Google Analytics, outil de mesure d’audience le plus utilisé au monde : toujours illégal en Europe ?

Il y a un an, la Cnil mettait en demeure une première société française éditrice d’un site web utilisant Google Analytics, jugé incompatible avec le RGPD quant au transfert des données vers les Etats-Unis. Deux autres sociétés ont été aussi épinglées sur les 101 plaintes de l’association Noyb.

Il y a plus de trois mois, Russell Ketchum (photo de gauche), directeur de Google Analytics, confirmait qu’Universal Analytics sera remplacé 1er juillet 2023 par la version 4 de Google Analytics (GA4), tandis qu’« Universal Analytics 360 » sera, lui, finalement prolongé jusqu’au 1er juillet 2024 (1), soit au-delà du 1er octobre 2023 initialement prévu (2). Quésaco ? Universal Analytics est la version basique et gratuite de l’outil de mesure d’audience le plus utilisé au monde par des sites web et des applications mobiles.

Le transfert des données vers les USA
Google Analytics détient en effet 86,1 % de parts de marché au 7 février 2023 en étant utilisé par 56,5 % de tous les sites web, selon W3Techs, suivi par Facebook Pixel et de bien d’autres analyseurs de trafic (3). « Universal Analytics 360 » est, elle, la version premium payante de Google Analytics destinée principalement aux grandes entreprises. Edition Multimédi@ a demandé à Google si GA4 répondait aux préoccupations des Européens sur la protection de leur vie privée, conformément au règlement général sur la protection des données (RGPD), et notamment aux mises en demeure prononcées par la Cnil en décembre 2021 et en décembre 2022 ? « Nous avons en effet récemment introduit de nouvelles fonctionnalités pour Google Analytics 4 qui permettent par exemple aux sites web de ne pas enregistrer ni stocker les adresses IP via GA4, ou encore de minimiser les données collectées concernant l’utilisateur, ce qui peut ainsi aider à répondre aux préoccupations d’identification des utilisateurs. Cependant, le véritable problème au cœur de tout cela reste les transferts de données entre l’Union européenne et les Etats-Unis qui manquent d’un cadre juridique stable pour les entreprises européennes et américaines », nous a répondu le géant du Net. Et d’ajouter : « Nous considérons que l’Executive Order récent[d’octobre 2022, ndlr] de la Maison Blanche est une étape importante dans ce travail » (4). De quoi rassurer les éditeurs de sites web et d’applis mobiles utilisant Google Analytics et les « Cnil » en Europe qui les surveillent voire les sanctionnent ? Rien n’est moins sûr. Il y a un an en France, le 10 février 2022, la Cnil mettait en demeure la toute première société pour non-respect du RGPD pour l’utilisation de Google Analytics pour mesurer son audience web (5). La Cnil considère implicitement que Google Analytics est ni plus ni moins illégal au regard du RGPD pour deux motifs principaux : les mesures mises en place par Google ne sont pas suffisantes pour exclure la possibilité d’un accès aux données de résidents européens ; les données des internautes européens sont donc transférées illégalement vers les Etats-Unis par le biais de ce même outil. Cette première décision de la Cnil a été publiée il y a un an, mais de façon anonymisée, pour l’exemple (6). Mais il s’agit de l’une des trois sociétés françaises utilisant Google Analytics contre lesquelles l’organisation autrichienne Noyb dirigée par Max Schrems (photo de droite) avait déposé plaintes – parmi un total de 101 plaintes (7) déposées en août 2020 – auprès des « Cnil » européennes, dénonçant des transferts illégaux de données à caractère personnel vers les Etats-Unis.
La Cnil en France avait ainsi été destinataire de trois plaintes à l’encontre de respectivement Decathlon, Auchan et Sephora. Parallèlement, concernant cette fois l’outil Facebook Connect, la Cnil était aussi saisie de trois autres plaintes à l’encontre de Free Mobile, Leroy Merlin et Le Huffington Post. Après sa première décision concernant Google Analytics, la Cnil mettra également en demeure les deux autres sites web mis en cause (parmi Decathlon, Auchan et Sephora). Ce dont se félicitera à nouveau la Noyb le 5 avril 2022 dans un communiqué où sont mises en ligne les deux autres décisions de la Cnil, là aussi anonymisées (8). Ces trois sociétés disposaient d’un délai d’un mois – renouvelable à leur demande – pour se mettre en conformité et justifier cette conformité auprès de la Cnil.
Mais la Cnil n’a pas été la première à épingler les éditeurs de services en ligne qui utilisent Google Analytics. Son homologue autrichienne – la Datenschutzbehörde (DSB) – avait ouvert la voie deux semaines avant dans une décision inédite datée du 22 décembre 2021 et considérée comme « révolutionnaire » par la Noyb (9).

L’Italie, la Grèce mais pas l’Espagne
Ce fut la première fois en Europe que l’utilisation de Google Analytics est considérée comme une violation du RGPD. D’autres décisions ont été prises par d’autres autorités en Europe – la Grèce par décision de l’APD de janvier 2022 (10) et l’Italie par décision de la GPDP de juin 2022 (11) – à l’encontre de l’utilisation de « GA ». En revanche, la « Cnil » espagnole – l’AEDP – n’a pas suivi ni ses homologues européennes ni la CEPD en publiant le 15 décembre 2022 une décision rejetant la plainte de Noyb (12). Ces premières décisions sur les 101 plaintes déposées par Noyb faisaient suite à la décision de 2020 dite « Schrems II » de la Cour de justice de l’Union européenne (CJUE) estiment que l’utilisation des services Internet américains violait le RGPD, car les lois de surveillance américaines exigent que les Google, Facebook et autres Twitter fournissent aux autorités américaines des détails personnels sur leurs utilisateurs, mêmes Européens.

Le spectre de la loi américaine FISA
Par exemple, la loi américaine FISA – Foreign Intelligence Surveillance Act – autorise expressément la NSA – National Security Agency – à collecter les données personnelles des utilisateurs situés hors des Etats-Unis si ces data sont stockées sur des serveurs américains. Autre texte américain, présidentiel celui-ci : l’OE – Executive Order – numéro 12.333 qui renforce les services de renseignement aux Etats-Unis depuis Ronald Reagan et George W. Bush. C’est pour ces raisons que la CJUE avait annulé en 2020 l’accord de transfert « Privacy Shield » (décision « Schrems II » de 2020), après avoir annulé l’accord précédent « Safe Harbor » (décision « Schrems I » de 2015). Cela provoqua une onde de choc pour les GAFAM qui les secouent encore aujourd’hui (13). « Nous nous attendons à ce que des décisions similaires tombent progressivement dans la plupart des Etats membres de l’UE. Nous avons déposé 101 plaintes dans presque tous les Etats membres et les autorités [les « Cnil » européennes, ndlr] ont coordonné la réponse », s’était félicité Max Schrems. Il est prêt à attaquer à nouveau devant la CJUE la nouvelle décision sur le transfert des données « UE-USA » (14) publiée par la Commission européenne le 13 décembre dernier (15). Dans la foulée de la décision de la DSB en Autriche, le Contrôleur européen de la protection des données (CEPD) – regroupant les « Cnil » européennes – avait également rendue une semaine avant une décision commune similaire (16). S’il devait y avoir sanction, le RGPD prévoit qu’elle peut aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise du Net.
C’est justement parce que Google Analytics est largement utilisé par une écrasante majorité d’éditeurs de services en ligne que la Cnil avait décidé d’anonymiser ses trois décisions. « Il ne paraissait pas utile de citer le nom d’un éditeur de site en particulier, l’usage de cet outil étant très répandu. L’objectif est que l’ensemble des responsables de traitement utilisant cet outil se mette en conformité », justifiait ainsi le gendarme des données personnelles. Il avait d’ailleurs mis en garde tous les éditeurs concernés : « Tous les responsables de traitement utilisant Google Analytics d’une façon similaire à ces organismes doivent considérer dès à présent cette utilisation comme illégale au regard du RGPD. Ils doivent donc se tourner vers un prestataire proposant des garanties suffisantes de conformité ». D’après la Cnil, les trois sociétés mises en demeure avaient établi avec Google des clauses contractuelles types, proposées par défaut. Or ces dernières ne peuvent assurer seules un niveau de protection suffisant en cas de demande d’accès d’autorités étrangères, notamment si cet accès est prévu par des lois locales. En réponse au questionnaire envoyé par la Cnil, Google a indiqué que l’ensemble des données collectées par le biais de Google Analytics était hébergé aux Etats-Unis. Néanmoins, avait mentionné le gendarme français des données personnelles le 7 juin 2022, « Google avait indiqué avoir mis en place des mesures supplémentaires d’ordre juridique, organisationnel et technique, qui ont cependant été jugées insuffisantes pour assurer la protection effective des données personnelles transférées, en particulier contre des demandes d’accès aux données par des services de renseignement états-uniens » (17).
La Cnil avait en outre fait savoir que Google avait indiqué utiliser des mesures de pseudonymisation (18), mais non d’anonymisation (19). « Google propose bien une fonction d’anonymisation des adresses IP, a constaté la Cnil, mais celle-ci n’est pas applicable à tous les transferts. En outre, les éléments fournis par Google ne permettent pas de déterminer si cette anonymisation a lieu avant le transfert aux Etats-Unis ». Autre problème que pose Google Analytics : la réidentification de l’internaute. En effet, la seule utilisation d’identifiants uniques permettant de différencier les individus peut amener à rendre les données identifiables, en particulier lorsqu’elles sont associées à d’autres informations telles que les métadonnées relatives au navigateur et au système d’exploitation.

Data et navigation : le risque de suivi demeure
De plus, l’utilisation de Google Analytics avec d’autres services de Google, notamment marketing, peut amplifier le risque de suivi. « En effet, explique la Cnil, ces services, très utilisés en France, peuvent permettre un recoupement de l’adresse IP et ainsi de retracer l’historique de navigation de la majorité des internautes sur un grand nombre de sites ». Quant au chiffrement de données par Google, il s’est avéré insuffisant car Google procède lui-même au chiffrement des données et a l’obligation d’accorder l’accès ou de fournir les données importées qui sont en sa possession, y compris les clés de chiffrement nécessaires pour les décrypter. @

Charles de Laubier

Position dominante de Qualcomm: une amende de 1 milliard d’euros annulée peut en cacher une autre

Le Snapdragon Summit, grand-messe annuelle de l’américain Qualcomm, a eu lieu cette année les 15 et 16 novembre en livestream d’Hawaï, loin du tribunal de Luxembourg. Le numéro un mondial des puces pour smartphones reste dans le collimateur de la Commission européenne.

près le tribunal de l’Union européenne au Luxembourg, les cocotiers sous le soleil d’Hawaï pour son Snapdragon Summit… Qualcomm – numéro un mondial des micro-processeurs pour smartphones et tablettes – peut continuer à conforter sa position dominante sur ce marché colossal. La Commission européenne a décidé de ne pas faire appel de l’arrêt annulant le 15 juin 2022 l’amende de 997,4 millions d’euros qu’elle avait infligée en janvier 2018 au fabricant américain de puces pour abus de position dominante, en pratiquant avec Apple des « tarifs d’exclusivité » (1).

« Tarifs d’exclusivité », non tranchés au fond
« La Commission européenne a étudié attentivement l’arrêt du tribunal de l’Union européenne dans l’affaire Qualcomm et a décidé de ne pas saisir la Cour de justice de l’Union européenne (CJUE) », a-t-elle indiqué à Edition Multimédi@, confirmant une information de Reuters datant de fin août (2). Pour autant, un autre recours de Qualcomm contre une deuxième décision de Bruxelles le condamnant à une amende dans l’affaire cette fois des « prix d’éviction » est actuellement instruite par le même tribunal de l’UE. Pour avoir facturé « des prix inférieurs aux coûts dans le but de forcer ses concurrents à quitter le marché », Qualcomm avait écopé le 18 juillet 2019 de 242 millions d’euros d’amende (3) mais le fabricant américain avait demandé en appel d’annuler cette décision. Ce verdict ne devrait pas tarder.
En attendant, l’arrêt de la première affaire – publié au Journal Officiel de l’UE le 15 juillet (4) est un revers majeur pour Margrethe Vestager, vice-présidente exécutive de la Commission européenne en charge du Numérique et, depuis novembre 2014, de la Concurrence. L’amende de près de 1 milliard d’euros infligée à Qualcomm en janvier 2018 sanctionnait un abus de position dominante sur le marché mondial des chipsets à la norme LTE (Long Term Evolution), le standard international des 3G et 4G. La sanction représentait 4.9 % du chiffre d’affaires de Qualcomm en 2017.
La firme de San Diego, qui fournit ses puces à Samsung (numéro un mondial des smartphones), Apple, Xiaomi, Huawei, HTC, LG ou ZTE, est toujours en tête de ce marché étendu à la 5G. Il était notamment reproché à Qualcomm d’avoir accordé à Apple des « paiement d’exclusivité » pour que le fabricant d’iPhone et d’iPad ne se fournisse que chez lui en puces, ce que Bruxelles avait considéré comme un « abus de position dominante » à « effets anticoncurrentiels ». La Commission européenne avait même révélé que « Qualcomm avait payé à Apple une somme comprise entre 2 et 3 milliards de dollars » pour obtenir cette exclusivité, de 2011 à 2015 (5). Ce qui aurait dissuadé Apple d’aller voir la concurrence, dont Intel. Ces accords avaient cependant pris fin à la suite du lancement par Apple, le 16 septembre 2016, des iPhone 7 intégrant des chipsets d’Intel.
Le tribunal de Luxembourg a annulé toute la décision de la Commission européenne en raison d’« irrégularités procédurales ayant affecté les droits de la défense de Qualcomm », d’une part, et, d’« illégalité » de l’analyse des effets anticoncurrentiels des « paiements incitatifs » dits d’exclusivité, d’autre part. Et n’aurait pas été pris en compte le fait qu’à l’époque « Apple n’avait pas d’alternative technique aux chipsets LTE de Qualcomm pour [ses] iPhone ». En outre, la Commission européenne n’avait pas fourni de notes et d’informations sur le contenu des réunions et des conférences téléphoniques qu’elle a eues avec les tiers comme Apple ou Nvidia. Ce qui ne respectait pas les droits de la défense de Qualcomm. La Commission européenne indique à Edition Multimédi@ qu’elle a « le devoir de protéger (…) l’identité des tiers qui ont présenté des demandes justifiées de garder l’anonymat en raison du risque de représailles ». Autre reproche : la Commission européenne se limitait à retenir un abus de position dominante sur le seul marché des chipsets LTE, alors que la communication des griefs portait aussi sur des puces UMTS (6).
S’est ainsi achevée cette première procédure antitrust et judicaire de plus de huit ans qui s’est ouverte en août 2014 par l’enquête de la Commission européenne. Et sans que la CJUE n’ait in fine eu son mot à dire en appel sur « tarifs d’exclusivité » aux « effets d’éviction » de la concurrence.

Accord pluriannuel avec Samsung
Après deux années sous tension (pandémie, pénurie de puces et tribunal), la firme de San Diego – dirigée depuis fin juin 2021 par Cristiano Amon (photo) – peut continuer à prospérer sur le marché des smartphones. Avec sa nouvelle puce « Snapdragon 8 Gen 2 », Qualcomm compte bien remporter à nouveau la mise avec Noël. Samsung (7) abandonne sa propre puce Exynos pour le nouveau chipset de Qualcomm pour ses prochains Galaxy (passant de 75 % des S22 à 100% des S23) grâce à un « accord pluriannuel » dont les termes restent bien sûr sous le secret des affaires. @

Charles de Laubier

Le métavers n’est pas dans un vide juridique, mais la régulation devra sortir de ses frontières

Les métavers vont-ils « disrupter » les lois et les règlements ? Ces mondes virtuels doivent déjà se soumettre au droit commun existant (civil, commercial, consommation, économie numérique). Mais les textes juridiques devront évoluer et la régulation reposer sur un solide consensus international.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Dans un futur proche, avec le Web3 et ses métavers, les problématiques juridiques seront dictées par le caractère a priori incontrôlable de l’énormité des partages : la prolifération des modes d’échanges et la nature internationale exigeront des régulations complexes et efficaces, dont on espère qu’elles prendront moins de temps à émerger que celles issues du Web 2.0. Depuis la fin des années 1990, les éditeurs de jeux vidéo ont compris que les utilisateurs s’engageraient dans de nouvelles formes d’interactions mettant en jeu leur identité virtuelle et de nouveaux espaces de partage.

Le rôle pionnier des jeux vidéo
Les internautes ont ainsi acquis la possibilité de jouer et d’interagir en temps réel et de manière immersive, par les jeux de rôle en ligne dits «massivement multijoueur » (1). De nouveaux modèles commerciaux se développent, notamment avec la création des monnaies et d’une économie interne au jeu, ouvrant la possibilité de faire des achats utiles au jeu et à leur communauté. Le métavers n’est pas scénarisé comme un jeu vidéo mais remet en scène certaines caractéristiques des jeux vidéo en 3D et en temps réel, tout autant que des réseaux sociaux. Les utilisateurs reproduisent les comportements du monde réel dans le monde virtuel, y compris sociaux et politiques, mais malheureusement aussi potentiellement violents, agressifs ou illégaux.
Philip Rosedale, fondateur de la société américaine Linden Lab ayant créé Second Life dans les années 2000, donnait sa vision en 2006 de ce métavers fondateur, toujours actif en ligne aujourd’hui : « Nous ne le voyons pas comme un jeu. Nous le voyons comme une plateforme qui, sous de nombreux aspects, est meilleure que le monde réel » (2). Au sein du monde virtuel Second Life, les marques avaient tenté une percée avant de se retirer pour la plupart, mais laissant un exemple d’interaction entre avatars et des espaces de socialisation pour écouter la musique, faire du shopping ou produire des objets (3). En parallèle, la réalité virtuelle était déjà préexistante grâce aux outils spécifiquement dédiés à la mise en place de cette expérience, notamment les gants, les systèmes audio, etc. Successivement, les industriels ont introduit une réalité virtuelle plus intense, grâce à des lunettes synchronisées et une baguette pour bouger les objets virtuels. Potentiellement, cette expérience est encore plus « réelle » grâce aux casques de réalité virtuelle réalisés par Oculus, HTC, Valve ou le français Lynx Mixed Reality, donnant aux utilisateurs la possibilité de se déplacer librement dans la pièce. C’est en 1990 que Thomas Caudell et David Mizell, chercheurs chez Boeing, introduisent le terme « réalité augmentée » (4) afin d’indiquer l’association du monde réel au monde virtuel, et l’introduction des éléments virtuels dans le monde réel, superposés, outil important dans les nouveaux environnements d’apprentissage.
Sur le plan pédagogique, la start-up Co-Idea soutenu par l’Inria (5) est spécialisée dans les technologies éducatives dites edtech et travaille sur l’idée de diffuser une forme de pédagogie active cohérente avec la révolution numérique actuelle. Un exemple d’application pédagogique et ludique de la réalité augmentée est le partenariat entre Ubisoft et le Château de Versailles qui ont lancé l’application mobile « The Lapins Crétins @ Versailles » (6). Cette application permet aux enfants de visiter le jardin, d’avoir des informations sur l’espace réel et jouer avec les lapins qui apparaissent sur l’application d’un smartphone. Ce projet s’inscrit notamment dans la politique de développement numérique de l’art. Ainsi, on le voit (c’est le cas de le dire) : de la réalité augmentée aux métavers, il n’y a qu’un pas mais le chemin de la régulation sera long.
Métavers, aujourd’hui et demain, partout ?
Le (ou les) métavers – metaverse en anglais – représente(nt) la dernière évolution fruit des caractéristiques d’Internet, des réseaux sociaux, du Web3, né avec le projet d’une possible décentralisation à tout niveau : des contrats, des transactions, des droits de propriété, des données personnelles, etc. La structure décentralisée permet de déployer les services rapidement sans avoir besoin d’une autorité centralisée, grâce aux principes de base de la blockchain. L’application de la blockchain aux métavers n’est pas obligatoire mais évolutive, récurrente et fondatrice. Il existerait 120 plateformes métavers, dont 53 « off-chain » soit non basées sur la blockchain, 67 basées sur la blockchain (7).

Blockchain et smart contract : disruptif
A cela s’ajoute le fait que la technologie blockchain peut aussi connecter le métavers au monde réel afin de sécuriser les échanges et le stockage des biens et données dans le métavers. Blockchain et smart contracts participent substantiellement à ce « tournant disruptif ». En effet ces « contrats intelligents » ont des caractéristiques communes avec les contrats électroniques tels que les lois les régissent, parfois ils les complètent, mais aussi ils obéissent à leur fonctionnement propre. La blockchain rend possibles les smart contracts et les jetons non-fongibles dits NFT (8), mais les lois en vigueur ne peuvent pas complètement les régir car ils entrainent et impliquent certaines caractéristiques totalement nouvelles qui ne sont pas encore appréhendées. Or ce sont ces blockchain et smart contracts qui, par hypothèse, ouvrent la possibilité de la décentralisation. En résumé, blockchain et smart contracts – consubstantiels au métavers – participent à la disruption en ouvrant des possibilités technologiques, factuelles et juridiques, dont certaines ne sont pas encore légalement appréhendées.

Le métavers n’est pas hors-la-loi
La décentralisation est une des modalités majeures rendue possible. Possible mais pas incontournable, car l’expérience a montré à quel point les marchés prônant décentralisation et dérégulation avaient tendance à réopérer rapidement de nouvelles formes de concentrations.
Souvent les utilisateurs voudraient pouvoir utiliser les biens en passant d’un métavers à l’autre : l’interopérabilité des métavers reste un objectif à étudier. La faculté d’emmener les actifs et avatars d’un endroit à l’autre des métavers, quel que soit l’exploitant, est un enjeu similaire à celui de la portabilité des données entre réseaux sociaux.
Réguler avec modération des services émergents
Le métavers a été défini, dans un rapport remis au gouvernement français fin octobre 2022, comme « un service en ligne donnant accès à des simulations d’espace 3D temps réel, partagées et persistantes, dans lesquelles on peut vivre ensemble des expériences immersives » (9). Le métavers représente également une évolution économique importante ; nous assistons au passage du e-commerce au v-commerce ; les métavers permettent des transactions dans l’économie réelle. L’économie numérique en général et l’économie virtuelle en particulier sont en forte expansion grâce aux métavers et à l’usage de monnaie virtuelles (cryptomonnaies), ainsi que des smart contracts et des NFT.
Les défis juridiques actuels des places de marchés et plateformes comme Horizon Worlds de Meta, OpenSea d’Ozone Networks ou encore la frahttps://www.editionmultimedia.fr/wp-content/uploads/2022/10/Rapport-du-gouvernement-Mission-exploratoire-sur-les-metavers-24-10-22.pdfnçaise The Sandbox, sont notamment: la souveraineté numérique, la (cyber)sécurité, les droits de l’homme et des citoyennes et citoyens, la liberté d’expression, la protection des mineurs et de la vie privée, la préservation d’infrastructures ouvertes et de communs numériques, le respect des règles de concurrence et de la propriété intellectuelle, la conformité au droit du travail, la maîtrise de l’impact environnemental, la protection des données personnelles, la protection contre les risques sociotechniques, la bonne connaissance des liens existantes entre le métavers, la blockchain et les cryptoactifs, le déploiement partagé à travers le monde des opportunités technologiques. Il est essentiel qu’aucune entreprise ne gère seule le métavers : il s’agira d’un « Internet incarné », a déclaré le cofondateur de Facebook Mark Zuckerberg, exploité par de nombreux acteurs différents de manière décentralisée. Aujourd’hui, l’essentiel de ces thèmes sont couverts tant par le droit national que par le droit international, public comme privé. Les nouveautés du métavers ne doivent pas conduire à une fausse conception du régime juridique qui lui est applicable, car il existe. D’une part, le droit commun civil, commercial et de la consommation trouvent naturellement à s’appliquer à la métavers, et ils sont contraignants. Les métavers devront par exemple rédiger des CGV (10) exhaustives. Le droit de la consommation et des contrats s’appliquera (11). Mais l’anticipation est risquée, et quand le système juridique sera confronté à une nouveauté disruptive ou à une difficulté d’exécution, des mises à jour deviendront nécessaires.
D’autres bases plus spécifiques existent : la loi « pour la confiance dans l’économie numérique » du 21 juin 2004 (dite LCEN) en constitue notamment un fondement primordial. En matière de propriété intellectuelle, une plainte en contrefaçon a déjà pu être déposée à New York par la maison Hermès à l’encontre du créateur de NFT « MetaBirkins ». D’autre part, de nouvelles réglementations sont déjà attendues. C’est notamment le cas des réglementations européennes sur les marchés et services numériques (DSA-DMA) qui entreront en vigueur en 2023 et 2024.
Or, le métavers, comme la blockchain ou les smart contracts, sont par nature disruptifs et ont un potentiel de déclinaisons à l’infini, ce qui rend ardue la légifération à leur égard. Comment donner un cadre légal pertinent et stable à un système dont nous commençons seulement à effleurer la surface ? Le rapport de la mission exploratoire sur les métavers précité propose par exemple de consacrer un nouveau droit fondamental : le droit au respect de l’intégrité psychique. Une plateforme qui remplirait les conditions du Digital Markets Act (DMA) lui serait potentiellement soumise, mais ni ce seul principe ni ses modalités d’applications ne présentent de réponse suffisante et assez protectrice. Des précisions et adaptations aux lois seront nécessaires, tant pour le DMA et le Digital Services Act (DSA) que pour la protection des données personnelles à travers le monde, ainsi que notamment pour les règles de modération.

Questions juridiques, non métaphysiques
La place du juge, en tant qu’interprétateur de la loi, suffira-t-elle à répondre à ces questions, et faudra-t-il compléter par de nouvelles règles, voire un régime sui generis ? Le cas échéant, l’implémentation de plusieurs réglementations au niveau local pourra-t-elle être viable au regard du caractère inhéremment international des métavers ? D’évidence, le futur juridique de l’ère des métavers devra reposer sur un solide consensus international. Si le métavers n’est pas dans un vide juridique, il doit cependant être régulé pour le bien commun et partagé. @

* Anne-Marie Pecoraro est avocate spécialisée en droit de la propriété intellectuelle,
des médias et des technologies numériques, UGGC Avocats.

Altice contre Reflets.info : procès-bâillon au nom du secret des affaires versus liberté de la presse

Des syndicats d’éditeurs et de journalistes de la presse (Spiil, SNJ, SNJ-CGT, FEJ, …) s’insurgent contre la « censure » du site de presse en ligne Reflets.info, condamné le 6 octobre en référé à « ne pas publier de nouvelles informations » sur le groupe Altice et son PDG Patrick Drahi.

Le tribunal de commerce de Nanterre a ordonné en référé le 6 octobre 2022 à la société éditrice Rebuild.sh de « ne plus publier sur le site de son journal en ligne “Reflets.info” de nouvelles informations » issues des données piratées en août dernier par les hackeurs « Hive » sur le réseau informatique du groupe Altice, et l’a condamnée « à payer à chacune des sociétés Altice Group Lux [basée au Luxembourg, ndlr], Altice France et Valais Management Services [le family office de la famille de Patrick Drahi, PDG fondateur du groupe Altice, ndlr] la somme de 1.500 euros », soit 4.500 euros au total pour compenser leurs frais de justice.

« Dommage imminent » sur Altice ?
Sans se prononcer sur le fond, n’étant pas compétent en référé sur « une éventuelle atteinte à la liberté d’expression », le tribunal de commerce de Nanterre où l’audience s’est tenue le 27 septembre, justifie l’interdiction pour Reflets.info de publier de « nouvelles informations » – sur le groupe Altice (SFR, BFMTV, RMC, …) et sur le train de vie son PDG milliardaire Patrick Drahi (photo) – au motif que son éditeur Rebuild.sh « a manifesté son intention de poursuivre la publication » sur son site de presse en ligne d’articles révélant des informations (1) issues de ce piratage effectué par un rançongiciel. Pour le juge Luc Monnier (ayant délégation du président du tribunal de commerce de Nanterre), cela « fait peser une menace sur les sociétés du groupe Altice face à l’incertitude du contenu des parutions à venir qui pourraient révéler des informations relevant du secret des affaires ».
Et le juge d’affirmer : « Cette menace peut être qualifiée de dommage imminent » (2). Rebuild.sh a interjeté appel de cette décision. Plusieurs syndicats de la presse se sont insurgés contre cette atteinte à la liberté d’informer, que cela soit le Syndicat de la presse indépendante d’information en ligne (Spiil), dont Reflets.info est l’un des 260 membres (3), mais aussi le Syndicat national des journalistes (SNJ) qui a réagi dès le 29 septembre (4), la Fédération européenne des journalistes (FEJ) le 30 septembre (5) ou encore le SNJ-CGT le 6 octobre (6). Le Spiil, lui, s’insurge contre ce jugement en référé et estime que « la décision du tribunal de commerce instaure de fait une censure en interdisant à un éditeur de publier de nouveaux articles ». Le syndicat créé en octobre 2009, et qui représente aujourd’hui 260 membres pour un total de 314 titres de presse (7) dont Reflets.info, voit se « confirmer [ses] craintes concernant le fait que la loi sur le secret des affaires permette à des entreprises d’interdire à des médias de publier des informations en s’appuyant sur le droit commercial ». Cette loi controversée du 30 juillet 2018 portant sur « la protection du secret des affaires » (8) avait déjà soulevé des craintes à l’époque car considérée comme une menace sur la liberté et le droit d’informer, un risque de muselage des journalistes et des lanceurs d’alerte.
Le texte de loi était même passé, avant d’être promulgué, par les fourches caudines du Conseil Constitutionnel qui, dans sa décision du 26 juillet 2018 (9), a rappelé que la liberté d’expression et de communication est protégée tant par la Charte des droits fondamentaux de l’Union européenne, notamment dans son article 11 (10), que par la Déclaration des droits de l’Homme et du citoyen de 1789 (11). Les sages de la rue Montpensier ont quand même rappelé qu’il existe « des exceptions à la protection du secret des affaires », notamment au profit des lanceurs d’alerte (12). L’article L. 151-8 du code de commerce (13) ne prévoit-il pas que « le secret n’est pas opposable lorsque son obtention, son utilisation ou sa divulgation est intervenue : pour exercer le droit à la liberté d’expression et de communication, y compris le respect de la liberté de la presse, et à la liberté d’information (…) ; pour révéler, dans le but de protéger l’intérêt général et de bonne foi, une activité illégale, une faute ou un comportement répréhensible, y compris lors de l’exercice du droit d’alerte (…) » ?
La haute institution de la Ve République en conclut que cet article L. 151-8 du code de commerce « ne méconnaît aucune autre exigence constitutionnelle » et « est conforme à la Constitution ».

Liberté de la presse : principe constitutionnel
Or, comme l’avait souligné les députés et les sénateurs à l’origine de la saisine constitutionnelle, la loi « Protection du secret des affaires » non seulement ne mentionne pas explicitement parmi les exceptions le journalisme d’investigation ni la protection des sources des journalistes, mais aussi elle impose en outre que la liberté d’expression et de communication fasse l’objet d’« une instance [judiciaire devant un tribunal civil ou commercial, ndlr] relative à une atteinte au secret des affaires » pour être évaluée voire neutralisée (avant tout procès au fond). Alors même que ce droit d’informer devrait s’imposer de lui-même comme droit fondamental. C’est là que le bât blesse. Le 6 octobre dernier, le Spiil a appelé à « faire reconnaître la liberté de la presse comme principe constitutionnel » (14). Lors des débats de transposition en France, au printemps 2018, de la directive européenne « Secret des affaires » datant de 2016 (15), le Spiil était déjà monté au créneau pour regretter que « la primauté du droit à être informé sur le droit aux secrets ne soit pas exprimée avec suffisamment de clarté ». Et le syndicat de la presse en ligne de mettre en garde contre « une multiplication des procédures contentieuses ».

Loi du 29 juillet 1881 et « procès-bâillon »
Le Spiil à l’époque (il y a plus de quatre ans) de dénonçait déjà les risques : « Les éditeurs de presse, souvent de très petites tailles, n’ont pas les moyens de soutenir des procédures abusives. Or certains acteurs économiques sont friands de ces “procès-bâillon”. Cette confusion risque donc de générer un comportement d’autocensure, préjudiciable à notre démocratie ». Le Conseil d’Etat, dans son avis rendu jeudi 15 mars 2018, rejoignait ces préoccupations en indiquant qu’« en toute logique, conformément à la directive [européenne de 2016], il conviendrait (…) de mentionner au nombre des cas licites, et non parmi les dérogations, l’hypothèse de l’obtention d’un secret des affaires dans le cadre de l’exercice du droit à l’information (…) » (16). Et ce n’est pas faute de ne pas avoir demandé au législateur et aux pouvoirs publics de tenir compte du droit fondamental qu’est la liberté d’expression, telle que consacrée par la loi du 29 juillet 1881 sur la liberté de la presse (17), en l’inscrivant nommément dans la loi « Protection du secret des affaires ». Ce qui ne fut pas fait, au risque de déséquilibrer ce texte législatif au profit du secret pour les entreprises. La loi du 29 juillet 1881 sur la liberté de la presse encadre la responsabilité des éditeurs de presse et, assure le Spiil, présente les garanties nécessaires pour permettre au juge de bien apprécier la valeur d’intérêt général des informations révélées.
Deux décisions rendues en juin 2019 – l’une de la cour d’appel de Paris dans l’ a f faire « Conforama/ Challenges.fr » (18), d’une part, et l’autre de la Cour de cassation dans l’affaire « Consolis/Mergermarket- Debtwire.com » (19), d’autre part – sont venues concrétiser la menace judiciaire qui pèse sur le droit d’informer, notamment là aussi sur des révélations faites par les sites de presse en ligne (20). Ce fut par exemple le cas aussi en 2014 lorsque TourMag.com, site de presse spécialisé dans l’actualité du secteur du tourisme, avait été condamné pour avoir publié des informations économiques et sociales (non démenties) concernant le tour-operator TUI, acteur important de ce secteur. « Pour la première chambre civile de la Cour de cassation, a rappelé le Spiil, il s’agissait d’une violation du Code du travail et de la loi de 2004 pour la confiance dans l’économie numérique »? (21).
Le site de presse en ligne Reflets.info, qui se définit luimême comme un « journal d’investigation en ligne et d’information hacking », n’est pas à l’origine du piratage informatique d’Altice. Bien que le titre ait été cofondé en 2010 par journaliste Antoine Champagne alias « Kitetoa », journaliste, et Olivier Laurelli alias « Bluetouff », hackeur (22). Le groupe de pirates informatiques Hive, lui, avait procédé à sa cyberattaque au ransomware en août 2022 et, à défaut du paiement de la rançon (23) de 5,5 millions de dollars demandée par les hackeurs, a mis en ligne sur le Dark Net – la face obscure d’Internet accessible notamment par le logiciel Tor – des documents financiers et documents privés ainsi récupérés. La défense de l’éditeur Rebuild.sh l’affirme : « Ni le piratage, ni l’accessibilité des documents piratés ne sont du fait du journal “Reflets”. (…) Si les informations relèvent éventuellement de la vie privée du dirigeant de la société Altice [Patrick Drahi, ndlr], elles ne relèvent certainement pas du “secret des affaires” au sens de la loi ». Dans un communiqué du 6 octobre, celui-ci relève que le juge empêche Reflets.info de publier « de nouvelles informations » mais en revanche qu’« il n’a [pas] lieu à référé sur autres demandes » d’Altice « à l’encontre » de Rebuild.sh : « En clair, nous ne sommes pas censurés sur le passé… mais sur l’avenir ! Ce qui laisse présager des futures et potentielles entraves à l’encontre de l’ensemble de la presse. (…) L’effet voulu, c’est à dire un procès-bâillon pour faire taire les journalistes, est atteint », prévient l’éditeur du site de presse en ligne incriminé (24).

Rebuild.sh/Reflets.info fait appel (procès et dons)
Le groupe Altice, qui demandait la suppression de trois articles « sous astreinte de 500 euros par jour de retard », n’a donc pas eu gain de cause sur les articles déjà en ligne (25). Le tribunal de commerce de Nanterre a rappelé dans son ordonnance du 6 octobre qu’« il ne relève pas de la compétence du président du tribunal de commerce statuant en référé de se prononcer sur une éventuelle atteinte à la liberté d’expression qui nécessite ici un débat de fond ». Pour faire face à ses frais de justice, y compris pour la procédure en appel, l’association J’aime l’info – reconnue d’intérêt général – organise une collecte de fonds en ligne (26) pour Reflets.info. @

Charles de Laubier

PLF 2023 : rejet de trois amendements taxant à 1,5 % le streaming musical pour financer le CNM

L’UPFI la prône ; le Snep n’en veut pas ; des députés ont tenté de l’introduire avec trois amendements dans le projet de loi de finances 2023 : la taxe de 1,5 % sur le streaming musical en faveur du Centre national de la musique (CNM) a été rejetée le 6 octobre à l’Assemblée nationale.

Une taxe sur le streaming musical de 1,5% sur la valeur ajoutée générée par les plateformes de musique en ligne. Telle était la proposition faite par des députés situés au centre et à gauche de l’échiquier politique, dans le cadre du projet de loi de finances 2023. Mais avant même l’ouverture des débats en séance publique le 10 octobre à l’Assemblée nationale (et jusqu’au 4 novembre), la commission des finances réunie le 6 octobre, a rejeté les trois amendements – un du centre et deux de gauche, déposés respectivement les 29 et 30 septembre.

Budget 2023 du CNM : plus de 50 M€
La ministre de la Culture, Rima Abdul Malak (« RAM »), n’a-t-elle pas assuré que le budget du Centre national de la musique (CNM) pour en 2023 est « suffisamment solide » ? Le CNM sera doté l’année prochaine de plus de 50 millions d’euros, grâce à la taxe sur les spectacles de variétés qui, d’après le projet de loi de finances 2023 déposé fin septembre (1), rapportera l’an prochain 25,7 millions d’euros (contre 35 millions en 2019, soit avant la pandémie). S’y ajouteront un financement garanti par l’Etat à hauteur de 26 millions d’euros et une contribution des sociétés de gestion collective (2) de quelque 1,5 million d’euros. Pour autant, la question de son financement se posera pour 2024 et les années suivantes.
Or la pérennité du budget de cet établissement public à caractère industriel et commercial – placé sous la tutelle du ministre de la Culture – n’est pas assuré. D’où le débat qui divise la filière musicale sur le financement dans la durée du CNM, aux missions multiples depuis sa création le 1er janvier 2020 (3) – et présidé depuis par Jean-Philippe Thiellay (photo). A défaut d’avoir obtenu gain de cause avec ses trois amendements, l’opposition compte maintenant sur le sénateur Julien Bargeton (majorité relative présidentielle) qui va être missionné par la Première ministre Elisabeth Borne et RAM pour trouver d’ici le printemps 2023 un financement pérenne au CNM. L’une des vocations de ce CNM est de soutenir la filière dans sa diversité, un peu comme le fait le Centre national du cinéma et de l’image animée (CNC) pour la production cinématographique, audiovisuelle ou multimédia. Mais avec un budget plus de dix fois moins élevé que ce dernier, le CNM dispose d’une très faible marge de manœuvre. Une partie des professionnels du secteur demandent donc depuis plus de deux et demi qu’existe le CNM de mettre les plateformes de streaming de type Spotify, Deezer, Apple Music ou encore YouTube à contribution (4). « Il est institué une taxe sur les locations en France, y compris dans les départements d’Outre-Mer, de phonogrammes et de vidéomusiques destinés à l’usage privé du public dans le cadre d’une mise à disposition à la demande sur les réseaux en ligne », prévoyaient à l’unisson les trois amendements finalement écartés. Et ce, qu’il s’agisse d’« un service offrant l’accès à titre onéreux [comme Spotify] ou gratuit [comme YouTube] ».
Les députés signataires – de Charles de Courson (centre droit) (5) à Sandrine Rousseau (écologiste) (6), en passant par Karine Lebon (Nupes) (7) – s’étaient concertés pour que la taxe sur le streaming musical soit assise sur trois sources de prélèvement : sur le prix hors taxe payé par le public, sur les recettes publicitaires, et sur les revenus générés par des services proposant des contenus crées par des utilisateurs. Tous s’accordent pour établir le taux de cette taxe à 1,5 % du total. « Il s’agit donc de permettre au CNM de fonctionner “sur ses deux jambes”, en trouvant un équilibre entre financement privé et finan-cement public, mais également entre les deux volets de la filière musicale : spectacle et musique enregistrée », justifiaient les députés centristes Charles de Courson et Michel Castellani. A gauche (Nupes en tête), les signataires indiquent s’appuyer sur les travaux de l’Union des producteurs phonographiques français indépendants (UPFI). « Le rendement de cette taxe est estimé à 21 millions d’euros », précisentils. L’UPFI est à la SPPF (société de gestion collective des producteurs indépendants de musique) ce que le Syndicat national de l’édition phonographique (Snep) est à la SCPP (société de gestion collective notamment des majors Universal Music, Sony Music et Warner Music).

UPFI/SPPF versus Snep/SCPP
Si l’UPFI/SPPF milite pour cette taxe de 1,5 % avec cinq autres organisations professionnelles (8), le Snep/SCPP, lui, est vent debout contre ce « nouvel impôt sur le streaming » et estime les « estimations erronées » faites à partir de « son assiette supposée de 1,4 milliard d’euros » (9). Le duo des majors défend plutôt « une contribution des services vidéo gratuits [YouTube, Facebook, …] dont les acteurs ne rémunèrent pas aujourd’hui la musique à sa juste valeur ». @

Charles de Laubier