Archives par mot-clé : Europe

Prestataires de services sur actifs numériques : la France aiguillonne l’Europe vers plus de régulation

Publié le par

Craints par les uns (stabilité monétaire, cybersécurité, …) et poussés par les autres (innovation, compétitivité, …), les crypto-actifs s’immiscent dans le capitalisme financier. Mais les acteurs de la régulation veulent combler les lacunes en la matière, notamment vis-à-vis des prestataires.

Par Richard Willemant*, avocat associé, cabinet Féral

Les actifs numériques ont déjà conquis le paysage de la finance, en témoigne l’admission, en ce début février, de tokens sécurisés – en l’occurrence des « titres de dette digitaux » (1) – sur la liste officielle des valeurs mobilières de la Bourse de Luxembourg. Encore peu réglementés, ces actifs numériques impliquent de nombreux risques économiques notamment en matière de stabilité monétaire et de cybersécurité, et ils complexifient la lutte contre le blanchiment de capitaux et le financement du terrorisme, ce que l’on désigne sous le sigle LBC-FT (2).

Contours de la notion de crypto-actifs
Néanmoins, la digitalisation des actifs est une innovation gage de compétitivité, et son encadrement juridique par les institutions traditionnelles doit dès lors veiller à l’accompagner sans la brider, faute de perdre en attractivité. En France, le législateur a, en collaboration avec l’Autorité des marchés financiers (AMF), reconnu dès la loi de 2019 sur la croissance et la transformation des entreprises, loi dite « Pacte » (3), un statut aux prestataires de services sur actifs numériques (PSAN). Le législateur européen prévoit de reprendre très largement cet embryon d’encadrement français et de le renforcer. Lorsque l’objet régulé est en plein essor, une définition positive trop rigide risque de devenir rapidement obsolète. Les contours de la notion d’« actif numérique » ont donc en partie été tracés en négatif.
Le code monétaire et financier (CMF) a ainsi défini le terme d’actif numérique comme étant exclusif de celui d’instrument financier, de bon de caisse et de monnaie, électronique ou non (4). La proposition de règlement européen concernant les marchés de crypto-actifs, connue sous le nom de MiCA (Markets in Crypto-Assets), écarte également les instruments financiers et assimilés et la monnaie électronique de la notion d’actifs numériques. Cette proposition est actuellement en négociation entre le Conseil de l’Union européenne et le Parlement européen (5), et devrait entrer en vigueur en 2022. Des définitions positives larges et ouvertes ont également été prévues. En droit français, les crypto-actifs comprennent les cryptomonnaies, définies dans le CMF comme « toute représentation numérique d’une valeur qui n’est pas émise ou garantie par une banque centrale ou par une autorité publique […] mais qui est acceptée par des personnes physiques ou morales comme un moyen d’échange et qui peut être transférée, stockée ou échangée électroniquement » (6). Les jetons porteurs de droit sont définis, toujours dans le CMF, comme « tout bien incorporel représentant, sous forme numérique, un ou plusieurs droits pouvant être émis, inscrits, conservés ou transférés au moyen d’un dispositif d’enregistrement électronique partagé permettant d’identifier, directement ou indirectement, le propriétaire dudit bien » (7).
Le projet de définition européenne est, lui, plus précis que la définition française. Outre la définition ample d’« une représentation numérique d’une valeur ou de droits pouvant être transférée et stockée de manière électronique, au moyen de la technologie des registres distribués ou d’une technologie similaire », sont distingués trois catégories de crypto actifs :
• Le crypto-actif « se référant à un ou des actifs », qui vise les crypto-actifs tendant à conserver une valeur stable (dit « stablecoin ») et en se référant à la valeur de plusieurs monnaies qui ont cours légal (dit « fiat », du latin « qu’il soit fait », en référence au fait de l’autorité), ou à une ou plusieurs matières premières, ou à un ou plusieurs crypto-actifs, ou à une combinaison de tels actifs.
• Le « jeton de monnaie électronique », qui vise les cryptoactifs « dont l’objet principal est d’être utilisé comme moyen d’échange et qui vise à conserver une valeur stable en se référant à la valeur d’une monnaie fiat qui a cours légal ».
• Le « jeton utilitaire », qui vise les crypto-actifs destinés à fournir un accès numérique à un bien ou à un service, disponible sur le registre distribué DLT (Distributed Ledger Technology), et uniquement accepté par l’émetteur de ce jeton.

Avis ACPR et enregistrement AMF
Les services sur actifs numériques comprennent différentes prestations, variablement risquées et en conséquence différemment encadrées. Parmi les prestataires les plus surveillés, doivent être enregistrés auprès de l’AMF avant de pouvoir exercer leurs activités – dès lors qu’ils sont établis en France ou fournissent ces services en France (8) – ceux qui fournissent des services de conservation pour le compte de tiers d’actifs, des services d’achat ou de vente d’actifs numériques en monnaie ayant cours légal, des services d’échange d’actifs numériques contre d’autres actifs numériques, ou l’exploitation d’une plateforme de négociation d’actifs numériques (9). Cet enregistrement est conditionné à la démonstration par le demandeur de prérequis à l’exercice de son activité, et notamment un avis favorable de l’Autorité de contrôle prudentiel et de résolution (ACPR) sur son dispositif de lutte contre le blanchiment des capitaux et financement du terrorisme.

LBC-FT et protection de l’investisseur
L’AMF a enregistré une trentaine de PSAN (10). Une fois enregistrés, les PSAN sont soumis, sous le contrôle permanent de l’ACPR, aux mêmes obligations de lutte contre le blanchiment que les établissements bancaires ou financiers, à savoir l’évaluation des risques LBC-FT de leur activité, la connaissance des clients et de leurs bénéficiaires effectifs, la coopération avec les services de renseignement et la mise en place des mesures de gel des avoirs. Quant au régime pilote européen en cours d’élaboration avec la proposition de règlement MiCA, il fait également une place de choix à la LBC-FT en prévoyant la possibilité pour les autorités compétentes de chaque Etat membre de retirer l’agrément de l’opérateur si celui-ci commet un manquement à la législation nationale mettant en oeuvre la directive européenne « LBC-FT » de 2015 (11). Plus récemment et dans la même dynamique de LBC-FT, le Conseil de l’UE a arrêté son mandat de négociation avec le Parlement européen sur une proposition visant à actualiser les règles existantes sur les informations accompagnant les transferts de fonds (12). L’objectif est d’imposer aux prestataires de services sur cryptoactifs l’obligation de recueillir et de rendre accessibles des données complètes sur le donneur d’ordre et le bénéficiaire des transferts de crypto-actifs qu’ils traitent, et ce quel que soit le montant de la transaction. Ces obligations concerneraient notamment les transferts de crypto-actifs entre les fournisseurs de services de crypto-actifs et les portefeuilles non hébergés.
Il y a une autre manière que le registre de la LBC-FT d’appréhender les PSAN : par les normes de protection de l’investisseur. En France, la loi Pacte a également institué un agrément facultatif auprès de l’AMF des PSAN souhaitant faire du démarchage, mais il n’a pas encore réellement prospéré car les PSAN intéressés ont suspendu leurs demandes dans l’attente du régime européen en cours d’élaboration. « A ce jour, aucun PSAN n’est agréé auprès de l’AMF », est-il précisé sur le site web du gendarme des marchés financiers (13). Un visa optionnel de l’AMF pour les projets d’offre au public de jetons (ICO), mis en place au même moment, n’a pas connu plus de succès. « Nous ne l’analysons pas comme un échec », avait assuré en octobre 2021 le président de l’AMF (14). Les prestataires n’ayant pas reçu d’agrément ou de visa de l’AMF ne sont néanmoins pas privés d’exercer leur activité, seules certaines formes de publicité leur étant interdites conformément au code de la consommation (CC) : le démarchage en ligne pour proposer la fourniture de services sur actifs numériques ou d’ICO (15), la prospection en ligne par utilisation de formulaires à remplir par le prospect afin que le prestataire de services soit contacté par la suite (16), les opérations de parrainage ou de mécénat (17). Dans la mesure où le modèle économique des PSAN est largement basé sur le recours à la publicité, la flexibilité de ce dispositif – caractère optionnel du régime d’agrément et de visa, et permission encadrée de diffuser de la publicité – préserve l’attractivité de la place de Paris.
La proposition de règlement européen MiCA reprend quant à elle le dispositif français, ce qui devrait conduire au renforcement de son effectivité. Il est notamment prévu que les PSAN devront, une fois en activité, se comporter de manière « honnête, loyale et professionnelle », formule déjà connue des prestataires bancaires et financiers. Plus spécifiquement, les entités émettrices de jetons ne se référant pas à des actifs ou à des jetons de monnaie électronique seront tenues d’établir un livre blanc, exposant notamment les risques encourus, qu’ils soient liés à l’émetteur, au crypto-actif ou à la mise en oeuvre du projet (18). Ces mêmes émetteurs devront prévoir un droit de rétractation à tout consommateur qui achète de tels cryptoactifs soit directement à l’émetteur, soit à un prestataire de services sur crypto-actifs qui place des crypto-actifs pour le compte de cet émetteur.
Concernant cette fois l’offre au public de jetons (ICO) se référant à des actifs, les émetteurs devront obtenir un agrément auprès de l’autorité compétente de leur Etat d’origine. Les candidats devront pour cela justifier de l’honorabilité et de la compétence de leur gouvernance et de leurs actionnaires. Consécration du dispositif français, cet agrément n’est en revanche pas requis pour les établissements de crédit déjà soumis à l’agrément relatif à l’exercice de l’activité bancaire. Enfin, les jetons de monnaie électronique se référant à des actifs offerts au publics ne pourront, quant à eux, n’être émis que par des établissements de crédit ou des établissements de monnaie électronique (19). Les mesures existantes ou en cours d’élaboration comblent une lacune de la régulation bancaire et financière sans être aussi avant-gardistes que les objets qu’elles encadrent : il s’agit de faire entrer dans le champ d’application de la règlementation classique ces nouveaux instruments financiers numériques.

Libérer et renforcer la finance numérique
Outre la nécessaire définition inédite de la notion de cryptoactifs, l’intégration des PSAN aux dispositifs LBC-FT, d’une part, et aux normes de protection des consommateurs et investisseurs, d’autre part, correspond aux prescriptions habituellement destinées aux prestataires de services du secteur bancaire et financier. Ces nouvelles régulations visent à limiter les risques liés aux actifs numériques, à assurer la sécurité juridique, tout en libérant et en renforçant la finance numérique. Elles doivent relever le défi de protéger les investisseurs consommateurs, sans entraver l’innovation. @

* Richard Willemant, avocat associé du cabinet Féral,
est avocat aux barreaux de Paris et du Québec, délégué à la
protection des données (DPO), cofondateur de la Compliance
League, et responsable du Japan Desk de Féral.

Transfert des données UE-US : Google et Facebook veulent un accord entre Etats-Unis et Europe

Publié le par

Les deux affaires « Google Analytics jugé illégal » et « Meta menace de quitter l’Europe » ont fait réagir les deux géants du Net concernés par le même problème : le transfert de données « UEUS ». Ils pressent l’Union européenne et les Etats-Unis à se mettre d’accord. Car il y a urgence.

En janvier, la « Cnil » autrichienne (DSB) a jugé que Google Analytics, le service gratuit d’analyse d’audience de sites web ou d’applications mobiles – utilisé par des millions d’éditeurs en Europe – est illégal (1) en raison du transfert vers les Etats-Unis des données des internautes européens et en violation du RGPD (2). En février, la Cnil en France juge à son tour ces transferts de données « UE-US » de Google Analytics illégaux (3).

Près de 20 mois d’incertitude « UE-US »
Tandis qu’au même moment a circulé une rumeur selon laquelle Facebook menace de quitter l’Europe en raison de l’incertitude sur le transfert de données entre l’UE et les Etats-Unis. Entre la précipitation des « Cnil » européennes (du moins en Autriche et en France) envers la filiale d’Alphabet, en jugeant illégal son outil Google Analytics, et la rumeur sur la supposée menace de Meta Platforms (maison mère de Facebook, d’Instagram et de WhatsApp) de fermer ses services en Europe, jamais la situation n’aura été aussi absurde depuis l’invalidation en juillet 2020 du « Privacy Shield » (4) par la Cour de justice de l’Union européenne (CJUE). Car, depuis, aucun autre accord entre l’Union européenne (UE) et les Etats-Unis n’est venu combler le vide juridique sur la question du transfert des données entre la première et les seconds.
Jusqu’à il y a près de vingt mois, les Etats-Unis étaient considérés par la Commission européenne comme un pays ayant un niveau de « protection adéquate » pour les transferts de données à caractère personnel vers des organisations américaines auto certifiées. Mais depuis que la CJUE a annulé le Privacy Shield pour éviter que les services de renseignement américains n’accèdent aux données personnelles des Européens transférées aux Etats-Unis, c’est l’incertitude totale. Et Joe Biden (Washington) et Ursula von der Leyen (Bruxelles) tardent à accorder leurs violons, alors que les enjeux et les conséquences de cette inaction sont considérables pour tout l’écosystème du Web et des mobiles. Dès août 2020, la « Cnil » irlandaise (DPC) avait épinglé Facebook sur les transferts de ses données vers les Etats-Unis au regard du RGPD et préconisait que ces transferts soient « suspendus » en attendant un accord transatlantique : depuis que son recours en justice a été rejeté en mai 2021 en Irlande, le groupe Meta s’attend à une décision finale « dès le premier semestre de 2022 ». Or il faudrait un accord d’urgence entre l’Europe et les Etats-Unis, afin d’éviter que des centaines voire potentiellement des milliers de sites web en Europe ne soient mis en demeure par les « Cnil », comme l’ont été les services en ligne français d’Auchan, Decathlon, Leroy Merlin, Free Mobile, Sephora ou encore Le Huffington Post (5). Il y a aussi urgence pour ne pas pousser la firme de Mark Zuckerberg à mettre à exécution son avertissement mentionné dans son dernier rapport annuel publié le 3 février où la phrase suivante n’est pas passée inaperçue : « Si un nouveau cadre transatlantique de transfert des données n’est pas adopté (…), nous serons sûrement dans l’incapacité d’offrir une partie de nos produits et services les plus significatifs, parmi lesquels Facebook et Instagram, en Europe, ce qui affectera matériellement et négativement notre activité commerciale, notre condition financière et nos résultats opérationnels » (6).
C’est de ce risque évoqué que la rumeur d’une « menace de quitter l’Europe » est partie. Markus Reinisch (photo de gauche), vice-président de la politique publique en Europe chez Meta Plateforms, s’est inscrit en faux le 8 février en démentant cette rumeur : « La presse a rapporté que nous “menacions” de quitter l’Europe en raison de l’incertitude entourant les mécanismes de transfert de données entre l’UE et les États-Unis. Ce n’est pas vrai. (…) Nous ne voulons absolument pas nous retirer de l’Europe, bien sûr que non » (7). Après que son rival Google ait été épinglé par les « Cnil » autrichienne et française sur son Google Analytics, Facebook pourrait être le prochain à être mis en demeure sur son Facebook Connect qui est un outil similaire. « Des mesures correctrices à ce sujet pourraient être adoptées prochainement », a déjà prévenu le gendarme français de la protection des données personnelles.

Rassurer les utilisateurs en Europe
Alphabet et Google, dont le président des affaires publiques et juridiques au niveau mondial, Kent Walker (photo de droite), appelle à un nouveau cadre pour le transfert des données UE-US (8), tente de rassurer ses utilisateurs en Europe et de leur fournir des outils (9) pour identifier les données collectées et leur utilisation : « Nous allons ainsi ajouter des paramètres permettant aux clients de personnaliser davantage les données analytiques qu’ils recueillent. Nous comptons vous donner plus d’informations à ce sujet dans les semaines à venir » (10). A suivre. @

Charles de Laubier

Comment le japonais Softbank va accélérer sa conquête de l’Europe pour se refaire une santé

Publié le par

L’Union européenne est le nouvel eldorado du géant nippon Softbank, surtout depuis que le Français Michel Combes a été propulsé fin janvier à la tête de SoftBank Group International. Mais il en faudra plus pour désendetter le conglomérat actionnaire de Yahoo, d’Alibaba ou de T-Mobile.

« Grâce à des investissements dans des entreprises comme Yahoo! Inc., Yahoo Japan, Alibaba, Softbank Mobile, Sprint et Supercell, nous avons atteint un taux de rendement interne de 43 % sur les vingt-sept années, de 1994 à 2021 », s’était félicité l’an dernier le multimilliardaire Masayoshi Son (photo), fondateur et PDG du géant japonais Softbank. « En ce qui concerne les deux fonds Vision (1), les résultats ont été inférieurs aux attentes jusqu’au premier semestre de 2020, avait-il cependant admis. Les critiques ont laissé entendre que ma perspicacité n’était pas aussi bonne qu’avant ou que j’étais devenu trop gourmand. Toutefois, nous pouvons être fiers, depuis, de la reprise en forme de V des fonds Vision ».

(Sur)endettement et rentabilité volatile
accélérer sa conquête de l’Europe pour se refaire une santéMais Softbank est un colosse aux pieds d’argile. L’endettement est le point noir du conglomérat sans frontières. En mars 2020, au début de la pandémie de coronavirus, Masayoshi Son avait lancé en urgence un plan de sauvetage du groupe avec l’objectif de vendre pour plus de 40 milliards d’actifs afin, à la fois, de financer le rachat d’une bonne partie de ses propres actions, et de réduire sérieusement son endettement qui culminait à l’époque à près de 70 milliards de dollars. Les résultats annuels 2019/2020 (2) avaient sonné comme un coup de semonce : perte nette record dépassant les 8,3 milliards de dollars. Les effets négatifs du début de la pandémie sur les actifs du fonds d’investissement Vision et les contreperformances de la société américaine spécialisée dans les bureaux partagés WeWork (3) l’ont plombé. Les résultats annuels de l’exercice suivant, ceux de 2020/2021, ont montré que l’endettement avait finalement été réduit de plus de moitié, à 32 milliards de dollars, grâce à un bénéfice nette record de 65 milliards de dollars. Qu’en sera-t-il de l’exercice 2021/2022 en cours qui s’achèvera fin mars ? A mi-parcours de celui-ci, soit au 30 septembre dernier, Softbank était retombé dans le rouge avec une perte nette de 3 milliards de dollars sur le premier semestre. Le 8 février dernier, le troisième trimestre affiche un modeste bénéfice net de 251 millions de dollars.
Reste que depuis deux ans, Softbank a pris le taureau par les cornes pour procéder à des cessions afin de se renflouer. En avril 2020, le conglomérat a cédé le contrôle de sa filiale télécoms américaine Sprint (détenue depuis 2013) à T-Mobile US (filiale de l’allemand Deutsche Telekom) pour ne détenir que 24,7 % du nouvel ensemble ainsi fusionné (avec la possibilité d’acquérir d’autres actions sous certaines conditions). Dans la foulée, il décide de céder le fabricant britannique de semi-conducteurs ARM acquis en 2016. Un accord est trouvé en septembre 2020 avec l’américain de puces et cartes graphiques Nvidia pour lui vendre ARM 40 milliards de dollars tout en prévoyant de conserver 10% du capital – mais l’opération record dans les semiconducteurs pose des problèmes antitrust, poussant Nvidia et ARM à jeter l’éponge officiellement le 8 février dernier (4). Softbank mettra en Bourse cette filiale. Autre cession : fin 2020, le fabricant américain de robotique Boston Dynamics, acquis par Softbank en 2017 auprès d’Alphabet (la maison mère de Google), a été cédé au chaebol sud-coréen et géant de l’automobile Hyundai (le japonais y reste actionnaire à hauteur de 20 %).
C’est désormais du côté de l’Europe que se tourne Softbank pour se sortir d’affaire. En dehors du Japon, son bras armé dans la tech s’appelle SoftBank Group International (SGBI). Considéré comme le premier fonds mondial d’investissement dans le numérique, il inclut le fonds d’Amérique Latine (SoftBank Latin America Funds) et le fonds destiné à soutenir les start-up créées par des Noirs, des Latinoaméricains ou des Amérindiens (SB Opportunity Fund). C’est justement le Bolivien-Américain Marcelo Claure qui détenait les rênes de SGBI depuis mai 2018, tout en étant directeur des opérations (COO) du groupe Softbank. Mais celui-ci a démissionné en janvier de tous ses mandats en raison d’un désaccord sur ses prétentions quant à ses émoluments.

SGBI, tête de pont pour l’Europe
Son départ fut une opportunité pour le Français Michel Combes qui a été nommé à sa place à la tête de SGBI, mais sans pour autant être désigné COO du groupe Softbank. L’ancien PDG d’Altice-SFR, d’Alcatel-Lucent, de Vodafone Europe et jusqu’en avril 2020 DG de Sprint, supervisera « le portefeuille d’exploitation et d’investissement de SBGI ». L’Europe et la French Tech sont en ligne de mire. Après ContentSquare, Sorare, Vestiaire Collective ou encore Jellysmack, le nippon va avancer ses pions. Mais il faudra sans doute du temps à Michel Combes (bientôt 60 ans) pour que Masayoshi Son (64 ans) lui « serv[e] de mentor et d’ami pendant [son] mandat », pour reprendre les mots de Marcelo Claure (5) envers le PDG fondateur de la firme tokyoïte où celui-ci est resté neuf ans. @

Charles de Laubier

Les alternatives aux cookies tiers, lesquels vont disparaître, veulent s’affranchir du consentement

Publié le par

Le numéro un mondial de la publicité en ligne, Google, a confirmé le 25 janvier qu’il bannira à partir de fin 2023 de son navigateur Chrome les cookies tiers – ces mouchards du ciblage publicitaire. Comme l’ont déjà fait Mozilla sur Firefox ou Apple sur Safari. Mais attention à la vie privée.

Il y a près d’un an, le 3 mars 2021, Google avait annoncé qu’il allait abandonner les cookies tiers – utilisés par les annonceurs et publicitaires à des fins de traçage des internautes et de ciblage personnalisé – au profit de « centres d’intérêts » de groupes d’individus, alors appelés « cohortes » ou, dans le jargon des développeurs «FLoC», pour Federated Learning of Cohorts (1). Une « cohorte » est un groupe d’utilisateurs aux comportements de navigation similaires et aux « intérêts communs » (2). Et ce, sans ne plus avoir à identifier les individus un par un, mais tous ensemble de façon non indentifiable.

Cohortes, fingerprinting, centres d’intérêt, …
Mais cette technique de traçage anonymisé soulevait toujours des questions au regard du consentement des internautes et de sa conformité avec le règlement général sur la protection des données (RGPD) en Europe. De plus, les « cohortes » laissaient la porte ouverte à de l’espionnage par browser fingerprinting, c’est-à-dire la prise d’empreinte à partir du navigateur web pour collecter une floppée d’information sur l’utilisateur et son équipement. Car les réseaux publicitaires s’appuient principalement sur deux méthodes pour mettre les internautes sous surveillance. Son donc dans le même bateau : le suivi par des mouchards déposés dans le terminal et les empreintes digitales issues du navigateur.
Si les cookies tombent à l’eau, qu’est-ce qui reste ? Le fingerprinting. Cette technique de traçage des internautes, indépendamment des cookies eux-mêmes, est en fait illégale sans consentement préalable de l’internaute. L’Electronic Frontier Foundation (EFF), une ONG internationale de protection des libertés sur Internet, basée à San Francisco et aujourd’hui dirigée par Cindy Cohn (photo), a mis en place il y a une dizaine d’année un outil – Cover Your Tracks (3) – qui permet à tout internaute de vérifier le niveau de traçage de son navigateur. « Lorsque vous visitez un site web, votre navigateur fait une “demande” pour ce site. En arrière-plan, le code publicitaire et les trackers invisibles sur ce site peuvent également amener votre navigateur à faire des dizaines ou même des centaines de demandes à d’autres tiers cachés. Chaque demande contient plusieurs informations sur votre navigateur et sur vous, de votre fuseau horaire aux paramètres de votre navigateur en passant par les versions de logiciels que vous avez installés », met en garde l’EFF. Si certaines de ces informations sont transmises par défaut pour simplement mieux visualiser la page sur votre écran (smartphone, ordinateur ou tablette) et en fonction du navigateur utilisé, bien d’autres informations aspirées par du navigateur peuvent remonter – de façon sournoise et à l’insu de l’intéressé – jusqu’aux réseaux publicitaires tiers. En naviguant sur le Web, chaque internaute laisse des traces comme en marchant dans la neige. C’est ce que l’on appelle une « empreinte digitale numérique », ou fingerprinting : il s’agit essentiellement de caractéristiques propres à un utilisateur, à son navigateur et à sa configuration informatique (jusqu’à la résolution de son écran et aux polices de caractère installées dans son ordinateur…). Et le tout collecté par des scripts de suivi (tracking scripts) qui constituent les multiples pièces d’un puzzle sur le profit de l’utilisateur, qui, une fois assemblées, révèlent l’image unique de l’individu ciblé. Contrairement aux cookies qui tombent sous le coup du RGPD imposant le consentement préalable de l’internaute concerné, lequel peut aussi supprimer les cookies voire bloquer les publicités en ligne à l’aide d’un adblocker (4), les empreintes digitales échappent à tout contrôle et restent difficilement modifiables et impossible à supprimer. « Cela équivaut à suivre un oiseau par son chant ou ses marques de plumes, ou une voiture par sa plaque d’immatriculation, sa marque, son modèle et sa couleur », compare l’EFF, laquelle suggère de désactiver JavaScript pour arrêter l’exécution des scripts de suivi. JavaScript est le fameux langage de programmation de scripts, créé il y a plus d’un quart de siècle maintenant et principalement employé dans les pages web interactives, autrement dit partout sur le Web. Mais désactiver JavaScript compliquera la vie de l’internaute…

Les requêtes JavaScript et le RGPD
« Le principal objectif de Cover Your Tracks est de vous aider à établir votre propre équilibre entre la confidentialité et la commodité, explique l’ONG américain. En vous donnant un résumé de votre protection globale et une liste des caractéristiques qui composent votre empreinte digitale numérique, vous pouvez voir exactement comment votre navigateur apparaît aux trackers, et comment la mise en oeuvre de différentes méthodes de protection change cette visibilité ». C’est pour éviter notamment que le fingerprinting, avec ses requêtes JavaScript, ne le mette en infraction visà- vis du RGPD et ne se retourne contre lui, que Google a abandonné FloC pour « Topics ». Quèsaco ? Fini les « cohortes », place aux « thèmes ». Moins d’intrusions dans la vie privée, plus d’information sur les centres d’intérêt, bien que cela ne sonne pas la fin du tracking publicitaire sur ordinateurs et smartphones… Ce changement de pied sera généralisé sur Chrome à partir de fin 2023, après une phase de transition dès le troisième trimestre prochain.

La Grande-Bretagne et l’Allemagne scrutent
Et l’avantage présenté par Google le 25 janvier dernier est que toute cette « cuisine thématique » reste dans le terminal de l’utilisateur et les thèmes y sont conservés durant trois semaines avant d’être effacés. Tandis que l’interface de programmation d’applications – l’API (5) – de Google exploite trois thèmes, à raison d’un thème par semaine. Explication de Vinay Goel (photo ci-contre), directeur Privacy chez Google, basé à New York : « Avec Topics, le navigateur identifie des thèmes (topics) représentatifs des principaux centres d’intérêt des utilisateurs pour une semaine donnée, tels que “fitness”ou “voyages”, en fonction de l’historique de navigation. Ces thèmes sont gardés en mémoire pendant seulement trois semaines avant d’être supprimés. Ce processus se déroule entièrement sur l’appareil utilisé, sans impliquer de serveurs externes, Google ou autre. Lorsqu’un internaute visite un site Web participant, Topics sélectionne seulement trois thèmes, un thème pour chacune des trois dernières semaines, que l’API transmet ensuite à ce même site ainsi qu’à ses annonceurs partenaires » (6). Tout cela en toute transparence : fini les mouchards, fini le suivi dissimulé et autres cookies indigestes, fini aussi le fingerprinting sournois. L’utilisateur garde la main sur ces données le concernant.
Du moins sur Chrome où il peut accéder aux paramètres de contrôle pour y voir les thèmes partagés avec les annonceurs, en supprimer certains, avec la possibilité de désactiver entièrement la fonctionnalité. « Plus important encore, souligne Vinay Goel, les thèmes sont sélectionnés avec attention afin d’exclure les catégories potentiellement sensibles, telles que le genre ou l’appartenance ethnique ». Google n’est pas le premier à bannir les cookies tiers de son navigateur Chrome. Avant lui, Mozilla, Apple, Microsoft et Brave Software les ont écartés de respectivement Firefox, Safari, Edge et Brave. Mais le plus souvent pas des filtres « anti-cookies ». L’aggiornamento du ciblage publicitaire est en tout cas venu, quitte à secouer certains acteurs comme ce fut le cas fin 2017 lorsque Criteo a dévissé en Bourse après l’annonce d’Apple contre les cookies sur iOS 11. Depuis l’adtech française a dû s’adapter (7). D’autres, comme Prisma Media ou Webedia (8), contournent le problème en imposant des « cookies walls ». Tôt ou tard, tout l’écosystème devra passer à la publicité basée sur les intérêts – Interest-based advertising (IBA) – qui est une forme de publicité personnalisée dans laquelle une annonce est sélectionnée pour l’utilisateur en fonction des intérêts dérivés des sites qu’il a visités antérieurement. « Les thèmes sont sélectionnés à partir d’une taxonomie publicitaire, qui comprendra entre quelques centaines et quelques milliers de sujets [entre 350 et 1.500 thèmes, ndlr], tout en excluant les sujets sensibles », précise par ailleurs la plateforme de développement de logiciels GitHub (9). Reste que le monde publicitaire (marques, régies, éditeurs, adtech, …) devra se faire une raison : l’IBA donnera des résultats d’affichages différents – moins performants ? – par rapport à la publicité contextuelle mais peut-être plus utiles pour l’internaute. Mais la démarche de Google – en position dominante sur le marché mondial de la publicité en ligne – inquiète de nombreux acteurs du numérique. La firme de Mountain View (Californie) a déjà eu à répondre l’an dernier devant l’autorité de la concurrence britannique, la Competition and Markets Authority (CMA), ainsi qu’à la « Cnil » britannique, l’Information Commissioner’s Office (ICO), en prenant des engagements vis-à-vis des autres acteurs du marché et envers la protection de la vie privée (10). En Allemagne, la fédération des éditeurs VDZ a fait savoir le 24 janvier dernier qu’elle en appelait – au nom de ses 500 membres – à la Commission européenne pour dénoncer « les distorsions de concurrence de Google », suite à sa décision de « bloquer les cookies de tiers dans le navigateur dominant Chrome ». La VDZ demande à ce « que l’utilisation de cookies fournis par des tiers reste autorisée, à condition, notamment, que les utilisateurs consentent eux-mêmes à leur utilisation » (11). Elle rappelle au passage qu’en avril 2021 elle a engagé avec d’autres organisations professionnelles une action antitrust contre Apple auprès de l’autorité fédérale allemande de lutte contre les cartels (12).

La Commission européenne enquête
En France, la Commission nationale de l’informatique et des libertés (Cnil) se penche sur « les alternatives aux cookies » (13) mais n’a encore rien dit sur les « Topics » de Google. De son côté, Margrethe Vestager, vice-présidente de la Commission européenne et en charge de la Concurrence et du Numérique, n’a pas attendu la requête de la VDZ pour s’interroger sur la fin des cookies tiers – notamment sur les intentions de Google – comme l’atteste un courrier daté du 23 avril 2021 et envoyé au Parlement européen (14). Deux mois après, le 22 juin 2021, la Commission européenne ouvrait une enquête sur les pratiques publicitaires de Google et sur la décision de ce dernier d’« interdire le placement de “cookies tiers” sur Chrome » (15) : « L’enquête se poursuit », nous indique Margrethe Vestager. La filiale Internet d’Alphabet est donc scrutée de toute part en Europe. Autant que les internautes eux-mêmes ? @

Charles de Laubier

Droits voisins et presse : l’accord Google-AFP sur 5 ans est un bon début de (re)partage de la valeur

Publié le par

Résultat de plusieurs mois de négociations, l’accord d’une durée de cinq ans annoncé le 17 novembre 2021 entre Google et l’Agence France-Presse (AFP), sur les droits voisins de cette dernière, est un précédent qui devrait inspirer les éditeurs en France et dans le reste de l’Europe.

Par Fabrice Lorvo*, avocat associé, FTPA.