Chronologie d’une OPA hostile de Musk sur Twitter

Publié le 25 avril 2022 par Charles de Laubier

En fait. Le 15 avril, le conseil d’administration de Twitter a adopté un plan d’un an en faveur de ses actionnaires – « The Rights Plan » – pour tenter de faire barrage au projet d’OPA hostile d’Elon Musk (Tesla, SpaceX, …), du moins dès qu’il franchira 15 % du capital. Chronologie d’un bras de fer très médiatisé.

En clair. Dès qu’un candidat au rachat de Twitter, non approuvé par le conseil d’administration de ce dernier, ou du moins dès qu’il détiendra « au moins 15 % des actions » de Twitter, le plan annoncé le 15 avril et valable un an sera actionné en faveur des autres actionnaires. Ces derniers pourront « acheter, au prix actuel, des actions ordinaires supplémentaires ayant une valeur marchande à ce moment-là égale au double du prix » (1). Mais d’après la presse américaine (dont le Wall Street Journal et le New York Times), le fonds d’investissement newyorkais Apollo Global Management pourrait épauler le milliardaire Elon Musk, dont l’offre de 43 milliards de dollars – déposée le 13 avril à 54,20 dollars l’action (2) – est jugée insuffisante par le conseil d’administration de Twitter, pour surenchérir. Ou épauler un autre candidat au rachat comme la société de capital investissement Thoma Bravo.
Une chose est sûre, c’est que l’oiseau bleu suscite, à 15 ans, les convoitises car il est mal en point financièrement : toujours déficitaire avec 221,4 millions de pertes nettes en 2021, pour un chiffre d’affaire essentiellement publicitaire de 4,5 milliards de dollars (3). Chronologie du twitto Elon Musk :
• Le 4 avril, Elon Musk acquiert 9,2 % du capital de Twitter (4) pour 2,64 milliards de dollars, entraînant une hausse du cours de 27 % (et au 21-04-22 à 46,37 dollars).
• Le 5 avril, Elon Musk nommé au conseil d’administration de Twitter qui l’accueille avec un « Welcome Elon! » pour un mandat qui devrait débuter le 9 avril et jusqu’à l’AG de 2024, mais en obtenant que le fondateur de Tesla et de SpaceX n’aille pas au-delà de 14,9 % du capital de Twitter.
• Le 9 avril, Elon Musk devait officiellement entrer au conseil d’administration de Twitter.
• Le 11 avril, Parag Agrawal, DG de Twitter depuis que Jack Dorsey lui a cédé la place le 29 novembre 2021, tweete qu’« Elon a décidé de ne pas se joindre à notre conseil d’administration » (5).
• Le 13 avril, Elon Musk dépose auprès de la SEC (le gendarme boursier américain) une offre de rachat des 90,8% des actions Twitter qu’il ne possède pas, à 54,20 dollars chacune et « pour la liberté d’expression ».
• Le 15 avril, Twitter fait barrage à Elon Musk en adoptant un plan en faveur de tous ses actionnaires minoritaires, surnommé « pilule empoisonnée ».
• Le 21 avril, Elon Musk déclare disposer de 46,5 milliards de dollards (6) pour s’emparer de l’oiseau bleu. @

Fraude à la pub : bientôt 100 milliards de dollars de pertes par an, malgré des garde-fous comme IAS

Publié le 11 avril 2022 par Charles de Laubier

C’est un véritable fléau pour la publicité en ligne, notamment programmatique : la fraude publicitaire – lorsque des annonces sont diffusées à des robots ou sur-affichées, ou lorsqu’elles ont des problèmes de visibilité – gangrène le marché. Integral Ad Science (IAS) voit sa cote monter.

« Juniper Research estime que les annonceurs perdront environ 100 milliards de dollars en dépenses publicitaires annuelles au profit de la seule fraude publicitaire d’ici 2024, soit une augmentation par rapport à environ 42 milliards de dollars en 2019 », prévient la société newyorkaise Integral Ad Science (IAS), qui se définit comme « un leader mondial de la qualité média digitale ». Cotée en Bourse au Nasdaq depuis huit mois et dirigée par Lisa Utzschneider (photo), IAS veille à ce que les annonces publicitaires ne fassent pas l’objet de fraudes, d’atteintes à l’image de marque ou d’une visibilité contextuelle inappropriée.

Bots ad-fraud, ad-stacking, pixel-stuffing, …
De nombreux géants d’Internet font appelle à cette adtech, connue sous ce nom IAS depuis dix ans maintenant, après avoir été créée en tant que AdSafe Media en 2009. Amazon, Facebook, Google, Instagram, LinkedIn, Microsoft, Pinterest, Snap, Spotify, TikTok, Twitter, Yahoo et YouTube sont parmi ses clients, où l’on retrouve aussi des acteurs comme la place de marché publicitaire Xandr du groupe AT&T ou le spécialiste de la publicité programmatique The Trade Desk, ainsi que de nombreux annonceurs, agences ou éditeurs. La force de frappe d’IAS réside dans ses outils d’intelligence artificielle et d’apprentissage automatique lui permettant de traiter en temps réel plus de 100 milliards de transactions web chaque jour dans plus d’une centaine de pays. Si la société IAS n’est pas encore rentable, elle voit ses revenus croître d’année en année sur un marché (malheureusement) porteur. Son dernier rapport annuel, publié le 3 mars, fait état d’un chiffre d’affaires de plus de 323,5 millions de dollars sur l’année 2021 (contre 240,6 millions en 2020). Mais ses pertes annuelles demeurent élevées, à -52,4 millions l’an dernier (contre -32,4 millions en 2020). Tandis que son endettement total s’élève à 245 millions de dollars au 31 décembre dernier.
Pour autant, le marché sur lequel la adtech s’est positionnée depuis treize ans prend de l’ampleur au fur et à mesure que la publicité en ligne automatisée pose problèmes. L’écosystème publicitaire digital – annonceurs, agences, éditeurs et plateformes numériques – est plus que jamais demandeur de solutions de mesure et de vérification publicitaires qui assurent la visibilité, la sécurité et la pertinence de la marque, du ciblage contextuel, ainsi que la prévention de la fraude publicitaire. Selon le cabinet de conseil Frost & Sullivan, le marché mondial des solutions et outils de vérification publicitaire a presque atteint les 10 milliards de dollars de chiffre d’affaires l’an dernier. La fraude publicitaire en ligne est un fléau qui gagne du terrain malgré les garde-fous proposés par des prestataires de veille et de confiance comme IAS, mais aussi DoubleVerify (DV), Moat (acquis par Oracle en 2017) ou encore Human Inc.
L’accélération de la publicité programmatique – par l’automatisation de l’achat et de la vente aux enchères d’espaces afin de permettre aux annonceurs de « cibler l’inventaire de valeur la plus élevée en temps réel » – s’accompagne d’une hausse de l’ad-fraud. Dans ce processus de transaction, la rapidité se le dispute à l’opacité. « La fraude publicitaire est une pratique qui consiste à facturer intentionnellement un annonceur pour une diffusion qui n’est pas conforme à celle prévue, par exemple la diffusion de publicités auprès de robots au lieu de personnes réelles. Il existe de multiples types de fraude. Les plus rencontrées sont le trafic robotique, puis l’adstacking (empilage de plusieurs publicités les unes sur les autres au sein d’un même emplacement), et le pixel-stuffing (diffusion de plusieurs publicités dans un cadre publicitaire minuscule, d’une taille de 1×1 pixel) », détaille IAS dans la nouvelle édition de son « Baromètre de la qualité média » publié fin mars (1).
Pour y remédier, les acteurs de l’écosystème publicitaire font du« filtrage préventif des impressions frauduleuses » grâce à des technologies anti-fraudes alliant algorithmes et machine learning. Dans le monde, plus de 700 marques, agences, éditeurs et fournisseurs de technologies publicitaires sont certifiés « TAG » par la Trustworthy Accountability Group (2). C’est le cas d’IAS.

Plus de 700 acteurs certifiés « TAG »
Créé en 2014 aux Etats-Unis par différentes associations de publicitaires dont l’Interactive Advertising Bureau (IAB), le TAG est le principal organisme mondial de certification pour lutter contre « les activités criminelles » et accroître la confiance dans l’industrie de la publicité numérique mise à mal. En outre, depuis 2017, l’IAB déploie l’outil Ads.txt (Authorized Digital Sellers). En France, depuis 2016, un label de qualité baptisé « Digital Ad Trust » (3) existe à l’initiative du SRI (4), de l’Udecam (5) et de IAB France. @

Charles de Laubier

Le groupe Meta Platforms peut-il vraiment retirer Facebook et Instagram de l’Union européenne ?

Publié le 14 mars 2022 par Charles de Laubier

Dans son rapport annuel, Meta n’exclut pas de supprimer d’Europe ses réseaux sociaux – Facebook, Instagram ou WhatsApp – s’il ne peut pas transférer les données personnelles européennes aux Etats-Unis. Retour sur cette menace qui soulève des questions économiques et juridiques.

Par Arnaud Touati, avocat associé, Hashtag Avocats

La société américaine Meta Platforms a-t-elle le droit et le pouvoir de retirer Facebook et Instagram du marché européen ? Techniquement, elle pourrait retirer Facebook et Instagram du marché européen, notamment des Vingt-sept Etats membres de l’UE. En effet, une société est libre de déterminer son marché et de proposer ou de retirer librement ses services sur le territoire d’un Etat. Cependant, économiquement parlant, le marché européen est considérable pour la firme de Mark Zuckerberg qui en est le PDG et fondateur.

Europe : 25 % des revenus de Meta
Le groupe a annoncé que l’Europe représentait, pour le dernier trimestre 2021, plus de 8,3 milliards de dollars de chiffre d’affaires, soit près du quart du total réalisé par Meta à l’échelle mondiale. De même, le revenu moyen par utilisateur sur Facebook en Europe (Messenger, Instagram et WhatsApp compris) se situe en moyenne à 19,68 dollars sur ce quatrième trimestre 2021, en deuxième position derrière la région « Etats-Unis & Canada » (1). Au total, l’Europe a généré 25% du chiffre d’affaires trimestriel.
De même, si la maison mère Meta Platforms décidait de mettre fin à ses services en Europe, il lui appartiendrait de résoudre la délicate question du sort des données des utilisateurs européens – au nombre de 427 millions à la fin de l’année dernière (2). En effet, Facebook, Messenger, Instagram ou encore WhatsApp ont obtenu de nombreuses données des utilisateurs. Cela impliquerait donc nécessairement de restituer aux utilisateurs toutes leurs données. Dans quelles conditions ? Comment ? La question est ouverte.
Au-delà des questions économiques que soulèverait pour Meta la mise à exécution de sa menace de retirer ses réseaux sociaux, cela poserait également des questions juridiques. Le règlement général sur la protection des données (RGPD), adopté en 2016 par le Parlement européen (3) et en vigueur depuis mai 2018, prévoit l’encadrement des transferts des données à caractère personnel vers des pays tiers. Les dispositions du règlement doivent donc être appliquées, afin que le niveau de protection des personnes physiques garanti par ledit règlement ne soit pas compromis. Peut-il y avoir des passe-droits en matière de RGPD ? (4) Plutôt que de « passe-droit », parlons plutôt de « tempérament », c’est-à-dire de l’assouplissement de certaines dispositions réglementaires dans des hypothèses bien déterminées. Il conviendrait ainsi de dire qu’il n’existe pas a priori de tempérament en matière de RGPD, au vu de l’importance du respect de la protection des données et de l’obligation d’encadrement des transferts de données. Néanmoins, il convient de relativiser cet état de fait. En effet, en France, la Commission nationale de l’informatique et des libertés (Cnil) prévoit une procédure de mise en demeure, dans l’hypothèse où un organisme ne respecterait pas les obligations relatives à l’encadrement des transferts de données. Elle précise qu’une « mise en demeure est une procédure qui intervient après une plainte ou un contrôle et ne constitue pas une sanction » (5). Dans pareille situation, deux issues sont possibles. Si l’organisme se conforme aux dispositions pendant le délai imparti, le transfert des données sera considéré comme légal et conforme. Dans le cas contraire, l’organisme peut se voir attribuer des sanctions, lesquelles sont, pour la majeure partie d’entre elles, pécuniaires. Cependant, cette sanction ne garantit pas le respect postérieur du RGPD, ce qui pourrait donc in fine valoir tempérament implicite, pour peu que ledit organisme ait des capacités financières significatives.
Par ailleurs, les transferts de données vers des pays tiers à l’Union européenne (UE) doivent respecter les principes du RGPD (6). Ainsi, la Commission européenne peut prévoir des décisions d’adéquation avec certains pays lorsqu’elle estime qu’ils assurent « un niveau de protection adéquat » (7). Les transferts de données vers ces pays-là ne nécessitent alors pas d’autorisation spécifique.

Dérogations pour cas particuliers
A l’inverse, lorsqu’un pays n’est pas reconnu comme garantissant une protection adéquate, l’article 46 du RGPD permet au responsable de traitement d’assurer lui-même que les transferts envisagés sont assortis de garanties appropriées, grâce à des clauses contractuelles types, des règles d’entreprise contraignantes, un code de conduite ou un mécanisme de certification. Dans les situations dans lesquelles un pays tiers n’est pas reconnu comme offrant un niveau de protection adéquat et en l’absence de garanties appropriées encadrant ce transfert, le transfert peut néanmoins, par exception, être opéré en vertu des dérogations listées à l’article 49 du RGPD. Tempérament du tempérament : ces dérogations – telles que le consentement explicite, l’exécution d’un contrat ou les motifs d’intérêt public – ne peuvent néanmoins être utilisées que dans des situations particulières et les responsables de traitement doivent, selon la Cnil, « s’efforcer de mettre en place des garanties appropriées et ne doivent recourir à ces exceptions qu’en l’absence de telles garanties » (8).

Marge de manœuvre des « Cnil »
A l’instar de son confrère irlandais, la Data Protection Commission (DPC), la Cnil pourrait-elle décider de modifier ses accords en matière de transfert des données vers les Etats-Unis ? Pour rappel, la DPC a refusé que les données des Européens soient collectées pour être stockées sur des serveurs américains, malgré la possibilité accordée par le RGPD, sous réserve des conditions (9). En effet, l’autorité de contrôle irlandaise considère que la loi américaine FISA (Foreign Intelligence Surveillance Act) est problématique, puisqu’elle autorise expressément la NSA (National Security Agency) à collecter les données de personnes étrangères si elles sont stockées sur des serveurs américains.
A l’origine, le RGPD pose des règles relatives aux autorités de contrôle tenant notamment à leurs indépendance, compétences, missions et pouvoirs (10). Ces autorités ont une large marge de manœuvre. En effet, en France par exemple, la loi « Informatique et Libertés » modifiée dispose que « la [Cnil] est une autorité administrative indépendante » (11), et le règlement européen permet, lui, de réduire la protection des personnes dans des cas particuliers afin de tenir compte des exigences nationales. Ce n’est donc pas parce que l’autorité irlandaise a pris cette décision que la Cnil doit nécessairement suivre la même analyse. Pour autant, dans une affaire concernant Google, la Cnil a conclu, prenant une inflexion similaire à son homologue irlandaise, que, à l’heure actuelle, les transferts de données vers les Etats-Unis ne sont pas suffisamment encadrés : dans une décision du 10 février 2022, elle a en effet mis en demeure un gestionnaire de site de mettre en conformité avec le RGPD ses traitements de données, en retirant Google Analytics si besoin (12). Pour rendre pareille décision, la Cnil se fonde sur l’arrêt « Schrems II » (13) de la Cour de justice de l’Union européenne (CJUE) ayant invalidé en 2020 le « Privacy Shield » (voir encadré ci-dessous).
Toutefois, même si les autorités de contrôle protègent les données personnelles en refusant le transfert des données sur les serveurs américains, une loi américaine datant de 2018 – le Cloud Act (14) – pose problème. En effet, le « Clarifying Lawful Overseas Use of Data Act » est une loi fédérale des Etats-Unis sur l’accès aux données personnelles, notamment opérées dans le nuage informatique. Elle permet aux instances judiciaires américaines d’émettre un mandat de perquisition contraignant les fournisseurs de cloud américains – même si les données sont stockées à l’étranger –, de fournir toutes les données d’un individu, sans qu’aucune autorisation ne soit demandée à la justice du pays dans lequel se situent l’individu ou les données.
Cette loi a été largement critiquée, étant entendu qu’elle se soustrait ainsi au contrôle des autorités réglementaires au sein du territoire de l’UE. Pour limiter, voire éviter une telle situation, la Commission européenne pourrait, à l’avenir, tenter de trouver un accord avec les Etats-Unis, et ainsi assurer la conformité avec le RGPD du transfert des données personnelles outre-Atlantique. En attendant, même si l’entreprise Meta a assuré le 8 février 2022, « n’avoir absolument aucune envie de se retirer de l’Europe, bien sûr que non » (15), la Commission européenne ne contournera pas l’arrêt « Schrems II » ayant annulé le « Privacy Shield », pas plus qu’elle ne l’avait fait pour l’arrêt « Schrems I » de 2015 annulant l’accord antérieur, le « Safe Harbour ». @

FOCUS

« Privacy Shield » : la CJUE peut-elle annuler… son annulation de 2020 ?
La Cour de justice de l’Union européenne (CJUE) pourrait-elle faire machine arrière et revenir sur sa décision d’annuler l’accord entre l’Union européenne (UE) et les Etats-Unis sur la gestion des données personnelles des Européens par les entreprises américaines et certaines autorités américaines ? Cet accord dit « Privacy Shield » était une décision d’adéquation adoptée en 2016 et encadrant les transferts de données vers les Etats- Unis. Ce qui permettait aux entreprises de transférer les données personnelles de citoyens européens aux Etats-Unis sans garanties complémentaires. Il a été annulé par l’arrêt « Schrems II » (16) de la CJUE daté du 16 juillet 2020. La CJUE avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux Etats-Unis, si les transferts n’étaient pas correctement encadrés.
Cet arrêt a donc impliqué le réexamen des transferts de données personnelles à destination des Etats-Unis et la nécessité d’apporter des garanties complémentaires.
La portée de cet arrêt a des conséquences sévères et démontre que, si les Etats-Unis ne respectent pas la protection des données, la CJUE n’acceptera pas d’accords sur ces mêmes termes. Dorénavant, il sera à nouveau possible de négocier un accord entre les Etats-Unis et l’UE si, et seulement si, les Etats-Unis acceptent de se soumettre aux dispositions du RGPD et de modifier leurs lois de surveillance des données risquées. Ce qui permettrait ainsi aux entreprises américaines d’évoluer sur le marché européen. Lors d’une conférence de presse le 23 février, à l’occasion de la présentation du Data Act (lire p. 6 et 7), la commissaire européenne à la Concurrence, Margrethe Vestager, s’est prononcée à ce propos : « Il est hautement prioritaire de conclure un tel accord avec les Américains (…), afin de permettre au milieu des affaires de tirer le meilleur parti des données (…) mais (….) dans des conditions transparentes et sûres » (17). Ainsi, les Etats-Unis et l’UE devront-ils trouver un accord alliant protection des données personnelles des utilisateurs européens et impératifs sécuritaires invoqués par l’administration américaine. @

France : Google et Facebook, sauveurs de quotidiens

Publié le 14 mars 2022 par Charles de Laubier

En fait. Le 3 mars, l’Alliance de la presse d’information générale (Apig) et Google France ont annoncé dans un communiqué commun « un nouvel accord pour la rémunération des droits voisins » – présenté comme « une étape historique » par les deux parties, mais sans qu’aucun chiffre ne soit rendu public.

En clair. Seul le quotidien économique Les Echos – dont le directeur de la publication est Pierre Louette, PDG du groupe Les Echos-Le Parisien (LVMH) et président de l’Alliance de la presse d’information générale (Apig), justement signataire du nouvel accord « droits voisins » avec Google France – laisse entendre que les montants de la rémunération obtenue « pourraient avoir doublé » (1) par rapport au premier accordcadre du 12 février 2011. A l’époque, l’agence Reuters avait révélé que le montant initial portait sur un total de 62,7 millions d’euros que le géant du Net s’était engagé à verser à 121 journaux français membres de l’Apig et cosignataires de ce premier accord-cadre, dont 86,8 % étalés sur trois ans et le solde pour «mettre fin à tout litige » sur cette période (2).
Est-ce à dire que pour cette nouvelle mouture, l’enveloppe est portée à 125 millions d’euros ? Nul ne le sait tant le secret des affaires est bien gardé entre Google et l’Apig, laquelle regroupe à ce jour 289 titres de presse quotidienne nationale, régionale et locale. Entre ces deux signatures, outre le fait que deux syndicats d’éditeurs – le Spiil (presse en ligne) et la FNPS (presse spécialisée) – s’étaient insurgés l’an dernier contre un accord « opaques, inéquitables et nuisibles », créant une « dangereuse distorsion de concurrence » et « act[ant] de facto la position illégale de Google » (3), l’Autorité de la concurrence avait remis en cause ce premier accord-cadre par une décision datée du 12 juillet 2021. En cause notamment : le programme de licence «News Showcase » de Google (accès à un contenu éditorial enrichi ou qualifié de premium) qui forçait quelque peu la main des éditeurs à y adhérer. Désormais, Le géant du moteur de recherche et de Google News doit maintenant « négocie[r] des accords individuels de licence et les conditions de leur rémunération avec les membres de l’Alliance, sur la base de critères transparents et non discriminatoires » (4).
De son côté, Facebook a signé avec la même Apig un accordcadre « droits voisins » daté du 21 octobre 2021. Là aussi, les montants de rémunérations sont gardés secrets (5). Selon cet accord, le réseau social du groupe Meta est tenu, d’une part, de négocier des licences avec les éditeurs membres pour les rémunérer, et, d’autre part, de leur laisser le choix d’aller sur l’espace « Facebook News » lancé finalement mi-février (au lieu de janvier) avec une centaines de journaux. @

Transfert des données UE-US : Google et Facebook veulent un accord entre Etats-Unis et Europe

Publié le 28 février 2022 par Charles de Laubier

Les deux affaires « Google Analytics jugé illégal » et « Meta menace de quitter l’Europe » ont fait réagir les deux géants du Net concernés par le même problème : le transfert de données « UEUS ». Ils pressent l’Union européenne et les Etats-Unis à se mettre d’accord. Car il y a urgence.

En janvier, la « Cnil » autrichienne (DSB) a jugé que Google Analytics, le service gratuit d’analyse d’audience de sites web ou d’applications mobiles – utilisé par des millions d’éditeurs en Europe – est illégal (1) en raison du transfert vers les Etats-Unis des données des internautes européens et en violation du RGPD (2). En février, la Cnil en France juge à son tour ces transferts de données « UE-US » de Google Analytics illégaux (3).

Près de 20 mois d’incertitude « UE-US »
Tandis qu’au même moment a circulé une rumeur selon laquelle Facebook menace de quitter l’Europe en raison de l’incertitude sur le transfert de données entre l’UE et les Etats-Unis. Entre la précipitation des « Cnil » européennes (du moins en Autriche et en France) envers la filiale d’Alphabet, en jugeant illégal son outil Google Analytics, et la rumeur sur la supposée menace de Meta Platforms (maison mère de Facebook, d’Instagram et de WhatsApp) de fermer ses services en Europe, jamais la situation n’aura été aussi absurde depuis l’invalidation en juillet 2020 du « Privacy Shield » (4) par la Cour de justice de l’Union européenne (CJUE). Car, depuis, aucun autre accord entre l’Union européenne (UE) et les Etats-Unis n’est venu combler le vide juridique sur la question du transfert des données entre la première et les seconds.
Jusqu’à il y a près de vingt mois, les Etats-Unis étaient considérés par la Commission européenne comme un pays ayant un niveau de « protection adéquate » pour les transferts de données à caractère personnel vers des organisations américaines auto certifiées. Mais depuis que la CJUE a annulé le Privacy Shield pour éviter que les services de renseignement américains n’accèdent aux données personnelles des Européens transférées aux Etats-Unis, c’est l’incertitude totale. Et Joe Biden (Washington) et Ursula von der Leyen (Bruxelles) tardent à accorder leurs violons, alors que les enjeux et les conséquences de cette inaction sont considérables pour tout l’écosystème du Web et des mobiles. Dès août 2020, la « Cnil » irlandaise (DPC) avait épinglé Facebook sur les transferts de ses données vers les Etats-Unis au regard du RGPD et préconisait que ces transferts soient « suspendus » en attendant un accord transatlantique : depuis que son recours en justice a été rejeté en mai 2021 en Irlande, le groupe Meta s’attend à une décision finale « dès le premier semestre de 2022 ». Or il faudrait un accord d’urgence entre l’Europe et les Etats-Unis, afin d’éviter que des centaines voire potentiellement des milliers de sites web en Europe ne soient mis en demeure par les « Cnil », comme l’ont été les services en ligne français d’Auchan, Decathlon, Leroy Merlin, Free Mobile, Sephora ou encore Le Huffington Post (5). Il y a aussi urgence pour ne pas pousser la firme de Mark Zuckerberg à mettre à exécution son avertissement mentionné dans son dernier rapport annuel publié le 3 février où la phrase suivante n’est pas passée inaperçue : « Si un nouveau cadre transatlantique de transfert des données n’est pas adopté (…), nous serons sûrement dans l’incapacité d’offrir une partie de nos produits et services les plus significatifs, parmi lesquels Facebook et Instagram, en Europe, ce qui affectera matériellement et négativement notre activité commerciale, notre condition financière et nos résultats opérationnels » (6).
C’est de ce risque évoqué que la rumeur d’une « menace de quitter l’Europe » est partie. Markus Reinisch (photo de gauche), vice-président de la politique publique en Europe chez Meta Plateforms, s’est inscrit en faux le 8 février en démentant cette rumeur : « La presse a rapporté que nous “menacions” de quitter l’Europe en raison de l’incertitude entourant les mécanismes de transfert de données entre l’UE et les États-Unis. Ce n’est pas vrai. (…) Nous ne voulons absolument pas nous retirer de l’Europe, bien sûr que non » (7). Après que son rival Google ait été épinglé par les « Cnil » autrichienne et française sur son Google Analytics, Facebook pourrait être le prochain à être mis en demeure sur son Facebook Connect qui est un outil similaire. « Des mesures correctrices à ce sujet pourraient être adoptées prochainement », a déjà prévenu le gendarme français de la protection des données personnelles.

Rassurer les utilisateurs en Europe
Alphabet et Google, dont le président des affaires publiques et juridiques au niveau mondial, Kent Walker (photo de droite), appelle à un nouveau cadre pour le transfert des données UE-US (8), tente de rassurer ses utilisateurs en Europe et de leur fournir des outils (9) pour identifier les données collectées et leur utilisation : « Nous allons ainsi ajouter des paramètres permettant aux clients de personnaliser davantage les données analytiques qu’ils recueillent. Nous comptons vous donner plus d’informations à ce sujet dans les semaines à venir » (10). A suivre. @