ANCT : le New Deal Mobile pourrait être prolongé

Publié le par

En fait. Le 15 juin, l’Agence nationale de la cohésion des territoires (ANCT) a présenté sa nouvelle plateforme, « Toutes et tous connecté.e.s », pour continuer à signaler auprès de l’Etat les « trous » dans la couverture mobile. Et ce « dans la perspective d’un éventuel prolongement du New Deal Mobile ».

En clair. Il semble que le gouvernement et le régulateur s’acheminent vers un deuxième « New Deal Mobile », après le premier signé en janvier 2018 avec les quatre opérateurs mobiles Bouygues Telecom, Free, Orange et SFR. Il en est question depuis presque trois ans (1) mais, cette fois, cela en prend le chemin et s’inscrit dans la lutte contre la fracture numérique persistante en France. Autrement dit, l’actuel New Deal Mobile pourrait être « prolongé », d’après ce qu’a dit le ministre délégué en charge des télécommunications, Jean-Noël Barrot, lors d’une audition au Sénat. « Dans la perspective d’un éventuel prolongement du New Deal Mobile, l’ANCT a ouvert une nouvelle plateforme de signalement des trous de couverture mobile », rapporte la Banque des Territoires (filiale de la CDC) dans son quotidien Localtis le 19 juin.
Cette nouvelle plateforme baptisée « Toutes et tous connecté.e.s » remplace la précédente, « France mobile », laquelle avait été lancée il y a cinq ans. Le principe reste le même : permettre aux seuls élus inscrits de faire remonter le signalement de zones blanches (pas de signal) et grises (mauvaise couverture) dans leurs territoires, en termes de couverture mobile, afin que tout soit mis en œuvre pour installer de nouvelles antennes pour résorber les « trous » (2). La nouvelle plateforme a été repensée et redesignée par rapport à l’ancienne qui présentait en plus des bugs. A l’aide d’une carte zoomable, les élus sont maintenant en mesure de localiser précisément les zones mal ou pas couvertes par les opérateurs mobiles, et ils pourront bientôt suivre le déploiement des nouvelles antennes mobiles – comme l’indique l’ANCT dans une vidéo (3). L’élu pourra ainsi signaler les problèmes rencontrés (en extérieur, en intérieur, appeler, envoyer des SMS, accéder à Internet, …) et désigner le (ou les) opérateurs concerné(s).
« De nouvelles fonctionnalités seront ajoutées dans les prochains mois, afin de proposer un outil dédié aux infrastructures numériques », indique en outre l’ANCT. Car, comme des élus l’ont fait valoir lors du comité de pilotage national de l’ex-France mobile, la nouvelle plateforme « Toutes et tous connecté.e.s » devrait à terme permettre aussi de signaler les trous « dans la raquette » du déploiement de la fibre optique. Surtout que les dysfonctionnements dans les raccordements du FTTH en France (4) sont récurrents. @

La 6G n’attend plus que sa feuille de route 2030

Publié le par

En fait. Le 20 juin, la Commission européenne et le Haut représentant de la diplomatie de l’UE ont présenté ensemble la « stratégie européenne de sécurité économique ». Parmi les technologies à promouvoir pour préserver la « souveraineté » européenne : la 6G, face à la Chine qui n’est pas mentionnée.

En clair. Ursula von der Leyen, présidente de la Commission européenne, et Josep Borrell, chef de la diplomatie de l’Union européenne (UE) ont présenté le 20 juin un document commun intitulé « Stratégie européenne de sécurité économique » afin de « minimiser les risques (…) dans le contexte de tensions géopolitiques accrues et de changements technologiques accélérés » et de « promouvoir son avantage technologique dans des secteurs critiques ». Parmi les technologies à promouvoir, le document de 17 pages (1) mentionne notamment la 6G aux côtés de l’informatique quantique (quantum), des semi-conducteurs (chips) et de l’intelligence artificielle (IA).
La Chine n’est pas citée dans ce document, mais le spectre de Pékin plane. En revanche, dans son discours le 20 juin portant sur cette « sécurité économique » de l’Europe, la vice-présidente Margrethe Vestager a explicitement visé la Chine et ses deux équipementiers télécoms mondiaux, Huawei et ZTE (2). Et ce, en rappelant que la Commission européenne a, le 15 juin, fortement incité les Etats membres qui ne l’ont pas déjà fait – comme l’Allemagne voire la France – de ne plus recourir aux technologies 5G de Huawei et ZTE, les deux chinois étant cités nommément par le commissaire européen au Marché intérieur, Thierry Breton (3). Il va sans dire que la 6G est concernée par ce bannissement initié par les Etats-Unis, lesquels font pression sur les pays de l’UE et de l’OTAN pour faire de même. Pour se défendre de tomber dans le protectionnisme, la stratégie européenne de sécurité économique veut aller de pair avec « la garantie que l’Union européenne continue de bénéficier d’une économie ouverte ». La Finlande, elle, a signé le 2 juin avec les Etats-Unis une déclaration commune de « coopération dans recherche et développement de la 6G », sans que l’équipementier finlandais Nokia ne soit mentionné dans le joint statement (4). Nokia comme le suédois Ericsson profiteront de l’éviction politique de leur deux plus grands rivaux chinois.
Reste à savoir si la 6G aura des fréquences harmonisées dans l’ensemble des Vingt-sept. Lors de la 18e conférence européenne sur le spectre, qui s’est tenue les 6 et 7 juin derniers à Bruxelles et à laquelle participait l’Agence nationale de fréquences (ANFR) pour la France, un consensus s’est dégagé sur « la nécessité d’une feuille de route claire sur le spectre pour la 6G à l’horizon 2030 » (5). A suivre. @

L’accord sur le transfert des données personnelles vers les Etats-Unis peut-il aboutir ?

Publié le par

Après l’échec du « Safe Harbor » et celui du « Privacy Shield », un nouvel accord se fait attendre entre l’Union européenne et les Etats-Unis sur le transfert des données à caractère personnel. Si le processus est incontestablement en cours, il suscite des réserves qui compromettent son aboutissement.

Par Emmanuelle Mignon, avocat associé, et Gaël Trouiller, avocat, August Debouzy

(Article paru le 26-06-23 dans EM@ n°302. Le 03-07-23, les Etats-Unis ont déclaré avoir « rempli leurs engagements » pour la protection des données UE-US. Le 10-07-23, la Commission européenne a publié sa décision d’adéquation)

En mars 2022, la Commission européenne avait annoncé qu’un accord politique entre sa présidente Ursula von der Leyen et le président des Etats-Unis Joe Biden avait été trouvé (1) : une première traduction juridique de cet accord, intitulé « Data Privacy Framework » (DPF) est alors née, le 7 octobre 2022, du décret présidentiel américain – Executive Order n°14086 – sur « le renforcement des garanties relatives aux activités de renseignement sur les transmissions des Etats-Unis » (2).

Après l’annulation du « Privacy Shield »
Sur le fondement de cet Executive Order (EO), la Commission européenne a publié, le 13 décembre 2022 (3), un projet de décision d’adéquation du système étasunien de protection des données au droit de l’Union européenne (UE). Celui-ci a fait l’objet d’un avis consultatif du Comité européen de la protection des données (CEPD) du 28 février dernier. Cet avis reconnaît que l’EO apporte de « substantielles améliorations », mais souligne cependant que des écueils subsistent et que des clarifications du régime américain demeurent nécessaires (4). Plus critique, le Parlement européen, dans sa résolution du 11 mai 2023, « conclut que le cadre de protection des données UE–Etats-Unis ne crée [toujours] pas d’équivalence substantielle du niveau de protection [et] invite la Commission à ne pas adopter le constat d’adéquation » (5).
Epicentre du DPF, l’EO n°14086 de Joe Biden a pour objet d’instaurer des garanties juridiques afin de prendre en considération le droit de l’UE, en particulier l’arrêt « Schrems II » de 2020. On se souvient que, par cet arrêt, la Cour de justice de l’UE (CJUE) avait jugé que :
Le « Privacy Shield » instituait des limitations au droit à la protection des données à caractère personnel – protégé par les articles 7 et 8 de la Charte des droits fondamentaux de l’UE – méconnaissant les exigences de nécessité et de proportionnalité découlant de l’article 52 de cette même Charte. Etait en particulier visée la collecte « en vrac » de données des citoyens européens opérée par les services de renseignement étasuniens en application : de la section 702 du Foreign Intelligence Surveillance Act (FISA) de 2008, qui autorise les services de renseignement américains à adresser à un fournisseur de services de communications électroniques des directives écrites lui imposant de procurer immédiatement au gouvernement toute information ayant pour objet d’obtenir des renseignements (métadonnées et données de contenu) se rapportant à des personnes étrangères susceptibles de menacer la sécurité des EtatsUnis ; de l’Executive Order n°12333 de 1981, qui permet aux services de renseignement américains d’accéder à des données « en transit » vers les Etats-Unis, notamment aux câbles sous-marins posés sur le plancher de l’Atlantique, ainsi que de recueillir et de conserver ces données.
Le « Privacy Shield » ne fournissait pas de voie de contestation devant un organe offrant aux citoyens européens, dont les données sont transférées vers les EtatsUnis, des garanties substantiellement équivalentes à celles requises par l’article 47 de la Charte des droits fondamentaux de l’UE consacrant le droit à un recours effectif (6). Pour répondre aux attentes du droit de l’UE, l’EO n°14086 de Biden instaure des principes devant guider les services de renseignement américains lorsqu’ils traitent de données à caractère personnel. A cet égard, les services de renseignement doivent : respecter la vie privée et les libertés civiles indépendamment du lieu de résidence et de la nationalité des personnes dont les données sont collectées (en particulier, cette collecte ne pourra être opérée qu’à condition d’être « nécessaire » et « proportionnée » à la priorité en matière de renseignement alléguée) ; poursuivre des objectifs limitativement définis par l’EO, comme la protection contre le terrorisme ou l’espionnage, et s’écarter, en toute hypothèse, de ceux expressément exclus tels que l’entrave à la liberté d’expression.

L’Executive Order de Biden
L’EO de Biden prévoit, en outre, un mécanisme de recours à double niveau. En premier lieu, les citoyens européens pourront saisir, par l’intermédiaire d’une autorité publique désignée à cet effet, l’officier de protection des libertés publiques – Civil Liberties Protection Officer (CLPO) – d’une plainte. Ce dernier adoptera alors, s’il estime que les garanties conférées par l’EO n’ont pas été respectées, les mesures correctives appropriées comme la suppression des données illicitement récoltées. En second lieu, un appel de la décision du CLPO pourra être interjeté devant la Cour de révision de la protection des données – Data Protection Review Court (DPRC) – spécialement créée par l’EO. Elle sera composée de membres nommés en dehors du gouvernement américain et ayant une certaine expérience juridique en matière de données à caractère personnel et de sécurité nationale. La décision de cette Cour sera rendue en dernière instance et revêtue d’un caractère contraignant.

Des frictions avec le droit de l’UE
Les points persistants de friction avec le droit de l’UE qui sont mis en avant par ceux qui sont hostiles à l’adoption du DPF sont les suivants :
La collecte « en vrac » de données à caractère personnel, bien qu’encadrée par l’EO de Biden, n’est pas entièrement prohibée et ne nécessite pas une autorisation préalable indépendante. Le recours à cette méthode peut poser une sérieuse difficulté de compatibilité avec le droit de l’UE. En effet, la CJUE voit dans la collecte généralisée et non différenciée des données une incompatibilité avec le principe de proportionnalité (7), à tout le moins lorsqu’une telle collecte ne fait l’objet d’aucune surveillance judiciaire et n’est pas précisément et clairement encadrée (8). Or, cet encadrement pourrait, au cas présent, faire défaut dans la mesure où il est très largement extensible par la seule volonté du Président américain qui est habilité par l’EO à modifier, secrètement, la liste des motifs sur le fondement desquels il peut être recouru à cette technique de surveillance (9).
Il n’est pas acquis, faute de définition dans l’EO, que les caractères « nécessaire » et « proportionné » des collectes de données aient la même signification que celle – exigeante – prévalant en droit européen.
L’indépendance des organes de recours peut être mise en doute, bien que le système instauré par l’EO comprenne des garanties supérieures à celles antérieurement attachées au médiateur – l’Ombudsperson – du Privacy Shield. En particulier, le CLPO et la DPRC sont organiquement rattachés au pouvoir exécutif américain, n’appartiennent pas organiquement au pouvoir judiciaire et pourraient alors ne pas pouvoir être qualifiés de tribunal au sens de l’article 47 de la Charte des droits fondamentaux de l’UE. L’EO institue toutefois des garanties fonctionnelles d’indépendance à ces deux instances. Ainsi, le directeur du renseignement national ne pourra pas intervenir dans l’examen d’une plainte déposée auprès du CLPO et il lui est interdit de révoquer ce dernier pour toute mesure prise en application de l’EO. Quant à la DPRC, ses membres – qualifiés de juges – ne pourront pas recevoir d’instructions du pouvoir exécutif, ni être limogés à raison des décisions qu’ils prendront. A cet égard, on peut s’interroger mutatis mutandis sur la portée de certaines des garanties apportées par le droit des Etats membres en matière de contrôle des activités de surveillance. L’équilibre n’est pas simple à trouver, mais, s’agissant de la France, le caractère secret de la procédure de contrôle devant le Conseil d’Etat suscite à tout le moins des interrogations.
Enfin, d’autres règlementations américaines comme le Cloud Act – régissant la communication de données dans le cadre d’enquêtes judiciaires – n’entrent pas dans le champ de l’EO. Leur application, qui n’est donc pas tempérée par les garanties instituées par ce dernier, pourrait se révéler incompatible avec le niveau de protection des données à caractère personnel en droit de l’UE. Il y a lieu toutefois de souligner que les dispositions du Cloud Act s’inscrivent dans le cadre de l’activité judiciaire des autorités américaines (poursuites et répression des infractions pénales et administratives), qui doit être clairement distinguée des activités de renseignement. Le Cloud Act offre en pratique des garanties qui n’ont rien à envier à celles du droit de l’UE et du droit des Etats membres (10).Ces points de vigilance, non-exhaustifs, devront être scrutés avec attention tout au long de l’examen du processus d’adoption de la décision d’adéquation. Après le CEPD et le Parlement européen, c’est au tour du comité composé des représentants des Etats membres de l’UE d’émettre prochainement un avis sur le projet de la Commission européenne. A supposer qu’il y soit favorable à la majorité qualifiée de ses membres, la décision d’adéquation pourra alors être adoptée. Si la Commission européenne s’est initialement affichée plutôt confiante sur l’avènement du DPF (11), celui-ci pourrait évidemment se retrouver grippé par une contestation de la décision d’adéquation devant le juge européen qui a déjà été annoncée par ses adversaires. En cas de succès de ce recours, l’avenir serait alors bien incertain dans la mesure où les Etats-Unis semblent être arrivés au bout de ce qu’ils sont prêts à concéder pour parvenir à un accord transatlantique sur le transfert des données qui ne se fera pas au prix d’un affaiblissement de la conception qu’ils se font de leur sécurité nationale.

Vers une 3e annulation par la CJUE ?
Il est peu de dire qu’une éventuelle annulation par la CJUE de la future troisième décision d’adéquation après celles relatives aux « Safe Harbor » (décision « Schrems I » de 2015) et au « Privacy Shield » (décision « Schrems II » de 2020), cristalliserait, de part et d’autre de l’Atlantique, des positions politiques et juridiques certainement irréconciliables. Surtout, cela prolongerait la situation d’incertitude juridique dans laquelle sont plongés les acteurs économiques qui peuvent se voir infliger de lourdes sanctions en cas de transferts transatlantiques irréguliers de données, à l’image de la société Meta condamnée, le 12 mai 2023, à une amende record de 1,2 milliard d’euros par le régulateur irlandais. @

Les géants de l’Internet sont pris en étaux entre Margrethe Vestager et Lina Khan : le démantèlement ?

Publié le par

La Danoise Margrethe Vestager est vice-présidente exécutive de la Commission européenne, chargée de la concurrence ; L’Américaine Lina Khan est présidente de la Federal Trade Commission (FTC). Ces deux femmes de l' »antitrust », de part et d’autre de l’Atlantique, sont les bêtes noires des GAFAM.

Elles sont redoutées par les Big Tech en général et par les GAFAM en particulier. Les abus de positions dominantes de ces géants du numérique, devenus des conglomérats de l’Internet à force d’effets de réseaux et d’acquisitions de concurrents potentiels, sont plus que jamais dans leur collimateur. Margrethe Vestager (photo de gauche) et Lina Khan (photo de droite) – respectivement vice-présidente exécutive chargée depuis novembre 2014 de la politique de concurrence à la Commission européenne, et présidente depuis septembre 2021 de la Federal Trade Commission (FTC) – leur mènent la vie (numérique) dure. Derniers faits d’armes de ces deux autorités « antitrust » : la Danoise a annoncé le 14 juin que la Commission européenne venait d’adresser à Google des griefs l’accusant de pratiques abusives sur le marché de la publicité en ligne ; l’Américaine a demandé le 12 juin devant un tribunal fédéral de San Francisco de suspendre l’acquisition de l’éditeur de jeux vidéo Activision Blizzard par Microsoft, opération à laquelle s’oppose la FTC qui a fixé une audition le 2 août prochain. Vis-à-vis des très grands acteurs du numérique, les deux grandes gendarmes de la concurrence n’hésitent pas aussi à agiter le spectre du démantèlement, qui est au marché ce que l’arme nucléaire est à la guerre. La FTC et la Commission européenne ont en outre déjà sorti le carton rouge et infligé des amendes aux contrevenants.

Deux gendarmes antitrust face aux GAFAM
Le démantèlement, Margrethe Vestager l’a encore évoqué explicitement le 14 juin mais sans utiliser le terme : « La Commission européenne estime donc à titre préliminaire que seule la cession [divestment] obligatoire, par Google, d’une partie de ses services permettrait d’écarter ses préoccupations en matière de concurrence ». Dans cette affaire d’abus de position dominante de Google sur le marché de la publicité en ligne, où l’Autorité de la concurrence en France a fortement contribué à l’enquête européenne (1), il est reproché à la firme de Mountain View de « favoriser ses propres services de technologies d’affichage publicitaire en ligne au détriment de prestataires de services de technologie publicitaire, d’annonceurs et d’éditeurs en ligne concurrents ». Et ce, « depuis 2014 au moins ». Le numéro un des moteurs de recherche (avec Google Search), des plateformes de partage vidéo (avec YouTube) ou encore des systèmes d’exploitation pour mobile (avec Android) est accusé par la Commission européenne de favoriser son ad-exchange AdX (DoubleClick Ad Exchange), bourse d’annonces publicitaires qui permet aux éditeurs et aux annonceurs de se rencontrer en temps réel, généralement dans le cadre d’enchères, pour acheter et vendre des publicités d’affichage.

Scinder Google, Meta, Amazon ou Microsoft ?
Les deux outils de Google d’achat de publicités, que son « Google Ads » (ex-Google Adwords) et « Display & Video 360 » (DV360), ainsi que le serveur publicitaire des éditeurs « DoubleClick For Publishers » (DFP), favorisent tous les trois AdX. « Si [à l’issu de son enquête en cours, ndlr] la Commission européenne conclut que Google a agi de façon illégale, il pourrait exiger qu’elle se départisse [divest] d’une partie de ses services. Par exemple, Google pourrait se départir de ses outils de vente, DFP et AdX. Ainsi, nous mettrions fin aux conflits d’intérêts », a prévenu Margrethe Vestager (2). Ce n’est pas la première fois que l’Union européenne agite le spectre du démantèlement Google. Le 27 novembre 2014, il y a près de dix ans, les eurodéputés avait adopté une résolution non contraignante appelant à la scission de la filiale d’Alphabet afin de « séparer les moteurs de recherche des autres services commerciaux » pour préserver la concurrence dans ce domaine (3). En France, l’Arcep y était favorable (4). Rappelons qu’en moins d’un an (juin 2017-mars 2019), Google a écopé de trois sanctions financières infligées par la Commission européenne pour un total de 8,25 milliards d’euros pour « pratiques concurrentielles illégales » (5).
Aux Etats-Unis, pays des GAFAM, la question du démantèlement se pose depuis quelques années, bien avant l’arrivée de Lina Khan à la tête de la FTC qui n’écarte pas cette éventualité (6). Son prédécesseur, Joseph Simons, avait même fait le mea culpa de la FTC : « Nous avons fait une erreur », avait-il confessé dans un entretien à l’agence de presse Bloomberg (7) le 13 août 2019 en faisant référence à deux acquisitions de Facebook approuvées par la FTC : Instagram en 2012 pour 1 milliard de dollars et la messagerie instantanée WhatsApp en 2014 pour 19 milliards de dollars (sans parler d’Oculus VR racheté la même année pour 2 milliards de dollars). De son côté, Google obtenait le feu vert pour s’emparer de YouTube en 2006 pour 1,65 milliard de dollars, de DoubleClick en 2007 pour 3,1 milliards de dollars, et de l’application de navigation Waze en 2013 pour près de 1 milliard de dollars. « Ce n’est pas idéal parce que c’est très compliqué [de démanteler]. Mais s’il le faut, il faut le faire », avait estimé l’ancien président de la FTC. Sa successeure, Lina Khan, dont le mandat de trois s’achève en septembre 2024, est sur la même longueur d’ondes, elle qui a forgé tout sa doctrine anti-monopole sur le cas d’Amazon. N’a-t-elle pas publié en 2017 dans le Yale Law Journal un article intitulé « Paradoxe anti-monopole d’Amazon » (8) ? Avant de prendre la présidence de la FTC, elle avait travaillé à la sous-commission antitrust à la Chambre des représentants des EtatsUnis. Cette « subcommittee on antitrust » bipartisane avait publié en octobre un rapport de 451 pages intitulé « Investigation of competition in the Digital markets » (9) recommandant au Congrès américain de légiférer pour casser les monopoles numériques – quitte à en passer par leur « séparation structurelle » ou spin-off (10). En janvier dernier, le département de la Justice américain (DoJ) a entamé des poursuites antitrust contre Google sur le terrain de la publicité en ligne (11). Bien sûr, la filiale d’Alphabet n’est pas le seul géant du Net à faire l’objet de contentieux avec la Commission européenne et la FTC. Apple est aussi dans le collimateur de Margrethe Vestager, notamment sur les pratiques de la pomme sur son App Store à la suite d’une plainte de du géant de la musique en streaming Spotify qui s’estime victime d’une concurrence déloyale au profit d’Apple Music. La Commission européenne a ajusté le 28 février dernier ses griefs (12). L’an dernier, elle avait ouvert une autre enquête portant cette fois sur Apple Pay pour « abus de position dominante » sur le paiement mobile et le paiement sans contact (NFC) à partir des terminaux iOS (13).
De son côté, le groupe Meta Platforms – maison mère de Facebook, Instagram et WhatsApp – s’est vu infliger le 12 mai 2023, pour infraction au règlement général sur la protection des données (RGPD), une amende record de 1,2 milliard de la part de la « Cnil » irlandaise (DPC) qui agissait au nom de la Commission européenne (14). Amazon, lui, l’a échappé belle en trouvant un accord en décembre 2022 avec Margrethe Vestager pour clore deux enquêtes. Le géant du e-commerce avait jusqu’à ce mois de juin 2023 pour se mettre en règle (15). Plus globalement, la Commission européenne a publié la liste des 19 « très grandes plateformes » (VLOP), qui, en Europe (16), seront soumises aux obligations renforcées du Digital Services Act (DSA). Les « contrôleurs d’accès » (gatekeepers) de type GAFAM ont, eux, jusqu’au 3 juillet prochain pour se déclarer auprès de la Commission européenne, laquelle les désignera d’ici le 6 septembre pour qu’ils se mettent en conformité avec Digital Markets Act (DMA) avant le 6 mars 2024.

Aux Etats-Unis, des acquisitions contestées
De l’autre côté de l’Atlantique, Lina Khan s’oppose aux projets de rachat d’Activision Blizzard par Microsoft (la FTC ayant saisi la justice pour bloquer l’opération), et de Within (contenu de réalité virtuelle) par Meta/Facebook. Elle a mis sous surveillance Amazon sur plusieurs fronts, infligeant notamment le 31 mai une amende au géant du ecommerce pour atteinte à la vie privé avec Alexa et Ring. Concernant le rachat des studios de cinéma MGM par Amazon, la FTC était divisée et n’a donc pas empêché cette opération au grand dam de Lina Khan. Apple est aussi accusé d’empêcher la réparation de ses iPhone. Ce que l’on sait moins, c’est que Margrethe Vestager et Lina Khan coopèrent étroitement sur de nombreux dossiers antitrust. @

Charles de Laubier

La structuration juridique et fiscale des DAO, ces organisations autonomes décentralisées du Web3

Publié le par

Pas de DAO sans smart contracts, pas de contrats intelligents sans blockchain, pas de chaînes de blocs sans Web3 (décentralisé). Mais, outre la qualification d’« établissement stable », gare à l’optimisation fiscale des DAO en créant une société et une association, afin d’éviter la double peine.

Par Axel Sabban, avocat associé, Chérine Hosny, avocate collaboratrice, Arnaud Touati, avocat associé, Law for Code*

La Decentralized Autonomous Organization (DAO), ou organisations autonomes décentralisées, repose sur les principes de décentralisation et d’automatisation, rendus viables par Satoshi Nakamoto, le créateur pseudonyme du protocole Bitcoin et de sa monnaie éponyme (1). Ce nouveau type d’organisation est possible grâce à l’agrégat novateur de technologies ayant permis l’émergence de la cryptomonnaie bitcoin et, notamment, les smart contracts (2).

Smart contracts, contrats intelligents ?
Non, plutôt des lignes de code informatique permettant d’assurer, si certaines conditions prédéterminées sont remplies, l’exécution automatique d’instructions sur une blockchain, ou chaîne de blocs : validation de décisions de gouvernance, création de nouveaux actifs, transferts de tokens, … Les possibilités sont aussi impressionnantes que la créativité de ce secteur le permet. L’intérêt de ces programmes réside dans la possibilité – sans recourir aux formalités des actes exécutoires ou à l’intervention des autorités – d’assurer l’effectivité des paiements, cautions, votes, confidentialités ou, plus généralement, minimiser les risques de non-exécution des contrats, qu’ils soient volontaires ou involontaires. Les DAO, dont le fonctionnement est largement automatisé, mais nécessitant malgré tout une intervention humaine décentralisée, du moins théoriquement, sont des organisations transfrontalières. Elles ont été imaginées au départ comme étant des organisations décentralisées à but non lucratif (3).
Une DAO est une entité décentralisée gérée par des membres qui détiennent des jetons de gouvernance émis par son protocole, le smart contract. Les membres ne sont pas des personnes, mais des adresses de portefeuille, enregistrées dans la blockchain. Une adresse peut être détenue par une ou plusieurs personnes, et une seule personne peut détenir plusieurs adresses. L’identité des personnes détenteurs des adresses est pseudonymisée (4). Le jeton peut être un actif fongible ou non fongible selon le choix des fondateurs. Bien qu’il soit principalement conçu pour voter sur les propositions de la gouvernance, ce token est librement cessible, sauf précision contraire dans le smart contract, et possède une valeur monétaire. Même avec une décentralisation technologique, il est possible qu’un petit groupe de membres exerce un contrôle sur le projet, dès lors qu’ils détiennent un nombre suffisant de jetons pour décider de facto l’issue des votes (5).
En outre, l’automatisation de certaines DAO n’est pas absolue, une intervention humaine reste souvent indispensable. Bien que les DAO présentent de nombreux avantages, elles ne sont pas sans risques, dont notamment la possibilité de caractériser une « société créée de fait » entre ses membres les plus impliqués. Pour éviter ce risque, certains projets créent une entité juridique, en général à l’étranger, pour bénéficier d’une législation plus avantageuse. Cependant, cette option n’est pas sans risque, car elle peut conduire à la caractérisation, dans certains cas, d’un « établissement stable en France ». Une société créée de fait est une société qui ne remplit pas les conditions de forme requises par les textes légaux, mais qui résulte du comportement des personnes qui collaborent sur le projet en se comportant entre elle et vis-à-vis des tiers comme de véritables associés. Selon la loi française, une « société créée de fait » peut être caractérisée lorsque les trois éléments suivants sont réunis dans les faits : la participation de deux ou plusieurs personnes aux apports (fonds ou travail) ; leur participation à la direction du projet ; et leur intention de partager le résultat. De par son mode de fonctionnement, il est possible d’assimiler une DAO à une société de fait créée en France.

Qualification « société créée de fait »
Lorsqu’elle est retenue, la qualification d’une société créée de fait pourrait entraîner des conséquences particulièrement contraignantes. Sur le plan fiscal, les bénéfices de l’exploitation sont imposables au nom de chaque « associé » pour la part correspondant à ses droits (6). Ces bénéfices sont imposables au titre de l’année de leur réalisation par la DAO, même en cas d’absence de distribution effective aux membres. Sur le plan juridique, les membres « associés » seront tenus comme solidairement responsables des actes de la DAO. Cependant, cette assimilation ne doit pas être systématiquement appliquée à toutes les DAO, notamment lorsque les membres ne cherchent pas à partager ensemble le résultat de l’exploitation du protocole. Pour le moment, il n’existe pas de forme d’entité légale transnationale permettant de reconnaître les DAO comme organisations internationales (7). Les membres de DAO peuvent ainsi être tentés d’immatriculer une entité, également appelée « legal wrapper » (« enveloppe juridique »), dans une juridiction offrant une législation plus avantageuse. Certaines législations ont créé de nouveaux types d’entités juridiques nationales destinées à permettre l’immatriculation directe des DAO au sein de leur juridiction, comme le Vermont (8), le Wyoming (9) et Malte (10).

Caractérisation d’un « établissement stable »
D’autres pays ne disposant pas de réglementation spécifique pour les DAO bénéficient toutefois de systèmes fiscaux ou réglementaires avantageux. La Suisse, les Îles Caïmans, les Îles Marshall et Singapour proposent ainsi des options attrayantes pour l’« incorporation » d’un legal wrapper d’une DAO. Toutefois, le choix de lieu d’immatriculation n’est pas complètement laissé à la discrétion des membres. Si la direction de l’entité ou une partie significative de l’équipe opère sur le territoire français, les bénéfices réalisés restent sujets à l’impôt français dès lors que l’une des conditions de caractérisation d’un « établissement stable en France » est remplie : l’activité est exploitée en France ; les opérations sont réalisées en France par l’intermédiaire de représentants n’ayant pas de personnalité professionnelle indépendante ; ou encore les opérations effectuées en France y forment un cycle commercial complet. Il en résulte que la simple création d’une société dans une juridiction à l’étranger et le fait d’y loger quelques membres ou moyens d’exploitation ne suffisent pas pour échapper à la législation française, peu importe que la société soit en parfaite conformité avec la législation du pays de l’immatriculation. La qualification d’un « établissement stable en France » emportera l’imposition des profits rattachés à l’établissement stable à l’impôt sur les sociétés (IS) français, ainsi que l’application d’une retenue à la source sur les revenus considérés comme distribués à la société étrangère (11).
Afin de bénéficier de l’exonération des impôts commerciaux, certains optent pour la création de deux structures en France : une entité à but non lucratif (association de loi 1901) et une société commerciale. Ce modèle n’est pas sans risque, surtout lorsque l’association est utilisée comme véhicule d’optimisation fiscale pour loger les actifs de la DAO tout en finançant, indirectement, la société commerciale par le biais de la facturation des prestations techniques. En vue de bénéficier du caractère non lucratif et être exonérée des impôts commerciaux, l’association doit impérativement respecter certaines conditions : son but ne doit pas consister en la répartition de bénéfices entre ses membres ; sa gestion doit être désintéressée (les dirigeants ne doivent pas bénéficier directement ou indirectement du résultat de l’exploitation) ; la rémunération des dirigeants ne doit pas dépasser certains seuils (12) ; l’association ne doit pas entretenir des relations privilégiées avec des sociétés commerciales, et ne doit pas concurrencer le secteur lucratif. Si le développement du protocole de la DAO par l’association vise à permettre aux fondateurs de s’enrichir directement via la facturation des prestations techniques réalisées par des sociétés commerciales qu’ils détiennent, ou indirectement grâce à l’appréciation en valeur du token distribué par la DAO (13) cela peut caractériser l’exercice d’une activité lucrative, remettant ainsi en cause l’exonération des impôts. Cela conduira à une double peine : le résultat de l’association sera imposé, mais les membres ne pourront pas en partager les fruits. Quelle approche pour la structuration des DAO ? La structuration de la DAO doit avant tout prendre en considération l’objectif recherché par les fondateurs. Lorsque l’intervention humaine est importante, le risque de caractérisation d’une société créée de fait est élevé. Les membres doivent donc privilégier la création d’une entité juridique, pour protéger leur responsabilité tout en optimisant l’imposition des revenus générés. Si, en revanche, le projet est complètement décentralisé et automatisé, comme pour le protocole Bitcoin, l’immatriculation d’une entité juridique peut ne pas être nécessaire. Malgré la tentation de recourir au « forum shopping » afin d’échapper à la législation française, les membres doivent prendre garde, surtout si la direction ou l’exploitation est effectivement réalisée en France. Dans un tel cas, l’administration fiscale est en mesure de caractériser l’existence d’un « établissement stable en France », et de tirer toutes les conséquences sur le plan fiscal et juridique. Cependant, il est possible de créer plusieurs entités, avec une société en France et une ou plusieurs sociétés à l’étranger, si l’exploitation est organisée d’une manière qui le permette.

Optimisation fiscale : éviter la double peine
Les membres doivent choisir une structure juridique adaptée à l’activité. Il est déconseillé de chercher une optimisation fiscale en créant une entité à but non lucratif s’ils envisagent d’exploiter une activité pour partager, directement ou indirectement, les bénéfices ou comme un fonds d’investissement. Dans un tel cas, c’est la double peine : la qualification d’une activité lucrative conduisant à l’imposition des bénéfices, et l’impossibilité de partager ces bénéfices entre les membres. En l’état, nous pensons que la combinaisons société commerciale et association doit être utilisée avec une extrême parcimonie et que d’autres modèles plus sécurisants pourraient rapidement émerger. @

* Law for Code est un groupement d’intérêt économique (GIE)
regroupant les cabinets d’avocats Hashtag Avocats et Revo
Avocats ainsi que le cabinet d’expertise comptable Earn.