Jeux d’argent et de hasard : la France est appelée à lever la prohibition des casinos en ligne, d’ici 2025 ?

L’Autorité nationale des jeux (ANJ) a publié début décembre une étude sur l’offre illégale en France de jeux d’argent et de hasard en ligne, afin de lutter contre de manière plus efficace. Mais en creux, l’ouverture des casinos en ligne – déjà autorisés dans la plupart des pays européens – est en réflexion.

Quinze ans après l’ouverture à la concurrence – en 2010 – du marché des jeux d’argent et de hasard, soit en 2025, la France légalisera-t-elle enfin les casinos en ligne comme la plupart de ses voisins européens ? A défaut de pouvoir miser légalement en ligne à la roulette, au jeu de dés, au baccara, au blackjack ou encore aux machines à sous sur l’Hexagone, les spéculations vont bon train sur le moment où leur prohibition sera levée. Et ce, avec ou sans l’abolition du monopole français des « casinotiers » physiques (Barrière, Partouche, Joa, Tranchant, Cogit, …). Leurs syndicats Casinos de France et ACIF (1) militent pour obtenir l’exclusivité d’opérer les casinos en ligne qui seraient le pendant digital de leurs établissements en dur. Casinos de France porte ainsi depuis 2019 – et plus encore depuis la pandémie de covid durant laquelle les casinotiers ont dû fermer neuf mois au total – un projet que ce syndicat appelle « Jade », pour « Jeu à distance expérimental ». « La solution qui consisterait à ouvrir à la concurrence les jeux de casino en ligne serait toxique pour les casinos terrestres.

Des tentatives législatives sans résultat
Pour éviter cela, il faut relier les casinos en ligne aux casinos physiques », explique à Edition Multimédi@ Philippe Bon, délégué général de Casinos de France. Ses voeux seront-ils exhaussés le 25 janvier prochain lors de la présentation du plan stratégique 2024- 2026 de l’Autorité nationale des jeux (ANJ) ? Cette idée de régulation expérimentale des casinos en ligne « réservés » aux seuls casinotiers fait son chemin, depuis que le projet Jade a été présenté à l’ANJ, régulateur français des jeux d’argent et de hasard en ligne ouverts à la concurrence, que préside depuis juin 2020 Isabelle Falque-Pierrotin (photo). Pas moins de quatre amendements ont d’ailleurs été déposés dans ce sens au Sénat dans le cadre du projet de loi visant à « sécuriser et réguler l’espace numérique » (SREN), mais ils ont été déclarés « irrecevables » début juillet. A l’Assemblée nationale, une proposition de loi « Autoriser les exploitants de casinos à proposer des jeux de casino en ligne » a aussi été déposée le 23 mai 2023 mais Continuer la lecture

Influenceurs : pris entre le marteau et l’enclume

En fait. Le 1er juin, le Sénat a adopté à l’unanimité la proposition de loi « Anti-arnaques et anti-dérives des influenceurs », comme l’avait fait la veille l’Assemblée nationale dans la foulée d’un accord en commission mixte paritaire. Avant même sa promulgation, la DGCCRF épingle les mauvais joueurs.

En clair. La promulgation de la loi « visant à encadrer l’influence commerciale et à lutter contre les dérives des influenceurs sur les réseaux sociaux » n’est que pure formalité. La proposition de loi transpartisane a été adoptée les 31 mai et le 1er juin derniers par respectivement l’Assemblée nationale et le Sénat. Et ce, après un accord trouvé le 25 mai en commission mixte paritaire (CMP) entre sénateurs et députés. Portée par les députés Arthur Delaporte (Nupes) et Stéphane Vojetta (Renaissance), la loi « Influenceurs » a l’encre à peine sèche que la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), basée à Bercy (Bruno Le Maire), a dégainé le 2 juin des sanctions « name and shame » (nommer et blâmer) à l’encontre de six influenceurs (1). Trois sont épinglés pour « pratiques commerciales trompeuses » et trois autres pour non-divulgation de « partenariat commercial rémunéré » (pub clandestine).
Ils sont tenus de publier sur leur profil en ligne, et durant 30 jours, leur condamnation. Le 3 mai, la DGCCRF avait indiqué avoir « contrôlé » 50 influenceurs au cours du premier trimestre. Des injonctions et des procès-verbaux pénaux pleuvent. « Bruno Le Maire et la DGCCRF rendront publiques les mesures prises à l’encontre de certains influenceurs dans une optique de sensibilisation aux enjeux de loyauté, et dans le respect des procédures du code de la consommation », avait prévenu Bercy (2). La loi « Influenceurs », elle, renforce les pouvoirs de la DGCCRF avec la création d’« une brigade d’influence commerciale constituée dans un premier temps de 15 agents » (temps plein), opérationnelle en septembre prochain. Ils « surveilleront » les réseaux sociaux, et répondront aux « signalements » de SignalConso (3).
La brigade sanctionnera les influenceurs coupables, fermera leurs comptes, voire les déférera devant un juge. La loi officialise aussi un « guide de bonne conduite » pour les influenceurs, déjà disponible avec un édito de Bruno Le Maire (4), et crée des « Assises de l’influence responsable » qui auront lieu tous les ans à Bercy. Les photos et vidéos retouchées ou produite par de l’IA seront à indiquer. La promotion d’actes de santé, de chirurgie esthétique ou d’animaux sauvages est interdite. Tandis que les influenceurs installés à l’étranger (Dubaï. Bahamas, Ile Maurice, …) doivent « nommer un représentant légal en France ». @

Le jeune ministre de la Transition numérique et des Télécoms, Jean-Noël Barrot (40 ans), s’active

Nommé il y a un peu plus de dix mois ministre délégué de la Transition numérique et des Télécoms, Jean-Noël Barrot – 40 ans depuis le 13 mai – intensifie son action aussi bien sur la régulation d’Internet (G7 numérique au Japon et projet de loi en France) que sur le plan France Très haut débit et la French Tech.

Pas de temps à perdre pour ce jeune quadra. L’agenda bien rempli de Jean-Noël Barrot (photo), ministre délégué de la Transition numérique et des Télécommunications auprès de Bruno Le Maire (1), s’accélère. Après un périple de deux jours au Japon pour représenter la France au G7 Numérique les 29 et 30 avril, le revoici à pied d’œuvre sur le sol français où ses dossiers s’enchaînent à Bercy. En haut de la pile : le projet de loi visant à sécuriser et réguler l’espace numérique.
Après l’avoir présenté le 10 mai en conseil des ministres, puis transmis au Parlement, le texte du gouvernement devrait être examiné au Sénat en juin puis à l’Assemble nationale début juillet. L’une des mesures très attendues est le « filtre antiarnaque » annoncé par le candidat Emmanuel Macron lors de la campagne présidentielle du printemps 2022. Sur un autre front, Jean-Noël Barrot interviendra le 16 mai à l’occasion de la publication – par la fédération professionnelle Infranum (2) – de l’Observatoire du très haut débit 2023 sur fond de polémiques sur les malfaçons dans le déploiement de la fibre optique jusqu’aux abonnés. Pour tenter de remédier à ces dysfonctionnements, une proposition de loi a été adoptée le 2 mai au Sénat et transmise à l’Assemblée nationale. Les différents acteurs de la filière télécoms se rejettent plus que jamais la responsabilité des couacs (3).

Un ministre délégué à l’agenda de ministre
Jean-Noël Barrot (« JNB ») œuvre aussi en faveur de la « Startup Nation » chère à Emmanuel Macron, lequel fut ministre de l’Economie, de l’Industrie et du Numérique d’août 2014 à août 2016 (sous la présidence de François Hollande). La « French Tech » est une initiative du gouvernement français lancée il y aura dix ans en fin d’année. Passage en revue des principaux sujets d’actualité concernant JNB.
« G7 Digital & Tech » au Japon. Ce n’est pas le ministre Bruno Le Maire qui s’est rendu au Japon pour cette réunion ministérielle des sept pays les plus riches du monde, mais bien son ministre déléguée Jean-Noël Barrot. Ce sommet du numérique précède le G7 des chefs d’Etat qui se tiendra à Hiroshima, toujours au Japon, du 19 au 21 mai prochains.

G7 numérique, projet de loi, fibre optique, …
« Au G7 numérique au Japon pour défendre les priorités de la France : protection de l’enfance en ligne, régulation de l’intelligence artificielle, numérique éco-responsable », a twitté JNB le 29 avril de Takasaki, au nord-ouest de Tokyo (4). Et le lendemain de se féliciter : « A l’issue de deux jours d’échanges, la déclaration commune des pays du G7 sur les enjeux numériques reprend les priorités de la France ». En dix pages (5), les sept ministres du digital et de la tech ont notamment rappelé « la nécessité de combler les fossés numériques aux niveaux national et international » et de « réduire les fractures numériques, y compris la fracture numérique entre les sexes ». Alors que la présidence japonaise de ce G7 numérique a présenté sa « vision pour une société 5.0 », les discussions ont porté sur six thèmes : « facilitation des flux de données transfrontaliers et libre circulation des données avec confiance » (6) ; « infrastructure numérique sécurisée et résiliente » (plan d’action du G7) ; « gouvernance de l’Internet » (« Internet ouvert, libre, mondial, interopérable, fiable et sécurisé ») ; « technologies émergentes et disruptives dans la société et l’économie innovantes » ; « IA responsable et gouvernance mondiale de l’IA » ; « concurrence numérique » (« mettre à jour les lois et les règlements »).
Projet de loi « Sécuriser et réguler l’espace numérique ». Ce texte de loi française émane du gouvernement Borne (7) mais surtout du président de la République qui est à l’initiative d’une mesure-phare : le « filtre anti-arnaque ». Lors de la campagne présidentielle du printemps 2022, Emmanuel Macron avait promis l’instauration d’« un filtre anti-arnaques [qui] avertira en temps réel tous les usagers d’Internet avant qu’ils ne se rendent sur un site potentiellement piégé ». Le futur dispositif avait été détaillé pour la première fois par le député (Renaissance) Eric Bothorel en mars 2022 dans un tweet (8). Plus d’un an après, le filtre anti arnaque est enfin sur les rails. Jean-Noël Barrot en a précisé le calendrier de mise en œuvre le 20 février : une version bêta sera testée en septembre prochain lors de la Coupe du monde de rugby, puis l’outil sera généralisé pour les Jeux Olympiques de 2024. « Nous assistons à une très forte progression de l’insécurité numérique. C’est tout simplement insupportable », avait lancé le ministre délégué sur Franceinfo (9). Deuxième mesure-phrase du texte : donner le pouvoir à l’Arcom de bloquer – sans l’aval d’un juge – les sites pornos, pour lesquels une vérification de l’âge par « double anonymat » est prévue pour protéger les mineurs (10). « Il est urgent de soustraire nos enfants au déferlement des images pornographiques en libre accès sur Internet », a déclaré JNB dans le JDD du 6 mai (11).
Proposition de loi « Qualité et pérennité des raccordements en fibre optique ». Elle émane du sénateur Patrick Chaize, qui est par ailleurs président de l’Association des villes et collectivités multimédias (Avicca). Le texte a été adopté à l’unanimité le 2 mai au Sénat en 1ère lecture et en présence de Jean-Noël Barrot qui s’est interrogé sur « la responsabilité de ces difficultés » : « Il convient d’abord d’examiner les acteurs en cause : d’un côté, les opérateurs d’infrastructure, qui déploient les réseaux, notamment jusqu’au point de mutualisation ; de l’autre, les opérateurs commerciaux, qui assurent le branchement au dernier kilomètre, en vertu du mode Stoc [contrat dit de “sous-traitance opérateur commercial”, ndlr]. Chacun rejette la faute sur l’autre ». La proposition de loi n’a pas manqué de raviver les tensions au sein de la filière télécoms.
Pour autant, le ministre délégué s’est voulu rassurant sur le chaotique plan France Très haut débit, stratégie décidée il y a dix ans : « Ce plan est un très grand succès français : nous sommes passés de 1 million de foyers éligibles à la fibre en 2013 à 8 millions en 2017 et à 34 millions en 2022, faisant de la France le pays d’Europe le plus avancé en matière de déploiement de cette technologie ». Et d’ajouter : « Il s’agit sans doute du programme d’investissement le plus ambitieux et le plus important depuis le début du siècle : 34 milliards d’euros lui ont été consacrés, dont 65 % ont été pris en charge par le secteur privé, 25 % par les collectivités territoriales et 10 % par l’Etat » (12).
La « French Tech » aura dix ans fin 2023. Objectif : « faire de la France un des pays les plus attractifs au monde pour les start-up », avec le soutien financier de l’Etat via sa « mission French Tech », administration publique installée depuis 2017 chez l’incubateur Station F fondé par le milliardaire fondateur de Free, Xavier Niel.

De la « Start-up Nation » à la French Tech
A ce jour, l’écosystème French Tech compte 21.431 start-up (13), dont certaines d’entre elles intègrent chaque année depuis 2019 la promotion « French Tech Next40/120 » (40 licornes et 80 start-up, soit 120 jeunes pousses au total). Celle de 2023, cumulant 11,3 milliards d’euros de chiffre d’affaires (14), a été dévoilée le 20 février. Mais Bercy doit encore faire évoluer les critères de sélection pour ne plus être suspecté de se polariser sur l’importance des seules levées de fonds (4,3 milliards d’euros en 2022). @

Charles de Laubier

Le livre espère sauver ses libraires face à Amazon et déréférencer sur Google ses titres piratés

Le Festival du Livre de Paris ferme ses portes ce 23 avril après trois jours au Grand Palais Ephémère. Cette deuxième édition (formule succédant au Salon du livre) s’est déroulée au moment où l’édition française tient tête à Amazon pour le prix de livraison et lutte contre le piratage avec LeakID.

A l’heure où se termine le Festival du Livre de Paris, organisé par le Syndicat national de l’édition (SNE), l’industrie du livre en France s’est donnée les moyens, d’une part, de combattre les 0,01 centime d’euro de frais livraison de livres brochés vendus sur les plateformes de e-commerce, Amazon en tête, et, d’autre part, d’utiliser un outil de désindexation de liens illégaux sur Google pour lutter contre le piratage en ligne de livre. Les librairies françaises, d’un côté, et les éditeurs de livres, de l’autre, attendent respectivement beaucoup de ces deux mesures.

Les 3 euros de l’Arcep retenus
Pour les frais de livraison des livres papier neufs vendus à distance, les librairies françaises peuvent remercier le régulateur de télécoms, plus précisément l’Arcep, laquelle est non seulement en plus régulateur de la distribution de la presse depuis octobre 2019, mais aussi depuis décembre 2021 le régulateur des tarifs d’expédition des livres. Il y a un an, le 28 avril 2022, c’est justement l’Arcep qui avait proposé au gouvernement – via ses ministres de la Culture et de l’Economie – d’établir à 3 euros par colis le montant minimal de tarification des frais de livraison de livres (1).
C’est ce montant-là que le gouvernement a retenu dans son arrêté publié le 7 avril dernier au Journal Officiel et cosigné par Rima Abdul-Malak, ministre de la Culture, et Bruno Le Maire, ministre de l’Economie, des Finances et de la Souveraineté industrielle et numérique (2). Ce tarif plancher de frais de port est cependant limité aux commandes en ligne allant jusqu’à 34,99 euros d’achat, car à partir de 35 euros les frais de port des livres neufs peuvent continuer à être tarifés à « plus de 0 euro » – en l’occurrence à 0,01 euro comme l’a institué Amazon, suivi par la plupart des plateformes de e-commerce dont Fnac+. L’Arcep, elle, avait proposé le seuil de déclenchement de cette quasi-gratuité des frais de port « aux alentours de 25 euros d’achat », alors que le Syndicat de la librairie française (SLF) estimait que cela n’était pas suffisant et que la sénatrice (LR) Laure Darcos à l’origine de la loi « Economie du livre » tablait, comme elle l’avait indiqué à Edition Multimédi@, sur 50 ou 60 euros d’achat minimum (3). Le gouvernement a tranché, en fixant ce seuil de déclenchement de la quasi-gratuité à 35 euros toutes taxes comprises. L’arrêté précise en outre que « le tarif minimal ainsi fixé s’applique au service de livraison d’une commande quel que soit le nombre de colis composant cette commande » et que « le service de livraison est payé par l’acheteur de manière concomitante au paiement de la commande » (4). Ce tarif minimal s’applique à la livraison de tout nouveau livre acheté en France, sauf si les commandes sont collectées auprès d’un détaillant de livres. Le SLF, qui représente en France près de 700 adhérents, a obtenu du cabinet de la ministre de la Culture la précision suivante : « Ce seuil s’appliquera également aux commandes mixtes composées de livres et d’autres produits, ainsi qu’à celles passées dans le cadre des programmes de fidélité proposés par les plateformes sur Internet ».
La loi « Economie du livre », surnommée « loi Darcos » (5), à l’origine de cette mesure pro-libraires – ou, diront certains, « anti-Amazon » –, prévoit que la mesure s’appliquera six mois après la publication de l’arrêté, soit à partir du 7 octobre 2023. Pourtant, le SLF a réexprimé sa crainte que « la quasi-gratuité au-delà de 35 euros d’achat n’amoindrisse la portée de la mesure et n’entretienne une culture de la gratuité contraire à la logique du prix unique du livre » et demande en contrepartie « un tarif postal plus avantageux permettant, en se conjuguant avec les seuils minimaux, de rendre les libraires véritablement compétitifs à l’égard des grandes plateformes en ligne ». Des négociations sont d’ailleurs prévues cette année avec La Poste et sous l’égide de l’Arcep et des pouvoirs publics sur les tarifs postaux justement appliqués à la filière du livre (jugés trop élevés notamment pour les services de presse des éditeurs et pour les librairies dans leurs expéditions de livres).

Le SNE parle de « pressions » d’Amazon
C’est dans ce contexte de revendications qu’a eu lieu le 15 avril dernier dans toute la France – mais aussi en Belgique et en Suisse – la 25e édition de la Fête de la librairie indépendante. Ce fut l’occasion pour les libraires de réaffirmer « le combat qu’ils mènent pour protéger leur métier » (6).
Quant au syndicat des éditeurs (SNE), lequel regroupe plus de 700 maisons d’édition, il n’a pas communiqué sur la publication de l’arrêté « 3 euros ». Néanmoins, lors de ses vœux « à l’interprofession du livre » le 5 janvier dernier, son président, Vincent Montagne (photo), avait donné le ton en ciblant nommément le géant mondial du e-commerce, la bête noire de la filière française du livre : « C’est une décision importante qui devrait mettre fin à la distorsion de concurrence imposée par les grands acteurs du e-commerce. Elle réaffirme que le livre n’est pas, et ne sera jamais, un produit d’appel pour les plateformes numériques et que l’esprit de la loi sur le prix unique du livre reste le socle sur lequel repose toute notre filière. Toutefois, il faut rester vigilant. La décision a été notifiée à Bruxelles et la réponse des autorités européennes tarde en raison notamment des pressions exercées par Amazon » (7).

Arrêté « 3 euros » : illégal en Europe ?
Au lieu de se terminer le 16 janvier 2023, la période de statu quo à la suite de la notification à Bruxelles (8) avait été prolongée jusqu’au 14 février. Dans son « avis circonstancié » qui avait prolongé ce statu quo et qui est signé par le Français Thierry Breton (commissaire européen au Marché intérieur), la Commission européenne a émis plusieurs observations sur l’arrêté « 3 euros » français. « L’adoption de l’arrêté notifié, en combinaison avec la loi [française “Economie du livre”], entraînera une restriction injustifiée à la libre circulation des services de la société de l’information sur le territoire français, en violation de l’article 3 de la directive sur le commerce électronique [lequel interdit à un Etat membre de restreindre la libre circulation des services de la société de l’information en provenance d’un autre Etat membre, ndlr] », a-t-elle notamment dénoncé. Autre grief qui va dans le sens d’Amazon : « Le tarif minimal d’expédition [les 3 euros] semble avoir une incidence plus lourde sur les détaillants en ligne qui n’ont aucune présence en France et pourrait entraîner une discrimination de facto à leur égard ».
En outre, le gouvernement français n’a pas fourni d’évaluation qui justifierait ce tarif minimal d’expédition et qui démontrerait sa contribution à préserver une « offre culturelle riche et diversifiée ». Pire, la Commission européenne a mis en garde la France sur le fait que son arrêté « pourrait être contraire [à] la directive sur le commerce électronique et [au] traité sur le fonctionnement de l’Union européenne », rien que ça (9). Pour tenter de rassurer Thierry Breton, les ministres Rima Abdul-Malak et Bruno Le Maire lui ont répondu le 16 janvier 2023, tout en reportant de quatre mois la publication de l’arrêté en raison du caractère « circonstancié » de l’avis de Bruxelles. Edition Multimédi@ a demandé – en vain – à recevoir cette réponse…
Qu’à cela ne tienne : le livre était à l’honneur en France, entre la Fête de la librairie indépendante qui a donc eu lieu mi-avril et le Festival du Livre de Paris qui s’achève ce dimanche 23 avril. Et ce, le jour-même de la Journée mondiale du livre et du droit d’auteur – célébrée tous les ans à cette même date depuis que l’Unesco a fait du « World Book and Copyright Day » (10) une journée internationale en 1995.
Justement, le droit de la propriété intellectuelle est l’autre combat majeur de l’industrie du livre. En France, le SNE pour les éditeurs et la Sofia pour les auteurs ont ensemble mis en place fin novembre 2019 pour leurs adhérents respectifs une « solution collective de lutte contre le piratage ». Chacune des deux organisations contribue pour moitié au financement à cette « solution mutualisée ». Celle-ci est fournie par la société française LeakID qui développe « un service de lutte contre le piratage en ligne des livres numériques et des livres imprimés numérisés illégalement » (11). En juin 2022, son fondateur Hervé Lemaire (12) a cédé le contrôle de LeakID à Avisa Partners, cabinet français d’intelligence économique, d’e-réputation et de lobbying à Bruxelles. Le dernier webinar en date s’est tenu le 8 mars en présence de l’avocate Olivia Bacin-Joffre, directrice juridique et responsable affaires publiques de LeakID et ancienne juriste à l’ex-Hadopi.
Cet outil LeakID surveille Internet (13) pour le compte des majors du livre – Hachette Livre/Lagardère, Editis/Vivendi, Gallimard-Flammarion/Madrigall, SeuilLa Martinière/ Média- Participations, …) – et d’autres éditeurs du SNE comme Actes Sud. « Le groupe utilise un outil de déréférencement LeakID et mène des procès ciblés en cas de piratage important », indique par exemple Editis, filiale en vente de Vivendi et deuxième groupe français d’édition (derrière Hachette Livre de Lagardère).
Auparavant, le syndicat du boulevard Saint-Germain (Paris) proposait aux maisons d’édition la solution de la société française Surys (ex-Hologram Industries, ex-exAdvestigo). Mais cette dernière a été rachetée fin 2019 par IN Groupe (ex-Imprimerie Nationale).

LeakID (acquis par Avisa Partners) traque
LeakID a été jugé plus efficace dans la désindexation et plus massive contre les téléchargements illicites et le streaming d’ebooks piratés, surtout grâce à son bras armée Rivendell qui est un partenaire de Google pour les déréférencements partout dans le monde. C’est lui qui a traqué le site Z-library dont les adresses Internet et les sites miroirs – listés par l’Arcom (14) – ont été bloquées par Orange, Bouygues Telecom, Free et SFR sur décision du tribunal judiciaire de Paris datée du 25 août 2022. Après TeamAlexandriz (2021), Z-Library (2022), d’autres sites « pirates » – comme Pirate Library Mirror ou Bookys – sont dans le collimateur de l’industrie du livre. @

Charles de Laubier

Google Analytics, outil de mesure d’audience le plus utilisé au monde : toujours illégal en Europe ?

Il y a un an, la Cnil mettait en demeure une première société française éditrice d’un site web utilisant Google Analytics, jugé incompatible avec le RGPD quant au transfert des données vers les Etats-Unis. Deux autres sociétés ont été aussi épinglées sur les 101 plaintes de l’association Noyb.

Il y a plus de trois mois, Russell Ketchum (photo de gauche), directeur de Google Analytics, confirmait qu’Universal Analytics sera remplacé 1er juillet 2023 par la version 4 de Google Analytics (GA4), tandis qu’« Universal Analytics 360 » sera, lui, finalement prolongé jusqu’au 1er juillet 2024 (1), soit au-delà du 1er octobre 2023 initialement prévu (2). Quésaco ? Universal Analytics est la version basique et gratuite de l’outil de mesure d’audience le plus utilisé au monde par des sites web et des applications mobiles.

Le transfert des données vers les USA
Google Analytics détient en effet 86,1 % de parts de marché au 7 février 2023 en étant utilisé par 56,5 % de tous les sites web, selon W3Techs, suivi par Facebook Pixel et de bien d’autres analyseurs de trafic (3). « Universal Analytics 360 » est, elle, la version premium payante de Google Analytics destinée principalement aux grandes entreprises. Edition Multimédi@ a demandé à Google si GA4 répondait aux préoccupations des Européens sur la protection de leur vie privée, conformément au règlement général sur la protection des données (RGPD), et notamment aux mises en demeure prononcées par la Cnil en décembre 2021 et en décembre 2022 ? « Nous avons en effet récemment introduit de nouvelles fonctionnalités pour Google Analytics 4 qui permettent par exemple aux sites web de ne pas enregistrer ni stocker les adresses IP via GA4, ou encore de minimiser les données collectées concernant l’utilisateur, ce qui peut ainsi aider à répondre aux préoccupations d’identification des utilisateurs. Cependant, le véritable problème au cœur de tout cela reste les transferts de données entre l’Union européenne et les Etats-Unis qui manquent d’un cadre juridique stable pour les entreprises européennes et américaines », nous a répondu le géant du Net. Et d’ajouter : « Nous considérons que l’Executive Order récent[d’octobre 2022, ndlr] de la Maison Blanche est une étape importante dans ce travail » (4). De quoi rassurer les éditeurs de sites web et d’applis mobiles utilisant Google Analytics et les « Cnil » en Europe qui les surveillent voire les sanctionnent ? Rien n’est moins sûr. Il y a un an en France, le 10 février 2022, la Cnil mettait en demeure la toute première société pour non-respect du RGPD pour l’utilisation de Google Analytics pour mesurer son audience web (5). La Cnil considère implicitement que Google Analytics est ni plus ni moins illégal au regard du RGPD pour deux motifs principaux : les mesures mises en place par Google ne sont pas suffisantes pour exclure la possibilité d’un accès aux données de résidents européens ; les données des internautes européens sont donc transférées illégalement vers les Etats-Unis par le biais de ce même outil. Cette première décision de la Cnil a été publiée il y a un an, mais de façon anonymisée, pour l’exemple (6). Mais il s’agit de l’une des trois sociétés françaises utilisant Google Analytics contre lesquelles l’organisation autrichienne Noyb dirigée par Max Schrems (photo de droite) avait déposé plaintes – parmi un total de 101 plaintes (7) déposées en août 2020 – auprès des « Cnil » européennes, dénonçant des transferts illégaux de données à caractère personnel vers les Etats-Unis.
La Cnil en France avait ainsi été destinataire de trois plaintes à l’encontre de respectivement Decathlon, Auchan et Sephora. Parallèlement, concernant cette fois l’outil Facebook Connect, la Cnil était aussi saisie de trois autres plaintes à l’encontre de Free Mobile, Leroy Merlin et Le Huffington Post. Après sa première décision concernant Google Analytics, la Cnil mettra également en demeure les deux autres sites web mis en cause (parmi Decathlon, Auchan et Sephora). Ce dont se félicitera à nouveau la Noyb le 5 avril 2022 dans un communiqué où sont mises en ligne les deux autres décisions de la Cnil, là aussi anonymisées (8). Ces trois sociétés disposaient d’un délai d’un mois – renouvelable à leur demande – pour se mettre en conformité et justifier cette conformité auprès de la Cnil.
Mais la Cnil n’a pas été la première à épingler les éditeurs de services en ligne qui utilisent Google Analytics. Son homologue autrichienne – la Datenschutzbehörde (DSB) – avait ouvert la voie deux semaines avant dans une décision inédite datée du 22 décembre 2021 et considérée comme « révolutionnaire » par la Noyb (9).

L’Italie, la Grèce mais pas l’Espagne
Ce fut la première fois en Europe que l’utilisation de Google Analytics est considérée comme une violation du RGPD. D’autres décisions ont été prises par d’autres autorités en Europe – la Grèce par décision de l’APD de janvier 2022 (10) et l’Italie par décision de la GPDP de juin 2022 (11) – à l’encontre de l’utilisation de « GA ». En revanche, la « Cnil » espagnole – l’AEDP – n’a pas suivi ni ses homologues européennes ni la CEPD en publiant le 15 décembre 2022 une décision rejetant la plainte de Noyb (12). Ces premières décisions sur les 101 plaintes déposées par Noyb faisaient suite à la décision de 2020 dite « Schrems II » de la Cour de justice de l’Union européenne (CJUE) estiment que l’utilisation des services Internet américains violait le RGPD, car les lois de surveillance américaines exigent que les Google, Facebook et autres Twitter fournissent aux autorités américaines des détails personnels sur leurs utilisateurs, mêmes Européens.

Le spectre de la loi américaine FISA
Par exemple, la loi américaine FISA – Foreign Intelligence Surveillance Act – autorise expressément la NSA – National Security Agency – à collecter les données personnelles des utilisateurs situés hors des Etats-Unis si ces data sont stockées sur des serveurs américains. Autre texte américain, présidentiel celui-ci : l’OE – Executive Order – numéro 12.333 qui renforce les services de renseignement aux Etats-Unis depuis Ronald Reagan et George W. Bush. C’est pour ces raisons que la CJUE avait annulé en 2020 l’accord de transfert « Privacy Shield » (décision « Schrems II » de 2020), après avoir annulé l’accord précédent « Safe Harbor » (décision « Schrems I » de 2015). Cela provoqua une onde de choc pour les GAFAM qui les secouent encore aujourd’hui (13). « Nous nous attendons à ce que des décisions similaires tombent progressivement dans la plupart des Etats membres de l’UE. Nous avons déposé 101 plaintes dans presque tous les Etats membres et les autorités [les « Cnil » européennes, ndlr] ont coordonné la réponse », s’était félicité Max Schrems. Il est prêt à attaquer à nouveau devant la CJUE la nouvelle décision sur le transfert des données « UE-USA » (14) publiée par la Commission européenne le 13 décembre dernier (15). Dans la foulée de la décision de la DSB en Autriche, le Contrôleur européen de la protection des données (CEPD) – regroupant les « Cnil » européennes – avait également rendue une semaine avant une décision commune similaire (16). S’il devait y avoir sanction, le RGPD prévoit qu’elle peut aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise du Net.
C’est justement parce que Google Analytics est largement utilisé par une écrasante majorité d’éditeurs de services en ligne que la Cnil avait décidé d’anonymiser ses trois décisions. « Il ne paraissait pas utile de citer le nom d’un éditeur de site en particulier, l’usage de cet outil étant très répandu. L’objectif est que l’ensemble des responsables de traitement utilisant cet outil se mette en conformité », justifiait ainsi le gendarme des données personnelles. Il avait d’ailleurs mis en garde tous les éditeurs concernés : « Tous les responsables de traitement utilisant Google Analytics d’une façon similaire à ces organismes doivent considérer dès à présent cette utilisation comme illégale au regard du RGPD. Ils doivent donc se tourner vers un prestataire proposant des garanties suffisantes de conformité ». D’après la Cnil, les trois sociétés mises en demeure avaient établi avec Google des clauses contractuelles types, proposées par défaut. Or ces dernières ne peuvent assurer seules un niveau de protection suffisant en cas de demande d’accès d’autorités étrangères, notamment si cet accès est prévu par des lois locales. En réponse au questionnaire envoyé par la Cnil, Google a indiqué que l’ensemble des données collectées par le biais de Google Analytics était hébergé aux Etats-Unis. Néanmoins, avait mentionné le gendarme français des données personnelles le 7 juin 2022, « Google avait indiqué avoir mis en place des mesures supplémentaires d’ordre juridique, organisationnel et technique, qui ont cependant été jugées insuffisantes pour assurer la protection effective des données personnelles transférées, en particulier contre des demandes d’accès aux données par des services de renseignement états-uniens » (17).
La Cnil avait en outre fait savoir que Google avait indiqué utiliser des mesures de pseudonymisation (18), mais non d’anonymisation (19). « Google propose bien une fonction d’anonymisation des adresses IP, a constaté la Cnil, mais celle-ci n’est pas applicable à tous les transferts. En outre, les éléments fournis par Google ne permettent pas de déterminer si cette anonymisation a lieu avant le transfert aux Etats-Unis ». Autre problème que pose Google Analytics : la réidentification de l’internaute. En effet, la seule utilisation d’identifiants uniques permettant de différencier les individus peut amener à rendre les données identifiables, en particulier lorsqu’elles sont associées à d’autres informations telles que les métadonnées relatives au navigateur et au système d’exploitation.

Data et navigation : le risque de suivi demeure
De plus, l’utilisation de Google Analytics avec d’autres services de Google, notamment marketing, peut amplifier le risque de suivi. « En effet, explique la Cnil, ces services, très utilisés en France, peuvent permettre un recoupement de l’adresse IP et ainsi de retracer l’historique de navigation de la majorité des internautes sur un grand nombre de sites ». Quant au chiffrement de données par Google, il s’est avéré insuffisant car Google procède lui-même au chiffrement des données et a l’obligation d’accorder l’accès ou de fournir les données importées qui sont en sa possession, y compris les clés de chiffrement nécessaires pour les décrypter. @

Charles de Laubier