Le législateur européen poursuit ses travaux en vue de créer un marché unique des données. La dernière avancée en date : le règlement sur les données, dit « Data Act », entré en vigueur le 11 janvier 2024. Il sera applicable à compter du 12 septembre 2025. Tour d’horizon de ses principales dispositions.
Archives par mot-clé : Data
européennes en font-elles assez en tant que gendarmes des données personnelles ?Les « Cnil » européennes en font-elles assez en tant que gendarmes des données personnelles ?
Edition Multimédi@ revient sur la Journée de la protection des données (Data Protection Day) qui a été célébrée – comme tous les ans depuis 2007 – le 28 janvier. L’organisation Noyb a publié un sondage montrant, en creux, que les « Cnil » européennes ne contrôlent pas assez le respect du RGPD.
La Journée de la protection des données (Data Protection Day) qui été célébrée – comme tous les ans depuis 2007 (1) – le 28 janvier, est tombée cette année un dimanche. D’où le peu d’intérêt qu’elle a cette fois suscité. Pourtant, cette cause est cruciale pour les vies numériques des presque 404 millions d’internautes de l’Union européenne (UE), laquelle compte 445,8 millions d’Européens (2). Les données personnelles de ces citoyens de l’UE sont censées être protégées par les « gendarmes » des données personnelles justement, à savoir les « Cnil » dans chacun des Vingt-sept.
Les « Cnil » font-elles leur boulot ?
Or les « Cnil » de l’UE, réunies au sein du Comité européen de la protection des données (CEPD/EDPB) aux côtés de la Commission européenne qui participe à leurs réunions (sans droit de vote), n’useraient pas suffisamment de leurs pouvoirs de contrôle et d’enquête pour vérifier que les plateformes numériques et les sites web respectent – entre autres obligations de protection de la vie privée de leurs utilisateurs – le règlement général sur la protection des données (RGPD). C’est ce qui ressort, en creux, d’un vaste sondage mené par l’organisation autrichienne Noyb – « centre européen pour les droits numériques » cofondé à Vienne et dirigé par Max Schrems (photo) – auprès de 1.000 professionnels de la protection des données travaillant dans des entreprises européennes.
Dans les résultats de cette étude sans précédent depuis l’entrée en vigueur du RGPD le 25 mai 2018, il y a plus de cinq ans, il ressort que 74,4 % des professionnels interrogés – de nombreux étant eux-mêmes des DPO (Data Protection Officers), à savoir des délégués à la protection des données dans une entreprise – affirment que « si les autorités de protection des données personnelles [les « Cnil » européennes, ndlr] menaient une enquête sur place dans une entreprise moyenne traitant des données d’utilisateurs, elles trouveraient des “violations pertinentes” ». Autrement dit, la plupart des entreprises, au premier rang desquelles les grandes sociétés, ne respectent pas les obligations du RGPD (3) pour protéger la vie privée des personnes dont elles exploitent les données personnelles. Et, en toute impunité puisque les « Cnil » – les Data Protection Authorities (DPA) – en contrôlent très peu. Les sociétés et organisations sont donc en infraction avec ce règlement européen, lequel prévoit trois types sanctions financières en cas de violation des données personnelles :
• Pour les violations des obligations incombant au responsable du traitement et au sous-traitant, des obligations incombant à l’organisme de certification, ou des obligations incombant à l’organisme chargé du suivi des codes de conduite : amendes administratives pouvant s’élever jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
• Pour les violations aux principes de base d’un traitement, y compris les conditions applicables au consentement, aux droits dont bénéficient les personnes concernées, aux transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale, à toutes les obligations découlant du droit des Etats membres, ou au non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle, ou le fait de ne pas accorder l’accès prévu : amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. « Le non-respect d’une injonction émise par l’autorité de contrôle [une « Cnil » en Europe, ndlr] fait l’objet d’amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu », prévoit le RDPD (4).
France : seulement 125 agents habilités
Chaque autorité de contrôle des données personnelles est dotée de pouvoirs, sur son territoire, de contrôler l’application du RGPD et de veiller à son respect, ainsi que de pouvoirs d’enquêtes sur l’application de ce même règlement, « y compris sur la base d’informations reçues d’une autre autorité de contrôle ou d’une autre autorité publique » (5). Parmi ses nombreuses attributions en tant que gendarme des données personnelles, la « Cnil » européenne traite aussi « les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association, […] et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de contrôle est nécessaire ». Mais les autorités de contrôle des données dans l’UE remplissent-elles bien leur mission de contrôles, d’enquêtes voire de sanctions ? Au vu des constatations de Noyb, le doute s’installe sur leurs capacités à faire respecter la loi, en l’occurrence le RGPD. En France, la Cnil ne dispose que de 125 agents habilités « à procéder à des missions de vérification », d’après sa dernière délibération du 7 décembre 2023 publiée au Journal Officiel (6). Contactée par Edition Multimédi@, la Cnil nous indique qu’elle n’a « pas de commentaires à faire concernant le sondage Noyb ».
Le « soft-law » des DPA jugé inefficace
Le fait que 74,4 % des sondés par Noyb se disent d’accord avec l’affirmation selon laquelle « les autorités de protection des données trouveraient sûrement des violations pertinentes du RGPD » (voir tableau ci-dessous) en disent long sur le peu de contrôles et d’enquêtes qui sont menés sur le terrain. Les « Cnil » sont donc appelées à, en substance, faire vraiment leur travail de vérification en se rendant dans les entreprises. Avec ses 125 agents habilités, la Cnil française semble par exemple presque désarmée – en tant que gendarme des données personnelles – face à l’ampleur de la tâche. Sachant que, rien qu’en France d’après le rapport annuel de la Cnil, présenté par sa présidente Marie-Laure Denis (photo ci-contre) en mai 2023, il y a 89.841 délégués à la protection des données (DPO) susceptibles d’être contrôlés. Cela fait par agent assermenté plus de 700 responsables – de traitement des données personnelles et de la protection de la vie privée – à « vérifier »… Résultat, comme le constate Noyb, « les professionnels évoluent encore dans une culture de non-conformité ou de conformité partielle ». Et le président honoraire de Noyb d’enfoncer le clou : « Il est extrêmement alarmant de constater que 74,4 % des professionnels de la protection des données au sein des entreprises déclarent que les autorités trouveraient en des violations importantes dans une entreprise moyenne. De tels chiffres seraient inimaginables s’il s’agissait de se conformer à la législation fiscale ou à la réglementation en matière de sécurité incendie. La non-conformité ne semble être la norme que lorsqu’il s’agit des données personnelles des utilisateurs » (7). Autre critique à l’égard des « Cnil » et de leur représentation CEPD/EDPB à Bruxelles : les instruments dits de soft-law sont inefficaces, à savoir notamment leurs lignes directrices et recommandations qui n’ont que peu d’influence et sont considérées comme généralistes. D’après l’enquête de Noyb, 70,9 % des personnes interrogées pensent qu’il faudrait des décisions plus claires de la part des gendarmes européens des données personnelles (les vingt-sept DPA) et des tribunaux pour améliorer la conformité. Pour l’écrasante majorité des sondés, il y a « un besoin d’une plus grande implication réellement des DPA pour améliorer la protection de la vie privée des utilisateurs dans la pratique » et il y a encore « beaucoup d’interprétations contradictoires du RGPD ».
Et un avocat néerlandais spécialiste du RGPD de faire remarquer : « Si les Big Tech ne respectent pas le RGPD, pourquoi les petites entreprises se donneraient la peine de se conformer ? ». L’outil d’audit de site web WAT lancé le 29 janvier dernier par le CEPD/EDPB, sous forme de logiciel open source et gratuit (8), devrait permettre aux gendarmes des données et aux éditeurs Internet de vérifier la conformité ou pas de sites web. Reste qu’aujourd’hui le droit à la vie privée et à la protection des données est en grande partie bafoué en Europe, plus de cinq ans après l’entrée en vigueur du RGPD qui devrait en principe faire l’objet d’une révision cette année (9). @
Charles de Laubier
Le Data Act a à l’œil Amazon, Microsoft et Google
En fait. Le 11 janvier 2024 est entré en vigueur le Data Act, à savoir le règlement du 13 décembre 2023 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des données. Le marché unique européen des données du cloud et des objets connectés se met en place.
Yannick Carriou, PDG de Médiamétrie : « Nous allons mesurer en 2024 les plateformes de SVOD comme Netflix »
Médiamétrie – dont le conseil d’administration est composé de membres actionnaires issus des médias (télés en tête), des annonceurs, des agences, mais pas encore des plateformes – sortira en septembre 2024 les volumes de consommations de Netflix, Amazon Prime Video et autres, « qu’ils le veuillent ou non ».
Médiamétrie, qui fêtera ses 40 ans dans deux ans (en juin 2025), fait monter encore plus la pression sur les grandes plateformes numériques comme Netflix, Amazon Prime Video, Disney+ ou Apple TV+. Alors que les discussions confidentielles s’éternisent depuis plus d’un an avec certaines d’entre elles, dont Netflix, l’institut français de mesure d’audience réaffirme sa volonté aller de l’avant, avec ou sans leur coopération. « Nous sortirons une quantification totale de consommation des plateformes, puis au niveau des principaux contenus des audiences, avec des définitions ayant du sens, une information auditée, un certain niveau de transparence. A partir de septembre 2024, du moins au troisième trimestre 2024, on sortira des volumes de consommation, par exemple de Netflix. Puis six à neuf mois plus tard [soit à partir de mars 2025 au plus tôt, ndlr], on descendra au niveau des contenus », a indiqué Yannick Carriou (photo), PDG de Médiamétrie, lors d’une rencontre le 12 juillet avec l’Association des journalistes médias (AJM), dont fait partie Edition Multimédi@. Et d’ajouter : « C’est la raison pour laquelle nous avons passé un accord avec Nielsen, qui nous apporte immédiatement des technologies que nous sommes en train de tester et d’adapter à l’Internet français pour faire cette mesure-là ».
Vers une plateforme coactionnaire de Médiamétrie ?
Nielsen, le géant américain de la mesure d’audience présent dans le monde, collabore déjà avec Médiamétrie depuis 1999 mais, avec ce nouveau partenariat signé fin 2022, il fournit au français ses technologies – déjà éprouvées aux Etats-Unis – de mesure des flux digitaux à domicile par des routeurs Internet, de gestion informatique des contenus numériques de télévision, ainsi que de reconnaissance de contenus des plateformes de vidéo à la demande (VOD, SVOD, AVOD, FAST, …). « On sait mesurer quand un terminal se connecte à un serveur qui appartient à Netflix, Amazon ou Spotify, et quantifier automatiquement et de manière assez certaine les volumes de consommation. La situation est un peu différente au niveau des contenus : dans l’univers de la SVOD, 90 % à 95 % des contenus sont quasi exclusifs et on les reconnaît par une technique de type Shazam [reconnaissance de contenus, ndlr], alors que sur la télévision les contenus sont watermarqués [par du watermarking ou tatouage numérique, ndlr]. Sur l’audio digital, c’est plus difficile car les contenus sont aussi diffusés par les autres », explique Yannick Carriou.
Vers une plateforme coactionnaire de Médiamétrie ?
Médiamétrie travaille déjà sur les acteurs de l’Internet comme Google/YouTube, Facebook, Snap et Twitter ou encore Dailymotion, lesquels participent aux travaux de son comité Internet. En revanche, ce n’est toujours pas le cas des plateformes de SVOD qui sont absentes. « Si Netflix, Amazon, Disney et d’autres veulent participer d’avantage, et ils sont les bienvenus ; ils le peuvent en apportant un peu plus de précisions (logs, informations, …) qui seront auditées. Mais à ce jour, aucune plateforme ne nous a encore apporté ses données, constate le PDG de Médiamétrie. De tout façon, on n’en a pas besoin car nous allons d’abord développer notre mesuresocle. Or une fois que l’on commence à les mesurer pour de vrai, qu’ils le veuillent ou non, ils ne rigolent plus et les discussions s’ouvrent ». Comme avec Netflix. Médiamétrie, qui compte cinq comités décisionnels (Audimétrie, TV, Internet, Radio, Métridom (1)) et un atelier Cross média pub, « invite » les plateformes de SVOD à y participer. Mais « à deux conditions : que l’on ait une mesure à discuter et que l’on se mette d’accord sur la comitologie (2) ; probablement qu’en 2024 on aura une discussion pour l’insertion de ces acteurs », indique le PDG de Médiamétrie. Pour l’heure, en France, les Netflix, Amazon et autres Disney pratiquent l’automesure de l’audience de leurs plateformes et de leurs contenus, et ne partagent pas leurs données avec le marché. Certains acteurs de la SVOD peuvent annoncer des chiffres, comme Amazon avec Roland Garros que le géant du ecommerce retransmet depuis 2021, mais ils ne sont pas audités. «La posture de l’automesure qui consiste à dire “Prenez et mangez-en tous” ne marche pas trop », dit Yannick Carriou. Dans l’audio, Spotify fait aussi de la publicité digitale mais « ils sont très opaques sur les chiffres », des annonceurs lui achetant de l’impression (3). « Mais quelle est l’audience derrière ces impressions ? », s’interroge le patron de Médiamétrie. Pour lui, « la plateformisation relève de l’extension du domaine de la lutte ».
Un double bras de fer a lieu avec ces plateformes, notamment de SVOD. D’un côté, Médiamétrie les prévient qu’il va bientôt les mesurer à partir du troisième trimestre 2024, et, de l’autre, l’Union des marques (UDM) dirigée par Jean-Luc Chetrit (photo ci-dessus) les met en garde sur le fait que les annonceurs ne leur achèteront pas d’espaces de publicité tant qu’ils ne seront pas mesurés par Médiamétrie. Si certaines marques se laissent néanmoins tenter par Netflix ou Amazon, « c’est pour essayer et par effet de curiosité », assure Yannick Carriou. Et d’affirmer : « Il n’y a pas eu d’évasion massive de la publicité vers les plateformes de SVOD, et cela n’explique surtout pas la baisse de la publicité de la télévision ». Mais Médiamétrie se garde bien de tirer de conclusion hâtive sur un échec ces derniers mois de Netflix, lequel prépare son « inventaire » (4), tout comme Disney+. « Le plus gros est devant nous », concède-t-il.
Reste la question sensible pour Médiamétrie de l’évolution de son conseil d’administration, dont les 17 membres (maximum) ont la particularité – sauf son président (Yannick Carriou) – d’être salariés des entreprises actionnaires de l’institut de mesure, « société anonyme de droit privée », tient à rappeler son PDG. Actuellement, le capital de 14.880.000 euros est détenu à 65 % par des médias (France Télévisions 22,89 %, TF1 10,8 %, Canal+ 1,4 %, Radio France 13,5 %, Europe 1/ Lagardère 5,4 %, NextRadioTV/Altice 5,4 %, M6/RTL 2,7 %, Ina 2,81 %). Et les 35 % restants par des publicitaires annonceurs, agences conseils et… opérateur télécom (Union des marques 9,33 %, Publicis 6,7 %, Dentsu 6,7 %, Havas 6,7 %, Orange 2,44 %, Omnicom 1,62 %, IPG 1,61 %). Parmi eux, le dernier arrivé au capital (en juillet 2021) est Orange via sa filiale Orange Participations (5). Alors pourquoi ne pas faire aussi entrer une plateforme du Net au conseil d’administration en tant que coactionnaire ? « Mais pourquoi feraisje entrer une plateforme ? », a demandé Yannick Carriou. Pour refléter l’évolution du paysage médiatique et publicitaire, lui répond-on. « C’est un peu romantique comme idée, a-til répliqué, puisque le rôle du conseil d’administration consiste à valider mon budget, les règles de fonctionnement et à vérifier, mais à ne prendre aucune décision sur les mesures. Je pourrais faire entrer Auchan si vous voulez… Mais ça n’apportera rien à la fonction elle-même ». Alors pourquoi avoir fait entrer un opérateur télécom ? « Parce qu’Orange a voulu y entrer, tout en apportant de la data, et s’est rapproché de l’Union des marques qui a bien voulu lui vendre une partie de ses actions et qui donc passé de 11,77 % à 9,33 % », a-t-il justifié. Vous pourriez faire une augmentation de capital si aucun actionnaire actuel n’est vendeur d’actions ? « Je n’ai pas besoin d’argent ». Que dirait Médiamétrie si Netflix, Amazon ou un autre géant du Net venait lui proposer d’être coactionnaire en apportant son expertise data ? « Je ne dis pas non. Il faudrait que la plateforme achète des actions ». Aucun GAFAM n’en a fait la demander à ce jour ? « Non ». Yannick Carriou, qui a entamé un second mandat de trois ans depuis le 1er avril, assure en tout cas que les médias traditionnels ont conscience de l’évolution des usages et les télévisions se plateformisent elles-mêmes.
Etats-Unis : Nielsen compare déjà la TV et le Net
Il serait impossible pour une chaîne comme TF1 de dire qu’elle va devenir une plateforme et de refuser à ce que les autres plateformes comme Netflix soient mesurées. « Ce serait totalement illogique, souligne-t-il. Par contre, là où les chaînes ou les éditeurs sont extrêmement sourcilleux, et ils ont raison car une partie de leur destin difficile est en jeu, c’est sur la comparabilité des mesures ». Les médias veulent la stricte comparabilité des chiffres avec les plateformes, comme a commencé à le faire Nielsen aux Etats-Unis et avec Amazon dès l’année dernière malgré la résistance de certains groupes de télévision américains (6). @
Médiamétrie, qui fêtera ses 40 ans dans deux ans (en juin 2025), fait monter encore plus la pression sur les grandes plateformes numériques comme Netflix, Amazon Prime Video, Disney+ ou Apple TV+. Alors que les discussions confidentielles s’éternisent depuis plus d’un an avec certaines d’entre elles, dont Netflix, l’institut français de mesure d’audience réaffirme sa volonté aller de l’avant, avec ou sans leur coopération. « Nous sortirons une quantification totale de consommation des plateformes, puis au niveau des principaux contenus des audiences, avec des définitions ayant du sens, une information auditée, un certain niveau de transparence. A partir de septembre 2024, du moins au troisième trimestre 2024, on sortira des volumes de consommation, par exemple de Netflix. Puis six à neuf mois plus tard [soit à partir de mars 2025 au plus tôt, ndlr], on descendra au niveau des contenus », a indiqué Yannick Carriou (photo), PDG de Médiamétrie, lors d’une rencontre le 12 juillet avec l’Association des journalistes médias (AJM), dont fait partie Edition Multimédi@. Et d’ajouter : « C’est la raison pour laquelle nous avons passé un accord avec Nielsen, qui nous apporte immédiatement des technologies que nous sommes en train de tester et d’adapter à l’Internet français pour faire cette mesure-là ».
Vers une plateforme coactionnaire de Médiamétrie ?
Nielsen, le géant américain de la mesure d’audience présent dans le monde, collabore déjà avec Médiamétrie depuis 1999 mais, avec ce nouveau partenariat signé fin 2022, il fournit au français ses technologies – déjà éprouvées aux Etats-Unis – de mesure des flux digitaux à domicile par des routeurs Internet, de gestion informatique des contenus numériques de télévision, ainsi que de reconnaissance de contenus des plateformes de vidéo à la demande (VOD, SVOD, AVOD, FAST, …). « On sait mesurer quand un terminal se connecte à un serveur qui appartient à Netflix, Amazon ou Spotify, et quantifier automatiquement et de manière assez certaine les volumes de consommation. La situation est un peu différente au niveau des contenus : dans l’univers de la SVOD, 90 % à 95 % des contenus sont quasi exclusifs et on les reconnaît par une technique de type Shazam [reconnaissance de contenus, ndlr], alors que sur la télévision les contenus sont watermarqués [par du watermarking ou tatouage numérique, ndlr]. Sur l’audio digital, c’est plus difficile car les contenus sont aussi diffusés par les autres », explique Yannick Carriou.
Vers une plateforme coactionnaire de Médiamétrie ?
Médiamétrie travaille déjà sur les acteurs de l’Internet comme Google/YouTube, Facebook, Snap et Twitter ou encore Dailymotion, lesquels participent aux travaux de son comité Internet. En revanche, ce n’est toujours pas le cas des plateformes de SVOD qui sont absentes. « Si Netflix, Amazon, Disney et d’autres veulent participer d’avantage, et ils sont les bienvenus ; ils le peuvent en apportant un peu plus de précisions (logs, informations, …) qui seront auditées. Mais à ce jour, aucune plateforme ne nous a encore apporté ses données, constate le PDG de Médiamétrie. De tout façon, on n’en a pas besoin car nous allons d’abord développer notre mesuresocle. Or une fois que l’on commence à les mesurer pour de vrai, qu’ils le veuillent ou non, ils ne rigolent plus et les discussions s’ouvrent ». Comme avec Netflix. Médiamétrie, qui compte cinq comités décisionnels (Audimétrie, TV, Internet, Radio, Métridom (1)) et un atelier Cross média pub, « invite » les plateformes de SVOD à y participer. Mais « à deux conditions : que l’on ait une mesure à discuter et que l’on se mette d’accord sur la comitologie (2) ; probablement qu’en 2024 on aura une discussion pour l’insertion de ces acteurs », indique le PDG de Médiamétrie. Pour l’heure, en France, les Netflix, Amazon et autres Disney pratiquent l’automesure de l’audience de leurs plateformes et de leurs contenus, et ne partagent pas leurs données avec le marché. Certains acteurs de la SVOD peuvent annoncer des chiffres, comme Amazon avec Roland Garros que le géant du ecommerce retransmet depuis 2021, mais ils ne sont pas audités. «La posture de l’automesure qui consiste à dire “Prenez et mangez-en tous” ne marche pas trop », dit Yannick Carriou. Dans l’audio, Spotify fait aussi de la publicité digitale mais « ils sont très opaques sur les chiffres », des annonceurs lui achetant de l’impression (3). « Mais quelle est l’audience derrière ces impressions ? », s’interroge le patron de Médiamétrie. Pour lui, « la plateformisation relève de l’extension du domaine de la lutte ».
Un double bras de fer a lieu avec ces plateformes, notamment de SVOD. D’un côté, Médiamétrie les prévient qu’il va bientôt les mesurer à partir du troisième trimestre 2024, et, de l’autre, l’Union des marques (UDM) dirigée par Jean-Luc Chetrit (photo ci-dessus) les met en garde sur le fait que les annonceurs ne leur achèteront pas d’espaces de publicité tant qu’ils ne seront pas mesurés par Médiamétrie. Si certaines marques se laissent néanmoins tenter par Netflix ou Amazon, « c’est pour essayer et par effet de curiosité », assure Yannick Carriou. Et d’affirmer : « Il n’y a pas eu d’évasion massive de la publicité vers les plateformes de SVOD, et cela n’explique surtout pas la baisse de la publicité de la télévision ». Mais Médiamétrie se garde bien de tirer de conclusion hâtive sur un échec ces derniers mois de Netflix, lequel prépare son « inventaire » (4), tout comme Disney+. « Le plus gros est devant nous », concède-t-il.
Reste la question sensible pour Médiamétrie de l’évolution de son conseil d’administration, dont les 17 membres (maximum) ont la particularité – sauf son président (Yannick Carriou) – d’être salariés des entreprises actionnaires de l’institut de mesure, « société anonyme de droit privée », tient à rappeler son PDG. Actuellement, le capital de 14.880.000 euros est détenu à 65 % par des médias (France Télévisions 22,89 %, TF1 10,8 %, Canal+ 1,4 %, Radio France 13,5 %, Europe 1/ Lagardère 5,4 %, NextRadioTV/Altice 5,4 %, M6/RTL 2,7 %, Ina 2,81 %). Et les 35 % restants par des publicitaires annonceurs, agences conseils et… opérateur télécom (Union des marques 9,33 %, Publicis 6,7 %, Dentsu 6,7 %, Havas 6,7 %, Orange 2,44 %, Omnicom 1,62 %, IPG 1,61 %). Parmi eux, le dernier arrivé au capital (en juillet 2021) est Orange via sa filiale Orange Participations (5). Alors pourquoi ne pas faire aussi entrer une plateforme du Net au conseil d’administration en tant que coactionnaire ? « Mais pourquoi feraisje entrer une plateforme ? », a demandé Yannick Carriou. Pour refléter l’évolution du paysage médiatique et publicitaire, lui répond-on. « C’est un peu romantique comme idée, a-til répliqué, puisque le rôle du conseil d’administration consiste à valider mon budget, les règles de fonctionnement et à vérifier, mais à ne prendre aucune décision sur les mesures. Je pourrais faire entrer Auchan si vous voulez… Mais ça n’apportera rien à la fonction elle-même ». Alors pourquoi avoir fait entrer un opérateur télécom ? « Parce qu’Orange a voulu y entrer, tout en apportant de la data, et s’est rapproché de l’Union des marques qui a bien voulu lui vendre une partie de ses actions et qui donc passé de 11,77 % à 9,33 % », a-t-il justifié. Vous pourriez faire une augmentation de capital si aucun actionnaire actuel n’est vendeur d’actions ? « Je n’ai pas besoin d’argent ». Que dirait Médiamétrie si Netflix, Amazon ou un autre géant du Net venait lui proposer d’être coactionnaire en apportant son expertise data ? « Je ne dis pas non. Il faudrait que la plateforme achète des actions ». Aucun GAFAM n’en a fait la demander à ce jour ? « Non ». Yannick Carriou, qui a entamé un second mandat de trois ans depuis le 1er avril, assure en tout cas que les médias traditionnels ont conscience de l’évolution des usages et les télévisions se plateformisent elles-mêmes.
Etats-Unis : Nielsen compare déjà la TV et le Net
Il serait impossible pour une chaîne comme TF1 de dire qu’elle va devenir une plateforme et de refuser à ce que les autres plateformes comme Netflix soient mesurées. « Ce serait totalement illogique, souligne-t-il. Par contre, là où les chaînes ou les éditeurs sont extrêmement sourcilleux, et ils ont raison car une partie de leur destin difficile est en jeu, c’est sur la comparabilité des mesures ». Les médias veulent la stricte comparabilité des chiffres avec les plateformes, comme a commencé à le faire Nielsen aux Etats-Unis et avec Amazon dès l’année dernière malgré la résistance de certains groupes de télévision américains (6). @
Charles de Laubier
Le marché unique du numérique et de ses données fait face à un foisonnement de textes législatifs
Les acteurs du numérique et de la data en Europe ne sont pas au bout de leur peine. Le marché est peut-être unique, mais la législation – en vigueur et à venir – est multiple. La mise en œuvre pratique des textes, souvent imbriqués, est complexe et peu intelligible. Petit aperçu de ce labyrinthe.
Si l’Union européenne (UE) a déjà pris plusieurs mesures depuis 2014 afin de faciliter le développement d’une économie des données (1), elle entend, dans le cadre de sa stratégie pour les données et des objectifs fixés pour la « décennie numérique » (2), compléter les textes existants afin de créer de nouveaux droits et obligations destinés à favoriser l’accès et le partage des données, le développement des technologies et la souveraineté numérique. D’où le foisonnement de textes législatifs qui vont bouleverser considérablement l’écosystème de l’économie numérique et des données.
Chantier de la « décennie numérique »
Les principaux acteurs concernés (notamment les fabricants d’objets connectés, les fournisseurs de services d’intermédiation de données et les prestataires de cloud) devront tenir compte de ces nouvelles obligations et anticiper leur entrée en application dans la conception de leurs solutions et de leurs produits, ainsi qu’au sein de leur documentation contractuelle. Pas si simple. Tour d’horizon de ces nouveaux textes :
• Data Governance Act (DGA). Ce règlement sur la gouvernance des données (3) a été adopté le 30 mai 2022 et entrera en application à partir du 24 septembre 2023, avec pour objectif de favoriser la disponibilité des données, de renforcer les mécanismes de partage et d’augmenter la confiance dans les intermédiaires de données. Ainsi, le DGA adresse trois grandes thématiques : conditions d’accès et de réutilisation des « données protégées » détenues par des organismes publics ; régulation des fournisseurs de services d’intermédiation de données ; régulation de l’utilisation altruiste des données. Sur le premier point, le DGA vient compléter la directive « Open Data » de 2019, mais ne crée pas d’obligation de mise à disposition pour les organismes publics (4). Il vient encadrer les réutilisations qui peuvent être faites de ces données protégées en veillant (5) à les préserver (6). Concernant les deux autres points, le DGA crée deux régimes spécifiques et dédiés pour les services d’intermédiation de données (7) et les organisations altruistes en matière de données (8). Les services d’intermédiation de données (data marketplaces ou data pool par exemple) seront soumis à une notification auprès d’une autorité compétente préalablement à tout début d’activité et auront notamment l’obligation de fournir les services selon des conditions équitables, transparentes et non-discriminatoires, de prendre des mesures pour assurer l’interopérabilité avec d’autres services d’intermédiation de données, de mettre en place des mesures de sécurité appropriées pour empêcher l’accès et le transfert illicite de données non-personnelles. Ils devront également notifier aux détenteurs de données en cas d’accès, de transfert ou d’utilisation non-autorisés aux données non-personnelles partagées. De leur côté, les organisations altruistes se verront notamment imposer la tenue d’un registre des utilisations des données, la publication d’un rapport annuel d’activité, des obligations de transparence vis-à-vis des personnes concernées ou des détenteurs de données (objectifs d’intérêt général, finalités des traitements) et de sécurisation des données non-personnelles.
Le DGA crée enfin un régime restrictif de transfert des données non-personnelles hors-UE similaire au régime prévu par le RGPD.
• Data Act (DA). Ce projet de règlement sur les données (9) a été soumis par la Commission européenne le 23 février 2022. Un objectif d’adoption ambitieux a été fixé à mi-2023, pour une entrée en application douze mois après son adoption. Il s’agit de faciliter l’accès aux données et leur utilisation, de favoriser leur portabilité, d’améliorer l’interopérabilité des solutions et infrastructures et enfin de favoriser la création de valeur autour de la donnée. Sont notamment impactés : les fabricants et distributeurs d’objets connectés et les fournisseurs de services connexes basés sur l’utilisation de données générées par ces objets, tout détenteur et destinataire de données, les prestataires et utilisateurs de services cloud (IaaS, PaaS, SaaS) ou encore les opérateurs de data spaces.
Portabilité des données et services de cloud Le DA prévoit notamment des obligations pour les fabricants ou distributeurs d’objets connectés qui viennent compléter les obligations d’information et de portabilité prévues par le RGPD, comme l’obligation d’informer leurs utilisateurs sur les données générées par l’usage des objets et les conditions d’accès et de partage de telles données, ainsi qu’une obligation de mise à disposition gratuite et prompte (le cas échéant en temps réel et continu) des données générées par des objets connectés à leurs utilisateurs ou à un tiers à la demande de l’utilisateur, et ce dans des conditions équitables, raisonnables, transparentes, non-discriminatoires et non-exclusives. Ces obligations sont complétées par des interdictions (par exemple des clauses restreignant les droits des utilisateurs d’objets ou des clauses abusives imposées aux petites et moyennes entreprises). Objets connectés, dossiers médicaux, … Le Data Act impose par ailleurs une série d’obligations aux prestataires de services cloud en matière de migration de données et d’interopérabilité (par exemple supprimer les obstacles commerciaux, techniques et contractuels empêchant le client de porter ses données, applications ou autres actifs numériques vers d‘autres prestataires ; assurer une période transitoire de migration de 30 jours avec assistance ; ou encore assurer la compatibilité de ses services avec les normes d’interopérabilité de la Commission européenne).
• European Health Data Space (EHDS). La proposition de règlement sur l’espace européen des données de santé (10) a été soumise par la Commission européenne le 3 mai 2022. L’UE entend adopter ce texte d’ici 2025, pour une entrée en application douze mois après sa publication. L’objectif est triple : établir les règles régissant l’espace européen des données de santé afin d’améliorer et garantir aux personnes physiques un accès sûr à leurs propres données de santé et un contrôle sur ces données dans le contexte des soins de santé (dite « utilisation primaire ») ; améliorer le fonctionnement du marché unique pour la mise au point et l’utilisation de produits et services de santé innovants fondés sur des données de santé, et veiller à ce que les chercheurs et les entreprises innovantes puissent tirer le meilleur parti des données de santé disponibles pour leurs travaux (dite « utilisation secondaire ») ; établir un cadre juridique uniforme pour le développement, la commercialisation et l’utilisation des systèmes de dossiers médicaux électroniques (DME). Dans le cadre de l’utilisation primaire des données, les citoyens de l’UE auront à leur disposition des droits et mécanismes supplémentaires complétant leurs droits existants au titre du RGPD sur leurs données de santé électroniques.
Concernant l’utilisation secondaire, le projet de règlement EHDS vient encadrer avec précision les pratiques des chercheurs et acteurs de l’industrie de santé (par exemple : limitation des catégories de données pouvant être utilisées, encadrement des finalités autorisées) et leur imposer des obligations (sécurité des solutions utilisées, transparence sur le calcul des redevances générées par l’utilisation secondaire).
• Artificial Intelligence Act (AIA). Cette proposition de règlement sur l’intelligence artificielle (11) a été soumise le 21 avril 2021 par la Commission européenne. L’adoption de ce texte est pressentie à horizon 2024, pour une entrée en application entre 18 et 24 mois après son adoption. Le texte vise à créer les conditions propices au développement et à l’utilisation d’une IA de pointe, éthique, sûre et digne de confiance dans l’UE. Pour se faire, l’approche est technologiquement neutre et le texte met en place des règles impératives, applicables de façon proportionnée en fonction des risques que présentent les systèmes d’IA concernés. Ainsi, les IA présentant un risque inacceptable pour les personnes sont interdites ; celles présentant un haut risque se voient imposer un certain nombre d’obligations; celles présentant un risque faible sont soumises à des obligations de transparence et d’information vis-à-vis des utilisateurs ; et enfin celles présentant un risque résiduel ne sont pas soumises au projet de règlement AIA, mais régulées par l’adoption volontaire de code de conduite et/ou de charte éthique (12).
• Digital Services Act (DSA) et Digital Markets Act (DMA). Un accord politique a été conclu sur le DMA (13) le 24 mars 2022 et sur le DSA (14) le 23 avril 2022, suivi d’un vote final au Parlement européen le 5 juillet dernier. Une fois adoptés respectivement en juillet et en septembre 2022, le DMA entrera en application six mois après l’entrée en vigueur, et le DSA quinze mois après l’entrée en vigueur ou à partir du 1er janvier 2024, la date la plus tardive étant retenue (15).
• Modifications de textes existants. Plusieurs autres textes sont également en cours de révision. La directive NIS (16) est modifiée par le projet de directive NIS2, dont le champ d’application a été considérablement élargi, puisqu’il vise désormais à réguler beaucoup plus d’organisations et entreprises et qu’il renforce les obligations à la charge des acteurs concernés en imposant notamment des obligations renforcées en termes de gestion des risques, de notification des incidents et de divulgation des vulnérabilités (17). La directive Machines (18) devient un projet de règlement Machines (19), visant principalement une numérisation de la documentation en la matière (instructions d’utilisation et déclaration) et la mise en place d’évaluations de conformité (pour certaines catégories de produits). De son côté, la directive ePrivacy (21), transformée en projet de règlement ePrivacy peine à voir le jour depuis la publication de sa première version en janvier 2017. De nombreux points restent encore et toujours en débat, notamment sur le régime applicable au dépôt de cookies et à la prospection commerciale.
Imbrication des textes parfois peu intelligible
Ces textes sont ambitieux et mêlent approche globale et sectorielle. Il en résulte une imbrication parfois peu intelligible des différents mécanismes et obligations pesant sur les acteurs qui multiplient souvent de nombreuses casquettes et entrent donc simultanément dans les champs d’application de plusieurs de ces textes. Bien qu’il soit louable de vouloir emboîter le pas au développement exponentiel de la valeur des données et du numérique, on peut s’interroger sur l’efficacité d’une telle multiplication de textes qui entraîne malheureusement la publication de textes peu aboutis, péniblement interopérables, voire difficilement transposables à la pratique des industries qu’ils visent. @
Si l’Union européenne (UE) a déjà pris plusieurs mesures depuis 2014 afin de faciliter le développement d’une économie des données (1), elle entend, dans le cadre de sa stratégie pour les données et des objectifs fixés pour la « décennie numérique » (2), compléter les textes existants afin de créer de nouveaux droits et obligations destinés à favoriser l’accès et le partage des données, le développement des technologies et la souveraineté numérique. D’où le foisonnement de textes législatifs qui vont bouleverser considérablement l’écosystème de l’économie numérique et des données.
Chantier de la « décennie numérique »
Les principaux acteurs concernés (notamment les fabricants d’objets connectés, les fournisseurs de services d’intermédiation de données et les prestataires de cloud) devront tenir compte de ces nouvelles obligations et anticiper leur entrée en application dans la conception de leurs solutions et de leurs produits, ainsi qu’au sein de leur documentation contractuelle. Pas si simple. Tour d’horizon de ces nouveaux textes :
• Data Governance Act (DGA). Ce règlement sur la gouvernance des données (3) a été adopté le 30 mai 2022 et entrera en application à partir du 24 septembre 2023, avec pour objectif de favoriser la disponibilité des données, de renforcer les mécanismes de partage et d’augmenter la confiance dans les intermédiaires de données. Ainsi, le DGA adresse trois grandes thématiques : conditions d’accès et de réutilisation des « données protégées » détenues par des organismes publics ; régulation des fournisseurs de services d’intermédiation de données ; régulation de l’utilisation altruiste des données. Sur le premier point, le DGA vient compléter la directive « Open Data » de 2019, mais ne crée pas d’obligation de mise à disposition pour les organismes publics (4). Il vient encadrer les réutilisations qui peuvent être faites de ces données protégées en veillant (5) à les préserver (6). Concernant les deux autres points, le DGA crée deux régimes spécifiques et dédiés pour les services d’intermédiation de données (7) et les organisations altruistes en matière de données (8). Les services d’intermédiation de données (data marketplaces ou data pool par exemple) seront soumis à une notification auprès d’une autorité compétente préalablement à tout début d’activité et auront notamment l’obligation de fournir les services selon des conditions équitables, transparentes et non-discriminatoires, de prendre des mesures pour assurer l’interopérabilité avec d’autres services d’intermédiation de données, de mettre en place des mesures de sécurité appropriées pour empêcher l’accès et le transfert illicite de données non-personnelles. Ils devront également notifier aux détenteurs de données en cas d’accès, de transfert ou d’utilisation non-autorisés aux données non-personnelles partagées. De leur côté, les organisations altruistes se verront notamment imposer la tenue d’un registre des utilisations des données, la publication d’un rapport annuel d’activité, des obligations de transparence vis-à-vis des personnes concernées ou des détenteurs de données (objectifs d’intérêt général, finalités des traitements) et de sécurisation des données non-personnelles.
Le DGA crée enfin un régime restrictif de transfert des données non-personnelles hors-UE similaire au régime prévu par le RGPD.
• Data Act (DA). Ce projet de règlement sur les données (9) a été soumis par la Commission européenne le 23 février 2022. Un objectif d’adoption ambitieux a été fixé à mi-2023, pour une entrée en application douze mois après son adoption. Il s’agit de faciliter l’accès aux données et leur utilisation, de favoriser leur portabilité, d’améliorer l’interopérabilité des solutions et infrastructures et enfin de favoriser la création de valeur autour de la donnée. Sont notamment impactés : les fabricants et distributeurs d’objets connectés et les fournisseurs de services connexes basés sur l’utilisation de données générées par ces objets, tout détenteur et destinataire de données, les prestataires et utilisateurs de services cloud (IaaS, PaaS, SaaS) ou encore les opérateurs de data spaces.
Portabilité des données et services de cloud Le DA prévoit notamment des obligations pour les fabricants ou distributeurs d’objets connectés qui viennent compléter les obligations d’information et de portabilité prévues par le RGPD, comme l’obligation d’informer leurs utilisateurs sur les données générées par l’usage des objets et les conditions d’accès et de partage de telles données, ainsi qu’une obligation de mise à disposition gratuite et prompte (le cas échéant en temps réel et continu) des données générées par des objets connectés à leurs utilisateurs ou à un tiers à la demande de l’utilisateur, et ce dans des conditions équitables, raisonnables, transparentes, non-discriminatoires et non-exclusives. Ces obligations sont complétées par des interdictions (par exemple des clauses restreignant les droits des utilisateurs d’objets ou des clauses abusives imposées aux petites et moyennes entreprises). Objets connectés, dossiers médicaux, … Le Data Act impose par ailleurs une série d’obligations aux prestataires de services cloud en matière de migration de données et d’interopérabilité (par exemple supprimer les obstacles commerciaux, techniques et contractuels empêchant le client de porter ses données, applications ou autres actifs numériques vers d‘autres prestataires ; assurer une période transitoire de migration de 30 jours avec assistance ; ou encore assurer la compatibilité de ses services avec les normes d’interopérabilité de la Commission européenne).
• European Health Data Space (EHDS). La proposition de règlement sur l’espace européen des données de santé (10) a été soumise par la Commission européenne le 3 mai 2022. L’UE entend adopter ce texte d’ici 2025, pour une entrée en application douze mois après sa publication. L’objectif est triple : établir les règles régissant l’espace européen des données de santé afin d’améliorer et garantir aux personnes physiques un accès sûr à leurs propres données de santé et un contrôle sur ces données dans le contexte des soins de santé (dite « utilisation primaire ») ; améliorer le fonctionnement du marché unique pour la mise au point et l’utilisation de produits et services de santé innovants fondés sur des données de santé, et veiller à ce que les chercheurs et les entreprises innovantes puissent tirer le meilleur parti des données de santé disponibles pour leurs travaux (dite « utilisation secondaire ») ; établir un cadre juridique uniforme pour le développement, la commercialisation et l’utilisation des systèmes de dossiers médicaux électroniques (DME). Dans le cadre de l’utilisation primaire des données, les citoyens de l’UE auront à leur disposition des droits et mécanismes supplémentaires complétant leurs droits existants au titre du RGPD sur leurs données de santé électroniques.
Concernant l’utilisation secondaire, le projet de règlement EHDS vient encadrer avec précision les pratiques des chercheurs et acteurs de l’industrie de santé (par exemple : limitation des catégories de données pouvant être utilisées, encadrement des finalités autorisées) et leur imposer des obligations (sécurité des solutions utilisées, transparence sur le calcul des redevances générées par l’utilisation secondaire).
• Artificial Intelligence Act (AIA). Cette proposition de règlement sur l’intelligence artificielle (11) a été soumise le 21 avril 2021 par la Commission européenne. L’adoption de ce texte est pressentie à horizon 2024, pour une entrée en application entre 18 et 24 mois après son adoption. Le texte vise à créer les conditions propices au développement et à l’utilisation d’une IA de pointe, éthique, sûre et digne de confiance dans l’UE. Pour se faire, l’approche est technologiquement neutre et le texte met en place des règles impératives, applicables de façon proportionnée en fonction des risques que présentent les systèmes d’IA concernés. Ainsi, les IA présentant un risque inacceptable pour les personnes sont interdites ; celles présentant un haut risque se voient imposer un certain nombre d’obligations; celles présentant un risque faible sont soumises à des obligations de transparence et d’information vis-à-vis des utilisateurs ; et enfin celles présentant un risque résiduel ne sont pas soumises au projet de règlement AIA, mais régulées par l’adoption volontaire de code de conduite et/ou de charte éthique (12).
• Digital Services Act (DSA) et Digital Markets Act (DMA). Un accord politique a été conclu sur le DMA (13) le 24 mars 2022 et sur le DSA (14) le 23 avril 2022, suivi d’un vote final au Parlement européen le 5 juillet dernier. Une fois adoptés respectivement en juillet et en septembre 2022, le DMA entrera en application six mois après l’entrée en vigueur, et le DSA quinze mois après l’entrée en vigueur ou à partir du 1er janvier 2024, la date la plus tardive étant retenue (15).
• Modifications de textes existants. Plusieurs autres textes sont également en cours de révision. La directive NIS (16) est modifiée par le projet de directive NIS2, dont le champ d’application a été considérablement élargi, puisqu’il vise désormais à réguler beaucoup plus d’organisations et entreprises et qu’il renforce les obligations à la charge des acteurs concernés en imposant notamment des obligations renforcées en termes de gestion des risques, de notification des incidents et de divulgation des vulnérabilités (17). La directive Machines (18) devient un projet de règlement Machines (19), visant principalement une numérisation de la documentation en la matière (instructions d’utilisation et déclaration) et la mise en place d’évaluations de conformité (pour certaines catégories de produits). De son côté, la directive ePrivacy (21), transformée en projet de règlement ePrivacy peine à voir le jour depuis la publication de sa première version en janvier 2017. De nombreux points restent encore et toujours en débat, notamment sur le régime applicable au dépôt de cookies et à la prospection commerciale.
Imbrication des textes parfois peu intelligible
Ces textes sont ambitieux et mêlent approche globale et sectorielle. Il en résulte une imbrication parfois peu intelligible des différents mécanismes et obligations pesant sur les acteurs qui multiplient souvent de nombreuses casquettes et entrent donc simultanément dans les champs d’application de plusieurs de ces textes. Bien qu’il soit louable de vouloir emboîter le pas au développement exponentiel de la valeur des données et du numérique, on peut s’interroger sur l’efficacité d’une telle multiplication de textes qui entraîne malheureusement la publication de textes peu aboutis, péniblement interopérables, voire difficilement transposables à la pratique des industries qu’ils visent. @