Archives par mot-clé : Union européenne

Le paquet « connectivité » de la Commission européenne veut rebattre les cartes des télécoms

Publié le par

Projet de règlement « Infrastructure Gigabit Act », projet de recommandation « Gigabit », consultation « exploratoire » : retour sur les trois composantes du paquet « connectivité » présenté par la Commission européenne pour tenter d’atteindre en 2030 les objectifs de la « Décennie numérique ».

Par Marta Lahuerta Escolano*, avocate of-counsel, Jones Day

La connectivité au sein des Etats membres de l’Union européenne (UE) est marquée par des changements technologiques de rupture avec le développement rapide de l’intelligence artificielle, le métavers, la diffusion en continu de films et séries, l’informatique en nuage, les interfaces de programmation d’applications (« API »), etc. Les nouvelles infrastructures vont devoir être en mesure de supporter un volume toujours plus élevé de données transitant sur leurs réseaux chaque seconde.

Un « Infrastructure Gigabit Act » en vue
Le programme d’action pour la décennie numérique (1) de la Commission européenne, dont le but est de guider la transformation numérique d’ici 2030, a pour objectif de permettre à toutes les personnes physiques et morales situées dans l’UE de bénéficier à cette échéance d’une connectivité dite « gigabit », à savoir 30 Mbits/s. Dans ce contexte, elle a dévoilé le 23 février 2023 trois initiatives en vue de transformer le secteur de la connectivité.
La première initiative consiste en l’adoption d’une proposition de règlement sur les infrastructures « gigabit » – « Infrastructure Gigabit Act » (2) – qui comprend des mesures visant à stimuler le déploiement de réseaux « à très haute capacité » moins coûteux et plus efficaces. Il a vocation à remplacer la directive européenne « Réseaux haut débit » de 2014 visant à réduire le coût de déploiement (3). La proposition coexiste avec d’autres instruments juridiques soutenant les objectifs de connectivité fixés par l’UE, notamment le code européen des communications électroniques établi en 2018 (4) et la recommandation « Régulation des marchés pertinents » de 2020 (5).
Le projet de règlement propose un ensemble de moyens visant à surmonter les barrières associées au déploiement lent et très coûteux des infrastructures qui affectent les réseaux « gigabit ». Compte tenu du développement rapide des fournisseurs d’infrastructures physiques sans fil, la définition d’opérateur de réseau – initialement comprise comme les entreprises fournissant ou autorisées à fournir des réseaux de communications électroniques et des entreprises mettant à disposition une infrastructure physique destinée à fournir d’autres types de réseaux, tels que les transports, le gaz ou l’électricité – est élargie aux entreprises fournissant des ressources associées tels que définis dans la directive « Code européen des communications électroniques » (6). Il ressort également que les « towerco » (détenteurs d’infrastructures réseaux tels que pylônes pour 4G/5G ou TNT) rentrent dans le champ d’application du projet de règlement « Infrastructure Gigabit Act ». Ce dernier étend aussi l’obligation d’accès aux infrastructures physiques qui ne font pas partie d’un réseau, mais qui sont détenues ou contrôlées par des organismes du secteur public. Il introduit également l’obligation – pour les opérateurs de réseaux de communications électroniques ou l’organisme du secteur public propriétaire ou contrôlant l’infrastructure physique refusant de faire droit à une demande d’accès – d’indiquer par écrit au demandeur les raisons spécifiques et détaillées de leur refus dans un délai d’un mois à compter de la date de réception de la demande d’accès. Il clarifie en outre les motifs de refus d’accès. Ce projet du « Infrastructure Gigabit Act » prévoit également une dérogation aux obligations de transparence lorsque l’obligation de fournir des informations sur certaines infrastructures physiques existantes serait jugée disproportionnée sur la base d’une analyse coûts avantages détaillée, réalisée par les Etats membres et fondée sur une consultation des parties prenantes (7).
Concernant la coordination des travaux de génie civil, le projet « Infrastructure Gigabit Act » porte à deux mois le délai dans lequel la demande de coordination des travaux de génie civil doit être introduite et supprime la possibilité pour les Etats membres de prévoir des règles de répartition des coûts liées à la coordination des travaux de génie civil (8). De plus, il prévoit le droit d’accès à un minimum d’informations concernant tous les travaux de génie civil planifiés publics et privés réalisés par l’opérateur de réseau. Cet accès pourrait être limité, pour des raisons de sécurité nationale, de sécurité des réseaux, ou de secrets d’affaires (9).

Des procédures plus simples et digitales
Les mesures proposées répondent aux objectifs de simplification des règles et des procédures en les rendant plus claires, plus rapides et en promouvant leur numérisation. Le projet « Infrastructure Gigabit Act » simplifie la procédure de délivrance des autorisations en interdisant aux autorités compétentes de restreindre indûment le déploiement de tout élément des réseaux à très grande capacité et en obligeant les Etats membres à veiller à ce que toute règle régissant les conditions et procédures applicables à l’octroi des autorisations, y compris les droits de passage, soit cohérente sur l’ensemble du territoire national (10). Est aussi introduite une autorisation tacite, réputée accordée en l’absence de réponse de l’autorité compétente dans le délai de quatre mois requis pour délivrer l’autorisation, sauf prolongation de ce délai. Les Etats membres devront donc veiller à la compatibilité de cette autorisation tacite avec le régime prévu dans leur droit national.

Financement des infrastructures « gigabit »
En matière d’infrastructure physique à l’intérieur des immeubles, la proposition de règlement introduit l’obligation, pour les bâtiments nouvellement construits ou faisant l’objet de travaux de rénovation importants, d’être équipés d’une connexion fibre optique (11). Enfin, le projet « Infrastructure Gigabit Act » accorde le droit à toute partie de saisir d’un litige l’autorité nationale compétente de règlement des litiges lorsqu’un accord sur l’accès aux infrastructures physiques à l’intérieur des bâtiments n’a pas été conclu dans un délai d’un mois à compter de la date de réception de la demande officielle d’accès, et non plus deux mois (12) – comme le prévoyait la directive « Réseaux haut débit ». De son côté, l’autorité nationale compétente de règlement des litiges disposerait d’un délai d’un mois ou quatre mois, selon la nature du litige, à compter de la réception de la demande de règlement du litige, afin de prendre une décision pour résoudre le litige.
La deuxième initiative porte sur le lancement d’une consultation publique dont l’objectif est de recueillir des avis sur l’évolution des technologies et des besoins commerciaux et son impact sur le secteur des communications électroniques. Il aborde également le type d’infrastructure et le montant des investissements dont l’Europe aura besoin pour mener la transformation numérique dans les années à venir. Compte tenu des investissements très élevés requis pour la connectivité à très haut débit, la Commission européenne sollicite l’expression d’avis sur les infrastructures nécessaires pour atteindre la connectivité « gigabit » ainsi que le financement de celles-ci.
Selon Thierry Breton, commissaire européen en charge du Marché intérieur, « la charge de ces investissements est de plus en plus lourde, en raison entre autres du faible retour sur investissement dans le secteur des télécommunications, de l’augmentation du coût des matières premières et du contexte géopolitique mondial, qui exige une sécurité accrue de nos technologies-clés pour protéger notre souveraineté » (13). Une partie de la consultation exploratoire porte sur le sujet sensible de la contribution de tous les acteurs numériques au financement des infrastructures de haute connectivité – le fair share. Sur le fondement de la Déclaration européenne sur les droits et principes numériques (14), la consultation exploratoire interroge les acteurs concernés sur l’opportunité d’introduire un mécanisme consistant en une contribution ou un fond numérique européen/national (15). La consultation lance un dialogue ouvert avec toutes les parties prenantes qui prendra fin le 19 mai 2023 (lire p. 6 et 7 de ce numéro).
La troisième initiative consiste en un projet de recommandation sur le « gigabit » visant à fournir des orientations aux autorités de régulation nationales sur les conditions d’accès aux réseaux de communications électroniques des opérateurs ayant un pouvoir de marché significatif. Ce projet de recommandation (16) a été transmis à l’Organe des régulateurs européens des télécoms (Orece ou Berec) pour une consultation d’une durée de deux mois. Une fois l’avis de l’Orece pris en compte, la Commission européenne adoptera sa recommandation finale. La recommandation « gigabit » remplacera la recommandation « Réseaux d’accès de nouvelle génération (NGA) » de 2010 (17) ainsi que la recommandation « Non-discrimination dans le haut débit » de 2013 (18).
Le projet de recommandation « Gigabit » vise à établir un environnement réglementaire adéquat, qui incite à l’abandon des technologies traditionnelles comme le réseau cuivre, et encourage l’accès et l’utilisation des réseaux à très haute capacité. Il a également pour objectif de contribuer au développement du marché unique des réseaux et services de communications électroniques, de promouvoir une concurrence effective, et de renforcer la sécurité juridique compte tenu des investissements à long terme dans ces réseaux « gigabit ». Il appartient maintenant au Parlement et au Conseil européens d’examiner et de modifier ce texte, par une série de lectures.

De nouvelles règles directement applicables
Les règlements sont des actes législatifs d’applicabilité directe dès leur entrée en vigueur, de manière automatique et uniforme dans tous les Etats membres, à la différence des directives qui nécessitent d’être transposées dans les législations nationales. Si les deux institutions approuvent ces nouvelles règles, celles-ci seront donc directement applicables dans tous les Etats membres. Il appartiendra aux Vingt-sept d’unifier leurs droits nationaux et d’en assurer la cohérence, dans la mesure où de potentielles contradictions pourraient survenir entre les mesures adoptées par chacun de ces pays dans le cadre de la transposition de la directive « Réseaux haut débit » en droit national et celles prévues par le projet de règlement « Gigabit », une fois adopté, qui seront directement applicables et obligatoires. @

* Tous les points de vue ou opinions exprimés dans cet article
sont personnels et n’appartiennent qu’à l’auteur

« Contribution équitable » aux réseaux des opérateurs télécoms : ce qu’en pensent les GAFAM

Publié le par

Les Google, Amazon, Facebook (Meta), Apple et autres Microsoft ont réagi à l’idée – soumise à consultation par la Commission européenne jusqu’au 19 mai – qu’ils « contribuent équitablement » aux investissements des réseaux des opérateurs télécoms. C’est injustifié et risqué pour la neutralité du Net.

Les GAFAM et les « telcos », notamment les opérateurs télécoms historiques (Orange, Deutsche Telekom, Telefonica, Telecom Italia, …), vont plus que jamais se regarder en chiens de faïence. Les grandes plateformes numériques de l’Internet vont avoir l’occasion de démontrer que « tout paiement pour l’accès aux réseaux pour fournir du contenu ou pour le volume de trafic transmis serait non seulement injustifié, étant donné que le trafic est demandé par les utilisateurs finaux et que les coûts ne sont pas nécessairement sensibles au trafic (notamment sur les réseaux fixes), mais aussi qu’il compromettrait le fonctionnement de l’Internet et enfreindrait probablement les règles de neutralité de l’Internet ».

Droits et principes numériques à la rescousse
C’est du moins en ces termes que la Commission européenne formule la position des GAFAM dans le questionnaire de sa « consultation exploratoire sur l’avenir du secteur de la connectivité et de ses infrastructures », ouverte depuis le 23 février et jusqu’au 19 mai (1).
En face, les opérateurs télécoms – du moins les anciens monopoles d’Etat des télécommunications en Europe – « demandent la mise en place de règles obligeant les fournisseurs de contenus et d’applications, ou les acteurs numériques en général qui génèrent d’énormes volumes de trafic, à contribuer aux coûts de déploiements des réseaux de communications électroniques [sous la forme d’une] contribution [qui] serait “équitable”, étant donné que ces (…) acteurs numériques profiteraient des réseaux de qualité sans supporter le coût de leurs déploiements ». Prudente, la Commission européenne se garde bien de prendre parti, contrairement aux prises de position favorable aux « telcos » de son commissaire européen Thierry Breton, en charge du marché intérieur (2), qui fut dans une ancienne vie président de France Télécom devenu Orange (octobre 2002-février 2005). Elle fait référence à la Déclaration européenne sur les droits et principes numériques pour la décennie numérique (DEDPN), telle que promulguée le 23 janvier 2023 au Journal officiel de l’Union européenne (3). Deux points de cette déclaration sont mentionnés dans le questionnaire de la Commission européenne :
« Tous les acteurs du marché bénéficiant de la transformation numérique devraient assumer leurs responsabilités sociales et apporter une contribution équitable et proportionnée aux coûts des biens, services et infrastructures publics, dans l’intérêt de toutes les personnes vivant dans l’Union », indique l’exécutif européen. Remarquez que la DEDPN elle-même ne parle pas explicitement de « contribution équitable » comme le fait la Commission européenne, mais de « particip[ation] de manière équitable et proportionnée aux coûts » (4).
« L’accent est également mis sur la protection d’un Internet neutre et ouvert dans lequel les contenus, les services et les applications ne sont pas bloqués ou dégradés de manière injustifiée, ce qui est déjà inscrit dans le règlement sur l’accès à un Internet ouvert ». Là, l’exécutif européen reste fidèle au passage de la DEDPN (5) mais en ajoutant la référence au règlement européen du 25 novembre 2015 qui ne parle pas explicitement de « neutralité de l’Internet » mais d’« Internet ouvert » (6). Donc : pas de blocage ni de ralentissement, ni de modification ni de restriction, ni de perturbation ni dégradation, ni de traitement de manière discriminatoire, hormis « des mesures raisonnables de gestion du trafic » (7).
Aux différents acteurs du numérique (opérateurs télécoms et acteurs du numérique), la Commission européenne leur demande de lui indiquer, entre 2017 et 2021 puis leurs prévisions de 2022 à 2030, leurs « investissements directs dans des infrastructures de réseau et/ou d’autres infrastructures numériques [hébergement, transport de données, centres de données, CDN (8), etc] capables d’optimiser le trafic de réseau au sein des Etats membres de l’UE ou présentant un intérêt pour ceux-ci ». Il est notamment demandé aux opérateurs télécoms de dire dans quelle mesure la part des investissements dans les réseaux a dépassé les investissements qu’ils avaient prévus au cours des cinq dernières années, « y compris lorsqu’ils dépendaient d’obligations réglementaires (par exemple, le spectre radioélectrique) », et de quantifier l’augmentation du trafic (entrant/sortant) par leurs réseaux.

« Top 10 » des réseaux et compression
Chaque opérateur télécoms est aussi appelé à « indiquer nominativement les 10 principaux contributeurs et indiquer le pourcentage du trafic total qu’ils ont généré sur [son] réseau ». Pour autant, la Commission européenne ne veut pas faire l’impasse sur les nouveaux algorithmes de compression qui peuvent – « en partie » – compenser l’augmentation du trafic de données demandée par les mises à jour et les progrès réalisés dans ce domaine. Elle demande aux « telcos » de leur indiquer les modifications dans le volume de données transmis sur leur réseau « résultant de l’évolution des algorithmes de compression » au cours des cinq dernières années. Les réponses proposées sur les gains obtenus grâce à la compression vont de « pas de changement significatif » à « plus de 15 % » de diminution, en passant par « jusqu’à 5 % », « de 6 à 10 % » et « de 11 à 15 % ». Ce qui laisse supposer que la compression des données n’est sans doute pas négligeable.

Les internautes vont payer deux fois (CCIA)
La Computer & Communications Industry Association (CCIA), basée aux Etats-Unis et représentant notamment les GAFAM (le « F » étant devenu Meta) aux côtés de Twitter, Yahoo, Rakuten, eBay, Vimeo, Pinterest, Uber, Intel et d’autres, s’inscrit en faux contre cette idée de « redevances de réseau » (network fees). « L’introduction de frais de réseau est une idée terrible. Les Européens paient déjà les opérateurs télécoms pour l’accès à Internet ; ils ne devraient pas avoir à payer les télécoms une deuxième fois. Et[cela] minerait l’Internet ouvert », s’inquiète Christian Borggreen (photo de gauche), vice-président et directeur de la CCIA Europe. D’après elle, la Commission européenne donne l’impression d’avoir cédé aux sirènes des « telcos ». « Si les grands opérateurs télécoms de l’UE parvenaient à leurs fins, les entreprises du numérique seraient obligées de payer des redevances de réseau chaque fois qu’elles répondent aux demandes des utilisateurs d’Internet. (…) Le questionnaire (…) semble déjà accepter le principe de la fausse “juste part” [fair share] poussée par les grands opérateurs télécoms ».
Pour la CCIA, cela revient à « justifier l’idée que les services de streaming et de cloud rencontrant un succès devraient (…) subventionner les opérateurs télécoms ». Or, rappellet-elle, l’Organe des régulateurs européens des télécoms (Orece ou Berec) « n’a trouvé aucune preuve que ce mécanisme [pour les redevances de réseau] est justifié » et a conclu que ces network fees « pourraient présenter divers risques pour l’écosystème Internet ». En effet, le Berec – dont fait partie l’Arcep en France – conclut dans sa note d’une quinzaine de pages datée du 7 octobre 2022 (9) qu’il « n’a pas de preuve que ce mécanisme [de “compensation directe” susceptible d’être payée par les plateformes aux opérateurs, ndlr] est justifié » et que « la proposition des membres de l’Etno [l’association européenne des opérateurs télécoms historiques, ndlr] pourrait présenter divers risques pour l’écosystème Internet ». La CCIA Europe met implicitement en garde la Commission européenne sur l’échec d’une telle mesure, en signalant « une expérience réglementaire similaire a déjà échoué en Corée du Sud » (10). Un autre lobby des GAFAM entre autres, appelé Dot Europe (ex-Edima) et basé lui aussi à Bruxelles, « encourage la Commission européenne à adopter une approche objective similaire » à celle du Berec. Selon Siada El Ramly (photo du milieu), directrice générale de Dot Europe, l’avis émis en octobre par le Berec constitue « déjà un bon point de départ (…) montrant qu’il n’y a pas de lacunes identifiables concernant l’investissement dans l’infrastructure de réseau ». En revanche, silence radio du côté de DigitalEurope (ex-Eicta), elle aussi organisation professionnelle des GAFAM entre autres Big Tech (11), que Edition Multimédi@ a contactée mais sans succès.
En France, l’Association des opérateurs télécoms alternatifs (Aota) était montée au créneau en novembre dernier pour défendre – note du Berec à l’appui aussi – la neutralité de l’Internet qu’elle estime menacée par le projet d’un « Internet à péage » (12). Quant à l’Association des services Internet communautaires (Asic), basée à Paris et regroupant Google, Facebook, Microsoft ou encore Yahoo, elle a exprimé le 24 février « son refus catégorique de la mise en place d’un péage numérique en Europe, qui porterait atteinte à la neutralité du Net » et estime qu’« il n’y a actuellement pas de déséquilibre justifiant l’intervention du législateur dans la réglementation du peering payant ». Le président de l’Asic, Giuseppe de Martino (photo de droite) avait cosigné le 7 février – avec les présidents de l’Aota (Bruno Veluet), de l’Internet Society France (Nicolas Chagny) et de France IX Services (Franck Simon) – une tribune pour dire que « la création d’un péage numérique en Europe est une fausse bonne idée » (13).
Contrairement à l’Etno (14) des opérateurs télécoms historiques et à la GSMA (15) des opérateurs mobiles, d’autres organisations représentatives des opérateurs télécoms alternatifs – comme nous l’avons vu avec l’Aota – son réticentes voire hostiles au renforcement des opérateurs de réseaux historiques dans leur rentabilité et dans leur position dominante.

Gigabit Infrastructure Act : anti-concurrentiel ?
Sans évoquer spécifiquement la question de la redevance « GAFAM », l’Ecta – association des opérateurs télécoms alternatifs (16) – s’en est pris plus globalement au « Paquet connectivité » présenté par la Commission européenne le 23 février (17). « Un #Gigabit Infrastructure Act (18) est inutile si la recommandation Gigabit est le clou final dans le cercueil de la concurrence. Les investissements en souffriront et les prix de détail augmenteront et alimenteront l’inflation. De nombreux citoyens de l’UE seront exclus et ne pourront pas se permettre la connectivité Gigabit », a tweeté l’Ecta (19). Parmi ses membres, il y a – outre l’Atoa – Bouygues Telecom, Iliad (Free), Colt, Transatel Sky, Fastweb ou encore Eurofiber. @

Charles de Laubier

Taxe GAFA (OCDE) : convention multilatérale en vue

Publié le par

En fait. Les 24 et 25 février, s’est tenue la première réunion des ministres des Finances et des gouverneurs des banques centrales du G20, lequel avait lieu en Inde à Bangalore. Il a été question de la future taxe « GAFA » de l’OCDE qui s’appliquera une fois la « convention multilatérale » signée par 138 pays. Fin 2023 ?

En clair. L’« accord historique » du 8 octobre 2021, arraché à 136 pays (aujourd’hui 138) par l’Organisation de coopération et de développement économiques (OCDE) sur les 140 qui se sont engagés auprès d’elle à lutter contre l’évasion fiscale et les paradis fiscaux (1), n’a pas encore produit tous ses effets. Le « pilier 2 » de cet accord – à savoir un taux d’imposition de 15 % minimum sur le bénéfice des multinationales (GAFAM compris) réalisant au moins 750 millions d’euros de chiffre d’affaires annuel – a été transposé par la plupart des pays, y compris par l’Union européenne avec la directive du 14 décembre 2022 et applicable « au plus tard le 31 décembre 2023 » (2). Pour des pays comme la France et les Etats-Unis, où l’impôt sur les sociétés est respectivement de 25 % (15 % pour les PME) et 21 %, cela ne change rien.
En revanche, le « pilier 1 » de l’accord « OCDE » piétine. Il vise particulièrement les GAFAM, lesquels seront taxés à hauteur de 25 % de leur bénéfice taxable (au-delà d’un seuil des 10 % de profits, pour que ces sommes soient réattribuées aux pays concernés selon une clé de répartition en fonction des revenus générés dans chacun de ces pays (3). Mais cette réaffectation de l’impôt collecté auprès de ces « grands champions » de la mondialisation et de la dématérialisation nécessite une « convention multilatérale » (CML) que doivent signer chacun des 138 pays ayant à ce jour accepté la déclaration du 8 octobre 2021 (4). Aux Etats-Unis, ce texte devra être ratifié par les deux tiers des sénateurs américains – ce qui n’est pas gagné au pays des GAFAM ! L’Inde, qui reçoit cette année le G20 à Bangalore, bloque tant que les pays en développement ne seront pas aidés financièrement dans la mise en œuvre. Tandis que l’Arabie saoudite veut des exceptions.
C’est au sein de l’instance appelée « Cadre inclusif OCDE/G20 sur le BEPS » (5), chargée de remédier à l’évasion fiscale et aux paradis fiscaux, que se joue l’avenir de la fiscalité numérique des géants du Net. La CML, soumise à signature jusqu’au 31 décembre 2023, obligera dès son entrée en vigueur la sup- pression des « taxes GAFA » instaurées dans leur coin par certains pays comme la France, l’Espagne ou le Royaume-Uni. La France, qui fait « cavalier seul » depuis 2019 (3 % du chiffre d’affaires publicitaire des GAFA réalisé en France), compte récupérer 670 millions d’euros en 2023, contre 591 millions en 2022. @

Protection des données en Europe : pour le CEPD, le groupe Meta ne peut imposer sa loi

Publié le par

Facebook, Instagram et WhatsApp (réseaux sociaux du groupe Meta) ont été épinglés par la « Cnil » irlandaise, la DPC, pour ne pas avoir respecté le règlement européen sur la protection des données (RGPD). Mais faute de consensus avec ses homologues des Vingt-sept, le CEPD a eu le dernier mot.

Par Jade Griffaton et Emma Hanoun, avocates, DJS Avocats

Après cinq ans de procédure, deux sanctions ont été annoncées respectivement les 4 et 19 janvier 2023 pour un total de 395,5 millions d’euros pour le non-respect des mesure imposées par le règlement européen sur la protection des données personnelles (RGPD). Il s’agit de trois amendes infligées à Meta en Irlande par la DPC, la commission de protection des données, à savoir la « Cnil » irlandaise (1). Au coeur du débat : la publicité ciblée pour les utilisateurs des réseaux sociaux du groupe : Facebook (210 millions d’euros d’amende), Instagram (180 millions) et WhatsApp (5,5 millions). Des enquêtes avaient été entreprises après des plaintes de l’organisation autrichienne Noyb (2) pour la protection de la vie privée, fondée par Max Schrems.

Un contexte procédural complexe
La société Meta Ireland est au coeur des discussions depuis plusieurs années. Dès 2021, Facebook fait l’objet d’une fuite de données personnelles de plusieurs millions de ses utilisateurs menant à l’ouverture d’une enquête par l’autorité irlandaise de protection des données. A la suite de l’enquête, Meta a été condamnée le 25 novembre 2022 à une amende de 265 millions d’euros pour avoir violé ses obligations de sécurisation des données (3). En mars 2022, l’autorité irlandaise avait déjà infligé une amende de 17 millions d’euros à Meta (4), qui n’avait pas pu démontrer la mise en place « de mesures techniques et organisationnelles appropriées […] pour protéger les données des utilisateurs » de l’Union européenne (UE). En parallèle, en France, la Cnil a condamné en janvier 2022 l’entreprise Meta à une amende de 60 millions d’euros en raison de l’impossibilité pour les utilisateurs de refuser simplement les cookies (5). En plus de cette amende, la Cnil avait ordonné une injonction sous astreinte de mettre à disposition des internautes français, dans un délai de 3 mois à compter de la notification de la décision, un moyen permettant de refuser les cookies aussi simplement que celui pour les accepter afin de respecter le consentement de chaque utilisateur. Et par deux décisions – respectivement en date du 31 décembre 2022 concernant Facebook et Instagram pour 390 millions d’amendes (6) et du 12 janvier 2023 concernant WhatsApp pour 5,5 millions d’amende (7) –, l’autorité irlandaise a infligé à Meta ces trois amendes totalisant près de 400 millions d’euros pour manquement à plusieurs principes imposés par le RGPD (8) dont le principe de transparence et le principe de licéité des traitements de données à caractère personnel. Ces dernières décisions font suite à de nombreux débats entre les différentes autorités de contrôle européennes que sont les différentes « Cnil » dans les Vingt-sept.
En effet, dans le cadre de la procédure de consultation des autorités de contrôle concernées par l’autorité de contrôle « chef de file » mise en place par l’article 60 du RGPD, en l’occurrence la DPC dans ces procédures « Meta », les projets de décisions préparés en 2021 par l’autorité irlandaise ont été soumis aux régulateurs homologues de l’UE qui ont soulevé un certain nombre d’objections. Face à l’absence de consensus, l’autorité irlandaise a alors saisi le Comité européen de la protection des données (CEPD) – ou, en anglais, EDPB (9) – pour consultation sur les points litigieux, en vertu de l’article 65 du RGPD. Ce dernier a alors rendu trois décisions contraignantes le 5 décembre 2022 relatives aux activités de traitement de données à caractère personnel par Facebook, Instagram et WhatsApp (10). L’autorité irlandaise a alors intégré ces conclusions dans ses trois décisions – celles datées du 31 décembre 2022 à l’encontre de Facebook (210 millions euros d’amende) et d’Instagram (180 millions euros), ainsi que dans celle du 12 janvier 2023 à l’encontre de WhatsApp (5,5 millions d’euros d’amende). Dans le cadre de ses projets de décisions d’octobre 2021, l’autorité irlandaise relevait, de la part des sociétés Facebook, Instagram et WhatsApp, un manquement à leur obligation de transparence édictée par le RGPD (11). En effet, l’autorité irlandaise considère que les utilisateurs des services Meta ne disposent pas d’une clarté suffisante quant aux opérations de traitement effectuées sur les données à caractère personnel, à quelle(s) finalité(s) et quelle(s) base(s) légale(s) parmi celles identifiées à l’article 6 du RGPD.

L’absence de consensus européen
Les décisions contraignantes rendues par le CEPD le 5 décembre 2022 confirme cette position en ce qui concerne la violation par Facebook, Instagram et WhatsApp de leur obligation de transparence, sous réserve de l’insertion d’une violation supplémentaire, celle du principe de loyauté édicté par le RGPD (12). Alors que la « Cnil » irlandaise considère, dans ses projets de décisions soumis au CEPD, que le recours de Meta Ireland au contrat constituait une base juridique pour certains traitements des données personnelles, ses homologues européens ont soulevé des objections sur ce point. En cause : le rejet par la DPC de la notion de « consentement forcé », s’appuyant sur le contrat entre les utilisateurs et Meta pour légitimer les traitements concernés. Dans les cas Facebook et Instagram, la question était de savoir si la diffusion de publicité personnalisée ou comportementale constituait, ou non, un des services personnalisés inclus dans les services plus largement fournis par Facebook et Instagram au titre du contrat conclu avec ses utilisateurs.

Impact important sur les plateformes
En effet, dans l’affirmative, ce service pourrait être considéré comme licite au sens de l’article 6 du RGPD, sans nécessité de solliciter le consentement des personnes concernées – systématiquement requis pour les traitements ayant pour finalité la publicité – en se fondant sur la base juridique de « l’exécution d’un contrat auquel la personne concernée est partie ». Selon l’autorité irlandaise, ce service personnalisé fait partie intégrante du contrat conclu entre le fournisseur de services et ses utilisateurs, et a été accepté par ces derniers au moment où ils acceptent les conditions d’utilisation des services. Ainsi, le consentement de l’utilisateur au traitement serait implicitement déduit de l’acceptation d’utiliser le service Meta. Cette réalité est au coeur du modèle économique de la firme de Mark Zuckerberg, dont la rentabilité se fonde sur les revenus publicitaires nécessitant la collecte massive et la réutilisation gratuite des données personnelles de ses utilisateurs à des fins de publicité comportementale. Andrea Jelinek, présidente du CEPD, a d’ailleurs déclaré que les décisions du comité pouvaient « avoir un impact important sur d’autres plateformes qui ont des publicités comportementales au centre de leur modèle d’affaires » (13).
Dans le cas WhatsApp, l’enjeu consistait à déterminer si le fait de subordonner l’accès des services WhatsApp à l’acceptation par les utilisateurs des conditions générales mises à jour (les services ne seraient alors pas accessibles si les utilisateurs refusaient de le faire), revenait ou non à « forcer » les utilisateurs à consentir au traitement de leurs données personnelles à des fins d’amélioration et de sécurité du service. Selon le point de vue de la « Cnil » irlandaise, le service fourni par WhatsApp comprend l’amélioration du service et la sécurité, nécessaire à l’exécution du contrat conclu avec les utilisateurs, de sorte que de telles opérations de traitement étaient licites au regard de l’article 6 du RGPD. Les autres « Cnil » européennes concernées par ces traitements ont soulevé – tant pour les cas Facebook et Instagram que pour le cas WhatsApp – des objections et ont estimé que les finalités de publicité personnalisée et d’amélioration du service et de sécurité ne sont pas considérées comme nécessaires pour exécuter les éléments essentiels du contrat conclu avec les utilisateurs. Face à l’absence de consensus sur ces points, le CEPD a par conséquent été consulté par l’autorité irlandaise, dans le cadre de la procédure issue de l’article 65 du RGPD, afin qu’il tranche sur les questions litigieuses.
Dans ses décisions rendues le 5 décembre 2022, le CEPD adopte, sur le fondement de l’article 6 du RGPD, la position selon laquelle Meta Ireland ne peut par principe invoquer le contrat comme constituant une base juridique pour traiter les données à caractère personnel à des fins de publicité comportementale (cas Facebook et Instagram) et d’amélioration et de sécurité. Le CEPD se distingue alors des autorités européennes qui soulevaient qu’un tel traitement ne satisfait pas à la condition de nécessité (en d’autres termes, la publicité personnalisée n’est pas nécessaire à l’exécution d’un contrat avec les utilisateurs de Facebook et Instagram), et rend des décisions de principe par application stricto sensu du RGPD.
Reflet du pouvoir contraignant du CEPD, l’autorité irlandaise a donc intégré cette solution dans les deux décisions rendues le 31 décembre 2022 à l’encontre de Facebook et Instagram. Il est exigé une mise en conformité avec le RGPD dans un délai de trois mois à compter de la décision – autrement dit d’ici au 31 mars prochain. De même, le 12 janvier 2023, l’autorité irlandaise a accueilli cette solution dans sa décision à l’encontre de WhatsApp, en lui ordonnant de se mettre en conformité dans un délai de six mois – soit d’ici le 12 juillet prochain.
A l’heure où il est indéniable que la donnée est le nouvel « or noir » du XXIe siècle, les entreprises doivent adopter des méthodes et techniques, et ce dès la conception de leur modèle économique, afin de protéger convenablement les données personnelles, comme l’exige le RGPD. Il apparaît désormais vital pour les entreprises d’anticiper les implications de leur conformité dès la conception de leurs projets impliquant des traitements de données personnelles (« Privacy by Design »).

Les internautes reprennent la main
On constate aujourd’hui que les internautes, surtout ceux résidant dans l’UE, cherchent, dans le cadre d’une approche « Privacy First », à utiliser des services respectueux de leur vie privée et prennent en compte la question de la protection des données personnelles les concernant comme condition à l’utilisation de tels services. Les entreprises traitant massivement les données personnelles, et notamment les GAFAM, se trouvent alors confrontées à cette problématique qui tend à modifier considérablement leur modèle économique. Il est aujourd’hui indispensable de se demander de quelle manière et à quel moment il est opportun d’appréhender la question de la protection de la donnée. @

Au coeur de l’enquête « Microsoft-Activision » de la Commission européenne, il y a le géant Sony

Publié le par

En ouvrant le 8 novembre une « enquête approfondie » sur le projet d’acquisition d’Activision Blizzard par Microsoft, la Commission européenne ne mentionne pas Sony qui domine encore le marché mondial du jeu vidéo avec sa console PlayStation. Comment le japonais a convaincu Bruxelles d’agir.

(Comme concession, Microsoft a proposé à Bruxelles d’accorder une licence « Call of Duty » de 10 ans à Sony pour sa PlayStation, selon Reuters le 28 novembre)

« La Commission européenne craint qu’en acquérant Activision Blizzard, Microsoft puisse verrouiller l’accès aux jeux vidéo d’Activision Blizzard pour consoles et ordinateurs personnels [afin d’être proposés en exclusivité sur les seules console Xbox de Microsoft, ndlr], notamment à des jeux emblématiques et rencontrant un énorme succès (jeux de type «AAA») tels que “Call of Duty” », a-t-elle fait savoir le 8 novembre pour justifier l’ouverture d’une enquête approfondie sur le projet de rachat de l’éditeur de jeux vidéo Activision Blizzard (1), dont la célèbre licence « Call of Duty » (2).

Jim Ryan s’est rendu à Bruxelles le 8 septembre
Si la Commission européenne et sa vice-présidente exécutive chargée de la politique de concurrence, Margrethe Vestager, ne mentionnent aucunement Sony dans leur annonce, le géant japonais est considéré comme l’instigateur de cette enquête approfondie. Dès le 20 janvier 2022, soit deux jours après l’annonce par Microsoft de son projet de méga-acquisition d’Activision Blizzard pour 68,7 milliards de dollars, un porte-parole de Sony s’était exprimé pour la première fois sur cette opération envisagée : « Nous nous attendons à ce que Microsoft respecte les accords contractuels et continue de veiller à ce que les jeux Activision soient multiplateformes », avait-il déclaré dans un entretien au Wall Street Journal (3).
Le groupe nippon tient à ce que tous les jeux d’Activision Blizzard demeurent disponibles sur les plateformes de jeux vidéo non-Microsoft si la méga-acquisition devait être autorisée. Autrement dit, la console PlayStation de Sony doit pouvoir continuer à proposer notamment « Call of Duty », ce jeu de tir à la première personne (4) qui relève de la catégorie « AAA » des jeux vidéo à gros budget. Six mois après l’annonce qui n’a cessé depuis de faire des vagues dans le monde des jeux vidéo, Jim Ryan (photo de droite), PDG de Sony Interactive Entertainment (SIE) depuis avril 2019 en charge notamment de l’activité PlayStation (5), se serait rendu lui-même à Bruxelles le 8 septembre dernier – soit avant que le deal « Microsoft-Activision » ne soit formellement notifié à la Commission européenne le 30 septembre – pour faire part officiellement de ses inquiétudes sur les conséquences de ce rachat s’il devait aboutir. C’est ce qu’avait révélé Dealreporter, site d’information spécialisé dans les fusions et acquisitions (M&A). Jim Ryan a dénoncé la position dominante potentielle d’une fusion « Microsoft-Activision » au seul profit de l’écosystème de la Xbox. « Les effets réseau sont tels que si Microsoft devait bloquer l’accès à “Call of Duty” sur la PlayStation, des millions d’utilisateurs migreraient alors vers la Xbox. Il y a risque de forclusion », a expliqué en substance le PDG de SIE à Bruxelles, en appuyant ses dires par des études économiques. Et il a déclaré que la proposition de Microsoft de garder « Call of Duty » pendant encore trois ans – voire cinq ans – sur PlayStation était « inadéquate à plusieurs niveaux », estimant que la proposition de la firme de Redmond « sape ce principe » qui consiste pour Sony à « garantir que les joueurs PlayStation continueront à avoir la plus haute qualité avec “Call of Duty” » (6). Google serait lui aussi préoccupé par le rachat d’Activision Blizzard par Microsoft.
Alors que l’autorité de la concurrence britannique – la CMA (7) – s’est aussi emparée de ce dossier brûlant pour rendre son verdict d’ici le 1er mars 2023, la Commission européenne s’est donnée jusqu’au 23 mars pour prendre sa décision. En attendant, Sony continue de dominer le marché mondial des consoles de jeux vidéo assorties de leurs plateformes en ligne, loin devant Microsoft et Nintendo. En présentant le 1er novembre dernier ses résultats sur le second trimestre de son année fiscale se terminant le 31 mars 2023, Hiroki Totoki, le directeur financier de la firme nipponne, a rehaussé ses prévisions de ventes de la console PlayStation 5 (PS5) de 18 millions à 23 millions d’unité sur l’exercice en cours 2022/2023. En revanche, la prévision de la rentabilité annuelle de son activité jeux vidéo a été revue à la baisse en raison des craintes de récession économique mondiale qui pourrait réduire le pouvoir d’achat des consommateurs.

La bataille entre PS Plus et XG Pass
La déception de Sony vient de sa plateforme de jeux en streaming par abonnement PlayStation Plus (PS Plus) qui, alors qu’elle a été refondue l’été dernier, se veut la rivale de Xbox Game Pass (XG Pass) pour jouer sur console, ordinateur ou dans le cloud. Le japonais a vu le nombre de ses abonnés PS Plus décliner à 45,4 millions, perdant près de 2 millions d’abonnés sur son second trimestre se terminant fin septembre (par rapport à la fin juin). « Nous constatons que cette diminution résulte d’une plus grande baisse que prévu dans l’engagement des utilisateurs de PlayStation 4 », a expliqué le groupe de Tokyo (Minato). @

Charles de Laubier