Joe Biden (78 ans), 46e président des Etats-Unis, pourrait être celui qui mettra au pas les GAFA

Donald Trump est mort, vive Joe Biden ! A 78 ans, l’ancien vice-président de Barack Obama (2009-2017) et ancien sénateur du Delaware (1973-2009) a été investi 46e président des Etats-Unis le 20 janvier. Membre du Parti démocrate depuis 1969, Joseph Robinette Biden Junior est attendu au tournant par les Big Tech et la Silicon Valley.

Joe Biden (photo) et Kamala Harris ont donc prêté serment le 20 janvier 2021 en tant que respectivement président et viceprésidente des Etats-Unis. Battu de justesse et ayant eu du mal à admettre sa défaite, Donald Trump a boudé la cérémonie. Maintenant, la fête est finie et le 46e président des Etats-Unis se retrouve avec une pile de dossiers à traiter dans le Bureau ovale de la Maison-Blanche, sa résidence officielle jusqu’en janvier 2025 – son mandat étant de quatre ans, sauf décès ou destitution, renouvelable une fois. Située plutôt en haut de la pile des urgences se trouve la régulation de l’Internet, tant les problèmes se sont accumulés sous l’administration Trump : les enquêtes antitrust lancées à l’encontre des GAFA menacés de démantèlement pour en finir avec les abus de positions dominantes dans l’économie numérique et le e-commerce ; la protection des données personnelles en ligne et de la vie privée numérique, notamment mises à mal par les réseaux sociaux ; l’explosion des contenus controversés voire illicites sur Internet tels que publicités politiques, cyberhaine, cyberviolence ou encore désinformation ; la liste noire d’une dizaine d’entreprises technologiques chinoises devenues indésirables aux yeux de son prédécesseur sur le sol américain ; l’augmentation envisagée des droits de douanes sur des produits provenant des pays, dont la France, instaurant des taxes « GAFA ».

Biden et Trump, bonnet blanc et blanc bonnet ?
Ainsi, Joe Biden hérite d’au moins une demi-douzaine de problématiques digitales qui marqueront son mandat présidentiel. Ce à quoi s’ajoutent d’autres préoccupations des Big Tech depuis l’administration Trump : les décrets limitant les visas américains pour les salariés étrangers diplômés qui souhaiteraient travailler aux Etats-Unis, Silicon Valley comprise ; la neutralité de l’Internet annulée en 2018 par la FCC (1), laquelle décision fut confortée par un jugement mais laissant le dernier mot aux Etats fédérés (2). Plus globalement, le président démocrate est réputé plus favorable au renforcement du pouvoir fédéral, voire à un renforcement des lois antitrust que l’ancien président républicain. Ce dernier aspirait à moins de réglementation. Biden rime avec « plus de concurrence ». Alors que Trump rimait plus avec « positions dominantes ». Mais que l’on ne s’y trompe pas : Biden pourrait faire vis-à-vis des Big Tech dans le « Je t’aime… moi non plus » (2), et même Continuer la lecture

Rémunérer les internautes – pour l’utilisation de leurs données personnelles – fait son chemin

Si c’est gratuit, c’est vous le produit ! Mais les internautes ne sont plus dupes : leurs données personnelles sont « l’or noir du XXIe siècle » et ils comptent bien se faire rémunérer pour leur exploitation ou pour visualiser de la publicité. Les start-up de la monétisation des données se multiplient.

La start-up française Tadata va avoir deux ans en fin d’année. Cet été, la Cnil (1) a clôturé l’enquête qu’elle avait lancée au printemps à son encontre après avoir été « alertée » par l’Internet Society France (Isoc France) en février dernier. Cette association qui représente les internautes dans les instances de la gouvernance de l’Internet en France et dans le monde, a décrété un postulat : les données personnelles procèdent d’un droit fondamental et, à ce titre, elles ne peuvent être vendues ou faire l’objet d’une monétisation. L’Isoc France, présidée par Nicolas Chagny depuis cinq ans, a reproché à la jeune pousse parisienne, fondée fin 2018 par Alexandre Vanadia et Laurent Pomies, de justement proposer à un public de jeunes internautes de gagner de l’argent contre le partage de leurs données personnelles. Et l’association de « regretter l’approche simpliste et opaque du gain d’argent facile et rapide (…) ciblant un public vulnérable ». Tadata se présente comme « la première plateforme de monétisation des données personnelles ».

Monétisation des données : Cnil pour, gouvernement et CNNum contre
Le sang de l’Isoc France n’avait fait qu’un tour, tout en affirmant constater « des nonconformités » au regard notamment du règlement européen sur la protection des données personnelles (RGPD), avait donc « alerté immédiatement la Cnil selon un principe de précaution, avant la montée en puissance d’un tel service ». Mais après quelques mois d’investigation, la Cnil a informé en juillet dernier la société qu’elle avait finalement classé sans suite cette affaire, en clôturant la procédure sans aucune sanction (2), la société s’étant mise en conformité avec le RGPD entre autres aspects juridiques. « La Cnil nous a même invité à participer à des échanges et débats sur la thématique de la monétisation des données personnelles avec ses équipes », indique Christel Monge (photo), présidente de Tadata, à Edition Multimédi@. Le gendarme des données valide donc un Continuer la lecture

Aucune enquête coordonnée en Europe n’a été menée sur le scandale « Facebook/Cambridge Analytica »

Plus de deux ans après l’éclatement de l’affaire « Cambridge Analytica » sur l’exploitation massive et illégale des données personnelles de dizaines de millions d’utilisateurs de Facebook à des fins de ciblages politico-publicitaires, aucune enquête n’a été menée en France par la Cnil. Surprenant.

Helen Dixon, à la tête de la « Cnil » irlandaise

Aux Etats-Unis, Facebook a écopé l’été dernier d’une amende record de 5 milliards de dollars infligée par la FTC (1) – définitivement confirmée par un tribunal le 23 avril 2020 – pour n’avoir pas géré ni protégé correctement les données personnelles de ses utilisateurs. En Grande-Bretagne, la « Cnil » britannique – ICO (2) – l’a condamné en octobre 2019 au maximum que lui permettait la loi du pays pour violation sur la protection des données, soit 500.000 livres (plus de 565.000 euros). Ces données ont notamment été exploitées en 2016 pour influencer respectivement l’élection présidentielle américaine et le référendum britannique sur le Brexit. Mais bien d’autres pays ont eux-aussi enquêté sur ce siphonnage de données personnelles opéré illégalement par la société londonienne Cambridge Analytica (devenue Emerdata) sur près de 100 millions d’utilisateurs de Facebook : 50 millions aux Etats-Unis, 87 millions si l’on y ajoute d’autres pays dans le monde. Mais connaîtra-t-on jamais l’ampleur de la manipulation à portée planétaire ?

La Cnil n’a pas jugé bon d’enquêter
En Australie, la « Cnil » australienne – OAIC (3) – a lancé en mars dernier une action judiciaire contre Facebook pour avoir transmis Cambridge Analytica les données personnelles de 311.127 Australiens. Au Canada, la « Cnil » canadienne – OPC (4) – a saisi en février la justice contre Facebook accusé là aussi d’avoir transmis des données privées sans autorisation à Cambridge Analytica. En Europe, en dehors de la Grande-Bretagne où Cambridge Analytica avait son siège social, l’Italie – via son gendarme de la concurrence AGCM – a rappelé à l’ordre la firme de Mark Zuckerberg accusée de continuer à collecter de façon non transparente des données personnelles en violation de ses engagements pris en novembre 2018 – assortis à l’époque de deux amendes pour un total de 10 millions d’euros. En Espagne, comme par ailleurs au Brésil, Facebook a dû aussi mettre la main au portefeuille à la suite du scandale « Cambridge Analytica ». Et en France ? Continuer la lecture

Responsabilité et données : le « Je t’aime moi non plus » des éditeurs en ligne vis-à-vis de Facebook

La pluralité de responsables dans le traitement des données personnelles n’implique pas forcément une responsabilité conjointe. C’est le raisonnement que devrait avoir la Cour de justice européenne dans l’affaire « Fashion ID ».
Or, son avocat général n’en prend pas le chemin. Erreur !

Par Etienne Drouard et Joséphine Beaufour, avocats associés, cabinet K&L Gates

L’éditeur d’un service en ligne – site web et/ou application mobile – peut-il être coresponsable de la collecte, par Facebook, des données personnelles des visiteurs de son service en raison de l’intégration d’un bouton « J’aime » de Facebook au sein de son service ? Selon l’avocat général de la Cour de justice de l’Union européenne (CJUE), lequel a présenté le 19 décembre 2018 ses conclusions dans l’affaire « Fashion ID » (1), la réponse devrait être « oui ».

Communauté d’intérêt et responsabilité
Cet avocat général (2) cherche à construire, en matière de protection des données personnelles comme en matière de propriété intellectuelle, un régime de responsabilité liée à l’insertion d’un lien hypertexte vers les services d’un tiers. En matière de propriété intellectuelle, il aura fallu 14 années de controverses avant de juger au niveau européen qu’un lien hypertexte peut être un acte de représentation d’une oeuvre nécessitant, pour celui qui intègre un lien au sein de son service, de recueillir l’autorisation du titulaire des droits attachés à l’oeuvre accessible via ce lien (3). En matière de protection des données personnelles, cette fois, quelle est la responsabilité pour l’éditeur d’un service en ligne résultant de l’insertion d’un lien hypertexte d’un tiers – en l’occurrence le bouton « J’aime » de Facebook – sur son site web, permettant à ce tiers de collecter des données personnelles des visiteurs du site web concerné ? Comme en matière de propriété intellectuelle, l’avocat général de la CJUE se demande si le critère décisif pour déclencher une telle responsabilité ne serait pas celui d’une communauté d’intérêts entre celui qui intègre le lien sur son site web et celui qui a conçu seul les fonctionnalités que ce lien déclenche. Dans cette affaire « Fashion ID » – du nom de la société allemande de vente en ligne de prêt-à-porter – il est établi que l’adresse IP et l’identifiant du logiciel de navigation du visiteur du site web de Fashion ID sont transmis à Facebook du fait de l’intégration d’un bouton « J’aime » sur ce site, même si le visiteur ne clique pas sur ce bouton « J’aime », et même s’il ne dispose pas d’un compte Facebook. La « Verbraucherzentrale NRW eV », une association allemande de protection des consommateurs a introduit une action en cessation à l’encontre de Fashion ID au motif que l’utilisation du bouton « J’aime » de Facebook sur ce site web était contraire aux lois allemandes sur la protection des données personnelles, lois transposant la directive européenne «Protection des données personnelles » de 1995. Puisque cette action ayant été introduite avant l’entrée en vigueur du RGPD (4), la CJUE rendra donc sa décision en application de cette directive de 1995 et des lois de transposition allemandes (5). L’association reproche ainsi à Fashion ID de n’avoir fourni aucune information à ses visiteurs sur l’existence d’une telle collecte par Facebook. Le régime de responsabilité entre Facebook et Fashion ID reste en suspens : est-elle conjointe, solidaire, ou distincte ? Pour obtenir une réponse fiable, l’association allemande a saisi la CJUE d’une question préjudicielle afin de savoir si Fashion ID peut être considéré comme « responsable du traitement » au sens de la directive de 1995, alors même qu’elle ne peut avoir elle-même aucune influence sur ce processus de traitement des données par Facebook ?
L’avocat général de la CJUE fait référence, dans ses conclusions, à l’arrêt
« Unabhängiges » (6) du 5 juin 2018 dont l’affaire serait similaire à celle de Fashion ID, au motif que : l’éditeur de site web intègre dans son site une fonctionnalité développée et mise à disposition par Facebook, permettant ainsi la collecte de données personnelles par Facebook, résultant de l’enregistrement par Facebook de cookies
sur les terminaux des visiteurs de sa page web. L’occasion de faire cette analogie ayant été trop belle, il en a conclu que le gestionnaire d’un site web qui y intègre un lien hypertexte installant le « plugiciel » (ou plugin en anglais) d’un tiers – en l’espèce,
le bouton « J’aime » de Facebook – permettant la collecte par ce tiers de données personnelles, devrait être considéré comme un « coresponsable » de cette collecte avec ledit tiers ayant conçu ce plugiciel.

« Unité de finalités et de moyens » : vague
Inventer des similitudes peut parfois tourner à la conversation de comptoir. L’avocat général a cherché à découvrir, coûte que coûte, « une identité de finalités et de
moyens » dans l’opération de collecte et de transfert des données personnelles pour que Facebook et Fashion ID soient jugés coresponsables. Selon lui, la détermination commune des moyens serait caractérisée par la décision prise par Fashion ID d’utiliser le plugiciel fourni par Facebook, outil permettant la collecte et la transmission des données personnelles à Facebook. Ainsi, tant Facebook que Fashion ID « paraissent donc avoir délibérément été à l’origine de la phase de collecte et de transmission du processus de traitement des données ».

Des conclusions dénuées de tout fondement
Par ailleurs, l’avocat général, a estimé que la finalité pour laquelle Fashion ID a intégré le bouton « J’aime » sur son site web serait d’améliorer la visibilité de ses produits par le biais du réseau social. S’il admet que cette finalité ne correspond pas à celle poursuivie par Facebook (à savoir le profilage des visiteurs à des fins de publicités ciblées), il affirme cependant que les deux parties « paraissent globalement poursuivre la même finalité d’une manière qui semble mutuellement assez complémentaire ». Le critère retenu ici ne serait donc pas l’identité de la finalité poursuivie, mais « une unité de la finalité : commerciale et publicitaire », critère beaucoup plus large, vague et sujet à interprétation que le premier. La conclusion à laquelle parvient l’avocat général est dénuée de tout fondement juridique connu ou prévu par les textes en vigueur hier ou aujourd’hui. D’une part, ni la directive de 1995, ni le RGPD, ni la CJUE jusqu’à présent, ne se fondent sur une « identité de finalités » ou encore une « unité de finalités », mais bien sur la détermination commune de finalités par les deux responsables de traitement, c’est-à-dire une (ou plusieurs) finalité(s) déterminée(s) d’un commun accord.
D’autre part, la détermination conjointe de moyens ne fonde pas la décision prise par un éditeur de site web d’intégrer un plugiciel d’un tiers sur sa page web. Il serait, au contraire, grand temps d’admettre qu’un seul et même moyen de traitement de données, peut servir des finalités et des intérêts différents, voire divergents, déclenchant des responsabilités distinctes pour des traitements de données qui peuvent être étrangers l’un de l’autre ou propres à un acteur, et échappant à la connaissance, au contrôle ou au bénéfice d’un autre acteur. C’est au prix de cette distinction des intérêts et des finalités, qu’on peut réguler l’économie numérique en évitant de confondre David et Goliath et de rendre un éditeur européen de services coresponsable de l’activité d’un vendeur américain de profils publicitaires. Fashion ID
et Facebook ne sont pas coresponsables de traitement ; Fashion ID n’a pas déterminé conjointement avec Facebook les finalités et les moyens qu’aura Facebook de traiter des données. La pluralité de responsables de traitement n’implique pas forcément une responsabilité conjointe. Autrement dit, quand on est plusieurs, on ne forme pas qu’un. Selon la directive de 1995, un responsable de traitement est « la personne physique ou morale qui, seule ou conjointement avec d’autres, détermine les finalités et les moyens du traitement de données à caractère personnel » (7). Cette définition a été reprise à l’identique dans le RGPD (8) : elle admet qu’il peut y avoir plusieurs coresponsables décidant conjointement de la finalité du traitement et des moyens à mettre en oeuvre pour la réaliser (9). S’il peut exister différents niveaux de responsabilité conjointe, pour tout ou partie d’un traitement de données, la question posée désormais à la CJUE est celle avant tout de savoir comment caractériser une telle responsabilité conjointe et non de la décréter par paresse lorsqu’on se trouve en présence de plusieurs acteurs autour d’un même moyen de traitement de données. Tant la directive de 1995 que le RGPD
de 2018 posent un critère repris par la CJUE, celui de la « détermination conjointe des finalités et des moyens » du traitement opéré par les personnes physiques ou morales. Or, l’avocat général ne reprend pas ce critère d’appréciation puisque, selon lui, pour qu’il y ait responsabilité conjointe, il est nécessaire que les deux opérateurs poursuivent une unité de finalité et non pas qu’ils déterminent conjointement la finalité de traitement. Or les finalités poursuivies par Fashion ID et par Facebook sont divergentes.
Il est faux d’affirmer en l’espèce que les deux parties auraient déterminé de façon commune la finalité de l’opération de traitement consistant en la collecte des données personnelles des visiteurs du site web de Fashion ID. En effet, Facebook n’est convenu de rien avec personne lorsqu’il a conçu son plugiciel lui permettant à lui – et à lui seul – de collecter les données de personnes visitant un site web tiers. Facebook n’a pas davantage discuté avec quiconque de sa stratégie « data », consistant à collecter et traiter des données à des fins de profilage et de ciblage publicitaire, y compris lorsque les personnes concernées ne se sont jamais inscrites sur Facebook. Fashion ID a simplement décidé, a posteriori, d’intégrer ce plugiciel dans sa page web afin de bénéficier de la diffusion qu’un bouton « J’aime » lui procure au sein des membres
de la communauté Facebook d’un de ses visiteurs, si ce dernier a un compte Facebook et s’il clique « J’aime ». La société Fashion ID n’a en aucun cas déterminé les moyens essentiels à la collecte par Facebook des données car elle n’a pas participé à la conception du plugiciel, de ses fonctionnalités, de ses finalités et de leur participation
à la stratégie « data » de Facebook.

Ce qu’en disent les « Cnil » européennes
Ainsi, Fashion ID et Facebook ne peuvent être qualifiés de responsables conjoints d’un tel traitement, non pas parce que ce serait une erreur d’appréciation discutable, mais parce que les régulateurs européens et le RGPD disent le contraire. Comme l’a relevé le G29 des « Cnil » européennes, « la coopération dans le traitement ne signifie pas qu’il y a forcément coresponsabilité. En effet, un échange de données entre deux parties, sans partage des finalités ou des moyens dans un ensemble d’opération, doit être considéré uniquement comme un transfert de données entre des responsables distincts » (10). Il faudra être encore un peu patient avant d’avoir la position finale de
la CJUE, en espérant, d’ici là, que celle-ci ne se trompera pas de question ni de raisonnement. @

Publicité en ligne : les GAFA américains n’ont pas réussi à tuer l’ex-licorne française Criteo

Alors qu’il sera redevable de la taxe « GAFA » de 3 % applicable dès cette année,
le spécialiste mondial du (re)ciblage publicitaire en ligne – le français Criteo – a frôlé la catastrophe industrielle après avoir été déstabilisé par Apple et Facebook. Son chiffre d’affaires a stagné en 2018, à 2,3 milliards de dollars. Et son résultat net a reculé, à 96 millions de dollars.

Impactée coup sur coup, d’une année à l’autre, par deux décisions successives prises de façon unilatérale par les américains Apple et Facebook, l’ex-licorne française Criteo – valorisée 1,8 milliard au Nasdaq (1) où elle est cotée depuis 2013 – aurait pu mettre la clé sous la porte si elle n’avait pas « pivoté » à temps vers le ciblage mobile (2). Son PDG cofondateur Jean-Baptiste Rudelle (photo) a même parlé de « choc exogène très violent ».

Bataille larvée entre App et Web
La première déstabilisation de l’écosystème de Criteo – vulnérable aux choix technologiques des GAFA – est venue en décembre 2017 d’Apple, qui a fait des changements dans son système d’exploitation et son navigateur Safari – à partir de
sa version 11. Le but de la marque à la pomme : rendre plus difficile et limité le pistage des utilisateurs par des cookies – ces petits fichiers de suivi logé dans le terminal de
ce dernier à des fins de ciblage publicitaire. Apple interdit depuis toute utilisation de cookies plus de vingt-quatre heures, conformément à son Intelligent Tracking Prevention (ITP). Et au bout de trente jours, ils sont automatiquement supprimés !
Ces changements sont intervenus avec le système d’exploitation iOS 11.2 pour mobile. « Maintenant on comprend mieux pourquoi Apple a fait ça : ils veulent basculer un maximum les gens dans le monde des “app” [applications mobile, ndlr], qu’ils contrôlent mieux que le monde des navigateurs [sur le Web] », avait expliqué Jean- Baptiste Rudelle lors d’une conférence téléphonique avec des analystes financiers le 1er août 2018.
Apple, de son côté, justifie cette restriction pour éviter les pratiques dites de retargeting jugées abusives. Ces reciblages publicitaires – grande spécialité de Criteo – consistent à recourir à des cookies pour traquer les internautes dans leur navigation sur différents sites web – notamment de e-commerce – afin de leur envoyer ensuite des publicités digitales (bannières ou vidéos) en rapport avec leurs centres d’intérêt détectés. Le retargeting peut aussi se faire par mots-clés sur les liens commerciaux affichés par
les moteurs de recherche. Google a d’ailleurs dû mettre en place un nouveau cookie
« Google Analytics » et une nouvelle balise de conversion « AdWords » spécifiques
à Safari pour être conforme à l’ITP. Reste à savoir si Google limitera à son tour les cookies sur son navigateur Google Chrome (3). La marque à la pomme a ainsi souhaité reprendre la main sur les annonceurs publicitaires et les prestataires techniques comme Criteo qui font du cross-tracking (suivi d’un internaute d’un site web à l’autre
à l’insu de ce dernier et souvent au mépris du respect de sa vie privée). La firme de Cupertino mise surtout sur le monde fermé des « apps » de son App Store qu’elle contrôle, contrairement au Web ouvert. Résultat, dès mi-décembre 2017, Criteo a vu son cours de Bourse au Nasdaq s’effondrer de près de 30 % à l’annonce de l’ITP d’Apple. La pépite de la « French Tech » avait alors dû revoir à la baisse ses prévisions de croissance et d’objectifs de chiffre d’affaires, tout en rappelant Jean-Baptiste Rudelle à la rescousse en avril 2018 (après que celui-ci se soit mis en retrait en 2016). La vulnérabilité de Criteo était déjà apparue face aux logiciels anti-pub, les ad-blocks (4). Cette fois, les GAFA mettent le français à rude épreuve. Après Apple, ce fut au tour
de Facebook de s’en prendre l’an dernier à l’ex-licorne française en mettant un terme au partenariat avec elle à partir de juillet 2018. La perte de l’accréditation « Facebook Marketing Partner » empêche Criteo d’accéder aux outils de ciblage publicitaire proposés en version bêta par le premier réseau social mondial. Cette rétrogradation
fut révélée par Goldman Sachs début septembre, entraînant un recul jusqu’à 16 % de l’action Criteo en Bourse. Selon la banque américaine, le géant français du retargeting a été décertifié parce que « son intégration personnalisée ne correspondait plus aux priorités de Facebook ». Une autre analyse financière affirme que la firme de Mark Zuckerberg a décidé de pousser ses propres solutions de reciblage publicitaire et d’avoir des relations directes avec ses clients. C’est désormais plus difficile pour Criteo d’acheter auprès de Facebook des inventaires publicitaires.

Entre la fraude aux clics et le RGPD
Aux Etats-Unis, il se dit même que Facebook a eu des doutes sur la viabilité de Criteo après que Gotham City Research ait évalué à la moitié du chiffre d’affaires du français la part provenant de « sources douteuses » (clics frauduleux, robots virtuels à clics, clickbots, …) ou de sites web de « faible qualité » (5) (*) (**). A cela s’ajoutent les règles contraignantes depuis mai 2018 du RGDP en Europe, avec le consentement préalable des internautes avant le dépôt de cookies. Qu’il est loin le temps où Amazon (en 2012) et Publicis (en 2014) voulaient racheter Criteo… @

Charles de Laubier