Archives par mot-clé : Réseaux sociaux

Pourquoi le fantôme de Snap fait trembler Internet

Publié le par

En fait. Le 23 mai, la société Snap – dirigée par son cofondateur Evan Spiegel – a émis un avertissement sur ses prévisions de résultats pour le second trimestre 2022. Depuis, le cours de Bourse du réseau social au fantôme a chuté de près de 45 % (1). C’est un vrai coup de semonce pour tout l’écosystème publicitaire.

En clair. « Depuis que nous avons publié nos objectifs le 21 avril 2022, l’environnement macroéconomique s’est détérioré davantage et plus rapidement que prévu. Par conséquent, nous pensons qu’il est probable que nous fassions état d’un chiffre d’affaires et d’un EBITDA ajusté inférieurs à l’extrémité inférieure de notre fourchette de prévisions pour le deuxième trimestre 2022 ».
Par cet avertissement enregistré par le gendarme de la Bourse américain, la SEC, et publié le 23 mai (2), l’éditeur de la plateforme Snapchat a jeté un froid et entraîné avec lui à la baisse d’autres entreprises cotées de réseaux sociaux et/ou leur maison mère (Twitter, Pinterest, Meta/Facebook, Alphabet/ YouTube, …), mais aussi des entreprises de publicité également cotées (Publicis, WPP, Omnicom, Interpublic Group, …).
Cette alerte laconique porte sur le chiffre d’affaires et la marge brute d’exploitation du deuxième trimestre en cours, dont les résultats seront publiés courant juillet. Comme l’essentiel des revenus de la société Snap provient pour l’essentiel de la publicité, ces quelques lignes ont sonnées comme coup de semonce pour toutes les plateformes numériques vivant de la publicité sur Internet et pour tous les acteurs de ce marché publicitaire très sensible aux conjonctures économiques. Snap est l’archétype de cette dépendance à la publicité en ligne : rien que sur son premier trimestre 2022, son chiffre d’affaires – essentiellement publicitaire – a franchi pour la première fois la barre du 1 milliard de dollars, soit un bond de 38 % sur un an (contre 769,6 millions de dollars au premier trimestre de l’année précédente).
Deux offres publicitaires principales sont proposées par le réseau social au fantôme, qui revendique 332 millions d’utilisateurs en moyenne par jour dans le monde, dont 75 % de Millennials et de GenZ : Snap Ads (3) et AR Ads (4). La publicité dite AR (Augmented Reality) propose aux annonceurs et partenaires des « filtres » sponsorisés (sponsored filters) et des « lentilles » sponsorisées (sponsored lenses). Mais l’inflation, la hausse des taux d’intérêt et la guerre en Ukraine a fait revenir tout l’écosystème de la virtualité à la réalité. Aux difficultés économiques, s’ajoutent la fin des cookies pour le ciblage chez Apple et Google, d’une part, et le fléau persistant de la fraude publicitaire (5), d’autre part. @

Streaming musical : ce que prévoit l’accord du 12 mai sur la rémunération minimale des artistes

Publié le par

Signé le 12 mai 2022 par les organisations syndicales des producteurs de musique enregistrée, d’une part, et celles des artistes-interprètes, d’autre part, l’« accord historique » garantit une rémunération minimale pour ces derniers lors de la diffusion de leurs musiques en streaming.

La signature de l’accord pour la rémunération des artistes-interprètes dont la musique est diffusée en streaming, qui s’est déroulée le jeudi 12 mai au ministère de la Culture et sous l’égide du médiateur de la musique Jean-Philippe Mochon (photo), est à marquer d’une pierre blanche. Il fixe une garantie de rémunération minimale pour les artistes-interprètes dont les œuvres musicales sont diffusées « en flux » (comprenez en streaming). Mais, selon nos informations auprès du médiateur de la musique, il reste encore à se mettre d’accord sur la rémunération spécifique des musiciens d’orchestre, notamment dans la musique classique.

Deux arrêtés ministériels en vue
Quoi qu’il en soit, l’accord est considéré comme « historique ». Les signataires « à l’unanimité » de ce document d’une quinzaine de pages – que Edition Multimédi@ s’est procuré (1) – sont : les syndicats d’employeurs et producteurs de musiques – Syndicat national de l’édition phonographique (Snep), Union des producteurs phonographiques français indépendants (UPFI) et Syndicat des musiques actuelles (SMA) ; les organismes de gestion collective des droits d’auteur des artistes-interprètes – Société civile des producteurs phonographiques (SCPP), Société civile des producteurs de phonogrammes en France (SPPF), Administration des droits des artistes et musiciens interprètes (Adami) et Société de gestion des droits des artistes interprètes (Spedidam) ; les syndicats de salariés – Snam-CGT, SFACGT, F3C-CFDT, SNM-FO, Snacopva CFE CGC, FCCS CFECGC, FNSAC-CGT et Snapsa CFE-CGC.
Tous sont convenus que les artistes-interprètes toucheront une rémunération minimale dans le cadre du streaming musical. Cet accord fait le distinguo entre les artistes interprètes qui touchent des redevances proportionnelles (« artistes principaux » dans le jargon des producteurs) et les musiciens rémunérés essentiellement au cachet (« artistes musiciens »). Les premiers bénéficieront des taux de royalties supérieurs à 10 %, calculés sur une assiette tenant compte des différents modèles économiques de production existants, ainsi qu’un droit à percevoir systématiquement une avance minimale du producteur et une bonification de taux en cas de succès important. Les seconds percevront tous une somme forfaitaire spécifique au titre du streaming, ainsi que des rémunérations nouvelles supplémentaires et automatiques chaque fois que sont atteints les niveaux de succès définis par l’accord, à partir d’un demi-single d’or (7,5 millions d’écoutes). L’accord valable pour cinq ans (2), trouvé au bout de nombreux mois de négociations et faisant figure de « compromis » (dixit la SCPP et la SPPF), prévoit aussi le soutien de tous les producteurs de musique, notamment les plus fragiles (« les labels TPE (3) »), dans le cadre d’un dispositif cofinancé par l’Etat : le fonds national pour l’emploi pérenne dans le spectacle (Fonpeps), qui a été créé en 2016 pour soutenir l’emploi dans le spectacle vivant et enregistré, dans le secteur public comme dans le secteur privé (4). « Le présent accord revêt une force obligatoire à compter du premier jour du mois suivant la date de publication de l’arrêté du ministère chargé de la Culture qui le rend obligatoire. Il entre en vigueur, le cas échéant avec effet rétroactif, à compter du 1er juillet 2022 » prévoit l’accord paraphé, signé et daté du 12 mai, même si les discussions se sont poursuivies tard dans la nuit.
Il était temps, avec six ans de retard ! En effet, ce compromis met enfin en œuvre la garantie de rémunération minimale (GRM) introduit dans le code de propriété intellectuelle (CPI) par la loi dite « Création » de juillet 2016 (5). Pourtant la loi était claire : il accordait aux organisations professionnelles de la musique enregistrée un délai de douze mois à compter de la promulgation de la loi « Création », à savoir jusqu’au 8 juillet 2017, pour signer un accord collectif. A défaut, la garantie de rémunération minimale devait être fixée par une commission présidée par un représentant de l’Etat. Rien de tout cela n’avait finalement eu lieu, jusqu’à ce compromis qui a au moins le mérite d’exister. A noter qu’outre l’arrêté attendu du ministère de la Culture, cet accord peut aussi être rendu obligatoire par un arrêté du ministre chargé du Travail.

Partage de la valeur du streaming
« Les acteurs de la musique enregistrée en France sont capables de trouver ensemble des solutions innovantes et ambitieuses pour apporter des réponses au débat essentiel du partage de la valeur sur la musique en ligne », s’est félicitée le ministère de Roselyne Bachelot-Narquin le 16 mai, soit le dernier jour de son mandat rue de Valois. Cet accord s’applique aux exploitations en streaming des musiques enregistrées des artistes-interprètes « en France et à l’étranger » (articles 2 et 4 de l’accord), mais les exploitations relevant de la gestion collective obligatoire n’entrent pas dans son champ. Il s’applique aux artistes-interprètes engagés par un employeur dans le cadre de son activité de producteur de musique enregistrée lorsqu’elle constitue son activité principale, dans un contrat de travail relevant de la convention collective nationale de l’édition phonographique (CCNEP).

En phase avec la directive « Copyright »
Prévue dès juillet 2016 dans la loi « Création », cette disposition « GRM » concernant une rémunération équitable dans le streaming fut une première en Europe, bien avant la directive européenne sur « le droit d’auteur et les droits voisins dans le marché unique numérique » adoptée en 2019 et applicable depuis un an par les Vingtsept (6). « Au regard des autres pays européens, je crois vraiment que ce que nous faisons est inédit et converge avec les principes posés par la directive, mais n’en est pas en soi la transposition », nous précise Jean-Philippe Mochon. La directive « Copyright » de 2019 prévoit bien que « les Etats membres devraient être libres de mettre en œuvre le principe de rémunération appropriée et proportionnelle en recourant à divers mécanismes existants ou nouvellement introduits, qui pourraient inclure la négociation collective » (considérant 73). La directive « Copyright » a gravé dans le marbre le principe de « rémunération appropriée et proportionnelle » (article 18). L’accord collectif français du 12 mai 2022 concrétise enfin cet objectif.
Dans le détail, selon qu’il s’agit d’un « artiste principal » irremplaçable (un groupe, un soliste, un, …) ou d’un « artiste musicien » remplaçable (un accompagnateur, un choriste, …), la rémunération diffère. « Le caractère proportionnel de la rémunération de artistes-interprètes, et a fortioride la garantie de rémunération minimale, peut inclure par conséquent le recours à des modalités de rémunération différenciées de la cession de droits, sous forme de redevance [les royalties, ndlr] ou d’un ou plusieurs forfaits [au cachet, ndlr] », est-il expliqué dans l’accord.
• Rémunération des artistes principaux. Si le producteur de musique enregistrée est son propre distributeur auprès des plateformes de streaming, il garanti un taux minimum de 11 % (en période d’abattements) ou de 10 % (hors période d’abattement) sur les sommes qui lui sont reversées par ces dernières. Si le producteur de musique enregistrée n’est pas son propre distributeur auprès des plateformes de streaming, il garantit un taux minimum de 13 % (en période d’éventuels abattements) ou de 11 % (hors période d’abattement), sans pour autant que cette rémunération minimale dépasse respectivement les 11% et les 10 % des sommes encaissées par le distributeur. Quant à ces abattements éventuels, négociés de gré à gré entre l’artiste-interprète et le producteur, ils ne peuvent réduire de plus de la moitié le taux prévu au contrat. Pour les producteurs de musique bénéficiant d’un contrat de licence exclusive, ils garantissent un taux minimum de 28 % des sommes qu’ils encaissent en streaming (sans abattements possibles). Concernant cette fois les avances minimales garanties, l’accord collectif prévoit que le producteur verse 1.000 euros bruts par album inédit, somme ramenée à 500 euros lorsqu’il s’agit d’une TPE. Les organismes de gestion collective de producteur (SCPP, SPPF, …) doivent soutenir ces dernières (7).
• Rémunération des artistes musicaux. Le producteur garantit à l’artiste-interprète une rémunération forfaitaire minimale correspondant à 2% ou 1,5 % (selon les cas), et par minute de l’enregistrement, du cachet de base défini par la convention collective (CCNEP). A cela s’ajoutent des rémunérations minimales complémentaires « qui sont fonction du seuil de streams atteint » par la musique sur les plateformes de streaming. Si le seuil atteint en France soit les 7,5 millions de streams, soit les 30 millions de streams, soit les 50 millions de streams dans les 50 ans suivant la première commercialisation de la musique, l’artiste-interprète perçoit l’équivalent de respectivement 20 %, 30 % ou 35 % « d’une valeur monétaire égale au montant du cachet de base » (plafonné à dix fois cette valeur). Et au-delà d’un multiple de 50 millions de streams, cela donne droit à une nouvelle rémunération complémentaire. L’accord collectif précise en outre que « la méthodologie de décompte de volumes de streams est annexée au présent accord ». Pour l’heure, les plateformes de streaming Amazon, Apple, Deezer, Qobuz, Soundcloud, Spotify et Tidal participent au panel qui contribue aux classements et aux certifications. Lorsqu’il s’agit de téléchargement (pas de flux), Amazon, Apple, Juno, Prestoclassical et Qobuz sont pris en référence.

Napster et YouTube négocient encore
« Le panel est amené à s’enrichir des acteurs suivants dont les négociations sont en cours : Napster (un accord de principe existe mais la mise en place des flux se heurte encore à des délais de réponse importants de la plateforme) ; YouTube Music (pas d’accord de principe à ce stade, YouTube souhaitant la prise en compte des streams et visualisations gratuites) », est-il indiqué dans cette annexe. Autres précisions : « Seuls les streams payants d’une durée supérieure à 30 secondes sont pris en compte. Les téléchargements d’un enregistrement et les singles physiques (8) sont convertis en équivalentstreams en application des paramètres publiés sur le site Internet du Snep, et sont ensuite rajoutés aux volumes des streams de cet enregistrement ». Cet accord historique intervient alors que la musique enregistrée fêtera ses 100 ans le 28 juin prochain. @

Charles de Laubier

Chronologie d’une OPA hostile de Musk sur Twitter

Publié le par

En fait. Le 15 avril, le conseil d’administration de Twitter a adopté un plan d’un an en faveur de ses actionnaires – « The Rights Plan » – pour tenter de faire barrage au projet d’OPA hostile d’Elon Musk (Tesla, SpaceX, …), du moins dès qu’il franchira 15 % du capital. Chronologie d’un bras de fer très médiatisé.

En clair. Dès qu’un candidat au rachat de Twitter, non approuvé par le conseil d’administration de ce dernier, ou du moins dès qu’il détiendra « au moins 15 % des actions » de Twitter, le plan annoncé le 15 avril et valable un an sera actionné en faveur des autres actionnaires. Ces derniers pourront « acheter, au prix actuel, des actions ordinaires supplémentaires ayant une valeur marchande à ce moment-là égale au double du prix » (1). Mais d’après la presse américaine (dont le Wall Street Journal et le New York Times), le fonds d’investissement newyorkais Apollo Global Management pourrait épauler le milliardaire Elon Musk, dont l’offre de 43 milliards de dollars – déposée le 13 avril à 54,20 dollars l’action (2) – est jugée insuffisante par le conseil d’administration de Twitter, pour surenchérir. Ou épauler un autre candidat au rachat comme la société de capital investissement Thoma Bravo.
Une chose est sûre, c’est que l’oiseau bleu suscite, à 15 ans, les convoitises car il est mal en point financièrement : toujours déficitaire avec 221,4 millions de pertes nettes en 2021, pour un chiffre d’affaire essentiellement publicitaire de 4,5 milliards de dollars (3). Chronologie du twitto Elon Musk :
Le 4 avril, Elon Musk acquiert 9,2 % du capital de Twitter (4) pour 2,64 milliards de dollars, entraînant une hausse du cours de 27 % (et au 21-04-22 à 46,37 dollars).
Le 5 avril, Elon Musk nommé au conseil d’administration de Twitter qui l’accueille avec un « Welcome Elon! » pour un mandat qui devrait débuter le 9 avril et jusqu’à l’AG de 2024, mais en obtenant que le fondateur de Tesla et de SpaceX n’aille pas au-delà de 14,9 % du capital de Twitter.
Le 9 avril, Elon Musk devait officiellement entrer au conseil d’administration de Twitter.
Le 11 avril, Parag Agrawal, DG de Twitter depuis que Jack Dorsey lui a cédé la place le 29 novembre 2021, tweete qu’« Elon a décidé de ne pas se joindre à notre conseil d’administration » (5).
Le 13 avril, Elon Musk dépose auprès de la SEC (le gendarme boursier américain) une offre de rachat des 90,8% des actions Twitter qu’il ne possède pas, à 54,20 dollars chacune et « pour la liberté d’expression ».
Le 15 avril, Twitter fait barrage à Elon Musk en adoptant un plan en faveur de tous ses actionnaires minoritaires, surnommé « pilule empoisonnée ».
Le 21 avril, Elon Musk déclare disposer de 46,5 milliards de dollards (6) pour s’emparer de l’oiseau bleu. @

Fraude à la pub : bientôt 100 milliards de dollars de pertes par an, malgré des garde-fous comme IAS

Publié le par

C’est un véritable fléau pour la publicité en ligne, notamment programmatique : la fraude publicitaire – lorsque des annonces sont diffusées à des robots ou sur-affichées, ou lorsqu’elles ont des problèmes de visibilité – gangrène le marché. Integral Ad Science (IAS) voit sa cote monter.

« Juniper Research estime que les annonceurs perdront environ 100 milliards de dollars en dépenses publicitaires annuelles au profit de la seule fraude publicitaire d’ici 2024, soit une augmentation par rapport à environ 42 milliards de dollars en 2019 », prévient la société newyorkaise Integral Ad Science (IAS), qui se définit comme « un leader mondial de la qualité média digitale ». Cotée en Bourse au Nasdaq depuis huit mois et dirigée par Lisa Utzschneider (photo), IAS veille à ce que les annonces publicitaires ne fassent pas l’objet de fraudes, d’atteintes à l’image de marque ou d’une visibilité contextuelle inappropriée.

Bots ad-fraud, ad-stacking, pixel-stuffing, …
De nombreux géants d’Internet font appelle à cette adtech, connue sous ce nom IAS depuis dix ans maintenant, après avoir été créée en tant que AdSafe Media en 2009. Amazon, Facebook, Google, Instagram, LinkedIn, Microsoft, Pinterest, Snap, Spotify, TikTok, Twitter, Yahoo et YouTube sont parmi ses clients, où l’on retrouve aussi des acteurs comme la place de marché publicitaire Xandr du groupe AT&T ou le spécialiste de la publicité programmatique The Trade Desk, ainsi que de nombreux annonceurs, agences ou éditeurs. La force de frappe d’IAS réside dans ses outils d’intelligence artificielle et d’apprentissage automatique lui permettant de traiter en temps réel plus de 100 milliards de transactions web chaque jour dans plus d’une centaine de pays. Si la société IAS n’est pas encore rentable, elle voit ses revenus croître d’année en année sur un marché (malheureusement) porteur. Son dernier rapport annuel, publié le 3 mars, fait état d’un chiffre d’affaires de plus de 323,5 millions de dollars sur l’année 2021 (contre 240,6 millions en 2020). Mais ses pertes annuelles demeurent élevées, à -52,4 millions l’an dernier (contre -32,4 millions en 2020). Tandis que son endettement total s’élève à 245 millions de dollars au 31 décembre dernier.
Pour autant, le marché sur lequel la adtech s’est positionnée depuis treize ans prend de l’ampleur au fur et à mesure que la publicité en ligne automatisée pose problèmes. L’écosystème publicitaire digital – annonceurs, agences, éditeurs et plateformes numériques – est plus que jamais demandeur de solutions de mesure et de vérification publicitaires qui assurent la visibilité, la sécurité et la pertinence de la marque, du ciblage contextuel, ainsi que la prévention de la fraude publicitaire. Selon le cabinet de conseil Frost & Sullivan, le marché mondial des solutions et outils de vérification publicitaire a presque atteint les 10 milliards de dollars de chiffre d’affaires l’an dernier. La fraude publicitaire en ligne est un fléau qui gagne du terrain malgré les garde-fous proposés par des prestataires de veille et de confiance comme IAS, mais aussi DoubleVerify (DV), Moat (acquis par Oracle en 2017) ou encore Human Inc.
L’accélération de la publicité programmatique – par l’automatisation de l’achat et de la vente aux enchères d’espaces afin de permettre aux annonceurs de « cibler l’inventaire de valeur la plus élevée en temps réel » – s’accompagne d’une hausse de l’ad-fraud. Dans ce processus de transaction, la rapidité se le dispute à l’opacité. « La fraude publicitaire est une pratique qui consiste à facturer intentionnellement un annonceur pour une diffusion qui n’est pas conforme à celle prévue, par exemple la diffusion de publicités auprès de robots au lieu de personnes réelles. Il existe de multiples types de fraude. Les plus rencontrées sont le trafic robotique, puis l’adstacking (empilage de plusieurs publicités les unes sur les autres au sein d’un même emplacement), et le pixel-stuffing (diffusion de plusieurs publicités dans un cadre publicitaire minuscule, d’une taille de 1×1 pixel) », détaille IAS dans la nouvelle édition de son « Baromètre de la qualité média » publié fin mars (1).
Pour y remédier, les acteurs de l’écosystème publicitaire font du« filtrage préventif des impressions frauduleuses » grâce à des technologies anti-fraudes alliant algorithmes et machine learning. Dans le monde, plus de 700 marques, agences, éditeurs et fournisseurs de technologies publicitaires sont certifiés « TAG » par la Trustworthy Accountability Group (2). C’est le cas d’IAS.

Plus de 700 acteurs certifiés « TAG »
Créé en 2014 aux Etats-Unis par différentes associations de publicitaires dont l’Interactive Advertising Bureau (IAB), le TAG est le principal organisme mondial de certification pour lutter contre « les activités criminelles » et accroître la confiance dans l’industrie de la publicité numérique mise à mal. En outre, depuis 2017, l’IAB déploie l’outil Ads.txt (Authorized Digital Sellers). En France, depuis 2016, un label de qualité baptisé « Digital Ad Trust » (3) existe à l’initiative du SRI (4), de l’Udecam (5) et de IAB France. @

Charles de Laubier

Le groupe Meta Platforms peut-il vraiment retirer Facebook et Instagram de l’Union européenne ?

Publié le par

Dans son rapport annuel, Meta n’exclut pas de supprimer d’Europe ses réseaux sociaux – Facebook, Instagram ou WhatsApp – s’il ne peut pas transférer les données personnelles européennes aux Etats-Unis. Retour sur cette menace qui soulève des questions économiques et juridiques.

Par Arnaud Touati, avocat associé, Hashtag Avocats

La société américaine Meta Platforms a-t-elle le droit et le pouvoir de retirer Facebook et Instagram du marché européen ? Techniquement, elle pourrait retirer Facebook et Instagram du marché européen, notamment des Vingt-sept Etats membres de l’UE. En effet, une société est libre de déterminer son marché et de proposer ou de retirer librement ses services sur le territoire d’un Etat. Cependant, économiquement parlant, le marché européen est considérable pour la firme de Mark Zuckerberg qui en est le PDG et fondateur.

Europe : 25 % des revenus de Meta
Le groupe a annoncé que l’Europe représentait, pour le dernier trimestre 2021, plus de 8,3 milliards de dollars de chiffre d’affaires, soit près du quart du total réalisé par Meta à l’échelle mondiale. De même, le revenu moyen par utilisateur sur Facebook en Europe (Messenger, Instagram et WhatsApp compris) se situe en moyenne à 19,68 dollars sur ce quatrième trimestre 2021, en deuxième position derrière la région « Etats-Unis & Canada » (1). Au total, l’Europe a généré 25% du chiffre d’affaires trimestriel.
De même, si la maison mère Meta Platforms décidait de mettre fin à ses services en Europe, il lui appartiendrait de résoudre la délicate question du sort des données des utilisateurs européens – au nombre de 427 millions à la fin de l’année dernière (2). En effet, Facebook, Messenger, Instagram ou encore WhatsApp ont obtenu de nombreuses données des utilisateurs. Cela impliquerait donc nécessairement de restituer aux utilisateurs toutes leurs données. Dans quelles conditions ? Comment ? La question est ouverte.
Au-delà des questions économiques que soulèverait pour Meta la mise à exécution de sa menace de retirer ses réseaux sociaux, cela poserait également des questions juridiques. Le règlement général sur la protection des données (RGPD), adopté en 2016 par le Parlement européen (3) et en vigueur depuis mai 2018, prévoit l’encadrement des transferts des données à caractère personnel vers des pays tiers. Les dispositions du règlement doivent donc être appliquées, afin que le niveau de protection des personnes physiques garanti par ledit règlement ne soit pas compromis. Peut-il y avoir des passe-droits en matière de RGPD ? (4) Plutôt que de « passe-droit », parlons plutôt de « tempérament », c’est-à-dire de l’assouplissement de certaines dispositions réglementaires dans des hypothèses bien déterminées. Il conviendrait ainsi de dire qu’il n’existe pas a priori de tempérament en matière de RGPD, au vu de l’importance du respect de la protection des données et de l’obligation d’encadrement des transferts de données. Néanmoins, il convient de relativiser cet état de fait. En effet, en France, la Commission nationale de l’informatique et des libertés (Cnil) prévoit une procédure de mise en demeure, dans l’hypothèse où un organisme ne respecterait pas les obligations relatives à l’encadrement des transferts de données. Elle précise qu’une « mise en demeure est une procédure qui intervient après une plainte ou un contrôle et ne constitue pas une sanction » (5). Dans pareille situation, deux issues sont possibles. Si l’organisme se conforme aux dispositions pendant le délai imparti, le transfert des données sera considéré comme légal et conforme. Dans le cas contraire, l’organisme peut se voir attribuer des sanctions, lesquelles sont, pour la majeure partie d’entre elles, pécuniaires. Cependant, cette sanction ne garantit pas le respect postérieur du RGPD, ce qui pourrait donc in fine valoir tempérament implicite, pour peu que ledit organisme ait des capacités financières significatives.
Par ailleurs, les transferts de données vers des pays tiers à l’Union européenne (UE) doivent respecter les principes du RGPD (6). Ainsi, la Commission européenne peut prévoir des décisions d’adéquation avec certains pays lorsqu’elle estime qu’ils assurent « un niveau de protection adéquat » (7). Les transferts de données vers ces pays-là ne nécessitent alors pas d’autorisation spécifique.

Dérogations pour cas particuliers
A l’inverse, lorsqu’un pays n’est pas reconnu comme garantissant une protection adéquate, l’article 46 du RGPD permet au responsable de traitement d’assurer lui-même que les transferts envisagés sont assortis de garanties appropriées, grâce à des clauses contractuelles types, des règles d’entreprise contraignantes, un code de conduite ou un mécanisme de certification. Dans les situations dans lesquelles un pays tiers n’est pas reconnu comme offrant un niveau de protection adéquat et en l’absence de garanties appropriées encadrant ce transfert, le transfert peut néanmoins, par exception, être opéré en vertu des dérogations listées à l’article 49 du RGPD. Tempérament du tempérament : ces dérogations – telles que le consentement explicite, l’exécution d’un contrat ou les motifs d’intérêt public – ne peuvent néanmoins être utilisées que dans des situations particulières et les responsables de traitement doivent, selon la Cnil, « s’efforcer de mettre en place des garanties appropriées et ne doivent recourir à ces exceptions qu’en l’absence de telles garanties » (8).

Marge de manœuvre des « Cnil »
A l’instar de son confrère irlandais, la Data Protection Commission (DPC), la Cnil pourrait-elle décider de modifier ses accords en matière de transfert des données vers les Etats-Unis ? Pour rappel, la DPC a refusé que les données des Européens soient collectées pour être stockées sur des serveurs américains, malgré la possibilité accordée par le RGPD, sous réserve des conditions (9). En effet, l’autorité de contrôle irlandaise considère que la loi américaine FISA (Foreign Intelligence Surveillance Act) est problématique, puisqu’elle autorise expressément la NSA (National Security Agency) à collecter les données de personnes étrangères si elles sont stockées sur des serveurs américains.
A l’origine, le RGPD pose des règles relatives aux autorités de contrôle tenant notamment à leurs indépendance, compétences, missions et pouvoirs (10). Ces autorités ont une large marge de manœuvre. En effet, en France par exemple, la loi « Informatique et Libertés » modifiée dispose que « la [Cnil] est une autorité administrative indépendante » (11), et le règlement européen permet, lui, de réduire la protection des personnes dans des cas particuliers afin de tenir compte des exigences nationales. Ce n’est donc pas parce que l’autorité irlandaise a pris cette décision que la Cnil doit nécessairement suivre la même analyse. Pour autant, dans une affaire concernant Google, la Cnil a conclu, prenant une inflexion similaire à son homologue irlandaise, que, à l’heure actuelle, les transferts de données vers les Etats-Unis ne sont pas suffisamment encadrés : dans une décision du 10 février 2022, elle a en effet mis en demeure un gestionnaire de site de mettre en conformité avec le RGPD ses traitements de données, en retirant Google Analytics si besoin (12). Pour rendre pareille décision, la Cnil se fonde sur l’arrêt « Schrems II » (13) de la Cour de justice de l’Union européenne (CJUE) ayant invalidé en 2020 le « Privacy Shield » (voir encadré ci-dessous).
Toutefois, même si les autorités de contrôle protègent les données personnelles en refusant le transfert des données sur les serveurs américains, une loi américaine datant de 2018 – le Cloud Act (14) – pose problème. En effet, le « Clarifying Lawful Overseas Use of Data Act » est une loi fédérale des Etats-Unis sur l’accès aux données personnelles, notamment opérées dans le nuage informatique. Elle permet aux instances judiciaires américaines d’émettre un mandat de perquisition contraignant les fournisseurs de cloud américains – même si les données sont stockées à l’étranger –, de fournir toutes les données d’un individu, sans qu’aucune autorisation ne soit demandée à la justice du pays dans lequel se situent l’individu ou les données.
Cette loi a été largement critiquée, étant entendu qu’elle se soustrait ainsi au contrôle des autorités réglementaires au sein du territoire de l’UE. Pour limiter, voire éviter une telle situation, la Commission européenne pourrait, à l’avenir, tenter de trouver un accord avec les Etats-Unis, et ainsi assurer la conformité avec le RGPD du transfert des données personnelles outre-Atlantique. En attendant, même si l’entreprise Meta a assuré le 8 février 2022, « n’avoir absolument aucune envie de se retirer de l’Europe, bien sûr que non » (15), la Commission européenne ne contournera pas l’arrêt « Schrems II » ayant annulé le « Privacy Shield », pas plus qu’elle ne l’avait fait pour l’arrêt « Schrems I » de 2015 annulant l’accord antérieur, le « Safe Harbour ». @

FOCUS

« Privacy Shield » : la CJUE peut-elle annuler… son annulation de 2020 ?
La Cour de justice de l’Union européenne (CJUE) pourrait-elle faire machine arrière et revenir sur sa décision d’annuler l’accord entre l’Union européenne (UE) et les Etats-Unis sur la gestion des données personnelles des Européens par les entreprises américaines et certaines autorités américaines ? Cet accord dit « Privacy Shield » était une décision d’adéquation adoptée en 2016 et encadrant les transferts de données vers les Etats- Unis. Ce qui permettait aux entreprises de transférer les données personnelles de citoyens européens aux Etats-Unis sans garanties complémentaires. Il a été annulé par l’arrêt « Schrems II » (16) de la CJUE daté du 16 juillet 2020. La CJUE avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux Etats-Unis, si les transferts n’étaient pas correctement encadrés.
Cet arrêt a donc impliqué le réexamen des transferts de données personnelles à destination des Etats-Unis et la nécessité d’apporter des garanties complémentaires.
La portée de cet arrêt a des conséquences sévères et démontre que, si les Etats-Unis ne respectent pas la protection des données, la CJUE n’acceptera pas d’accords sur ces mêmes termes. Dorénavant, il sera à nouveau possible de négocier un accord entre les Etats-Unis et l’UE si, et seulement si, les Etats-Unis acceptent de se soumettre aux dispositions du RGPD et de modifier leurs lois de surveillance des données risquées. Ce qui permettrait ainsi aux entreprises américaines d’évoluer sur le marché européen. Lors d’une conférence de presse le 23 février, à l’occasion de la présentation du Data Act (lire p. 6 et 7), la commissaire européenne à la Concurrence, Margrethe Vestager, s’est prononcée à ce propos : « Il est hautement prioritaire de conclure un tel accord avec les Américains (…), afin de permettre au milieu des affaires de tirer le meilleur parti des données (…) mais (….) dans des conditions transparentes et sûres » (17). Ainsi, les Etats-Unis et l’UE devront-ils trouver un accord alliant protection des données personnelles des utilisateurs européens et impératifs sécuritaires invoqués par l’administration américaine. @