Violation de données personnelles sur Facebook : « Zuck »paiera-t-il des dommages et intérêts ?

Depuis le 23 mai, le PDG cofondateur de Facebook – Mark Zuckerberg – est accusé d’avoir pris directement la décision qui a porté atteinte à la protection des données, provoquant le scandale « Cambridge Analytica » de 2016. Le procureur de Washington D.C. lui demande des dommages et intérêts.

Six ans après le scandale « Cambridge Analytica » qui a cloué au pilori la société britannique du même nom pour fuite massive en 2016 de données personnelles dans la campagne présidentielle de Donald Trump, voici que Mark Zuckerberg fait lui-même l’objet d’une plainte. Après le refus d’un juge en mars dernier que le PDG de Facebook soit cité comme témoin (1) dans la procédure engagée en 2018 contre le numéro un des réseaux sociaux (2), le procureur général du District de Columbia (Washington), Karl Racine (photo), remonte au créneau en poursuivant cette fois « Zuck » en l’accusant d’être directement responsable. Il demande à la justice de le condamner à verser des dommages et intérêts.

Dommages et intérêts demandés à « Zuck »
L’affaire retentissante « Cambridge Analytica », qui avait notamment porté sur l’utilisation illégale de 70 millions de comptes de Facebook aux Etats-Unis pour influencer en 2016 l’élection présidentielle américaine, a déjà valu à la firme de Menlo Park (Californie) 5 milliards de dollars d’amende infligés en juillet 2019 par la FTC (3). Cambridge Analytica a aussi manipulé des données personnelles lors de la campagne pour ou contre le Brexit au Royaume-Uni.
Cette nouvelle plainte à Washington D.C. s’attaque pour la première fois à Mark Zuckerberg en personne, en tant que PDG du groupe Meta Platforms (maison mère de Facebook depuis octobre 2021). Cette assignation en justice, déposée le 23 mai dernier par le procureur Karl Racine, démontre – preuves à l’appui – que le patron de Facebook était décisionnaire dans la tromperie des utilisateurs et la violation de loi américaine sur la protection des consommateurs. « Le District de Columbia est en possession d’éléments de preuve qui démontrent à la fois le bien-fondé de (…) la responsabilité personnelle de M. Zuckerberg et de ses violations de la CPPA [à savoir le California Consumer Privacy Act (CCPA) de 2018]», assure l’auteur de la plainte, qui demande au tribunal « réparation » en condamnant le PDG à « verser un dédommagement ou des dommages et intérêts » (4). Karl Racine, qui demande en outre de lui « infliger des sanctions civiles », explique que le groupe Facebook – « sous la direction » de Mark Zuckerberg – a modifié son business model parce qu’il a reconnu que son réseau social au « F » blanc sur fond bleu pourrait être encore plus rentable s’il pouvait exploiter et vendre – « auprès de tiers » – la capacité d’influencer de manière fiable le comportement de ses utilisateurs. Facebook a encouragé – « et, parfois, en collaboration avec (eux) » – des développeurs et des chercheurs afin de recueillir et d’analyser les données des utilisateurs de Facebook pour qu’ils puissent mieux apprendre à manipuler les humeurs de ces 2,9 milliards « d’amis » (à ce jour) et influencer leurs achats et même la manière dont ils votent. « Plus le Facebook de Zuckerberg attise la division et la polarisation, déstabilise les démocraties, amplifie les génocides et a une incidence sur la santé mentale des utilisateurs, plus Facebook et ses dirigeants gagnent de l’argent. Compte tenu des milliards de dollars en jeu, et n’ayant aucun égard envers les personnes qu’il prétend servir, Facebook – sous la direction de Zuckerberg – a décidé de cacher ces problèmes le plus longtemps possible, y compris en induisant intentionnellement en erreur les utilisateurs de Facebook ainsi que le public, la presse et les dirigeants politiques », dénonce le procureur général. A l’origine du mal : la décision prise en 2010 par Facebook – « encore une fois une idée de Zuckerberg » – d’ouvrir la plateforme Facebook à des tiers. C’est à partir de là que tout commence, Facebook ayant persuadé des développeurs externes de créer des applications accrocheuses pour le réseau social, « en dirigeant encore plus d’utilisateurs et de données d’utilisateurs vers la plateforme ». Ce détournement de user data s’est fait par des « portes latérales » (side doors) au sein des applications elles-mêmes. Et Karl Racine d’enfoncer le clou : « Etant donné que la plateforme de Facebook a été conçue pour permettre les abus, la société de Zuckerberg a fonctionné en grande partie sans mesures de protection appropriées pour protéger les utilisateurs : l’application des règles était laxiste, l’examen des violations des applications était incohérent ou subjectif, et les règles elles-mêmes étaient floues et déroutantes. Mais en 2018, le monde a appris cette imposture ».

Wylie et Kaiser : lanceurs d’alerte en 2018
La politique laxiste de « Zuck » dans la soi-disant protection des données personnelles éclate au grand jour en mars 2018 (voir encadré page suivante). « Ce qui est le plus troublant, c’est que Facebook s’est penché sur (l’activité de) Cambridge Analytica et a déterminé qu’elle présentait un risque pour les données des consommateurs, mais a choisi d’enterrer ces préoccupations plutôt que de les arrêter, car cela aurait pu nuire au résultat net de Facebook (et de Zuckerberg) », fustige encore le procureur général. Karl Racine appelle la justice à tenir pour responsable Mark Zuckerberg en personne dans la violation des lois américaines sur la protection des données des utilisateurs de Facebook. Le cofondateur de Facebook, dont il est le PDG (membre du conseil d’administration), est citoyen américain résidant à Palo Alto (en Californie). Tandis que le siège social du groupe Meta (Facebook jusqu’en octobre 2021) est situé à Menlo Park, dans le même Etat. « Depuis 2012, Zuckerberg est président du conseil d’administration de Facebook et contrôle environ 60 % des actions avec droit de vote », est-il rappelé.

La responsabilité du PDG est engagée
Selon Forbes, et au moment où nous écrivons ces lignes, « Zuck » est la 15e personne la plus riche du monde avec un patrimoine professionnel de 70,1 milliards de dollars (5). Depuis la création de « TheFacebook » le 4 février 2004 à l’université d’Harvard et le lancement de Facebook le 1er août 2005, l’encore jeune homme – 38 ans depuis le 14 mai 2022 – est le responsable en chef des opérations quotidiennes de Facebook, de sa stratégie produit et de ses pratiques – « y compris les actes et les pratiques énoncés dans la présente plainte ». Lorsqu’il sera entendu à Washington D.C. dans le cadre de cette nouvelle procédure judiciaire, ce ne sera pas la première fois qu’il répondra aux allégations de ce district, comme il a pu le faire aussi devant les agences fédérales (FTC et FCC) ou le Congrès américain.
Si l’affaire « Cambridge Analytica » porte sur l’année 2016, avant d’être révélée en 2018, elle trouve ses origines dès 2013 : en novembre de cette année-là, Aleksandr Kogan – chercheur scientist affilié à l’Université de Cambridge – et son entreprise Global Science Research (GSR) ont lancé une application-tierce sur la plateforme Facebook, appli ludique de quizz baptisée « This is Your Digital Life » et capable de collecter des données personnelles pour générer un profil de personnalité. L’année suivante, le jeune Américain d’origine moldave (36 ans aujourd’hui) a conclu un accord avec Cambridge Analytica – cabinet d’experts-conseils politiques basé à Londres, auprès de candidats américains ou d’ailleurs – pour lui vendre les données recueillies par son application : 87 millions de consommateurs Facebook, dont près de la moitié résidents du district de Washington. « Plutôt que de faire de telles divulgations significatives [sur ces agissements dont ils avaient connaissance, et en violation de leurs propres règles], Facebook et Zuckerberg ont plutôt profité de Kogan et de Cambridge Analytica – utilisant abusivement des données de consommation volées – en vendant des millions de dollars d’espaces publicitaires à Cambridge Analytica et pour les campagnes des candidats à la présidence lors des élections de 2016 », accuse le procureur général Karl Racine. Mark Zuckerberg est même allé jusqu’à prétendre que la vie privée n’est plus une « norme sociale » parce que « les gens se sont vraiment mis à l’aise non seulement (avec le fait) de partager plus d’informations et d’autres types de renseignements, mais aussi de communiquer plus ouvertement et avec plus de monde » (6). La responsabilité et la culpabilité du patron actionnaire de Facebook – maintenant de Meta – ne fait aucun doute, d’après les détails donnés par le procureur : « Au sein de Facebook, Zuckerberg a supervisé directement le développement de produits et les travaux d’ingénierie qui exposaient les données des consommateurs à des abus : Zuckerberg est responsable de la plateforme Facebook et est en mesure d’annuler toute décision prise par l’entreprise. (…) Et, contrairement à ses déclarations publiques, Zuckerberg avait l’intention de trouver un moyen de tirer parti des changements apportés à la plateforme pour amasser plus de données — et donc plus d’argent — pour Facebook ». Le raisonnement est implacable et accablant pour le geek devenu très tôt multimilliardaire. Pour illustrer la responsabilité de « Zuck », Karl Racine cite longuement un de ses e-mails internes – daté celui-là du 19 novembre 2012 – près de dix ans déjà – où le patron conclut : « Le but de la plateforme est de lier l’univers de toutes les applications sociales ensemble afin que nous puissions permettre beaucoup plus de partage et rester toujours le hub social central. Je pense que cela trouve le juste équilibre entre l’ubiquité, la réciprocité et le bénéfice ».

10 ans de mensonges et de tromperies
Cela fait au moins depuis dix ans que Mark Zuckerberg était au courant des « risques » de sa plateforme « ouverte » sur la vie privée des « amis », où les amis de mes amis sont mes amis – «mais il n’a pas agi », alors qu’« il était conscient des risques posés (mais) il a activement ignoré ces risques ». Car le partage de données est au cœur du business model et la principale source de revenus (y compris publicitaire) de Facebook. « En tant que tel, Zuckerberg a participé, dirigé, géré, ou autrement connu – et avait le pouvoir de contrôler – les actions incohérentes de Facebook concernant la vie privée, y compris les pratiques commerciales trompeuses, les fausses déclarations et les ambiguïtés qui contreviennent à la loi sur la protection des consommateurs », conclut le procureur. La parole est maintenant à la défense. @

Charles de Laubier

ZOOM

L’affaire « Facebook » éclate au grand jour en mars 2018
Le scandale «Cambridge Analytica » a été révélée le samedi 17 mars 2018 par le quotidien américain The New York Times aux Etats-Unis et par l’hebdomadaire dominicale britannique The Observer en Grande-Bretagne – ce dernier ayant le même propriétaire que le quotidien The Guardian, lui aussi contributeur (7). Ces trois journaux se sont appuyés sur les informations d’un Canadien, Christopher Wylie, qui s’est présenté alors comme le lanceur d’alerte de cette affaire (8). Mais il n’est pas le seul ancien collaborateur de Cambridge Analytica à avoir parlé puisque l’Américaine Brittany Kaiser a elle aussi fait des révélations (9) qui ont aussi fait l’effet d’une bombe (10). @

« Facebook, Google & Big Telecoms veulent continuer à violer la neutralité du Net en Europe… »

« … Les régulateurs devraient les arrêter ». C’est l’alerte lancée par Barbara van Schewick, professeure de droit de l’Internet à la Stanford Law School aux Etats-Unis. Pour cette juriste allemande, les régulateurs des télécoms européens – du Berec – doivent préserver la neutralité de l’Internet.

L’organe des régulateurs européens des télécoms, appelé en anglais le Berec (1), s’est réuni du 8 au 10 juin à Chypre pour se mettre d’accord sur une mise à jour des lignes directrices sur « l’Internet ouvert » – alias la neutralité de l’Internet. Les précédentes avaient été publiées le 30 août 2016. Depuis, un arrêt de la Cour de justice de l’Union européenne (CJUE), daté du 15 septembre 2020, avait jeté un pavé dans la mare en déclarant contraire à la neutralité de l’Internet – donc illégale – la pratique du « trafic gratuit ».

Fort lobbying des Gafam et des telcos
Appelé aussi zero-rating, cet avantage consiste pour un opérateur télécoms à ne pas décompter dans son forfait mobile les données consommées par l’internaute pour un service « partenaire ». Le problème est qu’en « favorisant » tel ou tel service, l’opérateur mobile le fait au détriment des autres applications concurrentes. Facebook/ Instagram/WhatsApp, Google/YouTube, Netflix, Spotify, Apple Music, Deezer, Twitter ou encore Viber profitent du dispositif qui incite implicitement les abonnés mobiles à les utiliser en priorité puisqu’ils ne sont pas décomptés du crédit de données lié à leur forfait. Dans son arrêt de 2020, la CJUE épinglait ainsi le norvégien Telenor en Hongrie (2). Plus récemment, dans un autre arrêt daté du 2 septembre 2021, la CJUE s’en est prise cette fois à Vodafone et de TMobile en Allemagne pour leurs options à « tarif nul » contraires à l’Internet ouvert (3).
Ce favoritisme applicatif était identifié depuis près de dix ans, mais les régulateurs européens n’y ont pas mis le holà. Les « telcos » font ainsi deux poids-deux mesures : des applications gratuites et attrayantes face à d’autres payantes et donc moins utilisées. « Nous sommes réticents à la sacralisation du zero-rating qui, par définition, pousse les consommateurs de smartphones à s’orienter vers un service – généralement le leader capable de payer le plus – au détriment de ses concurrents, au risque de les faire disparaître », avait déclaré au Monde en 2016 l’association de consommateurs UFC-Que choisir (4). Plus de six ans après l’adoption par les eurodéputés du règlement européen « Internet ouvert » (5), les inquiétudes demeurent. « Des plans de gratuité discriminatoires tels que StreamOn de T-Mobile et le Pass de Vodafone violent la loi européenne sur la neutralité du Net », a dénoncé le 30 mai dernier Barbara van Schewick (photo), professeure de droit de l’Internet à la Stanford Law School aux Etats-Unis. Dans un plaidoyer publié par le CIS (Center for Internet and Society) qu’elle dirige dans cette faculté américaine (6), l’informaticienne et juriste allemande fustige « ces stratagèmes discriminatoires [qui] favorisent presque invariablement les propres services de l’opérateur ou ceux de plateformes géantes comme Facebook et YouTube ». Elle appelle le Berec à contrecarrer ces pratiques en les proscrivant clairement dans les prochaines lignes directrices révisées sur l’Internet ouvert. « Ce que décide le Berec aura un impact sur des millions d’Européens et, s’il fait les choses correctement, cela augmentera la quantité de données que les gens obtiennent chaque mois, tout en rétablissant la concurrence en ligne », espère Barbara van Schewick. Mais l’Organe des régulateurs européens des communications électroniques, basé à Bruxelles, subit de fortes pressions des lobbies des Gafam et des telcos « pour laisser des échappatoires afin que la gratuité discriminatoire puisse continuer ». Or, dénonce-t-elle, « cette pratique injuste cimente le pouvoir de marché des plateformes dominantes ».
Cette concurrence déloyale se fait aussi dans la musique en ligne et la SVOD. La professeure de droit de l’Internet cite le cas d’une start-up américaine lancée il y a dix ans, Audiomack. Après avoir examiné 34 programmes de zerorating pour les applications de musique en Europe, où cette plateforme musicale voulait de lancer, elle n’a pas eu d’offres ou de réponses de la part de 25 opérateurs télécoms. « Après dix mois de travail, elle a été incluse dans 3 programmes. Pendant ce temps, Apple Music était présent dans 26 et Spotify dans 23 », relate Barbara van Schewick.

Que le « trafic nul » soit bien interdit
Et d’après une étude d’Epicenter.works publiée en 2019, WhatsApp et Facebook, du groupe Meta, suivis par le français Deezer, sont les applications les plus « détaxées » parmi les 186 plans de trafic gratuit recensés (7). La professeure du CIS espère en tout cas que le Berec confirmera ce qu’il a déjà prévu d’indiquer dans les prochaines lignes directrices : à savoir que le trafic gratuit viole la neutralité du Net. C’est net et clair dans le projet de guidelines de mars dernier (8). Mais la professeure espère que toutes ces pratiques seront in fine clairement interdites, noir sur blanc, afin que les opérateurs télécoms ne puissent pas contourner l’obstacle. @

Charles de Laubier

La 5G franchira en 2022 les 10 % de connexions mobiles générées par les cartes SIM dans le monde

L’année 2022 s’annonce comme celle qui verra la 5G franchir la barre du 1 milliard de connexions au total dans le monde, que cela soit de la 5G mobile ou de la 5G fixe. Pour la première fois, elle va dépasser cette année le taux de 10 % des connexions mobiles grâce à 200 réseaux dans 70 pays.

La croissance de la 5G croît plus vite que les deux précédentes générations de mobiles sur la même période de démarrage commercial. « Cette croissance sans précédent représente le déploiement générationnel le plus rapide pour l’industrie du mobile par rapport à la 3G et la 4G. En comparaison, dix-huit mois après son lancement, la 5G représentait plus de 5,5 % des connexions mobiles – ni la 3G ni la 4G n’ont dépassé 2,2 % de pénétration au même moment de leur cycle de vie », s’est félicité Alex Sinclair (photo), directeur technique à la GSMA, laquelle réunit plus de 750 opérateurs mobiles et compte pour l’instant près de 200 réseaux 5G dans 70 pays.

Vers 2 milliards de connexions 5G fin 2025
Un total de 1 milliard de connexions mobiles 5G – correspondant à autant de cartes SIM connectées à partir d’un appareil compatible avec la cinquième génération de mobile – devrait être atteint d’ici la fin de 2022, sur un total de plus de 8,4 milliards de connexions toutes générations de mobiles confondues (hormis les connexions des réseaux cellulaires d’objets connectés estimés à 2 milliards en 2021). Ainsi, pour la première fois, la 5G va dépasser dans le courant de cette année les 10 % de connexions mobiles pour tendre, selon nos calculs, vers les 12%. Ce taux est à comparer aux 8% seulement en 2021 sur un total de 8,3 milliards de connexions mobiles toutes générations confondues.
Ce « dynamisme » permet à la GSMA de tabler sur un franchissement des 2 milliards de connexions 5G d’ici la fin de l’année 2025, soit tout de même dans trois ans et demi. A ce moment-là la 5G comptera pour environ un quart (taux de 25 %) du total des connexions mobiles et plus de deux personnes sur cinq dans le monde vivront à proximité d’un réseau de cinquième génération. « La dynamique a été stimulée notamment par la reprise économique après la pandémie, la hausse des ventes de smartphones 5G, l’extension de la couverture des réseaux, et les efforts de marketing des opérateurs mobiles », souligne l’association professionnelle dans son rapport « The Mobile Economy Report 2022 » publié en mars (1). L’impulsion a été donnée par les marchés pionniers en 5G que sont la Chine, la Corée du Sud et les Etats-Unis. A la fin de 2021, ils étaient 176 opérateurs mobiles sur 70 marchés dans le monde à avoir lancé des services 5G commerciaux. Parmi eux, près de 70 offrent des services de 5G fixe (2). Côté Samsung, le numéro un mondial indétrônable des fabricants de smartphones (3), a indiqué qu’il s’attendait à ce que les smartphones 5G représentent en 2022 plus de la moitié de toutes ses ventes de smartphones. « Une nouvelle vague de déploiement de la 5G dans de grands marchés à revenus modestes comme le Brésil, l’Indonésie et l’Inde pourrait stimuler davantage la production de masse d’appareils 5G plus abordables », prévoit la GSMA. Autrement dit, les pays dits émergents pourraient contribuer fortement à démocratiser la 5G. Les smartphones compatibles vont devenir abordables, leur prix de vente passant sous les 500 dollars l’unité – avec certains d’entre eux à moins de 150 dollars comme chez le fabricant chinois Realme, filiale du groupe BBK Electronics.
Si les 10 % des connexions en 5G sont atteints au cours de cette année 2022, ce taux paraît faible au regard des investissements importants que consacrent les opérateurs mobiles aux déploiements des réseaux de cinquième génération. Et ces « Capex » (4) s’annoncent élevées pour les années à venir. D’après la GSMA, les opérateurs mobiles devront investir – entre 2022 et 2025 – plus de 600 milliards de dollars dans le monde, dont environ 85 % dans les réseaux 5G. La 4G, elle, a atteint son apogée durant l’année 2021 en représentant 58 % des connexions mobiles dans le monde. Elle a depuis entamé son déclin au profit de la 5G, laquelle ne sera pas pour autant la génération majoritaire lorsque la 4G deviendra minoritaire dans ces connexions mobiles au-delà de l’année 2025. Quant à la 3G, elle passe cette année sous la barre des 20 % des connexions mobiles. De nombreux autre opérateurs mobiles dans le monde se délestent de ces anciens réseaux. Aux Etats-Unis, AT&T a entamé l’extinction progressive de son réseau 3G depuis le 22 février dernier (5). En France, Orange prévoit de fermer ses réseaux 2G et 3G d’ici respectivement fin 2025 et fin 2028 (6).

L’« écomobile » génère 5 % du PIB mondial
Pour l’heure, à fin 2021 et toutes générations de mobiles confondues, le nombre d’abonnés mobiles a atteint les 5,3 milliards de personnes, soit 67 % de la population mondiale. Le seuil des 70 % de pénétration sera atteint d’ici fin 2025 avec 5,7 milliards d’abonnés mobile sur la planète. Les revenus générés l’an dernier par les technologies et services mobiles en général ont atteint 4.500 milliards de dollars (autrement dit 4,5 trilliards de dollars), soit 5% du PIB mondiale. Ce chiffre atteindra près de 5.000 milliards de dollars d’ici 2025. @

Charles de Laubier

Etats-Unis : la FTC divisée sur le cas Amazon-MGM

En fait. Le 17 mars, Amazon a annoncé avoir finalisé l’acquisition des studios de cinéma hollywoodiens MGM (Metro Goldwyn Mayer) pour 8,5 milliards de dollars. Si la Commission européenne a donné sont feu vert le 15 mars, la FTC américaine n’a toujours rien dit d’officiel mais sa présidente a l’œil.

En clair. Le géant Amazon fait comme s’il avait obtenu aux Etats-Unis le feu vert formel de la Federal Trade Commission (FTC) pour son acquisition des studios de cinéma MGM presque centenaires. Deux jours après avoir obtenu la bénédiction de la Commission européenne, qui, le 15 mars, n’a rien trouvé à redire (1) sur cette opération de concentration à 8,5 milliards de dollars (autorisée sans condition), la firme de Jeff Bezos a annoncé la finalisation de l’opération. « MGM a rejoint Prime Video et Amazon Studios. Ce studio historique, vieux de près de 100 ans, qui compte plus de 4.000 films, 17.000 épisodes télévisés, 180 Oscars et 100 Emmy Awards, complétera le travail de Prime Video et d’Amazon Studios en offrant une offre diversifiée de choix de divertissement aux clients », s’est-t-elle félicitée, dans un communiqué daté du 17 mars dernier (2).
La FTC n’ayant pas intenté d’action – dans le délai imparti (dont l’échéance était fixée à mi-mars) – à l’encontre de cette méga-acquisition, Amazon a estimé de fait avoir les coudées franches. Or, contrairement aux apparences, le PDG Andy Jassy – successeur de Jeff Bezos à ce poste depuis juillet 2021 – n’a pas obtenu l’aval de la présidente de la FTC, Lina Khan, et encore moins de blanc-seing de sa part. Cette dernière l’a fait savoir, via une porte-parole, dans une déclaration faite au magazine américain Variety le 17 mars : « La FTC n’approuve pas les transactions et peut contester une opération à tout moment si elle détermine que celle-ci contrevient à la loi » (3). Mais pourquoi Lina Khan, pourtant réputée « anti- GAFAM » et auteure en 2017 du « Paradoxe anti-monopole d’Amazon », ne s’est toujours pas prononcée publiquement sur ce dossier ? Pas parce qu’Amazon avait demandé le 30 juin 2021 que Lina Khan n’instruise pas elle-même cette affaire en raison de ses prises de position passées (4).
La réponse se trouve au sein de la FTC : selon Politico (5), ses quatre commissaires actuels sont divisés sur le dossier Amazon-MGM – les Républicains Noah Phillips et Christine Wilson étant contre toute plainte. La présidente aurait donc évité d’organiser un vote officiel mais, a indiqué la porte-parole, elle peut envoyer des « lettres d’avertissement » à Amazon, à défaut de finaliser une enquête antitrust dans les délais prévus par le HSR Act. Le blocage de la transaction reste une épée de Damoclès. @

Le groupe Meta Platforms peut-il vraiment retirer Facebook et Instagram de l’Union européenne ?

Dans son rapport annuel, Meta n’exclut pas de supprimer d’Europe ses réseaux sociaux – Facebook, Instagram ou WhatsApp – s’il ne peut pas transférer les données personnelles européennes aux Etats-Unis. Retour sur cette menace qui soulève des questions économiques et juridiques.

Par Arnaud Touati, avocat associé, Hashtag Avocats

La société américaine Meta Platforms a-t-elle le droit et le pouvoir de retirer Facebook et Instagram du marché européen ? Techniquement, elle pourrait retirer Facebook et Instagram du marché européen, notamment des Vingt-sept Etats membres de l’UE. En effet, une société est libre de déterminer son marché et de proposer ou de retirer librement ses services sur le territoire d’un Etat. Cependant, économiquement parlant, le marché européen est considérable pour la firme de Mark Zuckerberg qui en est le PDG et fondateur.

Europe : 25 % des revenus de Meta
Le groupe a annoncé que l’Europe représentait, pour le dernier trimestre 2021, plus de 8,3 milliards de dollars de chiffre d’affaires, soit près du quart du total réalisé par Meta à l’échelle mondiale. De même, le revenu moyen par utilisateur sur Facebook en Europe (Messenger, Instagram et WhatsApp compris) se situe en moyenne à 19,68 dollars sur ce quatrième trimestre 2021, en deuxième position derrière la région « Etats-Unis & Canada » (1). Au total, l’Europe a généré 25% du chiffre d’affaires trimestriel.
De même, si la maison mère Meta Platforms décidait de mettre fin à ses services en Europe, il lui appartiendrait de résoudre la délicate question du sort des données des utilisateurs européens – au nombre de 427 millions à la fin de l’année dernière (2). En effet, Facebook, Messenger, Instagram ou encore WhatsApp ont obtenu de nombreuses données des utilisateurs. Cela impliquerait donc nécessairement de restituer aux utilisateurs toutes leurs données. Dans quelles conditions ? Comment ? La question est ouverte.
Au-delà des questions économiques que soulèverait pour Meta la mise à exécution de sa menace de retirer ses réseaux sociaux, cela poserait également des questions juridiques. Le règlement général sur la protection des données (RGPD), adopté en 2016 par le Parlement européen (3) et en vigueur depuis mai 2018, prévoit l’encadrement des transferts des données à caractère personnel vers des pays tiers. Les dispositions du règlement doivent donc être appliquées, afin que le niveau de protection des personnes physiques garanti par ledit règlement ne soit pas compromis. Peut-il y avoir des passe-droits en matière de RGPD ? (4) Plutôt que de « passe-droit », parlons plutôt de « tempérament », c’est-à-dire de l’assouplissement de certaines dispositions réglementaires dans des hypothèses bien déterminées. Il conviendrait ainsi de dire qu’il n’existe pas a priori de tempérament en matière de RGPD, au vu de l’importance du respect de la protection des données et de l’obligation d’encadrement des transferts de données. Néanmoins, il convient de relativiser cet état de fait. En effet, en France, la Commission nationale de l’informatique et des libertés (Cnil) prévoit une procédure de mise en demeure, dans l’hypothèse où un organisme ne respecterait pas les obligations relatives à l’encadrement des transferts de données. Elle précise qu’une « mise en demeure est une procédure qui intervient après une plainte ou un contrôle et ne constitue pas une sanction » (5). Dans pareille situation, deux issues sont possibles. Si l’organisme se conforme aux dispositions pendant le délai imparti, le transfert des données sera considéré comme légal et conforme. Dans le cas contraire, l’organisme peut se voir attribuer des sanctions, lesquelles sont, pour la majeure partie d’entre elles, pécuniaires. Cependant, cette sanction ne garantit pas le respect postérieur du RGPD, ce qui pourrait donc in fine valoir tempérament implicite, pour peu que ledit organisme ait des capacités financières significatives.
Par ailleurs, les transferts de données vers des pays tiers à l’Union européenne (UE) doivent respecter les principes du RGPD (6). Ainsi, la Commission européenne peut prévoir des décisions d’adéquation avec certains pays lorsqu’elle estime qu’ils assurent « un niveau de protection adéquat » (7). Les transferts de données vers ces pays-là ne nécessitent alors pas d’autorisation spécifique.

Dérogations pour cas particuliers
A l’inverse, lorsqu’un pays n’est pas reconnu comme garantissant une protection adéquate, l’article 46 du RGPD permet au responsable de traitement d’assurer lui-même que les transferts envisagés sont assortis de garanties appropriées, grâce à des clauses contractuelles types, des règles d’entreprise contraignantes, un code de conduite ou un mécanisme de certification. Dans les situations dans lesquelles un pays tiers n’est pas reconnu comme offrant un niveau de protection adéquat et en l’absence de garanties appropriées encadrant ce transfert, le transfert peut néanmoins, par exception, être opéré en vertu des dérogations listées à l’article 49 du RGPD. Tempérament du tempérament : ces dérogations – telles que le consentement explicite, l’exécution d’un contrat ou les motifs d’intérêt public – ne peuvent néanmoins être utilisées que dans des situations particulières et les responsables de traitement doivent, selon la Cnil, « s’efforcer de mettre en place des garanties appropriées et ne doivent recourir à ces exceptions qu’en l’absence de telles garanties » (8).

Marge de manœuvre des « Cnil »
A l’instar de son confrère irlandais, la Data Protection Commission (DPC), la Cnil pourrait-elle décider de modifier ses accords en matière de transfert des données vers les Etats-Unis ? Pour rappel, la DPC a refusé que les données des Européens soient collectées pour être stockées sur des serveurs américains, malgré la possibilité accordée par le RGPD, sous réserve des conditions (9). En effet, l’autorité de contrôle irlandaise considère que la loi américaine FISA (Foreign Intelligence Surveillance Act) est problématique, puisqu’elle autorise expressément la NSA (National Security Agency) à collecter les données de personnes étrangères si elles sont stockées sur des serveurs américains.
A l’origine, le RGPD pose des règles relatives aux autorités de contrôle tenant notamment à leurs indépendance, compétences, missions et pouvoirs (10). Ces autorités ont une large marge de manœuvre. En effet, en France par exemple, la loi « Informatique et Libertés » modifiée dispose que « la [Cnil] est une autorité administrative indépendante » (11), et le règlement européen permet, lui, de réduire la protection des personnes dans des cas particuliers afin de tenir compte des exigences nationales. Ce n’est donc pas parce que l’autorité irlandaise a pris cette décision que la Cnil doit nécessairement suivre la même analyse. Pour autant, dans une affaire concernant Google, la Cnil a conclu, prenant une inflexion similaire à son homologue irlandaise, que, à l’heure actuelle, les transferts de données vers les Etats-Unis ne sont pas suffisamment encadrés : dans une décision du 10 février 2022, elle a en effet mis en demeure un gestionnaire de site de mettre en conformité avec le RGPD ses traitements de données, en retirant Google Analytics si besoin (12). Pour rendre pareille décision, la Cnil se fonde sur l’arrêt « Schrems II » (13) de la Cour de justice de l’Union européenne (CJUE) ayant invalidé en 2020 le « Privacy Shield » (voir encadré ci-dessous).
Toutefois, même si les autorités de contrôle protègent les données personnelles en refusant le transfert des données sur les serveurs américains, une loi américaine datant de 2018 – le Cloud Act (14) – pose problème. En effet, le « Clarifying Lawful Overseas Use of Data Act » est une loi fédérale des Etats-Unis sur l’accès aux données personnelles, notamment opérées dans le nuage informatique. Elle permet aux instances judiciaires américaines d’émettre un mandat de perquisition contraignant les fournisseurs de cloud américains – même si les données sont stockées à l’étranger –, de fournir toutes les données d’un individu, sans qu’aucune autorisation ne soit demandée à la justice du pays dans lequel se situent l’individu ou les données.
Cette loi a été largement critiquée, étant entendu qu’elle se soustrait ainsi au contrôle des autorités réglementaires au sein du territoire de l’UE. Pour limiter, voire éviter une telle situation, la Commission européenne pourrait, à l’avenir, tenter de trouver un accord avec les Etats-Unis, et ainsi assurer la conformité avec le RGPD du transfert des données personnelles outre-Atlantique. En attendant, même si l’entreprise Meta a assuré le 8 février 2022, « n’avoir absolument aucune envie de se retirer de l’Europe, bien sûr que non » (15), la Commission européenne ne contournera pas l’arrêt « Schrems II » ayant annulé le « Privacy Shield », pas plus qu’elle ne l’avait fait pour l’arrêt « Schrems I » de 2015 annulant l’accord antérieur, le « Safe Harbour ». @

FOCUS

« Privacy Shield » : la CJUE peut-elle annuler… son annulation de 2020 ?
La Cour de justice de l’Union européenne (CJUE) pourrait-elle faire machine arrière et revenir sur sa décision d’annuler l’accord entre l’Union européenne (UE) et les Etats-Unis sur la gestion des données personnelles des Européens par les entreprises américaines et certaines autorités américaines ? Cet accord dit « Privacy Shield » était une décision d’adéquation adoptée en 2016 et encadrant les transferts de données vers les Etats- Unis. Ce qui permettait aux entreprises de transférer les données personnelles de citoyens européens aux Etats-Unis sans garanties complémentaires. Il a été annulé par l’arrêt « Schrems II » (16) de la CJUE daté du 16 juillet 2020. La CJUE avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux Etats-Unis, si les transferts n’étaient pas correctement encadrés.
Cet arrêt a donc impliqué le réexamen des transferts de données personnelles à destination des Etats-Unis et la nécessité d’apporter des garanties complémentaires.
La portée de cet arrêt a des conséquences sévères et démontre que, si les Etats-Unis ne respectent pas la protection des données, la CJUE n’acceptera pas d’accords sur ces mêmes termes. Dorénavant, il sera à nouveau possible de négocier un accord entre les Etats-Unis et l’UE si, et seulement si, les Etats-Unis acceptent de se soumettre aux dispositions du RGPD et de modifier leurs lois de surveillance des données risquées. Ce qui permettrait ainsi aux entreprises américaines d’évoluer sur le marché européen. Lors d’une conférence de presse le 23 février, à l’occasion de la présentation du Data Act (lire p. 6 et 7), la commissaire européenne à la Concurrence, Margrethe Vestager, s’est prononcée à ce propos : « Il est hautement prioritaire de conclure un tel accord avec les Américains (…), afin de permettre au milieu des affaires de tirer le meilleur parti des données (…) mais (….) dans des conditions transparentes et sûres » (17). Ainsi, les Etats-Unis et l’UE devront-ils trouver un accord alliant protection des données personnelles des utilisateurs européens et impératifs sécuritaires invoqués par l’administration américaine. @