Le marché de la pub en ligne, dominé par Google et Facebook, brille par sa complexité et son opacité

Au-delà de la condamnation pécuniaire infligée le 7 juin à Google, à hauteur de 220 millions d’euros, c’est l’opacité et la complexité de la publicité programmatique qui ont été mises en exergue dans la décision de l’Autorité de la concurrence. C’est la première fois au monde qu’un régulateur défriche.

« La décision sanctionnant Google a une signification toute particulière car il s’agit de la première décision au monde se penchant sur les processus algorithmiques complexes d’enchères par lesquels fonctionne la publicité en ligne “display”. L’instruction (…) a permis de révéler des processus par lesquels Google, prenant appui sur sa position dominante considérable sur les serveurs publicitaires pour sites et applications, se favorisait par rapport à ses concurrents tant sur les serveurs publicitaires que les plateformes SSP (1)», a résumé Isabelle de Silva (photo), présidente de l’Autorité de la concurrence, le 7 juin dernier, jour de la condamnation de Google à 220 millions d’euros d’amende pour abus de position dominante en France dans la publicité en ligne (2).

Mise aux enchères des « impressions »
La filiale Internet du groupe américain Alphabet, Google, a abusé de sa position dominante sur le marché de la publicité en ligne, notamment en ayant favorisé sa propre plateforme de mise en vente programmatique d’espaces publicitaires – Doubleclick AdExchange (AdX) – au détriment des autres concurrents du programmatique (Xandr, Rubicon, AdForm, …). Un espace publicitaire vendu de manière programmatique sur un média en ligne génère pour un éditeur un revenu inférieur de 30 % à 60 % par rapport à une vente directe, cette dernière relevant d’un accord conclu entre l’éditeur et l’annonceur, voire son agence (3). Car vente programmatique et vente directe coexistent et sont les deux moyens de commercialiser des espaces publicitaires en ligne.
Les plateformes de mise en vente programmatique d’espaces publicitaires sont appelées SSP (Supply Side Platform), littéralement « plateforme du côté de l’offre ». Elles sont des places de marché où se rencontrent les acheteurs d’espaces publicitaires et les éditeurs souhaitant vendre des espaces publicitaires, ou plus concrètement des « impres-sions » publicitaires lorsque la publicité s’affiche effectivement à l’écran de l’internaute ou du mobinaute. Par exemple, une page web – intégrant un espace publicitaire – consultée par tel nombre d’internautes génère ainsi autant d’impressions. Pour une impression donnée, la SSP sollicite automatiquement une offre de prix de la part des annonceurs publicitaires, ce qui conduit ensuite à une mise aux enchères entre les différents prix proposés par ces derniers, puis transmettent enfin l’enchère gagnante au serveur publicitaire. Généralement, afin d’optimiser leurs revenus et maximiser leurs chances de vendre un espace publicitaire donné, les éditeurs mettent en vente un même espace publicitaire via plusieurs plateformes de vente aux enchères simultanément. Mais les éditeurs ont tendance à utiliser un serveur publicitaire unique pour organiser la compétition entre les différentes plateformes de mise en vente.
Les éditeurs s’appuient de plus en plus sur de la publicité programmatique car la publicité directe, que cela soit le display (l’affichage classique de bannières publicitaire), le native advertising ou le brand content, qui sont des articles ou des contenus sponsorisés par des annonceurs leur demandent plus de ressources pour créer ces contenus et assurer leur diffusion. Mais Les ventes directes sont le plus souvent réalisées à un prix plus élevé que les ventes programmatiques. Une vente programmatique consiste, selon un processus automatisé, à mettre en relation l’éditeur ayant un espace publicitaire à vendre et les annonceurs désireux de s’afficher. La décision d’acheter ou pas une impression est prise en « temps réel », selon plusieurs critères (la page web, le profil de l’internaute, …), et cette mise en relation peut fait intervenir plusieurs intermédiaires en moins d’une seconde en général.
Jusqu’alors, la vente directe pesait entre 30 % et 75 % des recettes publicitaires des éditeurs. Cependant, le programmatique prend de l’ampleur. Les SSP donnent le choix aux éditeurs de trois modes principaux de transaction, à savoir : les enchères ouvertes, les enchères privées, et les accords préférés. Dans les enchères ouvertes, les transactions sont fondées sur des enchères et concernent l’inventaire disponible pour tous les acheteurs. Dans les enchères privées, les transactions sont fondées sur des enchères et concernent un ou plusieurs acheteurs spécifiques qui ont été ajoutés à une « liste blanche » par une entreprise, à savoir les médias qu’elle privilégie – la « liste noire » étant les supports qu’elles veut éviter…

Frais prélevés par les SSP : 5 % à 25 %
Enfin, dans les accords préférés, les transactions sont négociées par les éditeurs avec un ou plusieurs acheteurs spécifiques, et préalablement à la mise aux enchères, tout en étant fondées sur un prix fixe. « Une même impression peut être proposée par plusieurs modes de transaction. En principe, les modes de transaction basés sur un prix fixe sont alors prioritaires par rapport aux enchères, et parmi ces dernières, les enchères privées sont prioritaires par rapport aux enchères ouvertes », relève l’Autorité de la concurrence. Quel que soit le mode de transaction utilisé, le modèle économique des SSP repose généralement sur le prélèvement de frais selon un pourcentage du montant de la transaction réalisée : ce taux est déterminé dans le cadre d’une négociation commerciale entre l’éditeur et le fournisseur de la plateforme, le plus souvent compris entre 5 % et 25 % du montant de la transaction, au lieu d’une fourchette de 25 % à 50 % pour les réseaux publicitaires. « Les SSP peuvent par ailleurs être offertes aux éditeurs comme des produits autonomes, mais également offertes de manière groupée avec des serveurs publicitaires, par des sociétés verticalement intégrées telles que Google, Xandr ou Smart AdServer », précise l’Autorité de la concurrence.

Basculement du direct au programmatique
En outre, depuis l’année 2015, un nouveau mode de transaction a fait son apparition : le « programmatique garanti ». Il s’agit d’une alternative à la vente directe, qui consiste à opérer des transactions reposant sur le programmatique garanti et concernant des inventaires avec engagement préalable qui a été négocié avec un seul acheteur sur la base d’un prix fixe – dans le cadre d’un accord entre l’annonceur et l’éditeur sur l’achat d’une quantité déterminée d’inventaires. La publicité « automatique » prend le pas sur la publicité « manuelle », accélérant ainsi un basculement des ventes, du direct vers le programmatique. Si les SSP sont des places de marché où se rencontrent les acheteurs d’espaces publicitaires et les éditeurs désireux de vendre leurs espaces publicitaires, les DSP (Demand Side Platform) – littéralement « plateforme du côté de la demande » – sont, elles, des plateformes d’achat d’espaces publicitaires. Les annonceurs ou leurs agences publicitaires peuvent en effet disposer de leur propre DSP d’intermédiation publicitaire, qui leur permet de non seulement participer à des enchères programmatiques organisées par des SSP (l’offre), mais aussi d’acheter des espaces auprès de réseaux publicitaires (agrégateurs d’espaces disponibles sur les sites web ou applications mobiles de plusieurs éditeurs médias, vendus à un prix fixe (4)), voire auprès d’inventaires publicitaires tels que ceux de Facebook, Twitter ou YouTube – ce que l’Autorité de la concurrence appelle des « écosystèmes fermés ».
Les DSP (la demande) peut optimiser leur participation aux enchères à l’aide d’algorithmes proposées par les SSP, « mais totalement opaques pour l’annonceur », à moins que ce dernier n’opte pour un contrôle du montant des enchères ou ne fournisse lui-même son algorithme. Les frais prélevés par les DSP se situent entre 5 % et 42 %, avec une moyenne d’environ 14% (5). Ces plateformes « du côté de la demande » offrent différents ciblages aux annonceurs (catégorie d’utilisateurs sociodémographiques, centres d’intérêts, similitudes de groupe, …). Dans cet imbroglio technologique, la publicité sur Internet – dominée par Google et Facebook – reste un marché complexe et opaque. Les engagements (6) de la filiale d’Alphabet sont un premier pas vers un peu de transparence. @

Charles de Laubier

Solocal (ex-PagesJaunes), désormais 100 % digital, résiste à la crise grâce aux abonnements

Pierre Danon, président du conseil d’administration de Solocal depuis quatre ans, a présenté sa démission qui prendra effet le 30 juin. Son départ intervient près de huit mois après celui d’Eric Boustouller, alors directeur général. L’ex-PagesJaunes devenu 100 % digital est moitié moins endetté.

« Il est temps pour moi de me consacrer à d’autres projets », a déclaré Pierre Danon le 2 juin dernier, lors de l’annonce de sa démission qui sera effective à la fin du mois. « Solocal a beaucoup évolué depuis quatre ans et est ainsi devenue une société 100 % digitale », s’est félicité le président du conseil de surveillance depuis septembre 2017 et également directeur général (soit PDG) depuis le départ d’Eric Boustouller début octobre 2020. A coup de suppression d’emplois, d’économies et de restructuration financière, le groupe Solocal a réduit de plus de moitié son endettement, à 195 millions d’euros (1).

L’année 2020 a été « difficile »
C’est donc une nouvelle ère – post-covid ? – qui s’ouvre pour l’ex-PagesJaunes (2), malmenée par la crise sanitaire et ses confinements. L’année 2020 aura été « difficile », selon le propre aveu de Pierre Danon dans un entretien paru dans le document d’enregistrement universel (rapport annuel 2020) publié par l’Autorité des marchés financiers (AMF) le 30 avril dernier. Le chiffre d’affaires du dernier exercice annuel a chuté de 13,7 % sur un an, à 437,4 millions d’euros, mais le résultat net a, lui, été multiplié par deux, à 65,6 millions d’euros. « Le chiffre d’affaires consolidé du groupe est ainsi 100 % digital en 2020, contre 48 % il y a 10 ans », souligne Solocal. Mais l’année 2021 ne démarre pas sur les chapeaux de roues car le chiffre d’affaires sur le premier trimestre est en baisse de 10 %. La plateforme PagesJaunes, qui constitue « le vaisseau amiral de l’entreprise » (dixit Pierre Danon), a vu son audience baisser l’an dernier (- 7,5 %) ainsi que sur le premier trimestre de cette année (- 3,9 %).
Selon Médiamétrie, l’audience de PagesJaunes a régressé à 19,3 millions visiteurs unique par mois, reléguant la plateforme à la vingt-septième place du classement de l’« Internet global » : trafic provenant de smartphones à 65,5 %, d’ordinateurs pour 38,4 % et de tablettes pour 12,3 %. Il y a trois ans, l’annuaire-média en ligne affichait au compteur presque la trentaine de millions de visiteurs. Avec sa stratégie « mobile first » (3), Solocal a perdu depuis de l’audience en route et le covid-19 n’a pas arrangé les choses. « Le trafic PagesJaunes est (…) impacté par la crise sanitaire ainsi que par les mesures de confinement et de couvre-feu », explique la direction de Solocal, tout en rappelant qu’« en raison de la vente de Mappy [en octobre 2020, voir plus loin, ndlr], une part de cette audience n’apparaîtra plus dans les résultats 2021 ». Il n’y a pas que sa fréquentation qui est en décrue ; la valorisation boursière de l’ex-PagesJaunes – coté à la Bourse de Paris depuis 2004 – ne dépasse pas les 249 millions d’euros (au 17 juin). C’est bien en-deçà des 344 millions d’euros de capitalisation en décembre 2020, des 733 millions d’euros en février 2018, des 475 millions d’euros en juin 2014, des 660 millions en janvier 2013 et à des années lumières des 2,3 milliards d’euros en février 2010. Le tandem Danon-Boustouller n’a pas tenu son objectif affiché en juin 2019 du « milliard d’euros » de valorisation boursière. Aujourd’hui, avec « une stratégie recentrée sur son cœur de métier » qu’est le digital et « l’arrêt total de l’activité “imprimés” » en 2020, le périmètre du groupe s’est réduit après les cessions l’an dernier de la plateforme de cartographie et de mobilité multimodal Mappy (vendue en octobre à la RATP (4)) et de sa filiale espagnole QDQ Media (vendue en février de la même année à AS Equity Partners). Le groupe aux pages jaunes, que dirige Hervé Milcent (ex- Arvato du groupe Bertelsmann) depuis avril dernier, et en attendant un nouveau président du conseil d’administration, vise pour cette année une « hausse modérée du parc clients portée par une réduction du churn et dans une moindre mesure par l’augmentation de l’acquisition clients », par rapport aux 314.000 clients au 31 mars dernier (5) et au taux de churn actuel de 16,7 % (au lieu de 20 % auparavant). Quant au revenu moyen par annonceur (ARPA (6)), un « annonceur » étant une entreprise clientes des prestations Internet et mobile de Solocal, il est « quasiment stable », à 1.320 euros sur une année.

88 % des ventes, par abonnement
Les services digitaux proposés au niveau local le sont actuellement à 88 % par abonnement (en hausse) et accessibles en mode SaaS (7), une sorte de cloud du marketing digital de proximité à l’attention des TPE et PME mais aussi des « grands comptes à réseaux » (création de sites web, référencement en ligne, interactions avec la clientèle, click & collect, etc). Les entreprises locales profitent des audiences naturelles (SEO (8)) des principaux « carrefours d’audience du Web » : au-delà de PagesJaunes et de Mappy : Google, Facebook, Bing/Microsoft, Apple, Yahoo, … Des campagnes de référencement payant (SEA (9)) sont incluses dans l’offre. @

Charles de Laubier

Après Facebook et Apple, Noyb – cofondée par l’Autrichien Max Schrems – s’attaque à Google

L’organisation Noyb indique à Edition Multimédi@ que « le plaignant français » (en fait plusieurs plaintes de Français) a reçu le 9 avril un e-mail de la Cnil lui confirmant la réception le 6 avril de sa plainte contre Google, accusé de le suivre sans son consentement via des « cookies » AAID.

« Nous ne connaissons pas l’étape de la procédure, mais nous savons que le plaignant [en fait plusieurs plaintes de Français épaulés par Noyb, ndlr] a reçu une confirmation de réception le jour du dépôt et il a reçu un autre courriel le 9 avril confirmant que la plainte avait été attribuée au “service des plaintes de la Cnil (1)” », nous a précisé une porte-parole de l’organisation cofondée en 2017 par l’Autrichien Maximilian Schrems (photo), tout en nous confirmant que « le plaignant est un citoyen français ». De son côté, la Cnil a répondu à Edition Multimédi@ qu’elle est « en train d’étudier la recevabilité des plaintes reçues par ce biais » – à savoir en « m[ettant] un “modèle” de plainte sur son site ».

Eviter l’Irlande via la directive « ePrivacy »
L’Android Advertising Identifier (AAID) est à Google ce que l’Identifier for Advertisers (IDFA) est à Apple. Ce sont des traceurs qui permettent, une fois déposés sous forme de « cookies » dans les terminaux des Européens, de les suivre à la trace justement dans leurs navigations sur le Web ou sur les applications mobiles, tout en capitalisant sur leurs comportements de visiteurs et de consommateurs à des fins de ciblages publicitaires et marketing. Comme pour l’IDFA d’Apple sur les terminaux sous iOS, l’AAID de Google est, selon Noyb, « un code de suivi non autorisé installé illégalement sur les téléphones Android ». Cinq moins après avoir déposé plainte – le 16 novembre 2020 – contre Apple et son traceur installé sous forme de cookies dans les terminaux iOS des utilisateurs européens, et sans leur consentement préalable pourtant rendu obligatoire par la directive européenne « ePrivacy » de 2002 (modifiée en 2006 et 2009), l’organisation Noyb (2) a de nouveau porté plainte le 6 avril dernier, mais cette foisci contre Google et son traceur du même genre. Alors que la plainte contre la marque à la pomme avait été déposée à la fois auprès de la « Cnil » allemande, le BfDI (3), et auprès de la « Cnil » espagnole, la AEPD (4), la plainte contre l’éditeur du système d’exploitation Android a, elle, été adressée à la Cnil en France (5). Dans ces deux affaires, « Apple/IDFA » et « Google/AAID », Noyb attaque les deux géants du numérique sur le fondement de la directive « ePrivacy » concernant le « traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques » (6). Car, selon l’organisation autrichienne, la directive sur la protection des données électroniques (ePrivacy) prévaut juridiquement sur le règlement général sur la protection des données (RGPD). Mais la directive présente un double avantage sur le règlement. D’une part, l’article 5.3 de la directive prévoit clairement que « les Etats membres garantissent que l’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition que l’abonné ou l’utilisateur, soit muni, (…) d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données ». Chaque Etat membre de l’Union européenne (UE) a transposé en droit national cette disposition, comme en France dans la loi « Informatique et libertés ».
D’autre part, la directive « ePrivacy » permet à la « Cnil » nationale d’être compétente pour contrôler et sanctionner les pratiques dans le dépôt cookies et le recueil préalable du consentement des utilisateurs. Alors que si le plaignant de Noyb s’était appuyé sur le règlement RGPD, l’instruction de la plainte et ses éventuelles sanctions auraient dû être confiées à la « Cnil » en Europe considérée comme l’autorité « chef de fil » car relevant du pays européen où la plateforme numérique en question est basée. En l’occurrence, Apple et Google ont leur quartier général européen en Irlande – le premier à Cork, le second à Dublin. Cela aurait dû être alors à la « Cnil » irlandaise, en l’occurrence la Data Protection Commission (DPC), d’instruire les deux affaires.

Le terminal personnel doit être sanctuarisé
Mais Max Schrems a voulu éviter d’en passer par l’Irlande où, comme il l’a affirmé à l’AFP le 21 avril, « 99,9% des dossiers sont tout simplement jetés à la poubelle » ! De plus, pour pouvoir mettre à l’amende Apple et Google, il aurait fallu s’accorder avec tous les pays de l’UE dans lesquels ces entreprises sont présentes. Ce qui est loin d’être gagné d’avance. Alors qu’en utilisant l’article 5.3 de la directive « ePrivacy », comme l’a déjà fait la Cnil en France (où il a été transposé dans la loi « Informatique et libertés ») pour sanctionner financièrement en décembre dernier Amazon (35 millions d’euros) et Google (100 millions d’euros) pour infraction aux règles sur les cookies (8), chaque « Cnil » est compétente sur son territoire pour contrôler et sanctionner.
Le considérant 24 de la directive « ePrivacy » est on ne peut plus clair sur l’extension du domaine de la vie privée des internautes et mobinautes : « L’équipement terminal de l’utilisateur d’un réseau de communications électroniques ainsi que toute information stockée sur cet équipement relèvent de la vie privée de l’utilisateur, qui doit être protégée au titre de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales ».

Série d’affaires, de « Schrems 1» à « Schrems 4»
Et le législateur européen d’enfoncer le clou pour mettre en garde les plateformes numériques, réseaux sociaux et autres sites web : « Or, les logiciels espions, les pixels invisibles (web bugs), les identificateurs cachés et les autres dispositifs analogues peuvent pénétrer dans le terminal de l’utilisateur à son insu afin de pouvoir accéder à des informations, stocker des informations cachées ou suivre les activités de l’utilisateur, et peuvent porter gravement atteinte à la vie privée de ce dernier. L’utilisation de tels dispositifs ne devrait être autorisée qu’à des fins légitimes, et en étant portée à la connaissance de l’utilisateur concerné ». Tout est dit. L’article 5.3, lui, va ainsi règlementer deux types de traitement : le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur. L’organisation de Max Schrems part du principe que la directive « ePrivacy » est technologiquement neutre (confortée par un avis du groupement des « Cnil » européennes, le G29, en avril 2012) et considère que l’AAID de Google comme l’IDFA d’Apple sont « très similaire[s] à un identifiant de traçage présent dans un cookie de navigation ».
Ainsi, l’éditeur d’Android et le fabricant d’iPhone – voire des tierces parties telles que les fournisseurs d’applications mobiles – peuvent chacun de leur côté « accéder l’information stocker dans l’équipement terminal de l’utilisateur » et « ceci peut être utilisé afin de déterminer les préférences de l’utilisateur associées avec son [AAID ou IDFA] afin d’afficher des annonces pertinentes sur d’autres applications ou même sur des pages de site web non liés ». Ces affaires « Apple/IDFA » et « Google/AAID », que l’on pourrait surnommer les affaires, respectivement « Schrems 3 » et « Schrems 4 », interviennent après les deux précédentes affaires judiciaires initiées et remportées par Max Schrems. Avant qu’il ne crée Noyb, ce jeune homme (actuellement 33 ans) s’était fait connaître en portant plainte, en tant que citoyen autrichien, contre Facebook accusé de transférer les données personnelles de ses utilisateurs européens vers les Etats-Unis. Ce qui a amené la Cour de justice de l’Union européenne (CJUE) à invalider en 2015 le « Safe Harbor », lequel autorisait depuis l’année 2000 le transfert des données personnelles des citoyens européens vers les Etats-Unis sous certaines conditions. C’était l’affaire « Schrems 1 » (9), laquelle a propulsé Max Schrems audevant de la scène médiatique face à Facebook. Le « Safe Harbor » annulé (10), celui-ci a été remplacé en 2016 par le « Privacy Shield » malgré un avis mitigé à l’époque du groupement des « Cnil » européennes (11), dit « Article 29 » ou G29 – devenu le Comité européen de la protection des données (CEPD).
Fort de son premier succès à l’encontre du « Safe Harbor », Max Schrems a encore porté plainte, contre cette fois le « Privacy Shield », ce « bouclier de la vie privée » ou « bouclier des données » qui permettait aux Etats-Unis d’être considérés comme un pays ayant un niveau de « protection adéquate » par la Commission européenne pour les transferts de données à caractère personnel vers des organisations américaines auto certifiées. Là aussi la CJUE a eu à se prononcer et, le 16 juillet 2020, à l’invalider à son tour au regard cette fois des exigences découlant du RGPD et à la lumière des dispositions de la Charte des droits fondamentaux de l’Union européenne garantissant le respect de la vie privée et familiale, de la protection des données personnelles et du droit à une protection juridictionnelle effective (12). C’est l’affaire « Schrems 2 » (13) qui a renforcé la légitimité de Max Schrems (14) face à la firme de Mark Zuckerberg. Avec une quinzaine de personnes travaillant pour elle, l’organisation à but non lucratif Noyb, surnommée European Center for Digital Rights et basée à Vienne, ne se limite pas à ces affaires emblématiques puisque plus d’une centaine de recours l’occupent actuellement.

Données de localisation : « Schrems 5 » ?
Par exemple, Noyb a porté plainte en juin 2020 sur la base du RGPD contre l’opérateur mobile A1 Telekom en Autriche pour manque de transparence sur les données de géolocalisation collectées auprès de ses mobinautes. « Où étiez-vous ? Ça ne vous regarde pas ! ». En Australie cette fois, l’autorité de la concurrence ACCC a d’ailleurs pour la première fois au monde sanctionné le 16 avril Google pour avoir « induit les consommateurs en erreur au sujet de la collecte et de l’utilisation des données de localisation » (15). Il y a matière pour une affaire « Schrems 5 »… @

Charles de Laubier

Internet global : la régulation nationale adaptée ?

En fait. Le 25 mars, Mark Zuckerberg, Sundar Pichai et Jack Dorsey ont été auditionnés par une commission du Congrès des Etats-Unis sur « l’extrémisme et la désinformation » véhiculés par Facebook, Google et Twitter. La régulation de l’Internet global risque de tourner en patchwork réglementaire.

En clair. La pression monte aux Etats-Unis pour que soit réformée la section 230 du « Communications Decency Act » de 1996, lequel accorde une « immunité » judiciaire aux plateformes numériques – au premier rang desquelles Facebook, Google et Twitter – quant aux contenus mis en ligne par leurs utilisateurs. Ce « bouclier » du CDA, qui ressemble à la responsabilité limitée garantie aux hébergeurs en Europe par la directive « Ecommerce » de 2000, est plus que jamais contesté jusqu’à Washington. Car les médias sociaux ne sont plus seulement hébergeurs mais aussi des modérateurs, lorsqu’ils ne sont pas eux-mêmes éditeurs. Joe Biden a déjà fait savoir (1) qu’il allait réviser cette section 230. Ni Mark Zuckerberg, ni Sundar Pichai, ni Jack Dorsey – respectivement PDG de Facebook, Google et Twitter – ne s’opposent à une nouvelle régulation du Net.
Mais le paradoxe est que ces patrons de plateformes numériques mondiales – sans frontières – raisonnent devant la commission de l’énergie et du commerce du Congrès des Etats- Unis (2) comme s’ils n’étaient présents qu’aux Etats-Unis. Ce paradoxe sous-tend le fait que les régulateurs nationaux – américains, européens (français inclus) et d’ailleurs – cherchent à encadrer des médias sociaux dont l’emprise n’est pas nationale mais mondiale. Lorsque Mark Zuckerberg appelle, dans une déposition écrite (3) la veille de son audition, à plus de responsabilité des plateformes numériques, il s’adresse aux législateurs américains, pas à leurs homologues européens, pas plus qu’aux législateurs du reste du monde. De son côté, l’Union européenne (UE) est en train de revoir la responsabilité de ces géants du Net, d’envergure internationale donc, avec deux textes législatives – le DSA (4) et le DMA (5) – en cours d’examen au sein du Conseil de l’UE et des instance préparatoires.
Etant entendu que ce futur cadre du marché unique numérique ne s’appliquera qu’aux Vingt-sept, mais pas au-delà. Il en va de même de la directive européenne de 2018 sur les services de médias audiovisuels, dite SMA (6). Censée être transposée par les Etats membres de l’UE à septembre 2020, elle étend la régulation audiovisuelle aux plateformes de streaming (médias sociaux compris). Chaque région du monde, voire chaque pays, entend réguler les géants du Net – à l’instar de la future Arcom en France –, au risque de se retrouver avec un patchwork réglementaire inefficace face à ces acteurs globaux. @

Jeunes internautes de moins de 13 ans et enfants influenceurs de moins de 16 ans sous surveillance

Alors qu’Instagram prépare une version « Kids » de son réseau social, la question de l’accès des mineurs de moins de 13 ans se pose de plus en plus. Entre l’intelligence artificielle et le contrôle parental, les TikTok, YouTube et autres Facebook cherchent à encadrer l’accès de la très jeune génération.

« Les enfants demandent de plus en plus à leurs parents s’ils peuvent rejoindre des applications qui les aident à suivre leurs amis. Une version d’Instagram où les parents ont le contrôle, comme nous l’avons fait avec Messenger Kids, est quelque chose que nous explorons. Nous en dirons plus prochainement », a lancé le 19 mars dernier dans un tweet (1) le directeur d’Instagram, Adam Mosseri. Sur le modèle de Messenger Kids, qui est opérationnels auprès des moins de 13 ans depuis 2017 aux Etats-Unis, aux Canada et quelques pays, avant d’être quasi généralisé dans le monde il y a un an, un « Instagram Kids » devrait donc voir le jour.

Les 13 ans de la loi américaine Coppa
Le patron d’Instagram réagissait à un article de Buzz Feed News qui révélait le 18 mars (2) le projet de Facebook de créer un Instagram pour les moins de 13 ans. Cela n’a pas manqué de susciter des réactions sur les réseaux sociaux, où justement les jeunes enfants en-dessous de cet âge-là n’ont pas le droit de s’inscrire. Cette interdiction aux moins de 13 ans a été officialisée par les Etats-Unis il y a huit ans maintenant, dans le cadre du Children’s Online Privacy Protection Act (Coppa). C’est sur cette loi américaine (3) fixant à 13 ans l’âge minimum pour pouvoir s’inscrire sur les réseaux sociaux – Facebook en tête – que les différents pays se sont alignés. Mais dans les faits, cette règle devenue universelle est largement enfreinte par de jeunes enfants et pré-adolescents qui contournent l’interdiction, soit en mentant sur leur âge, soit en utilisant l’identité d’un proche (un frère ou une soeur voire un ami-e complice, par exemple), soit en utilisant un compte d’un 13 ans ou plus à son insu. De nombreuses études ont démontré que des moins de 13 ans étaient bien présents sur les réseaux sociaux, Médiamétrie mesurant même l’audience des Facebook, Snapchat et autres TikTok à partir de l’âge de… 2 ans ! L’appétence des bambins pour ces plateformes d’échanges ne date pas d’hier : une étude Ipsos-Médiamétrie de 2015 révélait déjà que 57 % des 11–12 ans et 26 % des 9–10 ans avaient ouvert un compte. Plus récemment, en février dernier, le Bureau européen des unions de consommateurs (Beuc), dont est membre en France l’association UFC-Que Choisir, a déposé plainte (4) auprès de la Commission européenne contre l’application TikTok aux formats courts créatifs très prisée des jeunes. Ce recours, qui s’appuie sur « le règlement sur la coopération en matière de protection des consommateurs » du 12 décembre 2017 (Consumer Protection Cooperation Regulation), affirme que la plateforme chinoise accepte des inscriptions de moins de13 ans et s’inquiète du fait que « l’application est plébiscitée par les adolescents ». En France, UFC-Que Choisir affirme que « 45 % des enfants de moins de13 ans ont indiqué utiliser l’application » (5). Pourtant, TikTok tente d’y remédier, notamment avec son « Mode connexion famille » lancé en novembre 2020.
Instagram est aussi le terrain de jeu des moins de 13 ans, bien que cette limite soit bien la condition sine qua non dans ses conditions générales d’utilisation. « Nous exigeons que tout le monde ait au moins 13 ans pour utiliser Instagram et avons demandé aux nouveaux utilisateurs de fournir leur âge lorsqu’ils s’inscrivent à un compte pendant un certain temps. Bien que beaucoup de gens soient honnêtes au sujet de leur âge, nous savons que les jeunes peuvent mentir au sujet de leur date de naissance », a récemment reconnu la filiale de Facebook (la plateforme de photos et vidéos Instagram fut rachetée en 2012 pour 1 milliard de dollars). Adam Mosseri, le patron d’Instagram, veut y remédier. Cela passe selon lui par notamment restreindre les « DM» (direct messaging) entre les adolescents et les adultes qu’ils ne suivent pas, encourager les adolescents à rendre leur compte privé, ou encore les inciter à être prudents dans les « DM » (6). Dans l’annonce faite le 16 mars dernier concernant de nouvelles mesures vis-à-vis des plus jeunes, Instragam en appelle à l’IA et au machine learning : « Nous voulons en faire plus pour empêcher que cela se produise [les inscriptions en dessous de 13 ans], mais il est complexe de vérifier l’âge des gens en ligne et de nombreux membres de notre industrie sont aux prises avec ce problème ».

La « Cnil » italienne enquête depuis janvier
Et la filiale de Facebook d’ajouter : « Pour relever ce défi, nous mettons au point une nouvelle technologie d’intelligence artificielle et d’apprentissage automatique pour nous aider à assurer la sécurité des adolescents et à appliquer de nouvelles caractéristiques adaptées à leur âge ». De nouvelles fonctionnalités sont opérationnelles depuis le mois de mars dans certains pays, avant d’être généralisées partout dans le monde, a précisé Instagram. Par exemple, l’IA permettra de détecter lorsqu’un adulte envoie une grande quantité de demandes d’amis ou de messages à des personnes de moins de 18 ans. Les destinataires seront alertés dans leur DM en leur donnant la possibilité de mettre fin à la conversation, de bloquer, de signaler ou de restreindre l’adulte en question.
Fin janvier dernier, la GPDP – la « Cnil » italienne (7) – a demandé formellement à Facebook et à Instagram « des informations sur le traitement (des mineurs) » que font ces deux réseaux sociaux. « La “Garante” [surnom de la GPDP, ndlr] a demandé à Facebook, propriétaire d’Instagram, de fournir des informations, notamment le nombre et les profils détenus par la jeune fille et, le cas échéant, comment une jeune fille de 10 ans pourrait s’inscrire sur les deux plateformes », a-t-elle indiqué.

IA appelée à la rescousse (Instagram et TikTok)
La « Cnil » italienne faisait référence en particulier à la mort d’une fillette de 10 ans habitant à Palerme lors d’un défi dit du « jeu du foulard » sur TikTok. « Plus important encore, a poursuivi la “Cnil” italienne, des informations spécifiques ont été demandées sur les mécanismes d’enregistrement en place et les méthodes de vérification de l’âge appliquées par les deux réseaux sociaux pour vérifier le respect du seuil d’âge pour l’enregistrement ». Cette jeune victime avait ouvert plusieurs profils sur les deux réseaux sociaux de la firme de Mark Zuckerberg.
La GPDP a prévenu que son enquête allait s’étendre à tous les réseaux sociaux, notamment en ce qui concerne « les mécanismes régulant l’accès des enfants aux plateformes », dans le but d’« intensifie[r] son action pour protéger les enfants utilisant les réseaux sociaux » (8). Le 3 février dernier, la « Cnil » italienne a fait savoir que TikTok lui avait répondu avoir mis en oeuvre des mesures pour interdire l’accès aux utilisateurs de moins de 13 ans, tout en envisageant de « déployer des systèmes basés sur l’IA à des fins de vérification de l’âge » (9). Une campagne d’information sera également lancée par TikTok pour sensibiliser les parents et les enfants. Quant au groupe Facebook, il avait une quinzaine de jours pour répondre à la GPDP, mais aucune information n’a encore filtré du régulateur italien.
Intelligence artificielle ou contrôle parental ? Si Instagram et TikTok ont choisi la voie du traitement automatique à grand renfort de marchine learning, les parents sont aussi appelés à surveiller leurs chérubins. La plateforme vidéo YouTube a annoncé le 24 février dernier qu’elle allait dans les prochains mois proposer aux parents d’utiliser leur propre compte Google pour permettre à leurs enfants d’accéder leurs à YouTube mais dans le cadre de ce « compte supervisé », selon l’expression de James Beser (photo de droite), le directeur de produit « Kids and Family » (10) de la filiale vidéo de Google. Les parents régleront les contenus vidéo acceptables pour leurs enfants âgés de 13 ans et plus. Par ailleurs, le service YouTube Kids créé en 2015 et destinée des jeunes utilisateurs de plus de 13 ans intègre déjà le contrôle parental.
En France, le député Bruno Studer (LREM) – président de la commission des affaires culturelles et de l’éducation – a relancé la piste du contrôle parental par défaut. Dans une interview à Next Inpact publiée le 19 mars dernier, il s’en explique : « Il ne s’agit pour l’heure que d‘une piste de réflexion. Je repars du discours du président de la République de 2019 où le chef de l’Etat réclamait une solution robuste pour prévenir l’accès des mineurs aux sites pornos. Un sujet sur lequel je me suis penché. Nous en avons discuté ensemble. Nous devons désormais arriver à massifier l’utilisation du contrôle parental » (11). Plus d’un an après le discours d’Emmanuel Macron devant l’Unesco en novembre 2019 (12), le gouvernement a bien lancé en début d’année la plateforme en ligne Jeprotegemonenfant.gouv.fr pour inciter les parents à utiliser des outils de contrôle parental, afin de protéger les mineurs contre leur exposition potentielle ou avérée à la pornographie. Car celle-ci peut avoir des conséquences néfastes sur eux, tant sur leur développement psychologique que sur leur représentation de la sexualité. Insuffisant malgré la volonté présidentielle.
Mais le député Bruno Studer constate que le contrôle parental est très peu utilisé. « S’il était activé par défaut [le contrôle parental], sa désactivation supposera une décision de ceux qui sont responsables de l’intérêt psychique et physique des enfants à savoir les parents », avance le député du Bas-Rhin. Par ailleurs, la loi du 19 octobre 2020 encadre l’exploitation commerciale de l’image d’enfants de moins de 16 ans sur les plateformes en ligne. Le débuté Bruno Studer en était co-rapporteur. Il s’agit de protéger l’enfant influenceur lorsqu’il doit être qualifié de « travailleur-salarié » et/ou percevant des revenus importants relevant d’une activité commerciale (13).

Dans la vraie vie, clause « Roméo et Juliette »
Parallèlement, dans « la vraie vie » si l’on peut dire, les mineurs font aussi l’objet d’une proposition de loi visant à renforcer leur protection contre les violences sexuelles. Porté par le ministre de la Justice, Eric Dupond-Moretti, ce texte a déjà été adopté par l’Assemblée nationale mifévrier et se retrouve devant le Sénat (14). Il prévoit notamment deux nouvelles infractions concernant les mineurs de moins de 15 ans victimes de violences sexuelles commises par des personnes majeures, avec une exception via la clause dite « Roméo et Juliette » (15). @

Charles de Laubier