Souveraineté numérique européenne : Microsoft se dit compatible

En fait. Le 19 mai, se sont tenues les 5es Assises de la souveraineté numérique, organisées par l’agence Aromates sur le thème cette année de « Quelle stratégie pour une 3e voie européenne ? ». Parmi les intervenants extra-européens : l’américain Microsoft, qui, par la voix de Marc Mossé, se dit eurocompatible.

En clair. Le directeur des affaires publiques et juridique de Microsoft – fonction que Marc Mossé (photo) a exercée pour la filiale française entre février 2006 et mai 2016 avant de passer à l’échelon européen (1) tout en restant basé à Paris et non au siège de Microsoft Europe à Dublin en Irlande –, était attendu au tournant. Lors de ces 5es Assises de la souveraineté numérique, le « M » de GAFAM a voulu montrer pattes blanches et démontrer que l’on pouvait être une « entreprise étrangère américaine » et être compatible avec la « souveraineté numérique européenne ». Antinomique ? Non. Marc Mossé, lui, parle de « ligne de crête » en rappelant les propos tenus par quatre femmes au pouvoir en Europe, Angela Merkel (chancelière d’Allemagne), Mette Frederiksen (Première ministre du Danemark), Sanna Marin (Première ministre de Finlande) et Kaja Kallas (Première ministre d’Estonie), dans une lettre adressée le 1er mars dernier à une cinquième femme de pouvoir, Ursula von der Leyen (présidente de la Commission européenne).

La souveraineté numérique, ce n’est ni exclure ni faire du protectionnisme
« La souveraineté numérique, c’est miser sur nos forces et réduire nos faiblesses stratégiques, et non pas exclure les autres ou adopter une approche protectionniste. Nous faisons partie d’un monde mondial avec des chaînes d’approvisionnement mondiales que nous voulons développer dans l’intérêt de tous. Nous sommes déterminés à ouvrir les marchés et à favoriser un commerce libre, équitable et fondé sur des règles ». Tout est dit. Et le directeur juridique de Microsoft Europe d’approuver : « C’est cette ligne de crête sur laquelle il faut être, qui renvoie à l’essentiel lorsque l’on parle de la souveraineté. C’est aussi la question de la règle de droit. La souveraineté, c’est la garantie par le droit de fonctions essentielles comme les valeurs européennes [auxquelles] les acteurs qui opèrent en Europe (et donc en France) doivent le plein respect ». Marc Mossé a aussi rappelé l’annonce faite le 6 mai par Microsoft qui s’engage à stocker et à traiter dans ses data centers en Europe – au nombre de treize dont trois en France – les données de ses clients, entreprises ou Continuer la lecture

Europe : les plateformes numériques visées sont préoccupées par le projet de régulation du Net

Les GAFAM sont les premiers concernés par les deux textes législatifs proposés le 15 décembre 2020 par la Commission européenne. Un mois après la publication de ce « paquet numérique » (Digital Services Act et Digital Markets Act), Edition Multimédi@ revient sur les réactions des acteurs du Net.

« Le diable sera dans les détails », a lancé Siada El Ramly (photo), directrice générale de Dot Europe (ex-Edima), lobby des GAFAM et d’autres. De son côté, Christian Borggreen, directeur de la CCIA Europe, où l’on retrouve aussi les géants du Net, dit en substance : « La réglementation numérique ne doit pas empêcher l’innovation numérique ». Tandis que DigitalEurope (ex-Eicta), également porte-voix de la high-tech dirigé par Cecilia Bonefeld-Dahl, estime que tout est question d’« équilibre entre la protection des droits fondamentaux et la prévention des activités illégales et nuisibles en ligne ». La présentation des projets de loi Digital Services Act (DSA) et Digital Markets Act (DMA) par la Commission européenne le 15 décembre dernier n’a pas laissé les Big Tech indifférentes. Lors d’un séminaire en ligne organisé le 17 décembre dernier par Dot Europe, sa directrice Siada El Ramly a prévenu : « Si elle est élaborée et mise en oeuvre de la bonne façon, la loi sur les services numériques – le DSA – pourrait offrir un cadre plus robuste pour la modération du contenu en ligne. Il reste cependant beaucoup de détails à régler et le processus en est encore à un stade précoce ».

Régime de responsabilité limitée en question
Et la directrice de Dot Europe basée à Bruxelles de rappeler : « Il existe déjà une législation sur le contenu en ligne au niveau national et européen et il sera crucial que le DSA travaille de manière cohérente avec toutes les règles déjà en place. Les principes de la directive (européenne) sur le commerce électronique demeurent une base solide et importante pour l’élaboration de futures règles et nous devrions nous appuyer sur ses fondements avec la loi sur les services numériques ». Entrée en vigueur il y a vingt ans maintenant, la fameuse directive dite « E-commerce » assure aux plateformes numériques et aux réseaux sociaux un statut protecteur d’hébergeur qui leur accorde une responsabilité limitée dans les contenus stockés, partagés et/ou diffusés par leurs millions d’utilisateurs. Ainsi, les GAFAM et les autres acteurs concernés ne peuvent être tenus pour responsables des informations et contenus exploités par internautes qui utilisent leurs plateformes numériques – à moins que ces dernières n’aient pris connaissance du caractère illicite de ces contenus illicites et/ou piratés mais ne les aient pas  Continuer la lecture

Données de connexion et usage d’algorithmes : les lois françaises en violation des droits fondamentaux

La justice européenne a déclaré illégales les dispositions françaises sur la conservation des données de trafic et de localisation par les opérateurs télécoms, ainsi que par les hébergeurs. Elle a aussi fourni une feuille de route sur l’utilisation de « boîtes noires » dans la lutte contre le terrorisme.

Par Winston Maxwell*, Telecom Paris, Institut polytechnique de Paris

La Cour de justice de l’Union européenne (CJUE) a, le 6 octobre 2020 (1), mis fin à un débat qui existe depuis le 8 avril 2014, date à laquelle elle avait annulé la directive de 2006 sur la conservation des données de trafic (2), estimant que celle-ci était contraire à la Charte des droits fondamentaux de l’UE (3). La CJUE a jugé que cette directive créait une atteinte disproportionnée au droit à la protection des données personnelles parce qu’elle exigeait la conservation généralisée et indifférenciée des données de trafic de l’ensemble de la population.

La France n’a pas (encore) bougé
La CJUE est intervenue une deuxième fois en 2016, annulant les dispositions britanniques et suédoises sur la conservation des données de trafic, précisant de nouveau qu’une obligation de conservation généralisée et indifférenciée était incompatible avec cette même Charte des droits fondamentaux (4). Malgré ces deux décisions de la justice européenne, la France n’a pas bougé, préservant sa législation qui impose, d’une part, la conservation par les opérateurs de communications électroniques des données de connexion et de localisation, et, d’autre part, la conservation par les hébergeurs des données relatives à l’identification des utilisateurs et à leurs activités sur les plateformes numériques.
En plus, après les attentats terroristes de 2015, la France a introduit de nouvelles mesures permettant aux autorités d’utiliser des « boîtes noires » pour analyser l’ensemble des données de trafic des réseaux. Et ce, afin de détecter des signaux faibles de projets terroristes.
La Quadrature du Net (5) a contesté l’ensemble de ces mesures devant le Conseil d’Etat, et celui-ci a envoyé plusieurs questions préjudicielles à la CJUE. Devant cette dernière, le gouvernement français a d’abord défendu sa législation sur le fondement de l’article 4 du Traité sur l’UE qui précise que la protection de la sécurité nationale relève de la compétence exclusive de la France. A titre subsidiaire, le gouvernement français a soutenu que la lutte contre le terrorisme justifiait des mesures de surveillance plus intrusives qu’en matière de criminalité simple, et que les dispositions françaises devaient dès lors être validées compte tenu du risque accru du terrorisme.
Sur le premier point, la CJUE a confirmé que le droit de l’UE ne s’appliquait pas aux activités de renseignement et de protection de la sécurité nationale entreprises par l’Etat lui-même. En revanche, lorsque l’Etat impose aux entreprises privées des obligations telles que la conservation de données, le droit de l’UE s’applique, même s’il s’agit de mesures destinées à lutter contre le terrorisme. Par conséquent, la jurisprudence de la CJUE dans les affaires précitées de 2014 « Digital Rights Ireland » et de 2016 « Tele2 Sverige et Watson » s’applique pleinement à la France.
La CJUE a été d’accord avec la France sur la nécessité d’accorder une marge de manœuvre plus grande aux Etats membres en matière de protection de la sécurité nationale, car la menace est d’une toute autre nature qu’en matière de criminalité. Pour apprécier la proportionnalité de différentes mesures de surveillance, la CJUE établit trois niveaux de gravité :
• Le premier niveau est la protection de la sécurité nationale, y compris la lutte contre le terrorisme. Selon la CJUE, « la prévention et la répression d’activités de nature à déstabiliser gravement les structures constitutionnelles, politiques, économiques ou sociales fondamentales d’un pays, et en particulier à menacer directement la société, la population ou l’Etat en tant que tel », peut justifier une atteinte plus forte aux droits fondamentaux et, notamment, une obligation généralisée de conserver des données de trafic et de localisation. Mais cette obligation ne peut être justifiée que pendant une période limitée durant laquelle il existerait des « circonstances suffisamment concrètes permettant de considérer que l’Etat (…) fait face à une menace grave » pour sa sécurité nationale. Une commission indépendante ou un tribunal doit valider l’existence d’une telle menace.

Les trois niveaux de gravité
• Le deuxième niveau de gravité concerne la lutte contre la criminalité grave et les menaces graves contre la sécurité publique. Pour ce niveau, une obligation de conservation systématique et continue de données est exclue. Selon la CJUE, il faudrait qu’il existe un lien, même indirect, entre les données dont la conservation est demandée, et la détection ou la répression d’un crime grave. Ainsi, les demandes de conservation de données de trafic et de localisation doivent être ciblées, concernant un groupe particulier de personnes, ou une zone géographie à risque, par exemple les données de trafic autour d’une gare. En revanche, s’il s’agit uniquement des adresses IP, ceux-ci peuvent être stockés de manière généralisée, selon la justice européenne.
• Le troisième niveau concerne toutes les formes de criminalité. Seul le stockage des données relatives à l’identité civile des utilisateurs peut être envisagé. La conservation d’autres données est exclue.
Cette approche graduée découle naturellement de la jurisprudence de la CJUE en matière de proportionnalité – plus la menace pour l’Etat et les citoyens est élevée, plus le niveau d’ingérence avec la vie privée peut être élevé.

Algorithmes de détection en temps réel
La France devra donc réécrire ses lois pour introduire une différenciation entre les menaces graves pour la sécurité nationale (menaces de niveau 1), menaces graves pour la sécurité publique et lutte contre la criminalité grave (menaces de niveau 2), et lutte contre la criminalité ordinaire (menaces de niveau 3). A chaque niveau correspondra des règles adaptées en matière de conservation des données.
L’autre leçon de la décision de la CJUE concerne la régulation des algorithmes utilisés par l’administration française pour détecter des projets terroristes. Depuis la loi de 2015 sur les techniques de renseignement (6), les services spécialisés – désignés par décret en Conseil d’Etat – ont la possibilité de procéder à l’analyse automatique des données de trafic et de localisation en temps réel afin de détecter des signaux faibles d’activités terroristes. Cette possibilité est strictement encadrée par la Commission nationale de contrôle des techniques de renseignement (CNCTR (7)), et la période d’expérimentation doit prendre fin le 31 juillet 2021. Le gouvernement a récemment proposé d’étendre la période d’expérimentation des algorithmes jusqu’à fin décembre 2021.
L’utilisation de l’intelligence artificielle pour lutter contre le terrorisme est controversée, car les algorithmes sont faillibles et peuvent tirer des conclusions erronées et discriminatoires. Dans sa décision du 6 octobre, la CJUE fournit une feuille de route sur la possibilité de déployer ces outils.
D’abord, la justice européenne confirme que l’analyse des données de trafic et de localisation en temps réel constitue une ingérence « particulièrement grave » avec la protection de la vie privée. Le déploiement d’un tel dispositif doit être prévu par une loi claire et précise qui définit les limites et les mesures de protection accompagnant le dispositif. La CJUE indique que le dispositif ne peut se justifier qu’en présence d’une menace grave pour la sécurité nationale qui s’avère « réelle et actuelle ou prévisible ». Un tribunal ou autorité administrative indépendante doit contrôler l’existence d’une telle menace, et ses décisions doivent avoir un effet contraignant. En ce qui concerne l’algorithme lui-même, les modèles et critères préétablis doivent être « spécifiques et fiables, permettant d’aboutir à des résultats identifiant des individus à l’égard desquels pourrait peser un soupçon raisonnable de participation à des infractions terroristes et, d’autre part, non discriminatoires ». Les modèles et critères préétablis ne peuvent se fonder seulement sur des données sensibles. Les termes utilisés par la CJUE suggèrent que l’algorithme pourrait éventuellement s’appuyer – en partie – sur des données sensibles, ce qui semble en contradiction avec le règlement général sur la protection des données (RGPD) en vigueur au niveau européen. La CJUE indique ensuite que tout algorithme comporte un taux d’erreur, et que tout résultat positif doit être soumis à un réexamen individuel par un analyste humain avant la mise en œuvre d’autres mesures de surveillance. Cette exigence de la CJUE pose la question de la compréhension de la recommandation algorithmique par l’analyste humain et sa capacité de contredire l’algorithme. Pour qu’il y ait une vraie intervention humaine, l’algorithme doit être en mesure d’expliquer pourquoi il a détecté des signaux faibles d’activités terroristes, et l’analyste humain doit être en mesure d’apporter une analyse critique par rapport à l’explication donnée par l’algorithme. Lorsque l’algorithme s’appuie sur des techniques d’apprentissage-machine (machine learning), de telles explications peuvent s’avérer difficiles. La CJUE impose un réexamen régulier de l’algorithme et les données utilisées pour garantir l’absence de discrimination et le caractère strictement nécessaire du dispositif à la lumière de la menace terroriste. La fiabilité et l’actualité des modèles et critères préétablis, et les bases de données utilisées, doivent également être revues régulièrement par une autorité de contrôle, soit une forme de suivi dynamique. Enfin, si l’algorithme débouche sur la surveillance plus poussée d’un individu, celui-ci doit être informé dès le moment où cette communication n’est pas susceptible de compromettre les missions incombant aux autorités.

Renseignement : la loi française à réécrire
Réunie le 7 juillet 2020, la commission de la Défense nationale et des Forces armées de l’Assemblée nationale a estimé que le recours aux algorithmes était utile et nécessaire dans lutte contre le terrorisme et devrait être pérennisé, voire étendu pour permettre l’analyse d’autres données, telles que des URL (8) de sites web consultés (9). Au moment de sa séance, la commission parlementaire avait connaissance de l’affaire pendante devant la CJUE et a reconnu que celle-ci pourrait avoir un profond impact sur les méthodes utilisées en France. Elle ne s’y est pas trompée : la décision du 6 octobre impose une réécriture de la loi française sur les techniques de renseignement. @

* Winston Maxwell, ancien avocat, est depuis juin 2019
directeur d’études Droit et Numérique à Telecom Paris.

Comment YouTube et Uploaded ont encore échappé à leurs responsabilités dans deux affaires de piratage

L’article 17 controversé de la directive « Droit d’auteur et les droits voisins dans le marché unique numérique » n’a pu être appliqué ni à YouTube (Google) ni à Uploaded (Cyando). Et pour cause : l’Allemagne, où deux plaintes pour piratage avaient été déposées, n’a pas encore transposé le texte européen.

Par Rémy Fekete, avocat associé, et Eddy Attouche, juriste, Jones Day

On retient de Beaumarchais son Figaro. On sait moins qu’il fut l’inlassable défenseur des droits d’auteurs : « On dit au foyer des Théâtres qu’il n’est pas noble aux Auteurs de plaider pour le vil intérêt, eux qui se piquent de prétendre à la gloire. On a raison. La gloire est attrayante. Mais on oublie que pour en jouir seulement une année, la nature nous condamne à diner trois cent soixante-cinq fois ».

Deux affaires jointes sous l’ancien régime
Depuis près de 230 ans maintenant, sous l’impulsion de Pierre-Augustin Caron – alias Beaumarchais (1) – les droits d’auteurs sont reconnus comme un gagne-pain après la Révolution française. C’est désormais le combat des défenseurs des droits d’auteurs et des droits voisins qui s’opposent aux plateformes Internet. En cause, la difficulté d’identifier le responsable de la communication au public lorsqu’un internaute indélicat se permet de mettre en ligne sans autorisation une œuvre protégée. « Responsable mais pas coupable ». On entend cette défense depuis les origines de l’Internet, chaque fois qu’une plateforme numérique (2) est assignée en raison de comportements illicites qui s’y tiennent. Mais l’évolution en cours du droit européen pourrait rendre la vie moins facile aux géants du Net. Dans la nouvelle affaire qui occupe la Cour de justice de l’Union européenne (CJUE), Frank Peterson, un producteur de musique, poursuit YouTube et sa maison-mère Google, devant les juridictions allemandes, au sujet de la mise en ligne – par des utilisateurs et sans son autorisation, sur la plateforme YouTube – de plusieurs musiques sur lesquelles il allègue détenir des droits (3). Elsevier, un groupe d’édition néerlandais, poursuit également devant les juridictions allemandes Cyando, l’exploitant de la plateforme numérique Uploaded, du fait de la mise en ligne par des utilisateurs, sans son autorisation, de différents ouvrages dont l’éditeur détient les droits exclusifs (4). La Cour fédérale de justice en Allemagne a soumis plusieurs questions préjudicielles à la CJUE sur l’interprétation du droit de l’Union européenne applicable en la matière. La question principale consiste à savoir si les exploitants de plateformes en ligne, telles que YouTube et Uploaded, sont responsables de la mise en ligne illégale d’œuvres protégées, effectuée par les utilisateurs de ces plateformes. La CJUE n’a toujours pas rendu son arrêt dans les deux affaires jointes, mais les conclusions de l’avocat général, Henrik Saugmandsgaard Øe, ont été publiées en juillet (5). Celui-ci précise le cadre juridique applicable à ces deux litiges : il s’agit de deux directives européennes, respectivement « Ecommerce » de 2000 sur le commerce électronique et « DADVSI » de 2001 sur l’harmonisation de certains aspects du droit d’auteur et des droits voisins dans la société de l’information. La directive « E-commerce » a été modifiée par la directive de 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique (« DADVMUN »), qui a mis en place, pour les exploitants de plateformes en ligne, un nouveau régime de responsabilité spécifique pour les œuvres illégalement mises en ligne par les utilisateurs de ces plateformes numériques. Cependant, cette nouvelle directive « DADVMUN » ne s’applique pas aux présents litiges étant donné qu’elle n’a toujours pas été transposée en droit allemand. Elle doit l’être dans chaque droit national des Etats membres au plus tard le 7 juin 2021. Pour l’heure, ces deux affaires « allemandes » ne peuvent pas encore s’appuyer sur la directive «DADVMUN» (6). Les conclusions de l’avocat général, qui sont souvent suivies par les juges de la CJUE, ont porté sur la responsabilité directe et la responsabilité indirecte de YouTube et de Uploaded, ainsi que sur la demande d’injonction judiciaire à l’égard de ces deux exploitants de plateformes numérique.

Responsabilité directe
• La responsabilité directe
des exploitants de plateformes en ligne est conditionnée par la réalisation d’actes de communication au public. La juridiction de renvoi demande si les exploitants de plateformes en ligne réalisent un acte de « communication au public », au sens de la directive « DADVSI » (7), lorsqu’un utilisateur de leurs plateformes y met en ligne une œuvre protégée. Pour répondre à cette question, l’avocat général opère une distinction fondamentale entre une simple fourniture d’installations, et la réalisation d’actes de communication au public (8). En réalité, selon lui, les exploitants de plateformes en ligne telles que YouTube et Uploaded jouent simplement un rôle d’intermédiaire par le biais de la fourniture d’installations aux utilisateurs de leurs plateformes. Ces exploitants ne décident pas, de leur propre chef, de communiquer des œuvres à un public. Ils suivent les instructions données par les utilisateurs de leurs services qui, eux, décident de transmettre des contenus déterminés et initient activement leur communication (9). Par conséquent, seuls les utilisateurs qui mettent en ligne des œuvres protégées réalisent un acte de communication au public proprement dite de ces œuvres. La responsabilité directe ou primaire susceptible de résulter de cette communication est alors supportée uniquement par ces utilisateurs. Il en résulte que YouTube et Uploaded ne sont, en principe, pas directement responsables de la mise en ligne illicite d’œuvres protégées, effectuée par les utilisateurs de leurs plateformes.

Responsabilité indirecte
• La responsabilité indirecte
des exploitants de plateformes en ligne est conditionnée par la connaissance du caractère illicite des informations stockées. Malgré l’absence de leur responsabilité directe, YouTube et Uploaded peuvent être indirectement responsables dans la mesure où ils « facilitent la réalisation, par des tiers, d’actes illicites de communication au public » (10). Cependant, l’article 3, paragraphe 1, de la directive «DADVSI » ne régit pas cette question. L’avocat général indique à cet égard que c’est l’article 14, paragraphe 1, de la directive « E-commerce » qui a vocation à s’appliquer. Conformément à cet article, un exploitant d’une plateforme en ligne telle que YouTube ou Uploaded ne peut être indirectement tenu responsable pour des informations qu’il stocke à la demande de ses utilisateurs, à moins que cet exploitant, après avoir pris connaissance du caractère illicite de ces informations, ne les ait pas promptement retirées ou rendus inaccessibles. Autrement dit, l’absence de connaissance du caractère illicite des informations constitue une cause d’exonération de la responsabilité indirecte des exploitants de plateformes en ligne. En l’occurrence, Henrik Saugmandsgaard Øe considère que YouTube et Uploaded peuvent bénéficier, en ce qui concerne leur responsabilité indirecte ou secondaire, de l’exonération prévue à l’article 14, paragraphe 1, de la directive « E-commerce », étant donné qu’ils ne jouent pas un « rôle actif » de nature à leur conférer une connaissance du caractère illicite des informations en question (11). L’avocat général précise néanmoins que l’exonération prévue est, en toute hypothèse, limitée à la responsabilité susceptible de résulter des informations stockées, et ne s’étend pas aux autres aspects de l’activité de l’exploitant en question (12).
• La demande d’injonction judiciaire à l’égard des exploitants de plateformes en ligne : une éventuelle possibilité indépendante de la responsabilité. Enfin, l’avocat général propose à la CJUE de juger que, indépendamment de la question de la responsabilité, les titulaires de droits peuvent obtenir, en vertu du droit de l’Union européenne, des injonctions judiciaires à l’encontre des exploitants de plateformes en ligne, susceptibles de leur imposer des obligations (13). En effet, l’article 8, paragraphe 3, de la directive « DADVSI » oblige les États membres à veiller à ce que les titulaires de droits puissent demander qu’une ordonnance sur requête soit rendue à l’encontre des intermédiaires dont les services sont utilisés par un tiers pour porter atteinte à un droit d’auteur ou à un droit voisin. En ce sens, les titulaires de droits doivent pouvoir demander de telles injonctions dès lors qu’il est établi que des utilisateurs portent atteinte à leurs droits, via les services de YouTube et Uploaded, sans devoir attendre qu’il y ait eu récidive et sans avoir à démontrer un comportement fautif de l’intermédiaire (14). Henrik Saugmandsgaard Øe indique toutefois que les mesures prises à l’encontre de YouTube et Uploaded dans le cadre d’une injonction doivent être proportionnées. A ce titre, ces mesures doivent assurer un juste équilibre entre les différents droits et intérêts en jeu et ne doivent pas créer d’obstacles aux utilisations licites du service de ces exploitants.
Le délai de transposition de la directive « DADVMUN » expire le 7 juin 2021. Une fois applicable, cette nouvelle directive devrait durablement changer le régime de responsabilité des exploitants de plateformes en ligne telles que YouTube et Uploaded, notamment en ce qui s’agit des œuvres illégalement mises en ligne par les utilisateurs. Un fournisseur de services de partage de contenus en ligne sera considéré comme responsable d’un acte de communication au public lorsqu’il permettra au public l’accès à des œuvres protégées par le droit d’auteur, mises en ligne par ses utilisateurs (15). Un tel fournisseur devra lui-même obtenir une autorisation des titulaires de droits, en concluant un accord de licence, par exemple, pour les œuvres mises en ligne par ses utilisateurs (16). Ces nouvelles responsabilités prévues par la directive « DADVMUN » sont inscrites dans le fameux article 17 plus que jamais controversé, comme l’illustre la lettre d’organisations de la société civile adressée le 14 septembre (17) à la Commission européenne qui a esquissé cet été ses lignes directrices sur l’application de cet article 17 (18).
Sous le régime de la future directive, il est probable que l’avocat général de la CJUE aurait conclu différemment en tenant YouTube et Uploaded responsables des actes illicites de communication au public réalisés par l’intermédiaire de leurs plateformes, à défaut d’obtenir une autorisation des titulaires de droits. Cette fois ci sans plus trouver refuge dans l’exonération de responsabilité prévue par la directive « E-commerce ».

Fin des privilèges, fin des impunités
La Révolution française donna raison à Pierre-Augustin Caron de Beaumarchais en mettant un terme au privilège des acteurs de la Comédie-Française qui pouvaient librement jouer les pièces en ne reversant que des rémunérations minimes aux auteurs. C’est à la fiction du « tout gratuit » que la directive « DADVMUN » vient mettre un terme, en appelant justement à la responsabilisation des citoyens et en sonnant la fin de l’impunité des plateformes qui doivent désormais se doter de mesures techniques afin d’identifier les contenus protégés mis en ligne. @

Taxation des GAFAM : l’annulation du redressement fiscal d’Apple illustre les velléités de l’Europe

Si la Commission européenne fait appel de l’arrêt du Tribunal de l’UE qui a annulé le 15 juillet sa décision condamnant Apple à rembourser l’Irlande de 13 milliards d’euros d’avantages fiscaux, le verdict final interviendra en 2021. Sinon, l’affaire sera close. Retour sur un jugement qui fera date.

(Au moment de la publication de cet article dans le n°241 de Edition Multimédi@, la Commission européenne annonçait qu’elle faisait appel du jugement « Apple-Irlande »)

Par Fabrice Lorvo (photo), avocat associé, FTPA

La révolution numérique, en dématérialisant l’achalandage, a entraîné, brutalement, une redistribution du partage de la valeur en faveur de certains distributeurs à savoir les GAFAM (1) et en défaveur des producteurs (de produits et de services). Cette captation par les géants dominants d’Internet se fait aussi au détriment des Etats, notamment européens, car si ces Big Tech affichent une prospérité démesurée, leurs contributions par le biais de l’impôt demeurent souvent symboliques.

Le « LuxLeaks » révélé en 2014
A la suite d’articles de presse indiquant, sur les révélations « LuxLeaks » du consortium international de journalistes d’investigation ICIJ (2), que des grandes entreprises – dont Apple et Amazon (3) – avaient bénéficié d’importantes réductions d’impôts, accordées par des autorités fiscales nationales, au moyen de « décisions anticipatives en matière fiscale » ou tax rulings (4), la Commission européenne avait ouvert le 11 juin 2014 une enquête pour vérifier la conformité de ces pratiques au regard des règles de l’Union européenne (UE) en matière d’aides d’Etat. Elle en a finalement dénoncé le mécanisme. L’enquête a notamment visé deux filiales (à 100 %) de droit irlandais du groupe Apple : Apple Sales International (ASI) et Apple Operations Europe (AOE). ASI est chargée d’acheter des produits Apple et de les vendre notamment en Europe. AOE, elle, fabrique certaines gammes d’ordinateurs pour le groupe Apple.
Ces deux filiales d’Apple déclaraient, chacune, n’avoir qu’une succursale en Irlande et leur siège en dehors de l’Irlande. En conséquence, du fait de répartitions internes, seule une petite fraction des bénéfices d’ASI et d’AOE étaient affectés à leurs succursales irlandaises et soumis à l’impôt en Irlande. La plupart des bénéfices étaient affectés en interne à un « siège » des deux filiales situé en dehors de l’Irlande où ils échappaient à l’impôt – et sans qu’aucun pays ne soit mentionné. Les deux « rulings » fiscaux émis par l’Irlande, le premier de 1991 à 2007 et le second de 2007 à 2014, avalisaient ces répartitions internes. En 2011, ASI a fait état lors d’auditions devant le Sénat américain d’un bénéfice de 16 milliards d’euros mais du fait du tax ruling, seuls 50 millions d’euros ont été imposés en Irlande. Résultat : 15,95 milliards d’euros de bénéfice ont éludé l’impôt (5). L’enquête de la Commission européenne a conclu que les rulings fiscaux irlandais avalisaient une répartition interne artificielle des bénéfices au sein d’ASI et d’AOE, que rien ne justifiait sur le plan factuel ou économique. Cet avantage présentait un caractère sélectif, puisqu’il entraînait une réduction de la charge de l’impôt des deux filiales d’Apple en Irlande par rapport aux sociétés non intégrées dont le bénéfice imposable reflétait les prix négociés sur le marché dans des conditions de pleine concurrence. La Commission européenne a justifié son analyse par trois arguments :
• A titre principal, la Commission européenne a reproché le principe d’attribution des bénéfices dérivés des licences de PI qu’elles détenaient aux sièges (hors d‘Irlande) d’ASI et d’AOE et non à ses succursales irlandaises. Selon elle, cette attribution était fictive dès lors que ces sièges n’étaient situés dans aucun pays, n’employaient aucun salarié et ne possédaient pas de locaux. Leurs activités s’en tenaient à des décisions limitées prises par ses directeurs – dont un grand nombre travaillaient simultanément à temps plein comme cadres dirigeants pour Apple Inc. – concernant la distribution des dividendes, les arrangements administratifs et la gestion de trésorerie.

Gestion fantôme des licences PI
Plus particulièrement s’agissant des fonctions afférentes aux licences de PI, la Commission européenne a soutenu que de telles fonctions n’avaient pas pu être exercées uniquement par le biais des conseils d’administration d’ASI et d’AOE, en l’absence de personnel. De plus, il n’a été trouvé dans les procès-verbaux des réunions des conseils d’administration aucune référence à des discussions et à des décisions à cet égard. Dans la mesure où les sièges des deux filiales de droit irlandais n’avaient pas pu contrôler ni gérer les licences de PI du groupe Apple, ces sièges n’auraient pas dû se voir attribuer, dans un contexte de pleine concurrence, les bénéfices tirés de l’utilisation de ces licences. Seule les branches irlandaises d’ASI et d’AOE étaient en mesure d’exercer effectivement des fonctions essentielles à l’activité commerciale en rapport avec la PI du groupe Apple, et avaient la capacité opérationnelle d’exercer et de gérer l’activité de distribution, et ainsi la capacité de générer des revenus commerciaux. En conséquence, les bénéfices de vente d’ASI et d’AOE auraient dû être attribués aux succursales irlandaises d’ASI et d’AOE, et donc imposés en Irlande.

La fiscalité irlandaise en question
• A titre subsidiaire, la Commission européenne a reproché les méthodes d’attribution aux sièges (hors d‘Irlande) d’ASI et d’AOE des bénéfices dérivés des licences de PI qu’elles détenaient. En effet, même si les autorités fiscales irlandaises avaient eu raison d’accepter l’hypothèse de l’attribution hors d’Irlande des licences de PI, les méthodes d’attribution ayant permis de déterminer le bénéfice annuel d’ASI et d’AOE imposable en Irlande étaient fondées sur des choix méthodologiques inadéquats qui ne permettait pas une approximation fiable d’un résultat fondé sur le marché dans des conditions de pleine concurrence.
• A titre alternatif, elle a considéré que les rulings fiscaux contestés avaient été adoptés par les autorités fiscales irlandaises de façon discrétionnaire, en l’absence de critères objectifs liés au système fiscal irlandais, et que, de ce fait, ils procuraient un avantage sélectif à ASI et à AOE.
En conséquence, la Commission européenne a jugé que les rulings fiscaux irlandais constituaient donc une aide d’Etat incompatible avec le marché intérieur. Elle a exigé que l’Irlande récupère auprès d’Apple les impôts impayés pendant la période considérée. L’Irlande ainsi qu’ASI et AOE ont contesté cette décision.
Le Tribunal de l’Union européenne (TUE) en date du 15 juillet 2020, dans les deux affaires concernées (6) (*) (**), a annulé la décision contestée car il a jugé que la Commission européenne n’avait pas rapporté la preuve de l’existence d’un avantage économique sélectif et, consécutivement, d’une aide d’Etat en faveur d’ASI et d’AOE. Sur l’argument à titre principal, le TUE a considéré que la Commission européenne n’est pas parvenue à démontrer, qu’eu égard, d’une part, aux activités et aux fonctions effectivement exercées par les succursales irlandaises d’ASI et d’AOE et, d’autre part, aux décisions stratégiques prises et mises en œuvre en dehors de ces succursales, lesdites succursales irlandaises auraient dû se voir attribuer les licences de PI du groupe Apple, aux fins de la détermination des bénéfices annuels imposables d’ASI et d’AOE en Irlande. Le TUE a jugé que la Commission européenne n’a pas rapporté la preuve qu’une telle attribution découlait des activités réellement effectuées par lesdites succursales irlandaises. Elle n’a pas cherché à établir que les organes de gestion des succursales irlandaises d’ASI et d’AOE avaient effectivement exercé la gestion quotidienne active de l’ensemble des fonctions et des risques afférents à la PI du groupe Apple. A l’inverse, selon le TUE, les activités des succursales irlandaises sont des activités auxiliaires et d’exécution de politiques et de stratégies conçues et adoptées en dehors de ces succursales, notamment en ce qui concerne la recherche, le développement et la commercialisation des produits de la marque Apple. De plus, l’Irlande ainsi qu’ASI et AOE ont prouvé que lesdites activités n’ont inclus ni la gestion ni la prise de décisions stratégiques concernant le développement et la commercialisation de la PI. A l’inverse, il apparaît que toutes les décisions stratégiques, particulièrement en ce qui concerne la conception et le développement des produits, ont été prises suivant une stratégie commerciale globale déterminée à Cupertino où se trouve le siège d’Apple en Californie et mises en œuvre par les deux sociétés en question, par leurs organes de direction, en tout état de cause, en dehors des succursales irlandaises. En outre, le TUE considère que la Commission européenne n’est pas parvenue à démontrer, au titre de son raisonnement subsidiaire, des erreurs méthodologiques dans les rulings qui auraient abouties à une diminution des bénéfices imposables d’ASI et d’AOE en Irlande. En effet, bien que le TUE déplore le caractère lacunaire et parfois incohérent des rulings fiscaux contestés, les défaillances identifiées par la Commission européenne, à elles seules, ne suffisent pas à prouver l’existence d’un avantage (7). Par ailleurs, le TUE considère qu’elle n’a pas prouvé, au titre de son raisonnement alternatif, que les rulings fiscaux contestés étaient la conséquence du pouvoir discrétionnaire exercé par les autorités fiscales irlandaises.
Le TUE semble avoir rappelé à la Commission européenne qu’on ne fait pas de droit fiscal avec du droit de la concurrence et que ces questions nécessitent un accord au niveau des Etats européens mais aussi du reste du monde…
Parallèlement, faute d’accord international, l’adoption « au cours du premier semestre 2021 » d’une taxe européenne sur les entreprises du numérique a été annoncée à l’occasion d’une réunion le 11 septembre 2020 des ministres des Finances de l’UE (8).

Victime collatérale : le consommateur
Il est cependant plus que probable que ce succès espéré aura pour victime collatérale le consommateur. En effet, certains pays européens (France, Italie, Royaume Uni) ou pas (Chili, Mexique, Arabie saoudite, Turquie) ont déjà soumis les GAFAM à des taxes nationales. Dans un communiqué, Apple a fait savoir aux développeurs français que la taxe sur le numérique de 3% du chiffre d’affaires votée en 2019 serait intégrée dans le calcul de leurs revenus générés dans l’App Store (9). De même, le fabricant des iPhone et des iPad reportera sur le prix la taxe de 3 % votée en Italie et celle de 2 % adoptée au Royaume-Uni, ainsi que le prélèvement de 7,5 % mis en place par la Turquie. @

* Fabrice Lorvo est l’auteur du livre
« Numérique : de la révolution au naufrage ? »,
paru en 2016 chez Fauves Editions.