Protection des données : après 5 ans de mise à l’épreuve du RGPD, son réexamen sera le bienvenu

En attendant le réexamen en 2024 du règlement sur la protection des données (RGPD), les entreprises peinent à remplir certaines de leurs obligations, comme celle de transparence envers les utilisateurs, et doivent faire face au détournement du droit d’accès aux données et à la déferlante de l’IA.

Par Sandra Tubert, avocate associée, Algo Avocats

Entré en application le 25 mai 2018, deux ans après son entrée en vigueur afin de laisser aux entreprises le temps nécessaire pour se mettre en conformité, le règlement européen sur la protection des données (RGPD) affichait des objectifs ambitieux (1). La couverture médiatique dont il a fait l’objet a permis de sensibiliser les Européens à la protection de leurs données à caractère personnel, mais également au RGPD de s’imposer comme une référence pour les Etats étrangers ayant adopté une loi similaire. Pour autant, avec un recul d’un peu plus de cinq ans, le RGPD peine à remplir pleinement certains des objectifs fixés.

Internautes concernées mieux informés
Dans la lignée de la directive « Protection des données personnelles » de 1995 qui l’a précédée (2), le RGPD n’a pas choisi la voie de la patrimonialisation des données à caractère personnel. Le législateur européen n’a en effet pas créé de droit à la propriété sur les données à caractère personnel, mais s’est plutôt orienté vers une approche de protection des données permettant aux personnes concernées d’avoir une certaine maîtrise de l’utilisation faite de leurs données à caractère personnel. Deux objectifs principaux ont été associés à cette approche : renforcer la transparence sur les traitements réalisés et fournir des droits supplémentaires aux personnes concernées. C’est ainsi que le RGPD est venu renforcer l’obligation faite aux responsables du traitement de fournir une information détaillée sur les traitements mis en œuvre (3). L’objectif affiché était louable : une transparence accrue afin de permettre aux individus de comprendre en amont l’utilisation envisagée de leurs données par les entreprises et ainsi d’en avoir la maîtrise en leur laissant la possibilité d’effectuer un choix éclairé : refuser la communication de leurs données, s’opposer à certains traitements, ou bien encore donner leur consentement à la réalisation de certaines activités.
En pratique, les entreprises ont l’obligation de fournir l’intégralité des informations prévues par le RGPD de façon concise, transparente, compréhensible et aisément accessible, en utilisant des termes clairs et simples. Or répondre à ces impératifs de manière conforme à ce qui est attendu par les autorités de contrôle – comme la Commission nationale de l’informatique et des libertés (Cnil) en France – est l’une des premières difficultés que cinq ans de pratique du RGPD ont fait émerger. En effet, les organisations ont des difficultés à concilier les exigences de fourniture d’une information exhaustive et très technique – notamment concernant les bases légales du traitement et les garanties fondant les transferts des données hors de l’Union européenne (4) – avec celles de clarté et de concision. Ainsi, au titre des effets pervers de cette obligation de transparence accrue, les citoyens européens font face à des politiques de confidentialité toujours plus longues, rédigées en des termes trop techniques ou trop juridiques. De l’autre côté, les autorités de protection des données n’hésitent pas à sanctionner les manquements à cette obligation, puisque le « défaut d’information des personnes » figure parmi les manquements les plus fréquemment sanctionnés par la Cnil (5).
Cette obligation a été couplée à la fourniture de droits supplémentaires aux personnes, toujours dans une optique de leur offrir une meilleure maîtrise de leurs données. En pratique, le RGPD a repris les droits existants depuis la directive « Protection des données personnelles » (droits d’accès, de rectification, d’opposition), consacré le droit d’effacement (6) et créé de nouveaux droits (droits à la limitation du traitement et à la portabilité des données). La sensibilisation du grand public à l’existence de ces droits, grâce notamment aux actions de la Cnil et au traitement médiatique, ont eu pour effets la réception, par les entreprises, de demandes fondées sur les droits issus du RGPD de plus en plus nombreuses. Par ricochet, les autorités de protection des données ont, elles aussi, vu le nombre de plaintes déposées auprès de leurs services augmenter considérablement (7). Ainsi, la Cnil a reçu 12.193 plaintes en 2022 contre 7.703 en 2016. L’objectif fixé par le RGPD semble donc atteint sur ce point.

Droit d’accès : instrumentalisation
Néanmoins, ces dernières années ont également été témoin du détournement du droit d’accès, aussi bien dans la sphère sociale que commerciale. En effet, les entreprises reçoivent de plus en plus de demandes de droit d’accès dont l’objectif n’est pas de vérifier l’existence et la licéité du traitement des données, mais au contraire de se constituer des preuves dans le cadre d’un précontentieux ou d’un contentieux à l’encontre de l’entreprise. Cette instrumentalisation est parfaitement connue des autorités qui ont toutefois réaffirmé (8) que, dans le cadre de l’évaluation des demandes reçues, le responsable du traitement ne devait pas analyser l’objectif du droit d’accès en tant que condition préalable à l’exercice de ce droit et qu’il ne devait pas refuser l’accès au motif que les données demandées pourraient être utilisées par la personne pour se défendre en justice. Les entreprises n’ont ainsi d’autres choix que de donner suite à ces demandes, en restreignant la nature des données communiquées aux seules données relatives à la personne concernée et en veillant à ne pas porter atteinte aux droits des tiers (9).

Des obligations de sécurité renforcées
La protection des données à caractère personnel passant nécessairement par la sécurité de celles-ci, le RGPD est venu renforcer les obligations à la charge des entreprises au moyen de deux mécanismes assez efficaces : l’obligation pour les responsables du traitement de notifier les violations de données aux autorités de contrôle (10), voire directement aux personnes concernées, respectivement lorsqu’elles présentent des risques ou des risques élevés pour les personnes; l’obligation pour les responsables du traitement et les sous-traitants (11) de mettre en œuvre des mesures de sécurité appropriées aux risques présentés par le traitement.
Il est assez difficile de déterminer si les objectifs de sécurisation des données fixés par le RGPD sont atteints. Néanmoins, dans un contexte où les attaques par rançongiciel (ransomware) se multiplient chaque année (12), les autorités de contrôle sont particulièrement vigilantes quant au respect de ces deux obligations. En témoigne notamment le fait qu’en 2022, un tiers des sanctions prononcées par la Cnil concernait un manquement à l’obligation de sécurité. Ce même manquement a conduit cette dernière à prononcer sa première sanction publique à l’encontre d’un sous-traitant (13), un éditeur de logiciel, pour un montant de 1,5 million d’euros. Elle n’a pas non plus hésité à sanctionner une entreprise qui n’avait pas informé les personnes concernées de la violation de données intervenue, alors qu’elle présentait un risque élevé pour ces dernières.
Sur le respect de l’obligation de notification des violations de données, il est assez difficile de tirer de réels enseignements des chiffres disponibles, même si l’on constate des disparités importantes quant au nombre de notifications de violation de données réalisées chaque jour en fonction des pays. A titre d’exemple, il y a environ 14 notifications par jour en France, contre 27 notifications par jour au Royaume-Uni.
Cette disparité se retrouve également dans le nombre de sanctions prononcées chaque année par les autorités de contrôle et l’approche suivie par ces dernières. Si l’autorité espagnole prononce énormément de sanctions, l’autorité irlandaise est régulièrement épinglée (y compris par ses homologues) pour sa clémence et le peu de sanctions prononcées depuis l’entrée en application du RGPD, alors même qu’elle fait office d’autorité chef de file de la plupart des GAFAM (14). C’est finalement sur ce point que le RGPD peine à convaincre et à remplir pleinement ses objectifs, à savoir inciter les entreprises à se mettre en conformité au moyen d’un arsenal répressif dissuasif. En effet, à l’exception des quelques fortes sanctions (dont la dernière en date de 1,2 milliard d’euros à l’encontre de Meta), prononcées principalement à l’encontre des GAFAM et des géants du Net, les sanctions à l’encontre des sociétés sont moins fréquentes que ce qui était escompté par les associations de protection des données. Et les montants des sanctions financières sont assez éloignés des montants maximums encourus (4 % du chiffre d’affaires mondial consolidé). En France, en dehors des sanctions prononcées à l’encontre des GAFAM (dont beaucoup pour des manquements en matière de cookies, non régulés par le RGPD) et très récemment de Criteo (40 millions d’euros), le montant des sanctions prononcées par la Cnil sur le fondement du RGPD oscille depuis cinq ans entre 125.000 et 3 millions d’euros (15).
L’association Noyb (16), à l’origine de nombreuses sanctions prononcées en Europe au cours des cinq dernières années, dénonce une certaine résistance des autorités de contrôle et des tribunaux nationaux dans l’application effective du RGPD (17). Elle appelle à suivre l’initiative de la Commission européenne d’adopter un règlement sur les règles de procédure relatives à l’application du RGPD (18), ce qui permettrait selon Noyb d’uniformiser l’approche procédurale des autorités et ainsi de favoriser une meilleure application du RGPD.
Par ailleurs, si les entreprises ont pu craindre la multiplication des actions de groupe en matière de protection des données, cette modalité d’action est à l’heure actuelle peu utilisée par les associations de protection des données. En France, seulement deux actions de groupe ont été portées devant les juridictions : l’ONG Internet Society France contre Facebook et l’association UFC-Que-Choisir contre Google. Ce qui pourrait changer au regard des dernières annonces faites par Noyb suite à l’entrée en application des dispositions issues de la directive « Recours collectifs » de 2020 (19).

Vers un réexamen du RGPD en 2024
Enfin, le paysage législatif européen pourrait également avoir un impact sur l’application du RGPD. En effet, plusieurs textes européens adoptés récemment (DSA, DGA) ou en cours d’adoption (DA, AIA) ont des champs d’application recoupant celui du RGPD, ce qui va notamment nécessiter de veiller à garantir leurs bonnes articulations. A cette occasion, ou au titre de l’article 97 du RGPD (réexamen tous les 4 ans à compter du 25 mai 2020), il serait souhaitable de voir le législateur européen adresser certaines des difficultés rencontrées par les entreprises dans la mise en application pratique du RGPD. @

Le paiement sur facture opérateur est de plus en plus une alternative aux GAFAM… qui le proposent

Les opérateurs télécoms en France sont à la fois en concurrence avec les géants du Net et leurs moyens de paiements en ligne, mais aussi partenaires avec certains (Google, Apple, Microsoft, …) qui proposent aussi le paiement sur facture opérateur. Le streaming booste ce marché.

« Apple, Blizzard, Google Play, Microsoft Store et Sony Playstation offrent l’option “facture opérateur” comme un moyen de paiement à part entière aux côtés de la carte bancaire, du porte-monnaie électronique ou du prélèvement. Cette solution de paiement connaît un succès toujours croissant du fait de son caractère pratique et sécurisant », s’est félicitée le 15 juin l’Association française pour le développement des services et usages multimédias multi-opérateurs (AF2M).

Streaming et Store : moitié des dépenses
Ainsi, des géants du Net contribuent à la croissance du marché français du paiement sur facture opérateur qui peut être « une alternative à des solutions proposées par les GAFA » ainsi qu’à des acteurs historiques du e-paiement. « Le paiement sur facture opérateur permet de régler ses achats sans communiquer ses coordonnées bancaires ou créer de moyen de paiement en ligne tel que PayPal », souligne l’AF2M (1). De grandes plateformes de streaming et de grands éditeurs ajoutent ainsi la possibilité complémentaire pour leurs utilisateurs d’être facturés directement par leur opérateur télécoms. Pour cela, ils recourent aux solutions dites de Direct Carrier Billing (DBC) ou de « Store OTT » proposés par ces derniers. La progression de ce segment de marché, appelé « Stores et DCB » par l’AF2M et porté par le streaming, est telle qu’il pèse en 2022 quasiment la moitié du total des dépenses effectuées par les utilisateurs facturés par les opérateurs télécoms : 49 %, soit 285,6 millions d’euros l’an dernier (voir le tableau ci-contre). Sur cinq ans, le « Stores et DCB » a même fait un bond de 220 %, l’AF2M précisant qu’« avant 2017, le montant global dépensé par les utilisateurs des solutions de paiement Store/streaming était intégré à la solution de paiement Internet+ ». Cela explique en partie qu’« Internet+ Mobile » et « Internet+Box » aient baissé significativement en 2018 et 2019. Depuis, « Internet+ Mobile », porté par les smarphones, a repris de l’embonpoint pour représenter 26,8 % des dépenses sur facture opérateur en 2022 (156,4 millions d’euros, + 8,4 %). En revanche, « Internet+Box » ne s’est pas redressé et ne pèse que 4,3 % du total l’an dernier (25,1 millions d’euros, – 10,6 %). Quant au SMS+, il fait de la résistance en étant le troisième mode de paiement sur facture opérateur : en hausse de 3,5 % sur un an, 79,7 millions d’euros. « Les solutions SMS+ permettent de participer à des jeuxconcours ou de voter par SMS, ce segment ayant été porté par la Coupe du monde de football 2022, qui a généré un fort engouement pour les votes et les pronostics », relève l’AF2M.
Au-delà de ces SMS+, il y a aussi les « autres usages SMS » (collecte de dons, achat de tickets de transport, ou règlement de tickets de stationnement/ parking) qui ont fait un bond de 78 % sur un an, à 35,6 millions d’euros. « Avec l’élan de générosité suscité par la guerre en Ukraine, les dons par SMS ont connu une forte croissance », indique l’AF2M. Au global, l’Observatoire du paiement sur facture opérateur – réalisé sous la responsabilité de Fayçal Kaddour (photo) – montre dans sa 6e édition que le marché français totalise 582,4 millions d’euros de dépenses effectuées par les utilisateurs. Sur un an, cela correspond à une hausse de 7,8 %. L’association présidée par Renan Abgrall (Bouygues Telecom), réélu le 20 juin pour un second mandat de deux ans, a été rejoint en mars 2021 par Free. La filiale du groupe Iliad n’avait pas été un des cofondateurs de l’AF2M (ex-AFMM) en 2005 aux côtés d’Orange, de Bouygues Telecom et de SFR ainsi que les associations Acsel et Geste. Euro-Information Telecom (2) en est membre mais le MVNO (3) a été a racheté fin 2020 par Bouygues Telecom. Sont aussi membres de l’AF2M : A6 Telecom (Skyweb, racheté par VoIP Telecom), Worldline (ex-filiale d’Atos), Colt, Digital Virgo, Odigo (Odilink) et Remmedia. @

Charles de Laubier

Les géants de l’Internet sont pris en étaux entre Margrethe Vestager et Lina Khan : le démantèlement ?

La Danoise Margrethe Vestager est vice-présidente exécutive de la Commission européenne, chargée de la concurrence ; L’Américaine Lina Khan est présidente de la Federal Trade Commission (FTC). Ces deux femmes de l' »antitrust », de part et d’autre de l’Atlantique, sont les bêtes noires des GAFAM.

Elles sont redoutées par les Big Tech en général et par les GAFAM en particulier. Les abus de positions dominantes de ces géants du numérique, devenus des conglomérats de l’Internet à force d’effets de réseaux et d’acquisitions de concurrents potentiels, sont plus que jamais dans leur collimateur. Margrethe Vestager (photo de gauche) et Lina Khan (photo de droite) – respectivement vice-présidente exécutive chargée depuis novembre 2014 de la politique de concurrence à la Commission européenne, et présidente depuis septembre 2021 de la Federal Trade Commission (FTC) – leur mènent la vie (numérique) dure. Derniers faits d’armes de ces deux autorités « antitrust » : la Danoise a annoncé le 14 juin que la Commission européenne venait d’adresser à Google des griefs l’accusant de pratiques abusives sur le marché de la publicité en ligne ; l’Américaine a demandé le 12 juin devant un tribunal fédéral de San Francisco de suspendre l’acquisition de l’éditeur de jeux vidéo Activision Blizzard par Microsoft, opération à laquelle s’oppose la FTC qui a fixé une audition le 2 août prochain. Vis-à-vis des très grands acteurs du numérique, les deux grandes gendarmes de la concurrence n’hésitent pas aussi à agiter le spectre du démantèlement, qui est au marché ce que l’arme nucléaire est à la guerre. La FTC et la Commission européenne ont en outre déjà sorti le carton rouge et infligé des amendes aux contrevenants.

Deux gendarmes antitrust face aux GAFAM
Le démantèlement, Margrethe Vestager l’a encore évoqué explicitement le 14 juin mais sans utiliser le terme : « La Commission européenne estime donc à titre préliminaire que seule la cession [divestment] obligatoire, par Google, d’une partie de ses services permettrait d’écarter ses préoccupations en matière de concurrence ». Dans cette affaire d’abus de position dominante de Google sur le marché de la publicité en ligne, où l’Autorité de la concurrence en France a fortement contribué à l’enquête européenne (1), il est reproché à la firme de Mountain View de « favoriser ses propres services de technologies d’affichage publicitaire en ligne au détriment de prestataires de services de technologie publicitaire, d’annonceurs et d’éditeurs en ligne concurrents ». Et ce, « depuis 2014 au moins ». Le numéro un des moteurs de recherche (avec Google Search), des plateformes de partage vidéo (avec YouTube) ou encore des systèmes d’exploitation pour mobile (avec Android) est accusé par la Commission européenne de favoriser son ad-exchange AdX (DoubleClick Ad Exchange), bourse d’annonces publicitaires qui permet aux éditeurs et aux annonceurs de se rencontrer en temps réel, généralement dans le cadre d’enchères, pour acheter et vendre des publicités d’affichage.

Scinder Google, Meta, Amazon ou Microsoft ?
Les deux outils de Google d’achat de publicités, que son « Google Ads » (ex-Google Adwords) et « Display & Video 360 » (DV360), ainsi que le serveur publicitaire des éditeurs « DoubleClick For Publishers » (DFP), favorisent tous les trois AdX. « Si [à l’issu de son enquête en cours, ndlr] la Commission européenne conclut que Google a agi de façon illégale, il pourrait exiger qu’elle se départisse [divest] d’une partie de ses services. Par exemple, Google pourrait se départir de ses outils de vente, DFP et AdX. Ainsi, nous mettrions fin aux conflits d’intérêts », a prévenu Margrethe Vestager (2). Ce n’est pas la première fois que l’Union européenne agite le spectre du démantèlement Google. Le 27 novembre 2014, il y a près de dix ans, les eurodéputés avait adopté une résolution non contraignante appelant à la scission de la filiale d’Alphabet afin de « séparer les moteurs de recherche des autres services commerciaux » pour préserver la concurrence dans ce domaine (3). En France, l’Arcep y était favorable (4). Rappelons qu’en moins d’un an (juin 2017-mars 2019), Google a écopé de trois sanctions financières infligées par la Commission européenne pour un total de 8,25 milliards d’euros pour « pratiques concurrentielles illégales » (5).
Aux Etats-Unis, pays des GAFAM, la question du démantèlement se pose depuis quelques années, bien avant l’arrivée de Lina Khan à la tête de la FTC qui n’écarte pas cette éventualité (6). Son prédécesseur, Joseph Simons, avait même fait le mea culpa de la FTC : « Nous avons fait une erreur », avait-il confessé dans un entretien à l’agence de presse Bloomberg (7) le 13 août 2019 en faisant référence à deux acquisitions de Facebook approuvées par la FTC : Instagram en 2012 pour 1 milliard de dollars et la messagerie instantanée WhatsApp en 2014 pour 19 milliards de dollars (sans parler d’Oculus VR racheté la même année pour 2 milliards de dollars). De son côté, Google obtenait le feu vert pour s’emparer de YouTube en 2006 pour 1,65 milliard de dollars, de DoubleClick en 2007 pour 3,1 milliards de dollars, et de l’application de navigation Waze en 2013 pour près de 1 milliard de dollars. « Ce n’est pas idéal parce que c’est très compliqué [de démanteler]. Mais s’il le faut, il faut le faire », avait estimé l’ancien président de la FTC. Sa successeure, Lina Khan, dont le mandat de trois s’achève en septembre 2024, est sur la même longueur d’ondes, elle qui a forgé tout sa doctrine anti-monopole sur le cas d’Amazon. N’a-t-elle pas publié en 2017 dans le Yale Law Journal un article intitulé « Paradoxe anti-monopole d’Amazon » (8) ? Avant de prendre la présidence de la FTC, elle avait travaillé à la sous-commission antitrust à la Chambre des représentants des EtatsUnis. Cette « subcommittee on antitrust » bipartisane avait publié en octobre un rapport de 451 pages intitulé « Investigation of competition in the Digital markets » (9) recommandant au Congrès américain de légiférer pour casser les monopoles numériques – quitte à en passer par leur « séparation structurelle » ou spin-off (10). En janvier dernier, le département de la Justice américain (DoJ) a entamé des poursuites antitrust contre Google sur le terrain de la publicité en ligne (11). Bien sûr, la filiale d’Alphabet n’est pas le seul géant du Net à faire l’objet de contentieux avec la Commission européenne et la FTC. Apple est aussi dans le collimateur de Margrethe Vestager, notamment sur les pratiques de la pomme sur son App Store à la suite d’une plainte de du géant de la musique en streaming Spotify qui s’estime victime d’une concurrence déloyale au profit d’Apple Music. La Commission européenne a ajusté le 28 février dernier ses griefs (12). L’an dernier, elle avait ouvert une autre enquête portant cette fois sur Apple Pay pour « abus de position dominante » sur le paiement mobile et le paiement sans contact (NFC) à partir des terminaux iOS (13).
De son côté, le groupe Meta Platforms – maison mère de Facebook, Instagram et WhatsApp – s’est vu infliger le 12 mai 2023, pour infraction au règlement général sur la protection des données (RGPD), une amende record de 1,2 milliard de la part de la « Cnil » irlandaise (DPC) qui agissait au nom de la Commission européenne (14). Amazon, lui, l’a échappé belle en trouvant un accord en décembre 2022 avec Margrethe Vestager pour clore deux enquêtes. Le géant du e-commerce avait jusqu’à ce mois de juin 2023 pour se mettre en règle (15). Plus globalement, la Commission européenne a publié la liste des 19 « très grandes plateformes » (VLOP), qui, en Europe (16), seront soumises aux obligations renforcées du Digital Services Act (DSA). Les « contrôleurs d’accès » (gatekeepers) de type GAFAM ont, eux, jusqu’au 3 juillet prochain pour se déclarer auprès de la Commission européenne, laquelle les désignera d’ici le 6 septembre pour qu’ils se mettent en conformité avec Digital Markets Act (DMA) avant le 6 mars 2024.

Aux Etats-Unis, des acquisitions contestées
De l’autre côté de l’Atlantique, Lina Khan s’oppose aux projets de rachat d’Activision Blizzard par Microsoft (la FTC ayant saisi la justice pour bloquer l’opération), et de Within (contenu de réalité virtuelle) par Meta/Facebook. Elle a mis sous surveillance Amazon sur plusieurs fronts, infligeant notamment le 31 mai une amende au géant du ecommerce pour atteinte à la vie privé avec Alexa et Ring. Concernant le rachat des studios de cinéma MGM par Amazon, la FTC était divisée et n’a donc pas empêché cette opération au grand dam de Lina Khan. Apple est aussi accusé d’empêcher la réparation de ses iPhone. Ce que l’on sait moins, c’est que Margrethe Vestager et Lina Khan coopèrent étroitement sur de nombreux dossiers antitrust. @

Charles de Laubier

Revenus en hausse mais investissements en baisse : les opérateurs télécoms en font-ils assez ?

Les revenus 2022 des opérateurs télécoms en France sont en hausse, à plus de 45,8 milliards d’euros HT (+1,6 %). En revanche, leurs investissements sont en baisse, à 14,6 milliards d’euros (-1,8 %). Ce qui semble paradoxal avant la prochaine fermeture du réseau de cuivre.

Saviez-vous que les opérateurs télécoms en France ont dépassé en 2022 la barre des 45 milliards d’euros de chiffre d’affaires ? Soit une hausse globale annuelle de 1,6 %, à précisément plus de 45,8 milliards d’euros, selon les calculs de Edition Multimédi@. Ce montant comprend à la fois le marché auprès du client final (plus de 36,7 milliards d’euros) et le marché auprès des opérateurs (plus de 9 milliards d’euros). Tandis que, toujours l’an dernier, les investissements consentis par ces mêmes opérateurs télécoms en France ont reculé de 1,8 %, à 14,6 milliards d’euros (hors achats de fréquences).

Plan France THD et New Deal mobile
C’est à se demander si les « telcos » ne relâchent pas leurs efforts d’investissements dans les déploiements des réseaux très haut débit fixe (fibre) et mobile (4G/5G) qui sont pourtant indispensables à l’aménagement numérique des territoires et à la lutte contre la fracture numérique. D’autant que le plan France Très haut débit, qui aura coûté près de 35 milliards d’euros, dont 65 % pris en charge par le secteur privé, 25 % par les collectivités territoriales et 10 % par l’Etat (1), est dans la dernière ligne droite de son objectif gouvernemental qui est de « généraliser la fibre optique en 2025 » en termes de prises raccordables. Le temps presse d’autant plus que la fibre optique est censée remplacer le réseau de cuivre (les paires de cuivre téléphoniques sur lesquelles passent le haut débit ADSL et le très haut débit VDSL2). Car l’opérateur télécoms historique Orange a déjà annoncé à tous ses concurrents, Bouygues Telecom, Free et SFR en tête, que la fermeture commerciale nationale de ce réseau de cuivre interviendra le 31 janvier 2026, avec la fin du plan de fermeture prévue en 2030. Il y a déjà sept communes où le réseau de cuivre a été définitivement fermé. L’Arcep indique qu’une nouvelle expérimentation d’extinction en zone très dense vient d’être lancée à Vanves (dans les Hauts-de-Seine en région parisienne et dans le centre-ville de Rennes (Ille-et-Vilaine en Bretagne).
Le compte-à-rebours se poursuit. Or, d’après les relevés de l’Arcep au 31 décembre 2022, il restait encore sur tout le territoire 23,2 % des locaux – particuliers et entreprises confondus – à rendre raccordables à la fibre optique comme le sont les 76,8 % (voir tableau ci-dessous) – dont 53,8 % de ces prises FTTH ont trouvé « preneur » au 31 mars dernier, à savoir un peu plus de 19 millions d’abonnés à la fibre de bout en bout sur près de 35,3 millions de fibres optiques raccordables. Les opérateurs télécoms parviendront-ils au « 100 % fibre » avant l’échéance de dans un an et demi ? « Les déploiements vont vite et bien, et surtout en zones rurales. On a quand même des points d’attention dans certaines villes moyennes, comme Les Sablesd’Olonne, La Roche-sur-Yon et d’autres communes qui sont en-dessous de la moyenne nationale. J’invite les opérateurs – en particulier Orange – à poursuivre vraiment les déploiements dans ces zones-là. Puisque les opérateurs ont souscrit des engagements, vis-à-vis du gouvernement, à couvrir ces zones. (…) Orange a choisi à partir de l’année dernière de ralentir ses déploiements de fibre optique dans les zones les plus rurales. Nous l’avons mis en demeure de finir ses déploiements dans ces zones. L’instruction est en cours (2) », a indiqué le 25 mai la présidente de l’Arcep, Laure de La Raudière (photo), sur BFM Business. Le lendemain, l’ancienne députée a fait un déplacement à Marseille et à Septèmes-les-Vallons (Bouches-du-Rhône) pour y constater les retards et dysfonctionnement dans les raccordements à la fibre jusque dans les zones très denses. « Marseille a une couverture globale de 79 % du nombre de locaux, inférieure à la moyenne nationale (91 %). Les opérateurs privés ne déploient pas suffisamment », a-t-elle pointé dans son interview à La Provence parue le jour même. Laure de La Raudière (« LDLR »), qui a fait de la qualité des réseaux fibre une de ses premières priorités, rappelle d’ailleurs régulièrement, et à nouveau le 25 mai dernier, qu’« [elle a] du mal à dire que le plan France Très haut débit est une vraie réussite, étant donné ces problèmes de qualité de service sur les réseaux fibre » (3). Il y a aussi parallèlement la finalisation des engagements de Bouygues Telecom, Free Mobile, Orange et SFR dans le « New Deal mobile » pour atteindre 100 % du territoire en 4G, y compris pour résorber les « zones blanches centres-bourgs » dont il reste encore plus de 4 % à couvrir (4). Sans parler du déploiement de la 5G dans les zones un peu plus denses pour désaturer les réseaux 4G.

Investissements : fixe en recul, mobile en hausse
A l’heure où des retards dans les déploiements des infrastructures numériques et des dysfonctionnements voire des malfaçons dans les raccordements à la fibre préoccupent les élus locaux et leurs administrés, le recul des investissements des opérateurs télécoms semble pour le moins malvenu. Et ce, au moment où la proposition de loi « Assurer la qualité et la pérennité des raccordements aux réseaux de communications électroniques à très haut débit en fibre optique » (5) a été adoptée à l’unanimité au Sénat le 2 mai et va être débattue à l’Assemblée nationale. Même si ce reflux a été léger l’an dernier (- 1,8 %, à 14,6 milliards d’euros hors achats de fréquences, – 6,4 % avec), il s’avère plus prononcé (- 9,8 %) par rapport à 2020 (avec achats de fréquences), pourtant la première année impactée par la crise sanitaire. D’autant que si les investissements dans les réseaux mobiles (hors redevances pour fréquences mobiles) ont, eux, augmenté de 5,5 %, à 3,8milliards d’euros en 2022, il n’en va pas de même pour les réseaux fixe qui accusent pour leur part une baisse de 4,4 %, à 10,8 milliards d’euros, toujours l’an dernier (voir tableau ci-dessous). L’après-covid 19 n’a donc pas renversé la tendance baissière, bien que légère, les investissements restant « à un niveau élevé » ou « massifs » (dixit LDLR). Alors que dans le même temps, le chiffre d’affaires global des opérateurs télécoms a augmenté en 2022 de 1,6 %, à précisément plus de 45,8 milliards d’euros hors taxes.

Revenus mobiles : hausse de 4,6 % en un an
Le marché de détail (pour le client final) a contribué à ces revenus pour plus de 36,7 milliards d’euros, en hausse de 1,8 % sur un an. Tandis que le marché entre opérateurs (interconnexion, accès et itinérance) a contribué pour sa part à plus de 9 milliards d’euros, en hausse de 0,8 %. La plus grosse source de revenus l’an dernier pour les opérateurs télécoms réside dans les services mobiles aux clients finaux (marché de détail, y compris les recettes MtoM), à hauteur de 14,7 milliards d’euros (+ 4,5 % sur un an), auxquels s’ajoutent les revenus liés à la vente de terminaux mobiles, à hauteur de près de 3,5 milliards d’euros (+ 5,1 %).
Au total, selon les calculs de Edition Multimédi@, le chiffre d’affaires mobile des opérateurs télécoms en France dépasse les 18,2 milliards d’euros en 2022, en belle hausse de 4,6 % sur un an. Quant aux services fixes, cette fois, ils constituent toutes catégories confondues la toute première source de revenu des opérateurs télécoms, à hauteur de plus de 16,5 milliards d’euros en 2022, quasiment stables (- 0,3 %). Le FTTH et la 5G permettent d’ores et déjà aux « telcos » d’accroître leurs revenus fixe et mobile (6). Sans parler du projet des opérateurs de réseaux de faire payer les GAFAM une taxe – une « compensation directe » ou fair share (7) – pour pouvoir utiliser leurs réseaux. Mais là, c’est une tout autre histoire. @

Charles de Laubier

Avec Numspot et Synfonium, l’Etat français – via la CDC – veut damer le pion à Google, Microsoft et Amazon

La Caisse des dépôts (CDC), le bras armé financier de l’Etat français, rêve de faire émerger un « Google français » en Europe. Cette reconquête numérique passe par des fonds publics injectés via la Banque des Territoires et Bpifrance, notamment dans deux futurs « champions européens » : Numspot et Synfonium.

La Caisse des dépôts et consignations (CDC), que dirige depuis plus de cinq ans maintenant Eric Lombard (photo), est une vieille institution financière publique qui aura 207 ans le 28 avril (1). Elle est devenue le bras armé de l’Etat français pour investir dans les entreprises et les territoires (2), y compris dans les infrastructures électroniques – de la téléphonie dès 1889 au numérique à partir de l’année 2000. La CDC finance les espaces publics numériques dans les territoires, les espaces numériques de travail dans les établissements scolaires, l’aménagement numérique des territoires pour garantir l’inclusion numérique, ou encore les services numériques de confiance via des projets de « cloud souverain ».
Les premiers investissements de l’Etat français dans le cloud justement remontent au début des années 2010 et l’ont été en pure perte après les échecs cuisants de Cloudwatt d’Orange et Thalès, d’une part, et de Numergy de SFR et Bull, d’autre part. A l’époque, le gouvernement avait ignoré un nouvel entrant dans le cloud venu du Nord de la France : la société OVH créée à Roubaix par le Français d’origine polonaise Octave Klaba. Dix ans après, il en va tout autrement puisque la Banque des Territoires – créée en 2018 en tant que filiale d’investissement de la CDC – a annoncé le 11 avril dernier avec Octave Klaba un partenariat pour créer la société Synfonium dans laquelle la CDC participera à hauteur de 25 % du capital.

Créer des « champions européens du cloud »
Objectif : « la construction d’un champion européen des services basés sur le cloud ». Rien de moins. « Après avoir investi dans Qwant pour soutenir la croissance d’un moteur de recherche européen respectueux de la vie privée, la Caisse des dépôts s’associe avec un acteur majeur de la tech avec pour ambition de contribuer à l’émergence d’une plateforme européenne grand public, ouverte et sécurisée, proposant divers services collaboratifs et logiciels dans le cloud », a déclaré Antoine Troesch, directeur de l’investissement de la Banque des Territoires. L’Etat français a déjà la tête dans les nuages informatiques, avec notamment un autre projet de « champion européen du cloud » baptisé Numspot, dont la société éponyme – « 100 % française » – a été créée officiellement le 27 janvier dernier et dotée d’un capital de 50 millions d’euros avec la Banque des Territoires (26 %), Docaposte/La Poste (26 %), Dassault Systèmes (19 %) et Bouygues Telecom (19 %).

Faire oublier Cloudwatt et Numergy
Le Plan d’investissement France 2030 soutient ce projet de « cloud souverain » depuis son annonce en octobre dernier sous l’égide de Bruno Le Maire, ministre de l’Economie, des Finances et de la Souveraineté industrielle et numérique, et de Jean-Noël Barrot ministre délégué chargé de la Transition et des Télécommunications. Mais, selon les informations de Edition Multimédi@, l’offre de « cloud de confiance » (basée sur la technologie Outscale de Dassault Systèmes bénéficiant déjà du label de sécurité SecNumCloud) et d’« identité numérique sécurisée » ne sera pas disponible mi-2023, comme cela était prévu, mais à la fin de l’année. L’équipe dirigeante de Numspot vient tout juste de se mettre en place, depuis février, avec Alain Issarni, un ingénieur aéronautique – les nuages, il connaît ! – comme président. Ce polytechnicien est l’ancien DSI (3) de la Caisse nationale de l’assurance maladie (Cnam), après avoir été DSI de la Direction générale des finances publiques (DGFIP). Il est épaulé par Xavier Vaccari, un ingénieur centralien Supélec qui était le directeur de la stratégie cloud de Docapost au sein du groupe La Poste détenu à 66 % par la CDC. Docapost a d’ailleurs été désigné comme le « chef de file »de Numspot. Son ambition est d’être en outre une plateforme technologique souveraine (PaaS) proposant des solutions logicielles et des services (SaaS). C’est dans le même état d’esprit « souverain » que Synfonium va être créé sous la forme de plateforme de cloud (PaaS/SaaS) accessible cette fois non seulement aux entreprises mais aussi directement aux consommateurs : « un accès transparent aux meilleurs services de collaboration européens basés sur le cloud, y compris le remote computing,le stockage sur le cloud, les fonctions de moteur de recherche, de vidéoconférence, et bien d’autres applications ».
Octave Klaba, président du conseil d’administration et fondateur de l’ex-licorne française OVH côtée en Bourse depuis octobre 2021 (4), et son frère Miroslaw Klaba, directeur R&D d’OVH, seront ensemble coactionnaires de Synfonium à hauteur de 75 % du capital – aux côtés donc des 25 % de la CDC. Les deux frères de Roubaix intègreront dans Synfonium les services d’ordinateur et de stockage virtuels de leur société Shadow qu’ils avaient acquise en 2021 via leur fonds respectif Jezby Ventures et Deep Code. Pour le moteur de recherche proposé par Synfonium, ce sera le franco-allemand Qwant qui vient d’avoir dix ans et qui est cofinancé par la Caisse des Dépôts, encore elle, et le groupe allemand Axel Springer, ainsi que par la Banque européenne d’investissement (5). « Des négociations exclusives sont actuellement en cours, ainsi qu’une analyse des récentes évolutions des conditions financières de son partenariat avec Microsoft », a expliqué la CDC à propos de Qwant qui reste encore dépendant de l’index Bing de Microsoft et de sa régie publicitaire Bing Ads. Synfonium prévoit en outre des acquisitions, des développements et des partenariats pour étoffer son bouquet de services dans le cloud, en s’appuyant aussi sur « les communautés de logiciels libres ». Avec Synfonium en cours de constitution et Numspot sur les starting-blocks, l’objectif affiché de Bercy est que « l’ensemble des administrations et des entreprises » – et « prioritairement » les acteurs économiques et institutionnels français (Etat, collectivités locales, opérateurs télécoms, banques, assurances, hôpitaux, …) – se saisissent des « offres souveraines », afin de « protéger les données les plus sensibles ». Or ce n’est pas gagné. Par exemple, selon l’observatoire Data Publica, à peine 7% des collectivités utiliseraient une offre de cloud pour stocker leurs données et applications (6).
A travers ces « cloud souverains » franco-français aux ambitions européennes, ce sont bien les GAFAM qui sont implicitement dans la ligne de mire de l’Etat afin de conquérir une part de souveraineté perdue. Le discours de l’Etat français n’est plus de créer un rival européen de Google (7) – comme cela avait pu être prétendu lors du lancement de Qwant (contraction de « Quantity » et « Want ») entre 2013 et, avec Emmanuel Macron à l’Elysée (8), en 2015 – ni même d’être un « AWS français » en référence à la filiale d’Amazon, numéro un mondial du cloud. Néanmoins, l’Etat et son bras armé de la rue de Lille (Paris) ne cachent pas qu’ils nourrissent de grands espoirs de reconquête du numérique avec leurs futurs « champions européens » du cloud multiservice dans une Europe devenue « colonie numérique » des géants américains du Net. Rien que le volet « cloud » du plan d’investissement « France 2030 », lequel a été lancé en octobre 2021 par Emmanuel Macron, est doté de 667 millions d’euros fléchés en particulier « vers des acteurs émergents, PME et start-up ». Suffisant face à Amazon Web Services (AWS), Microsoft Azure et Google Cloud ?

Education nationale : ni Google ni Microsoft
Le 6 avril dernier, Bercy a renforcé l’offre de « cloud de confiance » en sélectionnant – après appels à projets lancés par la banque publique Bpifrance, détenue à parts égales par l’Etat et la CDC – 39 projets, dont Wimi, Jamespot et Interstis dans la catégorie « suites bureautiques collaboratives cloud » ou encore Cleyrop, Dawex et Xwiki pour l’obtention du visa SecNumCloud par l’Anssi (9). « Il s’agit bien de proposer une alternative crédible aux suites Microsoft 365 et Google Workspace », dit clairement la Banque des Territoires dans son quotidien Localtis (10) destiné aux collectivités, lesquelles doivent depuis fin 2022 « renoncer aux offres gratuites de Microsoft Office et Google dans les établissements scolaires ». @

Charles de Laubier