Abonnements payants de Facebook et Instagram en Europe : Meta se heurte aux exigences du RGPD

Pour Instagram ou Facebook sans publicités, il en coûte désormais aux Européens 9,99 euros par mois sur le Web et même 12,99 euros sur application mobile. C’est cher payé pour ne plus être ciblé dans sa vie privée. Et le consentement « libre » des utilisateurs exigé par le RGPD est-il respecté ?

(Cet article juridique a été publié dans EM@ n°312 du 18 décembre 2023. Le 11 janvier 2024, l’organisation Noyb a annoncé avoir déposé plainte contre Meta)

L’anonymat sur les réseaux sociaux n’existe pas, seule est pratiquée la pseudonymisation

A part pour certains geeks utilisant Tor, l’anonymat sur Internet n’existe quasiment pas – contrairement à une idée répandue. L’identification d’un internaute utilisant un pseudonyme se fait par son adresse IP et peut être ordonnée par un juge sur « réquisition judiciaire ». « L’anonymat sur les réseaux sociaux n’est plus une protection face à la justice », a lancé le procureur de la République de Créteil, Stéphane Hardouin, le 6 juillet dernier sur son compte professionnel LinkedIn, en montrant son communiqué expédié le même jour (1). Il annonce qu’un jeune homme âgé de 19 ans, ayant relayé de façon anonyme sur Twitter – après la mort de Nahel tué à bout portant par un policier le 27 juin 2023 à Nanterre et ayant suscité une forte émotion – un appel à attaquer le centre commercial « Créteil Soleil » et le tribunal judiciaire de Créteil, a été identifié avec l’aide de Twitter. Twitter, Snapchat, Instagram, TikTok, … Présumé innocent, il encourt en cas de culpabilité jusqu’à cinq ans de prison d’emprisonnement et 45.000 euros d’amendes. Son anonymat a été levé par Twitter sur réquisition judiciaire adressée le 1er juillet au réseau social à l’oiseau bleu. Accusé de « provocation publique et directe non suivie d’effet à commettre un crime ou un délit et complicité de dégradation ou détérioration d’un bien appartenant à autrui », le garçon majeur – domicilié dans le Val-de-Marne – a été interpellé le 6 juillet et placé en garde à vue au commissariat de Créteil. Après son tweet, il se trouve que le centre commercial « Créteil Soleil » était pris d’assaut le 30 juin (21 individus interpelés), puis dans la nuit du 2 au 3 juillet des barricades faites de poubelles était incendiées et des mortiers était tirés aux abords du tribunal judiciaire de Créteil. Son message a été repéré par Pharos, la « plateforme d’harmonisation, d’analyse, de recoupement et d’orientation des signalements » de l’Office central de lutte contre la criminalité liée aux technologies de l’information et de la communication (OCLCTIC), au sein de la Police judiciaire. Pour la réquisition judiciaire adressée à Twitter, le procureur de Créteil, Stéphane Hardouin, fait référence dans son communiqué à la circulaire du garde des sceaux datée du 30 juin et signée par Eric Dupond-Moretti (photo), qui appelle notamment à « une réponse pénale ferme ». Le ministre de la Justice pointe notamment l’anonymat sur les réseaux sociaux qui peut être levé par un juge : « Il apparaît que de nombreuses exactions sont commises après avoir été coordonnées via les systèmes de diffusion de messages sur certains réseaux sociaux dits OTT pour “opérateurs de contournement” (Snapchat notamment). Il doit être rappelé que depuis l’entrée en vigueur de l’ordonnance n°2021-650 du 25 mai 2021, les OTT sont considérés comme des opérateurs de communication électronique (…), au sens de l’article L.32 du code des postes et des communications électroniques (CPCE). Dès lors, ils sont tenus de répondre aux réquisitions judiciaires, car relevant des mêmes obligations que les opérateurs téléphoniques. Ils peuvent ainsi être requis au visa de l’urgence pour assurer une réponse rapide sur les éléments de nature à permettre d’identifier les auteurs de ces messages ». Dans la circulaire « Traitement judiciaire des violences urbaines » de quatre pages (2), émise par la Direction des affaires criminelles et des grâces à l’attention des procureurs et des présidents des tribunaux, le garde des sceaux leur demande de « veiller à retenir la qualification pénale adaptée aux faits perpétrés dans ce contexte et à procéder à une évaluation rapide et globale de la situation de manière à pouvoir apporter une réponse pénale ferme, systématique et rapide aux faits le justifiant ». Et d’ajouter : « Pour les mis en cause majeurs, la voie du défèrement aux fins de comparution immédiate ou à délai différé, ou le cas échéant, de comparution sur reconnaissance préalable de culpabilité, sera privilégiée pour répondre aux faits les plus graves ». Eric Dupond- Moretti a rappelé en outre que « les infractions commises par les mineurs engagent, en principe, la responsabilité civile de leurs parents ». Que cela soit dans la vraie vie ou sur les réseaux sociaux, nul n’est censé échapper aux sanctions pénales si la justice juge coupable l’individu ou l’internaute interpellé. Pseudonymisation et démocratie vont de pair Dans son rapport annuel 2022 – publié le 27 septembre – sur « les réseaux sociaux : enjeux et opportunités pour la puissance publique » (3), le Conseil d’Etat a estimé que « les réseaux sociaux engendrent une désinhibition, souvent aggravée par l’anonymat, qui ouvre la voie à de nombreux actes malveillants ». Faut-il pour autant interdire l’utilisation de pseudonymes sur les réseaux sociaux ? Les sages du Palais-Royal se sont dits très réservés sur la suppression de l’anonymat qui n’est autre que de la pseudonymisation : « La possibilité de s’exprimer sous un autre nom que le sien, qui a toujours été admise dans la vie réelle, est, comme l’a d’ailleurs rappelé par exemple la Cnil (4), “une condition essentielle du fonctionnement des sociétés démocratiques” qui permet “l’exercice de plusieurs libertés fondamentales essentielles, en particulier la liberté d’information et le droit à la vie privée”. Elle peut faciliter la prise de parole de personnes qui craignent la discrimination ou souhaitent contester les positions acquises ». L’anonymat du Net est toute relative Le Conseil d’Etat estime en outre que « la suppression de l’anonymat, qui n’a été adoptée par aucune démocratie occidentale et n’est pas envisagée au sein de l’Union européenne, ne paraît pas constituer une solution raisonnable conforme à notre cadre juridique le plus fondamental ». Et contrairement aux détracteurs d’Internet et des réseaux sociaux, l’anonymat sur Internet n’existe pas en général. « Cette forme d’anonymat n’est que relative. Il est en effet relativement facile, en cas de nécessité, d’identifier une personne compte tenu des nombreuses traces numériques qu’elle laisse (adresse IP, données de géolocalisation, etc.). La LCEN [loi de 2004 pour la confiance dans l’écono-mie numérique, ndlr] prévoit l’obligation de fournir à la justice les adresses IP authentifiantes des auteurs de message haineux et plusieurs dispositifs normatifs, dont la directive dite “Police-Justice”, obligent les opérateurs à conserver de telles données : en pra-tique, les opérateurs répondent généralement sans difficulté aux réquisitions judiciaires pour communiquer l’adresse IP. Les obstacles rencontrés existent mais apparaissent finalement assez limités : la possibilité de s’exprimer sur Internet sans laisser aucune trace paraît donc à ce jour réservée aux “geeks” les plus aguerris [utilisant notamment le navigateur Tor garantissant l’anonymat de ses utilisateurs, ndlr] ». La pseudonymisation, comme le définit d’ailleurs l’article 4 paragraphe 5 du règlement général européen sur la protection des données (RGPD), est un traitement de données personnelles réalisé de manière à ce que l’on ne puisse plus attribuer les données à une personne physique identifiée sans information supplémentaire. « En pratique, rappellent les sages du Palais-Royal, la pseudonymisation consiste à remplacer les données directement identifiantes (nom, prénoms, etc.) d’un jeu de données par des données indirectement identifiantes (alias, numéro séquentiel, etc.). La pseudonymisation permet ainsi de traiter les données d’individus sans pouvoir identifier ceux-ci de façon directe. Contrairement à l’anonymisation, la pseudonymisation est une opération réversible : il est possible de retrouver l’identité d’une personne si l’on dispose d’informations supplémentaires ». Sans remettre en cause l’anonymat de l’expression, le Conseil d’Etat propose notamment la généralisation du recours aux solutions d’identité numérique et aux tiers de confiance. Et ce, notamment pour mieux protéger les mineurs, vérifier la majorité numérique – laquelle vient d’être fixée en France à 15 ans (5) – et de garantir la fiabilité des échanges sur les réseaux sociaux. La Cnil, présidée par Marie-Laure Denis (photo ci-contre), veut préserver l’anonymat. Y compris lorsque les sites pornographiques vérifient l’âge de leurs utilisateurs, sous le contrôle de l’Arcom. Pour cela, la Cnil préconise depuis juin 2021 le mécanisme de « double anonymat » (6) préféré à la carte d’identité. Ce mécanisme empêche, d’une part, le tiers de confiance d’identifier le site ou l’application de contenus pornographiques à l’origine d’une demande de vérification et, d’autre part, l’éditeur du site ou de l’application en question d’avoir accès aux données susceptibles d’identifier l’utilisateur (7). Quant au contrôle parental, il sera activé par défaut en France sur tous les terminaux à partir du 13 juillet 2024, selon le décret « Renforcer le contrôle parental sur les moyens d’accès à Internet » du 11 juillet paru 13 juillet (8). « Couper les réseaux sociaux » (Macron) « Quand les choses s’emballent pour un moment, [on peut] se dire : on se met peut-être en situation de les réguler ou de les couper », a lancé Emmanuel Macron de l’Elysée, le 4 juillet dernier, devant un parterre de 300 maires de communes touchées par les émeutes déclenchées par le meurtre du jeune Nahel. Face au tollé provoqué par ce propos digne d’un régime autoritaire à la Corée du Nord, à l’Iran ou à la Chine, le porte-parole du gouvernement Olivier Véran a dû rétropédaler en ne parlant plus que de « suspensions de fonctionnalités » comme la géolocalisation. Si couper les réseaux sociaux est faisable techniquement, avec l’aide des fournisseurs d’accès à Internet (FAI), la décision de le faire risque d’être illégale au regard des libertés fondamentales qui fondent une démocratie. @

Charles de Laubier

Protection des données : après 5 ans de mise à l’épreuve du RGPD, son réexamen sera le bienvenu

En attendant le réexamen en 2024 du règlement sur la protection des données (RGPD), les entreprises peinent à remplir certaines de leurs obligations, comme celle de transparence envers les utilisateurs, et doivent faire face au détournement du droit d’accès aux données et à la déferlante de l’IA. Par Sandra Tubert, avocate associée, Algo Avocats Entré en application le 25 mai 2018, deux ans après son entrée en vigueur afin de laisser aux entreprises le temps nécessaire pour se mettre en conformité, le règlement européen sur la protection des données (RGPD) affichait des objectifs ambitieux (1). La couverture médiatique dont il a fait l’objet a permis de sensibiliser les Européens à la protection de leurs données à caractère personnel, mais également au RGPD de s’imposer comme une référence pour les Etats étrangers ayant adopté une loi similaire. Pour autant, avec un recul d’un peu plus de cinq ans, le RGPD peine à remplir pleinement certains des objectifs fixés. Internautes concernées mieux informés Dans la lignée de la directive « Protection des données personnelles » de 1995 qui l’a précédée (2), le RGPD n’a pas choisi la voie de la patrimonialisation des données à caractère personnel. Le législateur européen n’a en effet pas créé de droit à la propriété sur les données à caractère personnel, mais s’est plutôt orienté vers une approche de protection des données permettant aux personnes concernées d’avoir une certaine maîtrise de l’utilisation faite de leurs données à caractère personnel. Deux objectifs principaux ont été associés à cette approche : renforcer la transparence sur les traitements réalisés et fournir des droits supplémentaires aux personnes concernées. C’est ainsi que le RGPD est venu renforcer l’obligation faite aux responsables du traitement de fournir une information détaillée sur les traitements mis en œuvre (3). L’objectif affiché était louable : une transparence accrue afin de permettre aux individus de comprendre en amont l’utilisation envisagée de leurs données par les entreprises et ainsi d’en avoir la maîtrise en leur laissant la possibilité d’effectuer un choix éclairé : refuser la communication de leurs données, s’opposer à certains traitements, ou bien encore donner leur consentement à la réalisation de certaines activités. En pratique, les entreprises ont l’obligation de fournir l’intégralité des informations prévues par le RGPD de façon concise, transparente, compréhensible et aisément accessible, en utilisant des termes clairs et simples. Or répondre à ces impératifs de manière conforme à ce qui est attendu par les autorités de contrôle – comme la Commission nationale de l’informatique et des libertés (Cnil) en France – est l’une des premières difficultés que cinq ans de pratique du RGPD ont fait émerger. En effet, les organisations ont des difficultés à concilier les exigences de fourniture d’une information exhaustive et très technique – notamment concernant les bases légales du traitement et les garanties fondant les transferts des données hors de l’Union européenne (4) – avec celles de clarté et de concision. Ainsi, au titre des effets pervers de cette obligation de transparence accrue, les citoyens européens font face à des politiques de confidentialité toujours plus longues, rédigées en des termes trop techniques ou trop juridiques. De l’autre côté, les autorités de protection des données n’hésitent pas à sanctionner les manquements à cette obligation, puisque le « défaut d’information des personnes » figure parmi les manquements les plus fréquemment sanctionnés par la Cnil (5). Cette obligation a été couplée à la fourniture de droits supplémentaires aux personnes, toujours dans une optique de leur offrir une meilleure maîtrise de leurs données. En pratique, le RGPD a repris les droits existants depuis la directive « Protection des données personnelles » (droits d’accès, de rectification, d’opposition), consacré le droit d’effacement (6) et créé de nouveaux droits (droits à la limitation du traitement et à la portabilité des données). La sensibilisation du grand public à l’existence de ces droits, grâce notamment aux actions de la Cnil et au traitement médiatique, ont eu pour effets la réception, par les entreprises, de demandes fondées sur les droits issus du RGPD de plus en plus nombreuses. Par ricochet, les autorités de protection des données ont, elles aussi, vu le nombre de plaintes déposées auprès de leurs services augmenter considérablement (7). Ainsi, la Cnil a reçu 12.193 plaintes en 2022 contre 7.703 en 2016. L’objectif fixé par le RGPD semble donc atteint sur ce point. Droit d’accès : instrumentalisation Néanmoins, ces dernières années ont également été témoin du détournement du droit d’accès, aussi bien dans la sphère sociale que commerciale. En effet, les entreprises reçoivent de plus en plus de demandes de droit d’accès dont l’objectif n’est pas de vérifier l’existence et la licéité du traitement des données, mais au contraire de se constituer des preuves dans le cadre d’un précontentieux ou d’un contentieux à l’encontre de l’entreprise. Cette instrumentalisation est parfaitement connue des autorités qui ont toutefois réaffirmé (8) que, dans le cadre de l’évaluation des demandes reçues, le responsable du traitement ne devait pas analyser l’objectif du droit d’accès en tant que condition préalable à l’exercice de ce droit et qu’il ne devait pas refuser l’accès au motif que les données demandées pourraient être utilisées par la personne pour se défendre en justice. Les entreprises n’ont ainsi d’autres choix que de donner suite à ces demandes, en restreignant la nature des données communiquées aux seules données relatives à la personne concernée et en veillant à ne pas porter atteinte aux droits des tiers (9). Des obligations de sécurité renforcées La protection des données à caractère personnel passant nécessairement par la sécurité de celles-ci, le RGPD est venu renforcer les obligations à la charge des entreprises au moyen de deux mécanismes assez efficaces : l’obligation pour les responsables du traitement de notifier les violations de données aux autorités de contrôle (10), voire directement aux personnes concernées, respectivement lorsqu’elles présentent des risques ou des risques élevés pour les personnes; l’obligation pour les responsables du traitement et les sous-traitants (11) de mettre en œuvre des mesures de sécurité appropriées aux risques présentés par le traitement. Il est assez difficile de déterminer si les objectifs de sécurisation des données fixés par le RGPD sont atteints. Néanmoins, dans un contexte où les attaques par rançongiciel (ransomware) se multiplient chaque année (12), les autorités de contrôle sont particulièrement vigilantes quant au respect de ces deux obligations. En témoigne notamment le fait qu’en 2022, un tiers des sanctions prononcées par la Cnil concernait un manquement à l’obligation de sécurité. Ce même manquement a conduit cette dernière à prononcer sa première sanction publique à l’encontre d’un sous-traitant (13), un éditeur de logiciel, pour un montant de 1,5 million d’euros. Elle n’a pas non plus hésité à sanctionner une entreprise qui n’avait pas informé les personnes concernées de la violation de données intervenue, alors qu’elle présentait un risque élevé pour ces dernières. Sur le respect de l’obligation de notification des violations de données, il est assez difficile de tirer de réels enseignements des chiffres disponibles, même si l’on constate des disparités importantes quant au nombre de notifications de violation de données réalisées chaque jour en fonction des pays. A titre d’exemple, il y a environ 14 notifications par jour en France, contre 27 notifications par jour au Royaume-Uni. Cette disparité se retrouve également dans le nombre de sanctions prononcées chaque année par les autorités de contrôle et l’approche suivie par ces dernières. Si l’autorité espagnole prononce énormément de sanctions, l’autorité irlandaise est régulièrement épinglée (y compris par ses homologues) pour sa clémence et le peu de sanctions prononcées depuis l’entrée en application du RGPD, alors même qu’elle fait office d’autorité chef de file de la plupart des GAFAM (14). C’est finalement sur ce point que le RGPD peine à convaincre et à remplir pleinement ses objectifs, à savoir inciter les entreprises à se mettre en conformité au moyen d’un arsenal répressif dissuasif. En effet, à l’exception des quelques fortes sanctions (dont la dernière en date de 1,2 milliard d’euros à l’encontre de Meta), prononcées principalement à l’encontre des GAFAM et des géants du Net, les sanctions à l’encontre des sociétés sont moins fréquentes que ce qui était escompté par les associations de protection des données. Et les montants des sanctions financières sont assez éloignés des montants maximums encourus (4 % du chiffre d’affaires mondial consolidé). En France, en dehors des sanctions prononcées à l’encontre des GAFAM (dont beaucoup pour des manquements en matière de cookies, non régulés par le RGPD) et très récemment de Criteo (40 millions d’euros), le montant des sanctions prononcées par la Cnil sur le fondement du RGPD oscille depuis cinq ans entre 125.000 et 3 millions d’euros (15). L’association Noyb (16), à l’origine de nombreuses sanctions prononcées en Europe au cours des cinq dernières années, dénonce une certaine résistance des autorités de contrôle et des tribunaux nationaux dans l’application effective du RGPD (17). Elle appelle à suivre l’initiative de la Commission européenne d’adopter un règlement sur les règles de procédure relatives à l’application du RGPD (18), ce qui permettrait selon Noyb d’uniformiser l’approche procédurale des autorités et ainsi de favoriser une meilleure application du RGPD. Par ailleurs, si les entreprises ont pu craindre la multiplication des actions de groupe en matière de protection des données, cette modalité d’action est à l’heure actuelle peu utilisée par les associations de protection des données. En France, seulement deux actions de groupe ont été portées devant les juridictions : l’ONG Internet Society France contre Facebook et l’association UFC-Que-Choisir contre Google. Ce qui pourrait changer au regard des dernières annonces faites par Noyb suite à l’entrée en application des dispositions issues de la directive « Recours collectifs » de 2020 (19). Vers un réexamen du RGPD en 2024 Enfin, le paysage législatif européen pourrait également avoir un impact sur l’application du RGPD. En effet, plusieurs textes européens adoptés récemment (DSA, DGA) ou en cours d’adoption (DA, AIA) ont des champs d’application recoupant celui du RGPD, ce qui va notamment nécessiter de veiller à garantir leurs bonnes articulations. A cette occasion, ou au titre de l’article 97 du RGPD (réexamen tous les 4 ans à compter du 25 mai 2020), il serait souhaitable de voir le législateur européen adresser certaines des difficultés rencontrées par les entreprises dans la mise en application pratique du RGPD. @

L’Italie bouscule la France en interdisant ChatGPT

En fait. Le 31 mars, la « Cnil » italienne – la GPDP – a adopté une décision à l’encontre de la société américaine OpenAI, éditrice de l’intelligence artificielle ChatGPT, en interdisant temporairement ce robot conversationnel. En France, la Cnil a finalement reçu début avril deux plaintes contre cette IA. En clair. Edition Multimédi@ relève que la Commission nationale de l’informatique et des libertés (Cnil) a eu – lors de sa séance plénière du 9 février – une démonstration de ChatGPT (1). Depuis, c’était « silence radio ». Jusqu’à cette décision du 31 mars dernier de son homologue italienne, la GPDP, interdisant dans la péninsule le robot conversationnel de la société californienne OpenAI, laquelle a jusqu’au 20 avril pour « se conformer à l’ordonnance, sinon une amende pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial total pourra être imposée » (2). En France, la Cnil est donc sortie de son silence : « Sur les bases d’apprentissage et les IA génératives, l’objectif de la Cnil est de clarifier le cadre légal dans les prochains mois », a-t-elle indiqué le 1er avril à Marc Rees, journaliste juriste à L’Informé. L’autorité française de la protection des données lui a précisé ce jour-là qu’elle « n’a pas reçu de plainte » contre ChatGPT et n’a « pas de procédure similaire en cours » (3). Mais le 5 avril, deux premières plaintes contre OpenAI sont révélées (4). La Cnil dit « s’[être] rapprochée de son homologue italienne afin d’échanger sur les constats qui ont pu être faits ». Elle n’est bien sûr pas la seule, d’autant que toutes les « Cnil » des Vingt-sept sont compétentes pour « instruire » le cas ChatGPT. « OpenAI n’a pas d’établissement dans l’Union européenne ; donc le mécanisme du guichet unique ne lui est pas applicable. Il n’y a de ce fait pas d’autorité cheffe de file », indique à Edition Multimédi@ le Comité européen de la protection des données (EDPB) – réunissant à Bruxelles les « Cnil » des Vingt-sept sous la houlette de la Commission européenne. Il nous a répondu que son programme de travail 2023-2024 prévoit des « lignes directrices sur l’interaction entre le règlement sur l’IA [Artificial Intelligence Act, ndlr] et le RGPD [règlement général sur la protection des données] » (5). L’AI Act devrait être voté d’ici fin avril par Parlement européen (6), d’après le commissaire européen au Marché intérieur, Thierry Breton, qui est intervenu le 3 avril sur Franceinfo. « Tout ce qui sera généré par l’IA devra obligatoirement être signalé comme étant fait par une intelligence artificielle », a-t-il prévenu. L’Europe, elle, n’a d’ailleurs pas de champion de l’IA générative. Une nouvelle colonisation numérique… @

Assistants vocaux : voici un marché sur lequel l’Autorité de la concurrence devrait s’autosaisir

« Ok Google », « Alexa », « Dis Siri », « Hi Bixby » … Dites-nous si vous êtes sur un marché suffisamment concurrentiel et si vos écosystèmes sont ouverts et interopérables, voire transparents pour vos utilisateurs dont vous traitez les données personnelles ? C’est à se demander si l’Autorité de la concurrence ne devrait pas s’autosaisir pour mener une enquête sectorielle sur le marché des assistants vocaux et autres agents conversationnels, tant la concentration aux mains d’une poignée d’acteurs – principalement Google avec Google Assistant, Amazon avec Alexa ou encore Apple avec Siri – et l’enfermement des utilisateurs dans ces écosystèmes posent problème. Contacté par Edition Multimédi@, le gendarme de la concurrence nous a répondu : « Nous ne communiquons jamais sur l’existence d’éventuels dossiers à l’instruction ». Un « oligopole puissant » (rapport CSPLA) L’Autorité de la concurrence s’est déjà autosaisie sur la publicité en ligne « search » (2010) et « display » (2019), sur les fintechs (2021) ou encore sur le cloud (2022). Pour l’heure, c’est le Conseil supérieur de la propriété littéraire et artistique (CSPLA) qui s’est penché sur ce marché des assistants vocaux à travers un rapport (1) adopté lors de sa séance plénière du 16 décembre dernier. « Ce rapport n’a pas fait, à ma connaissance, l’objet d’une transmission officielle à l’Autorité de la concurrence », nous indique le conseiller d’Etat Olivier Japiot, président du CSPLA. Mais gageons que les sages de la rue de l’Echelle en ont pris connaissance. Les trois coauteures – deux professeures et une chercheuse – Célia Zolynski (photo de gauche), professeure à l’université Paris-Panthéon Sorbonne, en collaboration avec Karine Favro (photo du milieu), professeure à l’université de Haute-Alsace, et Serena Villata (photo de droite), chercheuse au CNRS – dressent un état des lieux inquiétant au regard du droit de la concurrence et des droits des utilisateurs. Elles pointent du doigt la constitution d’un marché oligopolistique : « Concernant l’accès au marché, l’effet réseau est particulièrement développé sur le marché des assistants vocaux en ce qu’il influence les négociations entre les différents acteurs d’un marché déployé en écosystème. Les acteurs structurants occupent des positions stratégiques en la forme d’oligopole puissant mais surtout, en capacité de faire adhérer les entreprises utilisatrices à leur environnement. Ces acteurs [peuvent] filtrer les contenus, ce qui tient à la nature de moteur de résultat de l’assistant vocal ». Ce n’est pas la première fois qu’une étude considère les assistants vocaux dans une situation d’oligopole, puisque le rapport du CSPLA fait référence à l’analyse de la chercheuse russe Victoriia Noskova, à l’université technologique d’Ilmenau en Allemagne. Publié dans le European Competition Journal le 10 octobre dernier, son article – intitulé « Les assistants vocaux, les gardiens [gatekeepers, dans le texte, ndlr] de la consommation ? Comment les intermédiaires de l’information façonnent la concurrence » – démontre au moins deux choses au regard du règlement européen Digital Markets Act (DMA) : que « les assistants virtuels en tant que gatekeepers de la consommation [contrôleurs d’accès aux contenus, ndlr] devraient être énumérés dans la liste des services de base [services de plateforme essentiels, ndlr] », ce qui a été finalement pris en compte dans la liste des services de plateforme essentiels (core platform services)du DMA (2) ; que « certaines des obligations doivent être adoptées pour s’adapter aux particu-larités des assistants virtuels » (3). Amazon avec Alexa, Google avec Google Assistant ou encore Apple avec Siri ont d’ailleurs rencontré un réel succès mondial grâce à leurs enceintes connectées respectives : Echo pour Amazon, Google Home pour la filiale d’Alphabet ou encore HomePod pour Apple (4). Le CSA et l’Hadopi (devenus depuis l’Arcom) avaient aussi estimé en 2019 – dans leur rapport sur les assistants vocaux et enceintes connectées (5), réalisé en concertation avec l’Autorité de la concurrence, l’Arcep et la Cnil (et cité par le CSPLA) – que « la position d’intermédiaire des exploitants d’assistants vocaux, entre éditeurs et utilisateurs, et leur puissance leur confèrent la possibilité de capter une part importante de la valeur et d’en imposer les conditions de partage (commissions sur les ventes ou sur les recettes publicitaires, niveau de partage des données d’usages, etc.) ». Lever les restrictions et l’autopréférence Les trois auteures missionnées par le CSPLA ont en particulier examiné « les points névralgiques qui permettront un accès non discriminatoire et équitable au marché de manière à garantir la liberté de choix de l’utilisateur ». Elles préconisent « une démarche en trois temps » : lever les restrictions liées à « l’autopréférence » des opérateurs d’assistants vocaux qui privilégient leurs propres services ; imposer l’interopérabilité des systèmes et des applications pour assurer le pluralisme et la liberté de choix (désabonnement ou droit de sortie) ; garantir à l’utilisateur un droit d’accès aux données techniques (paramétrage) et aux siennes jusqu’à la portabilité de ses données. @

Charles de Laubier