Affaire « Schrems 2 » : la pérennité des transferts en dehors de l’Union européenne remise en question

Depuis vendredi 16 juillet 2020, les transferts de données à caractère personnel vers les Etats-Unis sur le fondement du « Privacy Shield » sont invalides. Les entreprises souhaitant donc continuer à transférer des données vers les Etats-Unis doivent identifier un autre mécanisme de transfert.

Par Laura Ziegler & Sandra Tubert, avocates associées, BCTG Avocats

La Cour de justice de l’Union européenne (CJUE) a rendu le 16 juillet 2020 un arrêt majeur dans l’affaire dite « Schrems 2 » (1) concernant les mécanismes de transferts de données hors de l’Union Européenne (UE). Elle a ainsi annulé le Privacy Shield qui permettait aux Etats-Unis d’être considérés comme un pays ayant un niveau de « protection adéquate » par la Commission européenne pour les transferts de données à caractère personnel vers des organisations américaines auto-certifiées, tout en considérant que les clauses contractuelles types demeuraient, quant à elles, valides.

Le « Privacy Shield » en question
Les transferts de données vers des pays tiers à l’UE ne peuvent en effet avoir lieu qu’à certaines conditions (2). Au titre de ces conditions figurent le fait que la Commission européenne ait constaté que le pays tiers assure un niveau de protection adéquat (3) ou, faute de décision d’adéquation, que les parties aient mis en place des garanties appropriées comme les « règles d’entreprise contraignantes » (4), ou les « clauses contractuelles types » (5). Le Privacy Shield, lui, reposait sur un système d’auto-certification en vertu duquel les entreprises américaines s’engageaient à respecter une série de principes (6) en matière de protection des données auprès du ministère du commerce américain (FTC). Grâce à ce mécanisme, la Commission européenne avait considéré, en juillet 2016, au moyen d’une décision d’adéquation (7), que les Etats-Unis offraient un niveau de protection adéquate (8), permettant ainsi les transferts de données entre une entreprise de l’UE et des entreprises américaines auto-certifiées. Déjà sujet à de vifs débats au moment de son adoption qui suivait de près l’annulation de son prédécesseur (9), le Privacy Shield avait pour objectif de maintenir au plus vite les accords commerciaux entre l’UE et les Etats-Unis tout en assurant un niveau de protection suffisant des données transférées aux Etats-Unis.
La période de répit pour les transferts de données vers les Etats-Unis aura toutefois été de courte durée puisque l’Autrichien Max Schrems a poursuivi la procédure qui avait conduit à l’invalidation du Safe Harbor dans la désormais célèbre affaire « Schrems 1 ». Ce sont des suites de cette procédure, dans le cadre d’un litige opposant la « Cnil » irlandaise (DPC) à Facebook Ireland Ltd et à Max Schrems au sujet d’une plainte concernant le transfert de ses données par Facebook Ireland à Facebook Inc. aux Etats-Unis que plusieurs questions préjudicielles ont été soumises à la CJUE. Dans l’affaire « Shrems 2 », la CJUE a ainsi été amenée à examiner la validité du Privacy Shield au regard des exigences découlant du RGPD, lues à la lumière des dispositions de la Charte des droits fondamentaux de l’UE garantissant le respect de la vie privée et familiale, de la protection des données personnelles et du droit à une protection juridictionnelle effective (10). La CJUE devait déterminer si les programmes de renseignement et de surveillance mis en place aux Etats-Unis et les garanties prévues dans la réglementation américaine (11) – pouvant concerner des ressortissants européens – étaient mis en œuvre dans le respect des exigences de proportionnalité et de respect des droits des personnes.
Si la CJUE rappelle que les articles 7 (respect de la vie privée) et 8 (protection des données personnelles) de la Charte des droits fondamentaux de l’UE ne sont pas des « prérogatives absolues », elle estime toutefois que l’intervention des autorités publiques américaines constitue une atteinte à ces principes et que les limitations qui en découlent ne sont ni proportionnées, ni nécessaires et ne permettent pas l’exercice de droits effectifs et opposables dont doivent nécessairement bénéficier les personnes concernées.

Atteinte aux droits fondamentaux
La CJUE souligne que, contrairement au niveau de protection offert par l’UE, les programmes de surveillance américains aux fins du renseignement extérieur (12) ne contiennent aucune limitation ni n’offrent aucune garantie pour les personnes concernées de l’UE (non américaines), celles-ci ne pouvant par ailleurs pas opposer leurs droits aux autorités publiques américaines devant les tribunaux. Pour parvenir à cette conclusion, elle précise notamment que le mécanisme de médiation prévu par le Privacy Shield n’est ni indépendant, ni pourvu de force contraignante à l’égard des services de renseignement. La CJUE ajoute que les programmes de surveillance fondées sur les dispositions de la PPD 28 ne sont pas limités au strict nécessaire (contrevenant ainsi au principe de proportionnalité), dans la mesure où ils permettent de procéder à une collecte massive de données et ce sans aucune surveillance judiciaire. Forte de tous ces griefs, la CJUE a donc logiquement considéré que la décision d’adéquation du Privacy Shield était invalide. Les critiques formées à l’encontre des « clauses contractuelles types » étaient un peu différentes, puisque celles-ci peuvent être utilisées pour des transferts vers tout pays tiers à l’UE.

Maintien des « clauses contractuelles types »
La CJUE était, entre autres, interrogée sur le fait de savoir si leur nature contractuelle, ayant ainsi un effet relatif à l’égard des autorités publiques étrangères, n’était pas de nature à remettre en cause leur validité, dans la mesure où elles pourraient ainsi ne pas permettre aux personnes concernées d’empêcher l’accès à leurs données et/ou d’exercer leurs droits. Elle a estimé que le seul fait que les clauses contractuelles types ne soient pas contraignantes vis-à-vis des autorités publiques d’un pays tiers n’était pas de nature à emporter l’invalidation de celles-ci. La CJUE a toutefois rappelé en substance qu’il appartient au responsable de traitement et au destinataire des données de vérifier préalablement à tout transfert si le pays tiers permet en pratique d’assurer un niveau de protection essentiellement équivalent à celui garanti dans l’UE par le RGPD. Le cas échéant, ils sont alors tenus, soit de prendre les mesures nécessaires pour compenser l’insuffisance de garanties du pays destinataire, soit – si le pays tiers destinataire des données dispose d’une réglementation contraire aux principes figurant dans les clauses contractuelles types – de s’interdire un tel transfert ou d’y mettre fin. Concernant la deuxième question sur le fait de savoir si les mécanismes figurant au sein même des clauses contractuelles types étaient de nature à assurer de manière effective la protection adéquate requise par l’article 45 du RGPD, la CJUE apporte une réponse positive sans détours : les différents engagements pris par les parties au titre des clauses contractuelles types (13) sont autant de garanties qui permettent de constituer des mécanismes d’effectivité suffisante.
Cette décision est pourtant bien plus complexe qu’il n’y paraît. Il serait, à notre sens, hâtif d’en déduire que la CJUE donne un blanc-seing à l’utilisation des clauses contractuelles types pour les transferts hors UE. Elle invite, tout au contraire, les responsables de traitement et leurs destinataires à se lancer dans une véritable analyse détaillée de la législation du pays tiers pour vérifier si les garanties qui sont fournies par les clauses contractuelles types peuvent réellement y être respectées en pratique. Dans le cas contraire, ils devront mettre en place, en plus des obligations figurant dans le corps même des clauses, des garanties supplémentaires afin de rendre réellement effectifs les droits des personnes concernées et l’existence d’un recours juridictionnel. La nature de ces garanties ou mesures supplémentaires interroge : le point 132 de la décision de la CJUE semble pointer vers le considérant 109 du RGPD, qui lui-même invite les parties prenantes aux clauses contractuelles types à les compléter par d’autres clauses fournissant des garanties supplémentaires. L’introduction de garanties supplémentaires par voie contractuelle ne se heurtera-telle pas, dans certains cas, à la même suprématie des lois impératives américaines ? Dans l’attente d’orientations plus détaillées, le Comité européen à la protection des données (CEPD), qui réunit les « Cnil » européennes, précise que ce pourrait être des mesures juridiques, techniques ou organisationnelles (14). Ces deux derniers types de mesures étant certainement les plus à même d’assurer de manière plus effective une certaine protection des données.
La décision rendue par la CJUE ne s’arrête pas en réalité à la seule invalidité du Privacy Shield, et ce sont les transferts vers les Etats-Unis dans leur ensemble – quel que soit le mécanisme de transfert utilisé – qui sont en réalité largement questionnés par cet arrêt. Comme le reconnaît le CEPD, les législations américaines qui sont pointées du doigt dans l’arrêt de la CJUE s’appliquent en réalité à tout transfert vers les Etats-Unis quel que soit l’outil de transfert utilisé. De fait, la CJUE estime en réalité que le droit américain ne permet pas d’assurer à lui seul un niveau de protection essentiellement équivalent à celui prévu dans l’UE.
Par ailleurs, au-delà des Etats-Unis, ce sont les transferts en dehors de l’UE vers des pays disposant de lois permettant des programmes de surveillance intrusifs qui sont questionnés. En pratique, il est difficile pour les entreprises d’anticiper pour l’heure toutes les conséquences de cette décision ou l’effectivité des garanties supplémentaires qu’elles pourraient mettre en place, lorsque celles mises en place par la Commission européenne et le département de commerce américain ont échouées.
Les réactions des autorités de contrôle et du CEPD sont fortement attendues dans les prochains mois pour proposer aux entreprises des solutions pragmatiques leur permettant de tirer toutes les conséquences de cet arrêt, tout en pérennisant si possible les transferts hors UE.

Comment pérenniser les transferts ?
Dans l’attente d’orientations plus détaillées, les entreprises sont ainsi invitées à identifier tous leurs transferts en dehors de l’UE (15), le mécanisme de transferts utilisé, et à conduire une analyse de la législation du pays en question pour déterminer si celle-ci permet d’assurer un niveau de protection essentiellement équivalent à celui garanti dans l’UE. Et ce, afin d’envisager au besoin les éventuelles garanties supplémentaires effectives qui pourraient être mises en place. Néanmoins, la pérennité et la sécurité juridique des transferts hors UE pourraient ne trouver un véritable salut que par une réponse politique adaptée et attendue. @

Facebook : l’Allemagne rouvre la voie à une régulation des données par le droit de la concurrence

Pour une surprise, c’est une surprise. La plus haute juridiction d’Allemagne a annulé une décision prise en référé par une cour d’appel du pays. Cette affaire pourrait impacter toute l’Europe puisqu’elle concerne Facebook qui se voir enjoint de cesser la fusion de données issues de plusieurs services.

Par Winston Maxwell*, Telecom Paris, Institut polytechnique de Paris

Le saga « Facebook » en Allemagne rencontre un nouveau rebondissement après la décision surprise de la Cour suprême fédérale d’Allemagne du 23 juin 2020. La « Bundesgerichtshof » (BGH) a en effet validé, au moins temporairement, la décision de l’autorité de concurrence allemande ordonnant à Facebook de cesser le traitement de données provenant de sources-tiers telles que Instagram ou de sites web tiers. La décision inédite du 6 février 2019 de l’autorité de la concurrence – la « Bundeskartellamt » – avait fait l’objet d’une suspension par la cour d’appel fédérale de Düsseldorf le 26 août 2019, suspension que la Cour suprême vient d’annuler.

Fusion des données : Facebook doit cesser
Du coup, le droit de la concurrence redevient une arme qui peut accompagner le règlement général européen sur la protection des données (RGPD) – en vigueur depuis le 25 mai 2018 – dans la lutte contre des pratiques excessives en matière de données personnelles. Cette décision pèsera dans le débat européen sur la régulation des plateformes structurantes. Comment en est-on arrivé là ? Remontons au 6 février 2019, date à laquelle l’autorité de la concurrence allemande a émis une décision inédite sur le plan mondiale : elle a jugé que la collecte excessive de données par Facebook, notamment auprès des services Instagram, WhatsApp et sites web tiers, constituait non seulement une violation du RGPD mais également un abus de position dominante au regard du droit de la concurrence.
La Bundeskartellamt – littéralement Office fédéral de lutte contre les cartels – a ordonné à Facebook de cesser cette collecte de ces données, estimant que le consentement donné par les consommateurs n’était pas valable car ceuxci n’avaient pas de véritable choix : soit on accepte de livrer ses données, soit on n’utilise pas le plus grand réseau social du monde. Dans une décision de 300 pages, l’autorité de concurrence a tenté d’argumenter que l’absence de consentement valait violation du RGPD et que cette violation valait « abus » au sens du droit de la concurrence qui interdit tout abus de position dominante. Elle a donc enjoint à Facebook d’arrêter de collecter les données en question. Cette injonction aurait sérieusement perturbé le modèle d’affaires de Facebook, et a pu créer un précédent dangereux dans d’autres pays, où les autorités de concurrence scrutent les moindres faits et gestes du réseau social. Dans une décision du 26 août 2019, la cour d’appel – l’« Oberlandesgericht » – de Düsseldorf a suspendu l’application de la décision de la Bundeskartellamt dans l’attente d’un jugement au fond. Dans sa décision de suspension, la cour d’appel n’a pas caché son désaccord avec le raisonnement de l’autorité de la concurrence. Selon la cour d’appel, le travail de l’autorité de la concurrence n’était pas d’appliquer le RGPD, mais d’appliquer le droit de la concurrence. Cette dernière a fait un amalgame inacceptable entre les principes de protection des données personnelles et les principes de protection de la concurrence, lesquels ne visent pas les mêmes objectifs. Selon la cour d’appel, l’autorité de la concurrence n’avait pas démontré en quoi la collecte excessive de données par Facebook, et la violation du RGPD, avaient un impact néfaste sur la concurrence.
Beaucoup d’observateurs estimaient que l’histoire se terminerait là, l’Oberlandesgericht Düsseldorf ayant mis définitivement fin à la folle idée que le droit de la concurrence pourrait venir en aide au RGPD. Mais l’histoire ne s’est pas arrêtée là, l’autorité de la concurrence ayant fait appel. La décision de la Cour suprême du 23 juin 2020 fut une surprise, car la BGH – plus haute juridiction allemande – annule rarement les décisions prises en référé (à savoir dans le cadre d’une procédure d’urgence) au niveau de la cour d’appel. Le résultat de cette nouvelle décision – non-encore publiée – est que l’injonction de l’autorité de la concurrence du 6 février 2019 reprend vie et Facebook doit immédiatement cesser de fusionner des données de différentes sources.

Violer le RGPD serait anticoncurrentiel
Sur le plan de la procédure, le match n’est pas terminé. L’affaire sera maintenant traitée au fond par la cour d’appel de Düsseldorf, et un autre appel est possible devant la Cour suprême, ainsi qu’une question préjudicielle devant la Cour de justice de l’Union européenne (CJUE). Mais pour l’instant la voie est de nouveau ouverte pour considérer qu’une violation du RGPD peut constituer un abus de position dominante au regard du droit de la concurrence. Le communiqué (1) de la Cour suprême dévoile son raisonnement, qui diffère du raisonnement de l’autorité de la concurrence. Selon la plus haute juridiction allemande, la liberté de choix des acteurs économiques est un principe essentiel de la concurrence et du bon fonctionnement des marchés. Les consommateurs sont des acteurs économiques comme les autres, et le fait – pour une entreprise en position dominante – de mettre le consommateur devant un choix qui n’en est pas un réduit sa liberté, créant ainsi une distorsion de la concurrence.

Liberté de choix des consommateurs : jusqu’où ?
La Cour suprême ne mentionne pas le RGPD, mais fonde son raisonnement uniquement sur l’effet néfaste des pratiques sur la liberté de choix des consommateurs, créant ainsi un lien solide entre les mauvaises pratiques en matière de données personnelles et le droit de la concurrence, un lien que l’autorité de la concurrence n’avait peut-être pas assez développé. La BGH mentionne également le possible impact sur le marché de la publicité en ligne, créant un autre lien possible entre les pratiques de Facebook et les principes de droit de la concurrence.
La Cour suprême allemande ayant mis l’accent sur la liberté de choix des consommateurs, on peut s’interroger sur les limites de cette liberté. Est-ce que les consommateurs peuvent du coup refuser tout traitement lié à la publicité personnalisée, tout en exigeant de bénéficier des services gratuits, ce qui reviendrait à interdire les « cookie walls » ? Les consommateurs peuvent-ils avoir « le beurre et l’argent du beurre » ? Dans le cas Facebook, la BGH semble considérer normal le traitement de données pour la publicité personnalisée dès lors que les données sont générées à l’intérieur du réseau social lui-même.
Lier l’utilisation du service à l’acceptation de ce traitement de données « intra-muros » ne serait pas abusif, car c’est ce qui se passerait probablement dans un environnement concurrentiel. En revanche, lier l’utilisation du service à l’acceptation de la collecte de données provenant d’autres services et sites web « extra-muros » n’est pas une pratique que l’on s’attendrait à voir dans un marché pleinement concurrentiel. En présence d’une concurrence effective sur le marché des réseaux sociaux, il est probable que d’autres acteurs proposeraient un service gratuit sans ce type de collecte de données tiers.
Comme dans toute affaire de droit de la concurrence, l’impact sur la concurrence s’apprécie par un jeu de comparaison : on compare la situation réelle qui existe en présence d’un acteur dominant à une situation fictive, contrefactuelle, où il existerait une concurrence effective sur le marché. C’est en comparant ces deux scénarios que l’on apprécie l’impact sur la concurrence d’une pratique. Souvent, les autorités de la concurrence mettent l’accent sur l’impact d’une pratique sur les autres acteurs du marché : réseaux sociaux concurrents, annonceurs, prestataires de publicité, ainsi que sur les prix pour le consommateur. Une augmentation des prix est un signe d’une concurrence défaillante. Pour un service gratuit tel que Facebook, l’augmentation du prix n’est pas un critère utile, car le prix officiel reste toujours zéro. En revanche, la diminution de la qualité est également un facteur à prendre en compte, et s’apprécie non seulement par rapport à la qualité des services numériques rendus, mais également par l’imposition de conditions d’utilisation pénalisantes, telles que celles imposées par Facebook en matière de données personnelles (livrer ses données, sinon pas de possibilité d’utiliser le réseau social). Comme le souligne le rapport du Stigler Center de septembre 2019, une baisse de qualité à travers l’imposition de conditions pénalisantes en matière de traitement de données personnelles devient l’équivalent d’une augmentation du prix (2).
Par l’utilisation excessive de ses données, le consommateur paie plus cher que ce qu’il paierait dans un marché pleinement concurrentiel. Selon les universitaires auteurs du rapport Stigler, le droit de la concurrence est ainsi équipé pour sanctionner des pratiques abusives dans le traitement des données, à condition de pouvoir démontrer ce type de baisse de qualité pour le consommateur. Ce raisonnement est maintenant repris par la Cour suprême d’Allemagne. Reste le problème du temps. Les affaires en droit de la concurrence prennent généralement des années, et l’affaire Facebook n’est pas une exception. L’autorité de la concurrence allemande a commencé ses enquêtes en 2016, et l’affaire n’est toujours pas réglée. Le gouvernement allemand envisage de modifier sa loi sur la concurrence pour permettre à l’autorité de la concurrence d’aller plus vite à l’égard de plateformes structurantes.

L’Allemagne pourrait inspirer l’Europe
L’initiative allemande pourrait servir de modèle pour la modernisation des règles de concurrence (« New Competition Tool ») actuellement étudiée au niveau de l’Union européenne (3) et soumise à consultation publique jusqu’au 8 septembre prochain (4). En parallèle, la Commission européenne étudie la possibilité de réguler les plateformes structurantes par une approche ex ante (« Digital Services Act »), comme en matière de télécommunications (5). La décision de la Cour suprême allemande ravive un vieux débat sur la meilleure manière de réguler les opérateurs puissants (ceux exerçant une influence significative sur le marché pertinent considéré), soit à travers une régulation ex post fondée sur le droit de la concurrence, soit à travers une régulation sectorielle ex ante, comme en télécommunications. @

* Winston Maxwell, ancien avocat, est depuis juin 2019
directeur d’études Droit et Numérique à Telecom Paris.

Anonymisation des données personnelles : un enjeu de taille, notamment en matière de santé

Alors qu’une deuxième vague de coronavirus menace, le gouvernement croit en l’utilité des données « pseudonymisées » de son application mobile StopCovid malgré le peu d’utilisateurs. Mais le respect de la vie privée ne suppose-t-il pas une « anonymisation » ? Le dilemme se pose dans la santé.

Par Olivia Roche, avocate, et Prudence Cadio, avocate associée, cabinet LPA-CGR avocats

La crise sanitaire liée au covid-19 et le développement concomitant des outils de surveillance de l’évolution de l’épidémie ont mis en lumière les enjeux liés à l’anonymisation des données à caractère personnel et, en particulier, des données de santé. Souvent présenté par la Commission nationale de l’informatique et des libertés (Cnil) comme un moyen indispensable pour préserver la vie privée des personnes, le procédé d’anonymisation aboutit cependant nécessairement à une perte d’informations, parfois contestée par les professionnels de santé.

Pseudonymisation ou anonymisation ?
Les recommandations publiées le 19 mai dernier par la Cnil (1) à ce sujet et les débats entourant l’application mobile StopCovid – mise à disposition par le gouvernement dans le cadre de sa stratégie globale de « déconfinement progressif » – permettent de mieux appréhender ces problématiques. Si cette application mobile ne dispose d’aucune information directement identifiante comme le nom ou le prénom, elle n’est pas pour autant « anonyme » au sens de la règlementation relative à la protection des données (2). La confusion entre « données pseudonymes » et « données anonymes » demeure répandue, alors que le règlement général européen sur la protection des données (RGPD) – en vigueur depuis le 25 mai 2018 – a entériné la distinction entre ces deux notions en son considérant 26.
Comme le rappelle la Cnil, la pseudonymisation consiste à traiter les données personnelles de façon à ce que celles-ci ne puissent plus être attribuées à une personne concernée sans avoir recours à des informations complémentaires. De manière plus concrète, ce processus consiste par exemple à remplacer des données personnelles directement identifiantes telles que le nom ou le prénom par des données indirectement identifiantes te l les qu’un alias, un numéro ou un code. La pseudonymisation constitue ainsi un outil utile pour conserver des données tout en préservant la vie privée des personnes, puisque celles-ci ne sont plus directement identifiantes. Néanmoins, l’opération de pseudonymisation étant réversible, il est possible de réidentifier ou identifier indirectement les personnes sur la base de ces données. En conséquence, les « données pseudonymes » demeurent des « données personnelles » auxquelles s’applique l’ensemble des exigences de la règlementation sur la protection des données personnelles. Au contraire, les « données anonymisées » au sens du RGPD exclut toute possibilité de réidentification des personnes. Il s’agit d’appliquer un procédé aux données personnelles pour rendre toute individualisation et toute indentification, directe ou indirecte, impossible et ce de manière irréversible et définitive. Cette distinction constitue un enjeu central, puisque les « données anonymes » ou « rendues anonymes », lesquelles, contrairement aux « données pseudonymes », ne sont pas ou plus des « données personnelles », ne sont pas soumises aux exigences du RGPD. Ce règlement européen indique, en effet, expressément qu’il ne s’applique « pas au traitement de telles informations anonymes, y compris à des fins statistiques ou de recherche » (3). A cet égard, il faut veiller à distinguer que, lorsqu’un procédé d’anonymisation est appliqué, c’est bien uniquement le résultat obtenu – les « données anonymisées » – qui peut être exclu du champ d’application matériel du RGPD mais non les données à caractère initialement collectées. De même, le processus d’anonymisation constitue un « traitement » qui, effectué sur des données personnelles, n’échappe pas en tant que tel aux exigences de la règlementation sur la protection des données à caractère personnel. Quelles sont au juste les techniques d’anonymisation ?

Randomisation et généralisation
Dans un avis en date du 10 avril 2014, le groupe dit de l’Article 29 – ce « G29 » ayant été remplacé depuis l’entrée en application du RGPD par le Comité européen de la protection des données (4) – proposait trois critères pour s’assurer que des données personnelles faisaient bien l’objet d’un procédé d’anonymisation et non de pseudonymisation : l’individualisation (il doit être impossible d’isoler un individu dans l’ensemble de données), la corrélation (il ne doit pas être possible de relier deux ensembles distincts de données concernant un même individu) et l’inférence (il doit être impossible de déduire une information sur un individu). Pour éliminer toute possibilité d’identification, la Cnil rappelle que deux grandes techniques d’anonymisation sont possibles. La « randomisation » qui consiste à rendre moins précises les données, par exemple en permutant certaines informations dans l’ensemble de données tout en conservant la répartition globale. La seconde technique dite de « généralisation » consiste quant à elle à modifier l’échelle ou l’ordre de grandeur des données (par exemple en ne conservant que l’année de naissance au lieu de la date précise) afin d’éviter l’individualisation ou la corrélation avec d’autres ensembles de données. Ces méthodes d’anonymisation doivent cependant être réévaluées régulièrement car les techniques et possibilités de ré identification évoluent rapidement, à mesure des avancées technologiques.

Impacts sur la vie privée
A cet égard, dans son avis « Techniques d’anonymisation » (5), le G29 indiquait déjà que « le résultat de l’anonymisation, en tant que technique appliquée aux données à caractère personnel, devrait être, dans l’état actuel de la technologie aussi permanent qu’un effacement, c’est-à-dire qu’il devrait rendre impossible tout traitement de données à caractère personnel ». En effet, des données publiées comme « anonymes » à un instant T peuvent, grâce par exemple à une nouvelle technique développée par un tiers, redevenir indirectement identifiantes. Leur publication à titre de « données anonymes », sans veiller au respect du RGPD, pourrait ainsi constituer une violation de données. Si ces procédés d’anonymisation permettent de conserver et de réutiliser des données pour des durées étendues tout en assurant le respect des droits et libertés des personnelles, reste la question de l’utilité de données anonymes, notamment dans le secteur de la recherche scientifique et médicale. Comme le démontrent les débats entourant les traitements de données personnelles mis en œuvre par le biais de l’application mobile StopCovid, l’intérêt scientifique des données anonymes – qui ont perdu tout caractère individualisant – est plus limité.
Depuis toujours la problématique d’anonymisation est très présente dans le secteur de la santé. En effet, les données relatives à la santé des personnes constituent à la fois des données personnelles particulièrement risquées en termes d’impacts sur la vie privée, mais elles constituent également un enjeu important dans le cadre de la recherche scientifique et médicale. Par exemple, dès 2004, la Cnil s’était prononcée sur la volonté de la Fédération nationale de la mutualité française (FNMF) – regroupant 540 mutuelles adhérentes dont 266 mutuelles santé – d’avoir accès sous un format anonymisé à des données figurant sur des feuilles de soins électroniques. Ce traitement devait être mis en œuvre à des fins statistiques pour étudier l’impact d’un remboursement en fonction du service médical rendu pour les médicaments. La Cnil avait autorisé le traitement en donnant des précisions et recommandations strictes sur les modalités d’anonymisation des données, les mesures de sécurité et le respect des droits des personnes concernées (6).
Dans cette lignée, fin avril 2020, la Cnil s’est prononcée favorablement à l’application mobile StopCovid déployée par le gouvernement dans le cadre de sa stratégie de déconfinement progressif – sous réserve que les données personnelles collectées soient traitées sous un format pseudonymisé, puis supprimées de 15 jours ou 6 mois selon les catégories. « La [Cnil] prend acte de ce que l’article 4 du projet de décret [décret du 29 mai 2020 publié au J.O. du 30 mai dernier (7), ndlr] prévoit une conservation des clés et des identifiants associés aux applications pendant la durée de fonctionnement de l’application StopCovid et au plus tard six mois à compter de la fin de l’état d’urgence sanitaire, et une conservation des historiques de proximité des personnes diagnostiquées ou testées positives pendant quinze jours à compter de leur émission » (8).
Cependant, le 21 juin dernier, le Conseil scientifique covid- 19 a publié un avis afin d’indiquer qu’il considérait essentiel d’appliquer l’option prévue par l’article 2 du projet de loi organisant la sortie de l’état d’urgence sanitaire permettant de conserver les données personnelles collectées par StopCovid pour une durée plus longue. Ce conseil scientifique (9) précise en outre que ces données devraient être conservées « sous une forme pseudonymisée et non simplement anonymisée, de façon à ce que les données d’un même individu, non-identifiantes, puissent tout de même être reliées entre elles (ex : documentation d’une ré-infection), ou chaînées avec des données d’autres bases » (10). Cette position illustre parfaitement les enjeux liés à l’articulation entre exploitation des données, durées de conservation et anonymisation ou pseudonymisation.

Risque de seconde vague
La position de la Cnil et l’arbitrage qui sera opéré entre respect de la vie privée et le nécessaire suivi de l’épidémie de covid-19, en particulier avec le risque d’une seconde vague, permettra d’étayer davantage les critères d’application et la distinction entre pseudonymisation et anonymisation. Au 23 juin 2020, soit en trois semaines d’existence de StopCovid, seuls quatorze cas à risque de contamination ont été détectés par l’application mobile. A cette date de premier bilan, elle a été téléchargée 1,9 million de fois, mais désinstallée 460.000 fois. Le gouvernement se dit néanmoins convaincu de son utilité, surtout en prévision de cette seconde vague. @

Diffusion TV via des applications OTT : le combat continue entre distributeurs et éditeurs de chaînes

Depuis le différend d’il y a six ans entre Play Media, pionnier de la diffusion de chaînes en ligne, et France Télévisions – affaire qui s’est soldée par le rejet du « must carry » –, la question de la distribution des chaînes de télévision par des distributeurs Internet a été reposée par Molotov.

Par Fabrice Lorvo*, avocat associé, FTPA.

La révolution numérique a modifié les attentes des consommateurs, notamment dans la manière de regarder la télévision. Aux côtés de l’offre disponible sur les réseaux classiques (TNT, satellite, câble et ADSL/VDSL2), la distribution de la télévision connaît une nouvelle étape avec les applications OTT (Over-the-Top) – lesquelles sont par définition indépendantes de tout opérateur télécoms, mais pas forcément des éditeurs de chaînes. Cette offre permet d’accéder, par le biais d’un portail unique, à des contenus issus de différentes chaînes de télévision linéaire sur tous les écrans et appareils connectés.

Affaire « Play Media » : pas de must carry
Molotov.tv figure parmi les applications OTT les plus connues. Son éditeur Molotov (1) propose un modèle freemium, à savoir un service gratuit assorti de services payants améliorés. La plateforme permet d’accéder gratuitement aux services de télévision linéaire ainsi qu’à des fonctionnalités complémentaires, parfois payantes, notamment : de recherche, de rattrapage, de projection sur un écran de télévision ou parfois de reprise de programmes depuis le début, ou d’enregistrement. Côté « consommateurs », Molotov revendique plus de 10 millions d’utilisateurs enregistrés après seulement trois annèes d’existence (2). Côté « contenus », Molotov offre une expérience associant dans une même interface les programmes linéaires et non-linéaires de plus de 170 éditeurs et chaînes de télévision. L’éditeur a notamment conclu des contrats de distribution expérimentaux avec M6 (le 5 juin 2015 pour une durée initiale de deux ans qui s’est poursuivie jusqu’au 31 mars 2018) et avec TF1 (le 23 octobre 2016 pour une durée initiale de 14 mois qui s’est poursuivie jusqu’au 30 juin 2019). A partir de 2017, TF1 puis M6 ont informé Molotov qu’ils allaient restructurer les conditions de distribution de leurs services, en exigeant une rémunération pour le droit de distribuer leurs chaînes de la TNT en clair et services associés. Des négociations distinctes se sont engagées entre les chaînes et Molotov. Faute d’accord, M6 a mis fin à la reprise de ses chaînes à compter du 31 mars 2018 et TF1 à compter du 1er juillet 2019. Molotov a considéré que l’absence d’accord entre les parties ne résultait pas d’un processus contractuel normal. L’échec des négociations serait lié au lancement concomitant d’une plateforme concurrente. En effet, parallèlement aux négociations, M6 et TF1 ont créé avec France Télévisions (FTV) une plateforme dénommée Salto, dont l’activité est, d’une part, la distribution – dans le cadre d’offres payantes – de services de télévision et de médias audiovisuels à la demande, et d’autre part, l’édition d’une offre de vidéo à la demande par abonnement. La création de Salto a été autorisée par l’Autorité de la concurrence le 12 août 2019 sous réserve d’exécution d’engagements.
La rivalité entre les chaînes de télévision, lesquels ont des accords de distribution rémunérateurs avec les fournisseurs d’accès à Internet (FAI), d’une part, et les purs distributeurs de services OTT sur Internet, d’autre part, n’est pas nouvelle. Ce qui différencie principalement les applications des éditeurs de chaînes (comme TF1 ou M6 (3)) des simples distributeurs OTT (comme MyCanal et Molotov), c’est qu’elles ne proposent que leurs propres chaînes, ce qui limite forcément l’attractivité de leurs services. Pour se différencier, les éditeurs de chaînes proposent donc des fonctionnalités spécifiques comme des avant-premières, des programmes exclusifs, des prolongements de leurs émissions-phare et le start-over (4) qu’elles n’autorisent pas toujours chez leurs concurrents OTT. La particularité de l’application Salto est de regrouper plusieurs éditeurs de chaînes.
Cette concurrence entre applications OTT d’un pur distributeur et d’un éditeur de chaînes s’est déjà retrouvée devant les tribunaux. En 2014, FTV, constatant que ses programmes étaient proposés – sans son autorisation – par la société Play Media sur le site Playtv.fr pour un visionnage en direct et un accès à la télévision de rattrapage, l’a assignée en concurrence déloyale (FTV offrait déjà ce service sur son site Pluzz). Play Media a revendiqué pour les modes de diffusion sur Internet l’obligation de diffusion des chaînes publiques transmises par voie hertzienne, dite « must carry » (5), conçue pour les modes de diffusion historiques (hertzien, câble, satellite). Sur ce motif, Play Media a demandé qu’il soit enjoint à FTV de conclure un contrat l’autorisant à diffuser ses programmes.

Accord contracturel OTT-chaîne nécessaire
Après cinq années de procédure et de nombreuses décisions (6), il a été jugé que le distributeur Play Media ne pouvait pas se prévaloir de l’obligation de must carry dès lors que « l’existence de relations contractuelles nouées avec l’éditeur de services de communication audiovisuelle est une condition de la mise en œuvre de l’article 34-2 ». Il est donc définitivement tranché que la reprise d’une chaîne par un distributeur OTT nécessite un accord contractuel avec l’éditeur de ladite chaîne. Ce type d’accord aboutit souvent, mais encore faut-il qu’il soit recherché de bonne foi. Par exemple, depuis un accord d’une durée de trois années conclu en octobre 2019, Molotov peut intégrer dans ses offres les chaînes du groupe Altice, à savoir BFMTV, RMC Découverte, RMC Story, BFM Business, BFM Paris, BFM Lyon et i24 News (en français, en anglais et en arabe).

La bataille du freemium et du premium
Le distributeur Molotov a considéré que l’échec des négociations avec TF1 et M6 avaient pour cause des pratiques contraires aux règles de concurrence nationales et à celles de l’Union européenne. Selon Molotov, TF1 et M6 auraient rompu de manière brutale et abusive les accords expérimentaux conclus, entre chacun des deux groupes et Molotov. M6 aurait, via l’adoption de nouvelles conditions générales de distribution (CGD), tenté d’imposer à Molotov la distribution de ses chaînes et services aux consommateurs exclusivement dans le cadre d’offres payantes, ce que Molotov juge incompatible avec son modèle d’affaires freemium. De son côté, TF1 aurait tenté d’imposer à Molotov les conditions de son offre « TF1 Premium » qui consiste à apporter des services à valeur ajoutée tels que ceux fournis à des FAI pour leur « box (replay enrichi ou étendu, start-over, cast, 2e écran ou multiécrans, 4K, avant-premières, etc. (7)).
Le comportement de TF1 et M6 serait lié à la création de l’entreprise commune Salto, qui est un futur concurrent de Molotov. Toujours selon la société Molotov, ces faits constituaient une tentative abusive d’éviction de son application et attestaient également de l’existence d’une collusion anticoncurrentielle entre TF1 et M6. Molotov serait en outre dans une situation de dépendance économique vis-à-vis de TF1 et de M6, situation dont celles-ci auraient abusé par leur comportement. La société Molotov a donc saisi l’Autorité de la concurrence le 12 juillet 2019. Par une décision en date du 30 avril 2020, l’Autorité a débouté intégralement Molotov de ses demandes dès lors que Molotov n’apportait pas d’éléments suffisamment probants à l’appui de ses allégations.
• Premier grief : l’allégation d’abus de position dominante collective. Selon l’Autorité de la concurrence, ni la saisine ni le dossier d’instruction ne comportent d’éléments suffisamment probants susceptibles de démontrer l’existence d’une position dominante détenue collectivement par les groupes FTV, TF1 et M6. En particulier, rien ne permet d’affirmer que les groupes FTV, M6 et TF1, pris collectivement, soient susceptibles de pouvoir « agir dans une mesure appréciable indépendamment des autres concurrents, de leur clientèle et, finalement, des consommateurs ».
• Deuxième grief : l’allégation d’abus de dépendance économique. Molotov soutenait que les chaînes des trois groupes historiques (M6, TF1 et FTV) représentent collectivement 70 % de l’audience de la télévision linéaire gratuite et sur la part de la durée de visionnage totale des utilisateurs de Molotov attribuable aux chaînes des groupes TF1 et M6. L’Autorité a rappelé que selon la jurisprudence La démonstration d’un tel état de dépendance doit donc être faite au cas par cas pour chacune de ces relations (d’abord Molotov/TF1 puis Molotov/ M6) et non collectivement (Molotov/M6/TF1).
• Troisième grief : l’allégation d’entente horizontale concernant la création de Salto. Molotov soutient que les chaînes ont adopté de concert vis-à-vis de Molotov un comportement visant à restreindre sa capacité à exercer une pression concurrentielle sur leur plateforme future. Selon l’Autorité de la concurrence, le nouveau positionnement de TF1 et de M6 consistant à demander une rémunération s’explique d’abord par l’évolution du paysage audiovisuel. Il s’explique aussi, comme le font valoir TF1 et M6, par l’existence de manquements contractuels répétés de Molotov, dont des factures impayées, l’absence de fourniture mensuelle du nombre d’utilisateurs et d’envoi de données détaillées sur l’utilisation de la fonctionnalité d’enregistrement. L’Autorité de concurrence en conclut que la saisine et les éléments au dossier ne contiennent aucun élément tendant à démontrer l’existence d’un accord de volonté, explicite ou tacite, entre les groupes TF1 et M6 ayant pour objet ou pour effet de restreindre la concurrence, en excluant Molotov du marché.
• Quatrième grief : la restriction verticale alléguée du fait d’une clause dite de « Paywall » (8) contenue dans les CGD du groupe M6 qui aurait été illégale. C’était l’atout de Molotov qui avait eu gain de cause sur ce fondement devant le tribunal de commerce de Paris (9). Or, selon l’Autorité de la concurrence, en l’absence de démonstration de l’existence d’un accord de volonté entre M6 et Molotov, et donc de l’entrée en vigueur de cette clause, toute analyse sous l’angle des articles L. 420-1 du code de commerce et 101 § 1 du Traité sur le fonctionnement de l’Union européenne (TFUE) est, par définition même, exclue.

TF1, FTV et M6 sous surveillance
Molotov, dans une précision (10), considère que sa situation de distributeur s’est améliorée dès lors que l’introduction de son action (en juillet 2019) aurait conduit l’Autorité de la concurrence à assortir l’autorisation donnée à Salto en août 2019 d’engagements obligatoires qui doivent dans des « conditions équitables, raisonnables et non-discriminatoires » permettre à tous les distributeurs, dont Molotov, de distribuer les chaînes des groupes mères de Salto, à savoir TF1, FTV et M6. Molotov a déclaré qu’elle veillerait à ce que ces éditeurs ne vident pas de leur portée les engagements qu’ils ont pris vis-à-vis de l’Autorité et qu’elle n’hésiterait pas à engager toute procédure nécessaire dans le cas contraire… Depuis le 3 juin, Salto a commencé à faire ses premiers pas en version bêta fermée (11). Prévu initialement au printemps, son lancement a été reporté à l’automne. @

* Fabrice Lorvo est l’auteur du livre « Numérique :
de la révolution au naufrage ? », paru en 2016 chez Fauves Editions.

Presse : le droit voisin des éditeurs sous la coupe de Google et dans les mains de l’Autorité de la concurrence

La décision rendue par l’Autorité de la concurrence (ADLC) le 9 avril dernier à l’encontre de Google, à la demande de l’Alliance de la presse d’information générale (APIG), du Syndicat des éditeurs de la presse magazine (SEPM) et de l’Agence France-Presse (AFP), est très instructive. Explications.

Par Christophe Clarenc, avocat, Cabinet DTMV & Associés

Tout d’abord, la décision 20-MC-01 illustre la volonté d’action et d’intervention rapide de l’ADLC à l’encontre des pratiques dommageables des « plateformes numériques structurantes », au bénéfice ici de la pérennité même du secteur de la presse d’information. Ensuite, cette décision (1) porte sur la « mise en œuvre » et le « contournement » par Google du droit voisin spécialement instauré par la législation au profit des éditeurs de presse pour l’utilisation en ligne de leurs contenus par les « fournisseurs de services de la société de l’information ». Et elle aboutit à travers ses injonctions à placer l’exécution de la rémunération des éditeurs de presse au titre du droit voisin sous le contrôle et le pouvoir de sanction de l’ADLC.

Plateformes numériques structurantes
Dans sa contribution du 19 février dernier au « débat sur la politique de concurrence et les enjeux numériques » (2), l’ADLC a placé les « plateformes numériques structurantes » au centre des préoccupations, en les définissant comme toute « entreprise qui fournit en ligne des services d’intermédiation en vue d’échanger, acheter ou vendre des biens, des contenus ou des services » et qui, « en raison de l’importance de sa taille, sa capacité financière, sa communauté d’utilisateurs et/ou des données, détient un pouvoir de marché structurant lui permettant de contrôler l’accès ou d’affecter de manière significative le fonctionnement du ou des marchés sur lesquels elle intervient » (3). Ces plateformes structurantes sont celles des grands fournisseurs américains d’infrastructures et de services informatiques sur Internet, les « GAFAM », qui contrôlent l’industrie des « services de la société de l’information » déployés au cœur du « marché numérique unique », qui dominent et concentrent dans leurs systèmes et leurs nuages informatiques les activités en ligne, les données, les traitements à distance et les programmes d’intelligence artificielle (IA) de la société européenne. On peut rappeler cet état et ce bilan de domination, de colonisation (4) et de dépendance du « marché numérique unique » à l’heure des discours alarmés sur l’autonomie de l’Union européenne et la souveraineté de ses Etats membres dans les technologies, biens et services essentiels. Google est au premier rang des plateformes structurantes et de la responsabilité concurrentielle à ce titre (5). A travers son moteur « Search » et ses systèmes « Chrome » et « Android » associés, Google domine de « manière extraordinaire » le marché européen de la navigation et des services d’agrégation, d’indexation, de référencement et de recherche de contenus sur le Web (6), avec un pouvoir de levier, d’intermédiation, de captation et de discipline à proportion sur l’ensemble des activités en lien d’interaction et de dépendance, dont l’activité de la presse d’information. Cette domination lui assure tout d’abord une position d’intermédiation centrale sur le marché européen de la publicité en ligne et la captation structurelle de plus de 90% du marché de la publicité en ligne liée aux recherches sur Internet, par processus d’interaction, de ciblage et de déclenchement entre les recherches (gratuites) des internautes et les publicités (payantes) des annonceurs, et par effet dynamique d’attraction, d’accumulation et de concentration sur les deux côtés intermédiés.
Dans son avis du 21 février 2019, l’ADLC relevait déjà que « la majorité des revenus de la publicité en ligne est captée par les moteurs de recherche et les réseaux sociaux, au premier rang desquels Google et Facebook », et que la chute continue des revenus publicitaires sur diffusion papier des éditeurs de presse dans la période 2007-2017 n’était pas compensée par le développement de leurs ventes en ligne et encore moins par la croissance de la publicité en ligne précisément captée par ces plateformes. Cette domination lui procure ensuite un pouvoir critique sur l’exposition et le trafic des sites web indexés dans sa base de recherche, à travers leur affichage et leur niveau de référencement dans les pages de résultats de son service de recherche.

Dépendance des éditeurs de presse
Dans sa décision, l’ADLC a constaté le pouvoir critique de Google sur les sites web et les contenus d’information en ligne des éditeurs de presse, à travers leur affichage et leur classement dans ses services de recherche générale et de contenus personnalisés en lien avec l’actualité (7). Elle a préalablement rappelé, tout d’abord, que l’existence et l’attractivité pour les internautes des services d’actualités de Google reposaient sur la reprise, l’agrégation et l’affichage d’extraits des contenus d’information publiés en ligne sur leurs sites par les éditeurs de presse ; ensuite qu’une grande majorité de la population utilisait ces services de Google pour suivre l’actualité ; enfin qu’une part significative des internautes se suffisait de ces extraits repris et affichés par Google sans cliquer et se rendre sur les sites des éditeurs de presse dont ils provenaient. L’ADLC a relevé, compte tenu du quasi-monopole de Google dans la recherche sur Internet, d’une part, que leur affichage dans les services d’actualité de Google dirigeait et conditionnait leur trafic et que ce trafic était « significatif, critique et non remplaçable », d’autre part, que la disparition ou la dégradation d’un site de presse dans l’affichage de Google lui était fatale pour son trafic et l’entraînait dans une spirale de déclassement dans les algorithmes et résultats de recherche de Google qui sont liés aux taux de clic sur les liens.

Droit voisin au profit des éditeurs de presse
L’article 15 de la directive « Droit d’auteur et droits voisins dans le marché numérique » a institué un droit voisin au profit des éditeurs de publications de presse pour la protection et la valorisation de leurs contenus d’informations en ligne en ce qui concerne leur « utilisation en ligne par des fournisseurs de services de la société de l’information ». Ce droit voisin a été institué au profit des éditeurs de presse en considération, tout d’abord, de l’utilisation massive de tout ou parties de leurs publications disponibles en ligne par de « nouveaux [sic] services en ligne, tels que les agrégateurs d’informations ou les services de veille médiatique, pour lesquels la réutilisation de publications de presse constitue une partie importante de leurs modèles économiques et une source de revenus ». Ensuite en considération de leurs « difficultés » à revendiquer licence et à obtenir rémunération au titre de cette utilisation, au détriment de « l’amortissement de leurs investissements » et de la rémunération des « auteurs dont les œuvres sont intégrées », et, enfin, de la « pérennité » même du secteur et d’une « presse libre et pluraliste ».
La fonction et la finalité de ce droit voisin étaient clairement affichées dans la proposition de la Commission européenne du 14 septembre 2016 (8) : une « amélioration de la position » individuelle et collective des éditeurs de presse en face des fournisseurs en cause « pour négocier et être rémunérés pour l’utilisation en ligne de leurs publications et obtenir une part équitable de la valeur générée » ; et « un partage équitable de la valeur nécessaire pour garantir la viabilité du secteur des publications de presse ». La directive « Droit voisin » a singulièrement introduit une exception d’application « en ce qui concerne l’utilisation de mots isolés ou de très courts extraits d’une publication de presse » (9), qui trouble la portée du droit voisin instauré mais d’un trouble contredit par le niveau élevé de protection, de sécurité juridique et de pérennité proclamé. La loi française «Droit voisin » du 24 juillet 2019 a transposé sans délai ce droit voisin, dans l’urgence des nécessités pour les éditeurs de presse. Elle a strictement encadré l’exception d’application en précisant qu’elle « ne peut affecter l’efficacité des droits ouverts » et que « cette efficacité est notamment affectée lorsque l’utilisation de très courts extraits se substitue à la publication de presse elle-même ou dispense le lecteur de s’y référer ». Elle a fixé les conditions de la rémunération des éditeurs de presse par les services en cause (10). Le 25 septembre 2019, un mois avant l’entrée en vigueur de la loi, Google a annoncé qu’elle n’entendait pas rémunérer les éditeurs de presse pour la reprise et l’affichage de leurs extraits éditoriaux, qu’elle n’afficherait plus d’aperçus de leurs contenus sans une démarche d’autorisation de reprise gratuite de leur part et qu’elle leur appliquerait de « nouveaux réglages » à cet effet à travers notamment une nouvelle « balise max-snippet » (11).
Saisie par l’APIG, le SEPM et de l’AFP, l’ADLC a fait droit et réponse à la provocation de ces annonces et mesures de Google. Elle a souligné que la loi « Droit voisin » avait pour objectif de mettre en place les conditions d’une négociation équilibrée entre éditeurs de presse et fournisseurs de services de communication au public en ligne concernés, et ce afin de redéfinir le partage de la valeur entre ces acteurs et en faveur des premiers, et qu’il serait irrecevable de remettre en cause ou de questionner cet objectif. L’ADLC a considéré que ce comportement de Google à l’endroit des éditeurs de presse était possiblement constitutif de trois abus de sa position dominante sur le marché des services de recherche sur Internet. Tout d’abord par imposition de conditions de transaction inéquitables, en évitant toute forme de négociation et de rémunération pour la reprise et l’affichage de leurs contenus protégés, en forçant à la licence gratuite sous le risque du déclassement et de la perte de trafic, et de surcroît en imposant de nouvelles conditions d’affichage (« max-snippet ») plus désavantageuses que celles qui préexistaient. Ensuite par discrimination en traitant de façon identique des acteurs placés dans des situations différentes. Enfin par contournements de la loi, en détournant la possibilité laissée aux éditeurs de consentir des licences gratuites pour imposer une principe général inverse de non-rémunération sans possibilité de négociation, en refusant de communiquer les informations nécessaires à la détermination de la rémunération, et en reprenant et affichant sans autorisation des titres d’articles dans leur intégralité en considérant qu’ils échappent au droit voisin.

Atteinte grave et immédiate au secteur de presse
L’ADLC a conclu que le comportement de Google emportait une atteinte grave et immédiate au secteur de la presse en le privant d’une « ressources vitale » pour assurer la pérennité de ses activités dans un contexte de crise majeure et au moment crucial de l’entrée en vigueur de la loi. Elle lui a enjoint une série de mesures aux fins d’une négociation de bonne foi avec les éditeurs de presse dans les conditions de la loi et avec communication de ses données d’exploitation. C’est le paradoxe heureux de la provocation de Google à l’encontre de la loi : placer l’exécution de la rémunération des éditeurs de presse au titre du droit voisin et par Google sous le contrôle et le pouvoir de sanction de l’ADLC. @