L’accord sur le transfert des données personnelles vers les Etats-Unis peut-il aboutir ?

Publié le par

Après l’échec du « Safe Harbor » et celui du « Privacy Shield », un nouvel accord se fait attendre entre l’Union européenne et les Etats-Unis sur le transfert des données à caractère personnel. Si le processus est incontestablement en cours, il suscite des réserves qui compromettent son aboutissement.

Par Emmanuelle Mignon, avocat associé, et Gaël Trouiller, avocat, August Debouzy

(Article paru le 26-06-23 dans EM@ n°302. Le 03-07-23, les Etats-Unis ont déclaré avoir « rempli leurs engagements » pour la protection des données UE-US. Le 10-07-23, la Commission européenne a publié sa décision d’adéquation)

En mars 2022, la Commission européenne avait annoncé qu’un accord politique entre sa présidente Ursula von der Leyen et le président des Etats-Unis Joe Biden avait été trouvé (1) : une première traduction juridique de cet accord, intitulé « Data Privacy Framework » (DPF) est alors née, le 7 octobre 2022, du décret présidentiel américain – Executive Order n°14086 – sur « le renforcement des garanties relatives aux activités de renseignement sur les transmissions des Etats-Unis » (2).

Après l’annulation du « Privacy Shield »
Sur le fondement de cet Executive Order (EO), la Commission européenne a publié, le 13 décembre 2022 (3), un projet de décision d’adéquation du système étasunien de protection des données au droit de l’Union européenne (UE). Celui-ci a fait l’objet d’un avis consultatif du Comité européen de la protection des données (CEPD) du 28 février dernier. Cet avis reconnaît que l’EO apporte de « substantielles améliorations », mais souligne cependant que des écueils subsistent et que des clarifications du régime américain demeurent nécessaires (4). Plus critique, le Parlement européen, dans sa résolution du 11 mai 2023, « conclut que le cadre de protection des données UE–Etats-Unis ne crée [toujours] pas d’équivalence substantielle du niveau de protection [et] invite la Commission à ne pas adopter le constat d’adéquation » (5).
Epicentre du DPF, l’EO n°14086 de Joe Biden a pour objet d’instaurer des garanties juridiques afin de prendre en considération le droit de l’UE, en particulier l’arrêt « Schrems II » de 2020. On se souvient que, par cet arrêt, la Cour de justice de l’UE (CJUE) avait jugé que :
Le « Privacy Shield » instituait des limitations au droit à la protection des données à caractère personnel – protégé par les articles 7 et 8 de la Charte des droits fondamentaux de l’UE – méconnaissant les exigences de nécessité et de proportionnalité découlant de l’article 52 de cette même Charte. Etait en particulier visée la collecte « en vrac » de données des citoyens européens opérée par les services de renseignement étasuniens en application : de la section 702 du Foreign Intelligence Surveillance Act (FISA) de 2008, qui autorise les services de renseignement américains à adresser à un fournisseur de services de communications électroniques des directives écrites lui imposant de procurer immédiatement au gouvernement toute information ayant pour objet d’obtenir des renseignements (métadonnées et données de contenu) se rapportant à des personnes étrangères susceptibles de menacer la sécurité des EtatsUnis ; de l’Executive Order n°12333 de 1981, qui permet aux services de renseignement américains d’accéder à des données « en transit » vers les Etats-Unis, notamment aux câbles sous-marins posés sur le plancher de l’Atlantique, ainsi que de recueillir et de conserver ces données.
Le « Privacy Shield » ne fournissait pas de voie de contestation devant un organe offrant aux citoyens européens, dont les données sont transférées vers les EtatsUnis, des garanties substantiellement équivalentes à celles requises par l’article 47 de la Charte des droits fondamentaux de l’UE consacrant le droit à un recours effectif (6). Pour répondre aux attentes du droit de l’UE, l’EO n°14086 de Biden instaure des principes devant guider les services de renseignement américains lorsqu’ils traitent de données à caractère personnel. A cet égard, les services de renseignement doivent : respecter la vie privée et les libertés civiles indépendamment du lieu de résidence et de la nationalité des personnes dont les données sont collectées (en particulier, cette collecte ne pourra être opérée qu’à condition d’être « nécessaire » et « proportionnée » à la priorité en matière de renseignement alléguée) ; poursuivre des objectifs limitativement définis par l’EO, comme la protection contre le terrorisme ou l’espionnage, et s’écarter, en toute hypothèse, de ceux expressément exclus tels que l’entrave à la liberté d’expression.

L’Executive Order de Biden
L’EO de Biden prévoit, en outre, un mécanisme de recours à double niveau. En premier lieu, les citoyens européens pourront saisir, par l’intermédiaire d’une autorité publique désignée à cet effet, l’officier de protection des libertés publiques – Civil Liberties Protection Officer (CLPO) – d’une plainte. Ce dernier adoptera alors, s’il estime que les garanties conférées par l’EO n’ont pas été respectées, les mesures correctives appropriées comme la suppression des données illicitement récoltées. En second lieu, un appel de la décision du CLPO pourra être interjeté devant la Cour de révision de la protection des données – Data Protection Review Court (DPRC) – spécialement créée par l’EO. Elle sera composée de membres nommés en dehors du gouvernement américain et ayant une certaine expérience juridique en matière de données à caractère personnel et de sécurité nationale. La décision de cette Cour sera rendue en dernière instance et revêtue d’un caractère contraignant.

Des frictions avec le droit de l’UE
Les points persistants de friction avec le droit de l’UE qui sont mis en avant par ceux qui sont hostiles à l’adoption du DPF sont les suivants :
La collecte « en vrac » de données à caractère personnel, bien qu’encadrée par l’EO de Biden, n’est pas entièrement prohibée et ne nécessite pas une autorisation préalable indépendante. Le recours à cette méthode peut poser une sérieuse difficulté de compatibilité avec le droit de l’UE. En effet, la CJUE voit dans la collecte généralisée et non différenciée des données une incompatibilité avec le principe de proportionnalité (7), à tout le moins lorsqu’une telle collecte ne fait l’objet d’aucune surveillance judiciaire et n’est pas précisément et clairement encadrée (8). Or, cet encadrement pourrait, au cas présent, faire défaut dans la mesure où il est très largement extensible par la seule volonté du Président américain qui est habilité par l’EO à modifier, secrètement, la liste des motifs sur le fondement desquels il peut être recouru à cette technique de surveillance (9).
Il n’est pas acquis, faute de définition dans l’EO, que les caractères « nécessaire » et « proportionné » des collectes de données aient la même signification que celle – exigeante – prévalant en droit européen.
L’indépendance des organes de recours peut être mise en doute, bien que le système instauré par l’EO comprenne des garanties supérieures à celles antérieurement attachées au médiateur – l’Ombudsperson – du Privacy Shield. En particulier, le CLPO et la DPRC sont organiquement rattachés au pouvoir exécutif américain, n’appartiennent pas organiquement au pouvoir judiciaire et pourraient alors ne pas pouvoir être qualifiés de tribunal au sens de l’article 47 de la Charte des droits fondamentaux de l’UE. L’EO institue toutefois des garanties fonctionnelles d’indépendance à ces deux instances. Ainsi, le directeur du renseignement national ne pourra pas intervenir dans l’examen d’une plainte déposée auprès du CLPO et il lui est interdit de révoquer ce dernier pour toute mesure prise en application de l’EO. Quant à la DPRC, ses membres – qualifiés de juges – ne pourront pas recevoir d’instructions du pouvoir exécutif, ni être limogés à raison des décisions qu’ils prendront. A cet égard, on peut s’interroger mutatis mutandis sur la portée de certaines des garanties apportées par le droit des Etats membres en matière de contrôle des activités de surveillance. L’équilibre n’est pas simple à trouver, mais, s’agissant de la France, le caractère secret de la procédure de contrôle devant le Conseil d’Etat suscite à tout le moins des interrogations.
Enfin, d’autres règlementations américaines comme le Cloud Act – régissant la communication de données dans le cadre d’enquêtes judiciaires – n’entrent pas dans le champ de l’EO. Leur application, qui n’est donc pas tempérée par les garanties instituées par ce dernier, pourrait se révéler incompatible avec le niveau de protection des données à caractère personnel en droit de l’UE. Il y a lieu toutefois de souligner que les dispositions du Cloud Act s’inscrivent dans le cadre de l’activité judiciaire des autorités américaines (poursuites et répression des infractions pénales et administratives), qui doit être clairement distinguée des activités de renseignement. Le Cloud Act offre en pratique des garanties qui n’ont rien à envier à celles du droit de l’UE et du droit des Etats membres (10).Ces points de vigilance, non-exhaustifs, devront être scrutés avec attention tout au long de l’examen du processus d’adoption de la décision d’adéquation. Après le CEPD et le Parlement européen, c’est au tour du comité composé des représentants des Etats membres de l’UE d’émettre prochainement un avis sur le projet de la Commission européenne. A supposer qu’il y soit favorable à la majorité qualifiée de ses membres, la décision d’adéquation pourra alors être adoptée. Si la Commission européenne s’est initialement affichée plutôt confiante sur l’avènement du DPF (11), celui-ci pourrait évidemment se retrouver grippé par une contestation de la décision d’adéquation devant le juge européen qui a déjà été annoncée par ses adversaires. En cas de succès de ce recours, l’avenir serait alors bien incertain dans la mesure où les Etats-Unis semblent être arrivés au bout de ce qu’ils sont prêts à concéder pour parvenir à un accord transatlantique sur le transfert des données qui ne se fera pas au prix d’un affaiblissement de la conception qu’ils se font de leur sécurité nationale.

Vers une 3e annulation par la CJUE ?
Il est peu de dire qu’une éventuelle annulation par la CJUE de la future troisième décision d’adéquation après celles relatives aux « Safe Harbor » (décision « Schrems I » de 2015) et au « Privacy Shield » (décision « Schrems II » de 2020), cristalliserait, de part et d’autre de l’Atlantique, des positions politiques et juridiques certainement irréconciliables. Surtout, cela prolongerait la situation d’incertitude juridique dans laquelle sont plongés les acteurs économiques qui peuvent se voir infliger de lourdes sanctions en cas de transferts transatlantiques irréguliers de données, à l’image de la société Meta condamnée, le 12 mai 2023, à une amende record de 1,2 milliard d’euros par le régulateur irlandais. @

Les géants de l’Internet sont pris en étaux entre Margrethe Vestager et Lina Khan : le démantèlement ?

Publié le par

La Danoise Margrethe Vestager est vice-présidente exécutive de la Commission européenne, chargée de la concurrence ; L’Américaine Lina Khan est présidente de la Federal Trade Commission (FTC). Ces deux femmes de l' »antitrust », de part et d’autre de l’Atlantique, sont les bêtes noires des GAFAM.

Elles sont redoutées par les Big Tech en général et par les GAFAM en particulier. Les abus de positions dominantes de ces géants du numérique, devenus des conglomérats de l’Internet à force d’effets de réseaux et d’acquisitions de concurrents potentiels, sont plus que jamais dans leur collimateur. Margrethe Vestager (photo de gauche) et Lina Khan (photo de droite) – respectivement vice-présidente exécutive chargée depuis novembre 2014 de la politique de concurrence à la Commission européenne, et présidente depuis septembre 2021 de la Federal Trade Commission (FTC) – leur mènent la vie (numérique) dure. Derniers faits d’armes de ces deux autorités « antitrust » : la Danoise a annoncé le 14 juin que la Commission européenne venait d’adresser à Google des griefs l’accusant de pratiques abusives sur le marché de la publicité en ligne ; l’Américaine a demandé le 12 juin devant un tribunal fédéral de San Francisco de suspendre l’acquisition de l’éditeur de jeux vidéo Activision Blizzard par Microsoft, opération à laquelle s’oppose la FTC qui a fixé une audition le 2 août prochain. Vis-à-vis des très grands acteurs du numérique, les deux grandes gendarmes de la concurrence n’hésitent pas aussi à agiter le spectre du démantèlement, qui est au marché ce que l’arme nucléaire est à la guerre. La FTC et la Commission européenne ont en outre déjà sorti le carton rouge et infligé des amendes aux contrevenants.

Deux gendarmes antitrust face aux GAFAM
Le démantèlement, Margrethe Vestager l’a encore évoqué explicitement le 14 juin mais sans utiliser le terme : « La Commission européenne estime donc à titre préliminaire que seule la cession [divestment] obligatoire, par Google, d’une partie de ses services permettrait d’écarter ses préoccupations en matière de concurrence ». Dans cette affaire d’abus de position dominante de Google sur le marché de la publicité en ligne, où l’Autorité de la concurrence en France a fortement contribué à l’enquête européenne (1), il est reproché à la firme de Mountain View de « favoriser ses propres services de technologies d’affichage publicitaire en ligne au détriment de prestataires de services de technologie publicitaire, d’annonceurs et d’éditeurs en ligne concurrents ». Et ce, « depuis 2014 au moins ». Le numéro un des moteurs de recherche (avec Google Search), des plateformes de partage vidéo (avec YouTube) ou encore des systèmes d’exploitation pour mobile (avec Android) est accusé par la Commission européenne de favoriser son ad-exchange AdX (DoubleClick Ad Exchange), bourse d’annonces publicitaires qui permet aux éditeurs et aux annonceurs de se rencontrer en temps réel, généralement dans le cadre d’enchères, pour acheter et vendre des publicités d’affichage.

Scinder Google, Meta, Amazon ou Microsoft ?
Les deux outils de Google d’achat de publicités, que son « Google Ads » (ex-Google Adwords) et « Display & Video 360 » (DV360), ainsi que le serveur publicitaire des éditeurs « DoubleClick For Publishers » (DFP), favorisent tous les trois AdX. « Si [à l’issu de son enquête en cours, ndlr] la Commission européenne conclut que Google a agi de façon illégale, il pourrait exiger qu’elle se départisse [divest] d’une partie de ses services. Par exemple, Google pourrait se départir de ses outils de vente, DFP et AdX. Ainsi, nous mettrions fin aux conflits d’intérêts », a prévenu Margrethe Vestager (2). Ce n’est pas la première fois que l’Union européenne agite le spectre du démantèlement Google. Le 27 novembre 2014, il y a près de dix ans, les eurodéputés avait adopté une résolution non contraignante appelant à la scission de la filiale d’Alphabet afin de « séparer les moteurs de recherche des autres services commerciaux » pour préserver la concurrence dans ce domaine (3). En France, l’Arcep y était favorable (4). Rappelons qu’en moins d’un an (juin 2017-mars 2019), Google a écopé de trois sanctions financières infligées par la Commission européenne pour un total de 8,25 milliards d’euros pour « pratiques concurrentielles illégales » (5).
Aux Etats-Unis, pays des GAFAM, la question du démantèlement se pose depuis quelques années, bien avant l’arrivée de Lina Khan à la tête de la FTC qui n’écarte pas cette éventualité (6). Son prédécesseur, Joseph Simons, avait même fait le mea culpa de la FTC : « Nous avons fait une erreur », avait-il confessé dans un entretien à l’agence de presse Bloomberg (7) le 13 août 2019 en faisant référence à deux acquisitions de Facebook approuvées par la FTC : Instagram en 2012 pour 1 milliard de dollars et la messagerie instantanée WhatsApp en 2014 pour 19 milliards de dollars (sans parler d’Oculus VR racheté la même année pour 2 milliards de dollars). De son côté, Google obtenait le feu vert pour s’emparer de YouTube en 2006 pour 1,65 milliard de dollars, de DoubleClick en 2007 pour 3,1 milliards de dollars, et de l’application de navigation Waze en 2013 pour près de 1 milliard de dollars. « Ce n’est pas idéal parce que c’est très compliqué [de démanteler]. Mais s’il le faut, il faut le faire », avait estimé l’ancien président de la FTC. Sa successeure, Lina Khan, dont le mandat de trois s’achève en septembre 2024, est sur la même longueur d’ondes, elle qui a forgé tout sa doctrine anti-monopole sur le cas d’Amazon. N’a-t-elle pas publié en 2017 dans le Yale Law Journal un article intitulé « Paradoxe anti-monopole d’Amazon » (8) ? Avant de prendre la présidence de la FTC, elle avait travaillé à la sous-commission antitrust à la Chambre des représentants des EtatsUnis. Cette « subcommittee on antitrust » bipartisane avait publié en octobre un rapport de 451 pages intitulé « Investigation of competition in the Digital markets » (9) recommandant au Congrès américain de légiférer pour casser les monopoles numériques – quitte à en passer par leur « séparation structurelle » ou spin-off (10). En janvier dernier, le département de la Justice américain (DoJ) a entamé des poursuites antitrust contre Google sur le terrain de la publicité en ligne (11). Bien sûr, la filiale d’Alphabet n’est pas le seul géant du Net à faire l’objet de contentieux avec la Commission européenne et la FTC. Apple est aussi dans le collimateur de Margrethe Vestager, notamment sur les pratiques de la pomme sur son App Store à la suite d’une plainte de du géant de la musique en streaming Spotify qui s’estime victime d’une concurrence déloyale au profit d’Apple Music. La Commission européenne a ajusté le 28 février dernier ses griefs (12). L’an dernier, elle avait ouvert une autre enquête portant cette fois sur Apple Pay pour « abus de position dominante » sur le paiement mobile et le paiement sans contact (NFC) à partir des terminaux iOS (13).
De son côté, le groupe Meta Platforms – maison mère de Facebook, Instagram et WhatsApp – s’est vu infliger le 12 mai 2023, pour infraction au règlement général sur la protection des données (RGPD), une amende record de 1,2 milliard de la part de la « Cnil » irlandaise (DPC) qui agissait au nom de la Commission européenne (14). Amazon, lui, l’a échappé belle en trouvant un accord en décembre 2022 avec Margrethe Vestager pour clore deux enquêtes. Le géant du e-commerce avait jusqu’à ce mois de juin 2023 pour se mettre en règle (15). Plus globalement, la Commission européenne a publié la liste des 19 « très grandes plateformes » (VLOP), qui, en Europe (16), seront soumises aux obligations renforcées du Digital Services Act (DSA). Les « contrôleurs d’accès » (gatekeepers) de type GAFAM ont, eux, jusqu’au 3 juillet prochain pour se déclarer auprès de la Commission européenne, laquelle les désignera d’ici le 6 septembre pour qu’ils se mettent en conformité avec Digital Markets Act (DMA) avant le 6 mars 2024.

Aux Etats-Unis, des acquisitions contestées
De l’autre côté de l’Atlantique, Lina Khan s’oppose aux projets de rachat d’Activision Blizzard par Microsoft (la FTC ayant saisi la justice pour bloquer l’opération), et de Within (contenu de réalité virtuelle) par Meta/Facebook. Elle a mis sous surveillance Amazon sur plusieurs fronts, infligeant notamment le 31 mai une amende au géant du ecommerce pour atteinte à la vie privé avec Alexa et Ring. Concernant le rachat des studios de cinéma MGM par Amazon, la FTC était divisée et n’a donc pas empêché cette opération au grand dam de Lina Khan. Apple est aussi accusé d’empêcher la réparation de ses iPhone. Ce que l’on sait moins, c’est que Margrethe Vestager et Lina Khan coopèrent étroitement sur de nombreux dossiers antitrust. @

Charles de Laubier

La structuration juridique et fiscale des DAO, ces organisations autonomes décentralisées du Web3

Publié le par

Pas de DAO sans smart contracts, pas de contrats intelligents sans blockchain, pas de chaînes de blocs sans Web3 (décentralisé). Mais, outre la qualification d’« établissement stable », gare à l’optimisation fiscale des DAO en créant une société et une association, afin d’éviter la double peine.

Par Axel Sabban, avocat associé, Chérine Hosny, avocate collaboratrice, Arnaud Touati, avocat associé, Law for Code*

La Decentralized Autonomous Organization (DAO), ou organisations autonomes décentralisées, repose sur les principes de décentralisation et d’automatisation, rendus viables par Satoshi Nakamoto, le créateur pseudonyme du protocole Bitcoin et de sa monnaie éponyme (1). Ce nouveau type d’organisation est possible grâce à l’agrégat novateur de technologies ayant permis l’émergence de la cryptomonnaie bitcoin et, notamment, les smart contracts (2).

Smart contracts, contrats intelligents ?
Non, plutôt des lignes de code informatique permettant d’assurer, si certaines conditions prédéterminées sont remplies, l’exécution automatique d’instructions sur une blockchain, ou chaîne de blocs : validation de décisions de gouvernance, création de nouveaux actifs, transferts de tokens, … Les possibilités sont aussi impressionnantes que la créativité de ce secteur le permet. L’intérêt de ces programmes réside dans la possibilité – sans recourir aux formalités des actes exécutoires ou à l’intervention des autorités – d’assurer l’effectivité des paiements, cautions, votes, confidentialités ou, plus généralement, minimiser les risques de non-exécution des contrats, qu’ils soient volontaires ou involontaires. Les DAO, dont le fonctionnement est largement automatisé, mais nécessitant malgré tout une intervention humaine décentralisée, du moins théoriquement, sont des organisations transfrontalières. Elles ont été imaginées au départ comme étant des organisations décentralisées à but non lucratif (3).
Une DAO est une entité décentralisée gérée par des membres qui détiennent des jetons de gouvernance émis par son protocole, le smart contract. Les membres ne sont pas des personnes, mais des adresses de portefeuille, enregistrées dans la blockchain. Une adresse peut être détenue par une ou plusieurs personnes, et une seule personne peut détenir plusieurs adresses. L’identité des personnes détenteurs des adresses est pseudonymisée (4). Le jeton peut être un actif fongible ou non fongible selon le choix des fondateurs. Bien qu’il soit principalement conçu pour voter sur les propositions de la gouvernance, ce token est librement cessible, sauf précision contraire dans le smart contract, et possède une valeur monétaire. Même avec une décentralisation technologique, il est possible qu’un petit groupe de membres exerce un contrôle sur le projet, dès lors qu’ils détiennent un nombre suffisant de jetons pour décider de facto l’issue des votes (5).
En outre, l’automatisation de certaines DAO n’est pas absolue, une intervention humaine reste souvent indispensable. Bien que les DAO présentent de nombreux avantages, elles ne sont pas sans risques, dont notamment la possibilité de caractériser une « société créée de fait » entre ses membres les plus impliqués. Pour éviter ce risque, certains projets créent une entité juridique, en général à l’étranger, pour bénéficier d’une législation plus avantageuse. Cependant, cette option n’est pas sans risque, car elle peut conduire à la caractérisation, dans certains cas, d’un « établissement stable en France ». Une société créée de fait est une société qui ne remplit pas les conditions de forme requises par les textes légaux, mais qui résulte du comportement des personnes qui collaborent sur le projet en se comportant entre elle et vis-à-vis des tiers comme de véritables associés. Selon la loi française, une « société créée de fait » peut être caractérisée lorsque les trois éléments suivants sont réunis dans les faits : la participation de deux ou plusieurs personnes aux apports (fonds ou travail) ; leur participation à la direction du projet ; et leur intention de partager le résultat. De par son mode de fonctionnement, il est possible d’assimiler une DAO à une société de fait créée en France.

Qualification « société créée de fait »
Lorsqu’elle est retenue, la qualification d’une société créée de fait pourrait entraîner des conséquences particulièrement contraignantes. Sur le plan fiscal, les bénéfices de l’exploitation sont imposables au nom de chaque « associé » pour la part correspondant à ses droits (6). Ces bénéfices sont imposables au titre de l’année de leur réalisation par la DAO, même en cas d’absence de distribution effective aux membres. Sur le plan juridique, les membres « associés » seront tenus comme solidairement responsables des actes de la DAO. Cependant, cette assimilation ne doit pas être systématiquement appliquée à toutes les DAO, notamment lorsque les membres ne cherchent pas à partager ensemble le résultat de l’exploitation du protocole. Pour le moment, il n’existe pas de forme d’entité légale transnationale permettant de reconnaître les DAO comme organisations internationales (7). Les membres de DAO peuvent ainsi être tentés d’immatriculer une entité, également appelée « legal wrapper » (« enveloppe juridique »), dans une juridiction offrant une législation plus avantageuse. Certaines législations ont créé de nouveaux types d’entités juridiques nationales destinées à permettre l’immatriculation directe des DAO au sein de leur juridiction, comme le Vermont (8), le Wyoming (9) et Malte (10).

Caractérisation d’un « établissement stable »
D’autres pays ne disposant pas de réglementation spécifique pour les DAO bénéficient toutefois de systèmes fiscaux ou réglementaires avantageux. La Suisse, les Îles Caïmans, les Îles Marshall et Singapour proposent ainsi des options attrayantes pour l’« incorporation » d’un legal wrapper d’une DAO. Toutefois, le choix de lieu d’immatriculation n’est pas complètement laissé à la discrétion des membres. Si la direction de l’entité ou une partie significative de l’équipe opère sur le territoire français, les bénéfices réalisés restent sujets à l’impôt français dès lors que l’une des conditions de caractérisation d’un « établissement stable en France » est remplie : l’activité est exploitée en France ; les opérations sont réalisées en France par l’intermédiaire de représentants n’ayant pas de personnalité professionnelle indépendante ; ou encore les opérations effectuées en France y forment un cycle commercial complet. Il en résulte que la simple création d’une société dans une juridiction à l’étranger et le fait d’y loger quelques membres ou moyens d’exploitation ne suffisent pas pour échapper à la législation française, peu importe que la société soit en parfaite conformité avec la législation du pays de l’immatriculation. La qualification d’un « établissement stable en France » emportera l’imposition des profits rattachés à l’établissement stable à l’impôt sur les sociétés (IS) français, ainsi que l’application d’une retenue à la source sur les revenus considérés comme distribués à la société étrangère (11).
Afin de bénéficier de l’exonération des impôts commerciaux, certains optent pour la création de deux structures en France : une entité à but non lucratif (association de loi 1901) et une société commerciale. Ce modèle n’est pas sans risque, surtout lorsque l’association est utilisée comme véhicule d’optimisation fiscale pour loger les actifs de la DAO tout en finançant, indirectement, la société commerciale par le biais de la facturation des prestations techniques. En vue de bénéficier du caractère non lucratif et être exonérée des impôts commerciaux, l’association doit impérativement respecter certaines conditions : son but ne doit pas consister en la répartition de bénéfices entre ses membres ; sa gestion doit être désintéressée (les dirigeants ne doivent pas bénéficier directement ou indirectement du résultat de l’exploitation) ; la rémunération des dirigeants ne doit pas dépasser certains seuils (12) ; l’association ne doit pas entretenir des relations privilégiées avec des sociétés commerciales, et ne doit pas concurrencer le secteur lucratif. Si le développement du protocole de la DAO par l’association vise à permettre aux fondateurs de s’enrichir directement via la facturation des prestations techniques réalisées par des sociétés commerciales qu’ils détiennent, ou indirectement grâce à l’appréciation en valeur du token distribué par la DAO (13) cela peut caractériser l’exercice d’une activité lucrative, remettant ainsi en cause l’exonération des impôts. Cela conduira à une double peine : le résultat de l’association sera imposé, mais les membres ne pourront pas en partager les fruits. Quelle approche pour la structuration des DAO ? La structuration de la DAO doit avant tout prendre en considération l’objectif recherché par les fondateurs. Lorsque l’intervention humaine est importante, le risque de caractérisation d’une société créée de fait est élevé. Les membres doivent donc privilégier la création d’une entité juridique, pour protéger leur responsabilité tout en optimisant l’imposition des revenus générés. Si, en revanche, le projet est complètement décentralisé et automatisé, comme pour le protocole Bitcoin, l’immatriculation d’une entité juridique peut ne pas être nécessaire. Malgré la tentation de recourir au « forum shopping » afin d’échapper à la législation française, les membres doivent prendre garde, surtout si la direction ou l’exploitation est effectivement réalisée en France. Dans un tel cas, l’administration fiscale est en mesure de caractériser l’existence d’un « établissement stable en France », et de tirer toutes les conséquences sur le plan fiscal et juridique. Cependant, il est possible de créer plusieurs entités, avec une société en France et une ou plusieurs sociétés à l’étranger, si l’exploitation est organisée d’une manière qui le permette.

Optimisation fiscale : éviter la double peine
Les membres doivent choisir une structure juridique adaptée à l’activité. Il est déconseillé de chercher une optimisation fiscale en créant une entité à but non lucratif s’ils envisagent d’exploiter une activité pour partager, directement ou indirectement, les bénéfices ou comme un fonds d’investissement. Dans un tel cas, c’est la double peine : la qualification d’une activité lucrative conduisant à l’imposition des bénéfices, et l’impossibilité de partager ces bénéfices entre les membres. En l’état, nous pensons que la combinaisons société commerciale et association doit être utilisée avec une extrême parcimonie et que d’autres modèles plus sécurisants pourraient rapidement émerger. @

* Law for Code est un groupement d’intérêt économique (GIE)
regroupant les cabinets d’avocats Hashtag Avocats et Revo
Avocats ainsi que le cabinet d’expertise comptable Earn.

Revenus en hausse mais investissements en baisse : les opérateurs télécoms en font-ils assez ?

Publié le par

Les revenus 2022 des opérateurs télécoms en France sont en hausse, à plus de 45,8 milliards d’euros HT (+1,6 %). En revanche, leurs investissements sont en baisse, à 14,6 milliards d’euros (-1,8 %). Ce qui semble paradoxal avant la prochaine fermeture du réseau de cuivre.

Saviez-vous que les opérateurs télécoms en France ont dépassé en 2022 la barre des 45 milliards d’euros de chiffre d’affaires ? Soit une hausse globale annuelle de 1,6 %, à précisément plus de 45,8 milliards d’euros, selon les calculs de Edition Multimédi@. Ce montant comprend à la fois le marché auprès du client final (plus de 36,7 milliards d’euros) et le marché auprès des opérateurs (plus de 9 milliards d’euros). Tandis que, toujours l’an dernier, les investissements consentis par ces mêmes opérateurs télécoms en France ont reculé de 1,8 %, à 14,6 milliards d’euros (hors achats de fréquences).

Plan France THD et New Deal mobile
C’est à se demander si les « telcos » ne relâchent pas leurs efforts d’investissements dans les déploiements des réseaux très haut débit fixe (fibre) et mobile (4G/5G) qui sont pourtant indispensables à l’aménagement numérique des territoires et à la lutte contre la fracture numérique. D’autant que le plan France Très haut débit, qui aura coûté près de 35 milliards d’euros, dont 65 % pris en charge par le secteur privé, 25 % par les collectivités territoriales et 10 % par l’Etat (1), est dans la dernière ligne droite de son objectif gouvernemental qui est de « généraliser la fibre optique en 2025 » en termes de prises raccordables. Le temps presse d’autant plus que la fibre optique est censée remplacer le réseau de cuivre (les paires de cuivre téléphoniques sur lesquelles passent le haut débit ADSL et le très haut débit VDSL2). Car l’opérateur télécoms historique Orange a déjà annoncé à tous ses concurrents, Bouygues Telecom, Free et SFR en tête, que la fermeture commerciale nationale de ce réseau de cuivre interviendra le 31 janvier 2026, avec la fin du plan de fermeture prévue en 2030. Il y a déjà sept communes où le réseau de cuivre a été définitivement fermé. L’Arcep indique qu’une nouvelle expérimentation d’extinction en zone très dense vient d’être lancée à Vanves (dans les Hauts-de-Seine en région parisienne et dans le centre-ville de Rennes (Ille-et-Vilaine en Bretagne).
Le compte-à-rebours se poursuit. Or, d’après les relevés de l’Arcep au 31 décembre 2022, il restait encore sur tout le territoire 23,2 % des locaux – particuliers et entreprises confondus – à rendre raccordables à la fibre optique comme le sont les 76,8 % (voir tableau ci-dessous) – dont 53,8 % de ces prises FTTH ont trouvé « preneur » au 31 mars dernier, à savoir un peu plus de 19 millions d’abonnés à la fibre de bout en bout sur près de 35,3 millions de fibres optiques raccordables. Les opérateurs télécoms parviendront-ils au « 100 % fibre » avant l’échéance de dans un an et demi ? « Les déploiements vont vite et bien, et surtout en zones rurales. On a quand même des points d’attention dans certaines villes moyennes, comme Les Sablesd’Olonne, La Roche-sur-Yon et d’autres communes qui sont en-dessous de la moyenne nationale. J’invite les opérateurs – en particulier Orange – à poursuivre vraiment les déploiements dans ces zones-là. Puisque les opérateurs ont souscrit des engagements, vis-à-vis du gouvernement, à couvrir ces zones. (…) Orange a choisi à partir de l’année dernière de ralentir ses déploiements de fibre optique dans les zones les plus rurales. Nous l’avons mis en demeure de finir ses déploiements dans ces zones. L’instruction est en cours (2) », a indiqué le 25 mai la présidente de l’Arcep, Laure de La Raudière (photo), sur BFM Business. Le lendemain, l’ancienne députée a fait un déplacement à Marseille et à Septèmes-les-Vallons (Bouches-du-Rhône) pour y constater les retards et dysfonctionnement dans les raccordements à la fibre jusque dans les zones très denses. « Marseille a une couverture globale de 79 % du nombre de locaux, inférieure à la moyenne nationale (91 %). Les opérateurs privés ne déploient pas suffisamment », a-t-elle pointé dans son interview à La Provence parue le jour même. Laure de La Raudière (« LDLR »), qui a fait de la qualité des réseaux fibre une de ses premières priorités, rappelle d’ailleurs régulièrement, et à nouveau le 25 mai dernier, qu’« [elle a] du mal à dire que le plan France Très haut débit est une vraie réussite, étant donné ces problèmes de qualité de service sur les réseaux fibre » (3). Il y a aussi parallèlement la finalisation des engagements de Bouygues Telecom, Free Mobile, Orange et SFR dans le « New Deal mobile » pour atteindre 100 % du territoire en 4G, y compris pour résorber les « zones blanches centres-bourgs » dont il reste encore plus de 4 % à couvrir (4). Sans parler du déploiement de la 5G dans les zones un peu plus denses pour désaturer les réseaux 4G.

Investissements : fixe en recul, mobile en hausse
A l’heure où des retards dans les déploiements des infrastructures numériques et des dysfonctionnements voire des malfaçons dans les raccordements à la fibre préoccupent les élus locaux et leurs administrés, le recul des investissements des opérateurs télécoms semble pour le moins malvenu. Et ce, au moment où la proposition de loi « Assurer la qualité et la pérennité des raccordements aux réseaux de communications électroniques à très haut débit en fibre optique » (5) a été adoptée à l’unanimité au Sénat le 2 mai et va être débattue à l’Assemblée nationale. Même si ce reflux a été léger l’an dernier (- 1,8 %, à 14,6 milliards d’euros hors achats de fréquences, – 6,4 % avec), il s’avère plus prononcé (- 9,8 %) par rapport à 2020 (avec achats de fréquences), pourtant la première année impactée par la crise sanitaire. D’autant que si les investissements dans les réseaux mobiles (hors redevances pour fréquences mobiles) ont, eux, augmenté de 5,5 %, à 3,8milliards d’euros en 2022, il n’en va pas de même pour les réseaux fixe qui accusent pour leur part une baisse de 4,4 %, à 10,8 milliards d’euros, toujours l’an dernier (voir tableau ci-dessous). L’après-covid 19 n’a donc pas renversé la tendance baissière, bien que légère, les investissements restant « à un niveau élevé » ou « massifs » (dixit LDLR). Alors que dans le même temps, le chiffre d’affaires global des opérateurs télécoms a augmenté en 2022 de 1,6 %, à précisément plus de 45,8 milliards d’euros hors taxes.

Revenus mobiles : hausse de 4,6 % en un an
Le marché de détail (pour le client final) a contribué à ces revenus pour plus de 36,7 milliards d’euros, en hausse de 1,8 % sur un an. Tandis que le marché entre opérateurs (interconnexion, accès et itinérance) a contribué pour sa part à plus de 9 milliards d’euros, en hausse de 0,8 %. La plus grosse source de revenus l’an dernier pour les opérateurs télécoms réside dans les services mobiles aux clients finaux (marché de détail, y compris les recettes MtoM), à hauteur de 14,7 milliards d’euros (+ 4,5 % sur un an), auxquels s’ajoutent les revenus liés à la vente de terminaux mobiles, à hauteur de près de 3,5 milliards d’euros (+ 5,1 %).
Au total, selon les calculs de Edition Multimédi@, le chiffre d’affaires mobile des opérateurs télécoms en France dépasse les 18,2 milliards d’euros en 2022, en belle hausse de 4,6 % sur un an. Quant aux services fixes, cette fois, ils constituent toutes catégories confondues la toute première source de revenu des opérateurs télécoms, à hauteur de plus de 16,5 milliards d’euros en 2022, quasiment stables (- 0,3 %). Le FTTH et la 5G permettent d’ores et déjà aux « telcos » d’accroître leurs revenus fixe et mobile (6). Sans parler du projet des opérateurs de réseaux de faire payer les GAFAM une taxe – une « compensation directe » ou fair share (7) – pour pouvoir utiliser leurs réseaux. Mais là, c’est une tout autre histoire. @

Charles de Laubier

La peur envers les intelligences artificielles de type ChatGPT tourne à la psychose irrationnelle

Publié le par

Depuis la pétition signée le 29 mars 2023 par Elon Musk et des experts demandant un moratoire sur le développement des « cerveaux numériques » qui, selon eux, présentent des « risques majeurs pour l’humanité », les craintes se le disputent aux fantasmes quant à l’avenir des « ChatGPT ».

A les entendre ces Cassandres et Nostradamus de ce début du XXIe siècle, « l’extinction de l’humanité » serait pour bientôt. La fin des temps arriverait aussi rapidement que se développent les intelligences artificielles à la ChatGPT, lesquelles sont l’objet de toutes leurs angoisses existentielles. Si l’Apocalypse relève de l’eschatologie religieuse, la « ChatGPTéisation » annoncerait, elle, l’hécatombe de l’être humain. Ce tsunami numérique des IA, à l’apprentissage fulgurant, provoquerait la fin du monde.

L’Homo sapiens supplanté par l’IA sapiens
Les tribunes et déclarations de ces craintifs se suivent et se ressemblent : il faudrait pour les uns instaurer « un moratoire » face aux « risques majeurs pour l’humanité » que constitueraient les IA concurrentielles pour l’homme ; il est temps pour les autres de « prendre au sérieux certains des risques les plus graves de l’IA avancée » menaçant l’espèce humaine d’« extinction ». Les peurs que suscitent les ChatGPT, Midjourney et autres Bard, ainsi que toutes les autres IA surhumaines qui les supplanteront, virent aux fantasmes voire à l’hystérie collective. « L’atténuation du risque d’extinction dû à l’IA devrait être une priorité mondiale, parallèlement à d’autres risques à l’échelle de la société tels que les pandémies et les guerres nucléaires », clament des dizaines de signataires chercheurs en intelligence artificielle (AI Scientists), professeurs d’universités et personnalités, dont Samuel (Sam) Altman (photo), le cofondateur avec Elon Musk de la start-up OpenAI qui a développé ChatGPT (générateur de textes) et de Dall-E (générateur d’images). Ce sont les deux IA les plus en vue depuis leur lancement respectif fin novembre 2022 et début 2021.
Sam Altman, qui a fait part le 17 mai au Sénat américain de sa peur de voir cette « superintelligence » provoquer de « graves dommages au monde », serait-il devenu malgré lui le pompier-pyromane en chef des IA générative ? La courte déclaration mise en ligne le 30 mai dernier sur le site du Center for AI Safety (1), une ONG américaine dédiée aux « risques IA », est aussi signée par Bill Gates (Gates Ventures) ou encore Grimes (célèbre musicienne). Il y a même le Canadien Geoffrey Hinton (75 ans), professeur émérite d’informatique et chercheur, parfois surnommé le parrain voire le « Dieu le Père » (Godfather)de l’IA et du Deep Learning (apprentissage profond dont se nourrissent les intelligences artificiels). Il s’est distingué le 1er mai dernier en annonçant qu’il quittait Google « pour pouvoir parler des dangers de l’IA ». Et critiquer son ancien employeur dans ce domaine comme l’a suggéré le New York Times (2) ? Que nenni : « Sans considérer comment cela affecte Google. Google a agi de façon très responsable », a-t-il rectifié dans un tweet (3). Geoffrey Hinton, qui aujourd’hui rejoint le cœur de ceux qui parlent de « profonds risques pour la société et l’humanité », a travaillé pendant près d’un demi-siècle sur l’IA générative appliquée aux chatbots, ces robots conversationnels (4) qui terrifient un nombre croissant d’humains. Au risque de conflits d’intérêts, il avait annoncé en mars 2013 – lorsque la firme de Mountain View a racheté son entreprise DNNresearch (5) – qu’il allait « poursuivre [s]es recherches à Toronto et, en même temps, aider Google à appliquer les nouveaux développements en apprentissage profond pour créer des systèmes qui aident les gens ». Il n’avait alors émis à l’époque aucune réserve sur ses travaux…
Elon Musk, pourtant moins frileux dans d’autres domaines industriels où le zéro risque n’existe pas, et qui plus est un des cofondateurs d’OpenAI (d’où il s’est retiré en 2018), a été l’un des milliers de cosignataires de la tribune « AI Pause » (6) parue le 22 mars 2023. Ce texte lançait des cris d’orfraie en disant stop : « Nous appelons tous les laboratoires d’IA à suspendre immédiatement pendant au moins 6 mois la formation des systèmes d’IA plus puissants que GPT-4. Cette pause devrait être publique et vérifiable et inclure tous les acteurs-clés. Si une telle pause ne peut être mise en œuvre rapidement, les gouvernements devraient intervenir et instituer un moratoire ». Parmi les plus de 31.800 autres signataires : le chercheur français Joseph Sifakis, prix Turing de l’informatique 2007, pour qui « la technologie va trop vite » (7). Sam Altman, lui, n’en est pas signataire…

Réguler, oui ; arrêter l’IA, non
Le patron d’OpenAI, financé à coup de milliards par Microsoft, appelle les Etats à réguler ces IA superintelligentes : pour mieux freiner ses concurrents (comme Google avec Bard) et conforter la position dominante de ChatGPT sur ce tout naissant marché ? Après le Sénat américain le 17 mai, Sam Altman a rencontré le 23 mai Emmanuel Macron (8), puis le lendemain il a menacé de Londres de fermer ChatGPT en Europe si son futur AI Act était trop contraignant ! Avant de se dédire face au courroux du commissaire européen Thierry Breton l’accusant le 25 mai (9) de « chantage ». @

Charles de Laubier