Protection des données : après 5 ans de mise à l’épreuve du RGPD, son réexamen sera le bienvenu

En attendant le réexamen en 2024 du règlement sur la protection des données (RGPD), les entreprises peinent à remplir certaines de leurs obligations, comme celle de transparence envers les utilisateurs, et doivent faire face au détournement du droit d’accès aux données et à la déferlante de l’IA.

Par Sandra Tubert, avocate associée, Algo Avocats

Entré en application le 25 mai 2018, deux ans après son entrée en vigueur afin de laisser aux entreprises le temps nécessaire pour se mettre en conformité, le règlement européen sur la protection des données (RGPD) affichait des objectifs ambitieux (1). La couverture médiatique dont il a fait l’objet a permis de sensibiliser les Européens à la protection de leurs données à caractère personnel, mais également au RGPD de s’imposer comme une référence pour les Etats étrangers ayant adopté une loi similaire. Pour autant, avec un recul d’un peu plus de cinq ans, le RGPD peine à remplir pleinement certains des objectifs fixés.

Internautes concernées mieux informés
Dans la lignée de la directive « Protection des données personnelles » de 1995 qui l’a précédée (2), le RGPD n’a pas choisi la voie de la patrimonialisation des données à caractère personnel. Le législateur européen n’a en effet pas créé de droit à la propriété sur les données à caractère personnel, mais s’est plutôt orienté vers une approche de protection des données permettant aux personnes concernées d’avoir une certaine maîtrise de l’utilisation faite de leurs données à caractère personnel. Deux objectifs principaux ont été associés à cette approche : renforcer la transparence sur les traitements réalisés et fournir des droits supplémentaires aux personnes concernées. C’est ainsi que le RGPD est venu renforcer l’obligation faite aux responsables du traitement de fournir une information détaillée sur les traitements mis en œuvre (3). L’objectif affiché était louable : une transparence accrue afin de permettre aux individus de comprendre en amont l’utilisation envisagée de leurs données par les entreprises et ainsi d’en avoir la maîtrise en leur laissant la possibilité d’effectuer un choix éclairé : refuser la communication de leurs données, s’opposer à certains traitements, ou bien encore donner leur consentement à la réalisation de certaines activités.
En pratique, les entreprises ont l’obligation de fournir l’intégralité des informations prévues par le RGPD de façon concise, transparente, compréhensible et aisément accessible, en utilisant des termes clairs et simples. Or répondre à ces impératifs de manière conforme à ce qui est attendu par les autorités de contrôle – comme la Commission nationale de l’informatique et des libertés (Cnil) en France – est l’une des premières difficultés que cinq ans de pratique du RGPD ont fait émerger. En effet, les organisations ont des difficultés à concilier les exigences de fourniture d’une information exhaustive et très technique – notamment concernant les bases légales du traitement et les garanties fondant les transferts des données hors de l’Union européenne (4) – avec celles de clarté et de concision. Ainsi, au titre des effets pervers de cette obligation de transparence accrue, les citoyens européens font face à des politiques de confidentialité toujours plus longues, rédigées en des termes trop techniques ou trop juridiques. De l’autre côté, les autorités de protection des données n’hésitent pas à sanctionner les manquements à cette obligation, puisque le « défaut d’information des personnes » figure parmi les manquements les plus fréquemment sanctionnés par la Cnil (5).
Cette obligation a été couplée à la fourniture de droits supplémentaires aux personnes, toujours dans une optique de leur offrir une meilleure maîtrise de leurs données. En pratique, le RGPD a repris les droits existants depuis la directive « Protection des données personnelles » (droits d’accès, de rectification, d’opposition), consacré le droit d’effacement (6) et créé de nouveaux droits (droits à la limitation du traitement et à la portabilité des données). La sensibilisation du grand public à l’existence de ces droits, grâce notamment aux actions de la Cnil et au traitement médiatique, ont eu pour effets la réception, par les entreprises, de demandes fondées sur les droits issus du RGPD de plus en plus nombreuses. Par ricochet, les autorités de protection des données ont, elles aussi, vu le nombre de plaintes déposées auprès de leurs services augmenter considérablement (7). Ainsi, la Cnil a reçu 12.193 plaintes en 2022 contre 7.703 en 2016. L’objectif fixé par le RGPD semble donc atteint sur ce point.

Droit d’accès : instrumentalisation
Néanmoins, ces dernières années ont également été témoin du détournement du droit d’accès, aussi bien dans la sphère sociale que commerciale. En effet, les entreprises reçoivent de plus en plus de demandes de droit d’accès dont l’objectif n’est pas de vérifier l’existence et la licéité du traitement des données, mais au contraire de se constituer des preuves dans le cadre d’un précontentieux ou d’un contentieux à l’encontre de l’entreprise. Cette instrumentalisation est parfaitement connue des autorités qui ont toutefois réaffirmé (8) que, dans le cadre de l’évaluation des demandes reçues, le responsable du traitement ne devait pas analyser l’objectif du droit d’accès en tant que condition préalable à l’exercice de ce droit et qu’il ne devait pas refuser l’accès au motif que les données demandées pourraient être utilisées par la personne pour se défendre en justice. Les entreprises n’ont ainsi d’autres choix que de donner suite à ces demandes, en restreignant la nature des données communiquées aux seules données relatives à la personne concernée et en veillant à ne pas porter atteinte aux droits des tiers (9).

Des obligations de sécurité renforcées
La protection des données à caractère personnel passant nécessairement par la sécurité de celles-ci, le RGPD est venu renforcer les obligations à la charge des entreprises au moyen de deux mécanismes assez efficaces : l’obligation pour les responsables du traitement de notifier les violations de données aux autorités de contrôle (10), voire directement aux personnes concernées, respectivement lorsqu’elles présentent des risques ou des risques élevés pour les personnes; l’obligation pour les responsables du traitement et les sous-traitants (11) de mettre en œuvre des mesures de sécurité appropriées aux risques présentés par le traitement.
Il est assez difficile de déterminer si les objectifs de sécurisation des données fixés par le RGPD sont atteints. Néanmoins, dans un contexte où les attaques par rançongiciel (ransomware) se multiplient chaque année (12), les autorités de contrôle sont particulièrement vigilantes quant au respect de ces deux obligations. En témoigne notamment le fait qu’en 2022, un tiers des sanctions prononcées par la Cnil concernait un manquement à l’obligation de sécurité. Ce même manquement a conduit cette dernière à prononcer sa première sanction publique à l’encontre d’un sous-traitant (13), un éditeur de logiciel, pour un montant de 1,5 million d’euros. Elle n’a pas non plus hésité à sanctionner une entreprise qui n’avait pas informé les personnes concernées de la violation de données intervenue, alors qu’elle présentait un risque élevé pour ces dernières.
Sur le respect de l’obligation de notification des violations de données, il est assez difficile de tirer de réels enseignements des chiffres disponibles, même si l’on constate des disparités importantes quant au nombre de notifications de violation de données réalisées chaque jour en fonction des pays. A titre d’exemple, il y a environ 14 notifications par jour en France, contre 27 notifications par jour au Royaume-Uni.
Cette disparité se retrouve également dans le nombre de sanctions prononcées chaque année par les autorités de contrôle et l’approche suivie par ces dernières. Si l’autorité espagnole prononce énormément de sanctions, l’autorité irlandaise est régulièrement épinglée (y compris par ses homologues) pour sa clémence et le peu de sanctions prononcées depuis l’entrée en application du RGPD, alors même qu’elle fait office d’autorité chef de file de la plupart des GAFAM (14). C’est finalement sur ce point que le RGPD peine à convaincre et à remplir pleinement ses objectifs, à savoir inciter les entreprises à se mettre en conformité au moyen d’un arsenal répressif dissuasif. En effet, à l’exception des quelques fortes sanctions (dont la dernière en date de 1,2 milliard d’euros à l’encontre de Meta), prononcées principalement à l’encontre des GAFAM et des géants du Net, les sanctions à l’encontre des sociétés sont moins fréquentes que ce qui était escompté par les associations de protection des données. Et les montants des sanctions financières sont assez éloignés des montants maximums encourus (4 % du chiffre d’affaires mondial consolidé). En France, en dehors des sanctions prononcées à l’encontre des GAFAM (dont beaucoup pour des manquements en matière de cookies, non régulés par le RGPD) et très récemment de Criteo (40 millions d’euros), le montant des sanctions prononcées par la Cnil sur le fondement du RGPD oscille depuis cinq ans entre 125.000 et 3 millions d’euros (15).
L’association Noyb (16), à l’origine de nombreuses sanctions prononcées en Europe au cours des cinq dernières années, dénonce une certaine résistance des autorités de contrôle et des tribunaux nationaux dans l’application effective du RGPD (17). Elle appelle à suivre l’initiative de la Commission européenne d’adopter un règlement sur les règles de procédure relatives à l’application du RGPD (18), ce qui permettrait selon Noyb d’uniformiser l’approche procédurale des autorités et ainsi de favoriser une meilleure application du RGPD.
Par ailleurs, si les entreprises ont pu craindre la multiplication des actions de groupe en matière de protection des données, cette modalité d’action est à l’heure actuelle peu utilisée par les associations de protection des données. En France, seulement deux actions de groupe ont été portées devant les juridictions : l’ONG Internet Society France contre Facebook et l’association UFC-Que-Choisir contre Google. Ce qui pourrait changer au regard des dernières annonces faites par Noyb suite à l’entrée en application des dispositions issues de la directive « Recours collectifs » de 2020 (19).

Vers un réexamen du RGPD en 2024
Enfin, le paysage législatif européen pourrait également avoir un impact sur l’application du RGPD. En effet, plusieurs textes européens adoptés récemment (DSA, DGA) ou en cours d’adoption (DA, AIA) ont des champs d’application recoupant celui du RGPD, ce qui va notamment nécessiter de veiller à garantir leurs bonnes articulations. A cette occasion, ou au titre de l’article 97 du RGPD (réexamen tous les 4 ans à compter du 25 mai 2020), il serait souhaitable de voir le législateur européen adresser certaines des difficultés rencontrées par les entreprises dans la mise en application pratique du RGPD. @

Le paiement sur facture opérateur est de plus en plus une alternative aux GAFAM… qui le proposent

Les opérateurs télécoms en France sont à la fois en concurrence avec les géants du Net et leurs moyens de paiements en ligne, mais aussi partenaires avec certains (Google, Apple, Microsoft, …) qui proposent aussi le paiement sur facture opérateur. Le streaming booste ce marché.

« Apple, Blizzard, Google Play, Microsoft Store et Sony Playstation offrent l’option “facture opérateur” comme un moyen de paiement à part entière aux côtés de la carte bancaire, du porte-monnaie électronique ou du prélèvement. Cette solution de paiement connaît un succès toujours croissant du fait de son caractère pratique et sécurisant », s’est félicitée le 15 juin l’Association française pour le développement des services et usages multimédias multi-opérateurs (AF2M).

Streaming et Store : moitié des dépenses
Ainsi, des géants du Net contribuent à la croissance du marché français du paiement sur facture opérateur qui peut être « une alternative à des solutions proposées par les GAFA » ainsi qu’à des acteurs historiques du e-paiement. « Le paiement sur facture opérateur permet de régler ses achats sans communiquer ses coordonnées bancaires ou créer de moyen de paiement en ligne tel que PayPal », souligne l’AF2M (1). De grandes plateformes de streaming et de grands éditeurs ajoutent ainsi la possibilité complémentaire pour leurs utilisateurs d’être facturés directement par leur opérateur télécoms. Pour cela, ils recourent aux solutions dites de Direct Carrier Billing (DBC) ou de « Store OTT » proposés par ces derniers. La progression de ce segment de marché, appelé « Stores et DCB » par l’AF2M et porté par le streaming, est telle qu’il pèse en 2022 quasiment la moitié du total des dépenses effectuées par les utilisateurs facturés par les opérateurs télécoms : 49 %, soit 285,6 millions d’euros l’an dernier (voir le tableau ci-contre). Sur cinq ans, le « Stores et DCB » a même fait un bond de 220 %, l’AF2M précisant qu’« avant 2017, le montant global dépensé par les utilisateurs des solutions de paiement Store/streaming était intégré à la solution de paiement Internet+ ». Cela explique en partie qu’« Internet+ Mobile » et « Internet+Box » aient baissé significativement en 2018 et 2019. Depuis, « Internet+ Mobile », porté par les smarphones, a repris de l’embonpoint pour représenter 26,8 % des dépenses sur facture opérateur en 2022 (156,4 millions d’euros, + 8,4 %). En revanche, « Internet+Box » ne s’est pas redressé et ne pèse que 4,3 % du total l’an dernier (25,1 millions d’euros, – 10,6 %). Quant au SMS+, il fait de la résistance en étant le troisième mode de paiement sur facture opérateur : en hausse de 3,5 % sur un an, 79,7 millions d’euros. « Les solutions SMS+ permettent de participer à des jeuxconcours ou de voter par SMS, ce segment ayant été porté par la Coupe du monde de football 2022, qui a généré un fort engouement pour les votes et les pronostics », relève l’AF2M.
Au-delà de ces SMS+, il y a aussi les « autres usages SMS » (collecte de dons, achat de tickets de transport, ou règlement de tickets de stationnement/ parking) qui ont fait un bond de 78 % sur un an, à 35,6 millions d’euros. « Avec l’élan de générosité suscité par la guerre en Ukraine, les dons par SMS ont connu une forte croissance », indique l’AF2M. Au global, l’Observatoire du paiement sur facture opérateur – réalisé sous la responsabilité de Fayçal Kaddour (photo) – montre dans sa 6e édition que le marché français totalise 582,4 millions d’euros de dépenses effectuées par les utilisateurs. Sur un an, cela correspond à une hausse de 7,8 %. L’association présidée par Renan Abgrall (Bouygues Telecom), réélu le 20 juin pour un second mandat de deux ans, a été rejoint en mars 2021 par Free. La filiale du groupe Iliad n’avait pas été un des cofondateurs de l’AF2M (ex-AFMM) en 2005 aux côtés d’Orange, de Bouygues Telecom et de SFR ainsi que les associations Acsel et Geste. Euro-Information Telecom (2) en est membre mais le MVNO (3) a été a racheté fin 2020 par Bouygues Telecom. Sont aussi membres de l’AF2M : A6 Telecom (Skyweb, racheté par VoIP Telecom), Worldline (ex-filiale d’Atos), Colt, Digital Virgo, Odigo (Odilink) et Remmedia. @

Charles de Laubier

Copié par les géants du Net, le réseau social audio Clubhouse persévère au bout de trois ans

En mars, cela fera trois ans que la société californienne Alpha Exploration Co a lancé le réseau social audio Clubhouse. Après avoir fait parler de lui, surtout en 2021, cette agora vocale est retombée dans l’oubli. Copiée par Facebook, Twitter, LinkedIn ou Spotify, l’appli tente de rebondir.

La pandémie de coronavirus et les confinements avaient fait de Clubhouse l’application vocale du moment, au point d’atteindre en juin 2021 un pic de 17 mil- lions d’utilisateurs actifs par mois. Deux mois plus tôt, Twitter faisait une offre de 4 milliards de dollars pour l’acquérir. C’est du moins sa valorisation à l’époque après une levée de fonds qui avait porté à 110 millions sa collecte auprès d’investisseurs, dont la société de capital-risque Andreessen Horowitz (1). Mais les discussions entre la licorne Alpha Exploration Co et l’oiseau bleu n’aboutirent pas.

Entre marteau (Big Tech) et enclume (Cnil)
Depuis, d’après la société d’analyse SensorTower, les installations de l’appli (sur Android ou iOS) ont chuté de plus de 80 % depuis son heure de gloire. Disruptif à ses débuts, Clubhouse a très vite été copié par Twitter avec « Spaces », Facebook avec « Live Audio Rooms », LinkedIn avec « Live Audio Events » ou encore Spotify avec « Live » (ex-Greenroom). Snapchat avait subi les conséquences de ce copiage, tout comme BeReal aujourd’hui. Clubhouse sera-t-il racheté par un géant du Net avant d’être fermé, à l’image de Periscope après son rachat en mars 2015 par Twitter ?
Alpha Exploration Co a dû aussi se battre en Europe. Les gendarmes des données personnelles et de la vie privée avaient mis sous surveillance Clubhouse. Cela a abouti en Italie à une amende de 2 millions d’euros infligée en décembre 2022 par la « Cnil » italienne, la GPDP, qui lui a reproché de « nombreuses violations : manque de transparence sur l’utilisation des données des utilisateurs et de leurs “amis” ; possibilité pour les utilisateurs de stocker et de partager des enregistrements audio sans le consentement des personnes enregistrées ; profilage et partage des informations sur les comptes sans qu’une base juridique correcte ne soit trouvée ; temps indéfini de conservation des enregistrements effectués par le réseau social pour lutter contre d’éventuels abus » (2). En France, la Cnil avait ouvert de son côté une enquête dès mars 2021 après avoir été saisie d’une plainte à l’encontre de Clubhouse qui était aussi la cible d’une pétition (3). « Les investigations sont désormais clôturées après plusieurs échanges avec la société [Alpha Exploration Co], indique la Cnil à Edition Multimédi@. Nous restons évidemment vigilants sur les traitements de données à caractère personnel qu’elle met en œuvre, en particulier en cas de nouvelles plaintes ». Pour tenter de se démarquer des Big Tech « copieuses », Clubhouse a fait de son mieux pour offrir une meilleure expérience audio en direct, en ajoutant des fonctionnalités comme le sous-titrage en temps réel et la diffusion audio de haute qualité. Il y a un an, a été ajoutée une messagerie instantanée – des chats – pour ceux qui veulent participer aux discussions mais sans prendre la parole. Cet « in-room chat » (écrits et/ou émoji en direct) permet à ceux qui ne se sentent pas à l’aise à l’oral de participer quand même – « parce que même sur Internet, le trac existe » (4). Clubhouse a aussi lancé Wave pour entamer des échanges plus rapidement autours de « petits moments intimes ou spéciaux » (5). Mais c’est surtout le lancement de Houses qui marque un tournant pour Clubhouse : chacun peut créer son propre « clubhouse » privé. Cette fonctionnalité fut annoncée par le cofondateur Paul Davison (photo de gauche) dans un tweet le 4 août 2022 : « Grande nouvelle 🙂 @clubhouse se divise… en plusieurs clubs. C’est une énorme évolution de l’application sur laquelle @rohanseth [Rohan Seth, l’autre cofondateur (photo de droite), ndlr], l’équipe et moi travaillons depuis des mois » (6).
Autrement dit, chaque utilisateur peut devenir l’administrateur où il instaure ses propres règles. Pour attirer les participants dans sa « maison », le « clubhouseur » dispose d’icônes pour indiquer les sujets (« topics ») abordés. La variété des thèmes a été étoffée depuis le 6 février dernier (7). C’est un change- ment stratégique d’Alpha Exploration Co, alors que – jusqu’au lancement de Houses – Clubhouse était un espace ouvert mais sur invitations seulement en fonction d’intérêts communs. Le réseau social devenu à la fois audio et textuel permet de créer des espaces privés avec des connaissances personnelles.

Des licenciements et des recrutements
Clubhouse se veut moins élitiste et plus démocratisé. Après être sorti d’abord sous iOS uniquement, l’appli a été rendue disponible seulement en mai 2021 sous Android (pourtant le système d’exploitation le plus répandu au monde), puis depuis janvier 2022 en version web (8). Ce changement de stratégie a amené la licorne à licencier du personnel, selon Bloomberg en juin dernier (9), dont la journaliste Nina Gregory qui était responsable de l’information et éditeurs média. Mais depuis, Alpha Exploration Co cherche toujours à recruter (10) mais des profils ingénieurs logiciel, « data scientist » et designers. @

Charles de Laubier

Google Analytics, outil de mesure d’audience le plus utilisé au monde : toujours illégal en Europe ?

Il y a un an, la Cnil mettait en demeure une première société française éditrice d’un site web utilisant Google Analytics, jugé incompatible avec le RGPD quant au transfert des données vers les Etats-Unis. Deux autres sociétés ont été aussi épinglées sur les 101 plaintes de l’association Noyb.

Il y a plus de trois mois, Russell Ketchum (photo de gauche), directeur de Google Analytics, confirmait qu’Universal Analytics sera remplacé 1er juillet 2023 par la version 4 de Google Analytics (GA4), tandis qu’« Universal Analytics 360 » sera, lui, finalement prolongé jusqu’au 1er juillet 2024 (1), soit au-delà du 1er octobre 2023 initialement prévu (2). Quésaco ? Universal Analytics est la version basique et gratuite de l’outil de mesure d’audience le plus utilisé au monde par des sites web et des applications mobiles.

Le transfert des données vers les USA
Google Analytics détient en effet 86,1 % de parts de marché au 7 février 2023 en étant utilisé par 56,5 % de tous les sites web, selon W3Techs, suivi par Facebook Pixel et de bien d’autres analyseurs de trafic (3). « Universal Analytics 360 » est, elle, la version premium payante de Google Analytics destinée principalement aux grandes entreprises. Edition Multimédi@ a demandé à Google si GA4 répondait aux préoccupations des Européens sur la protection de leur vie privée, conformément au règlement général sur la protection des données (RGPD), et notamment aux mises en demeure prononcées par la Cnil en décembre 2021 et en décembre 2022 ? « Nous avons en effet récemment introduit de nouvelles fonctionnalités pour Google Analytics 4 qui permettent par exemple aux sites web de ne pas enregistrer ni stocker les adresses IP via GA4, ou encore de minimiser les données collectées concernant l’utilisateur, ce qui peut ainsi aider à répondre aux préoccupations d’identification des utilisateurs. Cependant, le véritable problème au cœur de tout cela reste les transferts de données entre l’Union européenne et les Etats-Unis qui manquent d’un cadre juridique stable pour les entreprises européennes et américaines », nous a répondu le géant du Net. Et d’ajouter : « Nous considérons que l’Executive Order récent[d’octobre 2022, ndlr] de la Maison Blanche est une étape importante dans ce travail » (4). De quoi rassurer les éditeurs de sites web et d’applis mobiles utilisant Google Analytics et les « Cnil » en Europe qui les surveillent voire les sanctionnent ? Rien n’est moins sûr. Il y a un an en France, le 10 février 2022, la Cnil mettait en demeure la toute première société pour non-respect du RGPD pour l’utilisation de Google Analytics pour mesurer son audience web (5). La Cnil considère implicitement que Google Analytics est ni plus ni moins illégal au regard du RGPD pour deux motifs principaux : les mesures mises en place par Google ne sont pas suffisantes pour exclure la possibilité d’un accès aux données de résidents européens ; les données des internautes européens sont donc transférées illégalement vers les Etats-Unis par le biais de ce même outil. Cette première décision de la Cnil a été publiée il y a un an, mais de façon anonymisée, pour l’exemple (6). Mais il s’agit de l’une des trois sociétés françaises utilisant Google Analytics contre lesquelles l’organisation autrichienne Noyb dirigée par Max Schrems (photo de droite) avait déposé plaintes – parmi un total de 101 plaintes (7) déposées en août 2020 – auprès des « Cnil » européennes, dénonçant des transferts illégaux de données à caractère personnel vers les Etats-Unis.
La Cnil en France avait ainsi été destinataire de trois plaintes à l’encontre de respectivement Decathlon, Auchan et Sephora. Parallèlement, concernant cette fois l’outil Facebook Connect, la Cnil était aussi saisie de trois autres plaintes à l’encontre de Free Mobile, Leroy Merlin et Le Huffington Post. Après sa première décision concernant Google Analytics, la Cnil mettra également en demeure les deux autres sites web mis en cause (parmi Decathlon, Auchan et Sephora). Ce dont se félicitera à nouveau la Noyb le 5 avril 2022 dans un communiqué où sont mises en ligne les deux autres décisions de la Cnil, là aussi anonymisées (8). Ces trois sociétés disposaient d’un délai d’un mois – renouvelable à leur demande – pour se mettre en conformité et justifier cette conformité auprès de la Cnil.
Mais la Cnil n’a pas été la première à épingler les éditeurs de services en ligne qui utilisent Google Analytics. Son homologue autrichienne – la Datenschutzbehörde (DSB) – avait ouvert la voie deux semaines avant dans une décision inédite datée du 22 décembre 2021 et considérée comme « révolutionnaire » par la Noyb (9).

L’Italie, la Grèce mais pas l’Espagne
Ce fut la première fois en Europe que l’utilisation de Google Analytics est considérée comme une violation du RGPD. D’autres décisions ont été prises par d’autres autorités en Europe – la Grèce par décision de l’APD de janvier 2022 (10) et l’Italie par décision de la GPDP de juin 2022 (11) – à l’encontre de l’utilisation de « GA ». En revanche, la « Cnil » espagnole – l’AEDP – n’a pas suivi ni ses homologues européennes ni la CEPD en publiant le 15 décembre 2022 une décision rejetant la plainte de Noyb (12). Ces premières décisions sur les 101 plaintes déposées par Noyb faisaient suite à la décision de 2020 dite « Schrems II » de la Cour de justice de l’Union européenne (CJUE) estiment que l’utilisation des services Internet américains violait le RGPD, car les lois de surveillance américaines exigent que les Google, Facebook et autres Twitter fournissent aux autorités américaines des détails personnels sur leurs utilisateurs, mêmes Européens.

Le spectre de la loi américaine FISA
Par exemple, la loi américaine FISA – Foreign Intelligence Surveillance Act – autorise expressément la NSA – National Security Agency – à collecter les données personnelles des utilisateurs situés hors des Etats-Unis si ces data sont stockées sur des serveurs américains. Autre texte américain, présidentiel celui-ci : l’OE – Executive Order – numéro 12.333 qui renforce les services de renseignement aux Etats-Unis depuis Ronald Reagan et George W. Bush. C’est pour ces raisons que la CJUE avait annulé en 2020 l’accord de transfert « Privacy Shield » (décision « Schrems II » de 2020), après avoir annulé l’accord précédent « Safe Harbor » (décision « Schrems I » de 2015). Cela provoqua une onde de choc pour les GAFAM qui les secouent encore aujourd’hui (13). « Nous nous attendons à ce que des décisions similaires tombent progressivement dans la plupart des Etats membres de l’UE. Nous avons déposé 101 plaintes dans presque tous les Etats membres et les autorités [les « Cnil » européennes, ndlr] ont coordonné la réponse », s’était félicité Max Schrems. Il est prêt à attaquer à nouveau devant la CJUE la nouvelle décision sur le transfert des données « UE-USA » (14) publiée par la Commission européenne le 13 décembre dernier (15). Dans la foulée de la décision de la DSB en Autriche, le Contrôleur européen de la protection des données (CEPD) – regroupant les « Cnil » européennes – avait également rendue une semaine avant une décision commune similaire (16). S’il devait y avoir sanction, le RGPD prévoit qu’elle peut aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise du Net.
C’est justement parce que Google Analytics est largement utilisé par une écrasante majorité d’éditeurs de services en ligne que la Cnil avait décidé d’anonymiser ses trois décisions. « Il ne paraissait pas utile de citer le nom d’un éditeur de site en particulier, l’usage de cet outil étant très répandu. L’objectif est que l’ensemble des responsables de traitement utilisant cet outil se mette en conformité », justifiait ainsi le gendarme des données personnelles. Il avait d’ailleurs mis en garde tous les éditeurs concernés : « Tous les responsables de traitement utilisant Google Analytics d’une façon similaire à ces organismes doivent considérer dès à présent cette utilisation comme illégale au regard du RGPD. Ils doivent donc se tourner vers un prestataire proposant des garanties suffisantes de conformité ». D’après la Cnil, les trois sociétés mises en demeure avaient établi avec Google des clauses contractuelles types, proposées par défaut. Or ces dernières ne peuvent assurer seules un niveau de protection suffisant en cas de demande d’accès d’autorités étrangères, notamment si cet accès est prévu par des lois locales. En réponse au questionnaire envoyé par la Cnil, Google a indiqué que l’ensemble des données collectées par le biais de Google Analytics était hébergé aux Etats-Unis. Néanmoins, avait mentionné le gendarme français des données personnelles le 7 juin 2022, « Google avait indiqué avoir mis en place des mesures supplémentaires d’ordre juridique, organisationnel et technique, qui ont cependant été jugées insuffisantes pour assurer la protection effective des données personnelles transférées, en particulier contre des demandes d’accès aux données par des services de renseignement états-uniens » (17).
La Cnil avait en outre fait savoir que Google avait indiqué utiliser des mesures de pseudonymisation (18), mais non d’anonymisation (19). « Google propose bien une fonction d’anonymisation des adresses IP, a constaté la Cnil, mais celle-ci n’est pas applicable à tous les transferts. En outre, les éléments fournis par Google ne permettent pas de déterminer si cette anonymisation a lieu avant le transfert aux Etats-Unis ». Autre problème que pose Google Analytics : la réidentification de l’internaute. En effet, la seule utilisation d’identifiants uniques permettant de différencier les individus peut amener à rendre les données identifiables, en particulier lorsqu’elles sont associées à d’autres informations telles que les métadonnées relatives au navigateur et au système d’exploitation.

Data et navigation : le risque de suivi demeure
De plus, l’utilisation de Google Analytics avec d’autres services de Google, notamment marketing, peut amplifier le risque de suivi. « En effet, explique la Cnil, ces services, très utilisés en France, peuvent permettre un recoupement de l’adresse IP et ainsi de retracer l’historique de navigation de la majorité des internautes sur un grand nombre de sites ». Quant au chiffrement de données par Google, il s’est avéré insuffisant car Google procède lui-même au chiffrement des données et a l’obligation d’accorder l’accès ou de fournir les données importées qui sont en sa possession, y compris les clés de chiffrement nécessaires pour les décrypter. @

Charles de Laubier

Les opérateurs télécoms appellent l’UE, présidée par la France, à imposer le peering payant aux GAFAM

La France préside le Conseil de l’Union européenne (UE) durant ce premier semestre 2022, alors que les négociations sur le Digital Markets Act (DMA) débutent. C’est l’occasion pour Orange, Deutsche Telekom, Telefónica ou encore Telenor de tenter d’imposer aux géants du Net le « peering payant ».

Un mois après avoir été approuvée par le Parlement européen, lors du vote en séance plénière du 15 décembre dernier à Strasbourg (1), la proposition de législation sur les marchés numériques – appelée Digital Markets Act (DMA) – va maintenant faire l’objet de négociations entre les eurodéputés et les vingt-sept gouvernements des Etats membres réunis au sein du Conseil de l’Union européenne (UE), lequel est présidé non pas par Emmanuel Macron mais par Charles Michel (photo). Cette approbation du projet de DMA vaut en effet mandat pour la négociation qui s’engage.

Les « telcos » se sentent exclus du DMA
« Les mesures horizontales comme le Digital Markets Act jouent un rôle crucial et, pour cette raison, nous les appuyons fermement. En outre, nous devons également tenir compte [du fait qu’]une partie importante et croissante du trafic du réseau est générée et monétisée par les plateformes des Big Tech, mais cela nécessite des investissements et une planification de réseau continus et intensifs de la part du secteur des télécommunications », ont fait valoir les principaux opérateurs télécoms historiques d’Europe réunis au sein de leur organisation de lobbying Etno (2).
Et la douzaine de signataires – Telekom Austria Vivacom (ex- Bulgarian Telecom), Proximus (ex-Belgacom), Telenor, KPN, Altice Portugal, Deutsche Telekom, BT Group, Telia Company, Telefónica, Vodafone, Orange et Swisscom – de suggérer de rééquilibrer les forces en présence en faisant mieux payer les GAFAM via le « peering payant » (même si cette facturation des interconnexions réseau n’est pas explicitement mentionnée) : « Ce modèle – qui permet aux citoyens de l’UE de profiter des fruits de la transformation numérique – ne peut être durable que si ces grandes plateformes technologiques contribuent également équitablement aux coûts du réseau ». Les opérateurs télécoms semblent avoir le sentiment d’être exclus du DMA et des négociations qui s’annoncent. « Les nouvelles stratégies industrielles [doivent] permett[re] aux acteurs européens – y compris les opérateurs télécoms – de rivaliser avec succès dans les espaces de données mondiaux, afin de développer une économie de données européenne fondée sur de véritables valeurs européennes », préviennent ils. Ce futur règlement européen DMA ne s’intéresse en effet qu’aux grandes plateformes de services en ligne dits « essentiels » et dont il dresse « une liste noire » – dixit le communiqué du Parlement européen (3) – de leurs pratiques : lorsqu’elles agissent comme des « contrôleurs d’accès » – ou gatekeepers : cela va des « économies d’échelle extrêmes », des « effets de réseau très importants », des « effets de verrouillage », à l’« intégration verticale » ou encore aux « avantages liés aux données », le tout combiné à des « pratiques déloyales ». Les GAFAM – Google, Amazon, Facebook, Apple, Microsoft et bien d’autres géants de l’Internet – sont concernés au premier chef car ils peuvent abuser de leur position dominante « au détriment des prix, de la qualité, des normes en matière de vie privée et de sécurité, d’une concurrence loyale, du choix et de l’innovation dans ce domaine ». Griefs potentiels auxquels peuvent s’ajouter des « conséquences sociétales et économiques négatives ».
Aux yeux du Parlement européen, sont considérés comme des « services de plateforme essentiels » une flopée d’acteurs du numérique tels que, pêle-mêle : « les services d’intermédiation en ligne, les moteurs de recherche en ligne, les systèmes d’exploitation tels que les dispositifs intelligents, l’Internet des objets ou les services numériques embarqués dans les véhicules, les réseaux sociaux en ligne, les services de plateformes de partage de vidéos, les services de communications interpersonnelles non fondés sur la numérotation [les messageries instantanées ou les messageries d’e-mails, ndlr], les services d’informatique en nuage, les services d’assistant virtuel, les navigateurs web, la télévision connectée et les services de publicité en ligne » (4). Il n’en reste pas moins que les GAFAM sont les premiers visés puisque pour tomber sous le coup du règlement DMA et être qualifié de « contrôleurs d’accès », il faut réaliser 8 milliards d’euros de chiffre d’affaires annuel dans l’espace économique européen (5) et avoir une capitalisation boursière d’au moins 80 milliards d’euros (6), ainsi que totaliser au moins 45 millions d’utilisateurs finaux par mois ainsi que de plus de 10 000 entreprises utilisatrices.

Des garde-fous et des amendes salées
Outre le fait d’être un garde-fou des gatekeepers, le futur DMA – consacré aux «marchés contestables et équitables dans le secteur numérique » (7) – donne pouvoir à la Commission européenne pour mener des enquêtes de marché et appliquer des sanctions, lesquelles représentent « au moins 4 % et jusqu’à concurrence de 20 % de son chiffre d’affaires mondial total réalisé au cours de l’exercice précédent ». @

Charles de Laubier