Archives par mot-clé : Europe

Les fréquences de la TNT en Europe iront aux télécoms après 2031, mais la France résiste

Publié le par

Les « fréquences en or » actuellement utilisées par la TNT ont l’assurance d’être affectées à l’audiovisuel jusqu’en 2031. Ensuite, la Conférence mondiale des radiocommunications de 2031 (CMR-31) pourrait les allouer à la 5G/6G. La France, elle, va (ré)attribuer des autorisations TNT en 2025.

C’est à la Conférence mondiale des radiocommunications de 2031 (CMR-31) que l’Union européenne sera fixée sur le sort qui sera réservé aux fréquences de la banque 470-694 Mhz dans la « Région 1 », regroupant l’Europe, le Moyen-Orient et l’Afrique. Ces fréquences – dites historiquement UHF (1) – sont actuellement aux mains de l’audiovisuel, en l’occurrence de la télévision numérique terrestre (TNT), ou Digital Terrestrial Television (DTT) en anglais. Il est plus que probable qu’après 2031 elles tombent dans l’escarcelle des télécoms qui demandent plus de spectre pour les déploiements de la 5G, y compris la 5G Broadcast (2), et de la future 6G (3).

Europe : la bande UHF destinée aux télécoms
« Dans la “région 1”, à savoir l’Europe, le Moyen-Orient et l’Afrique, il y a des pays comme la France qui utilisent massivement la bande UHF [470-694 Mhz, ndlr] pour la diffusion de la TNT, a expliqué Gilles Brégant (photo), directeur général de l’Agence nationale des fréquences (ANFR), lors d’un colloque sur l’avenir de la TNT le 14 novembre dernier à Paris. Mais beaucoup d’autres pays cette région n’ont plus de télévision hertzienne de façon significative, comme la Suisse, l’Allemagne, des pays du Golf [persique] ou encore des pays africains. Ces derniers veulent développer de la téléphonie mobile dans cette bande de fréquences, mais aussi des réseaux de sécurité ou des systèmes de défense » (4).
En France, l’Arcom a lancé le 28 février et jusqu’en mai l’appel aux candidatures pour l’attribution de quinze fréquences pour la diffusion de chaînes de la TNT nationale (5). Mais pourquoi attribuer en 2025 quinze fréquences de la TNT – via des autorisations sur 10 ans assorties de conventions – si ce mode de diffusion numérique par voie hertzienne est voué à être remis en question par les instances internationales de gestion du spectre ? Lors de la Conférence mondiale des radiocommunications de 2023 (CMR-23), qui s’est tenue en novembre et décembre derniers à Dubaï, l’Union européenne a obtenu à nouveau la garantie jusqu’« au moins en 2030 » de pouvoir utiliser pour la TNT les fréquences de la bande très convoitée des 470-694 Mhz, surnommées parfois « fréquences en or ». Et ce, même si certains pays européens comme l’Allemagne pourront aussi l’utiliser de façon secondaire pour des réseaux mobiles, tandis que quelques pays du Moyen-Orient pourront y mettre, eux, de la téléphonie mobile de façon prioritaire. Bien que ces CMR se tiennent tous les quatre ans sous l’égide de l’Union internationale des télécommunications (UIT), laquelle dépend de l’ONU, l’Europe – via la CEPT (6) – a aussi eu l’assurance que ce « point 1.5 » concernant la bande UHF ne sera pas rediscuté durant la prochaine conférence de 2027 (CMR-27). En revanche, c’est à la conférence de 2031 (CMR-31) qu’une révision de ces attributions de spectre sera faite, sans doute au profit des télécoms et au détriment de l’audiovisuel. A moins que l’Europe n’obtienne plus de flexibilité.
Ce « au moins jusqu’en 2030 » pour la TNT est pour l’instant acquis pour l’Europe depuis la CMR-2015 – et de sa résolution 235 (7). L’Union européenne avait obtenu cette échéance, avant une éventuelle révisions, à la suite de deux rapports successifs remis en 2014 à la Commission européenne : celui de Pascal Lamy en septembre et celui du Radio Spectrum Policy Group (RSPG) – groupe d’experts des fréquences désignés par les Etats membres pour conseiller Bruxelles (8) – en novembre. Il s’en était suivi une décision du Parlement européen et du Conseil de l’UE datée du 17 mai 2017 sur l’utilisation de cette bande UHF au sein des Vingt-sept (Vingt-huit l’époque avec le Royaume-Uni). Celle-ci prévoyait que les Etats membres veillaient à la « disponibilité de la bande de fréquences 470-694 Mhz […] au moins jusqu’en 2030 pour la fourniture de services de radiodiffusion par voie terrestre, y compris de la télévision gratuite » (9). En France, cette décision européenne avait été entérinée en modifiant en 2015 la loi de 1986 sur la liberté de communication où l’on peut lire depuis que « la bande de fréquences radioélectriques 470-694 mégahertz reste affectée, au moins jusqu’au 31 décembre 2030, au Conseil supérieur de l’audiovisuel [devenu l’Arcom, ndlr] pour la diffusion de services de télévision par voie hertzienne terrestre » (10).

France : en 2023, la fibre a dépassé la TNT
Si les fréquences de la bande 470-694 Mhz restent en Europe prioritaires dans les textes « au moins jusqu’en 2030 » pour l’audiovisuel, mais pas pour les télécoms, elles sont en réalité garanties jusqu’à fin 2031 puisque la CMR-31 n’aura lieu qu’en novembre-décembre 2031. C’est toujours une année de gagnée pour la France, mais encore plus pour la Grèce, l’Italie, et l’Espagne qui utilisent beaucoup de fréquences UHF pour la télévision hertzienne. Il n’en reste pas moins qu’en France l’utilisation de la TNT est en chute libre depuis huit ans : -16,4 points pour atteindre en 2023 un taux de réception en TNT de seulement 41,3 %, au profit de la réception par Internet (IPTV) dont le taux progresse à 67,5 %. Ce qui fait d’Internet le premier mode d’accès à la télévision dans les foyers français grâce non seulement à l’ADSL/VDSL2 mais aussi à la fibre optique (FTTH), d’après le dernier Observatoire de l’équipement audiovisuel des foyers en France métropolitaine que l’Arcom a publié en décembre dernier (11).

Question d’harmonisation en Europe
C’est même au cours du premier semestre 2023 que le FTTH a dépassé la TNT pour recevoir les chaînes (voir graphique ci-dessous). Dans ce contexte technologique de l’audiovisuel, faut-il sauver le « soldat » TNT ? Quand bien même la TNT débute cette année en France la diffusion en ultra-haute définition – 4K (3.840 x 2.160 pixels) – en prévision des Jeux Olympiques de l’été prochain. C’est déjà le cas depuis le 23 janvier pour France 2 UHD et à partir du 10 juillet pour France 3 UHD (12). Qu’adviendra-t-il donc des fréquences dévolues actuellement à la TNT durant la prochaine décennie, c’est-à dire de 2031 à 2040 ? Le secteur des télécoms devrait s’en emparer pour les besoins de la 5G et de la 6G.
Si l’Europe a jusqu’à fin 2031 avant la remise en question de la TNT (DTT en anglais) sur les fréquences en or de l’UHF en-dessous des 700 Mhz, il n’en reste pas moins que l’audiovisuel n’aura plus sa place à terme sur cette bande. « De nombreux pays, dont la France, estimaient que l’attribution mobile dans la bande 700 Mhz conduirait à concentrer la radiodiffusion dans une bande plus étroite et qu’il était hors de question de la réduire encore plus », rappelle l’ANFR (13). C’est ainsi que la France et l’Europe ont apporté – après les deux dividendes numériques (bandes 700 Mhz et 800 Mhz délivrées par l’Arcep en respectivement 2015 et 2011) – des garanties de stabilité d’accès au spectre pour la télévision hertzienne terrestre dans la bande 470-694 Mhz. « Ces orientations ont en particulier permis à la filière audiovisuelle d’investir pour faire évoluer la plateforme [TNT]. Ce fut notamment le cas en France avec le passage au Mpeg-4, la généralisation de la haute définition et le maintien de la diversité des programmes », poursuit l’ANFR. Il est maintenant prévu, en 2025, que la Commission européenne présente un rapport d’étape au Parlement européen et au Conseil de l’UE. De même, l’an prochain également, le gouvernement français doit aussi présenter au Parlement un rapport d’étape qui sera établi par la DGMIC (14).
A l’instar des Etats-Unis qui utilisent déjà ces « fréquences en or » pour la téléphonie mobile, les pays du MoyenOrient ont déjà éteint leurs émetteurs de télévision hertzienne pour remettre les fréquences ainsi libérées aux opérateurs mobiles. La Suisse a fait de même pour ses multiplexes nationaux pour ne garder çà et là que de la TNT régionale. Autre exemple : la Finlande a décidé d’accélérer la migration de la télévision, de l’hertzien à d’autres plateformes numériques.
Après une décennie de débats passionnés (depuis la CMR15) et de discussion à n’en plus finir, le sort de la bande UHF (470-694 Mhz) est en passe d’être harmonisé dans la « Région 1 ». Et les télécoms sont en passe de l’emporter sur l’audiovisuel. Dans les Vingt-sept, il restera à résoudre des problèmes d’interférences (brouillages) aux frontières avec certains voisins européens. L’ERPG, qui conseille la Commission européenne sur le spectre des fréquences, a publié en octobre 2023 un avis sur « la stratégie relative à l’utilisation future de la bande de fréquences 470-694 Mhz au-delà de 2030 dans l’UE » (15) pour tendre vers cette harmonisation spectrale européenne au cours de la prochaine décennie. @

Charles de Laubier

La 6G pointe le bout de son nez au MWC, avant 2030

Publié le par

En fait. Du 27 février au 3 mars se déroule à Barcelone (Espagne) la grand-messe internationale consacrée aux smartphones et à la mobilité, le Mobile World Congress (MWC), dont le thème cette année est « Future First ». La sixième génération de réseau mobile (6G) sera l’ossature du futur. L’Europe va l’expérimenter.

Data Act et AI Act, ou l’art de ménager la chèvre (innovation) et le chou (droits individuels)

Publié le par

Le Data Act et l’AI Act ont un objectif commun : tirer profit des opportunités offertes par les données, qu’elles soient issues d’objets connectés pour le premier, ou de modèles d’intelligence artificielle pour le second, tout en protégeant les droits des individus contre les dérives.

Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats

Les premiers mois de l’année 2024 ont été marqués par des développements substantiels sur le plan réglementaire concernant les données en Europe, développements à la lumière desquels le règlement général sur la protection des données (RGPD) est pensé de manière dynamique. Avec deux autres règlements que sont le Data Act (déjà en vigueur) et le AI Act (toujours en cours d’examen), l’Union européenne (UE) tente de préserver cet élan innovateur tout en assurant une protection efficace des droits individuels.

Socle solide de règles sur les données
Adoption du Data Act : le 11 janvier 2024, le Conseil de l’UE a adopté le règlement portant sur des règles harmonisées en matière d’accès et d’utilisation équitables des données. Le texte vise à « relever les défis et à libérer les opportunités offertes par les données dans l’[UE], en mettant l’accent sur l’accès équitable et les droits des utilisateurs, tout en assurant la protection des données à caractère personnel » (1). Il s’inscrit dans une stratégie européenne pour les données afin de créer un marché unique des données garantissant la compétitivité et la souveraineté de l’Europe.
Projet d’AI Act : le 2 février 2024, le Conseil de l’UE a adopté à l’unanimité la proposition de règlement du Parlement européen et du Conseil de l’UE établissant des règles harmonisées concernant l’intelligence artificielle, texte pour lequel un accord avait été trouvé dès décembre 2023 (2). Ce texte est pour le moment d’une ambition unique au monde. Le Data Act et prochainement l’AI Act prendront donc place aux côtés du Digital Services Act (entré en vigueur le 25 août 2023 dans le but de responsabiliser les plateformes numériques et de lutter contre la diffusion de contenus illicites ou préjudiciables ou de produits illégaux), du Digital Markets Act (entré en vigueur le 2 mai 2023 et visant à mieux encadrer les activités économiques des grandes plateformes numériques) et du RGPD (entré en application le 25 mai 2018 dans le but de protéger les droits des personnes concernées par un traitement de leurs données personnelles).
A eux cinq, ces règlements européens forment les principaux piliers de la régulation des plateformes et données en Europe. Un sixième texte, le Digital Governance Act, entré en vigueur le 23 juin 2022, concerne également les données, en traitant principalement du secteur public. Il s’agit de réglementer par-delà les frontières en s’appliquant aussi à l’international. Cette réglementation, devenue cruciale pour rechercher un usage éthique, transparent et équitable des données traitées massivement, demeurera exceptionnelle en ce qu’elle s’érige à un échelon européen et transnational capable d’atteindre des entreprises de toutes tailles, y compris les plus grandes, installées hors d’Europe. L’article 3 du Data Act prévoit que le règlement s’applique dès qu’un produit connecté ou un service connexe est mis à disposition sur le territoire de l’UE et/ou qu’un utilisateur ou destinataire de données sont situés dans les Vingt-sept. Et ce, quel que soit le lieu d’établissement du détenteur de données ou du fournisseur de services de traitement de données.
De la même manière, l’article 2 de l’AI Act prévoit que le règlement s’appliquera dès qu’un système d’IA sera mis sur le marché de l’UE ou qu’un utilisateur de système d’IA est établi ou est localisé sur le territoire des Vingt-sept, ou encore que le contenu généré par l’IA est utilisé au sein de l’UE. Le but est de ne pas favoriser les acteurs non européens au détriment des entreprises locales. Il s’agit donc, comme pour le RGPD, d’assurer une protection efficace des citoyens européens sans entraver la compétitivité des entreprises européennes. Les textes cherchent aussi à ne pas décourager les entreprises européennes à innover, en ayant notamment pour effet d’imposer de manière extraterritoriale, même aux plus grandes entreprises internationales, des obligations. Les Gafam ont mis en avant les risques liés notamment au AI Act, la mise en conformité entraînant des coûts importants.

Transparence et secret des affaires : équilibre
Un enjeu du Data Act et de l’AI Act est de trouver un équilibre entre la transparence dans le traitement des données et la préservation du secret des affaires, afin de ne pas freiner l’innovation :
• Le Data Act : la maîtrise par l’utilisateur de ses données limitée par le secret des affaires. L’article 3 du Data Act prévoit l’obligation pour les entreprises concevant et fabriquant des objets connectés et des services connexes de rendre, par défaut, les données et métadonnées générées par ces objets et/ou services connexes facilement accessibles à l’utilisateur, voire lorsque cela est « pertinent et techniquement possible » directement accessibles à l’utilisateur par une simple demande électronique. A ce sujet, l’article 3.2 du Data Act prévoit qu’un certain nombre d’informations précontractuelles doivent être délivrées par le vendeur, le loueur ou le bailleur d’objets connectés « de manière claire et compréhensible ». Ces informations sont notamment relatives au type, format et volume estimé de données générées par l’objet en question ou encore à la capacité de l’objet de générer des données en continu et en temps réel (3). Aussi, l’article 5 du Data Act prévoit le droit pour l’utilisateur de partager des données avec des tiers.

Les obligations du détenteur de données
Cependant, afin d’assurer la compétitivité des entreprises en Europe, le texte prévoit, que ce soit au sujet du droit d’accès ou du droit de partage des données par l’utilisateur à des tiers, le respect du secret des affaires par lequel seraient protégées certaines données. Le détenteur de la donnée a ainsi l’obligation de recenser les données ou métadonnées protégées en tant que secret des affaires et de mettre en place des « mesures techniques et organisationnelles proportionnées » nécessaires à la préservation de la confidentialité des données partagées. Le texte prévoit notamment la possibilité d’élaboration de clauses de confidentialité entre le détenteur de données et l’utilisateur et/ou le tiers, ou encore l’adoption de « codes de conduite ».
A défaut d’accord ou si l’utilisateur ou le tiers contrevient aux mesures convenues avec le détenteur du secret des affaires, le détenteur de données peut bloquer ou suspendre le partage des données confidentielles. Il devra alors avertir l’utilisateur ou le tiers concerné et le notifier à l’autorité compétente. De surcroît, même si l’utilisateur ou le tiers respecte les mesures convenues avec le détenteur de données, ce dernier peut démontrer « qu’il est très probable qu’il subisse un préjudice économique grave du fait de la divulgation de secrets d’affaires » et ainsi refuser une demande d’accès pour les données en question en avertissant et en expliquant les raisons précises de sa décision et en le notifiant à l’autorité compétente. La décision du détenteur de données est toutefois susceptible de recours par l’utilisateur ou le tiers devant une juridiction d’un Etat membre et peut aussi être l’objet d’une réclamation auprès de l’autorité compétente. Enfin, l’utilisateur ou le tiers ont l’interdiction de se servir des données obtenues pour concurrencer le produit connecté en question.
L’AI Act : la « synthèse suffisamment détaillée » des données d’entraînement au cœur des interrogations. L’AI Act réalisera en substance le même compromis que le Data Act en ce qui concerne les données d’entraînement qui sont utilisées par les IA pour générer du contenu (4). En effet, le texte prévoit que les fournisseurs d’IA à usage général devront prendre des mesures pour respecter le droit d’auteur, en particulier le droit d’opposition des ayants droit, peu importe la juridiction où l’entraînement a lieu. Ces mêmes fournisseurs devront également, afin d’accroître la transparence sur les données d’entrainement, publier une « synthèse suffisamment détaillée » de ces données. Cette synthèse devra être globalement exhaustive dans sa portée plutôt que techniquement détaillée afin de faciliter aux parties ayant des intérêts légitimes, notamment les ayants-droits, l’exercice de leurs droits. Le texte donne simplement de vagues exemples d’informations fournies au titre de la synthèse détaillée, comme l’énumération des principales collections de données ou les ensembles utilisés pour former le modèle. Les fournisseurs de modèles d’IA gratuits et open source seront exemptés de cette obligation sauf s’ils présent un risque systémique, afin d’inciter leur développement dans la mesure où ils contribuent à la recherche à l’innovation sur le marché et peuvent être des sources de croissance importante pour l’économie de l’UE. Le « Bureau de l’IA » – « AI Office » tel que prévu dans la version consolidée de l’AI Act (5) datée du 21 janvier (6) – devrait entrer en vigueur le 21 février 2024 (7). Il fournira des modèles de synthèses à destination des fournisseurs d’IA concernés et veillera au respect de ces dispositions. La Commission européenne a d’ailleurs, dans une déclaration (8) publiée après l’adoption du texte, réaffirmé le rôle primordial du Bureau de l’IA dans la nouvelle réglementation et dans lequel la France a bien l’intention d’être représentée afin de faire entendre sa voix (9).
Cependant, afin de préserver l’innovation d’une règlementation trop encombrante, l’AI Act prévoit que les rédacteurs de cette synthèse suffisamment détaillée devront prendre en considération le besoin de protéger le secret des affaires et les informations confidentielles. Attention toutefois, à la différence du Data Act, cette mention figure dans les considérants et non pas dans le corps du texte du règlement.
Le Data Act a été pensé pour favoriser l’accès par les petites et moyennes entreprises (PME) à des données pertinentes et leur permettre ainsi d’innover et de rivaliser face à de grandes entreprises qui possèdent déjà une puissance économique considérable sur le marché. C’est précisément pour cette raison que le texte a exclu les entreprises désignées en tant que « contrôleur d’accès » au sens de l’article 3 du DMA (10) du bénéfice de la désignation en tant que « tiers »au sens du Data Act et donc de l’accès aux données issues d’objets connectés et services connexes par le biais du droit de partage de l’utilisateur.

Ménager les PME, éviter les monopoles
Concernant l’AI Act, la Commission européenne a lancé le 24 janvier 2024 des mesures visant à soutenir les jeunes pousses et les PME européennes dans le développement de l’IA (11). Cette volonté se retrouve donc logiquement dans le texte de l’AI Act dont les rédacteurs ont souhaité accélérer l’accès au marché pour les PME en éliminant les obstacles. Le texte entend ainsi permettre des moyens simplifiés de conformité pour les entreprises de plus petite taille et éviter un monopole des plus grandes entreprises dotées d’une grande force de frappe, comme OpenAI. @

* Anne-Marie Pecoraro est avocate spécialisée en droit de la
propriété intellectuelle, des médias et des technologies

Données produites par l’Internet des objets et l’informatique en nuage : ce que dit le Data Act

Publié le par

Le législateur européen poursuit ses travaux en vue de créer un marché unique des données. La dernière avancée en date : le règlement sur les données, dit « Data Act », entré en vigueur le 11 janvier 2024. Il sera applicable à compter du 12 septembre 2025. Tour d’horizon de ses principales dispositions.

européennes en font-elles assez en tant que gendarmes des données personnelles ?Les « Cnil » européennes en font-elles assez en tant que gendarmes des données personnelles ?

Publié le par

Edition Multimédi@ revient sur la Journée de la protection des données (Data Protection Day) qui a été célébrée – comme tous les ans depuis 2007 – le 28 janvier. L’organisation Noyb a publié un sondage montrant, en creux, que les « Cnil » européennes ne contrôlent pas assez le respect du RGPD.

La Journée de la protection des données (Data Protection Day) qui été célébrée – comme tous les ans depuis 2007 (1) – le 28 janvier, est tombée cette année un dimanche. D’où le peu d’intérêt qu’elle a cette fois suscité. Pourtant, cette cause est cruciale pour les vies numériques des presque 404 millions d’internautes de l’Union européenne (UE), laquelle compte 445,8 millions d’Européens (2). Les données personnelles de ces citoyens de l’UE sont censées être protégées par les « gendarmes » des données personnelles justement, à savoir les « Cnil » dans chacun des Vingt-sept.

Les « Cnil » font-elles leur boulot ?
Or les « Cnil » de l’UE, réunies au sein du Comité européen de la protection des données (CEPD/EDPB) aux côtés de la Commission européenne qui participe à leurs réunions (sans droit de vote), n’useraient pas suffisamment de leurs pouvoirs de contrôle et d’enquête pour vérifier que les plateformes numériques et les sites web respectent – entre autres obligations de protection de la vie privée de leurs utilisateurs – le règlement général sur la protection des données (RGPD). C’est ce qui ressort, en creux, d’un vaste sondage mené par l’organisation autrichienne Noyb – « centre européen pour les droits numériques » cofondé à Vienne et dirigé par Max Schrems (photo) – auprès de 1.000 professionnels de la protection des données travaillant dans des entreprises européennes.
Dans les résultats de cette étude sans précédent depuis l’entrée en vigueur du RGPD le 25 mai 2018, il y a plus de cinq ans, il ressort que 74,4 % des professionnels interrogés – de nombreux étant eux-mêmes des DPO (Data Protection Officers), à savoir des délégués à la protection des données dans une entreprise – affirment que « si les autorités de protection des données personnelles [les « Cnil » européennes, ndlr] menaient une enquête sur place dans une entreprise moyenne traitant des données d’utilisateurs, elles trouveraient des “violations pertinentes” ». Autrement dit, la plupart des entreprises, au premier rang desquelles les grandes sociétés, ne respectent pas les obligations du RGPD (3) pour protéger la vie privée des personnes dont elles exploitent les données personnelles. Et, en toute impunité puisque les « Cnil » – les Data Protection Authorities (DPA) – en contrôlent très peu. Les sociétés et organisations sont donc en infraction avec ce règlement européen, lequel prévoit trois types sanctions financières en cas de violation des données personnelles :
Pour les violations des obligations incombant au responsable du traitement et au sous-traitant, des obligations incombant à l’organisme de certification, ou des obligations incombant à l’organisme chargé du suivi des codes de conduite : amendes administratives pouvant s’élever jusqu’à 10 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 2 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu.
Pour les violations aux principes de base d’un traitement, y compris les conditions applicables au consentement, aux droits dont bénéficient les personnes concernées, aux transferts de données à caractère personnel à un destinataire situé dans un pays tiers ou à une organisation internationale, à toutes les obligations découlant du droit des Etats membres, ou au non-respect d’une injonction, d’une limitation temporaire ou définitive du traitement ou de la suspension des flux de données ordonnée par l’autorité de contrôle, ou le fait de ne pas accorder l’accès prévu : amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu. « Le non-respect d’une injonction émise par l’autorité de contrôle [une « Cnil » en Europe, ndlr] fait l’objet d’amendes administratives pouvant s’élever jusqu’à 20 millions d’euros ou, dans le cas d’une entreprise, jusqu’à 4 % du chiffre d’affaires annuel mondial total de l’exercice précédent, le montant le plus élevé étant retenu », prévoit le RDPD (4).

France : seulement 125 agents habilités
Chaque autorité de contrôle des données personnelles est dotée de pouvoirs, sur son territoire, de contrôler l’application du RGPD et de veiller à son respect, ainsi que de pouvoirs d’enquêtes sur l’application de ce même règlement, « y compris sur la base d’informations reçues d’une autre autorité de contrôle ou d’une autre autorité publique » (5). Parmi ses nombreuses attributions en tant que gendarme des données personnelles, la « Cnil » européenne traite aussi « les réclamations introduites par une personne concernée ou par un organisme, une organisation ou une association, […] et informe l’auteur de la réclamation de l’état d’avancement et de l’issue de l’enquête dans un délai raisonnable, notamment si un complément d’enquête ou une coordination avec une autre autorité de contrôle est nécessaire ». Mais les autorités de contrôle des données dans l’UE remplissent-elles bien leur mission de contrôles, d’enquêtes voire de sanctions ? Au vu des constatations de Noyb, le doute s’installe sur leurs capacités à faire respecter la loi, en l’occurrence le RGPD. En France, la Cnil ne dispose que de 125 agents habilités « à procéder à des missions de vérification », d’après sa dernière délibération du 7 décembre 2023 publiée au Journal Officiel (6). Contactée par Edition Multimédi@, la Cnil nous indique qu’elle n’a « pas de commentaires à faire concernant le sondage Noyb ».

Le « soft-law » des DPA jugé inefficace
Le fait que 74,4 % des sondés par Noyb se disent d’accord avec l’affirmation selon laquelle « les autorités de protection des données trouveraient sûrement des violations pertinentes du RGPD » (voir tableau ci-dessous) en disent long sur le peu de contrôles et d’enquêtes qui sont menés sur le terrain. Les « Cnil » sont donc appelées à, en substance, faire vraiment leur travail de vérification en se rendant dans les entreprises. Avec ses 125 agents habilités, la Cnil française semble par exemple presque désarmée – en tant que gendarme des données personnelles – face à l’ampleur de la tâche. Sachant que, rien qu’en France d’après le rapport annuel de la Cnil, présenté par sa présidente Marie-Laure Denis (photo ci-contre) en mai 2023, il y a 89.841 délégués à la protection des données (DPO) susceptibles d’être contrôlés. Cela fait par agent assermenté plus de 700 responsables – de traitement des données personnelles et de la protection de la vie privée – à « vérifier »… Résultat, comme le constate Noyb, « les professionnels évoluent encore dans une culture de non-conformité ou de conformité partielle ». Et le président honoraire de Noyb d’enfoncer le clou : « Il est extrêmement alarmant de constater que 74,4 % des professionnels de la protection des données au sein des entreprises déclarent que les autorités trouveraient en des violations importantes dans une entreprise moyenne. De tels chiffres seraient inimaginables s’il s’agissait de se conformer à la législation fiscale ou à la réglementation en matière de sécurité incendie. La non-conformité ne semble être la norme que lorsqu’il s’agit des données personnelles des utilisateurs » (7). Autre critique à l’égard des « Cnil » et de leur représentation CEPD/EDPB à Bruxelles : les instruments dits de soft-law sont inefficaces, à savoir notamment leurs lignes directrices et recommandations qui n’ont que peu d’influence et sont considérées comme généralistes. D’après l’enquête de Noyb, 70,9 % des personnes interrogées pensent qu’il faudrait des décisions plus claires de la part des gendarmes européens des données personnelles (les vingt-sept DPA) et des tribunaux pour améliorer la conformité. Pour l’écrasante majorité des sondés, il y a « un besoin d’une plus grande implication réellement des DPA pour améliorer la protection de la vie privée des utilisateurs dans la pratique » et il y a encore « beaucoup d’interprétations contradictoires du RGPD ».
Et un avocat néerlandais spécialiste du RGPD de faire remarquer : « Si les Big Tech ne respectent pas le RGPD, pourquoi les petites entreprises se donneraient la peine de se conformer ? ». L’outil d’audit de site web WAT lancé le 29 janvier dernier par le CEPD/EDPB, sous forme de logiciel open source et gratuit (8), devrait permettre aux gendarmes des données et aux éditeurs Internet de vérifier la conformité ou pas de sites web. Reste qu’aujourd’hui le droit à la vie privée et à la protection des données est en grande partie bafoué en Europe, plus de cinq ans après l’entrée en vigueur du RGPD qui devrait en principe faire l’objet d’une révision cette année (9). @

Charles de Laubier