Millions de données personnelles dérobées chez Free : comment les abonnés peuvent porter plainte

Depuis que Free s’est fait voler fin octobre les données personnelles de 19,2 millions de ses abonnés, dont 5,1 millions de coordonnées bancaires, la question juridique est de savoir comment les clients concernés par cette fuite massive peuvent porter plainte contre l’opérateur télécoms.

« Il est toujours possible d’engager une action de groupe à l’encontre de l’opérateur télécoms, via une association de consommateurs agréée. Mais il n’y a aucune certitude que Free soit condamné : se faire cambrioler ne signifie pas nécessairement qu’on a été négligent ! », a expliqué le 31 octobre à l’association 60 Millions de Consommateurs Jean-Jacques Latour (photo), directeur expertise cybersécurité pour Cybermalveillance.gouv.fr, qui assiste entre autres les victimes de hacking. Ce jour-là cet expert avait indiqué qu’un formulaire allait être mis en ligne sur ce site gouvernemental. « Le remplir permettra aux victimes d’avoir une preuve officielle à présenter à leur banque, si jamais elle rechigne à rembourser en cas d’opération non consentie », avait-il annoncé. La Commission nationale de l’informatique et des libertés (Cnil), qui a indiqué le 12 novembre que « le dossier est désormais en cours d’instruction » après « un contrôle chez l’opérateur » la semaine précédente (1), expliquait, elle aussi, – dans la version initiale d’une page web dédiée à la fuite de données chez Free et mise en ligne le 30 octobre – qu’un formulaire de plainte allait être accessible sur le site Cybermalveillance.gouv.fr.

A défaut de formulaire sur Cybermalveillance.gouv.fr, une class action ?
Cette « lettre plainte » devait permette aux clients victimes de la fuite massive de données personnelles, intervenue en octobre (2) chez l’opérateur télécoms fondé par Xavier Niel, de faire une déposition en ligne : « Si vous avez été avisés de la violation de vos données, à la suite de la cyberattaque visant l’opérateur de téléphonie Free, vous avez la possibilité de porter plainte via un formulaire en ligne sans vous déplacer en commissariat ou en brigade de gendarmerie. Ce formulaire sera prochainement disponible depuis le site cybermalveillance.gouv.fr », promettait le gendarme des données personnelles. Ce formulaire en ligne devait apparaître le 31 octobre… jour de la fête d’Halloween. Mais, sans explications, il n’en a rien été. Il n’y aura donc pas de formulaire. Se contentant de retirer la mention de ce formulaire en ligne de sa page web dédiée (3), la Cnil n’a donné aucune explication aux médias qui l’interrogeaient sur ce revirement. Contacté par la suite par Edition Multimédi@, Jean-Jacques Latour nous précise : « Le formulaire ne nous a pas été transmis par le ministère de l’Intérieur. Je n’ai pas à m’exprimer sur ses raisons et vous renvoie vers lui ». Mais la Place Beauvau (où se situe le ministère de l’Intérieur) n’a pas répondu à notre demande. Egalement contactée par nos soins, l’autorité administrative indépendante qu’est la Cnil ne nous a pas répondu non plus. (suite)

Les géants de l’Internet sont pris en étaux entre Margrethe Vestager et Lina Khan : le démantèlement ?

La Danoise Margrethe Vestager est vice-présidente exécutive de la Commission européenne, chargée de la concurrence ; L’Américaine Lina Khan est présidente de la Federal Trade Commission (FTC). Ces deux femmes de l' »antitrust », de part et d’autre de l’Atlantique, sont les bêtes noires des GAFAM. Elles sont redoutées par les Big Tech en général et par les GAFAM en particulier. Les abus de positions dominantes de ces géants du numérique, devenus des conglomérats de l’Internet à force d’effets de réseaux et d’acquisitions de concurrents potentiels, sont plus que jamais dans leur collimateur. Margrethe Vestager (photo de gauche) et Lina Khan (photo de droite) – respectivement vice-présidente exécutive chargée depuis novembre 2014 de la politique de concurrence à la Commission européenne, et présidente depuis septembre 2021 de la Federal Trade Commission (FTC) – leur mènent la vie (numérique) dure. Derniers faits d’armes de ces deux autorités « antitrust » : la Danoise a annoncé le 14 juin que la Commission européenne venait d’adresser à Google des griefs l’accusant de pratiques abusives sur le marché de la publicité en ligne ; l’Américaine a demandé le 12 juin devant un tribunal fédéral de San Francisco de suspendre l’acquisition de l’éditeur de jeux vidéo Activision Blizzard par Microsoft, opération à laquelle s’oppose la FTC qui a fixé une audition le 2 août prochain. Vis-à-vis des très grands acteurs du numérique, les deux grandes gendarmes de la concurrence n’hésitent pas aussi à agiter le spectre du démantèlement, qui est au marché ce que l’arme nucléaire est à la guerre. La FTC et la Commission européenne ont en outre déjà sorti le carton rouge et infligé des amendes aux contrevenants. Deux gendarmes antitrust face aux GAFAM Le démantèlement, Margrethe Vestager l’a encore évoqué explicitement le 14 juin mais sans utiliser le terme : « La Commission européenne estime donc à titre préliminaire que seule la cession [divestment] obligatoire, par Google, d’une partie de ses services permettrait d’écarter ses préoccupations en matière de concurrence ». Dans cette affaire d’abus de position dominante de Google sur le marché de la publicité en ligne, où l’Autorité de la concurrence en France a fortement contribué à l’enquête européenne (1), il est reproché à la firme de Mountain View de « favoriser ses propres services de technologies d’affichage publicitaire en ligne au détriment de prestataires de services de technologie publicitaire, d’annonceurs et d’éditeurs en ligne concurrents ». Et ce, « depuis 2014 au moins ». Le numéro un des moteurs de recherche (avec Google Search), des plateformes de partage vidéo (avec YouTube) ou encore des systèmes d’exploitation pour mobile (avec Android) est accusé par la Commission européenne de favoriser son ad-exchange AdX (DoubleClick Ad Exchange), bourse d’annonces publicitaires qui permet aux éditeurs et aux annonceurs de se rencontrer en temps réel, généralement dans le cadre d’enchères, pour acheter et vendre des publicités d’affichage. Scinder Google, Meta, Amazon ou Microsoft ? Les deux outils de Google d’achat de publicités, que son « Google Ads » (ex-Google Adwords) et « Display & Video 360 » (DV360), ainsi que le serveur publicitaire des éditeurs « DoubleClick For Publishers » (DFP), favorisent tous les trois AdX. « Si [à l’issu de son enquête en cours, ndlr] la Commission européenne conclut que Google a agi de façon illégale, il pourrait exiger qu’elle se départisse [divest] d’une partie de ses services. Par exemple, Google pourrait se départir de ses outils de vente, DFP et AdX. Ainsi, nous mettrions fin aux conflits d’intérêts », a prévenu Margrethe Vestager (2). Ce n’est pas la première fois que l’Union européenne agite le spectre du démantèlement Google. Le 27 novembre 2014, il y a près de dix ans, les eurodéputés avait adopté une résolution non contraignante appelant à la scission de la filiale d’Alphabet afin de « séparer les moteurs de recherche des autres services commerciaux » pour préserver la concurrence dans ce domaine (3). En France, l’Arcep y était favorable (4). Rappelons qu’en moins d’un an (juin 2017-mars 2019), Google a écopé de trois sanctions financières infligées par la Commission européenne pour un total de 8,25 milliards d’euros pour « pratiques concurrentielles illégales » (5). Aux Etats-Unis, pays des GAFAM, la question du démantèlement se pose depuis quelques années, bien avant l’arrivée de Lina Khan à la tête de la FTC qui n’écarte pas cette éventualité (6). Son prédécesseur, Joseph Simons, avait même fait le mea culpa de la FTC : « Nous avons fait une erreur », avait-il confessé dans un entretien à l’agence de presse Bloomberg (7) le 13 août 2019 en faisant référence à deux acquisitions de Facebook approuvées par la FTC : Instagram en 2012 pour 1 milliard de dollars et la messagerie instantanée WhatsApp en 2014 pour 19 milliards de dollars (sans parler d’Oculus VR racheté la même année pour 2 milliards de dollars). De son côté, Google obtenait le feu vert pour s’emparer de YouTube en 2006 pour 1,65 milliard de dollars, de DoubleClick en 2007 pour 3,1 milliards de dollars, et de l’application de navigation Waze en 2013 pour près de 1 milliard de dollars. « Ce n’est pas idéal parce que c’est très compliqué [de démanteler]. Mais s’il le faut, il faut le faire », avait estimé l’ancien président de la FTC. Sa successeure, Lina Khan, dont le mandat de trois s’achève en septembre 2024, est sur la même longueur d’ondes, elle qui a forgé tout sa doctrine anti-monopole sur le cas d’Amazon. N’a-t-elle pas publié en 2017 dans le Yale Law Journal un article intitulé « Paradoxe anti-monopole d’Amazon » (8) ? Avant de prendre la présidence de la FTC, elle avait travaillé à la sous-commission antitrust à la Chambre des représentants des EtatsUnis. Cette « subcommittee on antitrust » bipartisane avait publié en octobre un rapport de 451 pages intitulé « Investigation of competition in the Digital markets » (9) recommandant au Congrès américain de légiférer pour casser les monopoles numériques – quitte à en passer par leur « séparation structurelle » ou spin-off (10). En janvier dernier, le département de la Justice américain (DoJ) a entamé des poursuites antitrust contre Google sur le terrain de la publicité en ligne (11). Bien sûr, la filiale d’Alphabet n’est pas le seul géant du Net à faire l’objet de contentieux avec la Commission européenne et la FTC. Apple est aussi dans le collimateur de Margrethe Vestager, notamment sur les pratiques de la pomme sur son App Store à la suite d’une plainte de du géant de la musique en streaming Spotify qui s’estime victime d’une concurrence déloyale au profit d’Apple Music. La Commission européenne a ajusté le 28 février dernier ses griefs (12). L’an dernier, elle avait ouvert une autre enquête portant cette fois sur Apple Pay pour « abus de position dominante » sur le paiement mobile et le paiement sans contact (NFC) à partir des terminaux iOS (13). De son côté, le groupe Meta Platforms – maison mère de Facebook, Instagram et WhatsApp – s’est vu infliger le 12 mai 2023, pour infraction au règlement général sur la protection des données (RGPD), une amende record de 1,2 milliard de la part de la « Cnil » irlandaise (DPC) qui agissait au nom de la Commission européenne (14). Amazon, lui, l’a échappé belle en trouvant un accord en décembre 2022 avec Margrethe Vestager pour clore deux enquêtes. Le géant du e-commerce avait jusqu’à ce mois de juin 2023 pour se mettre en règle (15). Plus globalement, la Commission européenne a publié la liste des 19 « très grandes plateformes » (VLOP), qui, en Europe (16), seront soumises aux obligations renforcées du Digital Services Act (DSA). Les « contrôleurs d’accès » (gatekeepers) de type GAFAM ont, eux, jusqu’au 3 juillet prochain pour se déclarer auprès de la Commission européenne, laquelle les désignera d’ici le 6 septembre pour qu’ils se mettent en conformité avec Digital Markets Act (DMA) avant le 6 mars 2024. Aux Etats-Unis, des acquisitions contestées De l’autre côté de l’Atlantique, Lina Khan s’oppose aux projets de rachat d’Activision Blizzard par Microsoft (la FTC ayant saisi la justice pour bloquer l’opération), et de Within (contenu de réalité virtuelle) par Meta/Facebook. Elle a mis sous surveillance Amazon sur plusieurs fronts, infligeant notamment le 31 mai une amende au géant du ecommerce pour atteinte à la vie privé avec Alexa et Ring. Concernant le rachat des studios de cinéma MGM par Amazon, la FTC était divisée et n’a donc pas empêché cette opération au grand dam de Lina Khan. Apple est aussi accusé d’empêcher la réparation de ses iPhone. Ce que l’on sait moins, c’est que Margrethe Vestager et Lina Khan coopèrent étroitement sur de nombreux dossiers antitrust. @

Charles de Laubier