Streaming musical : ce que prévoit l’accord du 12 mai sur la rémunération minimale des artistes

Signé le 12 mai 2022 par les organisations syndicales des producteurs de musique enregistrée, d’une part, et celles des artistes-interprètes, d’autre part, l’« accord historique » garantit une rémunération minimale pour ces derniers lors de la diffusion de leurs musiques en streaming.

La signature de l’accord pour la rémunération des artistes-interprètes dont la musique est diffusée en streaming, qui s’est déroulée le jeudi 12 mai au ministère de la Culture et sous l’égide du médiateur de la musique Jean-Philippe Mochon (photo), est à marquer d’une pierre blanche. Il fixe une garantie de rémunération minimale pour les artistes-interprètes dont les œuvres musicales sont diffusées « en flux » (comprenez en streaming). Mais, selon nos informations auprès du médiateur de la musique, il reste encore à se mettre d’accord sur la rémunération spécifique des musiciens d’orchestre, notamment dans la musique classique.

Deux arrêtés ministériels en vue
Quoi qu’il en soit, l’accord est considéré comme « historique ». Les signataires « à l’unanimité » de ce document d’une quinzaine de pages – que Edition Multimédi@ s’est procuré (1) – sont : les syndicats d’employeurs et producteurs de musiques – Syndicat national de l’édition phonographique (Snep), Union des producteurs phonographiques français indépendants (UPFI) et Syndicat des musiques actuelles (SMA) ; les organismes de gestion collective des droits d’auteur des artistes-interprètes – Société civile des producteurs phonographiques (SCPP), Société civile des producteurs de phonogrammes en France (SPPF), Administration des droits des artistes et musiciens interprètes (Adami) et Société de gestion des droits des artistes interprètes (Spedidam) ; les syndicats de salariés – Snam-CGT, SFACGT, F3C-CFDT, SNM-FO, Snacopva CFE CGC, FCCS CFECGC, FNSAC-CGT et Snapsa CFE-CGC.
Tous sont convenus que les artistes-interprètes toucheront une rémunération minimale dans le cadre du streaming musical. Cet accord fait le distinguo entre les artistes interprètes qui touchent des redevances proportionnelles (« artistes principaux » dans le jargon des producteurs) et les musiciens rémunérés essentiellement au cachet (« artistes musiciens »). Les premiers bénéficieront des taux de royalties supérieurs à 10 %, calculés sur une assiette tenant compte des différents modèles économiques de production existants, ainsi qu’un droit à percevoir systématiquement une avance minimale du producteur et une bonification de taux en cas de succès important. Les seconds percevront tous une somme forfaitaire spécifique au titre du streaming, ainsi que des rémunérations nouvelles supplémentaires et automatiques chaque fois que sont atteints les niveaux de succès définis par l’accord, à partir d’un demi-single d’or (7,5 millions d’écoutes). L’accord valable pour cinq ans (2), trouvé au bout de nombreux mois de négociations et faisant figure de « compromis » (dixit la SCPP et la SPPF), prévoit aussi le soutien de tous les producteurs de musique, notamment les plus fragiles (« les labels TPE (3) »), dans le cadre d’un dispositif cofinancé par l’Etat : le fonds national pour l’emploi pérenne dans le spectacle (Fonpeps), qui a été créé en 2016 pour soutenir l’emploi dans le spectacle vivant et enregistré, dans le secteur public comme dans le secteur privé (4). « Le présent accord revêt une force obligatoire à compter du premier jour du mois suivant la date de publication de l’arrêté du ministère chargé de la Culture qui le rend obligatoire. Il entre en vigueur, le cas échéant avec effet rétroactif, à compter du 1er juillet 2022 » prévoit l’accord paraphé, signé et daté du 12 mai, même si les discussions se sont poursuivies tard dans la nuit.
Il était temps, avec six ans de retard ! En effet, ce compromis met enfin en œuvre la garantie de rémunération minimale (GRM) introduit dans le code de propriété intellectuelle (CPI) par la loi dite « Création » de juillet 2016 (5). Pourtant la loi était claire : il accordait aux organisations professionnelles de la musique enregistrée un délai de douze mois à compter de la promulgation de la loi « Création », à savoir jusqu’au 8 juillet 2017, pour signer un accord collectif. A défaut, la garantie de rémunération minimale devait être fixée par une commission présidée par un représentant de l’Etat. Rien de tout cela n’avait finalement eu lieu, jusqu’à ce compromis qui a au moins le mérite d’exister. A noter qu’outre l’arrêté attendu du ministère de la Culture, cet accord peut aussi être rendu obligatoire par un arrêté du ministre chargé du Travail.

Partage de la valeur du streaming
« Les acteurs de la musique enregistrée en France sont capables de trouver ensemble des solutions innovantes et ambitieuses pour apporter des réponses au débat essentiel du partage de la valeur sur la musique en ligne », s’est félicitée le ministère de Roselyne Bachelot-Narquin le 16 mai, soit le dernier jour de son mandat rue de Valois. Cet accord s’applique aux exploitations en streaming des musiques enregistrées des artistes-interprètes « en France et à l’étranger » (articles 2 et 4 de l’accord), mais les exploitations relevant de la gestion collective obligatoire n’entrent pas dans son champ. Il s’applique aux artistes-interprètes engagés par un employeur dans le cadre de son activité de producteur de musique enregistrée lorsqu’elle constitue son activité principale, dans un contrat de travail relevant de la convention collective nationale de l’édition phonographique (CCNEP).

En phase avec la directive « Copyright »
Prévue dès juillet 2016 dans la loi « Création », cette disposition « GRM » concernant une rémunération équitable dans le streaming fut une première en Europe, bien avant la directive européenne sur « le droit d’auteur et les droits voisins dans le marché unique numérique » adoptée en 2019 et applicable depuis un an par les Vingtsept (6). « Au regard des autres pays européens, je crois vraiment que ce que nous faisons est inédit et converge avec les principes posés par la directive, mais n’en est pas en soi la transposition », nous précise Jean-Philippe Mochon. La directive « Copyright » de 2019 prévoit bien que « les Etats membres devraient être libres de mettre en œuvre le principe de rémunération appropriée et proportionnelle en recourant à divers mécanismes existants ou nouvellement introduits, qui pourraient inclure la négociation collective » (considérant 73). La directive « Copyright » a gravé dans le marbre le principe de « rémunération appropriée et proportionnelle » (article 18). L’accord collectif français du 12 mai 2022 concrétise enfin cet objectif.
Dans le détail, selon qu’il s’agit d’un « artiste principal » irremplaçable (un groupe, un soliste, un, …) ou d’un « artiste musicien » remplaçable (un accompagnateur, un choriste, …), la rémunération diffère. « Le caractère proportionnel de la rémunération de artistes-interprètes, et a fortioride la garantie de rémunération minimale, peut inclure par conséquent le recours à des modalités de rémunération différenciées de la cession de droits, sous forme de redevance [les royalties, ndlr] ou d’un ou plusieurs forfaits [au cachet, ndlr] », est-il expliqué dans l’accord.
• Rémunération des artistes principaux. Si le producteur de musique enregistrée est son propre distributeur auprès des plateformes de streaming, il garanti un taux minimum de 11 % (en période d’abattements) ou de 10 % (hors période d’abattement) sur les sommes qui lui sont reversées par ces dernières. Si le producteur de musique enregistrée n’est pas son propre distributeur auprès des plateformes de streaming, il garantit un taux minimum de 13 % (en période d’éventuels abattements) ou de 11 % (hors période d’abattement), sans pour autant que cette rémunération minimale dépasse respectivement les 11% et les 10 % des sommes encaissées par le distributeur. Quant à ces abattements éventuels, négociés de gré à gré entre l’artiste-interprète et le producteur, ils ne peuvent réduire de plus de la moitié le taux prévu au contrat. Pour les producteurs de musique bénéficiant d’un contrat de licence exclusive, ils garantissent un taux minimum de 28 % des sommes qu’ils encaissent en streaming (sans abattements possibles). Concernant cette fois les avances minimales garanties, l’accord collectif prévoit que le producteur verse 1.000 euros bruts par album inédit, somme ramenée à 500 euros lorsqu’il s’agit d’une TPE. Les organismes de gestion collective de producteur (SCPP, SPPF, …) doivent soutenir ces dernières (7).
• Rémunération des artistes musicaux. Le producteur garantit à l’artiste-interprète une rémunération forfaitaire minimale correspondant à 2% ou 1,5 % (selon les cas), et par minute de l’enregistrement, du cachet de base défini par la convention collective (CCNEP). A cela s’ajoutent des rémunérations minimales complémentaires « qui sont fonction du seuil de streams atteint » par la musique sur les plateformes de streaming. Si le seuil atteint en France soit les 7,5 millions de streams, soit les 30 millions de streams, soit les 50 millions de streams dans les 50 ans suivant la première commercialisation de la musique, l’artiste-interprète perçoit l’équivalent de respectivement 20 %, 30 % ou 35 % « d’une valeur monétaire égale au montant du cachet de base » (plafonné à dix fois cette valeur). Et au-delà d’un multiple de 50 millions de streams, cela donne droit à une nouvelle rémunération complémentaire. L’accord collectif précise en outre que « la méthodologie de décompte de volumes de streams est annexée au présent accord ». Pour l’heure, les plateformes de streaming Amazon, Apple, Deezer, Qobuz, Soundcloud, Spotify et Tidal participent au panel qui contribue aux classements et aux certifications. Lorsqu’il s’agit de téléchargement (pas de flux), Amazon, Apple, Juno, Prestoclassical et Qobuz sont pris en référence.

Napster et YouTube négocient encore
« Le panel est amené à s’enrichir des acteurs suivants dont les négociations sont en cours : Napster (un accord de principe existe mais la mise en place des flux se heurte encore à des délais de réponse importants de la plateforme) ; YouTube Music (pas d’accord de principe à ce stade, YouTube souhaitant la prise en compte des streams et visualisations gratuites) », est-il indiqué dans cette annexe. Autres précisions : « Seuls les streams payants d’une durée supérieure à 30 secondes sont pris en compte. Les téléchargements d’un enregistrement et les singles physiques (8) sont convertis en équivalentstreams en application des paramètres publiés sur le site Internet du Snep, et sont ensuite rajoutés aux volumes des streams de cet enregistrement ». Cet accord historique intervient alors que la musique enregistrée fêtera ses 100 ans le 28 juin prochain. @

Charles de Laubier

La bulle « NFT » a-t-elle éclatée ? A moins que les jetons non-fongibles ne reprennent leur souffle

Selon les constatations de Edition Multimédi@ et d’après la plateforme NonFungible de tracking en temps réel du marché mondial des jetons non-fongibles, les fameux NFT, les ventes de ces actifs numérique certifiés par la blockchain ont retrouvé les niveaux d’il y a un an. Pour mieux rebondir ?

Les NFT ne sont pas morts ; ils bougent encore. Ces actifs numériques appelées « jetons non-fongibles » continuent plus que jamais à faire office de certificat d’authenticité inviolable pour propriétaire détenteur d’un bien numérique voire d’un bien physique associé. Cet « acte de propriété » est certifié sur une des nombreuses blockchains disponibles, ces chaînes de blocs cryptées de bout en bout qui permettent d’assurer la traçabilité des transactions dont fait l’objet le bien rare – et cher ? – possédé.

Retour au niveau de juin 2021
D’après l’historique sur un an arrêté au jeudi 26 mai par Edition Multimédi@ à partir des données de la plateforme d’analyse de marché de la société canadienne NonFungible, le marché mondial des NFT a retrouvé les niveaux d’il y a un an. Le nombre de transaction n’est plus que de 15.514 ventes sur cette journée-là pour une valorisation totale de 17 millions de dollars (voir graphique ci-dessous). Autant dire qu’il y a eu une sorte d’éclatement de bulle « NFT » depuis les records atteints l’an dernier, à 224.768 ventes le 24 septembre 2021 pour un total de valorisation de 78,3 millions de dollars ce jour-là. Quant au nombre de vendeurs ou d’acquéreurs actifs de ces tokens de propriété, c’est-à-dire les utilisateurs détenteurs de portefeuilles actifs (active wallets), il n’est plus que de 12.000 à cette même date du jeudi 26 mai comparé aux quelque 120.000 de l’automne dernier. La société NonFungible, basée dans la Nouvelle-Ecosse au Canada et cofondée en 2018 par le Canadien Daniel Kelly alias Dan (avatar de gauche) et le Français Gauthier Zuppinger alias Zoup (avatar de droite), a débuté en suivant les transactions en temps réel de la place de marché Decentraland, pour ensuite étendre son tracking à l’ensemble de la blockchain Ethereum sur laquelle s’appuie aussi bien d’autres plateformes (The Sandbox, OpenSea, Polygon, Rarible, Sorare, Cryptokitties, Audius, Shiba Inu, …). Les données sont collectées directement par NunFungible via des « Blockchain Nodes » afin de suivre 100 % de l’activité des jetons à la norme ERC-721 (1) établie en janvier 2018. Le marché des NFT n’est pas le seul à avoir subi un « krach » puisque, dans un contexte d’inflation, de remontée des taux d’intérêt obligataires et de guerre, l’ensemble de places financières ont sérieusement accusé le coup ces dernières semaines – du Nasdaq (la Bourse newyorkaise de valeur technologique à forte croissance) au cryptomonnaies (le bitcoin en tête), comme l’explique bien l’économiste Marc Touati dans une vidéo démonstrative publiée sur YouTube le 17 mai (2). « L’année 2022 est bien celle de la fin des excès financiers et du retour à la réalité », explique-t-il.
Les NFT, dans le sillage de la chute des cryptomonnaies plus que jamais volatiles, n’échappent pas à ce brusque atterrissage. La société NonFungible a montré dans son « NFT Market Report » portant sur le premier trimestre 2022 que la fin de l’euphorie amorcée fin 2021 s’est confirmée sur les trois premiers mois de l’année. En un an, le nombre des ventes a baissé de presque moitié (47 %) à 7,4 millions et le nombre de d’acquéreurs de près d’un tiers (31 %) à un peu plus 1,1 million. Résultat sur un an : les ventes en valeur ont reculé au premier trimestre de 4,6 %, à 7,8 milliards de dollars (3).
C’est une douche froide par rapport à l’année 2021 qui a affiché (4) des performances record : le nombre des ventes avait bondi de… 1.836 % par rapport à l’année précédente, à plus 27,4 millions, et le nombre de d’acquéreurs de… 2.962 %, à plus de 2,3 millions. Résultat en 2021 : les ventes en valeur avaient explosé de… 21.350 %, à 17,7 milliards de dollars (5). Mais rien ne dit que l’année 2022 ne va pas rebondir et les NFT retrouver des sommets. @

Charles de Laubier

Ce que les GAFAM pensent de l’« accord politique provisoire » européen sur le Digital Services Act

Les grandes plateformes « systémiques » concernées par la future régulation du Digital Services Act (DSA) font bonne figure face à l’arsenal législatif qui entrera en vigueur d’ici fin 2023. Google, Amazon, Facebook, Apple ou encore Microsoft devront être plus précautionneux en Europe. Qu’en disent-ils ?

« Nous apprécions les efforts déployés pour créer un marché unique numérique européen plus efficace, clarifier les responsabilités de chacun et protéger les droits en ligne », a déclaré Victoria de Posson (photo de gauche), directrice des affaires publiques de la CCIA Europe, la représentation à Bruxelles de l’association américaine du même sigle, dont sont notamment membres les géants du Net, mais pas Microsoft (1). Elle « reconnaît le travail acharné des décideurs pour parvenir à cet accord historique », tout en mettant un bémol : « Cependant, un certain nombre de détails importants restent à éclaircir » (2). C’est le cas des obligations de retrait de contenus notifiés comme illicites.

« Accord politique provisoire » : et après ?
Car ce qui a été signé le 23 avril vers 2 heures du matin (3), après de longues négociations entamées la veille, n’est encore qu’un « accord politique provisoire » obtenu à l’arrachée entre les négociateurs de la commission « marché intérieur et protection des consommateurs » (Imco), tête de file dans le processus législatif de ce projet de règlement européen sur les services numériques, et le Conseil de l’Union européenne – dont Cédric O représentait la France qui préside l’Union européenne jusqu’au 30 juin prochain. Le DSA en cours de finalisation prévoit de réguler les grandes plateformes numériques dites « systémiques » pour : les obliger à lutter contre le piratage et les contenus illicites, les contraindre à donner accès à leurs algorithmes, les amener à renforcement de la protection des mineurs notamment vis-à-vis des contenus pornographiques ou vis-à-vis de la publicité ciblée fondée sur des données sensibles (orientation sexuelle, religion, origine ethnique, etc.), les forcer à mieux informer les utilisateurs sur la manière dont les contenus leur sont recommandés.
Mais le diable étant dans « les détails importants », la CCIA Europe attend beaucoup de la dernière ligne droite de ce texte unique au monde. Selon les informations de Edition Multimédi@, ce futur règlement DSA devra être approuvé par le Coreper, à savoir le comité des représentants permanents au Conseil de l’UE, et par l’Imco. « Nous espérons que le vote final en plénière aura lieu en juillet, mais cela doit encore être confirmé. Le vote en plénière sera suivi d’un accord formel au Conseil de l’UE », indique une porte-parole du Parlement européen. Pour l’heure, le texte passe par les fourches caudines des juristes-linguistes pour être finalisé techniquement et vérifié jusqu’à la virgule près. Une fois la procédure terminée, probablement l’été prochain, il entrera en vigueur vingt jours après sa publication au Journal officiel de l’UE – sous la présidence cette fois de la République tchèque – et les règles commenceront à s’appliquer quinze mois après, c’est-à-dire au second semestre 2023. Car un règlement européen s’applique dans sa totalité et directement, contrairement à une directive européenne qui donne des objectifs à atteindre par les Etats membres, en leur accordant un délai de plusieurs mois pour les transposer dans la législation nationale.
Les GAFAM auront le temps (quinze mois) de se préparer pour ne pas tomber sous le coup de cette nouvelle loi européenne. Par ailleurs, il ne faudra pas s’attendre à ce que le voyage prévu du 23 au 27 mai prochain dans la Silicon Valley par une délégation de la commission Imco – pour notamment visiter plusieurs sièges sociaux de Big Tech telles que Meta (ex-Facebook), Google ou Apple – change les données du problème. Cette délégation d’eurodéputés y rencontrera également d’autres entreprises du numérique, des start-up, des universitaires américains ainsi que des représentants du gouvernement. « La mission aux Etats-Unis n’affectera pas l’accord politique déjà conclu avec les autres institutions. Elle sera une occasion d’explorer plus en profondeur les questions actuelles liées aux dossiers en cours sur le marché unique numérique au sein de la commission du marché intérieur (Imco) », nous précise la porte-parole du Parlement européen.

Attention aux libertés fondamentales
Cette escapade au pays des GAFAM sera notamment une opportunité pour les députés d’examiner la législation américaine sur le commerce électronique et les plateformes, en faisant le point sur les négociations récemment conclues en rapport avec les dossiers DSA et DMA (Digital Markets Act, pendant concurrentiel du DSA), ainsi que sur d’autres dossiers en cours comme celui sur l’intelligence artificielle. Également contactée, Victoria de Posson n’attend « pas d’impact sur le DSA » de ce voyage. Reste que le DSA, lui, ne sera pas facile à mettre en oeuvre par les GAFAM tant il touche à la liberté des internautes européens. C’est en tout cas ce que pointe DigitalEurope (ex-Eicta), organisation professionnelle des GAFAM entre autres Big Tech (4), et également installée à Bruxelles : « Le cadre du DSA crée un ensemble d’obligations à plusieurs niveaux pour différents types et tailles de services Internet, dont certains seront très complexes à mettre en oeuvre parce qu’ils touchent aux droits fondamentaux comme la liberté d’expression. Nous exhortons tous les intervenants à collaborer de façon pragmatique pour obtenir les meilleurs résultats », prévient sa directrice générale, Cecilia Bonefeld-Dahl (photo de droite).

Retrait de contenus : risque de censure
Bien que le futur règlement sur les services numériques aidera, d’après DigitalEurope, à rendre l’Internet plus sûr et plus transparent, tout en réduisant la propagation de contenus illégaux et de produits dangereux en ligne, « la modération du contenu sera toujours difficile, compte tenu des intérêts concurrents en cause » (5). D’autant que la réglementation d’Internet est un équilibre entre la protection des droits fondamentaux comme la liberté d’expression, d’une part, et la prévention des activités illégales et nuisibles en ligne, d’autre part.
Il y a un an, dans un « position paper » sur le DSA, DigitalEurope se félicitait déjà que « la proposition préserve les principes fondamentaux de la directive sur le commerce électronique, qui ont permis à l’Europe de se développer et de bénéficier d’une économie Internet dynamique ». Et de se dire satisfaite : « Le maintien de principes tels que la responsabilité limitée, l’absence de surveillance générale et le pays d’origine est essentiel à la poursuite de l’innovation et de la croissance de ces services numériques en Europe et sera crucial pour une reprise économique rapide ». Par exemple, le lobby des GAFAM a souligné que le DSA reconnaît que le contenu préjudiciable (mais légal) exige un ensemble de dispositions différent du contenu illégal. Le contenu nuisible et contextuel, difficile à définir, peut être subjectif sur le plan culturel et est souvent juridiquement ambigu. Est apprécié également le fait que le texte impose aux plateformes numériques des « exigences de diligence raisonnable » (signaleurs fiables, traçabilité des négociants et mécanismes de transparence), « de façon proportionnelle et pratique ». De plus, DigitalEurope est favorable pour fournir aux intervenants une transparence significative au sujet des pratiques de modération du contenu et d’application de la loi. « Toutefois, ajoute DigitalEurope, il sera important que les mesures de transparence du DSA garantissent que la vie privée des utilisateurs est protégée, que les mauvais acteurs ne peuvent pas manipuler le système et que les renseignements commerciaux sensibles ne sont pas divulgués » (6).
Les intermédiaires de l’écosystème numérique, à savoir les plateformes en ligne que sont les réseaux sociaux et les places de marché, devront prendre des mesures pour protéger leurs utilisateurs contre les contenus, les biens et les services illicites. Une procédure de notification et d’action plus claire permettra aux utilisateurs de signaler du contenu illicite en ligne et obligera les plateformes en ligne à réagir rapidement (les contenus cyberviolents comme le « revenge porn » seront retirés immédiatement). Et ces notifications devront être traitées de manière non-arbitraire et non-discriminatoire, tout en respectant les droits fondamentaux, notamment la liberté d’expression et la protection des données. Quant aux places de marché en ligne, elles seront plus responsables : les consommateurs pourront acheter des produits et services en ligne sûrs et non-illicites, « en renforçant les contrôles permettant de prouver que les informations fournies par les vendeurs sont fiables (principe de “connaissance du client”, (…) notamment via des contrôles aléatoires ».
En cas d’infraction à toutes ces obligations et bien d’autres, des pénalités pécuniaires sont prévues à l’encontre des plateformes en ligne et des moteurs de recherche qui pourront se voir infliger des amendes allant jusqu’à 6% de leur chiffre d’affaires mondial. Concernant les très grandes plateformes (disposant de plus de 45 millions d’utilisateurs), la Commission européenne aura le pouvoir exclusif d’exiger le respect des règles. Algorithmes de recommandation, publicité en ligne, protection des mineurs, choix et désabonnement facilités, compensation des utilisateurs en cas d’infraction, … Une multitude de mesures en faveur du consommateur seront mises en place pour un Internet plus sûr.

Bruxelles dompte la Silicon Valley
Par exemple, les plateformes numériques qui utilisent des « systèmes de recommandation » – basés sur des algorithmes qui déterminent ce que les internautes voient à l’écran – devront fournir au moins une option qui ne soit pas fondée sur le profilage des utilisateurs. « Les très grandes plateformes devront évaluer et atténuer les risques systémiques et se soumettre à des audits indépendants chaque année », est-il en outre prévu (7). Malgré la distance de 8.894 km qui les séparent, Bruxelles et la Silicon Valley n’ont jamais été aussi proches. @

Charles de Laubier

Fraude à la pub : bientôt 100 milliards de dollars de pertes par an, malgré des garde-fous comme IAS

C’est un véritable fléau pour la publicité en ligne, notamment programmatique : la fraude publicitaire – lorsque des annonces sont diffusées à des robots ou sur-affichées, ou lorsqu’elles ont des problèmes de visibilité – gangrène le marché. Integral Ad Science (IAS) voit sa cote monter.

« Juniper Research estime que les annonceurs perdront environ 100 milliards de dollars en dépenses publicitaires annuelles au profit de la seule fraude publicitaire d’ici 2024, soit une augmentation par rapport à environ 42 milliards de dollars en 2019 », prévient la société newyorkaise Integral Ad Science (IAS), qui se définit comme « un leader mondial de la qualité média digitale ». Cotée en Bourse au Nasdaq depuis huit mois et dirigée par Lisa Utzschneider (photo), IAS veille à ce que les annonces publicitaires ne fassent pas l’objet de fraudes, d’atteintes à l’image de marque ou d’une visibilité contextuelle inappropriée.

Bots ad-fraud, ad-stacking, pixel-stuffing, …
De nombreux géants d’Internet font appelle à cette adtech, connue sous ce nom IAS depuis dix ans maintenant, après avoir été créée en tant que AdSafe Media en 2009. Amazon, Facebook, Google, Instagram, LinkedIn, Microsoft, Pinterest, Snap, Spotify, TikTok, Twitter, Yahoo et YouTube sont parmi ses clients, où l’on retrouve aussi des acteurs comme la place de marché publicitaire Xandr du groupe AT&T ou le spécialiste de la publicité programmatique The Trade Desk, ainsi que de nombreux annonceurs, agences ou éditeurs. La force de frappe d’IAS réside dans ses outils d’intelligence artificielle et d’apprentissage automatique lui permettant de traiter en temps réel plus de 100 milliards de transactions web chaque jour dans plus d’une centaine de pays. Si la société IAS n’est pas encore rentable, elle voit ses revenus croître d’année en année sur un marché (malheureusement) porteur. Son dernier rapport annuel, publié le 3 mars, fait état d’un chiffre d’affaires de plus de 323,5 millions de dollars sur l’année 2021 (contre 240,6 millions en 2020). Mais ses pertes annuelles demeurent élevées, à -52,4 millions l’an dernier (contre -32,4 millions en 2020). Tandis que son endettement total s’élève à 245 millions de dollars au 31 décembre dernier.
Pour autant, le marché sur lequel la adtech s’est positionnée depuis treize ans prend de l’ampleur au fur et à mesure que la publicité en ligne automatisée pose problèmes. L’écosystème publicitaire digital – annonceurs, agences, éditeurs et plateformes numériques – est plus que jamais demandeur de solutions de mesure et de vérification publicitaires qui assurent la visibilité, la sécurité et la pertinence de la marque, du ciblage contextuel, ainsi que la prévention de la fraude publicitaire. Selon le cabinet de conseil Frost & Sullivan, le marché mondial des solutions et outils de vérification publicitaire a presque atteint les 10 milliards de dollars de chiffre d’affaires l’an dernier. La fraude publicitaire en ligne est un fléau qui gagne du terrain malgré les garde-fous proposés par des prestataires de veille et de confiance comme IAS, mais aussi DoubleVerify (DV), Moat (acquis par Oracle en 2017) ou encore Human Inc.
L’accélération de la publicité programmatique – par l’automatisation de l’achat et de la vente aux enchères d’espaces afin de permettre aux annonceurs de « cibler l’inventaire de valeur la plus élevée en temps réel » – s’accompagne d’une hausse de l’ad-fraud. Dans ce processus de transaction, la rapidité se le dispute à l’opacité. « La fraude publicitaire est une pratique qui consiste à facturer intentionnellement un annonceur pour une diffusion qui n’est pas conforme à celle prévue, par exemple la diffusion de publicités auprès de robots au lieu de personnes réelles. Il existe de multiples types de fraude. Les plus rencontrées sont le trafic robotique, puis l’adstacking (empilage de plusieurs publicités les unes sur les autres au sein d’un même emplacement), et le pixel-stuffing (diffusion de plusieurs publicités dans un cadre publicitaire minuscule, d’une taille de 1×1 pixel) », détaille IAS dans la nouvelle édition de son « Baromètre de la qualité média » publié fin mars (1).
Pour y remédier, les acteurs de l’écosystème publicitaire font du« filtrage préventif des impressions frauduleuses » grâce à des technologies anti-fraudes alliant algorithmes et machine learning. Dans le monde, plus de 700 marques, agences, éditeurs et fournisseurs de technologies publicitaires sont certifiés « TAG » par la Trustworthy Accountability Group (2). C’est le cas d’IAS.

Plus de 700 acteurs certifiés « TAG »
Créé en 2014 aux Etats-Unis par différentes associations de publicitaires dont l’Interactive Advertising Bureau (IAB), le TAG est le principal organisme mondial de certification pour lutter contre « les activités criminelles » et accroître la confiance dans l’industrie de la publicité numérique mise à mal. En outre, depuis 2017, l’IAB déploie l’outil Ads.txt (Authorized Digital Sellers). En France, depuis 2016, un label de qualité baptisé « Digital Ad Trust » (3) existe à l’initiative du SRI (4), de l’Udecam (5) et de IAB France. @

Charles de Laubier

Le groupe Meta Platforms peut-il vraiment retirer Facebook et Instagram de l’Union européenne ?

Dans son rapport annuel, Meta n’exclut pas de supprimer d’Europe ses réseaux sociaux – Facebook, Instagram ou WhatsApp – s’il ne peut pas transférer les données personnelles européennes aux Etats-Unis. Retour sur cette menace qui soulève des questions économiques et juridiques.

Par Arnaud Touati, avocat associé, Hashtag Avocats

La société américaine Meta Platforms a-t-elle le droit et le pouvoir de retirer Facebook et Instagram du marché européen ? Techniquement, elle pourrait retirer Facebook et Instagram du marché européen, notamment des Vingt-sept Etats membres de l’UE. En effet, une société est libre de déterminer son marché et de proposer ou de retirer librement ses services sur le territoire d’un Etat. Cependant, économiquement parlant, le marché européen est considérable pour la firme de Mark Zuckerberg qui en est le PDG et fondateur.

Europe : 25 % des revenus de Meta
Le groupe a annoncé que l’Europe représentait, pour le dernier trimestre 2021, plus de 8,3 milliards de dollars de chiffre d’affaires, soit près du quart du total réalisé par Meta à l’échelle mondiale. De même, le revenu moyen par utilisateur sur Facebook en Europe (Messenger, Instagram et WhatsApp compris) se situe en moyenne à 19,68 dollars sur ce quatrième trimestre 2021, en deuxième position derrière la région « Etats-Unis & Canada » (1). Au total, l’Europe a généré 25% du chiffre d’affaires trimestriel.
De même, si la maison mère Meta Platforms décidait de mettre fin à ses services en Europe, il lui appartiendrait de résoudre la délicate question du sort des données des utilisateurs européens – au nombre de 427 millions à la fin de l’année dernière (2). En effet, Facebook, Messenger, Instagram ou encore WhatsApp ont obtenu de nombreuses données des utilisateurs. Cela impliquerait donc nécessairement de restituer aux utilisateurs toutes leurs données. Dans quelles conditions ? Comment ? La question est ouverte.
Au-delà des questions économiques que soulèverait pour Meta la mise à exécution de sa menace de retirer ses réseaux sociaux, cela poserait également des questions juridiques. Le règlement général sur la protection des données (RGPD), adopté en 2016 par le Parlement européen (3) et en vigueur depuis mai 2018, prévoit l’encadrement des transferts des données à caractère personnel vers des pays tiers. Les dispositions du règlement doivent donc être appliquées, afin que le niveau de protection des personnes physiques garanti par ledit règlement ne soit pas compromis. Peut-il y avoir des passe-droits en matière de RGPD ? (4) Plutôt que de « passe-droit », parlons plutôt de « tempérament », c’est-à-dire de l’assouplissement de certaines dispositions réglementaires dans des hypothèses bien déterminées. Il conviendrait ainsi de dire qu’il n’existe pas a priori de tempérament en matière de RGPD, au vu de l’importance du respect de la protection des données et de l’obligation d’encadrement des transferts de données. Néanmoins, il convient de relativiser cet état de fait. En effet, en France, la Commission nationale de l’informatique et des libertés (Cnil) prévoit une procédure de mise en demeure, dans l’hypothèse où un organisme ne respecterait pas les obligations relatives à l’encadrement des transferts de données. Elle précise qu’une « mise en demeure est une procédure qui intervient après une plainte ou un contrôle et ne constitue pas une sanction » (5). Dans pareille situation, deux issues sont possibles. Si l’organisme se conforme aux dispositions pendant le délai imparti, le transfert des données sera considéré comme légal et conforme. Dans le cas contraire, l’organisme peut se voir attribuer des sanctions, lesquelles sont, pour la majeure partie d’entre elles, pécuniaires. Cependant, cette sanction ne garantit pas le respect postérieur du RGPD, ce qui pourrait donc in fine valoir tempérament implicite, pour peu que ledit organisme ait des capacités financières significatives.
Par ailleurs, les transferts de données vers des pays tiers à l’Union européenne (UE) doivent respecter les principes du RGPD (6). Ainsi, la Commission européenne peut prévoir des décisions d’adéquation avec certains pays lorsqu’elle estime qu’ils assurent « un niveau de protection adéquat » (7). Les transferts de données vers ces pays-là ne nécessitent alors pas d’autorisation spécifique.

Dérogations pour cas particuliers
A l’inverse, lorsqu’un pays n’est pas reconnu comme garantissant une protection adéquate, l’article 46 du RGPD permet au responsable de traitement d’assurer lui-même que les transferts envisagés sont assortis de garanties appropriées, grâce à des clauses contractuelles types, des règles d’entreprise contraignantes, un code de conduite ou un mécanisme de certification. Dans les situations dans lesquelles un pays tiers n’est pas reconnu comme offrant un niveau de protection adéquat et en l’absence de garanties appropriées encadrant ce transfert, le transfert peut néanmoins, par exception, être opéré en vertu des dérogations listées à l’article 49 du RGPD. Tempérament du tempérament : ces dérogations – telles que le consentement explicite, l’exécution d’un contrat ou les motifs d’intérêt public – ne peuvent néanmoins être utilisées que dans des situations particulières et les responsables de traitement doivent, selon la Cnil, « s’efforcer de mettre en place des garanties appropriées et ne doivent recourir à ces exceptions qu’en l’absence de telles garanties » (8).

Marge de manœuvre des « Cnil »
A l’instar de son confrère irlandais, la Data Protection Commission (DPC), la Cnil pourrait-elle décider de modifier ses accords en matière de transfert des données vers les Etats-Unis ? Pour rappel, la DPC a refusé que les données des Européens soient collectées pour être stockées sur des serveurs américains, malgré la possibilité accordée par le RGPD, sous réserve des conditions (9). En effet, l’autorité de contrôle irlandaise considère que la loi américaine FISA (Foreign Intelligence Surveillance Act) est problématique, puisqu’elle autorise expressément la NSA (National Security Agency) à collecter les données de personnes étrangères si elles sont stockées sur des serveurs américains.
A l’origine, le RGPD pose des règles relatives aux autorités de contrôle tenant notamment à leurs indépendance, compétences, missions et pouvoirs (10). Ces autorités ont une large marge de manœuvre. En effet, en France par exemple, la loi « Informatique et Libertés » modifiée dispose que « la [Cnil] est une autorité administrative indépendante » (11), et le règlement européen permet, lui, de réduire la protection des personnes dans des cas particuliers afin de tenir compte des exigences nationales. Ce n’est donc pas parce que l’autorité irlandaise a pris cette décision que la Cnil doit nécessairement suivre la même analyse. Pour autant, dans une affaire concernant Google, la Cnil a conclu, prenant une inflexion similaire à son homologue irlandaise, que, à l’heure actuelle, les transferts de données vers les Etats-Unis ne sont pas suffisamment encadrés : dans une décision du 10 février 2022, elle a en effet mis en demeure un gestionnaire de site de mettre en conformité avec le RGPD ses traitements de données, en retirant Google Analytics si besoin (12). Pour rendre pareille décision, la Cnil se fonde sur l’arrêt « Schrems II » (13) de la Cour de justice de l’Union européenne (CJUE) ayant invalidé en 2020 le « Privacy Shield » (voir encadré ci-dessous).
Toutefois, même si les autorités de contrôle protègent les données personnelles en refusant le transfert des données sur les serveurs américains, une loi américaine datant de 2018 – le Cloud Act (14) – pose problème. En effet, le « Clarifying Lawful Overseas Use of Data Act » est une loi fédérale des Etats-Unis sur l’accès aux données personnelles, notamment opérées dans le nuage informatique. Elle permet aux instances judiciaires américaines d’émettre un mandat de perquisition contraignant les fournisseurs de cloud américains – même si les données sont stockées à l’étranger –, de fournir toutes les données d’un individu, sans qu’aucune autorisation ne soit demandée à la justice du pays dans lequel se situent l’individu ou les données.
Cette loi a été largement critiquée, étant entendu qu’elle se soustrait ainsi au contrôle des autorités réglementaires au sein du territoire de l’UE. Pour limiter, voire éviter une telle situation, la Commission européenne pourrait, à l’avenir, tenter de trouver un accord avec les Etats-Unis, et ainsi assurer la conformité avec le RGPD du transfert des données personnelles outre-Atlantique. En attendant, même si l’entreprise Meta a assuré le 8 février 2022, « n’avoir absolument aucune envie de se retirer de l’Europe, bien sûr que non » (15), la Commission européenne ne contournera pas l’arrêt « Schrems II » ayant annulé le « Privacy Shield », pas plus qu’elle ne l’avait fait pour l’arrêt « Schrems I » de 2015 annulant l’accord antérieur, le « Safe Harbour ». @

FOCUS

« Privacy Shield » : la CJUE peut-elle annuler… son annulation de 2020 ?
La Cour de justice de l’Union européenne (CJUE) pourrait-elle faire machine arrière et revenir sur sa décision d’annuler l’accord entre l’Union européenne (UE) et les Etats-Unis sur la gestion des données personnelles des Européens par les entreprises américaines et certaines autorités américaines ? Cet accord dit « Privacy Shield » était une décision d’adéquation adoptée en 2016 et encadrant les transferts de données vers les Etats- Unis. Ce qui permettait aux entreprises de transférer les données personnelles de citoyens européens aux Etats-Unis sans garanties complémentaires. Il a été annulé par l’arrêt « Schrems II » (16) de la CJUE daté du 16 juillet 2020. La CJUE avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux Etats-Unis, si les transferts n’étaient pas correctement encadrés.
Cet arrêt a donc impliqué le réexamen des transferts de données personnelles à destination des Etats-Unis et la nécessité d’apporter des garanties complémentaires.
La portée de cet arrêt a des conséquences sévères et démontre que, si les Etats-Unis ne respectent pas la protection des données, la CJUE n’acceptera pas d’accords sur ces mêmes termes. Dorénavant, il sera à nouveau possible de négocier un accord entre les Etats-Unis et l’UE si, et seulement si, les Etats-Unis acceptent de se soumettre aux dispositions du RGPD et de modifier leurs lois de surveillance des données risquées. Ce qui permettrait ainsi aux entreprises américaines d’évoluer sur le marché européen. Lors d’une conférence de presse le 23 février, à l’occasion de la présentation du Data Act (lire p. 6 et 7), la commissaire européenne à la Concurrence, Margrethe Vestager, s’est prononcée à ce propos : « Il est hautement prioritaire de conclure un tel accord avec les Américains (…), afin de permettre au milieu des affaires de tirer le meilleur parti des données (…) mais (….) dans des conditions transparentes et sûres » (17). Ainsi, les Etats-Unis et l’UE devront-ils trouver un accord alliant protection des données personnelles des utilisateurs européens et impératifs sécuritaires invoqués par l’administration américaine. @