Influenceurs, influenceuses : rançon de la gloire

En fait. Le 27 septembre, le Conseil d’Etat a publié son étude annuelle 2022 : elle porte sur les réseaux sociaux et recommande notamment d’« armer la puissance publique dans son rôle de régulateur ». La haute juridiction administrative s’intéresse aussi aux influenceurs, un « métier » sous surveillance.

En clair. Le rapport intitulé « Les réseaux sociaux : enjeux et opportunités pour la puissance publique » que le Conseil d’Etat a publié le 27 septembre, soit deux mois et demi après l’avoir approuvé (1), vient alimenter les interrogations sur les réseaux sociaux en général et les influenceurs en particulier. Depuis la diffusion le 11 septembre sur France 2 de « Complément d’enquête » consacré au business des influenceurs, ce « nouveau métier » – aux airs de téléréalité sur Internet – est sous le feu des critiques. Les adolescents et jeunes adultes constituent la majeure partie de l’audience de ces « leaders d’opinion ».
D’où le crédit que leur accordent de plus en plus de marques en quête de nouveaux « espaces » de publicité, de sponsoring et de placement de produit sur les réseaux sociaux (Instagram, Snapchat, YouTube, TikTok, …). Selon l’agence Kolsquare, les influenceurs dépassant les 3 millions d’abonnés peuvent gagner jusqu’à « plusieurs centaines de milliers d’euros » pour un post, une vidéo ou encore un live. D’après l’Autorité de régulation professionnelle de la publicité (ARPP) qui a publié le 29 septembre son observatoire (2), l’« influence responsable » gagne du terrain. Le Conseil d’Etat, lui, relève que la régulation (Arcom, DGCCRF/Autorité de la concurrence) et la règlementation (loi de 2020 sur l’exploitation commerciale de l’image des moins de 16 ans, directive SMAd) se mettent en place (3). Mais la question du statut juridique des influenceurs se pose encore : « La relation contractuelle (…) prend souvent la forme d’un contrat d’artiste ou de mannequinat », constate le conseiller du gouvernement.
Si le métier d’influenceur peut susciter autant de mépris que d’admiration (4), c’est que le marché mondial du « marketing d’influence » prend de l’ampleur : 16,4 milliards de dollars de chiffre d’affaires cette année, selon les prévisions de Statista. Le titre racoleur de France 2 (France Télévisions) – « Arnaques, fric et politique : le vrai business des influenceurs » – a quelque peu jeté l’opprobre sur cette activité médiatique en pleine expansion. Le reportage à charge fut produit dans le sillage d’« une violente guerre médiatique oppos[ant] Booba, le rappeur millionnaire, à l’influente agent Magali Berdah [patronne de Shauna Events, ndlr] et ses influenceuses », le premier accusant même d’« escroquerie » et d’« #influvoleurs » (5) plusieurs vedettes de ces réseaux sociaux. @

Le chinois TikTok fait une percée sur le marché français de la publicité dominée par les Gafam

Alors que les acteurs européens de la publicité digitale en France ne pèsent que 20 % du marché français, face notamment à la domination américaine des Google, Meta (Facebook) et autres Amazon, la « progression fulgurante » du chinois TikTok pourrait accroître encore le poids des non-européens.

« TikTok fait au premier semestre 2022 une progression fulgurante, qui représente deux tiers de la croissance de la publicité en ligne sur les réseaux sociaux », a souligné Sylvia Tassan Toffola (photo), présidente du SRI, le syndicat français des régies Internet, lors de la présentation le 12 juillet de son Observatoire de l’e-pub. La filiale du groupe chinois ByteDance profite en France comme ailleurs de la croissance exponentielle des vidéos de courte durée sur les réseaux sociaux. TikTok en est un précurseur dans le monde, Instagram, Snap et YouTube ayant par la suite adopté des formats similaires.

TikTok : haro sur Google, Meta et Amazon
Résultat, sur l’Hexagone, TikTok contribue largement à la plus forte croissance qu’enregistre la publicité sur les réseaux sociaux (le « Social », dans le jargon des professionnels de la publicité digitale), à savoir + 27 % sur les six premiers mois de l’année par rapport au semestre de l’année précédente, pour atteindre plus de 1,2 milliard d’euros.
Selon Médiamétrie, TikTok en France arrive en 23e position en termes d’audience mensuelle avec plus de 18,2 millions de visiteurs uniques par mois (sur mai 2022, dont les chiffres ont été publiés fin juin). Ainsi, le chinois TikTok vient perturber la domination des géants du Net américains – dont « le trio Google-Meta-Amazon (GMA) » qui représente encore les deux tiers (66 %) du marché global de la publicité en ligne en France. Tandis que les acteurs européens pèsent moins d’un quart (20 %). Ce trio GMA prend en compte Alphabet (Google, YouTube), Meta (Facebook, Instagram, WhatsApp), Amazon (dont Twitch), mais pas Apple ni Microsoft.
TikTok pourrait jouer les trouble-fête si sa croissance se poursuit à ce rythme. La filiale de ByteDance (1) grignote des parts de marché « Social » à ses principaux concurrents que sont Meta, Twitter, Pinterest et LinkedIn (Microsoft). TikTok participe aussi, de près ou de loin, au « léger recul » du trio Google-Meta-Amazon, dont la part de marché en France passe de 68 % à 66 % – « du fait d’un ralentissement de leur croissance » (+16 % versus + 27 % entre 2021 et 2020). Mais ce triumvirat a généré à lui seul au premier semestre 2022 un chiffre d’affaires publicitaire de plus de 2,8 milliards d’euros. Selon l’Observatoire de l’e-pub, réalisé par le cabinet OliverWyman pour le SRI en partenariat avec l’Udecam (2), Meta accuse un ralentissement de sa croissance et sa part de marché « Social » s’est érodée. Un rééquilibrage entre les trois dominants Google-Meta-Amazon et les autres acteurs qui ne font pas partie du GMA est en tain de se faire, mais principalement en faveur de TikTok : les GMA ont progressé en six mois de « seulement » 16 % pendant que les non-GMA ont fait mieux avec une augmentation de leurs revenus de 16 %. « Les dynamiques de croissance montrent une forme de rééquilibre. Mais dans ce + 26 % de hausse des non-GMA, il y a bien évidemment la progression d’acteurs du “Social” comme TikTok », constate Sylvia Tassan Toffola, par ailleurs directrice générale de TF1 Publicité (dont la maison mère veut fusionner avec M6). La montée en puissance du chinois en France risque d’accroître le poids des acteurs non-européens – déjà massif avec 80 % de parts de marché – face aux acteurs européens (dont la maison mère est située en Europe) cantonnés actuellement à 20 %. « Là, c’est vrai, c’est un peu préoccupant puisque le poids des Européens a perdu 3 pourcents, passant de 23 % du marché français au premier semestre 2021 à 20 % au premier semestre de cette année, s’est inquiétée Sylvia Tassan Toffola. Mon message, il est le suivant : dans les périodes de crise, vous, agences, annonceurs, vous devez faire des choix, et des choix d’efficience [notamment en faveur de] la proposition de valeur des membres du SRI pour relever vos propres défis ».
Selon les prévisions du cabinet OliverWyman, la croissance du marché français de l’e-pub devrait ralentir au second semestre 2022 pour aboutir à une hausse d’environ 14 % sur l’ensemble de l’année, à 8,8 milliards d’euros.

Europe : la filiale de ByteDance contrariée
En Europe, où il compte 100 millions d’utilisateurs, TikTok est aussi en pleine croissance publicitaire. Mais le chinois rencontre quelques difficultés. « Sa stratégie de croissance largement centrée sur le e-commerce (3) a ralenti en Europe, à la suite de la performance décevante des outils comme TikTok Shopping en test au Royaume-Unis », relève l’étude OliverWyman. Par ailleurs, le 12 juillet dernier, un porte-parole de la « Cnil » irlandaise – la DPC (4) – a annoncé au site américain TechCrunch que TikTok mettait « sur pause » une mise à jour controversée de ses règles de confidentialité (privacy policy) et de ciblage publicitaire (5) qui devaient entrer en vigueur le 13 juillet. Ce qu’a aussitôt confirmé TikTok (6). La « Cnil » italienne avait, elle, été la première à « avertir formellement » (7) la filiale de ByteDance. @

Charles de Laubier

Violation de données personnelles sur Facebook : « Zuck »paiera-t-il des dommages et intérêts ?

Depuis le 23 mai, le PDG cofondateur de Facebook – Mark Zuckerberg – est accusé d’avoir pris directement la décision qui a porté atteinte à la protection des données, provoquant le scandale « Cambridge Analytica » de 2016. Le procureur de Washington D.C. lui demande des dommages et intérêts.

Six ans après le scandale « Cambridge Analytica » qui a cloué au pilori la société britannique du même nom pour fuite massive en 2016 de données personnelles dans la campagne présidentielle de Donald Trump, voici que Mark Zuckerberg fait lui-même l’objet d’une plainte. Après le refus d’un juge en mars dernier que le PDG de Facebook soit cité comme témoin (1) dans la procédure engagée en 2018 contre le numéro un des réseaux sociaux (2), le procureur général du District de Columbia (Washington), Karl Racine (photo), remonte au créneau en poursuivant cette fois « Zuck » en l’accusant d’être directement responsable. Il demande à la justice de le condamner à verser des dommages et intérêts.

Dommages et intérêts demandés à « Zuck »
L’affaire retentissante « Cambridge Analytica », qui avait notamment porté sur l’utilisation illégale de 70 millions de comptes de Facebook aux Etats-Unis pour influencer en 2016 l’élection présidentielle américaine, a déjà valu à la firme de Menlo Park (Californie) 5 milliards de dollars d’amende infligés en juillet 2019 par la FTC (3). Cambridge Analytica a aussi manipulé des données personnelles lors de la campagne pour ou contre le Brexit au Royaume-Uni.
Cette nouvelle plainte à Washington D.C. s’attaque pour la première fois à Mark Zuckerberg en personne, en tant que PDG du groupe Meta Platforms (maison mère de Facebook depuis octobre 2021). Cette assignation en justice, déposée le 23 mai dernier par le procureur Karl Racine, démontre – preuves à l’appui – que le patron de Facebook était décisionnaire dans la tromperie des utilisateurs et la violation de loi américaine sur la protection des consommateurs. « Le District de Columbia est en possession d’éléments de preuve qui démontrent à la fois le bien-fondé de (…) la responsabilité personnelle de M. Zuckerberg et de ses violations de la CPPA [à savoir le California Consumer Privacy Act (CCPA) de 2018]», assure l’auteur de la plainte, qui demande au tribunal « réparation » en condamnant le PDG à « verser un dédommagement ou des dommages et intérêts » (4). Karl Racine, qui demande en outre de lui « infliger des sanctions civiles », explique que le groupe Facebook – « sous la direction » de Mark Zuckerberg – a modifié son business model parce qu’il a reconnu que son réseau social au « F » blanc sur fond bleu pourrait être encore plus rentable s’il pouvait exploiter et vendre – « auprès de tiers » – la capacité d’influencer de manière fiable le comportement de ses utilisateurs. Facebook a encouragé – « et, parfois, en collaboration avec (eux) » – des développeurs et des chercheurs afin de recueillir et d’analyser les données des utilisateurs de Facebook pour qu’ils puissent mieux apprendre à manipuler les humeurs de ces 2,9 milliards « d’amis » (à ce jour) et influencer leurs achats et même la manière dont ils votent. « Plus le Facebook de Zuckerberg attise la division et la polarisation, déstabilise les démocraties, amplifie les génocides et a une incidence sur la santé mentale des utilisateurs, plus Facebook et ses dirigeants gagnent de l’argent. Compte tenu des milliards de dollars en jeu, et n’ayant aucun égard envers les personnes qu’il prétend servir, Facebook – sous la direction de Zuckerberg – a décidé de cacher ces problèmes le plus longtemps possible, y compris en induisant intentionnellement en erreur les utilisateurs de Facebook ainsi que le public, la presse et les dirigeants politiques », dénonce le procureur général. A l’origine du mal : la décision prise en 2010 par Facebook – « encore une fois une idée de Zuckerberg » – d’ouvrir la plateforme Facebook à des tiers. C’est à partir de là que tout commence, Facebook ayant persuadé des développeurs externes de créer des applications accrocheuses pour le réseau social, « en dirigeant encore plus d’utilisateurs et de données d’utilisateurs vers la plateforme ». Ce détournement de user data s’est fait par des « portes latérales » (side doors) au sein des applications elles-mêmes. Et Karl Racine d’enfoncer le clou : « Etant donné que la plateforme de Facebook a été conçue pour permettre les abus, la société de Zuckerberg a fonctionné en grande partie sans mesures de protection appropriées pour protéger les utilisateurs : l’application des règles était laxiste, l’examen des violations des applications était incohérent ou subjectif, et les règles elles-mêmes étaient floues et déroutantes. Mais en 2018, le monde a appris cette imposture ».

Wylie et Kaiser : lanceurs d’alerte en 2018
La politique laxiste de « Zuck » dans la soi-disant protection des données personnelles éclate au grand jour en mars 2018 (voir encadré page suivante). « Ce qui est le plus troublant, c’est que Facebook s’est penché sur (l’activité de) Cambridge Analytica et a déterminé qu’elle présentait un risque pour les données des consommateurs, mais a choisi d’enterrer ces préoccupations plutôt que de les arrêter, car cela aurait pu nuire au résultat net de Facebook (et de Zuckerberg) », fustige encore le procureur général. Karl Racine appelle la justice à tenir pour responsable Mark Zuckerberg en personne dans la violation des lois américaines sur la protection des données des utilisateurs de Facebook. Le cofondateur de Facebook, dont il est le PDG (membre du conseil d’administration), est citoyen américain résidant à Palo Alto (en Californie). Tandis que le siège social du groupe Meta (Facebook jusqu’en octobre 2021) est situé à Menlo Park, dans le même Etat. « Depuis 2012, Zuckerberg est président du conseil d’administration de Facebook et contrôle environ 60 % des actions avec droit de vote », est-il rappelé.

La responsabilité du PDG est engagée
Selon Forbes, et au moment où nous écrivons ces lignes, « Zuck » est la 15e personne la plus riche du monde avec un patrimoine professionnel de 70,1 milliards de dollars (5). Depuis la création de « TheFacebook » le 4 février 2004 à l’université d’Harvard et le lancement de Facebook le 1er août 2005, l’encore jeune homme – 38 ans depuis le 14 mai 2022 – est le responsable en chef des opérations quotidiennes de Facebook, de sa stratégie produit et de ses pratiques – « y compris les actes et les pratiques énoncés dans la présente plainte ». Lorsqu’il sera entendu à Washington D.C. dans le cadre de cette nouvelle procédure judiciaire, ce ne sera pas la première fois qu’il répondra aux allégations de ce district, comme il a pu le faire aussi devant les agences fédérales (FTC et FCC) ou le Congrès américain.
Si l’affaire « Cambridge Analytica » porte sur l’année 2016, avant d’être révélée en 2018, elle trouve ses origines dès 2013 : en novembre de cette année-là, Aleksandr Kogan – chercheur scientist affilié à l’Université de Cambridge – et son entreprise Global Science Research (GSR) ont lancé une application-tierce sur la plateforme Facebook, appli ludique de quizz baptisée « This is Your Digital Life » et capable de collecter des données personnelles pour générer un profil de personnalité. L’année suivante, le jeune Américain d’origine moldave (36 ans aujourd’hui) a conclu un accord avec Cambridge Analytica – cabinet d’experts-conseils politiques basé à Londres, auprès de candidats américains ou d’ailleurs – pour lui vendre les données recueillies par son application : 87 millions de consommateurs Facebook, dont près de la moitié résidents du district de Washington. « Plutôt que de faire de telles divulgations significatives [sur ces agissements dont ils avaient connaissance, et en violation de leurs propres règles], Facebook et Zuckerberg ont plutôt profité de Kogan et de Cambridge Analytica – utilisant abusivement des données de consommation volées – en vendant des millions de dollars d’espaces publicitaires à Cambridge Analytica et pour les campagnes des candidats à la présidence lors des élections de 2016 », accuse le procureur général Karl Racine. Mark Zuckerberg est même allé jusqu’à prétendre que la vie privée n’est plus une « norme sociale » parce que « les gens se sont vraiment mis à l’aise non seulement (avec le fait) de partager plus d’informations et d’autres types de renseignements, mais aussi de communiquer plus ouvertement et avec plus de monde » (6). La responsabilité et la culpabilité du patron actionnaire de Facebook – maintenant de Meta – ne fait aucun doute, d’après les détails donnés par le procureur : « Au sein de Facebook, Zuckerberg a supervisé directement le développement de produits et les travaux d’ingénierie qui exposaient les données des consommateurs à des abus : Zuckerberg est responsable de la plateforme Facebook et est en mesure d’annuler toute décision prise par l’entreprise. (…) Et, contrairement à ses déclarations publiques, Zuckerberg avait l’intention de trouver un moyen de tirer parti des changements apportés à la plateforme pour amasser plus de données — et donc plus d’argent — pour Facebook ». Le raisonnement est implacable et accablant pour le geek devenu très tôt multimilliardaire. Pour illustrer la responsabilité de « Zuck », Karl Racine cite longuement un de ses e-mails internes – daté celui-là du 19 novembre 2012 – près de dix ans déjà – où le patron conclut : « Le but de la plateforme est de lier l’univers de toutes les applications sociales ensemble afin que nous puissions permettre beaucoup plus de partage et rester toujours le hub social central. Je pense que cela trouve le juste équilibre entre l’ubiquité, la réciprocité et le bénéfice ».

10 ans de mensonges et de tromperies
Cela fait au moins depuis dix ans que Mark Zuckerberg était au courant des « risques » de sa plateforme « ouverte » sur la vie privée des « amis », où les amis de mes amis sont mes amis – «mais il n’a pas agi », alors qu’« il était conscient des risques posés (mais) il a activement ignoré ces risques ». Car le partage de données est au cœur du business model et la principale source de revenus (y compris publicitaire) de Facebook. « En tant que tel, Zuckerberg a participé, dirigé, géré, ou autrement connu – et avait le pouvoir de contrôler – les actions incohérentes de Facebook concernant la vie privée, y compris les pratiques commerciales trompeuses, les fausses déclarations et les ambiguïtés qui contreviennent à la loi sur la protection des consommateurs », conclut le procureur. La parole est maintenant à la défense. @

Charles de Laubier

ZOOM

L’affaire « Facebook » éclate au grand jour en mars 2018
Le scandale «Cambridge Analytica » a été révélée le samedi 17 mars 2018 par le quotidien américain The New York Times aux Etats-Unis et par l’hebdomadaire dominicale britannique The Observer en Grande-Bretagne – ce dernier ayant le même propriétaire que le quotidien The Guardian, lui aussi contributeur (7). Ces trois journaux se sont appuyés sur les informations d’un Canadien, Christopher Wylie, qui s’est présenté alors comme le lanceur d’alerte de cette affaire (8). Mais il n’est pas le seul ancien collaborateur de Cambridge Analytica à avoir parlé puisque l’Américaine Brittany Kaiser a elle aussi fait des révélations (9) qui ont aussi fait l’effet d’une bombe (10). @

Mineurs, réseaux sociaux et sites pornos : contrôle de l’âge et risques sur la vie privée

Alors qu’une procédure de l’Arcom s’éternisent devant la justice contre cinq sites web pornographiques (Pornhub, Ttukif, xHamster, Xnxx, et Xvideos), le contrôle de l’âge – pour interdire aux mineurs l’accès à ces contenus pour adultes ou l’inscription sur les réseaux sociaux – pose problème.

Cela fait un an que la Commission nationale de l’informatique et des libertés (Cnil) a publié – le 9 juin 2021 – huit recommandations pour « renforcer la protection des mineurs en ligne » (1), dont une – la septième – s’intitule « Vérifier l’âge de l’enfant et l’accord des parents dans le respect de sa vie privée ». Car la question du contrôle de l’âge est complexe et difficile à mettre en œuvre au regard de la protection de la vie privée et du principe de l’anonymat. Or, 44 % des 11-18 ans déclarent avoir déjà menti sur leur âge pour utiliser les réseaux sociaux (2). Et quelle proportion des mineurs ont déclaré être majeurs sur les sites web à caractère pornographique ?

Vérifier l’âge : pas de procédé fiable (PEReN)
Vérifier l’âge de l’internaute reste encore à ce jour un problème car les solutions de contrôle sont soit facilement contournables (déclaration qui peut être mensongère, vérification par e-mail inefficace, …), soit portant atteinte à la protection des données et à la vie privée (reconnaissance faciale jugée disproportionnée, utilisation des données recueillies à des fins commerciales ou publicitaires, …). A ce jour, les réseaux sociaux – le plus souvent interdits aux moins de 13 ans (voire moins de 16 ans dans certains autres pays européens comme l’Allemagne), et les sites web pornographiques interdits aux moins de 18 ans – ne savent pas vraiment comment procéder pour être irréprochables dans le contrôle de l’âge de leurs utilisateurs.
A Bercy, le Pôle d’expertise de la régulation numérique (PEReN) – rattaché à la Direction générale des entreprises (DGE) et placé sous l’autorité conjointe des ministres chargés de l’Economie, de la Culture et du Numérique (3) – a publié le 20 mai dernier une étude à ce sujet. « Détection des mineurs en ligne : peut-on concilier efficacité, commodité et anonymat ? », s’interroge cette entité interministérielle. Son constat : « Aujourd’hui, pratiquement aucun service en ligne n’utilise de procédé fiable permettant de vérifier l’âge. Malgré leur multiplicité, peu de méthodes sont à la fois faciles à mettre en œuvre, peu contraignantes et respectueuses de la vie privée des utilisateurs, performantes et robustes face à des tentatives de fraude ». Le PEReN, qui est dirigé par Nicolas Deffieux (photo), fait aussi office de task force au service notamment de l’Arcom (Autorité de régulation de la communication audiovisuelle et numérique), au moment où celle-ci – du temps du CSA (Conseil supérieur de l’audiovisuel) – a mis en demeure le 13 décembre 2021 cinq sites web pornographiques et les a enjoints de se mettre en conformité avec les nouvelles dispositions du code pénal. Faute d’avoir obtempéré dans les temps (ultimatum de quinze jours), les cinq plateformes incriminées – Pornhub, Ttukif, xHamster, Xnxx, et Xvideos – se retrouvent devant la justice, à l’initiative de l’Arcom, dans le cadre d’une procédure « accélérée » qui s’éternise (4).
Selon NextInpact, la présidente du tribunal judiciaire de Paris a considéré le 24 mai dernier comme « caduque » l’assignation adressée par l’Arcom aux fournisseurs d’accès à Internet (FAI) afin qu’ils bloquent les cinq sites pornos. Raison de cette annulation : l’Arcom n’a informé le tribunal de cette assignation que le jour même de l’audience, au lieu de la veille au plus tard (5). L’Arcom doit donc réassigner les FAI, ce qui reporte l’audience de quelques semaines. Toujours selon NextInpact, les avocats des sites pornos réclament le dépôt d’une question prioritaire de constitutionnalité devant le Conseil constitutionnel et d’une question préjudicielle à la Cour de justice de l’Union européenne (CJUE).
Tandis que le Conseil d’Etat, lui, a été saisi de l’annulation du décret d’application du 7 octobre 2021 portant sur les «modalités de mise œuvre des mesures visant à protéger les mineurs contre l’accès à des sites diffusant un contenu pornographique » (6). Ce décret menace les FAI contrevenants à des sanctions pénales de « trois ans d’emprisonnement et de 75.000 euros d’amende lorsque ce message [à caractère violent, incitant au terrorisme, pornographique] est susceptible d’être vu ou perçu par un mineur » (7). Surtout que « les infractions (…) sont constituées y compris si l’accès d’un mineur aux messages (…) résulte d’une simple déclaration de celui-ci indiquant qu’il est âgé d’au moins dix-huit ans » (8). Cette dernière disposition introduite dans le code pénal découle de la loi du 30 juillet 2020 visant à protéger les victimes de violences conjugales.

Vie privée : ne pas enfreindre le RGPD
Il y a donc péril judiciaire dans le porno. D’autant qu’une deuxième procédure, distincte de celle de l’Arcom, suit son cours en référé déposé devant le tribunal judiciaire par deux autres associations – La Voix de l’enfant et e-Enfance – sur la base de la loi « Confiance dans l’économie numérique » (loi LCEN de 2004). Son visés les mêmes sites pornos que dans la première affaire, mais avec MrSexe, IciPorno, YouPorn et RedTube (soit neuf au total). Or, à ce jour, l’absence de procédés fiables pour contrôler l’âge des internautes sans porter atteinte à la vie privée – et en respectant au niveau européen le règlement général sur la protection des données (RGPD) – rend la situation compliquée pour les réseaux sociaux et les sites pornos. « Les procédés techniques visant à vérifier la majorité d’âge ne sauraient conduire au traitement de données biométriques au sens de l’article 9 du RGPD, compte tenu de la nature particulière de ces données et du fait que le recueil du consentement de la personne concernée ne pourrait être considéré comme libre s’il conditionne l’accès au contenu demandé », avait mis en garde la Cnil dans son avis du 3 juin 2021 sur le projet de décret « Protéger les mineurs » (devenu le décret du 7 octobre 2021).

Double anonymat préconisé par la Cnil
Dans sa délibération parue au J.O. le 12 octobre de la même année (9), la Cnil écarte aussi le recours à la carte d’identité : « Serait considérée comme contraire aux règles relatives à la protection des données la collecte de justificatifs d’identité officiels, compte tenu des enjeux spécifiques attachés à ces documents et du risque d’usurpation d’identité lié à leur divulgation et détournement ».
Quoi qu’il en soit, l’article 8 du RGPD interdit l’utilisation de données personnelles des enfants âgés de moins de 13 à 16 ans, selon les Etats membres. La France, elle, a retenu l’âge de 15 ans. Ainsi, en-dessous de cet âge légal, la loi « Informatique et Libertés » impose – conformément au RGPD – le recueil du consentement conjoint de l’enfant et du titulaire de l’autorité parentale (10). Si la préoccupation première était de ne pas exposer les mineurs de 13 à 16 ans à de la publicité ciblée sur les réseaux sociaux, lesquels sont censés avoir mis en place des procédés de vérification de l’âge (11), cette obligation concerne désormais les sites web à caractère pornographique.
A noter que les jeux d’argent et de hasard en ligne (comme les paris sur Internet) sont également soumis au contrôle préalable de l’âge. Au niveau européen, la Commission européenne soutient l’initiative euConsent qui vise à mettre en place des systèmes de vérification de l’âge et de consentement parental qui soient interopérables, sécurisés et ouverts à l’échelle paneuropéenne – conformes à la certification eIDAS (12). Dans le consortium euConsent se côtoient Facebook, Google, les associations européennes respectivement des opérateurs télécoms historiques Etno et des fournisseurs d’accès à Internet EuroIspa, ou encore des organisations de protection de l’enfance. Le futur Digital Services Act (DSA), législation sur les services numériques, va introduire à son tour une interdiction de la publicité ciblée pour les mineurs.
Le contrôle de l’âge va se renforcer sur Internet, mais les méthodes de vérifications laissent à désirer. Le PEReN a classé dans son étude les solutions selon le mode de preuve employé (voir aussi tableau ci-dessous) :
• Le contrôle de l’âge, à l’aide d’un document portant l’identité et la date de naissance de la personne, à l’aide d’un document dont toutes les parties identifiantes auraient été supprimées avant tout traitement, ou enfin par les parents (contrôle parental) ;
• L’estimation algorithmique de l’âge sur la base du contenu publié ou utilisé par l’utilisateur sur le site ou bien à partir de données biométriques (voix, images, vidéos, …) ;
• Le déclaratif se basant uniquement sur les déclarations des internautes.
Le PEReN estime « primordial que la vérification de l’âge ne soit pas directement opérée par la plateforme ou le service en ligne afin de réduire le risque de croisement ou de réutilisation des données collectées lors de la vérification ». Il préconise alors « un mécanisme de tiers, voire de double tiers, [qui] peut être mis en place pour la transmission du résultat de la vérification précisément afin de minimiser ce risque ». Ainsi, ce mécanisme de doubletiers constitue une mise en œuvre possible du double anonymat recommandé par la Cnil, laquelle – en partenariat avec un laboratoire de l’Ecole polytechnique et le PEReN – a développé un prototype de ce mécanisme de vérification de l’âge par double anonymat pour en démontrer la faisabilité technique. D’après le PEReN « cette preuve de concept [devait] être rendue disponible fin mai ».
Contacté par Edition Multimédi@, son directeur général Nicolas Deffieux nous indique que la Cnil est maître des horloges. Le prototype est en effet entre les mains de Vincent Toubiana, qui y dirige le laboratoire d’innovation numérique (Linc). « Notre calendrier a été décalé et je n’ai actuellement aucune date de publication prévue », nous précise ce dernier. @

Charles de Laubier

« Facebook, Google & Big Telecoms veulent continuer à violer la neutralité du Net en Europe… »

« … Les régulateurs devraient les arrêter ». C’est l’alerte lancée par Barbara van Schewick, professeure de droit de l’Internet à la Stanford Law School aux Etats-Unis. Pour cette juriste allemande, les régulateurs des télécoms européens – du Berec – doivent préserver la neutralité de l’Internet.

L’organe des régulateurs européens des télécoms, appelé en anglais le Berec (1), s’est réuni du 8 au 10 juin à Chypre pour se mettre d’accord sur une mise à jour des lignes directrices sur « l’Internet ouvert » – alias la neutralité de l’Internet. Les précédentes avaient été publiées le 30 août 2016. Depuis, un arrêt de la Cour de justice de l’Union européenne (CJUE), daté du 15 septembre 2020, avait jeté un pavé dans la mare en déclarant contraire à la neutralité de l’Internet – donc illégale – la pratique du « trafic gratuit ».

Fort lobbying des Gafam et des telcos
Appelé aussi zero-rating, cet avantage consiste pour un opérateur télécoms à ne pas décompter dans son forfait mobile les données consommées par l’internaute pour un service « partenaire ». Le problème est qu’en « favorisant » tel ou tel service, l’opérateur mobile le fait au détriment des autres applications concurrentes. Facebook/ Instagram/WhatsApp, Google/YouTube, Netflix, Spotify, Apple Music, Deezer, Twitter ou encore Viber profitent du dispositif qui incite implicitement les abonnés mobiles à les utiliser en priorité puisqu’ils ne sont pas décomptés du crédit de données lié à leur forfait. Dans son arrêt de 2020, la CJUE épinglait ainsi le norvégien Telenor en Hongrie (2). Plus récemment, dans un autre arrêt daté du 2 septembre 2021, la CJUE s’en est prise cette fois à Vodafone et de TMobile en Allemagne pour leurs options à « tarif nul » contraires à l’Internet ouvert (3).
Ce favoritisme applicatif était identifié depuis près de dix ans, mais les régulateurs européens n’y ont pas mis le holà. Les « telcos » font ainsi deux poids-deux mesures : des applications gratuites et attrayantes face à d’autres payantes et donc moins utilisées. « Nous sommes réticents à la sacralisation du zero-rating qui, par définition, pousse les consommateurs de smartphones à s’orienter vers un service – généralement le leader capable de payer le plus – au détriment de ses concurrents, au risque de les faire disparaître », avait déclaré au Monde en 2016 l’association de consommateurs UFC-Que choisir (4). Plus de six ans après l’adoption par les eurodéputés du règlement européen « Internet ouvert » (5), les inquiétudes demeurent. « Des plans de gratuité discriminatoires tels que StreamOn de T-Mobile et le Pass de Vodafone violent la loi européenne sur la neutralité du Net », a dénoncé le 30 mai dernier Barbara van Schewick (photo), professeure de droit de l’Internet à la Stanford Law School aux Etats-Unis. Dans un plaidoyer publié par le CIS (Center for Internet and Society) qu’elle dirige dans cette faculté américaine (6), l’informaticienne et juriste allemande fustige « ces stratagèmes discriminatoires [qui] favorisent presque invariablement les propres services de l’opérateur ou ceux de plateformes géantes comme Facebook et YouTube ». Elle appelle le Berec à contrecarrer ces pratiques en les proscrivant clairement dans les prochaines lignes directrices révisées sur l’Internet ouvert. « Ce que décide le Berec aura un impact sur des millions d’Européens et, s’il fait les choses correctement, cela augmentera la quantité de données que les gens obtiennent chaque mois, tout en rétablissant la concurrence en ligne », espère Barbara van Schewick. Mais l’Organe des régulateurs européens des communications électroniques, basé à Bruxelles, subit de fortes pressions des lobbies des Gafam et des telcos « pour laisser des échappatoires afin que la gratuité discriminatoire puisse continuer ». Or, dénonce-t-elle, « cette pratique injuste cimente le pouvoir de marché des plateformes dominantes ».
Cette concurrence déloyale se fait aussi dans la musique en ligne et la SVOD. La professeure de droit de l’Internet cite le cas d’une start-up américaine lancée il y a dix ans, Audiomack. Après avoir examiné 34 programmes de zerorating pour les applications de musique en Europe, où cette plateforme musicale voulait de lancer, elle n’a pas eu d’offres ou de réponses de la part de 25 opérateurs télécoms. « Après dix mois de travail, elle a été incluse dans 3 programmes. Pendant ce temps, Apple Music était présent dans 26 et Spotify dans 23 », relate Barbara van Schewick.

Que le « trafic nul » soit bien interdit
Et d’après une étude d’Epicenter.works publiée en 2019, WhatsApp et Facebook, du groupe Meta, suivis par le français Deezer, sont les applications les plus « détaxées » parmi les 186 plans de trafic gratuit recensés (7). La professeure du CIS espère en tout cas que le Berec confirmera ce qu’il a déjà prévu d’indiquer dans les prochaines lignes directrices : à savoir que le trafic gratuit viole la neutralité du Net. C’est net et clair dans le projet de guidelines de mars dernier (8). Mais la professeure espère que toutes ces pratiques seront in fine clairement interdites, noir sur blanc, afin que les opérateurs télécoms ne puissent pas contourner l’obstacle. @

Charles de Laubier