Le chinois Huawei, qui était en force à Barcelone pour le Mobile World Congress, mise sur la France

Publié le 27 février 2023 par Charles de Laubier

Malgré les sanctions et interdictions aux Etats-Unis et en Europe à son encontre, le chinois Huawei Technologies a bien montré durant la grand-messe de la mobilité à Barcelone qu’il était toujours numéro un mondial des réseaux télécoms. Et il s’apprête à construire une usine en France.

« Je vous invite à vous joindre à nous au MWC 2023 à Barcelone, organisé par GSMA [association réunissant plus de 750 opérateurs mobiles dans le monde, ndlr] », écrit Eric Xu, alias Xu Zhijun, président par rotation – jusqu’au 31 mars 2023 – du géant chinois Huawei Technologies, dans un message mis en ligne (1) quelques jours avant la grand-messe internationale de la mobilité qui se tient dans la capitale de la Catalogne en Espagne. La firme de Shenzhen (2) y sera présente en force cette année sous le thème du « monde intelligent ».

Sans attendre la 6G, la « 5,5G » en vue
« Alors que nous progressons vers un monde intelligent, (…) nous aimerions travailler avec vous pour jeter les bases de la prochaine étape – la 5,5G », a esquissé Eric Xu à l’intention notamment des opérateurs mobiles. A partir d’avril, ce dernier cèdera la présidence tournante à Sabrina Meng alias Meng Wanzhou (photo) qui n’est autre que la fille (3) du PDG fondateur de Huawei, Ren Zhengfei (4). Huawei signe ainsi son grand retour en occupant de grands stands répartis dans trois halls (5) de la Fira Gran Via où se tient le Mobile World Congress du 27 février au 2 mars. Sans attendre la 6G, le chinois pourrait prendre de court ses rivaux (Samsung, Ericsson, Nokia, …) en lançant des équipements réseaux « 5,5G ». De quoi relancer la course mondiale dans le très haut débit mobile, sur fond d’intelligence artificielle, de Big Data, de cloud et d’Internet des objets (voitures connectées comprises) – sans oublier la désormais incontournable technologie verte – « Green ICT » (6).
Du côté des terminaux, celui qui fut un temps le numéro un des fabricants mondiaux de smartphones – première place qu’il avait arrachée un temps à Samsung début 2020 après avoir délogé Apple de la seconde début 2018 (7) –, compte bien regagner des parts de marché perdues à cause des mesures « anti-Huawei » prises par Donald Trump et maintenues par Joe Biden (8). La firme de Shenzhen devrait annoncer une nouvelle série de smartphones : les Huawei P60. Tandis que les Mate 60 seraient attendus plus tard dans l’année. Des fuites sur le réseau social chinois Weibo montrent que les « P60 », axés sur la très haute qualité photo avec l’ambition d’être les smartphones-photo les plus puissants au monde, vont être disponibles. Des rumeurs rapportées par le site HC Newsroom (Huawei Central) évoquent aussi la sortie du Mate X3, le smartphone pliant de Huawei (9), alors qu’un autre fabricant chinois – Honor, ex-gamme de mobiles d’entrée de gamme de Huawei avant que Ren Zhengfei ne soit contraint de céder cette activité en novembre 2020 – est attendu au MWC avec un pliable Magic V. Les P60 et Mate X3 sont dotés, depuis que Google ne fournit plus Android à Huawei, du système d’exploitation-maison HarmonyOS dans sa nouvelle version 3.1 déjà installée avec succès sur les Mate 50. Ils fonctionnent en outre sur le micro- processeur « Snapdragon 8 Gen2 » de Qualcomm (10). Bien que le gouvernement américain ait décidé en 2020 – pour des raisons de « sécurité nationale » – d’interdire à Google de fournir des licences Android à Huawei, HarmonyOS est d’ores et déjà le troisième système d’exploitation au monde pour smartphones, bien qu’encore loin d’Android et d’iOS. Huawei finalise la version 4.0, qui pourrait être prête pour la HDC de l’automne prochain (11). De son côté, l’américain Qualcomm a indiqué début février que les nouvelles restrictions de Washington à l’encontre du chinois n’impacteront pas ses livraisons à ce dernier.
En Europe, où Huawei est accueilli à bras ouverts à Barcelone, est aussi le bienvenu en France où la firme de Shenzhen va construire cette année – « courant 2023 », comme prévu (12) – sa première usine hors de Chine de fabrication d’équipe- ments télécoms, notamment pour les réseaux 5G – avec la 5,5G en vue. Elle sera située dans la région Grand-Est. « La France est très importante pour nous sur le marché européen. (…). Il n’y a pas d’autres pays capables d’être dans la même position stratégique pour Huawei que la France, en termes de savoir-faire, valeur ajoutée et écosystème », a expliqué le 15 février à l’AFP le président de la filiale française, Weiliang Shi, formé à Reims et à Shanghai.

Usine Huawei dans le Grand-Est en 2023
Huawei Technologies France fêtera d’ici la fin de l’année ses 20 ans dans l’Hexagone. Là aussi, malgré la loi française « anti-Huawei » du 1er août 2019 prise sous le premier quinquennat d’Emmanuel Macron au nom des « intérêts de la défense et de la sécurité nationale » (13), Huawei revendique en France 20 % de part de marché dans les réseaux télécoms. « La France a pris une décision équilibrée », s’est félicité Weiliang Shi. La firme de Shenzhen prévoit de produire dans son usine française l’équivalent de 1 milliard d’euros par an d’équipements télécoms à destination des marchés européens, avec la création « à terme » de 500 emplois direct. @

Charles de Laubier

23 mars

Le nouveau plan stratégique d’Orange vise 2025 ; beaucoup attendaient une vision « humaine » à 2030

Publié le 27 février 2023 par Charles de Laubier

Après le plan « Engage 2025 » de l’ancien PDG d’Orange, Stéphane Richard, Orange va devoir se contenter d’un nouveau plan stratégique à horizon… 2025, baptisé « Lead the future », que Christel Heydemann, la DG du groupe, a présenté le 16 février. Au programme : recentrage et économies, sur fond de baisse des effectifs.

Certaines mauvaises langues diront que la feuille de route à horizon 2025, présentée par Christel Heydemann (photo) le 16 février à l’occasion de la publication des résultats annuels d’Orange dont elle directrice générale depuis le 4 avril 2022, est plus un « plan comptable » qu’un « plan stratégique ». Chez les syndicats, c’est la déception à tous les étages. « Les salariés du groupe attendaient beaucoup de cette annonce pour se projeter dans l’avenir. Orange a besoin d’un vrai projet industriel ambitieux et non de la poursuite d’une politique de gestion par l’optimisation des coûts engagée depuis plusieurs années et qui a accéléré la casse des compé- tences clefs », regrette le syndicat CFDT.
Recentrage de l’opérateur télécoms et économies drastiques : telles sont les deux priorités qu’assigne la nouvelle direction d’Orange aux 130.307 salariés du groupe, dont 28 % sont des agents fonctionnaires. Rappelons que l’Etat (1) détient toujours 22,95 % du capital de l’entreprise et 29,25 % des droits de vote, tout en ayant trois administrateurs sur les quatorze membres du conseil d’administration présidé par Jacques Aschenbroich. Et comme un plan peut en cacher un autre : « Lead the future » est doublé de « Scale up », un remède de cheval financier concocté par Stéphane Richard lorsqu’il était PDG et administré à Orange depuis 2019 pour faire 1 milliard d’euros d’économies d’ici 2023. Nous y sommes.

Atteindre 1,6 milliard d’économies cumulées d’ici à 2025
Mais, alors que le groupe Orange s’est déjà serré la ceinture pour dégager 700 millions d’euros d’économies cumulées de 2019 à fin 2022, Christel Heydemann en remet une couche sans même attendre cette année le 1 milliard. D’ici 2025, son plan « Lead the future » ajoute en plus 600 millions d’euros de réduction de coûts à réaliser « d’ici 2025 ». Si l’inflation devait se calmer, ce nouvel objectif pourrait être atteint avant cette échéance, comme cela aurait pu être le cas pour le 1 milliard. « Hors coûts additionnels liés à l’inflation, le groupe aurait atteint avec un an d’avance l’objectif d’économies nettes de 1 milliard d’euros », a expliqué la direction le 16 février. Et de détailler les baisses de charges déjà réalisées : « Ces économies résultent principalement de l’évolution des effectifs liée à l’attrition naturelle [comprenez les départs en retraite, les licenciements ou les démissions, ndlr] mais aussi aux accords de temps partiel seniors et à la politique salariale stricte du groupe, ainsi qu’à des efforts continus d’optimisation et de rationalisation, principalement dans les activités du siège et les fonctions support ».

En dix ans : 23,5 % d’effectifs en moins
La masse salariale est en première ligne. Selon les données collectées par Edition Multimédi@, les effectifs d’Orange ont diminué de 5.636 salariés entre 2018 et 2022, soit une baisse de plus de 4,1 % pour se situer aux 130.307 personnes évoquées plus haut à la date du 31 décembre 2022 (2). L’année 2023 verra Orange passer pour la première fois sous la barre des 130.000 salariés. En dix ans, Orange s’est délesté de plus de 40.000 em- ployés par rapport aux 170.531 de 2012 (-23,5 %). Mais si l’on regarde sur les vingt dernières années, l’ex-France Télécom a vu fondre ses effectifs de… 107.900 employés (-45,3 %). Et ce, par rapport au pic de 237.900 atteint au 31 décembre 2002 lorsque le PDG du groupe était un certain Thierry Breton (3). Lui succèdera en février 2005 Didier Lombard qui, après la vague de suicides durant son mandat, sera condamné en 2019 pour « harcèlement moral institutionnel » – ce que confirmera définitivement la cour d’appel de Paris le 30 septembre dernier (4).
« La première richesse d’Orange que sont les personnels a été oubliée… Regrettable », pointe le syndicat CFE-CGC. Même ressenti du côté de Force Ouvrière (FO Com) : « Pas de futur pour Orange sans son personnel au cœur ! Il ne peut y avoir de performance économique sans performance sociale, et nous ne voyons aucun élément social dans cette stratégie ». La CGT, elle, « estime que la situation est inquiétante, et le constate tous les jours sur les lieux de travail ; ceci explique probablement le blackout des résultats du baromètre social par la direction ce qui rappelle les heures sombres vécues par les salariés dans les années 2000 ». Elle fait référence à ce qu’Orange appelle aussi le « baromètre salarié », une enquête que la direction s’était engagée à réaliser chaque année pour lui permettre de « mesurer la perception de la qualité de vie au travail et l’adhésion du personnel à la mise en œuvre du plan stratégique » (à l’époque le plan « Engage 2025 » de Stéphane Richard). Or le groupe, qui ne nous a pas répondu sur ce point, précise dans son dernier rapport d’activité qu’« en 2021, l’enquête a cependant été décalée à 2022 ». Nous sommes en 2023, et toujours pas de baromètre salarié en vue depuis celui de 2020 (5). Le thermomètre social montrerait-il une poussée de fièvre inquiétante ? « La sous-traitance à outrance dégrade la fourniture des services d’Orange », dénonce la CFE-CGC. « Nous réaffirmons notre opposition à une politique de filialisation et de sous-traitance à outrance », abonde FO. « Derrière ces annonces se cachent une filialisation à outrance des activités et des infrastructures et encore plus de sous-traitance dans la gestion du réseau », déplore aussi la CGT.
Le rapport annuel d’Orange indique que « le recours à la sous-traitance concerne 32.221 effectifs équivalent temps plein à fin décembre 2021 », soit plus de 30 % de effectifs d’Orange en France, pour un montant total annuel dépassant pour la première fois les 3 milliards d’euros. Outre la sous-traitance, il y a la filialisation comme avec le « projet Libellule », comme l’appelle la direction d’Orange, qui consiste à « accompagner » les salariés des 323 boutiques du réseau physique de distribution – les « agences de distribution » dont Orange est proprié- taire – vers les 220 boutiques de la filiale Générale de Téléphone (GDT) détenue à 100 %. Les syndicats craignent à terme une « filialisation des salariés » de l’ensemble des boutiques d’Orange vers GDT, dont la « convention collective nationale des commerces et services de l’audiovisuel, de l’électronique et de l’équipement ménager » est bien moins avantageuse que les accords « Orange SA ». La CFDT « s’oppose elle aussi, à la filialisation au sein du groupe dès lors qu’elle se traduit par du dumping social, des conditions de travail dégradées ».
Lors d’un comité social et économique central d’entreprise (CSEC) qui s’était tenu le 22 septembre 2022, la DG d’Orange avait laissé entendre que son plan stratégique 2030 allait être plus « humain » que comptable (6), sa stratégie à 2025 exposée dans un communiqué (7) et des slides (8) donne l’impression de l’inverse.

Nouveaux métiers et hausse des forfaits
« L’humain, l’agilité organisationnelle et la simplification des processus seront au cœur de cette transformation. Dans un monde fait de ruptures technologiques, le groupe investira dans la formation et (…) facilitera l’évolution des salariés vers les nouveaux métiers de la data, du cloud, de la cybersécurité ou de l’IA », a tout de même assuré Christel Heydemann.
Son plan « concentre Orange sur son cœur de métier » (fibre, 5G, Wifi, réseau d’entreprise avec Orange Business, cybersécurité, satellite avec Eutelsat), après avoir cédé OCS à Canal+. Orange Bank est à vendre. « Augmenter de 1 à 2 euros nos forfaits » (mobile et fixe) fait aussi partie de sa stratégie, même si elle a attendu le 17 février pour l’annoncer sur RTL. @

Charles de Laubier

Le DG de TF1, Rodolphe Belmer, en devient PDG – avec un double défi : baisse d’audience et plateformisation

Publié le 13 février 2023 par Charles de Laubier

En prenant les deux rênes de TF1, filiale de Bouygues, Rodolphe Belmer (53 ans) se retrouve depuis le 13 février pleinement à la tête du premier groupe de télévision privé en France. Mais l’audience s’érode. La « plateformisation » de TF1 est une réponse aux défis lancés par la profusion de vidéos et de télés.

La passation de pouvoirs à la tête du groupe TF1 a lieu ce lundi 13 février, entre Gilles Pélisson et Rodolphe Belmer (photo). Le premier rejoint la maison mère – le groupe Bouygues (détenant 43,7 % du capital de la société cotée TF1) – en tant que directeur général adjoint en charge des médias et du développement, tandis que le second devient PDG du premier groupe de télévision privé français.
Gilles Pélisson occupait ce poste à double casquette depuis plus de six ans et demi (1) jusqu’à ce que Rodolphe Belmer n’entre dans le groupe TF1 – « sur proposition » du premier – pour y être nommé le 27 octobre dernier directeur général. Depuis cette date, Gilles Pélisson avait dû se contenter de la fonction de président du conseil d’administration. Si celui-ci n’a pas démérité durant son mandat, ayant réussi à développer la plateforme MyTF1 et le pôle de production audiovisuelle avec Newen Studios, il aura échoué à mener à bien la fusion entre TF1 et M6 qui a été abandonnée mi-septembre 2022 face aux tirs de barrage de l’Autorité de la concurrence (2). Un autre échec de l’ère « Pélisson » réside dans Salto, la plateforme de SVOD commune à TF1, M6 et France Télévisions lancée en octobre 2020 (3). Mais ce qui devait être un « Netflix à la française » est abandonné par ses trois actionnaires qui s’apprêtent à dissoudre leur société commune. Rodolphe Belmer hérite du dossier « Salto » où TF1 a investi à perte 45 millions d’euros (et les deux autres actionnaires autant).

Faire de MyTF1 le « nouveau TF1 »
Rodolphe Belmer connaît bien l’enjeu des plateformes de streaming pour avoir été administrateur de Netflix de 2018 à 2022, ainsi qu’administrateur du média en ligne Brut de 2019 à 2022. Il a même été président du conseil d’administration de Brut où il fut – tout en étant alors directeur général d’Eutelsat, puis directeur général d’Atos – nommé vice-président du comité stratégique. Les difficultés des plateformes de SVOD face aux Netflix, Amazon Prime Video, Disney+ et autres Paramount+, Rodolphe Belmer a pu les observer de près en ayant à la fois un pied chez le géant Netflix et l’autre chez Brut qui a dû abandonner en octobre dernier sa plateforme de SVOD BrutX faute d’avoir trouvé son public. C’est aussi ce qui arrive à Salto, qui n’a pas atteint son objectif de 1 million d’abonnés.

Claire Basini (ex-Brut et ex-Canal+) en piste
Malgré l’échec « BrutX », Rodolphe Belmer a recruté à TF1 celle qui était en charge du lancement de BrutX justement, en tant que directrice générale adjoint de Brut, à savoir Claire Basini (photo en Une) qui est depuis le 16 janvier dernier directrice générale adjointe en charge d’une nouvelle direction consacrée aux activités BtoC (4) du groupe TF1 – dont elle intègre aussi le comité exécutif. Le nouveau PDG ne devra pas refaire les mêmes erreurs pour MyTF1, la plateforme vidéo du groupe sur laquelle se concentrent maintenant tous les regards. Gilles Pélisson avait préparé le terrain en poussant les feux sur MyTF1 qui était jusqu’à novembre 2021 une plateforme uniquement de télévision de rattrapage (replay) gratuite, dans le prolongement de la chaîne gratuite. C’est en effet il y a plus d’un an que le service payant MyTF1 Max a été lancé à 3,99 euros par mois (après une période de promo à 2,99 euros), pour y proposer non seulement du replay, mais aussi des contenus exclusifs, des diffusions live et des bonus, en plus du flux direct des chaînes. MyTF1 Max est propulsé par de nombreux distributeurs, notamment sur les Smart TV de Samsung depuis le 15 novembre.
Ancien PDG de Canal+ (2012-2015), le nouveau patron de TF1 sait qu’il est impossible de lutter contre les plateformes globales de streaming vidéo ou de télévision en ligne (SVOD, AVOD, FAST, …). « A chaîne gratuite, streaming gratuit » est plus son crédo, mais il pourrait faire monter en charge MyTF1 Max à grand renfort de partenariats pour marcher sur les platebandes cryptées de son ancien employeur Canal+. M6 a suivi TF1 sur ce terrain-là en lançant de son côté en octobre dernier 6Play Max aux mêmes tarifs (5). Cette « plateformisation » est une bascule historique du centre de gravité de TF1 vers la délinéarisation, au moment où la diffusion hertzienne des programmes en linéaire subit une érosion depuis quelques années.
Entre 2021 et 2022, la chaîne TF1 est passée de 19,7 % de part d’audience nationale à 18,7 %, selon l’institut Médiamétrie. Ce point en moins est la poursuite de la perte de téléspectateurs qu’enregistre la chaîne-amirale de la filiale du groupe Bouygues depuis plusieurs années. Cette érosion a commencé bien avant la prise de fonction de Gilles Pélisson comme PDG le 19 février 2016, mais c’est sous l’ère de ce dernier que TF1 a crevé le plancher des 20 %. Des 21,4 % en 2015, l’audience de TF1 passe à 20,4 % durant la première année de l’ère « Pélisson » (puis à 20 % en 2017 et à 20,2 % en 2018), avant de passer depuis 2019 dans les 19 % (19,5 % en 2019, 19,2 % en 2020, 19,7 % en 2021). L’année 2022 fait passer TF1 sous la barre cette fois des 19 %. Et le mois de janvier 2023 n’augure rien de bon puisque TF1 vient de descendre sous la barre des 18 % pour se retrouver à 17,9 %. Qu’il est loin le temps où la première chaîne gratuite du PAF affichait 30,7 % de part d’audience nationale moyenne. C’était en 2007. Et en dix ans, TF1 a perdu plus de 4 points de part d’audience nationale. Et encore faut-il dire que l’évolution de la méthodologie de Médiamétrie a servi d’amortisseur, dans le sens où l’audience TV a cumulé à partir de janvier 2011 la mesure de l’antenne et le différé du jour-même et des 7 jours suivants, puis à partir d’octobre 2014 la télévision de rattrapage (replay) en plus, et, depuis janvier 2016, les audiences cumulent le live, le différé et le replay sur un jour donné (quelle que soit la date de diffusion initiale en live). Sans parler que depuis trois ans, est prise en compte l’audience des programmes regardés à domicile sur le téléviseur et l’audience en dehors du domicile et en mobilité, quel que soit l’écran.
Rodolphe Belmer arrive donc au moment où TF1 est en sérieuse perte de vitesse dans le linéaire. Le rôle de Claire Basini sera crucial dans l’ambition du nouveau PDG de « faire du groupe TF1 un acteur de référence dans l’audiovisuel digital, comme il l’est aujourd’hui dans l’univers du “broadcast” ». L’ex-Brut et ancienne directrice du numérique de Canal+ (2010-2018), où elle a croisé Rodolphe Belmer, a pour mission d’« accélérer l’évolution du modèle du groupe TF1 vers un modèle mixte – linéaire et non linéaire – et de développer une présence élargie sur tous les supports ». C’est elle aussi qui assura « l’animation de la filière digitale au sein de l’ensemble du groupe ». L’avenir de TFI sur la TNT pourrait se poser, comme c’est le cas à Canal+. Pour l’heure, MyTF1 réunit plus de 17,6 millions de visiteurs uniques par mois et se positionne en 33e position des plateformes les plus fréquentées en France (6). Le chiffre d’affaires publicitaire digital devrait être en baisse en 2022 par rapport aux 142,5 millions d’euros de 2021 et malgré la progression de MyTF1.

Activités digitales d’Unify déconsolidées Avant déconsolidation sur le dernier trimestre de l’an dernier des activités d’Unify Publishers (Marmiton, Aufeminin, Doctissimo et Les Numériques), cédées à Reworld Media le 18 octobre 2022, MyTF1 pesait 63 % du chiffre d’affaires publicitaire digital de TF1 (58,7 millions d’euros sur les 92,6 millions réalisés sur les neuf premiers mois de 2022). C’est encore une mince contribution aux plus de 1,5 milliard de recettes publicitaires annuelles du groupe. La première intervention publique de Rodolphe Belmer en tant que nouveau PDG de TF1 interviendra le 14 février au matin, pour la présentation des résultats 2022 de « Télévision Française 1 », la dénomi-nation officielle du groupe. @

Charles de Laubier

Cookies et consentement des internautes : les leçons à tirer des récentes sanctions de la Cnil

Publié le 13 février 2023 par Charles de Laubier

En décembre 2021 et en décembre 2022, la Cnil a sanctionné Google, Facebook, TikTok, Apple, Microsoft et Voodoo d’une amende allant de 3 millions à 90 millions d’euros. Il leur est reproché de ne pas faciliter aux internautes le refus des cookies publicitaires aussi facilement que leur acceptation.

Par Vanessa Bouchara et Florian Viel, cabinet Bouchara Avocats

Pour la seconde année consécutive, le mois de décembre aura été riche en décisions rendues par la Commission nationale de l’informatique et des libertés (Cnil) sur la thématique de la gestion des cookies. Alors que le mois de décembre 2021 voyait le gendarme de la protection des données personnelles et de la vie privée prononcer des sanctions administratives contre Google (1) et Facebook (2), ce sont en décembre 2022 les sociétés TikTok (3), Apple (4), Microsoft (5) et Voodoo (6) qui ont fait à leur tour l’objet de sanctions pour des manquements à loi française « Informatique et Libertés » dans le cadre de la gestion de leurs cookies.

Pas de consentement, pas de cookies
Google a eu une amende de 90 millions d’euros, Facebook de 60 millions d’euros, TikTok de 5 millions d’euros, Apple de 8 millions d’euros, Microsoft de 60 millions d’euros et Voodoo de 3 millions d’euros. Il ressort de toutes ces décisions deux principaux manquements récurrents que tout éditeur de site Internet ou d’application mobile devrait appréhender afin de les éviter.
Comme le rappelle la Cnil dans l’ensemble de ces décisions, « tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : 1° de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; 2° des moyens dont il dispose pour s’y opposer » (7). Se faisant, ces accès ou inscriptions – via l’utilisation de traceurs – ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement. Par exception à ce qui précède, il est prévu deux cas spécifiques dans lesquels certains traceurs bénéficient d’une exemption au consentement : soit lorsque ceux-ci ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique, soit lorsqu’ils sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur (8). Ainsi, afin de déterminer si l’utilisation de cookies nécessite le recueil préalable du consentement de l’abonné ou de l’utilisateur, l’éditeur du site en ligne ou de l’application mobile doit déterminer si l’ensemble des finalités associées à ces cookies sont exemptées ou non de consentement. Comme le souligne expressément la Cnil dans ses décisions à l’encontre de respectivement Apple et de Microsoft, à l’appui de ses lignes directrices du 17 septembre 2020 (9), l’utilisation d’un même traceur pour plusieurs finalités, dont certaines n’entrent pas dans le cadre de ces exemptions, nécessite de recueillir préalablement le consentement des personnes concernées. Sans consentement, l’éditeur du service en ligne devra alors s’abstenir d’utiliser ce cookie pour la finalité non exemptée de consentement.
En effet, en considérant que les éventuelles différentes finalités fonctionnelles et non fonctionnelles d’un même cookie sont indissociables les unes des autres, l’utilisation de cette catégorie de traceurs reviendrait alors à détourner les dispositions de la loi « Informatique et Libertés » puisque le consentement de l’utilisateur ne serait plus jamais sollicité préalablement au dépôt de cookies. Par extension à ce qui précède et comme le remarque la Cnil dans sa décision à l’encontre de la société Voodoo, le refus exprès d’un utilisateur à l’utilisation de cookies pour des finalités non exemptées de consentement se doit d’être respecté par l’éditeur du service concerné, à défaut de quoi ce dernier prive d’effectivité le choix exprimé par l’utilisateur.

Aussi facile d’accepter que de refuser
Depuis l’entrée en application du RGPD, le « consentement » prévu à l’article 82 de la loi « Informatique et Libertés » précité doit s’entendre au sens du règlement général européen sur la protection des données (RGPD), c’est-à-dire qu’il doit être donné de manière libre, spécifique, éclairée et univoque, et se manifester par un acte positif clair. Dans ses décisions prononcées à l’encontre des sociétés Google, Facebook, TikTok et Microsoft, la Cnil rappelle que le considérant 42 du RGPD : « Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ». La Cnil précise par ailleurs que, comme mentionné dans ses lignes directrices et ses recommandations (10) datées du même jour, et confirmées par un arrêt du Conseil d’Etat du 19 juin 2020 (11), il doit être aussi aisé de refuser ou retirer son consentement aux traceurs que de le donner.

Inventivité des éditeurs et « dark pattern »
Le caractère « libre » du consentement implique en effet un choix et un contrôle réel pour les personnes concernées (12). Or, dès lors qu’un éditeur rend le refus d’utilisation de cookies non fonctionnels plus complexe que son acceptation, celui-ci incite l’internaute qui souhaite pouvoir visualiser le site Internet ou utiliser l’application rapidement, à accepter ces cookies en le décourageant à les refuser – viciant ainsi son consentement qui n’est plus libre. Les modalités proposées à l’utilisateur pour manifester son choix ne doivent donc pas être biaisées en faveur du consentement, comme l’indique la Cnil dans sa décision à l’encontre de Microsoft.
Par ailleurs, si le refus de l’utilisateur de consentir aux cookies peut potentiellement se déduire de son silence, c’est à la stricte condition que l’utilisateur en soit pleinement informé, et que l’équilibre entre les modalités d’acceptation et de refus soit respecté. Ainsi, si l’utilisation d’un bouton « tout accepter » est commune sur les bandeaux cookies, cette modalité de recueil du consentement de l’utilisateur ne sera licite que si l’utilisateur dispose d’un bouton « tout refuser » présent au même niveau et sur le même format, afin de ne pas altérer la liberté de son choix. La pratique encore commune des éditeurs de sites web ou d’applications mobiles d’opposer un bouton « tout accepter » à un bouton « paramétrer » ou « personnaliser » (ou équivalent), n’est donc pas licite et constitue un « dark pattern », comme l’indique la Cnil dans ses décisions à l’encontre des sociétés Facebook et Google.
A propos de ces « dark pattern », la délégation de la Cnil – qui a effectué un contrôle en ligne sur le site web « facebook.com » – mentionne d’ailleurs une étude universitaire de 2020 intitulée « Les “dark patterns” au temps du RGPD : récupération des fenêtres de consentement et démonstration de leur influence » (13). Les chercheurs – provenant notamment des universités de Cambridge et du MIT – ont démontré que 93,1 % du panel des internautes confrontés à des bandeaux cookies s’arrêtent au premier niveau et que seule une faible minorité d’entre eux vont au second niveau pour personnaliser ou refuser. Cette étude démontrait également que le fait de reléguer le bouton du refus au second niveau augmentait en moyenne de 23,1 points de pourcentage le taux de consentement aux cookies. Enfin, pour que le consentement de l’internaute soit libre, l’éditeur du site ou de l’application doit également veiller à ce que l’information relative à ses cookies et transmise à l’internaute – avant le recueil de son éventuel consentement – soit complète, visible et mise en évidence. Cette information doit en particulier porter sur les finalités poursuivies par les opérations de dépôt et de lecture des cookies, et sur les moyens dont l’utilisateur dispose pour s’y opposer. Une description générale et approximative des finalités de l’ensemble cookies non fonctionnels déposés, par l’utilisation de termes généraux tels que « améliorer votre expérience sur nos sites web » et « à des fins d’analyse et de marketing », est imprécise et constitue un manquement à la loi « Informatique et Libertés » (14), comme le mentionne la Cnil dans sa décision à l’encontre de TikTok.
Il résulte ainsi de ces six décisions, rendues par la Cnil sur les seuls mois de décembre 2021 et 2022, des rappels de règles bien établies ou en phase de l’être depuis l’entrée en vigueur du RGPD (15) – à savoir depuis le 25 mai 2018. Si ces règles sont claires, leur application n’est toutefois pas toujours l’objectif des éditeurs de sites et d’applications qui font preuve d’inventivité pour limiter la chute du taux de consentement de leur utilisateurs ou abonnés (16) à l’utilisation de cookies non fonctionnels, comme le démontre le Comité européen de la protection des données (CEPD) dans son rapport « Cookie Banner » publié le 18 janvier 2023 (17). Ces éditeurs considèrent en effet que leur intérêt à utiliser des cookies non fonctionnels, en particulier à des fins de publicités ciblées ou analytiques, prévaut sur le respect du consentement de leurs utilisateurs ou abonnés, et par extension acceptent le risque de sanctions administratives et d’actions judiciaires qui en résulte.

Sanctions plus rapides et solutions alternatives
Les modifications de la loi « Informatique et Libertés » et de son décret d’application, intervenues le 24 janvier puis le 8 avril 2022, ont pour ambition de permettre une plus grande souplesse dans le recours aux mises en demeure ou aux sanctions. Si la réforme des procédures correctrices de la Cnil (18) – permettant à celle-ci de prononcer des sanctions plus rapidement – ne sera probablement pas suffisante pour convaincre toutes les entreprises et organisations de changer leurs pratiques, le développement de solutions alternatives aux cookies non exemptés de consentement pourrait l’être. @

* Vanessa Bouchara, avocate et spécialiste en droit
de la propriété intellectuelle, a fondé
le cabinet Bouchara Avocats (www.cabinetbouchara.com).

Google Analytics, outil de mesure d’audience le plus utilisé au monde : toujours illégal en Europe ?

Publié le 13 février 2023 par Charles de Laubier

Il y a un an, la Cnil mettait en demeure une première société française éditrice d’un site web utilisant Google Analytics, jugé incompatible avec le RGPD quant au transfert des données vers les Etats-Unis. Deux autres sociétés ont été aussi épinglées sur les 101 plaintes de l’association Noyb.

Il y a plus de trois mois, Russell Ketchum (photo de gauche), directeur de Google Analytics, confirmait qu’Universal Analytics sera remplacé 1er juillet 2023 par la version 4 de Google Analytics (GA4), tandis qu’« Universal Analytics 360 » sera, lui, finalement prolongé jusqu’au 1er juillet 2024 (1), soit au-delà du 1er octobre 2023 initialement prévu (2). Quésaco ? Universal Analytics est la version basique et gratuite de l’outil de mesure d’audience le plus utilisé au monde par des sites web et des applications mobiles.

Le transfert des données vers les USA
Google Analytics détient en effet 86,1 % de parts de marché au 7 février 2023 en étant utilisé par 56,5 % de tous les sites web, selon W3Techs, suivi par Facebook Pixel et de bien d’autres analyseurs de trafic (3). « Universal Analytics 360 » est, elle, la version premium payante de Google Analytics destinée principalement aux grandes entreprises. Edition Multimédi@ a demandé à Google si GA4 répondait aux préoccupations des Européens sur la protection de leur vie privée, conformément au règlement général sur la protection des données (RGPD), et notamment aux mises en demeure prononcées par la Cnil en décembre 2021 et en décembre 2022 ? « Nous avons en effet récemment introduit de nouvelles fonctionnalités pour Google Analytics 4 qui permettent par exemple aux sites web de ne pas enregistrer ni stocker les adresses IP via GA4, ou encore de minimiser les données collectées concernant l’utilisateur, ce qui peut ainsi aider à répondre aux préoccupations d’identification des utilisateurs. Cependant, le véritable problème au cœur de tout cela reste les transferts de données entre l’Union européenne et les Etats-Unis qui manquent d’un cadre juridique stable pour les entreprises européennes et américaines », nous a répondu le géant du Net. Et d’ajouter : « Nous considérons que l’Executive Order récent[d’octobre 2022, ndlr] de la Maison Blanche est une étape importante dans ce travail » (4). De quoi rassurer les éditeurs de sites web et d’applis mobiles utilisant Google Analytics et les « Cnil » en Europe qui les surveillent voire les sanctionnent ? Rien n’est moins sûr. Il y a un an en France, le 10 février 2022, la Cnil mettait en demeure la toute première société pour non-respect du RGPD pour l’utilisation de Google Analytics pour mesurer son audience web (5). La Cnil considère implicitement que Google Analytics est ni plus ni moins illégal au regard du RGPD pour deux motifs principaux : les mesures mises en place par Google ne sont pas suffisantes pour exclure la possibilité d’un accès aux données de résidents européens ; les données des internautes européens sont donc transférées illégalement vers les Etats-Unis par le biais de ce même outil. Cette première décision de la Cnil a été publiée il y a un an, mais de façon anonymisée, pour l’exemple (6). Mais il s’agit de l’une des trois sociétés françaises utilisant Google Analytics contre lesquelles l’organisation autrichienne Noyb dirigée par Max Schrems (photo de droite) avait déposé plaintes – parmi un total de 101 plaintes (7) déposées en août 2020 – auprès des « Cnil » européennes, dénonçant des transferts illégaux de données à caractère personnel vers les Etats-Unis.
La Cnil en France avait ainsi été destinataire de trois plaintes à l’encontre de respectivement Decathlon, Auchan et Sephora. Parallèlement, concernant cette fois l’outil Facebook Connect, la Cnil était aussi saisie de trois autres plaintes à l’encontre de Free Mobile, Leroy Merlin et Le Huffington Post. Après sa première décision concernant Google Analytics, la Cnil mettra également en demeure les deux autres sites web mis en cause (parmi Decathlon, Auchan et Sephora). Ce dont se félicitera à nouveau la Noyb le 5 avril 2022 dans un communiqué où sont mises en ligne les deux autres décisions de la Cnil, là aussi anonymisées (8). Ces trois sociétés disposaient d’un délai d’un mois – renouvelable à leur demande – pour se mettre en conformité et justifier cette conformité auprès de la Cnil.
Mais la Cnil n’a pas été la première à épingler les éditeurs de services en ligne qui utilisent Google Analytics. Son homologue autrichienne – la Datenschutzbehörde (DSB) – avait ouvert la voie deux semaines avant dans une décision inédite datée du 22 décembre 2021 et considérée comme « révolutionnaire » par la Noyb (9).

L’Italie, la Grèce mais pas l’Espagne
Ce fut la première fois en Europe que l’utilisation de Google Analytics est considérée comme une violation du RGPD. D’autres décisions ont été prises par d’autres autorités en Europe – la Grèce par décision de l’APD de janvier 2022 (10) et l’Italie par décision de la GPDP de juin 2022 (11) – à l’encontre de l’utilisation de « GA ». En revanche, la « Cnil » espagnole – l’AEDP – n’a pas suivi ni ses homologues européennes ni la CEPD en publiant le 15 décembre 2022 une décision rejetant la plainte de Noyb (12). Ces premières décisions sur les 101 plaintes déposées par Noyb faisaient suite à la décision de 2020 dite « Schrems II » de la Cour de justice de l’Union européenne (CJUE) estiment que l’utilisation des services Internet américains violait le RGPD, car les lois de surveillance américaines exigent que les Google, Facebook et autres Twitter fournissent aux autorités américaines des détails personnels sur leurs utilisateurs, mêmes Européens.

Le spectre de la loi américaine FISA
Par exemple, la loi américaine FISA – Foreign Intelligence Surveillance Act – autorise expressément la NSA – National Security Agency – à collecter les données personnelles des utilisateurs situés hors des Etats-Unis si ces data sont stockées sur des serveurs américains. Autre texte américain, présidentiel celui-ci : l’OE – Executive Order – numéro 12.333 qui renforce les services de renseignement aux Etats-Unis depuis Ronald Reagan et George W. Bush. C’est pour ces raisons que la CJUE avait annulé en 2020 l’accord de transfert « Privacy Shield » (décision « Schrems II » de 2020), après avoir annulé l’accord précédent « Safe Harbor » (décision « Schrems I » de 2015). Cela provoqua une onde de choc pour les GAFAM qui les secouent encore aujourd’hui (13). « Nous nous attendons à ce que des décisions similaires tombent progressivement dans la plupart des Etats membres de l’UE. Nous avons déposé 101 plaintes dans presque tous les Etats membres et les autorités [les « Cnil » européennes, ndlr] ont coordonné la réponse », s’était félicité Max Schrems. Il est prêt à attaquer à nouveau devant la CJUE la nouvelle décision sur le transfert des données « UE-USA » (14) publiée par la Commission européenne le 13 décembre dernier (15). Dans la foulée de la décision de la DSB en Autriche, le Contrôleur européen de la protection des données (CEPD) – regroupant les « Cnil » européennes – avait également rendue une semaine avant une décision commune similaire (16). S’il devait y avoir sanction, le RGPD prévoit qu’elle peut aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise du Net.
C’est justement parce que Google Analytics est largement utilisé par une écrasante majorité d’éditeurs de services en ligne que la Cnil avait décidé d’anonymiser ses trois décisions. « Il ne paraissait pas utile de citer le nom d’un éditeur de site en particulier, l’usage de cet outil étant très répandu. L’objectif est que l’ensemble des responsables de traitement utilisant cet outil se mette en conformité », justifiait ainsi le gendarme des données personnelles. Il avait d’ailleurs mis en garde tous les éditeurs concernés : « Tous les responsables de traitement utilisant Google Analytics d’une façon similaire à ces organismes doivent considérer dès à présent cette utilisation comme illégale au regard du RGPD. Ils doivent donc se tourner vers un prestataire proposant des garanties suffisantes de conformité ». D’après la Cnil, les trois sociétés mises en demeure avaient établi avec Google des clauses contractuelles types, proposées par défaut. Or ces dernières ne peuvent assurer seules un niveau de protection suffisant en cas de demande d’accès d’autorités étrangères, notamment si cet accès est prévu par des lois locales. En réponse au questionnaire envoyé par la Cnil, Google a indiqué que l’ensemble des données collectées par le biais de Google Analytics était hébergé aux Etats-Unis. Néanmoins, avait mentionné le gendarme français des données personnelles le 7 juin 2022, « Google avait indiqué avoir mis en place des mesures supplémentaires d’ordre juridique, organisationnel et technique, qui ont cependant été jugées insuffisantes pour assurer la protection effective des données personnelles transférées, en particulier contre des demandes d’accès aux données par des services de renseignement états-uniens » (17).
La Cnil avait en outre fait savoir que Google avait indiqué utiliser des mesures de pseudonymisation (18), mais non d’anonymisation (19). « Google propose bien une fonction d’anonymisation des adresses IP, a constaté la Cnil, mais celle-ci n’est pas applicable à tous les transferts. En outre, les éléments fournis par Google ne permettent pas de déterminer si cette anonymisation a lieu avant le transfert aux Etats-Unis ». Autre problème que pose Google Analytics : la réidentification de l’internaute. En effet, la seule utilisation d’identifiants uniques permettant de différencier les individus peut amener à rendre les données identifiables, en particulier lorsqu’elles sont associées à d’autres informations telles que les métadonnées relatives au navigateur et au système d’exploitation.

Data et navigation : le risque de suivi demeure
De plus, l’utilisation de Google Analytics avec d’autres services de Google, notamment marketing, peut amplifier le risque de suivi. « En effet, explique la Cnil, ces services, très utilisés en France, peuvent permettre un recoupement de l’adresse IP et ainsi de retracer l’historique de navigation de la majorité des internautes sur un grand nombre de sites ». Quant au chiffrement de données par Google, il s’est avéré insuffisant car Google procède lui-même au chiffrement des données et a l’obligation d’accorder l’accès ou de fournir les données importées qui sont en sa possession, y compris les clés de chiffrement nécessaires pour les décrypter. @

Charles de Laubier