Neutralité de l’Internet : la FCC pose la question de la régulation des « terminaisons de données »

Publié le 7 juillet 2014 par Charles de Laubier

A la suite de l’annulation partielle, le 14 janvier 2014, des anciennes règles sur la neutralité d’Internet par la Cour d’appel de Washington, la FCC a publié le 15 mai dernier une consultation publique – jusqu’au 10 septembre – sur les nouvelles règles et sanctions qu’elle envisage de mettre en place.

Par Winston Maxwell, avocat associé, Hogan Lovells

Les nouvelles règles obligeraient les fournisseurs d’accès
à Internet (FAI) à informer leurs clients sur les éventuelles pratiques de gestion de réseau qu’ils mettent en oeuvre (1). Cependant, la Federal Communications Commission (FCC) souhaite aller plus loin en matière de transparence. D’une part, elle souhaite imposer aux FAI une obligation d’informer non seulement les internautes en aval, mais également les fournisseurs de contenus en amont sur les performances du réseau. D’autre part, les FAI doivent fournir des informations précises sur le niveau de congestion des réseaux aux heures de pointe.

Non blocage : que pour les sites « légaux »
Enfin, les FAI doivent déclarer toute instance de blocage ou de diminution des débits ainsi que tout accord conclu par les FAI en matière de service prioritaire. La FCC, qui souhaite s’appuyer le plus possible sur les mesures de transparence pour assainir le marché, cherche à accroître ses pouvoirs de sanction en cas de non-respect par les FAI de leurs obligations de transparence. Elle cite l’exemple de la réglementation boursière américaine qui sanctionne lourdement toute erreur ou omission dans les déclarations faites par les sociétés cotées. Les FAI pourraient subir des sanctions similaires en cas de déclaration inexacte.
Ils ne pourront bloquer l’accès à des contenus, services, applications ou terminaux, sauf si le blocage est justifié pour des raisons de « bonne gestion du réseau ».
Comme par le passé, les nouvelles règles permettraient aux FAI de bloquer l’accès à des contenus illicites, car la règle américaine de non blocage ne s’appliquerait qu’à des contenus « légaux ». Ce détail a son importance car cela permet aux FAI de mettre en oeuvre des mesures d’autorégulation pour bloquer l’accès à certains contenus illicites tels que la pédopornographie ou les sites de téléchargement illicite. Dans son examen de la proposition de la Commission européenne sur la neutralité de l’Internet, le Parlement européen a décidé en avril 2014 d’éliminer toute référence à des contenus
« licites ». Selon l’approche des eurodéputés, seul un tribunal pourrait bloquer l’accès
à un site illicite. Les FAI ne pourraient pas le faire de leur propre initiative. La position du Parlement européen sur ce point sera probablement discutée dans le cadre des négociations entre le Parlement et le Conseil européen. En tout cas, aux Etats-Unis,
ce point n’a jamais donné lieu à débat : les anciennes règles de la FCC, comme les nouvelles, permettent de bloquer l’accès à des contenus « illicites ». La règle interdisant les mesures de blocage serait assouplie pour les opérateurs mobiles, lesquels pourraient bloquer l’accès à certaines applications, ou à certains services ou terminaux, mais ne pourraient pas bloquer l’accès à des sites web licites, ni à des applications de voix sur IP qui seraient en concurrence avec les services voix de l’opérateur mobile. Comme par le passé, la FCC justifie cette différence de traitement en raison du niveau de concurrence plus élevé sur le marché du haut débit mobile, et en raison de l’évolution technologique rapide du secteur. Elle pose la question cependant de la pertinence de cette différence de traitement entre les opérateurs fixes et mobiles. En Europe, cette différence n’existe pas. Les règles européennes en matière de neutralité de l’Internet s’appliquent de la même manière aux opérateurs fixes et mobiles (2).

La notion de « service spécialisé »
Les nouvelles règles de la FCC interdisent toute pratique commerciale déloyale.
Avant la décision de la Cour d’appel dans l’affaire Verizon contre la FCC, cette dernière imposait aux opérateurs fixes une règle de non-discrimination. Cette règle de non-discrimination a été annulée en appel. Pour contourner l’obstacle, la FCC abandonne l’idée d’une règle de non-discrimination et envisage une norme plus souple qui interdirait toute pratique « déloyale ». La définition d’une pratique déloyale serait appréciée au cas par cas par la FCC. Cette approche ressemble à celle utilisée par l’autorité américaine de protection des consommateurs, la FTC (3), qui s’appuie sur
une règle similaire – l’interdiction de toute pratique déloyale – pour sanctionner des pratiques mettant en péril la protection des données personnelles. Contrairement aux propositions européennes, les nouvelles règles de la FCC ne tenteraient pas de définir la notion de « service spécialisé ».Les textes européens, surtout après les amendements votés au Parlement européen en avril, tentent d’encadrer ce concept
de « services spécialisés » afin que ces services ne viennent pas remplacer l’accès à l’Internet classique. Même si les services spécialisés resteraient exclus des nouvelles règles de la FCC, cette dernière ne tente pas de créer une définition figée de ce type
de service.

Terminaison data versus neutralité ?
Les nouvelles règles proposées ne s’appliqueraient qu’à l’intérieur du réseau du FAI en aval, à savoir le FAI ayant la relation avec l’abonné final. Les règles ne s’appliqueraient pas aux relations entre le FAI et d’autres opérateurs en amont qui acheminent du trafic Internet sur le marché de gros. Or, c’est précisément là où des problèmes commencent à émerger. Il devient de plus en plus fréquent, notamment pour les fournisseurs de contenu vidéo, de faire appel à des prestataires spécialisés dans l’optimisation du trafic. Ces prestataires, appelés CDN (Content Delivery Networks), souhaitent s’interconnecter directement avec les FAI en aval, idéalement dans une relation pair-à-pair (peering) non payante. Les relations pair-à-pair non payantes sont la norme en matière d’échange de trafic Internet entre opérateurs dits de « niveau 1 » (Tier 1) sur
le marché de gros. Ces échanges de trafic ne sont pas régulés car le marché est considéré comme concurrentiel (4).
Ayant établi une relation de peering avec France Télécom, l’opérateur Cogent a souhaité accroître la capacité des liens qu’il avait en place avec l’opérateur français. Celui-ci a demandé un paiement pour rémunérer les déséquilibres de trafic en sa défaveur, ce qui aurait eu pour effet de transformer la relation en une relation de peering payant. La Cour d’appel de Paris a confirmé le 19 décembre 2013 que France Télécom était en droit de demander un paiement supplémentaire en raison des déséquilibres de trafic, à condition que France Télécom applique cette politique de manière non discriminatoire à l’égard de tous les opérateurs. Aux Etats-Unis, Netflix a conclu un accord avec Comcast qui inclut un aspect payant. Les détails de cet accord ne sont pas publics. Cependant, la FCC s’y intéresse et a commencé une mission de collecte d’informations pour mieux comprendre ce marché jusqu’à présent non régulé. Dans sa consultation publique, la FCC cite une proposition du professeur Tim Wu (5), l’un des premiers défenseurs de la neutralité de l’Internet. Selon lui, il faut diviser une communication Internet en deux parties : d’abord, l’internaute appelle le serveur du fournisseur de contenu ; ensuite, le fournisseur de contenu répond à l’appel en envoyant les données demandées par l’internaute. Pour Tim Wu, cette deuxième communication pourrait être régulée par la FCC comme une prestation classique d’acheminement d’appels. A ce titre, la FCC pourrait – et devrait selon le professeur – imposer des obligations de non-discrimination. Or, c’est précisément ce que proposent France Télécom et les membres de l’association ETNO (6) depuis plusieurs années.
Ces opérateurs télécoms historiques européens militent pour le droit de facturer une prestation de terminaison de données similaire à la prestation de terminaison d’appels téléphonique. Cette prestation serait régulée, et les opérateurs seraient en droit d’appliquer un tarif non-discriminatoire et orienté vers les coûts. Les grands opérateurs de l’Internet ont combattu cette proposition qui, à leurs yeux, permettrait à chaque FAI d’ériger des barrières de péage sur les autoroutes de l’Internet. Les fournisseurs de contenu contestent l’idée même que les FAI en bout de chaîne leur fournissent un service d’acheminement. Selon eux, la direction des flux est sans incidence sur l’identité du bénéficiaire du service. Le bénéficiaire du service reste toujours le client
du FAI, à savoir l’internaute en bout de chaîne qui demande l’accès à des contenus. L’ironie est que le professeur Wu propose une solution qui, selon beaucoup, irait justement à l’encontre de la neutralité du Net !
La question de la régulation de ces accords de peering bute sur une question fondamentale à laquelle personne, pour l’instant, ne détient une réponse définitive : dans un échange de trafic Internet sur le marché de gros, qui est le vrai bénéficiaire du service ? Est-ce que la direction des flux de trafics a une incidence sur cette question ? La théorie défendue par les opérateurs européens au sein de l’ETNO est que l’envoyeur des flux est le bénéficiaire du service et devrait payer les coûts associés, selon le principe « sending party pays » (7).
Les fournisseurs de contenus contestent cette vision, et soutiennent au contraire que
le vrai bénéficiaire reste l’abonné du FAI en bout de chaîne qui demande l’accès aux contenus.

La prudence devrait s’imposer
La consultation publique de la FCC, laquelle reçoit du 15 juillet au 10 septembre 2014 les commentaires à ses propositions (8), sera l’occasion de débattre ce point délicat.
Le régulateur américain restera probablement prudent, car ce marché est en forte évolution. @

Neutralité du Net : un règlement européen suffisant ?

Publié le 21 avril 2014 par Charles de Laubier

En fait. Le 7 avril, le Groupement des éditeurs de contenus et services en ligne (Geste) s’est « réjouit des orientations adoptées par le Parlement européen en faveur d’un Internet libre et ouvert », après le vote en première lecture du projet
de règlement Marché unique européen des télécoms.

En clair. Ce projet de règlement européen, adopté le 3 avril en première lecture par les eurodéputés consacre explicitement – et pour la première fois – la « neutralité d’Internet » dans un texte législatif qui la définit comme « le principe selon lequel l’ensemble du trafic Internet est traité de façon égale, sans discrimination, limitation ni interférence, indépendamment de l’expéditeur, du destinataire, du type, du contenu, de l’appareil,
du service ou de l’application ». Mais le règlement entérine dans le même temps les pratiques des opérateurs télécoms et des fournisseurs d’accès à Internet (FAI) en termes de « gestion de trafic » en cas de « congestion du réseau » et dans des
« circonstances exceptionnelles » (décision de justice, sûreté du réseau, congestion
de trafic, …), ou de « services spécialisés » tels que la diffusion audiovisuelle de type IPTV (1), les services de vidéoconférence ou les applications de e-santé, voire des communications M2M (2).

Est-ce la porte ouverte à toutes les dérives et l’amorce d’un Internet à deux vitesses ?
Le projet de règlement tente de rassurer : « Ces services ne sont proposés que si la capacité du réseau est suffisante pour les fournir en plus des services d’accès à Internet et s’ils ne portent pas atteinte à la disponibilité ou à la qualité des services d’accès à Internet. Les fournisseurs proposant un accès à Internet aux utilisateurs finaux n’opèrent pas de discrimination entre des services et applications fonctionnellement ». Il faut espérer, comme le Geste, que ces garde-fous seront suffisants pour éviter tout abus (discrimination, restriction ou interférence).
Après le vote du Parlement européen, le Conseil de l’UE devra adopter une position commune sur le texte proposé par la Commission européenne. Ensuite, une deuxième lecture commencera devant le Parlement européen élu en mai prochain, probablement
en 2015. « D’ici là, la Commission européenne aura changé. Beaucoup d’incertitudes donc pour ce texte controversé », ont prévenu Winston Maxwell et Nicolas Curien, respectivement avocat et économiste, dans un article publié dans Edition Multimédi@ (n°99, p. 8 et 9).
Quant au Geste, il estime que « l’extension du principe de neutralité d’Internet aux plates-formes constitue la prochaine étape ». Car la neutralité du Net s’arrête là où commencent les iTunes, Google Play, Amazon et autres walled gardens… @

Neutralité du Net : les Etats-Unis et l’Europe divergent sur l’obligation de non-discrimination

Publié le 7 avril 2014 par Charles de Laubier

Le Parlement européen a adopté le 3 avril sa position sur le nouveau règlement du marché unique des télécoms, lequel inquiète les défenseurs de la neutralité du Net menacé d’être à deux vitesses. Pourtant, l’Europe va plus loin que les Etats-Unis dans l’obligation de non-discrimination.

Par Winston Maxwell, cabinet Hogan Lovells, et Nicolas Curien, membre de l’Académie des technologies

La cour fédérale de Washington, DC – dans sa décision datée du 14 janvier 2014 – a annulé en partie le règlement de la Federal Communications Commission (FCC) en matière de neutralité d’Internet. Les motifs de l’annulation concernent surtout l’incohérence dans le raisonnement de la FCC par rapport à ses propres décisions antérieures.
La cour a estimé que la Commission fédérale des communications des Etats-Unis
ne pouvait pas à la fois dire que les fournisseurs d’accès à Internet (FAI) ne sont pas considérés comme des « common carriers » en droit américain, et en même temps imposer à ces FAI des obligations caractéristiques d’un common carrier.

Réglementer la gestion de trafic du Net
Le concept de common carrier correspond approximativement au concept de service public en France (1). Aux Etats-Unis, les services de télécommunications de base, et notamment les services téléphoniques, sont classifiés comme services common carrier.
Lors de l’émergence de l’Internet, la FCC s’est bien gardée de donner une classification
à ce nouveau service, par crainte de freiner l’innovation.
Ainsi, elle a indiqué à plusieurs reprises que les services d’accès à Internet n’étaient surtout pas des services common carrier. Le problème est que dans sa décision sur
la neutralité d’Internet, la FCC a imposé aux FAI une obligation de non-discrimination similaire à l’obligation qui pèse sur les common carrier.
La FCC a estimé que ce n’était pas un problème, car elle avait la flexibilité pour imposer cette obligation au titre d’une autre disposition de la loi américaine, le Telecommunications Act de 1996, et qu’il n’y avait donc aucune contradiction pour dire à la fois qu’un FAI n’est pas un common carrier, et imposer une obligation de non-discrimination. La cour fédérale n’a pas été de cet avis. Selon elle, la FCC est libre de changer sa doctrine, par exemple en indiquant que compte tenu des changements intervenus depuis ses premières décisions, il convenait maintenant de caractériser les FAI comme des common carriers et les réguler en tant que tels. La FCC pouvait aussi expliquer pourquoi une autre disposition de la loi – l’article 706 – pouvait justifier une obligation de non-discrimination. En l’espèce, le raisonnement fourni par la FCC n’était pas suffisant pour compenser l’apparente contradiction dans son raisonnement.
Sur le fond, la cour ne critique pas l’opportunité des règles de neutralité. Elle approuve d’ailleurs les dispositions du règlement de la FCC qui traite de la transparence en matière de gestion du trafic. La cour estime que la FCC a suffisamment démontré le besoin d’adopter une régulation de ce type afin de préserver l’écosystème de l’Internet. Un juge de la cour a écrit un avis discordant. Il est d’accord pour dire que la FCC a commis une erreur manifeste en imposant des obligations de non-discrimination, tout en soutenant que les FAI ne sont pas des common carriers. Mais en plus, ce juge estime que la FCC n’a pas suffisamment montré la nécessité de réguler la neutralité d’Internet. Il adopte une approche plus économique : selon lui, l’obligation de non-discrimination est l’équivalent d’une régulation des prix qui ne serait justifiée qu’en présence d’un opérateur puissant sur le marché. Or, la FCC n’a jamais essayé de démontrer que les FAI en question disposaient d’une puissance de marché. De plus,
la Commission fédérale des communications n’a même pas tenté de définir le marché pertinent. En théorie, si le marché est concurrentiel, les clients finaux changeront d’opérateur si la qualité de service n’est pas suffisante. En théorie donc, si un FAI bloque ou ralentit certains contenus, les forces de la concurrence sanctionneront l’opérateur pour cette mauvaise conduite. Nul besoin de réguler dans ce cas.

Mobile aux US : la concurrence suffit
La FCC applique implicitement cet argument puisqu’elle n’a pas imposé une obligation de non-discrimination aux opérateurs mobiles américains, ce marché étant plus concurrentiel selon elle. Même dans un marché comportant plusieurs FAI concurrents,
il peut exister des freins au changement, réduisant de fait le choix des consommateurs. Ces freins doivent être étudiés, et éliminés si possible afin que la concurrence puisse jouer son rôle de régulateur. Si le marché n’est pas concurrentiel, l’opérateur disposera dans ce cas d’une puissance sur le marché qui justifierait la mise en place d’une régulation ex ante. Cependant, le juge discordant estime que la FCC n’a pas essayé de traiter le problème de puissance sur le marché de manière sérieuse et s’est contentée d’affirmer que, dans certaines parties des Etats-Unis, les consommateurs avaient peu de choix en matière de FAI.
Et qu’en plus, il existait des freins au changement. Selon ce juge, il aurait fallu examiner s’il existe une puissance sur le marché qui justifierait l’imposition d’une obligation de non-discrimination.

Réguler ou pas : le cas Cogent-Orange
L’avis discordant du juge a mis à nu quelques-uns des débats de fond sur l’opportunité de réguler les relations économiques entre les FAI, d’un côté, et les fournisseurs de contenus et d’applications en amont, de l’autre. Cela nous oblige à demander exactement pourquoi une régulation est nécessaire. Est-ce que c’est parce que les FAI disposent d’une puissance sur le marché ? Si c’est le cas, de quel marché parle-t-on exactement ?
Et pourquoi le droit de la concurrence ne serait-t-il pas suffisant pour traiter la question ? La Cour d’appel de Paris, qui a examiné l’an dernier la question du marché pertinent dans l’affaire France Télécom contre Cogent, a estimé dans son arrêt (3) du 19 décembre 2013 qu’une connexion directe en peering avec France Télécom n’était pas une infrastructure essentielle, puisqu’il existait d’autres moyens commerciaux, via d’autres prestataires, pour atteindre les abonnés de France Télécom. De plus, la cour parisienne a conclu que même si France Télécom occupait une position dominante, elle n’avait commis aucun abus en appliquant une politique de peering payante à l’égard de Cogent, puisque cette politique n’était pas discriminatoire.
Un autre argument sérieux pour une régulation de la neutralité de l’Internet concerne les dommages collatéraux que des accords commerciaux pourraient provoquer pour l’écosystème d’Internet dans son ensemble (4). En termes économiques, il s’agirait
d’« externalités négatives », à savoir des coûts pour l’écosystème d’Internet qui ne
sont pas supportés par les parties contractantes. Cet argument s’appuie sur le principe qu’Internet est un bien public, comme un parc public. Si les acteurs sont entièrement libres de conclure des accords commerciaux concernant la gestion des ressources dans le parc, chacun agira dans son intérêt propre, et l’ensemble de ces activités
« égoïstes » finira par détruire le parc. Il s’agit de la « tragedy of commons ». Ce point
a récemment été souligné dans un blog (5) par Reed Hastings, CEO de Netflix.
La majorité de la cour fédérale estime que la FCC a démontré l’existence de ces externalités et que cela constituait une justification de plus pour une intervention règlementaire. Le juge discordant n’est pas de cet avis. Là encore, il estime que la FCC
a seulement mentionné qu’il pouvait exister ce genre de dommage collatéral pour l’écosystème d’Internet, mais que l’agence n’a fait aucune démonstration sérieuse
pour étayer cette thèse. @

FOCUS

Futur règlement européen : plus loin que la FCC ?
La nouvelle proposition de règlement européen « Marché unique européen des télécommunications », qui a été adoptée par le Parlement européen le 3 avril en première lecture et qui doit encore être examinée par le Conseil de l’Union européenne (6), impose une obligation de non-discrimination – pas de blocages ni de ralentissements de services Internet, sauf « cas exceptionnels » – sur l’ensemble des fournisseurs d’accès à Internet (FAI). Elle va même plus loin que le règlement de la FCC car l’obligation s’appliquerait même aux opérateurs mobiles. Dans la philosophie de régulation européenne, le remède de nondiscrimination est normalement réservé aux opérateurs économiquement puissants. Cette approche traditionnelle rejoint l’approche discordante du juge fédéral (lire ci-dessus). Dans sa proposition, la Commission européenne ne s’attarde pas sur cette question. Elle cite une étude du BEREC (7) sur les pratiques des FAI et la divergence dans les approches européennes, pour démontrer la nécessité d’une nouvelle réglementation. Cependant, les questions de fond soulevées par les juges américains dans la décision Verizon contre la FCC ne sont pas traitées, même dans l’étude d’impact. Les défenseurs de la neutralité du Net attaquent les dispositions du règlement européen en ce qui concerne les « services spécialisés » (VOD, cloud, …), lesquels échappent aux règles sur la neutralité. Ils plaident pour l’existence « d’un seul Internet ». Les opposants au texte de la Commission européenne souhaitent également éliminer la possibilité pour les FAI d’effectuer des mesures de filtrage, notamment à l’égard des sites de téléchargement illégaux.
Le souvenir de l’accord ACTA(3) et celui des vifs débats à propos du dispositif Hadopi en France sont encore frais dans les mémoires. @

Le Web fête ses 25 ans, mais redevient-il une utopie ?

Publié le 24 mars 2014 par Charles de Laubier

En fait. Le 12 mars, le World Wide Web a fêté ses 25 ans. C’est en effet le 12 mars 1989 que le Britannique Tim Berners-Lee – travaillant au Cern (ex-Conseil européen pour la recherche nucléaire) – publie un article fondateur (1) du Web. Mais les principes de gratuité et de neutralité relèvent désormais du passé.

En clair. « Nous avons besoin d’une constitution mondiale – une charte. A moins d’avoir un Internet libre, neutre, sur lequel nous pouvons nous appuyer sans nous demander ce qui se passe en coulisse, nous ne pouvons pas avoir de gouvernement libre, de bonne démocratie, de bon système de santé, des communautés connectées et la diversité des cultures. Ce n’est pas naïf de croire qu’on peut avoir cela, mais c’est naïf de croire qu’on peut rester les bras croisés et l’obtenir ». Ainsi s’est exprimé Tim Berners-Lee le 12 mars dernier dans le quotidien britannique The Guardian, à l’occasion du lancement de la campagne en ligne – Webwewant.org – auprès des internautes du monde entier. Aujourd’hui, selon les statistiques de Netcraft, à mars 2014, le Web compte près de 920 millions de sites – dont un peu moins de 180 millions d’actifs.

Trois ans plus tôt, toujours dans le Guardian qui organisait le 16 mars 2011 un débat sur la neutralité du Net, il déclarait : « Chaque consommateur devrait avoir accès à
tous les services, et chaque service devrait avoir accès à tous les consommateurs…
Si le Web a grandi si vite, c’est justement parce que nous avions deux marchés indépendants, l’un pour la connexion au réseau, l’autre pour les contenus et les applications. Les meilleures pratiques devraient aussi inclurent la neutralité de l’Internet ». Il mettait en garde les fournisseurs d’accès à Internet (FAI) tentés d’instaurer un Internet à deux vitesses (2).

Six mois auparavant, il s’en prenait cette fois aux lois instaurant la coupure d’accès à Internet, telles que la loi Hadopi en France, qu’il a considéré comme « nouveau fléau » :
« Qu’on puisse suspendre l’accès à l’Internet à une famille française parce que l’un des enfants a téléchargé illégalement un contenu, sans jugement, je crois que c’est une punition inopportune. (…) Si l’accès m’est coupé, pour une raison ou une autre, en ce
qui me concerne ma vie sociale serait totalement dégradée ». Plus récemment, le 19 avril 2012 à Lyon, celui qui est devenu président du W3C et professeur au Massachusetts Institute of Technology (MIT) a à nouveau critiqué la loi Hadopi : « Couper l’accès à Internet de tout un foyer pour téléchargement illégal d’un individu est une punition disproportionnée ». Il semble avoir été écouté : la coupure de l’accès a été supprimée
par décret du 8 juillet 2013. @

Google condamné par la Cnil : une insécurité juridique pour les entreprises françaises

Publié le 27 janvier 2014 par Charles de Laubier

Alors que Google n’a pas fait appel dans d’autres pays qui l’ont condamné pour non respect de la protection des données (Pays-Bas, Espagne), il a en revanche contesté la décision de la Cnil devant le Conseil d’Etat. Avec cette dernière, les entreprises françaises pourraient être les victimes collatérales.

Par Etienne Drouard, avocat associé, cabinet K&L Gates LLP.

Le 3 janvier dernier, la Cnil (1) a prononcé une sanction pécuniaire de 150.000 euros à l’encontre de la société américaine Google Inc. Il s’agit de la plus forte amende prononcée jusque-là par l’autorité indépendante française,
qui estime que les nouvelles règles de confidentialité de Google ne sont pas conformes à la loi « Informatique et Libertés » du 6 janvier 1978.
En fusionnant les différentes règles de confidentialité applicables à une soixantaine de ses services (Google Search, YouTube, Gmail, Picasa, Google Drive, Google Docs, Google Maps, …), Google applique une seule politique de confidentialité depuis mars 2012.

Les quatre griefs faits à Google
Si la Cnil comprend cette volonté de simplification, elle estime toutefois que Google ne respecte pas les quatre exigences posées par la loi « Informatique et Libertés ». A savoir que le géant du Net :
• n’informerait pas suffisamment ses utilisateurs des conditions et finalités de traitement de leurs données personnelles, de sorte qu’ils ne sont pas en mesure d’exercer leurs droits ;
• ne respecterait pas l’obligation de recueil du consentement des utilisateurs préalablement au dépôt de cookies sur leurs terminaux ;
• ne fixerait pas de durées de conservation pour l’ensemble des données qu’elle traite ;
• s’autoriserait, sans base légale, à combiner toutes les données qu’elle détient sur ses utilisateurs, à travers l’ensemble de ses services.

La Cnil a également enjoint à Google de publier un communiqué (voir zoom) relatif à cette décision sur le site Google.fr pendant 48 heures, sous huit jours à compter de la notification de la décision. Il est important, pour comprendre le raisonnement suivi par la Cnil, d’analyser cette délibération indépendamment de la société à laquelle elle se rapporte. La Cnil justifie l’application de la loi française au motif que la société américaine Google Inc tire des bénéfices commerciaux de ses activités publicitaires en France. Ce critère économique semblait logique. Cependant, ce raisonnement ne repose pas sur les règles de protection des données permettant
de désigner la loi applicable. En effet, la loi « Informatique et Libertés » a vocation à s’appliquer aux sociétés qui sont établies en France ou qui collectent des données à caractère personnel, en recourant à des moyens techniques situés en France. Sur ce point, la Cnil voulait se déclarer compétente, coûte que coûte, mais sa démonstration de l’application de la loi française à Google Inc paraît très fragile ou, à tout le moins, laborieuse.

Après une phase de rumeurs diffusées dans les médias, un porte-parole de Google a confirmé le 15 janvier dernier, auprès de l’AFP, avoir fait appel de la décision de la Cnil devant le Conseil d’Etat – en référé – pour contester l’injonction de devoir publier durant deux jours la condamnation prononcée par la Cnil, puis au fond. Selon Le Figaro, Google a déposé le 15 janvier justement un recours en référé devant le Conseil d’Etat, ainsi qu’un recours sur le fond. Ce recours en référé étant suspensif, Google n’aurait pas à faire état de cette condamnation sur son moteur de recherches. Ce qu’il aurait dû mettre en ligne à partir du 16 janvier.
Les condamnations récentes prononcées à l’encontre de Google dans d’autres pays européens, n’ont pas fait l’objet d’appel, Google se contentant de payer une amende qui, au regard de sa taille, est symbolique. Ainsi, le 19 décembre 2013 en Espagne, Google écopait de trois amendes simultanées pour un montant total de 900.000 euros (3). Fin novembre 2013, l’autorité néerlandaise rendait des conclusions similaires à l’encontre du géant du Net.

Autant de règles que de services ?
En tout état de cause, quelles peuvent être pour les sociétés françaises les leçons
à tirer de la condamnation prononcée par la Cnil ? Elles sont au nombre de deux :
• Lorsqu’une entreprise fournit divers services régis par autant de conditions d’utilisation, mais obéissant à une seule privacy policy, la Cnil semble estimer que
la juxtaposition des diverses finalités d’utilisation des données, serait illicite. Selon la Cnil, les utilisateurs devraient pouvoir accepter des finalités propres au service qu’ils souscrivent, et rejeter d’autres finalités pour les services qu’ils n’ont pas encore utilisés. Si les entreprises françaises devaient tirer les conséquences d’une telle opinion, elles devraient élaborer autant de privacy policy qu’elles ont de services. Pourtant, aucune disposition française ou européenne de protection des données à caractère personnel, n’exige d’une même entreprise qu’elle s’interdise l’usage croisé des données de ses clients ayant souscrit tel ou tel service qu’elle fournit.

Le « tout ou rien » critiqué par la Cnil
• D’après la Cnil, Google s’autoriserait, « sans base légale », à combiner toutes les données qu’elle détient sur ses utilisateurs, à travers l’ensemble de ses services. Or, l’exigence d’une « base légale » formulée par la Cnil ne repose sur aucun fondement juridique. En filigrane, la Cnil conteste le souhait d’une fusion simplificatrice des finalités
de traitement des données portées à la connaissance des personnes. En l’espèce, Google a remplacé des centaines de pages de privacy policies cumulées pour 65 services différents, en un document transversal de seize pages (4) (*) (**) propre à l’ensemble des services fournis par le groupe Google et une vidéo d’information. Selon la Cnil, simplifier à outrance reviendrait à désinformer et favoriserait une logique du
« tout ou rien ».
Paradoxalement, la Cnil, avec ses homologues européens du groupe dit « G29 » (5), critique l’inefficacité des explications trop longues qui dissuaderaient les utilisateurs
de prendre connaissance du fonctionnement des services et de leurs droits. Ainsi, par exemple, en matière de cookies, les autorités de protection des données en Europe,
dont la Cnil en France, ont travaillé à réduire les textes d’information des personnes et
à simplifier à outrance la description des finalités d’utilisation des cookies. Poursuivant une logique simpliste, ces autorités tendent à suggérer une distinction binaire entre les finalités liées exclusivement à la fourniture d’un service et celles – qui seraient dangereuses et soumises à l’autorisation préalable des personnes – liées à la publicité. En conclusion, il ne s’agit pas, ici, de prendre une position pour ou contre la Cnil, ni pour ou contre Google. Il s’agit essentiellement de relever qu’en extrapolant le raisonnement intellectuel suivi par la Cnil pour condamner Google, de nombreuses entreprises françaises pourraient tomber sous le coup d’une condamnation pécuniaire au motif qu’elles fournissent plusieurs types de services régis par une privacy policy commune, réalisant une synthèse dans un souci de simplification.
Enfin, l’exigence d’une publication d’un communiqué sur le site Google.fr – à savoir sur la page d’accueil française du célèbre moteur de recherche – révèle que la Cnil, elle-même, poursuit une logique de communication, plutôt que de rigueur juridique. En effet, en droit français, la publication d’une condamnation est une peine complémentaire qui doit être expressément prévue par la loi. Une telle obligation de publication n’est pas prévue par la loi « Informatique et libertés ». La logique de communication et de polémique médiatique entre Google et la Cnil ne présente aucun intérêt pour les entreprises françaises. En revanche, si l’appel formé par Google devant le Conseil d’Etat ne permettait d’approfondir le raisonnement suivi par la Cnil et, si cet appel était rejeté sur des motifs de fond confortant ce raisonnement, la sécurité juridique des entreprises françaises pourrait s’en trouver affaiblie. Quoi qu’on pense de la puissance hégémonique de Google et des risques internationaux qui pèsent sur la vie privée des personnes, on ne saurait se réjouir d’une telle insécurité juridique. Gageons que le Conseil d’Etat ne sera pas aveuglé par la cible de la Cnil (6), faute de quoi les entreprises françaises pourraient, à l’avenir, suivre le chemin de condamnations ou devoir bouleverser leurs modèles contractuels et économiques, de crainte de se voir appliquer une « jurisprudence Google » qui ne leur serait pas aussi indolore qu’elle le serait pour le géant américain. @

ZOOM

Ce que Google n’a pas (encore) publié
« Communiqué : la formation restreinte de la Commission nationale de l’informatique
et des libertés a condamné la société Google à 150.000 euros d’amende pour manquements aux règles de protection des données personnelles consacrées par
la loi ‘’Informatique et libertés’’. Décision accessible à l’adresse suivant : http://www.cnil.fr/linstitution/missions/sanctionner/Google/ ». Ce texte que la Cnil
a demandé au géant du Net de publier sur Google.fr ne l’a pas encore été (à la date
où nous bouclons ce numéro).
La délibération n°2013-420, prononçant une sanction pécuniaire à l’encontre de Google, a aussi « ordonné » à ce dernier la publication durant 48 heures de ce texte en le justifiant, « compte tenu du caractère massif des données collectées par la société [Google], du nombre important et indéterminé des personnes concernées, qui pour nombre d’entre elles ne sont pas en mesure de s’y opposer ni même d’en être informées ». @

Edition Multimédi@

Economie numérique et Nouveaux médias

Archives par mot-clé : Neutralité de l’Internet