compliquera la vie de l’internaute…

Les requêtes JavaScript et le RGPD
« Le principal objectif de Cover Your Tracks est de vous aider à établir votre propre équilibre entre la confidentialité et la commodité, explique l’ONG américain. En vous donnant un résumé de votre protection globale et une liste des caractéristiques qui composent votre empreinte digitale numérique, vous pouvez voir exactement comment votre navigateur apparaît aux trackers, et comment la mise en oeuvre de différentes méthodes de protection change cette visibilité ». C’est pour éviter notamment que le fingerprinting, avec ses requêtes JavaScript, ne le mette en infraction visà- vis du RGPD et ne se retourne contre lui, que Google a abandonné FloC pour « Topics ». Quèsaco ? Fini les « cohortes », place aux « thèmes ». Moins d’intrusions dans la vie privée, plus d’information sur les centres d’intérêt, bien que cela ne sonne pas la fin du tracking publicitaire sur ordinateurs et smartphones… Ce changement de pied sera généralisé sur Chrome à partir de fin 2023, après une phase de transition dès le troisième trimestre prochain.

La Grande-Bretagne et l’Allemagne scrutent
Et l’avantage présenté par Google le 25 janvier dernier est que toute cette « cuisine thématique » reste dans le terminal de l’utilisateur et les thèmes y sont conservés durant trois semaines avant d’être effacés. Tandis que l’interface de programmation d’applications – l’API (5) – de Google exploite trois thèmes, à raison d’un thème par semaine. Explication de Vinay Goel (photo ci-contre), directeur Privacy chez Google, basé à New York : « Avec Topics, le navigateur identifie des thèmes (topics) représentatifs des principaux centres d’intérêt des utilisateurs pour une semaine donnée, tels que “fitness”ou “voyages”, en fonction de l’historique de navigation. Ces thèmes sont gardés en mémoire pendant seulement trois semaines avant d’être supprimés. Ce processus se déroule entièrement sur l’appareil utilisé, sans impliquer de serveurs externes, Google ou autre. Lorsqu’un internaute visite un site Web participant, Topics sélectionne seulement trois thèmes, un thème pour chacune des trois dernières semaines, que l’API transmet ensuite à ce même site ainsi qu’à ses annonceurs partenaires » (6). Tout cela en toute transparence : fini les mouchards, fini le suivi dissimulé et autres cookies indigestes, fini aussi le fingerprinting sournois. L’utilisateur garde la main sur ces données le concernant.
Du moins sur Chrome où il peut accéder aux paramètres de contrôle pour y voir les thèmes partagés avec les annonceurs, en supprimer certains, avec la possibilité de désactiver entièrement la fonctionnalité. « Plus important encore, souligne Vinay Goel, les thèmes sont sélectionnés avec attention afin d’exclure les catégories potentiellement sensibles, telles que le genre ou l’appartenance ethnique ». Google n’est pas le premier à bannir les cookies tiers de son navigateur Chrome. Avant lui, Mozilla, Apple, Microsoft et Brave Software les ont écartés de respectivement Firefox, Safari, Edge et Brave. Mais le plus souvent pas des filtres « anti-cookies ». L’aggiornamento du ciblage publicitaire est en tout cas venu, quitte à secouer certains acteurs comme ce fut le cas fin 2017 lorsque Criteo a dévissé en Bourse après l’annonce d’Apple contre les cookies sur iOS 11. Depuis l’adtech française a dû s’adapter (7). D’autres, comme Prisma Media ou Webedia (8), contournent le problème en imposant des « cookies walls ». Tôt ou tard, tout l’écosystème devra passer à la publicité basée sur les intérêts – Interest-based advertising (IBA) – qui est une forme de publicité personnalisée dans laquelle une annonce est sélectionnée pour l’utilisateur en fonction des intérêts dérivés des sites qu’il a visités antérieurement. « Les thèmes sont sélectionnés à partir d’une taxonomie publicitaire, qui comprendra entre quelques centaines et quelques milliers de sujets [entre 350 et 1.500 thèmes, ndlr], tout en excluant les sujets sensibles », précise par ailleurs la plateforme de développement de logiciels GitHub (9). Reste que le monde publicitaire (marques, régies, éditeurs, adtech, …) devra se faire une raison : l’IBA donnera des résultats d’affichages différents – moins performants ? – par rapport à la publicité contextuelle mais peut-être plus utiles pour l’internaute. Mais la démarche de Google – en position dominante sur le marché mondial de la publicité en ligne – inquiète de nombreux acteurs du numérique. La firme de Mountain View (Californie) a déjà eu à répondre l’an dernier devant l’autorité de la concurrence britannique, la Competition and Markets Authority (CMA), ainsi qu’à la « Cnil » britannique, l’Information Commissioner’s Office (ICO), en prenant des engagements vis-à-vis des autres acteurs du marché et envers la protection de la vie privée (10). En Allemagne, la fédération des éditeurs VDZ a fait savoir le 24 janvier dernier qu’elle en appelait – au nom de ses 500 membres – à la Commission européenne pour dénoncer « les distorsions de concurrence de Google », suite à sa décision de « bloquer les cookies de tiers dans le navigateur dominant Chrome ». La VDZ demande à ce « que l’utilisation de cookies fournis par des tiers reste autorisée, à condition, notamment, que les utilisateurs consentent eux-mêmes à leur utilisation » (11). Elle rappelle au passage qu’en avril 2021 elle a engagé avec d’autres organisations professionnelles une action antitrust contre Apple auprès de l’autorité fédérale allemande de lutte contre les cartels (12).

La Commission européenne enquête
En France, la Commission nationale de l’informatique et des libertés (Cnil) se penche sur « les alternatives aux cookies » (13) mais n’a encore rien dit sur les « Topics » de Google. De son côté, Margrethe Vestager, vice-présidente de la Commission européenne et en charge de la Concurrence et du Numérique, n’a pas attendu la requête de la VDZ pour s’interroger sur la fin des cookies tiers – notamment sur les intentions de Google – comme l’atteste un courrier daté du 23 avril 2021 et envoyé au Parlement européen (14). Deux mois après, le 22 juin 2021, la Commission européenne ouvrait une enquête sur les pratiques publicitaires de Google et sur la décision de ce dernier d’« interdire le placement de “cookies tiers” sur Chrome » (15) : « L’enquête se poursuit », nous indique Margrethe Vestager. La filiale Internet d’Alphabet est donc scrutée de toute part en Europe. Autant que les internautes eux-mêmes ? @

Charles de Laubier