Les géants de l’Internet sont pris en étaux entre Margrethe Vestager et Lina Khan : le démantèlement ?

La Danoise Margrethe Vestager est vice-présidente exécutive de la Commission européenne, chargée de la concurrence ; L’Américaine Lina Khan est présidente de la Federal Trade Commission (FTC). Ces deux femmes de l' »antitrust », de part et d’autre de l’Atlantique, sont les bêtes noires des GAFAM.

Elles sont redoutées par les Big Tech en général et par les GAFAM en particulier. Les abus de positions dominantes de ces géants du numérique, devenus des conglomérats de l’Internet à force d’effets de réseaux et d’acquisitions de concurrents potentiels, sont plus que jamais dans leur collimateur. Margrethe Vestager et Lina Khan – respectivement vice-présidente exécutive chargée depuis novembre 2014 de la politique de concurrence à la Commission européenne, et présidente depuis septembre 2021 de la Federal Trade Commission (FTC) – leur mènent la vie (numérique) dure. Derniers faits d’armes de ces deux autorités « antitrust » : la Danoise a annoncé le 14 juin que la Commission européenne venait d’adresser à Google des griefs l’accusant de pratiques abusives sur le marché de la publicité en ligne ; l’Américaine a demandé le 12 juin devant un tribunal fédéral de San Francisco de suspendre l’acquisition de l’éditeur de jeux vidéo Activision Blizzard par Microsoft, opération à laquelle s’oppose la FTC qui a fixé une audition le 2 août prochain.

Aux Etats-Unis, des acquisitions contestées
Vis-à-vis des très grands acteurs du numérique, les deux grandes gendarmes de la concurrence n’hésitent pas aussi à agiter le spectre du démantèlement, qui est au marché ce que l’arme nucléaire est à la guerre. La FTC et la Commission européenne ont en outre déjà sorti le carton rouge et infligé des amendes aux contrevenants. Le démantèlement, Margrethe Vestager l’a encore évoqué explicitement le 14 juin mais sans utiliser le terme : « La Commission européenne estime donc à titre préliminaire que seule la cession [divestment] obligatoire, par Google, d’une partie de ses services permettrait d’écarter ses préoccupations en matière de concurrence ». Dans cette affaire d’abus de position dominante de Google sur le marché de la publicité en ligne, où l’Autorité de la concurrence en France a fortement contribué à l’enquête européenne, il est reproché à la firme de Mountain View de Continuer la lecture

Avec Numspot et Synfonium, l’Etat français – via la CDC – veut damer le pion à Google, Microsoft et Amazon

La Caisse des dépôts (CDC), le bras armé financier de l’Etat français, rêve de faire émerger un « Google français » en Europe. Cette reconquête numérique passe par des fonds publics injectés via la Banque des Territoires et Bpifrance, notamment dans deux futurs « champions européens » : Numspot et Synfonium.

La Caisse des dépôts et consignations (CDC), que dirige depuis plus de cinq ans maintenant Eric Lombard (photo), est une vieille institution financière publique qui a eu 207 ans le 28 avril (1). Elle est devenue le bras armé de l’Etat français pour investir dans les entreprises et les territoires, y compris dans les infrastructures électroniques – de la téléphonie dès 1889 au numérique à partir de l’année 2000. La CDC finance les espaces publics numériques dans les territoires, les espaces numériques de travail dans les établissements scolaires, l’aménagement numérique des territoires pour garantir l’inclusion numérique, ou encore les services numériques de confiance via des projets de « cloud souverain ». Les premiers investissements de l’Etat français dans le cloud justement remontent au début des années 2010 et l’ont été en pure perte après les échecs cuisants de Cloudwatt d’Orange et Thalès, d’une part, et de Numergy de SFR et Bull, d’autre part. A l’époque, le gouvernement avait ignoré un nouvel entrant dans le cloud venu du Nord de la France : la société OVH créée à Roubaix par le Français d’origine polonaise Octave Klaba.

Créer des « champions européens du cloud »
Dix ans après, il en va tout autrement puisque la Banque des Territoires – créée en 2018 en tant que filiale d’investissement de la CDC – a annoncé le 11 avril dernier avec Octave Klaba un partenariat pour créer la société Synfonium dans laquelle la CDC participera à hauteur de 25 % du capital. Objectif : « la construction d’un champion européen des services basés sur le cloud ». Rien de moins. « Après avoir investi dans Qwant pour soutenir la croissance d’un moteur de recherche européen respectueux de la vie privée, la Caisse des dépôts s’associe avec un acteur majeur de la tech avec pour ambition de contribuer à l’émergence d’une plateforme européenne grand public, ouverte et sécurisée, proposant divers services collaboratifs et logiciels dans le cloud », a déclaré Antoine Troesch, directeur de l’investissement de la Banque des Territoires. L’Etat français a déjà la tête dans les nuages informatiques, avec notamment un autre projet de « champion européen du cloud » baptisé Numspot, dont la société éponyme – « 100 % française » – a été créée officiellement le 27 janvier dernier et dotée d’un capital de 50 millions d’euros avec la Banque des Territoires (26 %), Docaposte/La Poste (26 %), Dassault Systèmes (19 %) et Continuer la lecture

Assistants vocaux : voici un marché sur lequel l’Autorité de la concurrence devrait s’autosaisir

« Ok Google », « Alexa », « Dis Siri », « Hi Bixby » … Dites-nous si vous êtes sur un marché suffisamment concurrentiel et si vos écosystèmes sont ouverts et interopérables, voire transparents pour vos utilisateurs dont vous traitez les données personnelles ?

C’est à se demander si l’Autorité de la concurrence ne devrait pas s’autosaisir pour mener une enquête sectorielle sur le marché des assistants vocaux et autres agents conversationnels, tant la concentration aux mains d’une poignée d’acteurs – principalement Google avec Google Assistant, Amazon avec Alexa ou encore Apple avec Siri – et l’enfermement des utilisateurs dans ces écosystèmes posent problème. Contacté par Edition Multimédi@, le gendarme de la concurrence nous a répondu : « Nous ne communiquons jamais sur l’existence d’éventuels dossiers à l’instruction ».

Un « oligopole puissant » (rapport CSPLA)
L’Autorité de la concurrence s’est déjà autosaisie sur la publicité en ligne « search » (2010) et « display » (2019), sur les fintechs (2021) ou encore sur le cloud (2022). Pour l’heure, c’est le Conseil supérieur de la propriété littéraire et artistique (CSPLA) qui s’est penché sur ce marché des assistants vocaux à travers un rapport (1) adopté lors de sa séance plénière du 16 décembre dernier. « Ce rapport n’a pas fait, à ma connaissance, l’objet d’une transmission officielle à l’Autorité de la concurrence », nous indique le conseiller d’Etat Olivier Japiot, président du CSPLA. Mais gageons que les sages de la rue de l’Echelle en ont pris connaissance.
Les trois coauteures – deux professeures et une chercheuse – Célia Zolynski (photo de gauche), professeure à l’université Paris-Panthéon Sorbonne, en collaboration avec Karine Favro (photo du milieu), professeure à l’université de Haute-Alsace, et Serena Villata (photo de droite), chercheuse au CNRS – dressent un état des lieux inquiétant au regard du droit de la concurrence et des droits des utilisateurs. Elles pointent du doigt la constitution d’un marché oligopolistique : « Concernant l’accès au marché, l’effet réseau est particulièrement développé sur le marché des assistants vocaux en ce qu’il influence les négociations entre les différents acteurs d’un marché déployé en écosystème. Les acteurs structurants occupent des positions stratégiques en la forme d’oligopole puissant mais surtout, en capacité de faire adhérer les entreprises utilisatrices à leur environnement. Ces acteurs [peuvent] filtrer les contenus, ce qui tient à la nature de moteur de résultat de l’assistant vocal ». Ce n’est pas la première fois qu’une étude considère les assistants vocaux dans une situation d’oligopole, puisque le rapport du CSPLA fait référence à l’analyse de la chercheuse russe Victoriia Noskova, à l’université technologique d’Ilmenau en Allemagne. Publié dans le European Competition Journal le 10 octobre dernier, son article – intitulé « Les assistants vocaux, les gardiens [gatekeepers, dans le texte, ndlr] de la consommation ? Comment les intermédiaires de l’information façonnent la concurrence » – démontre au moins deux choses au regard du règlement européen Digital Markets Act (DMA) : que « les assistants virtuels en tant que gatekeepers de la consommation [contrôleurs d’accès aux contenus, ndlr] devraient être énumérés dans la liste des services de base [services de plateforme essentiels, ndlr] », ce qui a été finalement pris en compte dans la liste des services de plateforme essentiels (core platform services)du DMA (2) ; que « certaines des obligations doivent être adoptées pour s’adapter aux particu-larités des assistants virtuels » (3). Amazon avec Alexa, Google avec Google Assistant ou encore Apple avec Siri ont d’ailleurs rencontré un réel succès mondial grâce à leurs enceintes connectées respectives : Echo pour Amazon, Google Home pour la filiale d’Alphabet ou encore HomePod pour Apple (4). Le CSA et l’Hadopi (devenus depuis l’Arcom) avaient aussi estimé en 2019 – dans leur rapport sur les assistants vocaux et enceintes connectées (5), réalisé en concertation avec l’Autorité de la concurrence, l’Arcep et la Cnil (et cité par le CSPLA) – que « la position d’intermédiaire des exploitants d’assistants vocaux, entre éditeurs et utilisateurs, et leur puissance leur confèrent la possibilité de capter une part importante de la valeur et d’en imposer les conditions de partage (commissions sur les ventes ou sur les recettes publicitaires, niveau de partage des données d’usages, etc.) ».

Lever les restrictions et l’autopréférence
Les trois auteures missionnées par le CSPLA ont en particulier examiné « les points névralgiques qui permettront un accès non discriminatoire et équitable au marché de manière à garantir la liberté de choix de l’utilisateur ». Elles préconisent « une démarche en trois temps » : lever les restrictions liées à « l’autopréférence » des opérateurs d’assistants vocaux qui privilégient leurs propres services ; imposer l’interopérabilité des systèmes et des applications pour assurer le pluralisme et la liberté de choix (désabonnement ou droit de sortie) ; garantir à l’utilisateur un droit d’accès aux données techniques (paramétrage) et aux siennes jusqu’à la portabilité de ses données. @

Charles de Laubier

Epic Games (« Fortnite ») est à la croisée des chemins, entre univers 3D, Blockchain Gaming et… procès

A la Game Developers Conference (GDC), Epic Games – fondé par Tim Sweeney – a présenté les nouveautés de son écosystème et d’Unreal Engine, son moteur de création 3D. L’éditeur du célèbre jeu de tir « Fortnite », aux 236 millions d’utilisateurs, doit aussi payer à la FTC et aux joueurs 520 millions de dollars.

Du 22 au 24 mars à San Francisco, lors de la Game Developers Conference (GDC), Epic Games – l’éditeur de jeu-phénomène « Fortnite » et du moteur de création de jeux et de mondes virtuels Unreal Engine – a encore une fois mobilisé sa communauté de développeurs et de gamers avec des nouveautés et de nouvelles versions (la « 5.2 » d’Unreal Engine et la « Mega » de Fortnite notamment). Il y en a pour tous les goûts : construire des mondes photoréalistes avec Unreal Engine 5.2 ; créer son premier jeu dans Fortnite avec Unreal Editor for Fortnite (UEFN) ; utiliser MetaHuman pour créer des personnages humains très réalistes de toutes les façons imaginables ; concevoir de nouveaux personnages physiques dans UE5 et pouvoir « caresser le chien », … L’écosystème d’Epic en a vu de toutes les couleurs à la GDC (1). Les conférences et sessions étaient aussi retransmises en live sur Twitch (Amazon) et YouTube (Google). « Il y a maintenant sur ordinateur plus de 230 millions d’utilisateurs d’Epic Games Store [la boutique de distribution de jeux, ndlr], soit 36 millions de plus qu’en 2021, ce qui fait un total de 723 comptes multiplateformes Epic », a indiqué le 9 mars dernier la société de Caroline du Nord fondée il y a plus de trente ans et toujours dirigée et contrôlée (à 51 %) par Timothy Sweeney (photo), dénommé Tim.

820 millions de $ dépensés dans « Epic » en 2022
« Les éditeurs et les développeurs ont apporté 626 nouveaux titres de PC dans Epic Games Store en 2022 [dont 99 gratuits, ndlr], ce qui porte notre total à 1.548 jeux. C’est plus que n’importe quelle année précédente. Les joueurs ont dépensé 355 millions de dollars sur des applications tierces [jeux non édités par Epic, ndlr], en hausse de 18 % sur un an. En incluant nos propres jeux, les joueurs ont dépensé 820 millions de dollars en 2022, en baisse de 2 % par rapport à 2021 », s’est aussi félicité Epic Games. L’éditeur de Cary (où il a son siège social) prélève seulement 12 % sur les revenus des titres, aux lieux des 30 % pratiqués en général par Apple, Google ou Steam de Valve. Le vaisseau-amiral maison est Fortnite, le célèbre jeu de tir en 3D dit « à la troisième personne » (2), le personnage du joueur étant visible à l’écran durant la partie. Fortnite est le numéro un mondial des jeux en ligne sur ordinateur et compte plus de 236 millions d’utilisateurs actifs sur le dernier mois, d’après Active Player (3), et près de 40 millions d’heures en streaming sur Twitch.

Retour de Fortnite sur iOS en 2023
Dans le « Top 15 » mondial de 2022 (4), Fortnite arrive devant « Minecraft » de l’éditeur suédois Mojang Studios, que Microsoft a racheté en 2014, « Roblox » de Roblox Corporation, « League of Legends » de Riot Games (5), ou encore « Counter-Strike » de Valve. « Call of Duty » d’Activision Blizzard (en cours de rachat par Microsoft) n’est, lui, qu’à la 12e place. En une heure de temps, ce sont plus de 1,1 million de joueurs qui se retrouvent sur Fortnite. Et ce, en cumulant la fréquentation des trois modes développés chacun sur le même type de jeu (gameplay) et le même moteur de jeu (Unreal Engine) : « Fortnite: Save the World » (jeu pay-to-play coopératif depuis juillet 2017), « Fortnite Battle Royale » (jeu free-toplay de joueur contre joueur depuis septembre 2017) et « Fortnite Creative » (jeu free-to-play de bac-à-sable depuis décembre 2018).
Les trois modes sont monétisés avec la monnaie virtuelle du jeu, « V-Buck », que les gamers peuvent acheter avec de l’argent du monde réel ou bien gagner en remportant des missions. Ces « V-Bucks » peuvent être dépensés pour acheter des boîtes de butin (loot boxes) dans « Save the World » ou des articles cosmétiques dans « Battle Royale ». Quant au meta-game « Creative », où les joueurs construisent des structures sur des îles privées, il est un rival sérieux de Minecraft. La sortie de la version « Creative 2.0 », développée avec UEFN, est enfin disponible depuis le 22 mars (au lieu de fin 2022). Les fameuses loot boxes, sorte de pochettes surprises numériques ou piñatas digitales en forme de lamas, ou « loot llamas », ont valu à Epic Games d’être condamnés aux Etats-Unis par la Federal Trade Commission (FTC) à payer un total de plus d’un demimilliard de dollars : 520 millions de dollars précisément. L’injonction à rembourser les joueurs lésés pour un total de 245 millions de dollars a été définitivement adoptée le 13 mars dernier (6).
La FTC a ainsi condamné Epic Games pour ses pratiques « obscure » dans Fortnite incitant les utilisateurs à effectuer dans le jeu des achats (in-app purchases) non désirés, et notamment les enfants à dépenser des V-Bucks pour ces loot llamas, mais aussi des cosmétiques ou des missions, sans l’autorisation de leurs parents. Auparavant, dans une ordonnance distincte datée du 19 décembre 2022 (7), Epic Games avait déjà accepté de payer une amende de 275 millions de dollars pour avoir enfreint la loi américaine « Coppa » sur la protection de la vie privée en ligne des enfants (Children’s Online Privacy Protection Act). « Epic a utilisé des paramètres par défaut envahissants et des interfaces trompeuses qui ont dupé les utilisateurs de Fortnite, y compris les adolescents et les enfants », a fustigé la présidente de la FTC, Lina Khan, très redoutée des plateformes numériques (8). La société de Tim Sweeney, dont le chinois Tencent est le second actionnaire (à 40 %), doit non seulement supprimer toutes les informations personnelles précédemment recueillies auprès des utilisateurs de Fortnite, mais aussi obtenir désormais le consentement des parents des utilisateurs de moins de 13 ans ou des adolescents utilisateurs (ou de leurs parents) avant de recueillir des données personnelles. Un consentement préalable sera aussi exigé pour permettre les communications vocales et textuelles.
La monnaie virtuelle « V-Buck » est aussi au cœur des deux différends d’Epic Games avec Apple, d’une part, et Google, d’autre part, lesquels prélèvent jusqu’à 30 % de commission – hors-de-prix selon l’éditeur de Fortnite – sur les transactions effectuées dans les jeux téléchargés sur leur App Store. En raison du refus d’Apple et de Google de mettre fin à leur « comportement anticoncurrentiel et illégal », Epic a donné le choix à ses utilisateurs de payer directement avec des V-Bucks et de partager l’économie réalisée avec les joueurs.
En représailles, Apple et Google ont supprimé Fortnite le 13 août 2020 sur respectivement App Store (iOS) et Play Store (Android) – lesquels forment un quasi-duopole (9). L’éditeur de Fortnite est depuis en procès contre les deux géants du Net pour abus de position dominante sur le marché des applications mobiles, ainsi qu’au RoyaumeUni depuis 2021. Mais grâce au Xbox Cloud de Microsoft, Fortnite peut être joué toujours gratuitement sur iPhone/iPad et terminaux Android depuis le 5 mai 2022 : « Aucun abonnement requis, aucune taxe Apple de 30 % », avant lancé Tim Sweeney (10). Il avait rallié à sa cause Spotify, MatchGroup (Tinder) ou encore Deezer au sein de la Coalition for App Fairness (11). Alors que les verdicts en appel sont attendus cette année, le PDG fondateur s’attend – en 2023 – à un retour de Fortnite sur iOS (12).

Blockchain Gaming et métavers
Le studio de Caroline du Nord va aussi se renforcer en 2023 dans le Blockchain Gaming (ou GameFi) en ajoutant dans son Epic Games Store une vingtaine de jeux basés sur la blockchain, au nombre de cinq actuellement (13) et pouvant utiliser des NFT. Un métavers est en outre en préparation avec deux autres de ses actionnaires : Sony (4,9 %) et Kirkbi (3 %), maison mère du danois Lego (14). En revanche, Tim Sweeney a fait part à The Verge de son scepticisme sur une éventuelle version VR (réalité virtuelle) pour Fortnite (15). @

Charles de Laubier

Cookies et consentement des internautes : les leçons à tirer des récentes sanctions de la Cnil

En décembre 2021 et en décembre 2022, la Cnil a sanctionné Google, Facebook, TikTok, Apple, Microsoft et Voodoo d’une amende allant de 3 millions à 90 millions d’euros. Il leur est reproché de ne pas faciliter aux internautes le refus des cookies publicitaires aussi facilement que leur acceptation.

Par Vanessa Bouchara et Florian Viel, cabinet Bouchara Avocats

Pour la seconde année consécutive, le mois de décembre aura été riche en décisions rendues par la Commission nationale de l’informatique et des libertés (Cnil) sur la thématique de la gestion des cookies. Alors que le mois de décembre 2021 voyait le gendarme de la protection des données personnelles et de la vie privée prononcer des sanctions administratives contre Google (1) et Facebook (2), ce sont en décembre 2022 les sociétés TikTok (3), Apple (4), Microsoft (5) et Voodoo (6) qui ont fait à leur tour l’objet de sanctions pour des manquements à loi française « Informatique et Libertés » dans le cadre de la gestion de leurs cookies.

Pas de consentement, pas de cookies
Google a eu une amende de 90 millions d’euros, Facebook de 60 millions d’euros, TikTok de 5 millions d’euros, Apple de 8 millions d’euros, Microsoft de 60 millions d’euros et Voodoo de 3 millions d’euros. Il ressort de toutes ces décisions deux principaux manquements récurrents que tout éditeur de site Internet ou d’application mobile devrait appréhender afin de les éviter.
Comme le rappelle la Cnil dans l’ensemble de ces décisions, « tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : 1° de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; 2° des moyens dont il dispose pour s’y opposer » (7). Se faisant, ces accès ou inscriptions – via l’utilisation de traceurs – ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement. Par exception à ce qui précède, il est prévu deux cas spécifiques dans lesquels certains traceurs bénéficient d’une exemption au consentement : soit lorsque ceux-ci ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique, soit lorsqu’ils sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur (8). Ainsi, afin de déterminer si l’utilisation de cookies nécessite le recueil préalable du consentement de l’abonné ou de l’utilisateur, l’éditeur du site en ligne ou de l’application mobile doit déterminer si l’ensemble des finalités associées à ces cookies sont exemptées ou non de consentement. Comme le souligne expressément la Cnil dans ses décisions à l’encontre de respectivement Apple et de Microsoft, à l’appui de ses lignes directrices du 17 septembre 2020 (9), l’utilisation d’un même traceur pour plusieurs finalités, dont certaines n’entrent pas dans le cadre de ces exemptions, nécessite de recueillir préalablement le consentement des personnes concernées. Sans consentement, l’éditeur du service en ligne devra alors s’abstenir d’utiliser ce cookie pour la finalité non exemptée de consentement.
En effet, en considérant que les éventuelles différentes finalités fonctionnelles et non fonctionnelles d’un même cookie sont indissociables les unes des autres, l’utilisation de cette catégorie de traceurs reviendrait alors à détourner les dispositions de la loi « Informatique et Libertés » puisque le consentement de l’utilisateur ne serait plus jamais sollicité préalablement au dépôt de cookies. Par extension à ce qui précède et comme le remarque la Cnil dans sa décision à l’encontre de la société Voodoo, le refus exprès d’un utilisateur à l’utilisation de cookies pour des finalités non exemptées de consentement se doit d’être respecté par l’éditeur du service concerné, à défaut de quoi ce dernier prive d’effectivité le choix exprimé par l’utilisateur.

Aussi facile d’accepter que de refuser
Depuis l’entrée en application du RGPD, le « consentement » prévu à l’article 82 de la loi « Informatique et Libertés » précité doit s’entendre au sens du règlement général européen sur la protection des données (RGPD), c’est-à-dire qu’il doit être donné de manière libre, spécifique, éclairée et univoque, et se manifester par un acte positif clair. Dans ses décisions prononcées à l’encontre des sociétés Google, Facebook, TikTok et Microsoft, la Cnil rappelle que le considérant 42 du RGPD : « Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ». La Cnil précise par ailleurs que, comme mentionné dans ses lignes directrices et ses recommandations (10) datées du même jour, et confirmées par un arrêt du Conseil d’Etat du 19 juin 2020 (11), il doit être aussi aisé de refuser ou retirer son consentement aux traceurs que de le donner.

Inventivité des éditeurs et « dark pattern »
Le caractère « libre » du consentement implique en effet un choix et un contrôle réel pour les personnes concernées (12). Or, dès lors qu’un éditeur rend le refus d’utilisation de cookies non fonctionnels plus complexe que son acceptation, celui-ci incite l’internaute qui souhaite pouvoir visualiser le site Internet ou utiliser l’application rapidement, à accepter ces cookies en le décourageant à les refuser – viciant ainsi son consentement qui n’est plus libre. Les modalités proposées à l’utilisateur pour manifester son choix ne doivent donc pas être biaisées en faveur du consentement, comme l’indique la Cnil dans sa décision à l’encontre de Microsoft.
Par ailleurs, si le refus de l’utilisateur de consentir aux cookies peut potentiellement se déduire de son silence, c’est à la stricte condition que l’utilisateur en soit pleinement informé, et que l’équilibre entre les modalités d’acceptation et de refus soit respecté. Ainsi, si l’utilisation d’un bouton « tout accepter » est commune sur les bandeaux cookies, cette modalité de recueil du consentement de l’utilisateur ne sera licite que si l’utilisateur dispose d’un bouton « tout refuser » présent au même niveau et sur le même format, afin de ne pas altérer la liberté de son choix. La pratique encore commune des éditeurs de sites web ou d’applications mobiles d’opposer un bouton « tout accepter » à un bouton « paramétrer » ou « personnaliser » (ou équivalent), n’est donc pas licite et constitue un « dark pattern », comme l’indique la Cnil dans ses décisions à l’encontre des sociétés Facebook et Google.
A propos de ces « dark pattern », la délégation de la Cnil – qui a effectué un contrôle en ligne sur le site web « facebook.com » – mentionne d’ailleurs une étude universitaire de 2020 intitulée « Les “dark patterns” au temps du RGPD : récupération des fenêtres de consentement et démonstration de leur influence » (13). Les chercheurs – provenant notamment des universités de Cambridge et du MIT – ont démontré que 93,1 % du panel des internautes confrontés à des bandeaux cookies s’arrêtent au premier niveau et que seule une faible minorité d’entre eux vont au second niveau pour personnaliser ou refuser. Cette étude démontrait également que le fait de reléguer le bouton du refus au second niveau augmentait en moyenne de 23,1 points de pourcentage le taux de consentement aux cookies. Enfin, pour que le consentement de l’internaute soit libre, l’éditeur du site ou de l’application doit également veiller à ce que l’information relative à ses cookies et transmise à l’internaute – avant le recueil de son éventuel consentement – soit complète, visible et mise en évidence. Cette information doit en particulier porter sur les finalités poursuivies par les opérations de dépôt et de lecture des cookies, et sur les moyens dont l’utilisateur dispose pour s’y opposer. Une description générale et approximative des finalités de l’ensemble cookies non fonctionnels déposés, par l’utilisation de termes généraux tels que « améliorer votre expérience sur nos sites web » et « à des fins d’analyse et de marketing », est imprécise et constitue un manquement à la loi « Informatique et Libertés » (14), comme le mentionne la Cnil dans sa décision à l’encontre de TikTok.
Il résulte ainsi de ces six décisions, rendues par la Cnil sur les seuls mois de décembre 2021 et 2022, des rappels de règles bien établies ou en phase de l’être depuis l’entrée en vigueur du RGPD (15) – à savoir depuis le 25 mai 2018. Si ces règles sont claires, leur application n’est toutefois pas toujours l’objectif des éditeurs de sites et d’applications qui font preuve d’inventivité pour limiter la chute du taux de consentement de leur utilisateurs ou abonnés (16) à l’utilisation de cookies non fonctionnels, comme le démontre le Comité européen de la protection des données (CEPD) dans son rapport « Cookie Banner » publié le 18 janvier 2023 (17). Ces éditeurs considèrent en effet que leur intérêt à utiliser des cookies non fonctionnels, en particulier à des fins de publicités ciblées ou analytiques, prévaut sur le respect du consentement de leurs utilisateurs ou abonnés, et par extension acceptent le risque de sanctions administratives et d’actions judiciaires qui en résulte.

Sanctions plus rapides et solutions alternatives
Les modifications de la loi « Informatique et Libertés » et de son décret d’application, intervenues le 24 janvier puis le 8 avril 2022, ont pour ambition de permettre une plus grande souplesse dans le recours aux mises en demeure ou aux sanctions. Si la réforme des procédures correctrices de la Cnil (18) – permettant à celle-ci de prononcer des sanctions plus rapidement – ne sera probablement pas suffisante pour convaincre toutes les entreprises et organisations de changer leurs pratiques, le développement de solutions alternatives aux cookies non exemptés de consentement pourrait l’être. @

* Vanessa Bouchara, avocate et spécialiste en droit
de la propriété intellectuelle, a fondé
le cabinet Bouchara Avocats (www.cabinetbouchara.com).