Livre : l’Arcep veut ménager libraires et Amazon

En fait. Le 27 mai, se termine la consultation publique de l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse (Arcep) sur sa proposition de « tarif minimum » pour la livraison de livres vendus en e-commerce. Fini les 0,01 euro TTC d’Amazon ? Pas vraiment.

En clair. Etant déjà régulateur des télécoms et, depuis octobre 2019, de la distribution de la presse, l’Arcep est en plus depuis décembre 2021 celui des tarifs d’expédition des livres. A ce titre, elle va proposer aux ministres de la Culture et de l’Economie « un montant minimal de tarification » de livraison du livre qui sera rendu obligatoire par arrêté aux plateformes de e-commerce – Amazon en tête – et aux librairies.
Le but de la loi « Economie du livre » du 30 décembre 2021 (1) à l’origine de ce projet est d’empêcher la pratique de livraison de livres à 0,01 euro TTC, initiée par le géant américain du e-commerce, avec lequel les librairies physiques ne peuvent rivaliser. Dans sa proposition de « tarif minimum pour la livraison des livres » soumise à consultation publique jusqu’au 27 mai (2), l’Arcep ménage la chèvre (Amazon) et le chou (le libraire) en avançant deux prix de livraison de livres. Le premier – « le tarif minimum d’expédition des livres neufs » – est proposé à « 3 euros TTC ». Ce qui devrait être accueilli favorablement par les librairies. Le second – « le tarif minimum d’envoi des livres à partir d’un seuil d’achat de livres neufs » – devrait rencontrer en revanche plus d’opposition, étant proposé à « 0,01 euro TTC » à partir d’un seuil « aux alentours de 25 euros d’achat ». Contactée par Edition Multimédi@, la sénatrice (LR) Laure Darcos à l’origine de la loi « Economie du livre » se dit « totalement défavorable à cette proposition ». Selon elle, « le point d’équilibre consisterait, d’une part à fixer un tarif minimal de livraison entre 3 euros et 4,50 euros, d’autre part à fixer le seuil de déclenchement de la quasi-gratuité des frais de port à 50 ou 60 euros ». L’Arcep justifie ce « seuil de quasi-gratuité » par le fait qu’il est déjà pratiqué par les acteurs du e-commerce pour inciter les acheteurs à « commander plus de livres ».
Ces deux tarifs s’appliqueront aussi pour les abonnements de type Amazon Prime ou Fnac+. L’Arcep prévoit en outre 0 euro de frais de port « si le livre est retiré dans un commerce de vente au détail de livres » (3). Le gouvernement pourrait notifier cet été le projet d’arrêté à la Commission européenne. S’il y avait feu vert au bout de trois mois de « statu quo », l’arrêté pourra être publié au J.O. et les vendeurs de livres auront six mois pour se mettre en conformité, soit pas avant 2023. @

Streaming musical : ce que prévoit l’accord du 12 mai sur la rémunération minimale des artistes

Signé le 12 mai 2022 par les organisations syndicales des producteurs de musique enregistrée, d’une part, et celles des artistes-interprètes, d’autre part, l’« accord historique » garantit une rémunération minimale pour ces derniers lors de la diffusion de leurs musiques en streaming.

La signature de l’accord pour la rémunération des artistes-interprètes dont la musique est diffusée en streaming, qui s’est déroulée le jeudi 12 mai au ministère de la Culture et sous l’égide du médiateur de la musique Jean-Philippe Mochon (photo), est à marquer d’une pierre blanche. Il fixe une garantie de rémunération minimale pour les artistes-interprètes dont les œuvres musicales sont diffusées « en flux » (comprenez en streaming). Mais, selon nos informations auprès du médiateur de la musique, il reste encore à se mettre d’accord sur la rémunération spécifique des musiciens d’orchestre, notamment dans la musique classique.

Deux arrêtés ministériels en vue
Quoi qu’il en soit, l’accord est considéré comme « historique ». Les signataires « à l’unanimité » de ce document d’une quinzaine de pages – que Edition Multimédi@ s’est procuré (1) – sont : les syndicats d’employeurs et producteurs de musiques – Syndicat national de l’édition phonographique (Snep), Union des producteurs phonographiques français indépendants (UPFI) et Syndicat des musiques actuelles (SMA) ; les organismes de gestion collective des droits d’auteur des artistes-interprètes – Société civile des producteurs phonographiques (SCPP), Société civile des producteurs de phonogrammes en France (SPPF), Administration des droits des artistes et musiciens interprètes (Adami) et Société de gestion des droits des artistes interprètes (Spedidam) ; les syndicats de salariés – Snam-CGT, SFACGT, F3C-CFDT, SNM-FO, Snacopva CFE CGC, FCCS CFECGC, FNSAC-CGT et Snapsa CFE-CGC.
Tous sont convenus que les artistes-interprètes toucheront une rémunération minimale dans le cadre du streaming musical. Cet accord fait le distinguo entre les artistes interprètes qui touchent des redevances proportionnelles (« artistes principaux » dans le jargon des producteurs) et les musiciens rémunérés essentiellement au cachet (« artistes musiciens »). Les premiers bénéficieront des taux de royalties supérieurs à 10 %, calculés sur une assiette tenant compte des différents modèles économiques de production existants, ainsi qu’un droit à percevoir systématiquement une avance minimale du producteur et une bonification de taux en cas de succès important. Les seconds percevront tous une somme forfaitaire spécifique au titre du streaming, ainsi que des rémunérations nouvelles supplémentaires et automatiques chaque fois que sont atteints les niveaux de succès définis par l’accord, à partir d’un demi-single d’or (7,5 millions d’écoutes). L’accord valable pour cinq ans (2), trouvé au bout de nombreux mois de négociations et faisant figure de « compromis » (dixit la SCPP et la SPPF), prévoit aussi le soutien de tous les producteurs de musique, notamment les plus fragiles (« les labels TPE (3) »), dans le cadre d’un dispositif cofinancé par l’Etat : le fonds national pour l’emploi pérenne dans le spectacle (Fonpeps), qui a été créé en 2016 pour soutenir l’emploi dans le spectacle vivant et enregistré, dans le secteur public comme dans le secteur privé (4). « Le présent accord revêt une force obligatoire à compter du premier jour du mois suivant la date de publication de l’arrêté du ministère chargé de la Culture qui le rend obligatoire. Il entre en vigueur, le cas échéant avec effet rétroactif, à compter du 1er juillet 2022 » prévoit l’accord paraphé, signé et daté du 12 mai, même si les discussions se sont poursuivies tard dans la nuit.
Il était temps, avec six ans de retard ! En effet, ce compromis met enfin en œuvre la garantie de rémunération minimale (GRM) introduit dans le code de propriété intellectuelle (CPI) par la loi dite « Création » de juillet 2016 (5). Pourtant la loi était claire : il accordait aux organisations professionnelles de la musique enregistrée un délai de douze mois à compter de la promulgation de la loi « Création », à savoir jusqu’au 8 juillet 2017, pour signer un accord collectif. A défaut, la garantie de rémunération minimale devait être fixée par une commission présidée par un représentant de l’Etat. Rien de tout cela n’avait finalement eu lieu, jusqu’à ce compromis qui a au moins le mérite d’exister. A noter qu’outre l’arrêté attendu du ministère de la Culture, cet accord peut aussi être rendu obligatoire par un arrêté du ministre chargé du Travail.

Partage de la valeur du streaming
« Les acteurs de la musique enregistrée en France sont capables de trouver ensemble des solutions innovantes et ambitieuses pour apporter des réponses au débat essentiel du partage de la valeur sur la musique en ligne », s’est félicitée le ministère de Roselyne Bachelot-Narquin le 16 mai, soit le dernier jour de son mandat rue de Valois. Cet accord s’applique aux exploitations en streaming des musiques enregistrées des artistes-interprètes « en France et à l’étranger » (articles 2 et 4 de l’accord), mais les exploitations relevant de la gestion collective obligatoire n’entrent pas dans son champ. Il s’applique aux artistes-interprètes engagés par un employeur dans le cadre de son activité de producteur de musique enregistrée lorsqu’elle constitue son activité principale, dans un contrat de travail relevant de la convention collective nationale de l’édition phonographique (CCNEP).

En phase avec la directive « Copyright »
Prévue dès juillet 2016 dans la loi « Création », cette disposition « GRM » concernant une rémunération équitable dans le streaming fut une première en Europe, bien avant la directive européenne sur « le droit d’auteur et les droits voisins dans le marché unique numérique » adoptée en 2019 et applicable depuis un an par les Vingtsept (6). « Au regard des autres pays européens, je crois vraiment que ce que nous faisons est inédit et converge avec les principes posés par la directive, mais n’en est pas en soi la transposition », nous précise Jean-Philippe Mochon. La directive « Copyright » de 2019 prévoit bien que « les Etats membres devraient être libres de mettre en œuvre le principe de rémunération appropriée et proportionnelle en recourant à divers mécanismes existants ou nouvellement introduits, qui pourraient inclure la négociation collective » (considérant 73). La directive « Copyright » a gravé dans le marbre le principe de « rémunération appropriée et proportionnelle » (article 18). L’accord collectif français du 12 mai 2022 concrétise enfin cet objectif.
Dans le détail, selon qu’il s’agit d’un « artiste principal » irremplaçable (un groupe, un soliste, un, …) ou d’un « artiste musicien » remplaçable (un accompagnateur, un choriste, …), la rémunération diffère. « Le caractère proportionnel de la rémunération de artistes-interprètes, et a fortioride la garantie de rémunération minimale, peut inclure par conséquent le recours à des modalités de rémunération différenciées de la cession de droits, sous forme de redevance [les royalties, ndlr] ou d’un ou plusieurs forfaits [au cachet, ndlr] », est-il expliqué dans l’accord.
• Rémunération des artistes principaux. Si le producteur de musique enregistrée est son propre distributeur auprès des plateformes de streaming, il garanti un taux minimum de 11 % (en période d’abattements) ou de 10 % (hors période d’abattement) sur les sommes qui lui sont reversées par ces dernières. Si le producteur de musique enregistrée n’est pas son propre distributeur auprès des plateformes de streaming, il garantit un taux minimum de 13 % (en période d’éventuels abattements) ou de 11 % (hors période d’abattement), sans pour autant que cette rémunération minimale dépasse respectivement les 11% et les 10 % des sommes encaissées par le distributeur. Quant à ces abattements éventuels, négociés de gré à gré entre l’artiste-interprète et le producteur, ils ne peuvent réduire de plus de la moitié le taux prévu au contrat. Pour les producteurs de musique bénéficiant d’un contrat de licence exclusive, ils garantissent un taux minimum de 28 % des sommes qu’ils encaissent en streaming (sans abattements possibles). Concernant cette fois les avances minimales garanties, l’accord collectif prévoit que le producteur verse 1.000 euros bruts par album inédit, somme ramenée à 500 euros lorsqu’il s’agit d’une TPE. Les organismes de gestion collective de producteur (SCPP, SPPF, …) doivent soutenir ces dernières (7).
• Rémunération des artistes musicaux. Le producteur garantit à l’artiste-interprète une rémunération forfaitaire minimale correspondant à 2% ou 1,5 % (selon les cas), et par minute de l’enregistrement, du cachet de base défini par la convention collective (CCNEP). A cela s’ajoutent des rémunérations minimales complémentaires « qui sont fonction du seuil de streams atteint » par la musique sur les plateformes de streaming. Si le seuil atteint en France soit les 7,5 millions de streams, soit les 30 millions de streams, soit les 50 millions de streams dans les 50 ans suivant la première commercialisation de la musique, l’artiste-interprète perçoit l’équivalent de respectivement 20 %, 30 % ou 35 % « d’une valeur monétaire égale au montant du cachet de base » (plafonné à dix fois cette valeur). Et au-delà d’un multiple de 50 millions de streams, cela donne droit à une nouvelle rémunération complémentaire. L’accord collectif précise en outre que « la méthodologie de décompte de volumes de streams est annexée au présent accord ». Pour l’heure, les plateformes de streaming Amazon, Apple, Deezer, Qobuz, Soundcloud, Spotify et Tidal participent au panel qui contribue aux classements et aux certifications. Lorsqu’il s’agit de téléchargement (pas de flux), Amazon, Apple, Juno, Prestoclassical et Qobuz sont pris en référence.

Napster et YouTube négocient encore
« Le panel est amené à s’enrichir des acteurs suivants dont les négociations sont en cours : Napster (un accord de principe existe mais la mise en place des flux se heurte encore à des délais de réponse importants de la plateforme) ; YouTube Music (pas d’accord de principe à ce stade, YouTube souhaitant la prise en compte des streams et visualisations gratuites) », est-il indiqué dans cette annexe. Autres précisions : « Seuls les streams payants d’une durée supérieure à 30 secondes sont pris en compte. Les téléchargements d’un enregistrement et les singles physiques (8) sont convertis en équivalentstreams en application des paramètres publiés sur le site Internet du Snep, et sont ensuite rajoutés aux volumes des streams de cet enregistrement ». Cet accord historique intervient alors que la musique enregistrée fêtera ses 100 ans le 28 juin prochain. @

Charles de Laubier

La bulle « NFT » a-t-elle éclatée ? A moins que les jetons non-fongibles ne reprennent leur souffle

Selon les constatations de Edition Multimédi@ et d’après la plateforme NonFungible de tracking en temps réel du marché mondial des jetons non-fongibles, les fameux NFT, les ventes de ces actifs numérique certifiés par la blockchain ont retrouvé les niveaux d’il y a un an. Pour mieux rebondir ?

Les NFT ne sont pas morts ; ils bougent encore. Ces actifs numériques appelées « jetons non-fongibles » continuent plus que jamais à faire office de certificat d’authenticité inviolable pour propriétaire détenteur d’un bien numérique voire d’un bien physique associé. Cet « acte de propriété » est certifié sur une des nombreuses blockchains disponibles, ces chaînes de blocs cryptées de bout en bout qui permettent d’assurer la traçabilité des transactions dont fait l’objet le bien rare – et cher ? – possédé.

Retour au niveau de juin 2021
D’après l’historique sur un an arrêté au jeudi 26 mai par Edition Multimédi@ à partir des données de la plateforme d’analyse de marché de la société canadienne NonFungible, le marché mondial des NFT a retrouvé les niveaux d’il y a un an. Le nombre de transaction n’est plus que de 15.514 ventes sur cette journée-là pour une valorisation totale de 17 millions de dollars (voir graphique ci-dessous). Autant dire qu’il y a eu une sorte d’éclatement de bulle « NFT » depuis les records atteints l’an dernier, à 224.768 ventes le 24 septembre 2021 pour un total de valorisation de 78,3 millions de dollars ce jour-là. Quant au nombre de vendeurs ou d’acquéreurs actifs de ces tokens de propriété, c’est-à-dire les utilisateurs détenteurs de portefeuilles actifs (active wallets), il n’est plus que de 12.000 à cette même date du jeudi 26 mai comparé aux quelque 120.000 de l’automne dernier. La société NonFungible, basée dans la Nouvelle-Ecosse au Canada et cofondée en 2018 par le Canadien Daniel Kelly alias Dan (avatar de gauche) et le Français Gauthier Zuppinger alias Zoup (avatar de droite), a débuté en suivant les transactions en temps réel de la place de marché Decentraland, pour ensuite étendre son tracking à l’ensemble de la blockchain Ethereum sur laquelle s’appuie aussi bien d’autres plateformes (The Sandbox, OpenSea, Polygon, Rarible, Sorare, Cryptokitties, Audius, Shiba Inu, …). Les données sont collectées directement par NunFungible via des « Blockchain Nodes » afin de suivre 100 % de l’activité des jetons à la norme ERC-721 (1) établie en janvier 2018. Le marché des NFT n’est pas le seul à avoir subi un « krach » puisque, dans un contexte d’inflation, de remontée des taux d’intérêt obligataires et de guerre, l’ensemble de places financières ont sérieusement accusé le coup ces dernières semaines – du Nasdaq (la Bourse newyorkaise de valeur technologique à forte croissance) au cryptomonnaies (le bitcoin en tête), comme l’explique bien l’économiste Marc Touati dans une vidéo démonstrative publiée sur YouTube le 17 mai (2). « L’année 2022 est bien celle de la fin des excès financiers et du retour à la réalité », explique-t-il.
Les NFT, dans le sillage de la chute des cryptomonnaies plus que jamais volatiles, n’échappent pas à ce brusque atterrissage. La société NonFungible a montré dans son « NFT Market Report » portant sur le premier trimestre 2022 que la fin de l’euphorie amorcée fin 2021 s’est confirmée sur les trois premiers mois de l’année. En un an, le nombre des ventes a baissé de presque moitié (47 %) à 7,4 millions et le nombre de d’acquéreurs de près d’un tiers (31 %) à un peu plus 1,1 million. Résultat sur un an : les ventes en valeur ont reculé au premier trimestre de 4,6 %, à 7,8 milliards de dollars (3).
C’est une douche froide par rapport à l’année 2021 qui a affiché (4) des performances record : le nombre des ventes avait bondi de… 1.836 % par rapport à l’année précédente, à plus 27,4 millions, et le nombre de d’acquéreurs de… 2.962 %, à plus de 2,3 millions. Résultat en 2021 : les ventes en valeur avaient explosé de… 21.350 %, à 17,7 milliards de dollars (5). Mais rien ne dit que l’année 2022 ne va pas rebondir et les NFT retrouver des sommets. @

Charles de Laubier

Fraude à la pub : bientôt 100 milliards de dollars de pertes par an, malgré des garde-fous comme IAS

C’est un véritable fléau pour la publicité en ligne, notamment programmatique : la fraude publicitaire – lorsque des annonces sont diffusées à des robots ou sur-affichées, ou lorsqu’elles ont des problèmes de visibilité – gangrène le marché. Integral Ad Science (IAS) voit sa cote monter.

« Juniper Research estime que les annonceurs perdront environ 100 milliards de dollars en dépenses publicitaires annuelles au profit de la seule fraude publicitaire d’ici 2024, soit une augmentation par rapport à environ 42 milliards de dollars en 2019 », prévient la société newyorkaise Integral Ad Science (IAS), qui se définit comme « un leader mondial de la qualité média digitale ». Cotée en Bourse au Nasdaq depuis huit mois et dirigée par Lisa Utzschneider (photo), IAS veille à ce que les annonces publicitaires ne fassent pas l’objet de fraudes, d’atteintes à l’image de marque ou d’une visibilité contextuelle inappropriée.

Bots ad-fraud, ad-stacking, pixel-stuffing, …
De nombreux géants d’Internet font appelle à cette adtech, connue sous ce nom IAS depuis dix ans maintenant, après avoir été créée en tant que AdSafe Media en 2009. Amazon, Facebook, Google, Instagram, LinkedIn, Microsoft, Pinterest, Snap, Spotify, TikTok, Twitter, Yahoo et YouTube sont parmi ses clients, où l’on retrouve aussi des acteurs comme la place de marché publicitaire Xandr du groupe AT&T ou le spécialiste de la publicité programmatique The Trade Desk, ainsi que de nombreux annonceurs, agences ou éditeurs. La force de frappe d’IAS réside dans ses outils d’intelligence artificielle et d’apprentissage automatique lui permettant de traiter en temps réel plus de 100 milliards de transactions web chaque jour dans plus d’une centaine de pays. Si la société IAS n’est pas encore rentable, elle voit ses revenus croître d’année en année sur un marché (malheureusement) porteur. Son dernier rapport annuel, publié le 3 mars, fait état d’un chiffre d’affaires de plus de 323,5 millions de dollars sur l’année 2021 (contre 240,6 millions en 2020). Mais ses pertes annuelles demeurent élevées, à -52,4 millions l’an dernier (contre -32,4 millions en 2020). Tandis que son endettement total s’élève à 245 millions de dollars au 31 décembre dernier.
Pour autant, le marché sur lequel la adtech s’est positionnée depuis treize ans prend de l’ampleur au fur et à mesure que la publicité en ligne automatisée pose problèmes. L’écosystème publicitaire digital – annonceurs, agences, éditeurs et plateformes numériques – est plus que jamais demandeur de solutions de mesure et de vérification publicitaires qui assurent la visibilité, la sécurité et la pertinence de la marque, du ciblage contextuel, ainsi que la prévention de la fraude publicitaire. Selon le cabinet de conseil Frost & Sullivan, le marché mondial des solutions et outils de vérification publicitaire a presque atteint les 10 milliards de dollars de chiffre d’affaires l’an dernier. La fraude publicitaire en ligne est un fléau qui gagne du terrain malgré les garde-fous proposés par des prestataires de veille et de confiance comme IAS, mais aussi DoubleVerify (DV), Moat (acquis par Oracle en 2017) ou encore Human Inc.
L’accélération de la publicité programmatique – par l’automatisation de l’achat et de la vente aux enchères d’espaces afin de permettre aux annonceurs de « cibler l’inventaire de valeur la plus élevée en temps réel » – s’accompagne d’une hausse de l’ad-fraud. Dans ce processus de transaction, la rapidité se le dispute à l’opacité. « La fraude publicitaire est une pratique qui consiste à facturer intentionnellement un annonceur pour une diffusion qui n’est pas conforme à celle prévue, par exemple la diffusion de publicités auprès de robots au lieu de personnes réelles. Il existe de multiples types de fraude. Les plus rencontrées sont le trafic robotique, puis l’adstacking (empilage de plusieurs publicités les unes sur les autres au sein d’un même emplacement), et le pixel-stuffing (diffusion de plusieurs publicités dans un cadre publicitaire minuscule, d’une taille de 1×1 pixel) », détaille IAS dans la nouvelle édition de son « Baromètre de la qualité média » publié fin mars (1).
Pour y remédier, les acteurs de l’écosystème publicitaire font du« filtrage préventif des impressions frauduleuses » grâce à des technologies anti-fraudes alliant algorithmes et machine learning. Dans le monde, plus de 700 marques, agences, éditeurs et fournisseurs de technologies publicitaires sont certifiés « TAG » par la Trustworthy Accountability Group (2). C’est le cas d’IAS.

Plus de 700 acteurs certifiés « TAG »
Créé en 2014 aux Etats-Unis par différentes associations de publicitaires dont l’Interactive Advertising Bureau (IAB), le TAG est le principal organisme mondial de certification pour lutter contre « les activités criminelles » et accroître la confiance dans l’industrie de la publicité numérique mise à mal. En outre, depuis 2017, l’IAB déploie l’outil Ads.txt (Authorized Digital Sellers). En France, depuis 2016, un label de qualité baptisé « Digital Ad Trust » (3) existe à l’initiative du SRI (4), de l’Udecam (5) et de IAB France. @

Charles de Laubier

Le groupe Meta Platforms peut-il vraiment retirer Facebook et Instagram de l’Union européenne ?

Dans son rapport annuel, Meta n’exclut pas de supprimer d’Europe ses réseaux sociaux – Facebook, Instagram ou WhatsApp – s’il ne peut pas transférer les données personnelles européennes aux Etats-Unis. Retour sur cette menace qui soulève des questions économiques et juridiques.

Par Arnaud Touati, avocat associé, Hashtag Avocats

La société américaine Meta Platforms a-t-elle le droit et le pouvoir de retirer Facebook et Instagram du marché européen ? Techniquement, elle pourrait retirer Facebook et Instagram du marché européen, notamment des Vingt-sept Etats membres de l’UE. En effet, une société est libre de déterminer son marché et de proposer ou de retirer librement ses services sur le territoire d’un Etat. Cependant, économiquement parlant, le marché européen est considérable pour la firme de Mark Zuckerberg qui en est le PDG et fondateur.

Europe : 25 % des revenus de Meta
Le groupe a annoncé que l’Europe représentait, pour le dernier trimestre 2021, plus de 8,3 milliards de dollars de chiffre d’affaires, soit près du quart du total réalisé par Meta à l’échelle mondiale. De même, le revenu moyen par utilisateur sur Facebook en Europe (Messenger, Instagram et WhatsApp compris) se situe en moyenne à 19,68 dollars sur ce quatrième trimestre 2021, en deuxième position derrière la région « Etats-Unis & Canada » (1). Au total, l’Europe a généré 25% du chiffre d’affaires trimestriel.
De même, si la maison mère Meta Platforms décidait de mettre fin à ses services en Europe, il lui appartiendrait de résoudre la délicate question du sort des données des utilisateurs européens – au nombre de 427 millions à la fin de l’année dernière (2). En effet, Facebook, Messenger, Instagram ou encore WhatsApp ont obtenu de nombreuses données des utilisateurs. Cela impliquerait donc nécessairement de restituer aux utilisateurs toutes leurs données. Dans quelles conditions ? Comment ? La question est ouverte.
Au-delà des questions économiques que soulèverait pour Meta la mise à exécution de sa menace de retirer ses réseaux sociaux, cela poserait également des questions juridiques. Le règlement général sur la protection des données (RGPD), adopté en 2016 par le Parlement européen (3) et en vigueur depuis mai 2018, prévoit l’encadrement des transferts des données à caractère personnel vers des pays tiers. Les dispositions du règlement doivent donc être appliquées, afin que le niveau de protection des personnes physiques garanti par ledit règlement ne soit pas compromis. Peut-il y avoir des passe-droits en matière de RGPD ? (4) Plutôt que de « passe-droit », parlons plutôt de « tempérament », c’est-à-dire de l’assouplissement de certaines dispositions réglementaires dans des hypothèses bien déterminées. Il conviendrait ainsi de dire qu’il n’existe pas a priori de tempérament en matière de RGPD, au vu de l’importance du respect de la protection des données et de l’obligation d’encadrement des transferts de données. Néanmoins, il convient de relativiser cet état de fait. En effet, en France, la Commission nationale de l’informatique et des libertés (Cnil) prévoit une procédure de mise en demeure, dans l’hypothèse où un organisme ne respecterait pas les obligations relatives à l’encadrement des transferts de données. Elle précise qu’une « mise en demeure est une procédure qui intervient après une plainte ou un contrôle et ne constitue pas une sanction » (5). Dans pareille situation, deux issues sont possibles. Si l’organisme se conforme aux dispositions pendant le délai imparti, le transfert des données sera considéré comme légal et conforme. Dans le cas contraire, l’organisme peut se voir attribuer des sanctions, lesquelles sont, pour la majeure partie d’entre elles, pécuniaires. Cependant, cette sanction ne garantit pas le respect postérieur du RGPD, ce qui pourrait donc in fine valoir tempérament implicite, pour peu que ledit organisme ait des capacités financières significatives.
Par ailleurs, les transferts de données vers des pays tiers à l’Union européenne (UE) doivent respecter les principes du RGPD (6). Ainsi, la Commission européenne peut prévoir des décisions d’adéquation avec certains pays lorsqu’elle estime qu’ils assurent « un niveau de protection adéquat » (7). Les transferts de données vers ces pays-là ne nécessitent alors pas d’autorisation spécifique.

Dérogations pour cas particuliers
A l’inverse, lorsqu’un pays n’est pas reconnu comme garantissant une protection adéquate, l’article 46 du RGPD permet au responsable de traitement d’assurer lui-même que les transferts envisagés sont assortis de garanties appropriées, grâce à des clauses contractuelles types, des règles d’entreprise contraignantes, un code de conduite ou un mécanisme de certification. Dans les situations dans lesquelles un pays tiers n’est pas reconnu comme offrant un niveau de protection adéquat et en l’absence de garanties appropriées encadrant ce transfert, le transfert peut néanmoins, par exception, être opéré en vertu des dérogations listées à l’article 49 du RGPD. Tempérament du tempérament : ces dérogations – telles que le consentement explicite, l’exécution d’un contrat ou les motifs d’intérêt public – ne peuvent néanmoins être utilisées que dans des situations particulières et les responsables de traitement doivent, selon la Cnil, « s’efforcer de mettre en place des garanties appropriées et ne doivent recourir à ces exceptions qu’en l’absence de telles garanties » (8).

Marge de manœuvre des « Cnil »
A l’instar de son confrère irlandais, la Data Protection Commission (DPC), la Cnil pourrait-elle décider de modifier ses accords en matière de transfert des données vers les Etats-Unis ? Pour rappel, la DPC a refusé que les données des Européens soient collectées pour être stockées sur des serveurs américains, malgré la possibilité accordée par le RGPD, sous réserve des conditions (9). En effet, l’autorité de contrôle irlandaise considère que la loi américaine FISA (Foreign Intelligence Surveillance Act) est problématique, puisqu’elle autorise expressément la NSA (National Security Agency) à collecter les données de personnes étrangères si elles sont stockées sur des serveurs américains.
A l’origine, le RGPD pose des règles relatives aux autorités de contrôle tenant notamment à leurs indépendance, compétences, missions et pouvoirs (10). Ces autorités ont une large marge de manœuvre. En effet, en France par exemple, la loi « Informatique et Libertés » modifiée dispose que « la [Cnil] est une autorité administrative indépendante » (11), et le règlement européen permet, lui, de réduire la protection des personnes dans des cas particuliers afin de tenir compte des exigences nationales. Ce n’est donc pas parce que l’autorité irlandaise a pris cette décision que la Cnil doit nécessairement suivre la même analyse. Pour autant, dans une affaire concernant Google, la Cnil a conclu, prenant une inflexion similaire à son homologue irlandaise, que, à l’heure actuelle, les transferts de données vers les Etats-Unis ne sont pas suffisamment encadrés : dans une décision du 10 février 2022, elle a en effet mis en demeure un gestionnaire de site de mettre en conformité avec le RGPD ses traitements de données, en retirant Google Analytics si besoin (12). Pour rendre pareille décision, la Cnil se fonde sur l’arrêt « Schrems II » (13) de la Cour de justice de l’Union européenne (CJUE) ayant invalidé en 2020 le « Privacy Shield » (voir encadré ci-dessous).
Toutefois, même si les autorités de contrôle protègent les données personnelles en refusant le transfert des données sur les serveurs américains, une loi américaine datant de 2018 – le Cloud Act (14) – pose problème. En effet, le « Clarifying Lawful Overseas Use of Data Act » est une loi fédérale des Etats-Unis sur l’accès aux données personnelles, notamment opérées dans le nuage informatique. Elle permet aux instances judiciaires américaines d’émettre un mandat de perquisition contraignant les fournisseurs de cloud américains – même si les données sont stockées à l’étranger –, de fournir toutes les données d’un individu, sans qu’aucune autorisation ne soit demandée à la justice du pays dans lequel se situent l’individu ou les données.
Cette loi a été largement critiquée, étant entendu qu’elle se soustrait ainsi au contrôle des autorités réglementaires au sein du territoire de l’UE. Pour limiter, voire éviter une telle situation, la Commission européenne pourrait, à l’avenir, tenter de trouver un accord avec les Etats-Unis, et ainsi assurer la conformité avec le RGPD du transfert des données personnelles outre-Atlantique. En attendant, même si l’entreprise Meta a assuré le 8 février 2022, « n’avoir absolument aucune envie de se retirer de l’Europe, bien sûr que non » (15), la Commission européenne ne contournera pas l’arrêt « Schrems II » ayant annulé le « Privacy Shield », pas plus qu’elle ne l’avait fait pour l’arrêt « Schrems I » de 2015 annulant l’accord antérieur, le « Safe Harbour ». @

FOCUS

« Privacy Shield » : la CJUE peut-elle annuler… son annulation de 2020 ?
La Cour de justice de l’Union européenne (CJUE) pourrait-elle faire machine arrière et revenir sur sa décision d’annuler l’accord entre l’Union européenne (UE) et les Etats-Unis sur la gestion des données personnelles des Européens par les entreprises américaines et certaines autorités américaines ? Cet accord dit « Privacy Shield » était une décision d’adéquation adoptée en 2016 et encadrant les transferts de données vers les Etats- Unis. Ce qui permettait aux entreprises de transférer les données personnelles de citoyens européens aux Etats-Unis sans garanties complémentaires. Il a été annulé par l’arrêt « Schrems II » (16) de la CJUE daté du 16 juillet 2020. La CJUE avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux Etats-Unis, si les transferts n’étaient pas correctement encadrés.
Cet arrêt a donc impliqué le réexamen des transferts de données personnelles à destination des Etats-Unis et la nécessité d’apporter des garanties complémentaires.
La portée de cet arrêt a des conséquences sévères et démontre que, si les Etats-Unis ne respectent pas la protection des données, la CJUE n’acceptera pas d’accords sur ces mêmes termes. Dorénavant, il sera à nouveau possible de négocier un accord entre les Etats-Unis et l’UE si, et seulement si, les Etats-Unis acceptent de se soumettre aux dispositions du RGPD et de modifier leurs lois de surveillance des données risquées. Ce qui permettrait ainsi aux entreprises américaines d’évoluer sur le marché européen. Lors d’une conférence de presse le 23 février, à l’occasion de la présentation du Data Act (lire p. 6 et 7), la commissaire européenne à la Concurrence, Margrethe Vestager, s’est prononcée à ce propos : « Il est hautement prioritaire de conclure un tel accord avec les Américains (…), afin de permettre au milieu des affaires de tirer le meilleur parti des données (…) mais (….) dans des conditions transparentes et sûres » (17). Ainsi, les Etats-Unis et l’UE devront-ils trouver un accord alliant protection des données personnelles des utilisateurs européens et impératifs sécuritaires invoqués par l’administration américaine. @