Archives par mot-clé : Géants du Net

Google Analytics, outil de mesure d’audience le plus utilisé au monde : toujours illégal en Europe ?

Publié le par

Il y a un an, la Cnil mettait en demeure une première société française éditrice d’un site web utilisant Google Analytics, jugé incompatible avec le RGPD quant au transfert des données vers les Etats-Unis. Deux autres sociétés ont été aussi épinglées sur les 101 plaintes de l’association Noyb.

Il y a plus de trois mois, Russell Ketchum (photo de gauche), directeur de Google Analytics, confirmait qu’Universal Analytics sera remplacé 1er juillet 2023 par la version 4 de Google Analytics (GA4), tandis qu’« Universal Analytics 360 » sera, lui, finalement prolongé jusqu’au 1er juillet 2024 (1), soit au-delà du 1er octobre 2023 initialement prévu (2). Quésaco ? Universal Analytics est la version basique et gratuite de l’outil de mesure d’audience le plus utilisé au monde par des sites web et des applications mobiles.

Le transfert des données vers les USA
Google Analytics détient en effet 86,1 % de parts de marché au 7 février 2023 en étant utilisé par 56,5 % de tous les sites web, selon W3Techs, suivi par Facebook Pixel et de bien d’autres analyseurs de trafic (3). « Universal Analytics 360 » est, elle, la version premium payante de Google Analytics destinée principalement aux grandes entreprises. Edition Multimédi@ a demandé à Google si GA4 répondait aux préoccupations des Européens sur la protection de leur vie privée, conformément au règlement général sur la protection des données (RGPD), et notamment aux mises en demeure prononcées par la Cnil en décembre 2021 et en décembre 2022 ? « Nous avons en effet récemment introduit de nouvelles fonctionnalités pour Google Analytics 4 qui permettent par exemple aux sites web de ne pas enregistrer ni stocker les adresses IP via GA4, ou encore de minimiser les données collectées concernant l’utilisateur, ce qui peut ainsi aider à répondre aux préoccupations d’identification des utilisateurs. Cependant, le véritable problème au cœur de tout cela reste les transferts de données entre l’Union européenne et les Etats-Unis qui manquent d’un cadre juridique stable pour les entreprises européennes et américaines », nous a répondu le géant du Net. Et d’ajouter : « Nous considérons que l’Executive Order récent[d’octobre 2022, ndlr] de la Maison Blanche est une étape importante dans ce travail » (4). De quoi rassurer les éditeurs de sites web et d’applis mobiles utilisant Google Analytics et les « Cnil » en Europe qui les surveillent voire les sanctionnent ? Rien n’est moins sûr. Il y a un an en France, le 10 février 2022, la Cnil mettait en demeure la toute première société pour non-respect du RGPD pour l’utilisation de Google Analytics pour mesurer son audience web (5). La Cnil considère implicitement que Google Analytics est ni plus ni moins illégal au regard du RGPD pour deux motifs principaux : les mesures mises en place par Google ne sont pas suffisantes pour exclure la possibilité d’un accès aux données de résidents européens ; les données des internautes européens sont donc transférées illégalement vers les Etats-Unis par le biais de ce même outil. Cette première décision de la Cnil a été publiée il y a un an, mais de façon anonymisée, pour l’exemple (6). Mais il s’agit de l’une des trois sociétés françaises utilisant Google Analytics contre lesquelles l’organisation autrichienne Noyb dirigée par Max Schrems (photo de droite) avait déposé plaintes – parmi un total de 101 plaintes (7) déposées en août 2020 – auprès des « Cnil » européennes, dénonçant des transferts illégaux de données à caractère personnel vers les Etats-Unis.
La Cnil en France avait ainsi été destinataire de trois plaintes à l’encontre de respectivement Decathlon, Auchan et Sephora. Parallèlement, concernant cette fois l’outil Facebook Connect, la Cnil était aussi saisie de trois autres plaintes à l’encontre de Free Mobile, Leroy Merlin et Le Huffington Post. Après sa première décision concernant Google Analytics, la Cnil mettra également en demeure les deux autres sites web mis en cause (parmi Decathlon, Auchan et Sephora). Ce dont se félicitera à nouveau la Noyb le 5 avril 2022 dans un communiqué où sont mises en ligne les deux autres décisions de la Cnil, là aussi anonymisées (8). Ces trois sociétés disposaient d’un délai d’un mois – renouvelable à leur demande – pour se mettre en conformité et justifier cette conformité auprès de la Cnil.
Mais la Cnil n’a pas été la première à épingler les éditeurs de services en ligne qui utilisent Google Analytics. Son homologue autrichienne – la Datenschutzbehörde (DSB) – avait ouvert la voie deux semaines avant dans une décision inédite datée du 22 décembre 2021 et considérée comme « révolutionnaire » par la Noyb (9).

L’Italie, la Grèce mais pas l’Espagne
Ce fut la première fois en Europe que l’utilisation de Google Analytics est considérée comme une violation du RGPD. D’autres décisions ont été prises par d’autres autorités en Europe – la Grèce par décision de l’APD de janvier 2022 (10) et l’Italie par décision de la GPDP de juin 2022 (11) – à l’encontre de l’utilisation de « GA ». En revanche, la « Cnil » espagnole – l’AEDP – n’a pas suivi ni ses homologues européennes ni la CEPD en publiant le 15 décembre 2022 une décision rejetant la plainte de Noyb (12). Ces premières décisions sur les 101 plaintes déposées par Noyb faisaient suite à la décision de 2020 dite « Schrems II » de la Cour de justice de l’Union européenne (CJUE) estiment que l’utilisation des services Internet américains violait le RGPD, car les lois de surveillance américaines exigent que les Google, Facebook et autres Twitter fournissent aux autorités américaines des détails personnels sur leurs utilisateurs, mêmes Européens.

Le spectre de la loi américaine FISA
Par exemple, la loi américaine FISA – Foreign Intelligence Surveillance Act – autorise expressément la NSA – National Security Agency – à collecter les données personnelles des utilisateurs situés hors des Etats-Unis si ces data sont stockées sur des serveurs américains. Autre texte américain, présidentiel celui-ci : l’OE – Executive Order – numéro 12.333 qui renforce les services de renseignement aux Etats-Unis depuis Ronald Reagan et George W. Bush. C’est pour ces raisons que la CJUE avait annulé en 2020 l’accord de transfert « Privacy Shield » (décision « Schrems II » de 2020), après avoir annulé l’accord précédent « Safe Harbor » (décision « Schrems I » de 2015). Cela provoqua une onde de choc pour les GAFAM qui les secouent encore aujourd’hui (13). « Nous nous attendons à ce que des décisions similaires tombent progressivement dans la plupart des Etats membres de l’UE. Nous avons déposé 101 plaintes dans presque tous les Etats membres et les autorités [les « Cnil » européennes, ndlr] ont coordonné la réponse », s’était félicité Max Schrems. Il est prêt à attaquer à nouveau devant la CJUE la nouvelle décision sur le transfert des données « UE-USA » (14) publiée par la Commission européenne le 13 décembre dernier (15). Dans la foulée de la décision de la DSB en Autriche, le Contrôleur européen de la protection des données (CEPD) – regroupant les « Cnil » européennes – avait également rendue une semaine avant une décision commune similaire (16). S’il devait y avoir sanction, le RGPD prévoit qu’elle peut aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial de l’entreprise du Net.
C’est justement parce que Google Analytics est largement utilisé par une écrasante majorité d’éditeurs de services en ligne que la Cnil avait décidé d’anonymiser ses trois décisions. « Il ne paraissait pas utile de citer le nom d’un éditeur de site en particulier, l’usage de cet outil étant très répandu. L’objectif est que l’ensemble des responsables de traitement utilisant cet outil se mette en conformité », justifiait ainsi le gendarme des données personnelles. Il avait d’ailleurs mis en garde tous les éditeurs concernés : « Tous les responsables de traitement utilisant Google Analytics d’une façon similaire à ces organismes doivent considérer dès à présent cette utilisation comme illégale au regard du RGPD. Ils doivent donc se tourner vers un prestataire proposant des garanties suffisantes de conformité ». D’après la Cnil, les trois sociétés mises en demeure avaient établi avec Google des clauses contractuelles types, proposées par défaut. Or ces dernières ne peuvent assurer seules un niveau de protection suffisant en cas de demande d’accès d’autorités étrangères, notamment si cet accès est prévu par des lois locales. En réponse au questionnaire envoyé par la Cnil, Google a indiqué que l’ensemble des données collectées par le biais de Google Analytics était hébergé aux Etats-Unis. Néanmoins, avait mentionné le gendarme français des données personnelles le 7 juin 2022, « Google avait indiqué avoir mis en place des mesures supplémentaires d’ordre juridique, organisationnel et technique, qui ont cependant été jugées insuffisantes pour assurer la protection effective des données personnelles transférées, en particulier contre des demandes d’accès aux données par des services de renseignement états-uniens » (17).
La Cnil avait en outre fait savoir que Google avait indiqué utiliser des mesures de pseudonymisation (18), mais non d’anonymisation (19). « Google propose bien une fonction d’anonymisation des adresses IP, a constaté la Cnil, mais celle-ci n’est pas applicable à tous les transferts. En outre, les éléments fournis par Google ne permettent pas de déterminer si cette anonymisation a lieu avant le transfert aux Etats-Unis ». Autre problème que pose Google Analytics : la réidentification de l’internaute. En effet, la seule utilisation d’identifiants uniques permettant de différencier les individus peut amener à rendre les données identifiables, en particulier lorsqu’elles sont associées à d’autres informations telles que les métadonnées relatives au navigateur et au système d’exploitation.

Data et navigation : le risque de suivi demeure
De plus, l’utilisation de Google Analytics avec d’autres services de Google, notamment marketing, peut amplifier le risque de suivi. « En effet, explique la Cnil, ces services, très utilisés en France, peuvent permettre un recoupement de l’adresse IP et ainsi de retracer l’historique de navigation de la majorité des internautes sur un grand nombre de sites ». Quant au chiffrement de données par Google, il s’est avéré insuffisant car Google procède lui-même au chiffrement des données et a l’obligation d’accorder l’accès ou de fournir les données importées qui sont en sa possession, y compris les clés de chiffrement nécessaires pour les décrypter. @

Charles de Laubier

Les opérateurs télécoms appellent l’UE, présidée par la France, à imposer le peering payant aux GAFAM

Publié le par

La France préside le Conseil de l’Union européenne (UE) durant ce premier semestre 2022, alors que les négociations sur le Digital Markets Act (DMA) débutent. C’est l’occasion pour Orange, Deutsche Telekom, Telefónica ou encore Telenor de tenter d’imposer aux géants du Net le « peering payant ».

Un mois après avoir été approuvée par le Parlement européen, lors du vote en séance plénière du 15 décembre dernier à Strasbourg (1), la proposition de législation sur les marchés numériques – appelée Digital Markets Act (DMA) – va maintenant faire l’objet de négociations entre les eurodéputés et les vingt-sept gouvernements des Etats membres réunis au sein du Conseil de l’Union européenne (UE), lequel est présidé non pas par Emmanuel Macron mais par Charles Michel (photo). Cette approbation du projet de DMA vaut en effet mandat pour la négociation qui s’engage.

Les « telcos » se sentent exclus du DMA
« Les mesures horizontales comme le Digital Markets Act jouent un rôle crucial et, pour cette raison, nous les appuyons fermement. En outre, nous devons également tenir compte [du fait qu’]une partie importante et croissante du trafic du réseau est générée et monétisée par les plateformes des Big Tech, mais cela nécessite des investissements et une planification de réseau continus et intensifs de la part du secteur des télécommunications », ont fait valoir les principaux opérateurs télécoms historiques d’Europe réunis au sein de leur organisation de lobbying Etno (2).
Et la douzaine de signataires – Telekom Austria Vivacom (ex- Bulgarian Telecom), Proximus (ex-Belgacom), Telenor, KPN, Altice Portugal, Deutsche Telekom, BT Group, Telia Company, Telefónica, Vodafone, Orange et Swisscom – de suggérer de rééquilibrer les forces en présence en faisant mieux payer les GAFAM via le « peering payant » (même si cette facturation des interconnexions réseau n’est pas explicitement mentionnée) : « Ce modèle – qui permet aux citoyens de l’UE de profiter des fruits de la transformation numérique – ne peut être durable que si ces grandes plateformes technologiques contribuent également équitablement aux coûts du réseau ». Les opérateurs télécoms semblent avoir le sentiment d’être exclus du DMA et des négociations qui s’annoncent. « Les nouvelles stratégies industrielles [doivent] permett[re] aux acteurs européens – y compris les opérateurs télécoms – de rivaliser avec succès dans les espaces de données mondiaux, afin de développer une économie de données européenne fondée sur de véritables valeurs européennes », préviennent ils. Ce futur règlement européen DMA ne s’intéresse en effet qu’aux grandes plateformes de services en ligne dits « essentiels » et dont il dresse « une liste noire » – dixit le communiqué du Parlement européen (3) – de leurs pratiques : lorsqu’elles agissent comme des « contrôleurs d’accès » – ou gatekeepers : cela va des « économies d’échelle extrêmes », des « effets de réseau très importants », des « effets de verrouillage », à l’« intégration verticale » ou encore aux « avantages liés aux données », le tout combiné à des « pratiques déloyales ». Les GAFAM – Google, Amazon, Facebook, Apple, Microsoft et bien d’autres géants de l’Internet – sont concernés au premier chef car ils peuvent abuser de leur position dominante « au détriment des prix, de la qualité, des normes en matière de vie privée et de sécurité, d’une concurrence loyale, du choix et de l’innovation dans ce domaine ». Griefs potentiels auxquels peuvent s’ajouter des « conséquences sociétales et économiques négatives ».
Aux yeux du Parlement européen, sont considérés comme des « services de plateforme essentiels » une flopée d’acteurs du numérique tels que, pêle-mêle : « les services d’intermédiation en ligne, les moteurs de recherche en ligne, les systèmes d’exploitation tels que les dispositifs intelligents, l’Internet des objets ou les services numériques embarqués dans les véhicules, les réseaux sociaux en ligne, les services de plateformes de partage de vidéos, les services de communications interpersonnelles non fondés sur la numérotation [les messageries instantanées ou les messageries d’e-mails, ndlr], les services d’informatique en nuage, les services d’assistant virtuel, les navigateurs web, la télévision connectée et les services de publicité en ligne » (4). Il n’en reste pas moins que les GAFAM sont les premiers visés puisque pour tomber sous le coup du règlement DMA et être qualifié de « contrôleurs d’accès », il faut réaliser 8 milliards d’euros de chiffre d’affaires annuel dans l’espace économique européen (5) et avoir une capitalisation boursière d’au moins 80 milliards d’euros (6), ainsi que totaliser au moins 45 millions d’utilisateurs finaux par mois ainsi que de plus de 10 000 entreprises utilisatrices.

Des garde-fous et des amendes salées
Outre le fait d’être un garde-fou des gatekeepers, le futur DMA – consacré aux «marchés contestables et équitables dans le secteur numérique » (7) – donne pouvoir à la Commission européenne pour mener des enquêtes de marché et appliquer des sanctions, lesquelles représentent « au moins 4 % et jusqu’à concurrence de 20 % de son chiffre d’affaires mondial total réalisé au cours de l’exercice précédent ». @

Charles de Laubier

Le président chinois Xi Jinping se mue en « Grand Timonier » de l’économie numérique de son pays

Publié le par

Alors qu’il est depuis près de dix ans président de la République populaire de Chine, Xi Jinping n’a jamais été aussi centralisateur et exigeant sur la manière de réguler le capitalisme dans l’Empire du Milieu. Tout en accentuant la censure de l’Internet, le secrétaire du parti communiste chinois met au pas la finance de ses géants du numérique.

Le président de la Chine, Xi Jinping (photo), et son homologue des Etats-Unis, Joe Biden, lequel a pris l’initiative de cet appel, se sont longuement parlé au téléphone le 9 septembre au soir. Les dirigeants des deux plus grandes puissances économies mondiales, dont le dernier coup de fil remontait à sept mois auparavant (février 2021), ont eu une « discussion stratégique » pour tenter d’apaiser les relations sino-américaines qui s’étaient tendues sous l’administration Trump. Durant leur entretien de près d’une heure et demie, ils sont convenus d’éviter que la concurrence exacerbée entre leur deux pays ne dégénère en conflit.
Cet échange franc au sommet – où économie, tarifs douaniers punitifs, restrictions à l’exportation (1), affaire « Huawei », climat et coronavirus ont été parmi les sujets abordés – semble tourner la page de la guerre économique engagée par Donald Trump. En apparence seulement, car l’administration Biden a fait siennes les accusations lancées – sans preuve – par l’ancien locataire de la Maison-Blanche à l’encontre du géant technologique chinois Huawei toujours accusé de cyber espionnage via notamment ses infrastructures 5G dont il est le numéro un mondial (2). Face aux coups de boutoir de Washington (3), la firme de Shenzhen a perdu la première place mondiale des fabricants de smartphone qu’il avait arrachée un temps à Samsung début 2020 et après avoir délogé Apple de la seconde début 2018 (4).

Les BATX rappelés à l’ordre en Chine
Cette accalmie – passagère ? – entre Etats-Unis et Chine permet à Xi Jinping de se concentrer sur ses affaires intérieures, où il a décidé de reprendre le contrôle du capitalisme financier qui a prospéré dans son pays de façon débridée. Et de s’attaquer dans le privé à l’enrichissement démesuré qui reste à ses yeux incompatible avec « la prospérité commune ». Cette dernière expression, le chef de l’Etat chinois l’avait utilisée pour rappeler à l’ordre les milliardaires chinois en leur demandant de ne pas creuser les inégalités au sein de son peuple. Le président de l’Empire du Milieu, également secrétaire du parti communiste chinois, fait monter la pression réglementaire et gouvernementale sur les puissances de l’argent. Premier à avoir essuyé les plâtres de cette « répression » du pouvoir central sur les grandes entreprises et leurs dirigeants : Jack Ma, le fondateur d’Alibaba, qui se fait depuis très discret depuis des mois, alors qu’en octobre 2020 il avait critiqué publiquement la régulation de son pays.

Xi Jinping à la tête du CAC
Le géant du e-commerce et des réseaux sociaux est dans le viseur du pouvoir central de Pékin pour sa puissance financière débridée, ses abus de position dominante, la surexploitation des données personnelles et l’opacité de ses algorithmes, ou encore les conditions de travail de leurs employés. En avril dernier, la firme de Hangzhou a été condamnée à une amende équivalente à 2,3 milliards d’euros pour entrave à la concurrence. A la suite de l’intervention des autorités chinois début novembre 2020, en prétextant vouloir éviter un « risque financier », Alibaba avait dû abandonner son mégaprojet d’introduction en Bourse – à Hong Kong et à Shanghaï – de sa filiale bancaire Ant Group, dont le système de paiement en ligne Alipay est massivement utilisé par les Chinois et procure à sa maison mère un avantage quasi-monopolistique. Xi Jinping, qui envisagerait un démantèlement d’Alipay (5), projette par ailleurs de généraliser en 2022 l’e-yuan, actuellement testé (6). Depuis ce premier coup de pied dans la fourmilière du Net chinois, la pression de Pékin n’est pas redescendue depuis près d’un an. Plus d’une trentaine de grands groupes technologiques chinois se sont aussi attiré les foudres de Pékin, parmi lesquels Tencent (WeChat), ByteDance (TikTok), Baidu (Baidu.com), Meituan (Meituan.com) ou encore Didi (« Uber » chinois).
Xi Jinping siffle ainsi la fin de la récrée pour que le profit ne supplante pas le social, et pour que l’innovation et le consommateur ne soient pas les grands perdants de la mainmise de ces géants chinois du Net, surnommés parfois les BATX (Baidu, Alibaba, Tencent et Xiaomi). Au printemps dernier, l’Administration chinoise du cyberespace, ou CAC (7) alias le Bureau de la commission des affaires du cyberespace central (8), avait convoqué les géants chinois du numérique pour leur reprocher des pratiques de concurrence déloyale et les mettre en garde contre les abus de position dominante. Le CAC, qui est le régulateur de l’Internet chinois, est officiellement dirigé par le secrétaire général du Parti communiste chinois, Xi Jinping lui-même, et est rattaché aux organes d’information (propagande ou idéologie), de censure (des médias ou sites web) et de sécurité (contre les contenus illégaux, politiques ou religieux). Quant au ministère chinois de l’Industrie et des Technologies de l’information (MIIT), il a le 13 septembre appelé les BATX à ne pas évincer leurs concurrents (9). Plus récemment, le régulateur chinois s’en est pris aux jeux vidéo, notamment à deux géants du gaming du pays, Tencent (WeGame) et Netease (163.com) qui ont aussitôt décroché en Bourse. Et pour cause : l’administration Jinping, qui a considéré cet été que les jeux en ligne étaient le nouvel « opium spirituel » du peuple, a fait savoir qu’elle allait « geler » les autorisations de nouveaux jeux en ligne, avant de préciser ensuite qu’il ne s’agissait pas d’un moratoire sur la sortie des titres – comme ce fut le cas en 2018 durant dix mois – mais seulement de « ralentir » le rythme frénétique de leur mise sur le marché. Le 8 septembre, plusieurs acteurs de ce qui constitue la plus grande industrie du jeu vidéo au monde ont été réunis par les autorités chinoises pour les rappeler à leur devoir de « solidarité », les réfréner dans leur course aux profits, et exiger d’eux qu’ils luttent contre l’« addiction », notamment des mineurs. Parmi les nouvelles règles du jeu : limitation à trois heures par semaine le temps des enfants à jouer aux jeux vidéo, afin qu’ils ne deviennent pas accros ni myopes, qu’ils réduisent leurs dépenses en objets virtuels et qu’ils deviennent plus productifs en dehors des jeux vidéo. Dans ce contexte de mise au pas des jeux, Tencent – propriétaire de l’éditeur américain Riot Games depuis 2015 – a reporté à octobre la sortie tant attendue de la version mobile de « League of Legends », au lieu de la date initiale du 15 septembre.
Cette offensive du président Xi Jinping pour mettre un terme à l’« expansion désordonnée du capital » dans l’Empire du Milieu aux 1,4 milliard de Chinois interpelle tous les secteurs économiques du pays, au premier rang desquels le numérique qui a contribué fortement à une flambée boursière désordonnée et perçue comme trop capitaliste aux yeux du pouvoir communiste. En secouant le cocotier du Net, celui qui prend des airs de « Grand timonier » est parti en guerre contre ce qu’il appelle aussi « la croissance barbare ». Jusqu’où ira l’administration Jinping dans ce vaste recadrage de l’économie numérique chinoise ? Seul Xi le sait, lui qui veut apparaître comme le deuxième homme fort de l’histoire de l’empire, après Mao Tsé-toung.

20e Congrès du PPC à l’automne 2022
Après avoir célébré le 1er juillet dernier le centenaire du Parti communiste chinois (PCC), où ses racines marxistes-léninistes ont été rappelées à ses quelque 95 millions de « camarades » membres, le leader pékinois briguerait un nouveau mandat à la tête de la première économie mondiale en puissance. La prochaine étape cruciale est dans un an : ce sera le 20e Congrès du PCC à l’automne 2022. Xi Jinping, qui n’a pas mis un pied en dehors de la Chine depuis plus d’un an et demi, pourrait se rendre au prochain G20 prévu fin octobre à Rome et serrer la main de Joe Biden. @

Charles de Laubier

L’AFP réinvente avec Google la « licence globale »

Publié le par

En fait. Le 13 juillet, le PDG de l’AFP, Fabrice Fries, et le directeur général de Google France, Sébastien Missoffe, « dans des déclarations transmises conjointement à l’AFP », ont indiqué qu’ils étaient « proches d’aboutir à un accord » sur les droits voisins de l’Agence France-Presse mais aussi sur une « licence globale ».

Internet global : la régulation nationale adaptée ?

Publié le par

En fait. Le 25 mars, Mark Zuckerberg, Sundar Pichai et Jack Dorsey ont été auditionnés par une commission du Congrès des Etats-Unis sur « l’extrémisme et la désinformation » véhiculés par Facebook, Google et Twitter. La régulation de l’Internet global risque de tourner en patchwork réglementaire.