Blockchain et RGPD : relations complexes, surtout lorsqu’il s’agit du traitement des données

La protection des données personnelles et la blockchain sont souvent vues comme incompatibles. Pourtant, les réflexions en cours permettent de nuancer, même si les droits des personnes (comme le droit à l’oubli) ou la question de la responsabilité (dans un monde décentralisé) restent à définir.

Par Arnaud Touati, avocat associé, Hashtag Avocats, et Benjamin Allouch, consultant*.

Le 25 mai 2018, le règlement général sur la protection des données (RGPD) est entré en application (1). Ce règlement européen, présenté comme le texte juridique le plus abouti en matière de protection des données à caractère personnel, s’applique dès que l’on utilise des données personnelles à des fins professionnelles. Il s’impose à tous, des autoentreprises aux institutions publiques, en passant par les sociétés commerciales. Le RGPD est également applicable dans le monde entier, si tant est que l’entité concernée utilise des données appartenant à des résidents de l’Union européenne (UE).

Blockchain et RGPD en chiens de faïence ?
Le 3 janvier 2009, le premier bloc de bitcoins est créé, selon son créateur anonyme Satoshi Nakamoto et auteur de l’article fondateur publié deux mois plus tôt (2), pour répondre aux dérives de la crise financière de 2008. Bitcoin, c’est notamment une transparence absolue des transactions, conservées ad vitam aeternam, dans « un système peer-to-peerde monnaie électronique ». Dès lors, comment conjuguer deux principes de prime abord antagonistes ? Comment protéger les données personnelles au sein d’une technologie où tout est transparent ? Comment garantir certains droits des personnes quand les données ne peuvent pas être effacées ? D’aucuns ont alors conclu à une incompatibilité entre la blockchain et le RGPD. Pourtant, s’il existe certainement des difficultés, la blockchain comme le RGPD peuvent s’adapter pour coopérer. Petit tour d’horizon des conflits relevés et des adaptations trouvées. Avant l’entrée en vigueur du RGPD, la législation sur la protection des données souffrait d’un manque de clarté quant à la répartition des rôles de chaque acteur. En outre, la responsabilité de certains d’entre eux était pour le moins incertaine. Aujourd’hui, le rôle de chacun et leurs responsabilités corrélatives sont clairement définis.
Il y a tout d’abord le responsable du traitement, soit l’entité qui « détermine les finalités et les moyens du traitement ». En d’autres termes, les données sont collectées pour l’activité du responsable du traitement. Ce sont par exemple les données des salariés d’une entreprise dans le cadre de sa gestion des ressources humaines. Il y a ensuite le soustraitant, lequel agit « au nom et pour le compte du responsable du traitement ». Autrement dit, il assiste son client dans la collecte des données ou à y accéder une fois collectées. C’est typiquement le cas d’un éditeur de logiciel, qui permet à son client de les consulter.
Et la blockchain dans tout ça ? Pour une bonne application du RGPD, il convient – même dans cette industrie décentralisée – de déterminer le rôle de chacun. Pour une entité centralisée, le procédé est plutôt aisé. Ainsi, une plateforme d’échange d’actifs numériques sera assimilée à un responsable du traitement pour les données de ses clients, voire de ses salariés si l’entreprise est basée sur le territoire de l’UE. Il en va de même, par exemple, pour les données de prospection commerciale. Mais qu’en est-il des applications décentralisées ? Déterminer son rôle est difficile. C’est le cas lorsqu’un protocole de finance décentralisée est lancé par un groupe de développeurs qui a, ensuite, le contrôle uniquement pour y effectuer de la maintenance. Peut-on considérer que, par exemple, Uniswap Labs – l’entité derrière le protocole Uniswap – est responsable du traitement des données ? Ou est-elle davantage sous-traitante des blockchains, comme Ethereum, qui tournent sur son protocole ? Derrière la question de la détermination du rôle de chacun, se cache invariablement celle, épineuse, de la responsabilité encourue.
La responsabilité d’une plateforme centralisée ne se pose pas, puisqu’il s’agit d’une entreprise avec des organes de direction précisément identifiés. En revanche, pour ce qui concerne les applications décentralisées et les acteurs qui construisent un protocole, la question est bien plus complexe. Prenons l’exemple d’un assureur qui aurait « blockchainisé » l’un de ses produits. L’octroi d’une indemnisation dépend non pas d’un humain, mais d’un algorithme, en l’occurrence un smart contract dans le langage « blockchain » (3). Qui serait alors considéré comme le sous-traitant ? Les développeurs ou l’éventuelle entité de la blockchain utilisée ?

Responsabilité dans un monde blockchainisé
Le RGPD exige du sous-traitant qu’il agisse en fonction des instructions écrites de son client. Or, si l’assureur utilise un protocole existant, ce dernier n’agira pas en fonction des instructions de son « client », puisqu’il est théoriquement le même pour tous. En outre, en cas de manquement au RGPD, comment rendre responsables les développeurs d’un protocole ? Ces questions restent, pour l’heure, sans réponse… En théorie, la blockchain est publique, transparente et accessible à tous. Cela signifie que n’importe qui peut avoir accès aux données. En pratique, cette transparence ne sera pas pour autant absolue. Il en va notamment des données médicales, dont l’accès sera protégé. Ainsi, si la donnée est visible dans la blockchain, elle n’est pas pour autant aisément accessible et fait l’objet d’un chiffrement, dont seule la personne concernée possède la clé de déchiffrement. Cependant, quid des données brutes et accessibles à tous ?

Quid des droits des personnes ?
En théorie, toujours, la blockchain est immuable. Ainsi, les données ne peuvent ni être modifiées ni même effacées. Or, l’article 17 du RGPD instaure un droit à l’effacement (4), que l’on appelle plus communément « droit à l’oubli » (5). Comment concilier ce droit à l’effacement avec l’immutabilité de la blockchain ? A priori, cela paraît impossible. Pourtant, la réalité diffère… D’une part, l’immutabilité de la blockchain (pas de retour en arrière possible) est issue du protocole Bitcoin et n’est pas un principe gravé dans le marbre. Grâce à un smart contract (non applicable à Bitcoin mais à d’autres protocoles), il est tout à fait possible de prévoir l’effacement de certaines données à une date précise. En outre, le droit à l’oubli luimême n’est pas absolu, puisque le RGPD prévoit des exceptions, notamment celle du droit à l’information. Enfin, la blockchain n’est pas nécessairement transparente. En effet, il existe des blockchains privées ou de consortium, qui ne sont accessibles qu’à un certain nombre d’individus précisément identifiés. Dans cette hypothèse, il s’agit simplement d’une base de données améliorée, qui répond aux mêmes exigences que les bases de données classiques. Si les dispositions du RGPD sont bien respectées, les données sont sécurisées et seules les personnes autorisées y ont accès.
Les personnes dont les données sont collectées peuvent exercer plusieurs droits distincts. Outre le droit à l’oubli, le droit d’accès, le droit d’opposition, le droit de rectification, le droit à la suppression ou encore le droit à la portabilité font partie de ce que l’on appelle les droits des personnes. Or, si le principe d’immutabilité de la blockchain n’est pas absolu, cela ne signifie pas que l’on peut y modifier aisément les données inscrites. Ainsi, le droit à la rectification des données inscrites dans la blockchain semble plus que complexe. En effet, chaque donnée d’une blockchain est conservée dans des blocs qui s’enchaînent chronologiquement, d’où son nom (chaîne de blocs). Ce faisant, pour modifier une donnée, il faudrait, en principe, en modifier l’ensemble du bloc, ce qui constituerait un travail d’envergure.
De même, le droit à la portabilité semble, à l’heure actuelle, impossible. La portabilité est la possibilité pour toute personne de solliciter le responsable du traitement aux fins de transférer l’ensemble de ses données à un autre responsable du traitement. Qu’est-ce que cela signifierait réellement dans la blockchain ? L’on pourrait imaginer le passage d’une plateforme centralisée à une autre. En l’espèce, cela serait possible, puisqu’il s’agit de données clients. En revanche, la portabilité entre différents protocoles décentralisés et différentes blockchains semble presque impossible. L’un des problèmes principaux des blockchains est effectivement l’interopérabilité entre elles. Or, faire passer des données entre, par exemple, le réseau Bitcoin et le réseau Ethereum est tellement complexe que personne ne s’essaierait à le faire. Toutefois, il existe des protocoles appelés « bridge », qui sont justement prévus pour permettre cette interopérabilité. Mais de là à faire passer un jeu de données d’un protocole à l’autre, c’est une autre histoire…
Au-delà même du droit des personnes, subsiste la question de la nature des données concernées. Pour la blockchain Bitcoin, la seule donnée personnelle présente est l’adresse publique… qui est une donnée pseudonymisée. Il en va de même pour la majorité des autres protocoles, qui, s’ils diffèrent de Bitcoin, reprennent ce principe de collecter un minimum de données personnelles, à l’exception de l’adresse IP pour certains. Ainsi, l’exercice du droit d’opposition est impossible pour de telles données puisque refuser le traitement signifie tout simplement refuser d’utiliser le protocole en question. Encore une fois, nous en revenons toujours au même point : ce sont les plateformes centralisées qui conservent le plus de données personnelles, en raison notamment de la vérification d’identité, ou KYC (Know Your Customer) à effectuer. La question principale est donc celle de la prochaine articulation entre les protocoles décentralisés, le RGPD et le futur règlement européen TFR (Transfer of Funds Regulation). Ce dernier, bientôt en première lecture au Parlement européen (6), va effectivement obliger les plateformes d’échange à effectuer une vérification d’identité pour tout transfert vers les portefeuilles non hébergés.

Nécessaire souplesse dans l’interprétation
Or, à l’exception de l’adresse IP pour certains protocoles bien identifiés, aucune donnée personnelle n’est collectée à ce jour lors de la création de ces portefeuilles, comme ceux de l’entreprise française Ledger. Si tel est le cas à l’avenir, la collecte et la conservation des données devraient a priori respecter les dispositions du RGPD.
En définitive, il est envisageable de respecter les principes du RGPD, tout en utilisant la blockchain (7). Les marges d’appréciation sont importantes et le règlement dispose de nombreuses exceptions. Cela nécessite de la souplesse. Depuis le rapport de 2019 du Parlement européen (8), les réflexions dans ce domaine se poursuivent. Il ne faudrait cependant pas qu’une règlementation trop stricte retarde l’Europe par rapport aux Etats-Unis et à la Chine, comme cela l’a été pour le développement d’Internet dans les années 1990… Affaire à suivre ! @

* Benjamin Allouch est consultant indépendant Web3
et protection des données.

Joe Biden (78 ans), 46e président des Etats-Unis, pourrait être celui qui mettra au pas les GAFA

Donald Trump est mort, vive Joe Biden ! A 78 ans, l’ancien vice-président de Barack Obama (2009-2017) et ancien sénateur du Delaware (1973-2009) a été investi 46e président des Etats-Unis le 20 janvier. Membre du Parti démocrate depuis 1969, Joseph Robinette Biden Junior est attendu au tournant par les Big Tech et la Silicon Valley.

Joe Biden (photo) et Kamala Harris ont donc prêté serment le 20 janvier 2021 en tant que respectivement président et vice-présidente des Etats-Unis. Battu de justesse et ayant eu du mal à admettre sa défaite, Donald Trump a boudé la cérémonie. Maintenant, la fête est finie et le 46e président des Etats-Unis se retrouve avec une pile de dossiers à traiter dans le Bureau ovale de la Maison-Blanche, sa résidence officielle jusqu’en janvier 2025 – son mandat étant de quatre ans, sauf décès ou destitution, renouvelable une fois. Située plutôt en haut de la pile des urgences se trouve la régulation de l’Internet, tant les problèmes se sont accumulés sous l’administration Trump : les enquêtes antitrust lancées à l’encontre des GAFA menacés de démantèlement pour en finir avec les abus de positions dominantes dans l’économie numérique et le e-commerce ; la protection des données personnelles en ligne et de la vie privée numérique, notamment mises à mal par les réseaux sociaux ; l’explosion des contenus controversés voire illicites sur Internet tels que publicités politiques, cyberhaine, cyberviolence ou encore désinformation ; la liste noire d’une dizaine d’entreprises technologiques chinoises devenues indésirables aux yeux de son prédécesseur sur le sol américain ; l’augmentation envisagée des droits de douanes sur des produits provenant des pays, dont la France, instaurant des taxes « GAFA ».

Biden et Trump, bonnet blanc et blanc bonnet ?
Ainsi, Joe Biden hérite d’au moins une demi-douzaine de problématiques digitales qui marqueront son mandat présidentiel. Ce à quoi s’ajoutent d’autres préoccupations des Big Tech depuis l’administration Trump : les décrets limitant les visas américains pour les salariés étrangers diplômés qui souhaiteraient travailler aux Etats-Unis, Silicon Valley comprise ; la neutralité de l’Internet annulée en 2018 par la FCC (1), laquelle décision fut confortée par un jugement mais laissant le dernier mot aux Etats fédérés (2) (*) (**). Plus globalement, le président démocrate est réputé plus favorable au renforcement du pouvoir fédéral, voire à un renforcement des lois antitrust que l’ancien président républicain. Ce dernier aspirait à moins de réglementation. Biden rime avec « plus de concurrence ». Alors que Trump rimait plus avec « positions dominantes ». Mais que l’on ne s’y trompe pas : Biden pourrait faire vis-à-vis des Big Tech dans le « Je t’aime… moi non plus » (3), et même nommer un « Monsieur antitrust » à la Maison-Blanche (4). De nombreuses Big Tech ont d’emblée misé sur le nouveau président en cofinançant ses cérémonies d’investiture, la plupart virtualisée en raison des risques de pandémie et d’émeutes. Le comité d’organisation mentionne comme donateurs : Google (Alphabet), Amazon, Microsoft, Verizon, Comcast (maison mère de NBC Universal), Qualcomm, Uber ou encore Yelp, ainsi que parmi les quelque 5.000 supporteurs Boeing. Mais qui trop embrasse mal étreint…

Antitrust, ePrivacy, data, fake news, …
La nouvelle administration « Biden » a maintenant les coudées franches pour légiférer autour d’Internet et du e-commerce dans la mesure où les démocrates américains ont la majorité à la Chambre des représentants et au Sénat.
Sur le front « antitrust », les GAFA ne s’attendent à aucun revirement politique à leur égard. Les enquêtes lancées l’an dernier par le pouvoir fédéral américain – notamment du ministère de la Justice, ou DoJ (5) – vont se poursuivre sous la houlette de son nouveau ministre, Merrick Garland, dans le but d’essayer de mettre un terme aux pratiques anticoncurrentielles des géants du numérique surnommés les « winner-take-all ». Google (Alphabet) répond déjà devant la justice américaine depuis octobre dernier à propos de son moteur de recherche monopolistique (6). Le DoJ pourrait demander aussi des comptes à Apple, contesté pour ses pratiques sur son écosystème App Store, ainsi qu’à Facebook. Le réseau social de Mark Zuckerberg est déjà dans le collimateur du gendarme américain de la concurrence, la FTC (7), laquelle se mord les doigts d’avoir laissé Facebook racheter en 2012 Instagram et en 2014 WhatsApp (8) Les auteurs parlementaires du rapport du groupe spécial antitrust de la commission des Affaires judiciaires de la Chambre des représentants des Etats-Unis, publié le 6 octobre dernier (9), a appelé le Congrès américain à légiférer rapidement, sans attendre des années de procès. Depuis ce pavé dans la mare des GAFA, des Etats américains se sont coalisés pour poursuivre en justice Google et Facebook (10).
Sur le front « ePrivacy », les Etats-Unis ont pris conscience de l’importance de la protection des données personnelles en ligne et de la vie privée numérique, notamment mises à mal par Facebook avec l’affaire retentissante « Cambridge Analytica » qui a valu à la firme de « Zuck » 5milliards de dollars d’amende infligés en juillet 2019 par la FTC. Ce scandale avait porté sur l’utilisation illégale de 50 millions de comptes de Facebook aux Etats-Unis pour influencer en 2016 l’élection présidentielle américaine (11). Joe Biden pourrait s’inspirer du règlement européen sur la protection des données (RGPD), en vigueur depuis mai 2018, pour pousser une loi fédérale de même portée, alors que le « California Consumer Privacy Act » l’est depuis juin de la même année. La vice-présidente des Etats- Unis, Kamala Harris (première femme et première noire à occuper ce poste), pourrait accélérer dans cette voie, elle qui fut sénatrice et procureure de Californie, la Mecque des Big Tech et des start-up. Elle est même proche familialement du directeur juridique d’Uber. Mais Washington et Silicon Valley ne font pas bon ménage sur cette question.
Sur le front « fake news », la question de la régulation de l’Internet se pose d’autant plus que la cyberhaine déversée lors de la dernière campagne présidentielle, suivie des émeutes mortelles des partisans de Donald Trump le 6 janvier au Capitole, a laissé des traces profondes dans l’opinion américaine et internationale.
Les publicités politiques financées, puis interdites, sur les réseaux sociaux et la guerre de la désinformation (fake news) ont porté atteinte aux valeurs démocratiques. Joe Biden a déjà fait savoir qu’il allait réviser la section 230 du « Communications Decency Act » de 1996, lequel accorde une « immunité » judiciaire aux plateformes numériques quant aux contenus mis en ligne par leurs utilisateurs. Mais ce bouclier (12) est aujourd’hui contesté car les médias sociaux ne sont plus seulement hébergeurs. Facebook, Twitter et autres Google ont joué tant bien que mal les « modérateurs », supprimant des contenus qui n’auraient pas dû l’être, ou inversement avec la cyberviolence ou des contenus d’extrême droite ou complotistes.

… Huawei, TikTok, Xiaomi, taxes GAFA
Sur le front « Chine », une dizaine d’entreprises technologiques chinoises – à commencer par Huwei, le numéro un mondial des réseaux 5G, mais aussi ZTE – ont été placées sur une liste noire, accusées sans preuve de cyberespionnage et d’atteinte à la sécurité nationale du pays, le tout sur fond de bras de fer commercial sinoétatsunien. L’été dernier, Donald Trump avait signé des « Executive Order » pour interdire TikTok et WeChat aux Etats-Unis, sauf à être cédées par leur maison mère respectives, ByteDance et Tencent. A six jours de la fin du mandat, l’ancien président Trump a rajouté Xiaomi, devenu troisième fabricant mondial de smartphones devant Apple, à sa liste des chinois indésirables. Joe Biden, lui, enterra-t-il la hache de guerre pour fumer le calumet de la paix avec la Chine ?
Sur le front « taxe GAFA », la taxe que Paris a appliquée en 2019 aux grandes plateformes numériques – d’où son surnom de « taxe GAFA » – avait amené les Etats-Unis à envisager des représailles via une hausse des droits de douanes sur certains produits français. Or le 8 janvier dernier, le gouvernement fédéral américain a suspendu ce projet, le temps d’examiner les taxes GAFA similaires dans une dizaine d’autres pays (Grande-Bretagne, Italie, Inde, …). La future secrétaire au Trésor américain, Janet Yellen, s’est dite le 19 janvier plutôt favorable à une telle taxe pour « percevoir une juste part » des géants du Net. Avec Joe Biden, les Etats-Unis changent de pied. @

Charles de Laubier

Europe : les plateformes numériques visées sont préoccupées par le projet de régulation du Net

Les GAFAM sont les premiers concernés par les deux textes législatifs proposés le 15 décembre 2020 par la Commission européenne. Un mois après la publication de ce « paquet numérique » (Digital Services Act et Digital Markets Act), Edition Multimédi@ revient sur les réactions des acteurs du Net.

« Le diable sera dans les détails », a lancé Siada El Ramly (photo), directrice générale de Dot Europe (ex-Edima), lobby des GAFAM et d’autres. De son côté, Christian Borggreen, directeur de la CCIA Europe, où l’on retrouve aussi les géants du Net, dit en substance : « La réglementation numérique ne doit pas empêcher l’innovation numérique ». Tandis que DigitalEurope (ex-Eicta), également porte-voix de la high-tech dirigé par Cecilia Bonefeld-Dahl, estime que tout est question d’« équilibre entre la protection des droits fondamentaux et la prévention des activités illégales et nuisibles en ligne ».

Régime de responsabilité limitée en question
La présentation des projets de loi Digital Services Act (DSA) et Digital Markets Act (DMA) par la Commission européenne le 15 décembre dernier n’a pas laissé les Big Tech indifférentes. Lors d’un séminaire en ligne organisé le 17 décembre dernier par Dot Europe, sa directrice Siada El Ramly a prévenu : « Si elle est élaborée et mise en œuvre de la bonne façon, la loi sur les services numériques – le DSA – pourrait offrir un cadre plus robuste pour la modération du contenu en ligne. Il reste cependant beaucoup de détails à régler et le processus en est encore à un stade précoce ». Et la directrice de Dot Europe basée à Bruxelles de rappeler : « Il existe déjà une législation sur le contenu en ligne au niveau national et européen et il sera crucial que le DSA travaille de manière cohérente avec toutes les règles déjà en place. Les principes de la directive (européenne) sur le commerce électronique demeurent une base solide et importante pour l’élaboration de futures règles et nous devrions nous appuyer sur ses fondements avec la loi sur les services numériques ». Entrée en vigueur il y a vingt ans maintenant, la fameuse directive dite « E-commerce » assure aux plateformes numériques et aux réseaux sociaux un statut protecteur d’hébergeur qui leur accorde une responsabilité limitée dans les contenus stockés, partagés et/ou diffusés par leurs millions d’utilisateurs. Ainsi, les GAFAM et les autres acteurs concernés ne peuvent être tenus pour responsables des informations et contenus exploités par internautes qui utilisent leurs plateformes numériques – à moins que ces dernières n’aient pris connaissance du caractère illicite de ces contenus illicites et/ou piratés mais ne les aient pas  promptement retirés ou rendus inaccessibles. « En janvier 2020, nos membres ont demandé à la Commission européenne d’introduire un nouveau cadre de responsabilité en ligne pour leur permettre de mieux lutter contre le contenu illégal en ligne et nous sommes encouragés de voir que certains des points que nous avons soulevés ont été pris en compte dans le projet de DSA », a indiqué Dot Europe dès le 15 décembre.
Une des autres préoccupations concerne la transparence exigée concernant les algorithmes utilisés par les plateformes numériques, lesquelles seront tenues de divulguer les paramètres utilisés par ces règles opératoires dont l’application permet de résoudre un problème énoncé, comme le classement de produits et ou de services dans les résultats de recherche. « Nous avons certaines préoccupations en matière de sécurité concernant la possibilité d’exiger que les plateformes fournissent un accès direct à leurs algorithmes, a expliqué Siada El Ramly. La transparence peut être obtenue par de nombreuses façons différentes et le saut pour potentiellement forcer les entreprises à exposer leurs informations exclusives peut être disproportionné ».
Les GAFAM auront l’obligation de donner aux autorités qui le demandent un accès à leurs algorithmes, comme l’avait justifié en octobre dernier Margrethe Vestager, viceprésidente exécutive de la Commission européenne, chargée de la Concurrence : « Nous ne pouvons pas laisser les décisions qui affectent l’avenir de notre démocratie être prises dans le secret de quelques conseils d’administration d’entreprises ». Intervenant lors d’un événement organisé par AlgorithmWatch (3), la Danoise a prévenu les grandes plateformes qu’elles devront fournir aux régulateurs demandeurs plus d’informations sur le fonctionnement de leurs algorithmes.

Trop de régulation tue l’innovation
L’organisation Dot Europe, qui représente les GAFAM (Google, Amazon, Facebook, Apple et Microsoft) ainsi que TikTok, Spotify, Snap, Twitter, eBay, Verizon Media, King, Airbnb, Expedia, Mozilla, Allegro, Etsy ou encore Yelp, ne se focalise pas seulement sur le DSA (4), axé sur les contenus (lutter contre la cyberhaine, la désinformation et tout contenu illicite), mais aussi sur le DMA (5) qui veut imposer à la dizaine de grandes plateformes numériques dites « systémiques » (dont les GAFAM) des contraintes antitrust et empêchant les abus de position dominante de certains écosystèmes. L’association américaine CCIA (Computer and Communications Industry Association) a, elle aussi, réagi dès le 15 décembre avec notamment un semblant de pointe d’ironie : « Nous espérons que les futures négociations viseront à faire de l’Union européenne un leader en matière d’innovation numérique, et pas seulement en matière de réglementation numérique ».

Des amendes jusqu’à 10% du chiffre d’affaires
Basée à Washington, la CCIA – vétérane de la high-tech (créée en 1972) – dispose aussi à Bruxelles d’un bureau qui veille au grain. « Une réglementation solide et fondée sur des données probantes jouera un rôle essentiel pour encourager l’innovation, les investissements et le choix des consommateurs en Europe », prévient Christian Borggreen, directeur de la CCIA Europe basée aussi à Bruxelles, tout en se « réjouiss[ant] à la perspective de travailler avec les décideurs politiques de l’Union européenne pour veiller à ce que les propositions atteignent les objectifs énoncés, afin que les Européens continuent de récolter tous les avantages des produits et services numériques ».
La CCIA, dont sont membres les GAFA (sauf Apple) aux côtés de Twitter, Pinterest, Rakuten, eBay, Uber et d’autres, relève que le projet de loi européen sur les marchés numériques – le DMA (6) – vise à cibler les services de base des « gatekeepers » numériques en restructurant leurs relations avec les utilisateurs commerciaux et en imposant de nouvelles modalités et obligations (lesquelles pourront évoluer et être étendues). Le DMA menace aussi de sanctionner ces grandes plateformes du Net en cas d’infraction à ces nouvelles règles européennes : « Des sanctions structurelles et comportementales [seront] imposées en cas de non-respect, y compris des amendes pouvant atteindre 10 % du chiffre d’affaires annuel global d’une entreprise ». Dans le même esprit, le projet de loi européen sur les services numériques – le DSA (7) – impose des obligations de réactivité raisonnable (due diligence obligations) aux plateformes en ligne. Il introduit également un régime spécifique pour les « très grandes plateformes en ligne » (à partir de 45 millions d’utilisateurs actifs dans l’Union européenne), qui devront se conformer à des obligations supplémentaires telles qu’en matière de transparence stricte et de déclaration, de vérifications annuelles, de divulgation des principaux paramètres utilisés dans leurs systèmes de recommandation (dont les algorithmes) et la nomination d’un agent de conformité. Là aussi la CCIA retient que les amendes peuvent atteindre 6% du chiffre d’affaires annuel en cas de non-conformité. « Nous appuyons les efforts visant à encourager l’innovation et une concurrence efficace. Nous espérons que la loi finale ciblera les comportements problématiques plutôt que la taille de l’entreprise », a déclaré Kayvan Hazemi-Jebelli, un ancien du cabinet d’avocats Hogan Lovells, conseil depuis plus d’un an de la CCIA à Bruxelles en matière concurrentielle et réglementaire. « Le DMA introduirait de nouvelles règles de définition du marché régissant les services de base des plateformes. Dans ces marchés numériques en évolution dynamique, le risque de législation contre-productive est élevé. Nous espérons que le résultat final sera bon pour les consommateurs de l’Union européenne, les utilisateurs commerciaux et l’écosystème numérique dans son ensemble », a-t-il fait valoir. Concernant le DSA, cette fois, la CCIA espère ce que les Européens continueront à bénéficier de tous les avantages économiques et sociaux des services numériques. « Toute nouvelle obligation doit être réalisable et proportionnée aux risques connus. La création d’un régime spécifique axé sur les “très grandes plateformes en ligne” risque de pousser par inadvertance le contenu et les produits illégaux vers les petits fournisseurs de services numériques », met en garde Victoria de Posson, directrice des affaires publiques de la CCIA Europe.
Quant à l’association DigitalEurope, également installée à Bruxelles et représentant les GAFAM ainsi que Samsung, Huawei, Sony, Nvidia ou encore Dropbox, elle plaide pour une réglementation de l’Internet qui soit « un équilibre entre la protection des droits fondamentaux comme la liberté d’expression et la vie privée, d’un côté, et la prévention des activités illégales et nuisibles en ligne, de l’autre ». Sa directrice générale, Cecilia Bonefeld-Dahl, appelle l’Union européenne à « exploiter au maximum les outils de concurrence existants avant d’envisager l’introduction de nouveaux mécanismes susceptibles d’entraver l’innovation et l’entrée sur le marché ».

Google se sent visé ; Facebook tacle Apple
Membre de ses trois lobbies européens, Google – la filiale d’Alphabet – a fait part de ses inquiétudes vis-à-vis du DSA et du DMA. « Nous sommes préoccupés par le fait que les propositions faites par la Commission européenne semblent cibler spécifiquement une poignée d’entreprises et rendre plus difficile le développement de nouveaux produits pour soutenir les petites entreprises en Europe », a déclaré Karan Bhatia, directeur des affaires publiques et réglementaires de Google. Un porte-parole de Facebook en a profité, quant à lui, pour s’en prendre à la marque à la pomme : « Nous espérons que le DMA fixera également des limites pour Apple. Apple contrôle tout un écosystème, d’un appareil à l’autre et utilise ce pouvoir pour nuire aux développeurs et aux consommateurs, ainsi qu’aux grandes plateformes comme Facebook ». Ambiance. @

Charles de Laubier

L’Allemagne légifère contre les abus des GAFAM

En fait. Le 2 septembre, l’Autorité de la concurrence allemande a publié son rapport annuel dans lequel son président Andreas Mundt et le ministre allemand de l’Economie Peter Altmaier se félicitent des projets d’amendements qui seront débattus au Parlement afin de mieux « combattre les abus » des Big Tech.

En clair. Ce sont des amendements allemands destinés à modifier le « German Competition Act » (GWB) qui pourraient avoir des répercussions sur toute l’Europe. Car l’Allemagne est non seulement un des piliers de l’Union européenne (UE), mais en plus pour six mois (de juillet à décembre 2020) le pays qui préside le Conseil des ministres de l’UE justement. D’autant que la Commission européenne prépare un Digital Services Act (DSA) responsabilisant plus les plateformes du Net (1). Ces amendements « antitrust numérique », approuvés par la chancelière Angela Merkel le 9 septembre, vont renforcer les pouvoirs de l’Office anti-cartel fédéral allemand (le Bundeskartellamt), vis-à-vis des GAFAM. Ces amendements vont maintenant devoir être votés par le Parlement.

L’Allemagne préside le Conseil de l’Union européenne jusqu’en décembre 2020
« L’Allemagne assur[e] la présidence du Conseil de l’UE (…). Nous aimerions profiter de cette occasion pour développer davantage le droit européen de la concurrence, en particulier en ce qui concerne la numérisation et l’économie des plateformes (…). Les modifications apportées à la loi allemande sur la concurrence (GWB) renforcent en particulier le rôle-clé du Bundeskartellamt dans la lutte contre l’abus de position dominante par les plateformes numériques et constituent ainsi un signal pour l’UE également », a prévenu le ministre allemand de l’Economie (2), Peter Altmaier (photo), dans un son « message de salutation » introduisant le rapport 2019 de l’autorité antitrust. C’est lui qui a confirmé en conférence de presse le 9 septembre l’approbation de ces amendements « anti-abus de position dominante numérique ». Dans l’avant-propos du rapport, le président du Bundeskartellamt, Andreas Mundt, enfonce le clou : « Pour l’avenir, il sera vital pour nous de garder les marchés en ligne ouverts, afin de donner aussi une chance aux nouveaux arrivants, et pour empêcher les grandes entreprises d’abuser de leur pouvoir de marché au détriment des consommateurs. Nous espérons que […] la loi allemande sur la concurrence, auquel nous sommes très étroitement associés, renforcera entre autres le contrôle des abus sur les grandes entreprises numériques ». Par exemple, le Bundeskartellamtes contrôlera voire sanctionnera la manière dont sont exploitées les données des e-marchands par les places de marché – « Gatekeeper » – comme Amazon, ou les règles abusives imposées aux développeurs par les boutiques d’applications comme Apple Store ou Google Play. @