« Facebook, Google & Big Telecoms veulent continuer à violer la neutralité du Net en Europe… »

Publié le 13 juin 2022 par Charles de Laubier

« … Les régulateurs devraient les arrêter ». C’est l’alerte lancée par Barbara van Schewick, professeure de droit de l’Internet à la Stanford Law School aux Etats-Unis. Pour cette juriste allemande, les régulateurs des télécoms européens – du Berec – doivent préserver la neutralité de l’Internet.

L’organe des régulateurs européens des télécoms, appelé en anglais le Berec (1), s’est réuni du 8 au 10 juin à Chypre pour se mettre d’accord sur une mise à jour des lignes directrices sur « l’Internet ouvert » – alias la neutralité de l’Internet. Les précédentes avaient été publiées le 30 août 2016. Depuis, un arrêt de la Cour de justice de l’Union européenne (CJUE), daté du 15 septembre 2020, avait jeté un pavé dans la mare en déclarant contraire à la neutralité de l’Internet – donc illégale – la pratique du « trafic gratuit ».

Fort lobbying des Gafam et des telcos
Appelé aussi zero-rating, cet avantage consiste pour un opérateur télécoms à ne pas décompter dans son forfait mobile les données consommées par l’internaute pour un service « partenaire ». Le problème est qu’en « favorisant » tel ou tel service, l’opérateur mobile le fait au détriment des autres applications concurrentes. Facebook/ Instagram/WhatsApp, Google/YouTube, Netflix, Spotify, Apple Music, Deezer, Twitter ou encore Viber profitent du dispositif qui incite implicitement les abonnés mobiles à les utiliser en priorité puisqu’ils ne sont pas décomptés du crédit de données lié à leur forfait. Dans son arrêt de 2020, la CJUE épinglait ainsi le norvégien Telenor en Hongrie (2). Plus récemment, dans un autre arrêt daté du 2 septembre 2021, la CJUE s’en est prise cette fois à Vodafone et de TMobile en Allemagne pour leurs options à « tarif nul » contraires à l’Internet ouvert (3).
Ce favoritisme applicatif était identifié depuis près de dix ans, mais les régulateurs européens n’y ont pas mis le holà. Les « telcos » font ainsi deux poids-deux mesures : des applications gratuites et attrayantes face à d’autres payantes et donc moins utilisées. « Nous sommes réticents à la sacralisation du zero-rating qui, par définition, pousse les consommateurs de smartphones à s’orienter vers un service – généralement le leader capable de payer le plus – au détriment de ses concurrents, au risque de les faire disparaître », avait déclaré au Monde en 2016 l’association de consommateurs UFC-Que choisir (4). Plus de six ans après l’adoption par les eurodéputés du règlement européen « Internet ouvert » (5), les inquiétudes demeurent. « Des plans de gratuité discriminatoires tels que StreamOn de T-Mobile et le Pass de Vodafone violent la loi européenne sur la neutralité du Net », a dénoncé le 30 mai dernier Barbara van Schewick (photo), professeure de droit de l’Internet à la Stanford Law School aux Etats-Unis. Dans un plaidoyer publié par le CIS (Center for Internet and Society) qu’elle dirige dans cette faculté américaine (6), l’informaticienne et juriste allemande fustige « ces stratagèmes discriminatoires [qui] favorisent presque invariablement les propres services de l’opérateur ou ceux de plateformes géantes comme Facebook et YouTube ». Elle appelle le Berec à contrecarrer ces pratiques en les proscrivant clairement dans les prochaines lignes directrices révisées sur l’Internet ouvert. « Ce que décide le Berec aura un impact sur des millions d’Européens et, s’il fait les choses correctement, cela augmentera la quantité de données que les gens obtiennent chaque mois, tout en rétablissant la concurrence en ligne », espère Barbara van Schewick. Mais l’Organe des régulateurs européens des communications électroniques, basé à Bruxelles, subit de fortes pressions des lobbies des Gafam et des telcos « pour laisser des échappatoires afin que la gratuité discriminatoire puisse continuer ». Or, dénonce-t-elle, « cette pratique injuste cimente le pouvoir de marché des plateformes dominantes ».
Cette concurrence déloyale se fait aussi dans la musique en ligne et la SVOD. La professeure de droit de l’Internet cite le cas d’une start-up américaine lancée il y a dix ans, Audiomack. Après avoir examiné 34 programmes de zerorating pour les applications de musique en Europe, où cette plateforme musicale voulait de lancer, elle n’a pas eu d’offres ou de réponses de la part de 25 opérateurs télécoms. « Après dix mois de travail, elle a été incluse dans 3 programmes. Pendant ce temps, Apple Music était présent dans 26 et Spotify dans 23 », relate Barbara van Schewick.

Que le « trafic nul » soit bien interdit
Et d’après une étude d’Epicenter.works publiée en 2019, WhatsApp et Facebook, du groupe Meta, suivis par le français Deezer, sont les applications les plus « détaxées » parmi les 186 plans de trafic gratuit recensés (7). La professeure du CIS espère en tout cas que le Berec confirmera ce qu’il a déjà prévu d’indiquer dans les prochaines lignes directrices : à savoir que le trafic gratuit viole la neutralité du Net. C’est net et clair dans le projet de guidelines de mars dernier (8). Mais la professeure espère que toutes ces pratiques seront in fine clairement interdites, noir sur blanc, afin que les opérateurs télécoms ne puissent pas contourner l’obstacle. @

Charles de Laubier

La 5G franchira en 2022 les 10 % de connexions mobiles générées par les cartes SIM dans le monde

Publié le 11 avril 2022 par Charles de Laubier

L’année 2022 s’annonce comme celle qui verra la 5G franchir la barre du 1 milliard de connexions au total dans le monde, que cela soit de la 5G mobile ou de la 5G fixe. Pour la première fois, elle va dépasser cette année le taux de 10 % des connexions mobiles grâce à 200 réseaux dans 70 pays.

La croissance de la 5G croît plus vite que les deux précédentes générations de mobiles sur la même période de démarrage commercial. « Cette croissance sans précédent représente le déploiement générationnel le plus rapide pour l’industrie du mobile par rapport à la 3G et la 4G. En comparaison, dix-huit mois après son lancement, la 5G représentait plus de 5,5 % des connexions mobiles – ni la 3G ni la 4G n’ont dépassé 2,2 % de pénétration au même moment de leur cycle de vie », s’est félicité Alex Sinclair (photo), directeur technique à la GSMA, laquelle réunit plus de 750 opérateurs mobiles et compte pour l’instant près de 200 réseaux 5G dans 70 pays.

Vers 2 milliards de connexions 5G fin 2025
Un total de 1 milliard de connexions mobiles 5G – correspondant à autant de cartes SIM connectées à partir d’un appareil compatible avec la cinquième génération de mobile – devrait être atteint d’ici la fin de 2022, sur un total de plus de 8,4 milliards de connexions toutes générations de mobiles confondues (hormis les connexions des réseaux cellulaires d’objets connectés estimés à 2 milliards en 2021). Ainsi, pour la première fois, la 5G va dépasser dans le courant de cette année les 10 % de connexions mobiles pour tendre, selon nos calculs, vers les 12%. Ce taux est à comparer aux 8% seulement en 2021 sur un total de 8,3 milliards de connexions mobiles toutes générations confondues.
Ce « dynamisme » permet à la GSMA de tabler sur un franchissement des 2 milliards de connexions 5G d’ici la fin de l’année 2025, soit tout de même dans trois ans et demi. A ce moment-là la 5G comptera pour environ un quart (taux de 25 %) du total des connexions mobiles et plus de deux personnes sur cinq dans le monde vivront à proximité d’un réseau de cinquième génération. « La dynamique a été stimulée notamment par la reprise économique après la pandémie, la hausse des ventes de smartphones 5G, l’extension de la couverture des réseaux, et les efforts de marketing des opérateurs mobiles », souligne l’association professionnelle dans son rapport « The Mobile Economy Report 2022 » publié en mars (1). L’impulsion a été donnée par les marchés pionniers en 5G que sont la Chine, la Corée du Sud et les Etats-Unis. A la fin de 2021, ils étaient 176 opérateurs mobiles sur 70 marchés dans le monde à avoir lancé des services 5G commerciaux. Parmi eux, près de 70 offrent des services de 5G fixe (2). Côté Samsung, le numéro un mondial indétrônable des fabricants de smartphones (3), a indiqué qu’il s’attendait à ce que les smartphones 5G représentent en 2022 plus de la moitié de toutes ses ventes de smartphones. « Une nouvelle vague de déploiement de la 5G dans de grands marchés à revenus modestes comme le Brésil, l’Indonésie et l’Inde pourrait stimuler davantage la production de masse d’appareils 5G plus abordables », prévoit la GSMA. Autrement dit, les pays dits émergents pourraient contribuer fortement à démocratiser la 5G. Les smartphones compatibles vont devenir abordables, leur prix de vente passant sous les 500 dollars l’unité – avec certains d’entre eux à moins de 150 dollars comme chez le fabricant chinois Realme, filiale du groupe BBK Electronics.
Si les 10 % des connexions en 5G sont atteints au cours de cette année 2022, ce taux paraît faible au regard des investissements importants que consacrent les opérateurs mobiles aux déploiements des réseaux de cinquième génération. Et ces « Capex » (4) s’annoncent élevées pour les années à venir. D’après la GSMA, les opérateurs mobiles devront investir – entre 2022 et 2025 – plus de 600 milliards de dollars dans le monde, dont environ 85 % dans les réseaux 5G. La 4G, elle, a atteint son apogée durant l’année 2021 en représentant 58 % des connexions mobiles dans le monde. Elle a depuis entamé son déclin au profit de la 5G, laquelle ne sera pas pour autant la génération majoritaire lorsque la 4G deviendra minoritaire dans ces connexions mobiles au-delà de l’année 2025. Quant à la 3G, elle passe cette année sous la barre des 20 % des connexions mobiles. De nombreux autre opérateurs mobiles dans le monde se délestent de ces anciens réseaux. Aux Etats-Unis, AT&T a entamé l’extinction progressive de son réseau 3G depuis le 22 février dernier (5). En France, Orange prévoit de fermer ses réseaux 2G et 3G d’ici respectivement fin 2025 et fin 2028 (6).

L’« écomobile » génère 5 % du PIB mondial
Pour l’heure, à fin 2021 et toutes générations de mobiles confondues, le nombre d’abonnés mobiles a atteint les 5,3 milliards de personnes, soit 67 % de la population mondiale. Le seuil des 70 % de pénétration sera atteint d’ici fin 2025 avec 5,7 milliards d’abonnés mobile sur la planète. Les revenus générés l’an dernier par les technologies et services mobiles en général ont atteint 4.500 milliards de dollars (autrement dit 4,5 trilliards de dollars), soit 5% du PIB mondiale. Ce chiffre atteindra près de 5.000 milliards de dollars d’ici 2025. @

Charles de Laubier

Etats-Unis : la FTC divisée sur le cas Amazon-MGM

Publié le 28 mars 2022 par Charles de Laubier

En fait. Le 17 mars, Amazon a annoncé avoir finalisé l’acquisition des studios de cinéma hollywoodiens MGM (Metro Goldwyn Mayer) pour 8,5 milliards de dollars. Si la Commission européenne a donné sont feu vert le 15 mars, la FTC américaine n’a toujours rien dit d’officiel mais sa présidente a l’œil.

En clair. Le géant Amazon fait comme s’il avait obtenu aux Etats-Unis le feu vert formel de la Federal Trade Commission (FTC) pour son acquisition des studios de cinéma MGM presque centenaires. Deux jours après avoir obtenu la bénédiction de la Commission européenne, qui, le 15 mars, n’a rien trouvé à redire (1) sur cette opération de concentration à 8,5 milliards de dollars (autorisée sans condition), la firme de Jeff Bezos a annoncé la finalisation de l’opération. « MGM a rejoint Prime Video et Amazon Studios. Ce studio historique, vieux de près de 100 ans, qui compte plus de 4.000 films, 17.000 épisodes télévisés, 180 Oscars et 100 Emmy Awards, complétera le travail de Prime Video et d’Amazon Studios en offrant une offre diversifiée de choix de divertissement aux clients », s’est-t-elle félicitée, dans un communiqué daté du 17 mars dernier (2).
La FTC n’ayant pas intenté d’action – dans le délai imparti (dont l’échéance était fixée à mi-mars) – à l’encontre de cette méga-acquisition, Amazon a estimé de fait avoir les coudées franches. Or, contrairement aux apparences, le PDG Andy Jassy – successeur de Jeff Bezos à ce poste depuis juillet 2021 – n’a pas obtenu l’aval de la présidente de la FTC, Lina Khan, et encore moins de blanc-seing de sa part. Cette dernière l’a fait savoir, via une porte-parole, dans une déclaration faite au magazine américain Variety le 17 mars : « La FTC n’approuve pas les transactions et peut contester une opération à tout moment si elle détermine que celle-ci contrevient à la loi » (3). Mais pourquoi Lina Khan, pourtant réputée « anti- GAFAM » et auteure en 2017 du « Paradoxe anti-monopole d’Amazon », ne s’est toujours pas prononcée publiquement sur ce dossier ? Pas parce qu’Amazon avait demandé le 30 juin 2021 que Lina Khan n’instruise pas elle-même cette affaire en raison de ses prises de position passées (4).
La réponse se trouve au sein de la FTC : selon Politico (5), ses quatre commissaires actuels sont divisés sur le dossier Amazon-MGM – les Républicains Noah Phillips et Christine Wilson étant contre toute plainte. La présidente aurait donc évité d’organiser un vote officiel mais, a indiqué la porte-parole, elle peut envoyer des « lettres d’avertissement » à Amazon, à défaut de finaliser une enquête antitrust dans les délais prévus par le HSR Act. Le blocage de la transaction reste une épée de Damoclès. @

Le groupe Meta Platforms peut-il vraiment retirer Facebook et Instagram de l’Union européenne ?

Publié le 14 mars 2022 par Charles de Laubier

Dans son rapport annuel, Meta n’exclut pas de supprimer d’Europe ses réseaux sociaux – Facebook, Instagram ou WhatsApp – s’il ne peut pas transférer les données personnelles européennes aux Etats-Unis. Retour sur cette menace qui soulève des questions économiques et juridiques.

Par Arnaud Touati, avocat associé, Hashtag Avocats

La société américaine Meta Platforms a-t-elle le droit et le pouvoir de retirer Facebook et Instagram du marché européen ? Techniquement, elle pourrait retirer Facebook et Instagram du marché européen, notamment des Vingt-sept Etats membres de l’UE. En effet, une société est libre de déterminer son marché et de proposer ou de retirer librement ses services sur le territoire d’un Etat. Cependant, économiquement parlant, le marché européen est considérable pour la firme de Mark Zuckerberg qui en est le PDG et fondateur.

Europe : 25 % des revenus de Meta
Le groupe a annoncé que l’Europe représentait, pour le dernier trimestre 2021, plus de 8,3 milliards de dollars de chiffre d’affaires, soit près du quart du total réalisé par Meta à l’échelle mondiale. De même, le revenu moyen par utilisateur sur Facebook en Europe (Messenger, Instagram et WhatsApp compris) se situe en moyenne à 19,68 dollars sur ce quatrième trimestre 2021, en deuxième position derrière la région « Etats-Unis & Canada » (1). Au total, l’Europe a généré 25% du chiffre d’affaires trimestriel.
De même, si la maison mère Meta Platforms décidait de mettre fin à ses services en Europe, il lui appartiendrait de résoudre la délicate question du sort des données des utilisateurs européens – au nombre de 427 millions à la fin de l’année dernière (2). En effet, Facebook, Messenger, Instagram ou encore WhatsApp ont obtenu de nombreuses données des utilisateurs. Cela impliquerait donc nécessairement de restituer aux utilisateurs toutes leurs données. Dans quelles conditions ? Comment ? La question est ouverte.
Au-delà des questions économiques que soulèverait pour Meta la mise à exécution de sa menace de retirer ses réseaux sociaux, cela poserait également des questions juridiques. Le règlement général sur la protection des données (RGPD), adopté en 2016 par le Parlement européen (3) et en vigueur depuis mai 2018, prévoit l’encadrement des transferts des données à caractère personnel vers des pays tiers. Les dispositions du règlement doivent donc être appliquées, afin que le niveau de protection des personnes physiques garanti par ledit règlement ne soit pas compromis. Peut-il y avoir des passe-droits en matière de RGPD ? (4) Plutôt que de « passe-droit », parlons plutôt de « tempérament », c’est-à-dire de l’assouplissement de certaines dispositions réglementaires dans des hypothèses bien déterminées. Il conviendrait ainsi de dire qu’il n’existe pas a priori de tempérament en matière de RGPD, au vu de l’importance du respect de la protection des données et de l’obligation d’encadrement des transferts de données. Néanmoins, il convient de relativiser cet état de fait. En effet, en France, la Commission nationale de l’informatique et des libertés (Cnil) prévoit une procédure de mise en demeure, dans l’hypothèse où un organisme ne respecterait pas les obligations relatives à l’encadrement des transferts de données. Elle précise qu’une « mise en demeure est une procédure qui intervient après une plainte ou un contrôle et ne constitue pas une sanction » (5). Dans pareille situation, deux issues sont possibles. Si l’organisme se conforme aux dispositions pendant le délai imparti, le transfert des données sera considéré comme légal et conforme. Dans le cas contraire, l’organisme peut se voir attribuer des sanctions, lesquelles sont, pour la majeure partie d’entre elles, pécuniaires. Cependant, cette sanction ne garantit pas le respect postérieur du RGPD, ce qui pourrait donc in fine valoir tempérament implicite, pour peu que ledit organisme ait des capacités financières significatives.
Par ailleurs, les transferts de données vers des pays tiers à l’Union européenne (UE) doivent respecter les principes du RGPD (6). Ainsi, la Commission européenne peut prévoir des décisions d’adéquation avec certains pays lorsqu’elle estime qu’ils assurent « un niveau de protection adéquat » (7). Les transferts de données vers ces pays-là ne nécessitent alors pas d’autorisation spécifique.

Dérogations pour cas particuliers
A l’inverse, lorsqu’un pays n’est pas reconnu comme garantissant une protection adéquate, l’article 46 du RGPD permet au responsable de traitement d’assurer lui-même que les transferts envisagés sont assortis de garanties appropriées, grâce à des clauses contractuelles types, des règles d’entreprise contraignantes, un code de conduite ou un mécanisme de certification. Dans les situations dans lesquelles un pays tiers n’est pas reconnu comme offrant un niveau de protection adéquat et en l’absence de garanties appropriées encadrant ce transfert, le transfert peut néanmoins, par exception, être opéré en vertu des dérogations listées à l’article 49 du RGPD. Tempérament du tempérament : ces dérogations – telles que le consentement explicite, l’exécution d’un contrat ou les motifs d’intérêt public – ne peuvent néanmoins être utilisées que dans des situations particulières et les responsables de traitement doivent, selon la Cnil, « s’efforcer de mettre en place des garanties appropriées et ne doivent recourir à ces exceptions qu’en l’absence de telles garanties » (8).

Marge de manœuvre des « Cnil »
A l’instar de son confrère irlandais, la Data Protection Commission (DPC), la Cnil pourrait-elle décider de modifier ses accords en matière de transfert des données vers les Etats-Unis ? Pour rappel, la DPC a refusé que les données des Européens soient collectées pour être stockées sur des serveurs américains, malgré la possibilité accordée par le RGPD, sous réserve des conditions (9). En effet, l’autorité de contrôle irlandaise considère que la loi américaine FISA (Foreign Intelligence Surveillance Act) est problématique, puisqu’elle autorise expressément la NSA (National Security Agency) à collecter les données de personnes étrangères si elles sont stockées sur des serveurs américains.
A l’origine, le RGPD pose des règles relatives aux autorités de contrôle tenant notamment à leurs indépendance, compétences, missions et pouvoirs (10). Ces autorités ont une large marge de manœuvre. En effet, en France par exemple, la loi « Informatique et Libertés » modifiée dispose que « la [Cnil] est une autorité administrative indépendante » (11), et le règlement européen permet, lui, de réduire la protection des personnes dans des cas particuliers afin de tenir compte des exigences nationales. Ce n’est donc pas parce que l’autorité irlandaise a pris cette décision que la Cnil doit nécessairement suivre la même analyse. Pour autant, dans une affaire concernant Google, la Cnil a conclu, prenant une inflexion similaire à son homologue irlandaise, que, à l’heure actuelle, les transferts de données vers les Etats-Unis ne sont pas suffisamment encadrés : dans une décision du 10 février 2022, elle a en effet mis en demeure un gestionnaire de site de mettre en conformité avec le RGPD ses traitements de données, en retirant Google Analytics si besoin (12). Pour rendre pareille décision, la Cnil se fonde sur l’arrêt « Schrems II » (13) de la Cour de justice de l’Union européenne (CJUE) ayant invalidé en 2020 le « Privacy Shield » (voir encadré ci-dessous).
Toutefois, même si les autorités de contrôle protègent les données personnelles en refusant le transfert des données sur les serveurs américains, une loi américaine datant de 2018 – le Cloud Act (14) – pose problème. En effet, le « Clarifying Lawful Overseas Use of Data Act » est une loi fédérale des Etats-Unis sur l’accès aux données personnelles, notamment opérées dans le nuage informatique. Elle permet aux instances judiciaires américaines d’émettre un mandat de perquisition contraignant les fournisseurs de cloud américains – même si les données sont stockées à l’étranger –, de fournir toutes les données d’un individu, sans qu’aucune autorisation ne soit demandée à la justice du pays dans lequel se situent l’individu ou les données.
Cette loi a été largement critiquée, étant entendu qu’elle se soustrait ainsi au contrôle des autorités réglementaires au sein du territoire de l’UE. Pour limiter, voire éviter une telle situation, la Commission européenne pourrait, à l’avenir, tenter de trouver un accord avec les Etats-Unis, et ainsi assurer la conformité avec le RGPD du transfert des données personnelles outre-Atlantique. En attendant, même si l’entreprise Meta a assuré le 8 février 2022, « n’avoir absolument aucune envie de se retirer de l’Europe, bien sûr que non » (15), la Commission européenne ne contournera pas l’arrêt « Schrems II » ayant annulé le « Privacy Shield », pas plus qu’elle ne l’avait fait pour l’arrêt « Schrems I » de 2015 annulant l’accord antérieur, le « Safe Harbour ». @

FOCUS

« Privacy Shield » : la CJUE peut-elle annuler… son annulation de 2020 ?
La Cour de justice de l’Union européenne (CJUE) pourrait-elle faire machine arrière et revenir sur sa décision d’annuler l’accord entre l’Union européenne (UE) et les Etats-Unis sur la gestion des données personnelles des Européens par les entreprises américaines et certaines autorités américaines ? Cet accord dit « Privacy Shield » était une décision d’adéquation adoptée en 2016 et encadrant les transferts de données vers les Etats- Unis. Ce qui permettait aux entreprises de transférer les données personnelles de citoyens européens aux Etats-Unis sans garanties complémentaires. Il a été annulé par l’arrêt « Schrems II » (16) de la CJUE daté du 16 juillet 2020. La CJUE avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux Etats-Unis, si les transferts n’étaient pas correctement encadrés.
Cet arrêt a donc impliqué le réexamen des transferts de données personnelles à destination des Etats-Unis et la nécessité d’apporter des garanties complémentaires.
La portée de cet arrêt a des conséquences sévères et démontre que, si les Etats-Unis ne respectent pas la protection des données, la CJUE n’acceptera pas d’accords sur ces mêmes termes. Dorénavant, il sera à nouveau possible de négocier un accord entre les Etats-Unis et l’UE si, et seulement si, les Etats-Unis acceptent de se soumettre aux dispositions du RGPD et de modifier leurs lois de surveillance des données risquées. Ce qui permettrait ainsi aux entreprises américaines d’évoluer sur le marché européen. Lors d’une conférence de presse le 23 février, à l’occasion de la présentation du Data Act (lire p. 6 et 7), la commissaire européenne à la Concurrence, Margrethe Vestager, s’est prononcée à ce propos : « Il est hautement prioritaire de conclure un tel accord avec les Américains (…), afin de permettre au milieu des affaires de tirer le meilleur parti des données (…) mais (….) dans des conditions transparentes et sûres » (17). Ainsi, les Etats-Unis et l’UE devront-ils trouver un accord alliant protection des données personnelles des utilisateurs européens et impératifs sécuritaires invoqués par l’administration américaine. @

Transfert des données UE-US : Google et Facebook veulent un accord entre Etats-Unis et Europe

Publié le 28 février 2022 par Charles de Laubier

Les deux affaires « Google Analytics jugé illégal » et « Meta menace de quitter l’Europe » ont fait réagir les deux géants du Net concernés par le même problème : le transfert de données « UEUS ». Ils pressent l’Union européenne et les Etats-Unis à se mettre d’accord. Car il y a urgence.

En janvier, la « Cnil » autrichienne (DSB) a jugé que Google Analytics, le service gratuit d’analyse d’audience de sites web ou d’applications mobiles – utilisé par des millions d’éditeurs en Europe – est illégal (1) en raison du transfert vers les Etats-Unis des données des internautes européens et en violation du RGPD (2). En février, la Cnil en France juge à son tour ces transferts de données « UE-US » de Google Analytics illégaux (3).

Près de 20 mois d’incertitude « UE-US »
Tandis qu’au même moment a circulé une rumeur selon laquelle Facebook menace de quitter l’Europe en raison de l’incertitude sur le transfert de données entre l’UE et les Etats-Unis. Entre la précipitation des « Cnil » européennes (du moins en Autriche et en France) envers la filiale d’Alphabet, en jugeant illégal son outil Google Analytics, et la rumeur sur la supposée menace de Meta Platforms (maison mère de Facebook, d’Instagram et de WhatsApp) de fermer ses services en Europe, jamais la situation n’aura été aussi absurde depuis l’invalidation en juillet 2020 du « Privacy Shield » (4) par la Cour de justice de l’Union européenne (CJUE). Car, depuis, aucun autre accord entre l’Union européenne (UE) et les Etats-Unis n’est venu combler le vide juridique sur la question du transfert des données entre la première et les seconds.
Jusqu’à il y a près de vingt mois, les Etats-Unis étaient considérés par la Commission européenne comme un pays ayant un niveau de « protection adéquate » pour les transferts de données à caractère personnel vers des organisations américaines auto certifiées. Mais depuis que la CJUE a annulé le Privacy Shield pour éviter que les services de renseignement américains n’accèdent aux données personnelles des Européens transférées aux Etats-Unis, c’est l’incertitude totale. Et Joe Biden (Washington) et Ursula von der Leyen (Bruxelles) tardent à accorder leurs violons, alors que les enjeux et les conséquences de cette inaction sont considérables pour tout l’écosystème du Web et des mobiles. Dès août 2020, la « Cnil » irlandaise (DPC) avait épinglé Facebook sur les transferts de ses données vers les Etats-Unis au regard du RGPD et préconisait que ces transferts soient « suspendus » en attendant un accord transatlantique : depuis que son recours en justice a été rejeté en mai 2021 en Irlande, le groupe Meta s’attend à une décision finale « dès le premier semestre de 2022 ». Or il faudrait un accord d’urgence entre l’Europe et les Etats-Unis, afin d’éviter que des centaines voire potentiellement des milliers de sites web en Europe ne soient mis en demeure par les « Cnil », comme l’ont été les services en ligne français d’Auchan, Decathlon, Leroy Merlin, Free Mobile, Sephora ou encore Le Huffington Post (5). Il y a aussi urgence pour ne pas pousser la firme de Mark Zuckerberg à mettre à exécution son avertissement mentionné dans son dernier rapport annuel publié le 3 février où la phrase suivante n’est pas passée inaperçue : « Si un nouveau cadre transatlantique de transfert des données n’est pas adopté (…), nous serons sûrement dans l’incapacité d’offrir une partie de nos produits et services les plus significatifs, parmi lesquels Facebook et Instagram, en Europe, ce qui affectera matériellement et négativement notre activité commerciale, notre condition financière et nos résultats opérationnels » (6).
C’est de ce risque évoqué que la rumeur d’une « menace de quitter l’Europe » est partie. Markus Reinisch (photo de gauche), vice-président de la politique publique en Europe chez Meta Plateforms, s’est inscrit en faux le 8 février en démentant cette rumeur : « La presse a rapporté que nous “menacions” de quitter l’Europe en raison de l’incertitude entourant les mécanismes de transfert de données entre l’UE et les États-Unis. Ce n’est pas vrai. (…) Nous ne voulons absolument pas nous retirer de l’Europe, bien sûr que non » (7). Après que son rival Google ait été épinglé par les « Cnil » autrichienne et française sur son Google Analytics, Facebook pourrait être le prochain à être mis en demeure sur son Facebook Connect qui est un outil similaire. « Des mesures correctrices à ce sujet pourraient être adoptées prochainement », a déjà prévenu le gendarme français de la protection des données personnelles.

Rassurer les utilisateurs en Europe
Alphabet et Google, dont le président des affaires publiques et juridiques au niveau mondial, Kent Walker (photo de droite), appelle à un nouveau cadre pour le transfert des données UE-US (8), tente de rassurer ses utilisateurs en Europe et de leur fournir des outils (9) pour identifier les données collectées et leur utilisation : « Nous allons ainsi ajouter des paramètres permettant aux clients de personnaliser davantage les données analytiques qu’ils recueillent. Nous comptons vous donner plus d’informations à ce sujet dans les semaines à venir » (10). A suivre. @