Archives par mot-clé : GAFAM

Avec Numspot et Synfonium, l’Etat français – via la CDC – veut damer le pion à Google, Microsoft et Amazon

Publié le par

La Caisse des dépôts (CDC), le bras armé financier de l’Etat français, rêve de faire émerger un « Google français » en Europe. Cette reconquête numérique passe par des fonds publics injectés via la Banque des Territoires et Bpifrance, notamment dans deux futurs « champions européens » : Numspot et Synfonium.

La Caisse des dépôts et consignations (CDC), que dirige depuis plus de cinq ans maintenant Eric Lombard (photo), est une vieille institution financière publique qui aura 207 ans le 28 avril (1). Elle est devenue le bras armé de l’Etat français pour investir dans les entreprises et les territoires (2), y compris dans les infrastructures électroniques – de la téléphonie dès 1889 au numérique à partir de l’année 2000. La CDC finance les espaces publics numériques dans les territoires, les espaces numériques de travail dans les établissements scolaires, l’aménagement numérique des territoires pour garantir l’inclusion numérique, ou encore les services numériques de confiance via des projets de « cloud souverain ».
Les premiers investissements de l’Etat français dans le cloud justement remontent au début des années 2010 et l’ont été en pure perte après les échecs cuisants de Cloudwatt d’Orange et Thalès, d’une part, et de Numergy de SFR et Bull, d’autre part. A l’époque, le gouvernement avait ignoré un nouvel entrant dans le cloud venu du Nord de la France : la société OVH créée à Roubaix par le Français d’origine polonaise Octave Klaba. Dix ans après, il en va tout autrement puisque la Banque des Territoires – créée en 2018 en tant que filiale d’investissement de la CDC – a annoncé le 11 avril dernier avec Octave Klaba un partenariat pour créer la société Synfonium dans laquelle la CDC participera à hauteur de 25 % du capital.

Créer des « champions européens du cloud »
Objectif : « la construction d’un champion européen des services basés sur le cloud ». Rien de moins. « Après avoir investi dans Qwant pour soutenir la croissance d’un moteur de recherche européen respectueux de la vie privée, la Caisse des dépôts s’associe avec un acteur majeur de la tech avec pour ambition de contribuer à l’émergence d’une plateforme européenne grand public, ouverte et sécurisée, proposant divers services collaboratifs et logiciels dans le cloud », a déclaré Antoine Troesch, directeur de l’investissement de la Banque des Territoires. L’Etat français a déjà la tête dans les nuages informatiques, avec notamment un autre projet de « champion européen du cloud » baptisé Numspot, dont la société éponyme – « 100 % française » – a été créée officiellement le 27 janvier dernier et dotée d’un capital de 50 millions d’euros avec la Banque des Territoires (26 %), Docaposte/La Poste (26 %), Dassault Systèmes (19 %) et Bouygues Telecom (19 %).

Faire oublier Cloudwatt et Numergy
Le Plan d’investissement France 2030 soutient ce projet de « cloud souverain » depuis son annonce en octobre dernier sous l’égide de Bruno Le Maire, ministre de l’Economie, des Finances et de la Souveraineté industrielle et numérique, et de Jean-Noël Barrot ministre délégué chargé de la Transition et des Télécommunications. Mais, selon les informations de Edition Multimédi@, l’offre de « cloud de confiance » (basée sur la technologie Outscale de Dassault Systèmes bénéficiant déjà du label de sécurité SecNumCloud) et d’« identité numérique sécurisée » ne sera pas disponible mi-2023, comme cela était prévu, mais à la fin de l’année. L’équipe dirigeante de Numspot vient tout juste de se mettre en place, depuis février, avec Alain Issarni, un ingénieur aéronautique – les nuages, il connaît ! – comme président. Ce polytechnicien est l’ancien DSI (3) de la Caisse nationale de l’assurance maladie (Cnam), après avoir été DSI de la Direction générale des finances publiques (DGFIP). Il est épaulé par Xavier Vaccari, un ingénieur centralien Supélec qui était le directeur de la stratégie cloud de Docapost au sein du groupe La Poste détenu à 66 % par la CDC. Docapost a d’ailleurs été désigné comme le « chef de file »de Numspot. Son ambition est d’être en outre une plateforme technologique souveraine (PaaS) proposant des solutions logicielles et des services (SaaS). C’est dans le même état d’esprit « souverain » que Synfonium va être créé sous la forme de plateforme de cloud (PaaS/SaaS) accessible cette fois non seulement aux entreprises mais aussi directement aux consommateurs : « un accès transparent aux meilleurs services de collaboration européens basés sur le cloud, y compris le remote computing,le stockage sur le cloud, les fonctions de moteur de recherche, de vidéoconférence, et bien d’autres applications ».
Octave Klaba, président du conseil d’administration et fondateur de l’ex-licorne française OVH côtée en Bourse depuis octobre 2021 (4), et son frère Miroslaw Klaba, directeur R&D d’OVH, seront ensemble coactionnaires de Synfonium à hauteur de 75 % du capital – aux côtés donc des 25 % de la CDC. Les deux frères de Roubaix intègreront dans Synfonium les services d’ordinateur et de stockage virtuels de leur société Shadow qu’ils avaient acquise en 2021 via leur fonds respectif Jezby Ventures et Deep Code. Pour le moteur de recherche proposé par Synfonium, ce sera le franco-allemand Qwant qui vient d’avoir dix ans et qui est cofinancé par la Caisse des Dépôts, encore elle, et le groupe allemand Axel Springer, ainsi que par la Banque européenne d’investissement (5). « Des négociations exclusives sont actuellement en cours, ainsi qu’une analyse des récentes évolutions des conditions financières de son partenariat avec Microsoft », a expliqué la CDC à propos de Qwant qui reste encore dépendant de l’index Bing de Microsoft et de sa régie publicitaire Bing Ads. Synfonium prévoit en outre des acquisitions, des développements et des partenariats pour étoffer son bouquet de services dans le cloud, en s’appuyant aussi sur « les communautés de logiciels libres ». Avec Synfonium en cours de constitution et Numspot sur les starting-blocks, l’objectif affiché de Bercy est que « l’ensemble des administrations et des entreprises » – et « prioritairement » les acteurs économiques et institutionnels français (Etat, collectivités locales, opérateurs télécoms, banques, assurances, hôpitaux, …) – se saisissent des « offres souveraines », afin de « protéger les données les plus sensibles ». Or ce n’est pas gagné. Par exemple, selon l’observatoire Data Publica, à peine 7% des collectivités utiliseraient une offre de cloud pour stocker leurs données et applications (6).
A travers ces « cloud souverains » franco-français aux ambitions européennes, ce sont bien les GAFAM qui sont implicitement dans la ligne de mire de l’Etat afin de conquérir une part de souveraineté perdue. Le discours de l’Etat français n’est plus de créer un rival européen de Google (7) – comme cela avait pu être prétendu lors du lancement de Qwant (contraction de « Quantity » et « Want ») entre 2013 et, avec Emmanuel Macron à l’Elysée (8), en 2015 – ni même d’être un « AWS français » en référence à la filiale d’Amazon, numéro un mondial du cloud. Néanmoins, l’Etat et son bras armé de la rue de Lille (Paris) ne cachent pas qu’ils nourrissent de grands espoirs de reconquête du numérique avec leurs futurs « champions européens » du cloud multiservice dans une Europe devenue « colonie numérique » des géants américains du Net. Rien que le volet « cloud » du plan d’investissement « France 2030 », lequel a été lancé en octobre 2021 par Emmanuel Macron, est doté de 667 millions d’euros fléchés en particulier « vers des acteurs émergents, PME et start-up ». Suffisant face à Amazon Web Services (AWS), Microsoft Azure et Google Cloud ?

Education nationale : ni Google ni Microsoft
Le 6 avril dernier, Bercy a renforcé l’offre de « cloud de confiance » en sélectionnant – après appels à projets lancés par la banque publique Bpifrance, détenue à parts égales par l’Etat et la CDC – 39 projets, dont Wimi, Jamespot et Interstis dans la catégorie « suites bureautiques collaboratives cloud » ou encore Cleyrop, Dawex et Xwiki pour l’obtention du visa SecNumCloud par l’Anssi (9). « Il s’agit bien de proposer une alternative crédible aux suites Microsoft 365 et Google Workspace », dit clairement la Banque des Territoires dans son quotidien Localtis (10) destiné aux collectivités, lesquelles doivent depuis fin 2022 « renoncer aux offres gratuites de Microsoft Office et Google dans les établissements scolaires ». @

Charles de Laubier

Carte d’identité numérique européenne : c’est parti

Publié le par

En fait. Le 16 mars, le Parlement européen a adopté la décision de la commission parlementaire d’engager des « négociations » (trilogues) sur l’identité numérique européenne qui consistera à créer un portefeuille électron

En clair. Le coup d’envoi des « négociations interinstitutionnelles » en vue d’instaurer une identité numérique européenne – désignée parfois par « eID » – pour chacun des citoyens des Vingt-sept a été donné par le Parlement européen réuni en séance plénière le 16 mars. Il s’agit pour cette phase de « trilogues » – dont la première réunion tripartite (1) s’est tenue le 21 mars – de trouver un accord politique sur un cadre réglementaire entourant un système de portefeuilles électroniques à puce. Ces e-wallets nationaux seront émis par chaque Etat membre mais interopérables à travers l’Union européenne (UE). Les Européens pourront ainsi avoir dans leur smartphone – a priori dès 2024 – toute leurs données personnelles, de l’état civil (nom, prénom, date de naissance, nationalité, …) au certificat de naissance en passant par son dossier de santé ou encore le permis de conduire. Ils se serviront de leur carte d’identité numérique pour : s’identifier en ligne ou hors ligne (prouver l’identité d’une personne sur Internet sans mot de passe), conserver et échanger des informations fournies par des administrations publiques ou des acteurs privés dignes de confiance, ou encore utiliser ces informations afin d’attester de leur droit de résider, de travailler ou d’étudier dans un Etat membre (authentification transfrontière). Les e-portefeuilles faciliteront par exemple aussi la demande d’un prêt auprès de banques (2). Pour l’UE, il s’agit d’un enjeu de souveraineté visà-vis des GAFAM qui, en tant que très grandes plateformes et conformément au règlement européen DSA (3), devront faire en sorte de reconnaître ces e-wallets européens. Ce sera particulièrement le cas pour Google, Amazon, Facebook ou encore Apple, dont les systèmes d’identification seront ainsi concurrencés. Rien n’empêcherait alors d’obliger les réseaux sociaux de vérifier l’âge des adolescents (de 13 ans) sur présentation de l’e-wallet européen.
Proposé en juin 2021 par la Commission européenne pour compléter le règlement dit « eIDAS » de 2014 sur « l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur » (4), ce nouveau cadre « eID » a déjà été adopté par le Conseil des ministres de l’UE en décembre dernier. Les négociations porteront notamment sur le niveau de sécurité qui sera plus élevé que, par exemple, système national France Connect (5). @

« Contribution équitable » aux réseaux des opérateurs télécoms : ce qu’en pensent les GAFAM

Publié le par

Les Google, Amazon, Facebook (Meta), Apple et autres Microsoft ont réagi à l’idée – soumise à consultation par la Commission européenne jusqu’au 19 mai – qu’ils « contribuent équitablement » aux investissements des réseaux des opérateurs télécoms. C’est injustifié et risqué pour la neutralité du Net.

Les GAFAM et les « telcos », notamment les opérateurs télécoms historiques (Orange, Deutsche Telekom, Telefonica, Telecom Italia, …), vont plus que jamais se regarder en chiens de faïence. Les grandes plateformes numériques de l’Internet vont avoir l’occasion de démontrer que « tout paiement pour l’accès aux réseaux pour fournir du contenu ou pour le volume de trafic transmis serait non seulement injustifié, étant donné que le trafic est demandé par les utilisateurs finaux et que les coûts ne sont pas nécessairement sensibles au trafic (notamment sur les réseaux fixes), mais aussi qu’il compromettrait le fonctionnement de l’Internet et enfreindrait probablement les règles de neutralité de l’Internet ».

Droits et principes numériques à la rescousse
C’est du moins en ces termes que la Commission européenne formule la position des GAFAM dans le questionnaire de sa « consultation exploratoire sur l’avenir du secteur de la connectivité et de ses infrastructures », ouverte depuis le 23 février et jusqu’au 19 mai (1).
En face, les opérateurs télécoms – du moins les anciens monopoles d’Etat des télécommunications en Europe – « demandent la mise en place de règles obligeant les fournisseurs de contenus et d’applications, ou les acteurs numériques en général qui génèrent d’énormes volumes de trafic, à contribuer aux coûts de déploiements des réseaux de communications électroniques [sous la forme d’une] contribution [qui] serait “équitable”, étant donné que ces (…) acteurs numériques profiteraient des réseaux de qualité sans supporter le coût de leurs déploiements ». Prudente, la Commission européenne se garde bien de prendre parti, contrairement aux prises de position favorable aux « telcos » de son commissaire européen Thierry Breton, en charge du marché intérieur (2), qui fut dans une ancienne vie président de France Télécom devenu Orange (octobre 2002-février 2005). Elle fait référence à la Déclaration européenne sur les droits et principes numériques pour la décennie numérique (DEDPN), telle que promulguée le 23 janvier 2023 au Journal officiel de l’Union européenne (3). Deux points de cette déclaration sont mentionnés dans le questionnaire de la Commission européenne :
« Tous les acteurs du marché bénéficiant de la transformation numérique devraient assumer leurs responsabilités sociales et apporter une contribution équitable et proportionnée aux coûts des biens, services et infrastructures publics, dans l’intérêt de toutes les personnes vivant dans l’Union », indique l’exécutif européen. Remarquez que la DEDPN elle-même ne parle pas explicitement de « contribution équitable » comme le fait la Commission européenne, mais de « particip[ation] de manière équitable et proportionnée aux coûts » (4).
« L’accent est également mis sur la protection d’un Internet neutre et ouvert dans lequel les contenus, les services et les applications ne sont pas bloqués ou dégradés de manière injustifiée, ce qui est déjà inscrit dans le règlement sur l’accès à un Internet ouvert ». Là, l’exécutif européen reste fidèle au passage de la DEDPN (5) mais en ajoutant la référence au règlement européen du 25 novembre 2015 qui ne parle pas explicitement de « neutralité de l’Internet » mais d’« Internet ouvert » (6). Donc : pas de blocage ni de ralentissement, ni de modification ni de restriction, ni de perturbation ni dégradation, ni de traitement de manière discriminatoire, hormis « des mesures raisonnables de gestion du trafic » (7).
Aux différents acteurs du numérique (opérateurs télécoms et acteurs du numérique), la Commission européenne leur demande de lui indiquer, entre 2017 et 2021 puis leurs prévisions de 2022 à 2030, leurs « investissements directs dans des infrastructures de réseau et/ou d’autres infrastructures numériques [hébergement, transport de données, centres de données, CDN (8), etc] capables d’optimiser le trafic de réseau au sein des Etats membres de l’UE ou présentant un intérêt pour ceux-ci ». Il est notamment demandé aux opérateurs télécoms de dire dans quelle mesure la part des investissements dans les réseaux a dépassé les investissements qu’ils avaient prévus au cours des cinq dernières années, « y compris lorsqu’ils dépendaient d’obligations réglementaires (par exemple, le spectre radioélectrique) », et de quantifier l’augmentation du trafic (entrant/sortant) par leurs réseaux.

« Top 10 » des réseaux et compression
Chaque opérateur télécoms est aussi appelé à « indiquer nominativement les 10 principaux contributeurs et indiquer le pourcentage du trafic total qu’ils ont généré sur [son] réseau ». Pour autant, la Commission européenne ne veut pas faire l’impasse sur les nouveaux algorithmes de compression qui peuvent – « en partie » – compenser l’augmentation du trafic de données demandée par les mises à jour et les progrès réalisés dans ce domaine. Elle demande aux « telcos » de leur indiquer les modifications dans le volume de données transmis sur leur réseau « résultant de l’évolution des algorithmes de compression » au cours des cinq dernières années. Les réponses proposées sur les gains obtenus grâce à la compression vont de « pas de changement significatif » à « plus de 15 % » de diminution, en passant par « jusqu’à 5 % », « de 6 à 10 % » et « de 11 à 15 % ». Ce qui laisse supposer que la compression des données n’est sans doute pas négligeable.

Les internautes vont payer deux fois (CCIA)
La Computer & Communications Industry Association (CCIA), basée aux Etats-Unis et représentant notamment les GAFAM (le « F » étant devenu Meta) aux côtés de Twitter, Yahoo, Rakuten, eBay, Vimeo, Pinterest, Uber, Intel et d’autres, s’inscrit en faux contre cette idée de « redevances de réseau » (network fees). « L’introduction de frais de réseau est une idée terrible. Les Européens paient déjà les opérateurs télécoms pour l’accès à Internet ; ils ne devraient pas avoir à payer les télécoms une deuxième fois. Et[cela] minerait l’Internet ouvert », s’inquiète Christian Borggreen (photo de gauche), vice-président et directeur de la CCIA Europe. D’après elle, la Commission européenne donne l’impression d’avoir cédé aux sirènes des « telcos ». « Si les grands opérateurs télécoms de l’UE parvenaient à leurs fins, les entreprises du numérique seraient obligées de payer des redevances de réseau chaque fois qu’elles répondent aux demandes des utilisateurs d’Internet. (…) Le questionnaire (…) semble déjà accepter le principe de la fausse “juste part” [fair share] poussée par les grands opérateurs télécoms ».
Pour la CCIA, cela revient à « justifier l’idée que les services de streaming et de cloud rencontrant un succès devraient (…) subventionner les opérateurs télécoms ». Or, rappellet-elle, l’Organe des régulateurs européens des télécoms (Orece ou Berec) « n’a trouvé aucune preuve que ce mécanisme [pour les redevances de réseau] est justifié » et a conclu que ces network fees « pourraient présenter divers risques pour l’écosystème Internet ». En effet, le Berec – dont fait partie l’Arcep en France – conclut dans sa note d’une quinzaine de pages datée du 7 octobre 2022 (9) qu’il « n’a pas de preuve que ce mécanisme [de “compensation directe” susceptible d’être payée par les plateformes aux opérateurs, ndlr] est justifié » et que « la proposition des membres de l’Etno [l’association européenne des opérateurs télécoms historiques, ndlr] pourrait présenter divers risques pour l’écosystème Internet ». La CCIA Europe met implicitement en garde la Commission européenne sur l’échec d’une telle mesure, en signalant « une expérience réglementaire similaire a déjà échoué en Corée du Sud » (10). Un autre lobby des GAFAM entre autres, appelé Dot Europe (ex-Edima) et basé lui aussi à Bruxelles, « encourage la Commission européenne à adopter une approche objective similaire » à celle du Berec. Selon Siada El Ramly (photo du milieu), directrice générale de Dot Europe, l’avis émis en octobre par le Berec constitue « déjà un bon point de départ (…) montrant qu’il n’y a pas de lacunes identifiables concernant l’investissement dans l’infrastructure de réseau ». En revanche, silence radio du côté de DigitalEurope (ex-Eicta), elle aussi organisation professionnelle des GAFAM entre autres Big Tech (11), que Edition Multimédi@ a contactée mais sans succès.
En France, l’Association des opérateurs télécoms alternatifs (Aota) était montée au créneau en novembre dernier pour défendre – note du Berec à l’appui aussi – la neutralité de l’Internet qu’elle estime menacée par le projet d’un « Internet à péage » (12). Quant à l’Association des services Internet communautaires (Asic), basée à Paris et regroupant Google, Facebook, Microsoft ou encore Yahoo, elle a exprimé le 24 février « son refus catégorique de la mise en place d’un péage numérique en Europe, qui porterait atteinte à la neutralité du Net » et estime qu’« il n’y a actuellement pas de déséquilibre justifiant l’intervention du législateur dans la réglementation du peering payant ». Le président de l’Asic, Giuseppe de Martino (photo de droite) avait cosigné le 7 février – avec les présidents de l’Aota (Bruno Veluet), de l’Internet Society France (Nicolas Chagny) et de France IX Services (Franck Simon) – une tribune pour dire que « la création d’un péage numérique en Europe est une fausse bonne idée » (13).
Contrairement à l’Etno (14) des opérateurs télécoms historiques et à la GSMA (15) des opérateurs mobiles, d’autres organisations représentatives des opérateurs télécoms alternatifs – comme nous l’avons vu avec l’Aota – son réticentes voire hostiles au renforcement des opérateurs de réseaux historiques dans leur rentabilité et dans leur position dominante.

Gigabit Infrastructure Act : anti-concurrentiel ?
Sans évoquer spécifiquement la question de la redevance « GAFAM », l’Ecta – association des opérateurs télécoms alternatifs (16) – s’en est pris plus globalement au « Paquet connectivité » présenté par la Commission européenne le 23 février (17). « Un #Gigabit Infrastructure Act (18) est inutile si la recommandation Gigabit est le clou final dans le cercueil de la concurrence. Les investissements en souffriront et les prix de détail augmenteront et alimenteront l’inflation. De nombreux citoyens de l’UE seront exclus et ne pourront pas se permettre la connectivité Gigabit », a tweeté l’Ecta (19). Parmi ses membres, il y a – outre l’Atoa – Bouygues Telecom, Iliad (Free), Colt, Transatel Sky, Fastweb ou encore Eurofiber. @

Charles de Laubier

Taxe GAFA (OCDE) : convention multilatérale en vue

Publié le par

En fait. Les 24 et 25 février, s’est tenue la première réunion des ministres des Finances et des gouverneurs des banques centrales du G20, lequel avait lieu en Inde à Bangalore. Il a été question de la future taxe « GAFA » de l’OCDE qui s’appliquera une fois la « convention multilatérale » signée par 138 pays. Fin 2023 ?

En clair. L’« accord historique » du 8 octobre 2021, arraché à 136 pays (aujourd’hui 138) par l’Organisation de coopération et de développement économiques (OCDE) sur les 140 qui se sont engagés auprès d’elle à lutter contre l’évasion fiscale et les paradis fiscaux (1), n’a pas encore produit tous ses effets. Le « pilier 2 » de cet accord – à savoir un taux d’imposition de 15 % minimum sur le bénéfice des multinationales (GAFAM compris) réalisant au moins 750 millions d’euros de chiffre d’affaires annuel – a été transposé par la plupart des pays, y compris par l’Union européenne avec la directive du 14 décembre 2022 et applicable « au plus tard le 31 décembre 2023 » (2). Pour des pays comme la France et les Etats-Unis, où l’impôt sur les sociétés est respectivement de 25 % (15 % pour les PME) et 21 %, cela ne change rien.
En revanche, le « pilier 1 » de l’accord « OCDE » piétine. Il vise particulièrement les GAFAM, lesquels seront taxés à hauteur de 25 % de leur bénéfice taxable (au-delà d’un seuil des 10 % de profits, pour que ces sommes soient réattribuées aux pays concernés selon une clé de répartition en fonction des revenus générés dans chacun de ces pays (3). Mais cette réaffectation de l’impôt collecté auprès de ces « grands champions » de la mondialisation et de la dématérialisation nécessite une « convention multilatérale » (CML) que doivent signer chacun des 138 pays ayant à ce jour accepté la déclaration du 8 octobre 2021 (4). Aux Etats-Unis, ce texte devra être ratifié par les deux tiers des sénateurs américains – ce qui n’est pas gagné au pays des GAFAM ! L’Inde, qui reçoit cette année le G20 à Bangalore, bloque tant que les pays en développement ne seront pas aidés financièrement dans la mise en œuvre. Tandis que l’Arabie saoudite veut des exceptions.
C’est au sein de l’instance appelée « Cadre inclusif OCDE/G20 sur le BEPS » (5), chargée de remédier à l’évasion fiscale et aux paradis fiscaux, que se joue l’avenir de la fiscalité numérique des géants du Net. La CML, soumise à signature jusqu’au 31 décembre 2023, obligera dès son entrée en vigueur la sup- pression des « taxes GAFA » instaurées dans leur coin par certains pays comme la France, l’Espagne ou le Royaume-Uni. La France, qui fait « cavalier seul » depuis 2019 (3 % du chiffre d’affaires publicitaire des GAFA réalisé en France), compte récupérer 670 millions d’euros en 2023, contre 591 millions en 2022. @

Google Analytics, outil de mesure d’audience le plus utilisé au monde : toujours illégal en Europe ?

Publié le par

Il y a un an, la Cnil mettait en demeure une première société française éditrice d’un site web utilisant Google Analytics, jugé incompatible avec le RGPD quant au transfert des données vers les Etats-Unis. Deux autres sociétés ont été aussi épinglées sur les 101 plaintes de l’association Noyb.

Il y a plus de trois mois, Russell Ketchum (photo de gauche), directeur de Google Analytics, confirmait qu’Universal Analytics sera remplacé 1er juillet 2023 par la version 4 de Google Analytics (GA4), tandis qu’« Universal Analytics 360 » sera, lui, finalement prolongé jusqu’au 1er juillet 2024 (1), soit au-delà du 1er octobre 2023 initialement prévu (2). Quésaco ? Universal Analytics est la version basique et gratuite de l’outil de mesure d’audience le plus utilisé au monde par des sites web et des applications mobiles.

Le transfert des données vers les USA
Google Analytics détient en effet 86,1 % de parts de marché au 7 février 2023 en étant utilisé par 56,5 % de tous les sites web, selon W3Techs, suivi par Facebook Pixel et de bien d’autres analyseurs de trafic (3). « Universal Analytics 360 » est, elle, la version premium payante de Google Analytics destinée principalement aux grandes entreprises. Edition Multimédi@ a demandé à Google si GA4 répondait aux préoccupations des Européens sur la protection de leur vie privée, conformément au règlement général sur la protection des données (RGPD), et notamment aux mises en demeure prononcées par la Cnil en décembre 2021 et en décembre 2022 ? « Nous avons en effet récemment introduit de nouvelles fonctionnalités pour Google Analytics 4 qui permettent par exemple aux sites web de ne pas enregistrer ni stocker les adresses IP via GA4, ou encore de minimiser les données collectées concernant l’utilisateur, ce qui peut ainsi aider à répondre aux préoccupations d’identification des utilisateurs. Cependant, le véritable problème au cœur de tout cela reste les transferts de données entre l’Union européenne et les Etats-Unis qui manquent d’un cadre juridique stable pour les entreprises européennes et américaines », nous a répondu le géant du Net. Et d’ajouter : « Nous considérons que l’Executive Order récent[d’octobre 2022, ndlr] de la Maison Blanche est une étape importante dans ce travail » (4). De quoi rassurer les éditeurs de sites web et d’applis mobiles utilisant Google Analytics et les « Cnil » en Europe qui les surveillent voire les sanctionnent ? Rien n’est moins sûr. Il y a un an en France, le 10 février 2022, la Cnil mettait en demeure la toute première société pour non-respect du RGPD pour l’utilisation de Google Analytics pour mesurer son audience web (5). La Cnil considère implicitement que Google Analytics est ni plus ni moins illégal au regard du RGPD pour deux motifs principaux : les mesures mises en place par Google ne sont pas suffisantes pour exclure la possibilité d’un accès aux données de résidents européens ; les données des internautes européens sont donc transférées illégalement vers les Etats-Unis par le biais de ce même outil. Cette première décision de la Cnil a été publiée il y a un an, mais de façon anonymisée, pour l’exemple (6). Mais il s’agit de l’une des trois sociétés françaises utilisant Google Analytics contre lesquelles l’organisation autrichienne Noyb dirigée par Max Schrems (photo de droite) avait déposé plaintes – parmi un total de 101 plaintes (7) déposées en août 2020 – auprès des « Cnil » européennes, dénonçant des transferts illégaux de données à caractère personnel vers les Etats-Unis.
La Cnil en France avait ainsi été destinataire de trois plaintes à l’encontre de respectivement Decathlon, Auchan et Sephora. Parallèlement, concernant cette fois l’outil Facebook Connect, la Cnil était aussi saisie de trois autres plaintes à l’encontre de Free Mobile, Leroy Merlin et Le Huffington Post. Après sa première décision concernant Google Analytics, la Cnil mettra également en demeure les deux autres sites web mis en cause (parmi Decathlon, Auchan et Sephora). Ce dont se félicitera à nouveau la Noyb le 5 avril 2022 dans un communiqué où sont mises en ligne les deux autres décisions de la Cnil, là aussi anonymisées (8). Ces trois sociétés disposaient d’un délai d’un mois – renouvelable à leur demande – pour se mettre en conformité et justifier cette conformité auprès de la Cnil.
Mais la Cnil n’a pas été la première à épingler les éditeurs de services en ligne qui utilisent Google Analytics. Son homologue autrichienne – la Datenschutzbehörde (DSB) – avait ouvert la voie deux semaines avant dans une décision inédite datée du 22 décembre 2021 et considérée comme « révolutionnaire » par la Noyb (9).

L’Italie, la Grèce mais pas l’Espagne
Ce fut la première fois en Europe que l’utilisation de Google Analytics est considérée comme une violation du RGPD. D’autres décisions ont été prises par d’autres autorités en Europe – la Grèce par décision de l’APD de janvier 2022 (10) et l’Italie par décision de la GPDP de juin 2022 (11) – à l’encontre de l’utilisation de « GA ». En revanche, la « Cnil » espagnole – l’AEDP – n’a pas suivi ni ses homologues européennes ni la CEPD en publiant le 15 décembre 2022 une décision rejetant la plainte de Noyb (12). Ces premières décisions sur les 101 plaintes déposées par Noyb faisaient suite à la décision de 2020 dite « Schrems II » de la Cour de justice de l’Union européenne (CJUE) estiment que l’utilisation des services Internet américains violait le RGPD, car les lois de surveillance américaines exigent que les Google, Facebook et autres Twitter fournissent aux autorités américaines des détails personnels sur leurs utilisateurs, mêmes Européens.

Le spectre de la loi américaine FISA
Par exemple, la loi américaine FISA – Foreign Intelligence Surveillance Act – autorise expressément la NSA – National Security Agency – à collecter les données personnelles des utilisateurs situés hors des Etats-Unis si ces data sont stockées sur des serveurs américains. Autre texte américain, présidentiel celui-ci : l’OE – Executive Order – numéro 12.333 qui renforce les services de renseignement aux Etats-Unis depuis Ronald Reagan et George W. Bush. C’est pour ces raisons que la CJUE avait annulé en 2020 l’accord de transfert « Privacy Shield » (décision « Schrems II » de 2020), après avoir annulé l’accord précédent « Safe Harbor » (décision « Schrems I » de 2015). Cela provoqua une onde de choc pour les GAFAM qui les secouent encore aujourd’hui (13). « Nous nous attendons à ce que des décisions similaires tombent progressivement dans la plupart des Etats membres de l’UE. Nous avons déposé 101 plaintes dans presque tous les Etats membres et les autorités [les « Cnil » européennes, ndlr] ont coordonné la réponse », s’était félicité Max Schrems. Il est prêt à attaquer à nouveau devant la CJUE la nouvelle décision sur le transfert des données « UE-USA » (14) publiée par la Commission européenne le 13 décembre dernier (15). Dans la foulée de la décision de la DSB en Autriche, le Contrôleur européen de la protection des données (CEPD) – regroupant les « Cnil » européennes – avait également rendue une semaine avant une décision commune similaire (16). S’il devait y avoir sanction, le RGPD prévoit qu’elle peut aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise du Net.
C’est justement parce que Google Analytics est largement utilisé par une écrasante majorité d’éditeurs de services en ligne que la Cnil avait décidé d’anonymiser ses trois décisions. « Il ne paraissait pas utile de citer le nom d’un éditeur de site en particulier, l’usage de cet outil étant très répandu. L’objectif est que l’ensemble des responsables de traitement utilisant cet outil se mette en conformité », justifiait ainsi le gendarme des données personnelles. Il avait d’ailleurs mis en garde tous les éditeurs concernés : « Tous les responsables de traitement utilisant Google Analytics d’une façon similaire à ces organismes doivent considérer dès à présent cette utilisation comme illégale au regard du RGPD. Ils doivent donc se tourner vers un prestataire proposant des garanties suffisantes de conformité ». D’après la Cnil, les trois sociétés mises en demeure avaient établi avec Google des clauses contractuelles types, proposées par défaut. Or ces dernières ne peuvent assurer seules un niveau de protection suffisant en cas de demande d’accès d’autorités étrangères, notamment si cet accès est prévu par des lois locales. En réponse au questionnaire envoyé par la Cnil, Google a indiqué que l’ensemble des données collectées par le biais de Google Analytics était hébergé aux Etats-Unis. Néanmoins, avait mentionné le gendarme français des données personnelles le 7 juin 2022, « Google avait indiqué avoir mis en place des mesures supplémentaires d’ordre juridique, organisationnel et technique, qui ont cependant été jugées insuffisantes pour assurer la protection effective des données personnelles transférées, en particulier contre des demandes d’accès aux données par des services de renseignement états-uniens » (17).
La Cnil avait en outre fait savoir que Google avait indiqué utiliser des mesures de pseudonymisation (18), mais non d’anonymisation (19). « Google propose bien une fonction d’anonymisation des adresses IP, a constaté la Cnil, mais celle-ci n’est pas applicable à tous les transferts. En outre, les éléments fournis par Google ne permettent pas de déterminer si cette anonymisation a lieu avant le transfert aux Etats-Unis ». Autre problème que pose Google Analytics : la réidentification de l’internaute. En effet, la seule utilisation d’identifiants uniques permettant de différencier les individus peut amener à rendre les données identifiables, en particulier lorsqu’elles sont associées à d’autres informations telles que les métadonnées relatives au navigateur et au système d’exploitation.

Data et navigation : le risque de suivi demeure
De plus, l’utilisation de Google Analytics avec d’autres services de Google, notamment marketing, peut amplifier le risque de suivi. « En effet, explique la Cnil, ces services, très utilisés en France, peuvent permettre un recoupement de l’adresse IP et ainsi de retracer l’historique de navigation de la majorité des internautes sur un grand nombre de sites ». Quant au chiffrement de données par Google, il s’est avéré insuffisant car Google procède lui-même au chiffrement des données et a l’obligation d’accorder l’accès ou de fournir les données importées qui sont en sa possession, y compris les clés de chiffrement nécessaires pour les décrypter. @

Charles de Laubier