Le législateur européen poursuit ses travaux en vue de créer un marché unique des données. La dernière avancée en date : le règlement sur les données, dit « Data Act », entré en vigueur le 11 janvier 2024. Il sera applicable à compter du 12 septembre 2025. Tour d’horizon de ses principales dispositions.
Archives de l’auteur : Charles de Laubier
européennes en font-elles assez en tant que gendarmes des données personnelles ?Les « Cnil » européennes en font-elles assez en tant que gendarmes des données personnelles ?
Edition Multimédi@ revient sur la Journée de la protection des données (Data Protection Day) qui a été célébrée – comme tous les ans depuis 2007 – le 28 janvier. L’organisation Noyb a publié un sondage montrant, en creux, que les « Cnil » européennes ne contrôlent pas assez le respect du RGPD.
La Journée de la protection des données (Data Protection Day) qui été célébrée – comme tous les ans depuis 2007 (1) – le 28 janvier, est tombée cette année un dimanche. D’où le peu d’intérêt qu’elle a cette fois suscité. Pourtant, cette cause est cruciale pour les vies numériques des presque 404 millions d’internautes de l’Union européenne (UE), laquelle compte 445,8 millions d’Européens (2). Les données personnelles de ces citoyens de l’UE sont censées être protégées par les « gendarmes » des données personnelles justement, à savoir les « Cnil » dans chacun des Vingt-sept.
Les « Cnil » font-elles leur boulot ?
Or les « Cnil » de l’UE, réunies au sein du Comité européen de la protection des données (CEPD/EDPB) aux côtés de la Commission européenne qui participe à leurs réunions (sans droit de vote), n’useraient pas suffisamment de leurs pouvoirs de contrôle et d’enquête pour vérifier que les plateformes numériques et les sites web respectent – entre autres obligations de protection de la vie privée de leurs utilisateurs – le règlement général sur la protection des données (RGPD). C’est ce qui ressort, en creux, d’un vaste sondage mené par l’organisation autrichienne Noyb – « centre européen pour les droits numériques » cofondé à Vienne et dirigé par Max Schrems (photo) – auprès de 1.000 professionnels de la protection des données travaillant dans des entreprises européennes.
Dans les résultats de cette étude sans précédent depuis l’entrée en vigueur du RGPD le 25 mai 2018, il y a plus de cinq ans, il ressort que 74,4 % des professionnels interrogés – de nombreux étant eux-mêmes des DPO (Data Protection Officers), à savoir des délégués à la protection des données dans une entreprise – affirment que « si les autorités de protection des données personnelles [les « Cnil » européennes, ndlr] menaient une enquête sur place dans une entreprise moyenne traitant des données d’utilisateurs, elles trouveraient des “violations pertinentes” ». Autrement dit, la plupart des entreprises, au premier rang desquelles les grandes sociétés, ne respectent pas les obligations du RGPD (3) pour protéger la vie privée des personnes dont elles exploitent les données personnelles. Et, en toute impunité puisque les « Cnil » – les Data Protection Authorities (DPA) – en contrôlent très peu. Les sociétés et organisations sont donc en infraction avec ce règlement européen, lequel prévoit trois types sanctions financières en cas de violation des données personnelles :
• Pour les violations des obligations incombant au responsable du traitement et au sous-traitant, des obligations incombant à l’organisme de certification, ou des obligations incombant à l’organisme chargé du suivi des codes de conduite : amendes administratives pouvant s’élever jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
• Pour les violations aux principes de base d’un traitement, y compris les conditions applicables au consentement, aux droits dont bénéficient les personnes concernées, aux transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale, à toutes les obligations découlant du droit des Etats membres, ou au non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle, ou le fait de ne pas accorder l’accès prévu : amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. « Le non-respect d’une injonction émise par l’autorité de contrôle [une « Cnil » en Europe, ndlr] fait l’objet d’amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu », prévoit le RDPD (4).
France : seulement 125 agents habilités
Chaque autorité de contrôle des données personnelles est dotée de pouvoirs, sur son territoire, de contrôler l’application du RGPD et de veiller à son respect, ainsi que de pouvoirs d’enquêtes sur l’application de ce même règlement, « y compris sur la base d’informations reçues d’une autre autorité de contrôle ou d’une autre autorité publique » (5). Parmi ses nombreuses attributions en tant que gendarme des données personnelles, la « Cnil » européenne traite aussi « les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association, […] et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de contrôle est nécessaire ». Mais les autorités de contrôle des données dans l’UE remplissent-elles bien leur mission de contrôles, d’enquêtes voire de sanctions ? Au vu des constatations de Noyb, le doute s’installe sur leurs capacités à faire respecter la loi, en l’occurrence le RGPD. En France, la Cnil ne dispose que de 125 agents habilités « à procéder à des missions de vérification », d’après sa dernière délibération du 7 décembre 2023 publiée au Journal Officiel (6). Contactée par Edition Multimédi@, la Cnil nous indique qu’elle n’a « pas de commentaires à faire concernant le sondage Noyb ».
Le « soft-law » des DPA jugé inefficace
Le fait que 74,4 % des sondés par Noyb se disent d’accord avec l’affirmation selon laquelle « les autorités de protection des données trouveraient sûrement des violations pertinentes du RGPD » (voir tableau ci-dessous) en disent long sur le peu de contrôles et d’enquêtes qui sont menés sur le terrain. Les « Cnil » sont donc appelées à, en substance, faire vraiment leur travail de vérification en se rendant dans les entreprises. Avec ses 125 agents habilités, la Cnil française semble par exemple presque désarmée – en tant que gendarme des données personnelles – face à l’ampleur de la tâche. Sachant que, rien qu’en France d’après le rapport annuel de la Cnil, présenté par sa présidente Marie-Laure Denis (photo ci-contre) en mai 2023, il y a 89.841 délégués à la protection des données (DPO) susceptibles d’être contrôlés. Cela fait par agent assermenté plus de 700 responsables – de traitement des données personnelles et de la protection de la vie privée – à « vérifier »… Résultat, comme le constate Noyb, « les professionnels évoluent encore dans une culture de non-conformité ou de conformité partielle ». Et le président honoraire de Noyb d’enfoncer le clou : « Il est extrêmement alarmant de constater que 74,4 % des professionnels de la protection des données au sein des entreprises déclarent que les autorités trouveraient en des violations importantes dans une entreprise moyenne. De tels chiffres seraient inimaginables s’il s’agissait de se conformer à la législation fiscale ou à la réglementation en matière de sécurité incendie. La non-conformité ne semble être la norme que lorsqu’il s’agit des données personnelles des utilisateurs » (7). Autre critique à l’égard des « Cnil » et de leur représentation CEPD/EDPB à Bruxelles : les instruments dits de soft-law sont inefficaces, à savoir notamment leurs lignes directrices et recommandations qui n’ont que peu d’influence et sont considérées comme généralistes. D’après l’enquête de Noyb, 70,9 % des personnes interrogées pensent qu’il faudrait des décisions plus claires de la part des gendarmes européens des données personnelles (les vingt-sept DPA) et des tribunaux pour améliorer la conformité. Pour l’écrasante majorité des sondés, il y a « un besoin d’une plus grande implication réellement des DPA pour améliorer la protection de la vie privée des utilisateurs dans la pratique » et il y a encore « beaucoup d’interprétations contradictoires du RGPD ».
Et un avocat néerlandais spécialiste du RGPD de faire remarquer : « Si les Big Tech ne respectent pas le RGPD, pourquoi les petites entreprises se donneraient la peine de se conformer ? ». L’outil d’audit de site web WAT lancé le 29 janvier dernier par le CEPD/EDPB, sous forme de logiciel open source et gratuit (8), devrait permettre aux gendarmes des données et aux éditeurs Internet de vérifier la conformité ou pas de sites web. Reste qu’aujourd’hui le droit à la vie privée et à la protection des données est en grande partie bafoué en Europe, plus de cinq ans après l’entrée en vigueur du RGPD qui devrait en principe faire l’objet d’une révision cette année (9). @
Charles de Laubier
La vente de La Poste Mobile à l’un des quatre opérateurs mobiles préfigurerait la fin des MVNO
Le groupe La Poste a confirmé en janvier être vendeur de l’opérateur mobile virtuel (MVNO) La Poste Mobile, qu’il détient à 51 % aux côtés des 49 % de SFR (Altice). Xavier Niel a confirmé devant l’Association des journalistes économiques et financiers (Ajef) être candidat. Bientôt la fin des MVNO.
Invité le 29 janvier « Au Petit Riche », restaurant parisien, par l’Association des journalistes économiques et financiers (Ajef), Xavier Niel, président fondateur d’Iliad – maison mère de l’opérateur télécoms Free qu’il a créé il y a 25 ans presque jour pour jour – a confirmé être candidat au rachat des 51 % de La Poste Mobile que détient le groupe public postal (1). « La Poste Mobile, c’est aujourd’hui le leader français des opérateurs mobiles virtuels. Nous avons déjà séduit 2,3 millions de clients en 12 ans d’existence », s’était félicité récemment (2) son PDG depuis près de cinq ans, Julien Tétu (photo), un ancien dirigeant de La Banque Postale.
Les MVNO disparaissent peu à peu
Cependant, étant donné que SFR (filiale télécoms d’Altice) détient les 49 % restants du capital de La Poste Mobile et en est l’opérateur hôte exclusif, ce serait étonnant que Free réussisse à s’emparer du numéro un des MVNO (3) français. Tout dépendra du prix de l’offre de rachat des 51 % de cet acteur télécoms qui dégage un résultat d’exploitation positif. Si La Poste Mobile, créée en 2011 à partir des actifs de Simplicime – lui-même héritier d’un pionnier des MVNO français, Debitel (marque qui a disparu en 2008) –, devait tomber dans l’escarcelle de l’un des quatre opérateurs mobiles que sont Orange, Bouygues Télécom, Free ou encore SFR (lequel détient déjà les 49 % du capital aux côtés du groupe La Poste), cela réduirait de presque moitié la part de marché de ces MVNO justement. Avec ses 2,3 millions d’abonnés, La Poste Mobile représente en effet près de 40 % du total des quelque 6 millions d’abonnés que totalisent – d’après les derniers chiffres de l’Arcep publiés le 9 février (4) – les derniers des MVNO en France.
Dès lors que les 51 % détenus par le groupe public postal seraient cédés à l’un du quadriumvirat, le régulateur français des télécoms ne comptabiliserait plus La Poste Mobile comme MVNO mais intègrerait ses abonnés dans ceux de l’opérateur mobile devenu sa maison mère (majorité de son capital). Quand bien même La Poste Mobile serait toujours proposée dans les 7.000 Bureaux de poste. A ainsi disparu des radars de l’Arcep l’ex-numéro un français des MVNO, Euro-Information Telecom (EIT), que Bouygues Telecom avait racheté fin 2020 au Crédit Mutuel. L’ex-EIT, rebaptisé Bouygues Telecom Business-Distribution (BTBD), totalisait plus de 2 millions d’abonnés sous différentes marques : NRJ Mobile, CIC Mobile, Crédit Mutuel Mobile, Auchan Télécom et Cdiscount Mobile. Progressivement, les clients de l’ex-EIT migrent (sauf résiliations) vers des forfaits sous la marque de Bouygues Telecom qui continue de profiter du réseau des 4.500 agences bancaires du Crédit Mutuel et de sa filiale CIC. L’année d’avant, Bouygues Telecom avait aussi racheté en 2019 un autre MVNO, spécialisé, lui, dans les petites et moyennes entreprises : Keyyo, qui n’est plus MVNO aux yeux de l’Arcep. Depuis le 1er janvier dernier, celui-ci est rebaptisé Bouygues Telecom Entreprises Keyyo (BTEK). Du côté cette fois d’Orange, Nordnet n’est pas non plus comptabilisé comme MVNO, bien qu’il le soit depuis 2018, et pleinement filiale depuis 1998 de l’ancien monopole public des télécoms.
Quant à la filiale télécoms d’Altice, SFR, elle apparaîtrait comme l’acquéreur le plus logique de La Poste Mobile, dont elle possède déjà 49 % du capital et dispose d’un droit de préemption. Oui, mais voilà : le groupe de Patrick Drahi est surendetté et en mauvaise posture. Quoi qu’il en soit, Altice aura son mot à dire sur le futur acquéreur. A moins que SFR ne s’empare finalement de La Poste Mobile pour tenter de mieux la revendre par la suite. La filiale télécoms d’Altice s’est déjà emparée d’un MVNO : Syma Mobile en mai 2022 et ses près de 700.000 clients. Auparavant, en 2021, deux autres MVNO, Coriolis (500.000 clients) et Prixtel (300.000 clients), étaient tombés dans son escarcelle. Altice France avait aussi mis la main sur un autre MVNO arrimé au réseau SFR, Afone (moins de 80.000 clients). Mais son plus gros coup fut en 2014, il y a dix ans, lorsque SFR s’est emparé des 2 millions de clients de Virgin Mobile (Omea Telecom, ex-Omer Télécom) qui fut absorbé, mettant un terme à l’aventure du premier MVNO français en taille de l’époque (5).
La réforme de l’audiovisuel public est devenue le « marronnier » de la macronie, … et l’arlésienne ?
Rachida Dati, la cinquième ministre de la Culture de l’hyperprésident Macron, s’est emparée du marronnier de la macronie : la réforme de l’audiovisuel public. « Un audiovisuel public fort, je vous le dis, c’est un audiovisuel public qui rassemble ses forces », a-t-elle lancé lors de ses vœux 2024.
Delphine Ernotte (présidente de France Télévisions), Sibyle Veil (présidente de Radio France), Marie-Christine Saragosse (présidente de France Médias Monde) et Laurent Vallet (président de l’Institut national de l’audiovisuel) sont sur le qui-vive, depuis que Rachida Dati est ministre de la Culture. Car le plus gros dossier de la locataire de la rue de Valois est la réforme de l’audiovisuel public qu’Emmanuel Macron (photo) promet depuis début 2017 : « Nous rapprocherons les sociétés audiovisuelles publiques pour une plus grande efficacité », avait assuré le candidat d’alors, devenu le 8e président de la République française (1).
Holding « France Médias », le retour ?
Rachida Dati, cinquième (2) ministre de la Culture de l’hyperprésident, a repris le flambeau de cette réforme de l’audiovisuel devenue le « marronnier » de la macronie. « Je partage avec le président de la République la conviction que nous avons besoin d’un audiovisuel public puissant […]. Un audiovisuel public fort, je vous le dis, c’est un audiovisuel public qui rassemble ses forces. C’est pourquoi je souhaite encourager et même accélérer les coopérations entre sociétés […]. C’est aussi à cette condition que nous pourrons obtenir un financement pérenne dédié », a-t-elle prévenu le 29 janvier lors de ses vœux aux acteurs culturels. Car c’est une affaire de gros sous : la redevance audiovisuelle a été payée pour la dernière fois en 2021 par les Français (3,2 milliards d’euros collectés) ; elle a été remplacée par une fraction de la TVA fléchée vers l’audiovisuel public (4 milliards d’euros en 2024).
Mais ce dispositif fiscal ne peut aller au-delà de 2025, ce qui nécessite de voter une loi organique dès cette année, alors que les contrats d’objectifs et de moyens (COM) se terminent cette année et que les nouveaux en phase de négociation prévoient plus de synergies entre les groupes audiovisuels publics. Avant la fin de son second et dernier quinquennat, qui se terminera le 13 mai 2027, Emmanuel Macron va-t-il remettre sur les rails la création de la holding « France Médias » ? Attaché à son « en même temps », le chef de l’Etat – lequel Etat français est actionnaire unique de France Télévisions, de Radio France, de France Médias Monde et de l’INA – a changé d’avis entre son premier quinquennat et son second. Le locataire de l’Elysée avait fait sienne ((3) l’idée d’une holding France Médias proposée pour la première fois, en septembre 2015, par les sénateurs Jean-Pierre Leleux et André Gattolin dans leur rapport parlementaire « sur le financement de l’audiovisuel public » (4). Mais la crise sanitaire a fait changer d’avis le président de la République, « la grande réforme » de l’audiovisuel étant sacrifiée en juin 2020 sur l’autel du plan de relance face à « l’urgence économique » (5). Depuis, le Sénat, lui, n’a pas abandonné son idée de holding : en avril 2023, le sénateur centriste Laurent Lafon remettait au goût du jour France Médias. « Cette structure légère et stratégique constituera une étape avant une fusion des différentes entités », précisait le sénateur (LR) JeanRaymond Hugonet, le rapporteur (6) de sa proposition de loi de « réforme de l’audiovisuel public et souveraineté audiovisuelle » (7). Celle-ci fut adoptée par le Sénat en juin (première lecture), est toujours en stand-by à l’Assemblée nationale (en commission des affaires culturelles), et n’attend plus qu’un débat avec… Rachida Dati. Autant sa prédécesseure Rima Abdul-Malak s’était alignée sur Emmanuel Macron pour dire non à France Médias, « une usine à gaz » (8), autant la transfuge de la droite pourrait convaincre le chef de l’Etat de franchir le Rubicon.
Sur France Inter le 31 janvier, la nouvelle ministre de la Culture a dit vouloir « faire cette réforme et vite », en la justifiant : « Si vous voulez le préserver [l’audiovisuel public], dans un monde qui est en bouleversement technologique immense, il faut rassembler les forces. [Une BBC à la française], lorsque je n’étais pas ministre de la Culture, c’était mon idée, c’était ma conviction. Il faut rassembler les forces. Il faut un pôle [audiovisuel public] puissant. Il peut y avoir des fusions, des coopérations, des synergies positives, c’est ça auquel il faut penser » (9).
Du PJL de 2019 à la PPL de 2023
De son côté, Roch-Olivier Maistre, invité de l’Association des journalistes médias (AJM) le 1er février, a rappelé que le CSA qu’il présidait (avant de présider l’Arcom) avait rendu en novembre 2019 au gouvernement « un avis plutôt favorable » sur le projet de loi (PJL) « Communication audiovisuelle et souveraineté culturelle » (abandonné ensuite). A la page 20 de cet avis (10), le CSA « considère que cette société [France Médias] doit assurer un rôle de pilotage stratégique sans interférer avec la gestion opérationnelle quotidienne des filiales ». C’est dans cet esprit qu’est faite la proposition de loi (PPL) « Lafon » de « réforme de l’audiovisuel public et souveraineté audiovisuelle ». @
Charles de Laubier
Pub des médias en baisse : taxer les géants du Net ?
En fait. Le 30 janvier, l’Arcom et la DGMIC (ministère de la Culture) ont présenté une étude sur la publicité accaparée par les plateformes Google, Meta, Amazon et TikTok au détriment des médias. Pour le président de l’Arcom, il faut « anticiper une régulation au niveau européen pour un meilleur équilibre ».