Protection des données en Europe : pour le CEPD, le groupe Meta ne peut imposer sa loi

Facebook, Instagram et WhatsApp (réseaux sociaux du groupe Meta) ont été épinglés par la « Cnil » irlandaise, la DPC, pour ne pas avoir respecté le règlement européen sur la protection des données (RGPD). Mais faute de consensus avec ses homologues des Vingt-sept, le CEPD a eu le dernier mot.

Par Jade Griffaton et Emma Hanoun, avocates, DJS Avocats

Après cinq ans de procédure, deux sanctions ont été annoncées respectivement les 4 et 19 janvier 2023 pour un total de 395,5 millions d’euros pour le non-respect des mesure imposées par le règlement européen sur la protection des données personnelles (RGPD). Il s’agit de trois amendes infligées à Meta en Irlande par la DPC, la commission de protection des données, à savoir la « Cnil » irlandaise (1). Au coeur du débat : la publicité ciblée pour les utilisateurs des réseaux sociaux du groupe : Facebook (210 millions d’euros d’amende), Instagram (180 millions) et WhatsApp (5,5 millions). Des enquêtes avaient été entreprises après des plaintes de l’organisation autrichienne Noyb (2) pour la protection de la vie privée, fondée par Max Schrems.

Un contexte procédural complexe
La société Meta Ireland est au coeur des discussions depuis plusieurs années. Dès 2021, Facebook fait l’objet d’une fuite de données personnelles de plusieurs millions de ses utilisateurs menant à l’ouverture d’une enquête par l’autorité irlandaise de protection des données. A la suite de l’enquête, Meta a été condamnée le 25 novembre 2022 à une amende de 265 millions d’euros pour avoir violé ses obligations de sécurisation des données (3). En mars 2022, l’autorité irlandaise avait déjà infligé une amende de 17 millions d’euros à Meta (4), qui n’avait pas pu démontrer la mise en place « de mesures techniques et organisationnelles appropriées […] pour protéger les données des utilisateurs » de l’Union européenne (UE). En parallèle, en France, la Cnil a condamné en janvier 2022 l’entreprise Meta à une amende de 60 millions d’euros en raison de l’impossibilité pour les utilisateurs de refuser simplement les cookies (5). En plus de cette amende, la Cnil avait ordonné une injonction sous astreinte de mettre à disposition des internautes français, dans un délai de 3 mois à compter de la notification de la décision, un moyen permettant de refuser les cookies aussi simplement que celui pour les accepter afin de respecter le consentement de chaque utilisateur. Et par deux décisions – respectivement en date du 31 décembre 2022 concernant Facebook et Instagram pour 390 millions d’amendes (6) et du 12 janvier 2023 concernant WhatsApp pour 5,5 millions d’amende (7) –, l’autorité irlandaise a infligé à Meta ces trois amendes totalisant près de 400 millions d’euros pour manquement à plusieurs principes imposés par le RGPD (8) dont le principe de transparence et le principe de licéité des traitements de données à caractère personnel. Ces dernières décisions font suite à de nombreux débats entre les différentes autorités de contrôle européennes que sont les différentes « Cnil » dans les Vingt-sept.
En effet, dans le cadre de la procédure de consultation des autorités de contrôle concernées par l’autorité de contrôle « chef de file » mise en place par l’article 60 du RGPD, en l’occurrence la DPC dans ces procédures « Meta », les projets de décisions préparés en 2021 par l’autorité irlandaise ont été soumis aux régulateurs homologues de l’UE qui ont soulevé un certain nombre d’objections. Face à l’absence de consensus, l’autorité irlandaise a alors saisi le Comité européen de la protection des données (CEPD) – ou, en anglais, EDPB (9) – pour consultation sur les points litigieux, en vertu de l’article 65 du RGPD. Ce dernier a alors rendu trois décisions contraignantes le 5 décembre 2022 relatives aux activités de traitement de données à caractère personnel par Facebook, Instagram et WhatsApp (10). L’autorité irlandaise a alors intégré ces conclusions dans ses trois décisions – celles datées du 31 décembre 2022 à l’encontre de Facebook (210 millions euros d’amende) et d’Instagram (180 millions euros), ainsi que dans celle du 12 janvier 2023 à l’encontre de WhatsApp (5,5 millions d’euros d’amende). Dans le cadre de ses projets de décisions d’octobre 2021, l’autorité irlandaise relevait, de la part des sociétés Facebook, Instagram et WhatsApp, un manquement à leur obligation de transparence édictée par le RGPD (11). En effet, l’autorité irlandaise considère que les utilisateurs des services Meta ne disposent pas d’une clarté suffisante quant aux opérations de traitement effectuées sur les données à caractère personnel, à quelle(s) finalité(s) et quelle(s) base(s) légale(s) parmi celles identifiées à l’article 6 du RGPD.

L’absence de consensus européen
Les décisions contraignantes rendues par le CEPD le 5 décembre 2022 confirme cette position en ce qui concerne la violation par Facebook, Instagram et WhatsApp de leur obligation de transparence, sous réserve de l’insertion d’une violation supplémentaire, celle du principe de loyauté édicté par le RGPD (12). Alors que la « Cnil » irlandaise considère, dans ses projets de décisions soumis au CEPD, que le recours de Meta Ireland au contrat constituait une base juridique pour certains traitements des données personnelles, ses homologues européens ont soulevé des objections sur ce point. En cause : le rejet par la DPC de la notion de « consentement forcé », s’appuyant sur le contrat entre les utilisateurs et Meta pour légitimer les traitements concernés. Dans les cas Facebook et Instagram, la question était de savoir si la diffusion de publicité personnalisée ou comportementale constituait, ou non, un des services personnalisés inclus dans les services plus largement fournis par Facebook et Instagram au titre du contrat conclu avec ses utilisateurs.

Impact important sur les plateformes
En effet, dans l’affirmative, ce service pourrait être considéré comme licite au sens de l’article 6 du RGPD, sans nécessité de solliciter le consentement des personnes concernées – systématiquement requis pour les traitements ayant pour finalité la publicité – en se fondant sur la base juridique de « l’exécution d’un contrat auquel la personne concernée est partie ». Selon l’autorité irlandaise, ce service personnalisé fait partie intégrante du contrat conclu entre le fournisseur de services et ses utilisateurs, et a été accepté par ces derniers au moment où ils acceptent les conditions d’utilisation des services. Ainsi, le consentement de l’utilisateur au traitement serait implicitement déduit de l’acceptation d’utiliser le service Meta. Cette réalité est au coeur du modèle économique de la firme de Mark Zuckerberg, dont la rentabilité se fonde sur les revenus publicitaires nécessitant la collecte massive et la réutilisation gratuite des données personnelles de ses utilisateurs à des fins de publicité comportementale. Andrea Jelinek, présidente du CEPD, a d’ailleurs déclaré que les décisions du comité pouvaient « avoir un impact important sur d’autres plateformes qui ont des publicités comportementales au centre de leur modèle d’affaires » (13).
Dans le cas WhatsApp, l’enjeu consistait à déterminer si le fait de subordonner l’accès des services WhatsApp à l’acceptation par les utilisateurs des conditions générales mises à jour (les services ne seraient alors pas accessibles si les utilisateurs refusaient de le faire), revenait ou non à « forcer » les utilisateurs à consentir au traitement de leurs données personnelles à des fins d’amélioration et de sécurité du service. Selon le point de vue de la « Cnil » irlandaise, le service fourni par WhatsApp comprend l’amélioration du service et la sécurité, nécessaire à l’exécution du contrat conclu avec les utilisateurs, de sorte que de telles opérations de traitement étaient licites au regard de l’article 6 du RGPD. Les autres « Cnil » européennes concernées par ces traitements ont soulevé – tant pour les cas Facebook et Instagram que pour le cas WhatsApp – des objections et ont estimé que les finalités de publicité personnalisée et d’amélioration du service et de sécurité ne sont pas considérées comme nécessaires pour exécuter les éléments essentiels du contrat conclu avec les utilisateurs. Face à l’absence de consensus sur ces points, le CEPD a par conséquent été consulté par l’autorité irlandaise, dans le cadre de la procédure issue de l’article 65 du RGPD, afin qu’il tranche sur les questions litigieuses.
Dans ses décisions rendues le 5 décembre 2022, le CEPD adopte, sur le fondement de l’article 6 du RGPD, la position selon laquelle Meta Ireland ne peut par principe invoquer le contrat comme constituant une base juridique pour traiter les données à caractère personnel à des fins de publicité comportementale (cas Facebook et Instagram) et d’amélioration et de sécurité. Le CEPD se distingue alors des autorités européennes qui soulevaient qu’un tel traitement ne satisfait pas à la condition de nécessité (en d’autres termes, la publicité personnalisée n’est pas nécessaire à l’exécution d’un contrat avec les utilisateurs de Facebook et Instagram), et rend des décisions de principe par application stricto sensu du RGPD.
Reflet du pouvoir contraignant du CEPD, l’autorité irlandaise a donc intégré cette solution dans les deux décisions rendues le 31 décembre 2022 à l’encontre de Facebook et Instagram. Il est exigé une mise en conformité avec le RGPD dans un délai de trois mois à compter de la décision – autrement dit d’ici au 31 mars prochain. De même, le 12 janvier 2023, l’autorité irlandaise a accueilli cette solution dans sa décision à l’encontre de WhatsApp, en lui ordonnant de se mettre en conformité dans un délai de six mois – soit d’ici le 12 juillet prochain.
A l’heure où il est indéniable que la donnée est le nouvel « or noir » du XXIe siècle, les entreprises doivent adopter des méthodes et techniques, et ce dès la conception de leur modèle économique, afin de protéger convenablement les données personnelles, comme l’exige le RGPD. Il apparaît désormais vital pour les entreprises d’anticiper les implications de leur conformité dès la conception de leurs projets impliquant des traitements de données personnelles (« Privacy by Design »).

Les internautes reprennent la main
On constate aujourd’hui que les internautes, surtout ceux résidant dans l’UE, cherchent, dans le cadre d’une approche « Privacy First », à utiliser des services respectueux de leur vie privée et prennent en compte la question de la protection des données personnelles les concernant comme condition à l’utilisation de tels services. Les entreprises traitant massivement les données personnelles, et notamment les GAFAM, se trouvent alors confrontées à cette problématique qui tend à modifier considérablement leur modèle économique. Il est aujourd’hui indispensable de se demander de quelle manière et à quel moment il est opportun d’appréhender la question de la protection de la donnée. @

Les influenceurs sous l’oeil de Bercy et de l’UMICC

En fait. Le 31 janvier se termine la « concertation » sur les influenceurs lancée le 8 janvier par Bruno Le Maire, ministre de l’Economie, des Finances et de la Souveraineté industrielle et numérique, lequel prendra en mars des « mesures » d’« encadrement » de ce métier. Parallèlement, l’UMICC s’est constituée.

En clair. « Les 150.000 créateurs de contenus que compte la France font partie de nos vies et sont une formidable source de créativité et de richesse lorsque les règles sont claires et connues », avait déclaré Bruno Le Maire, ministre de l’Economie, aussi en charge de la consommation et du numérique, sur Twitter le dimanche 8 janvier dernier. « J’ai besoin de vous. Participez au maximum à la concertation pour mieux accompagner et encadrer les influenceurs. Votre avis compte ! » (1). Bercy veut annoncer « des mesures retenues courant mars » en fonction des contributions à la consultation publique ouverte en ligne jusqu’au 31 janvier (2).
« La réflexion (…) doit permettre de protéger les consommateurs et les créateurs de contenus », assure le ministère de Bruno Le Maire, qui avait organisé le 9 décembre 2022 une table ronde avec des agences, des influenceurs, des annonceurs et la Direction générale de la concurrence de la consommation et de la répression des fraudes (DGCCRF), rattachée à Bercy (3). Tandis que, parallèlement, trois propositions de loi pour réguler les influenceurs ont été déposées par de nombreux députés. Sont soumises à commentaires onze mesures, déclinées en quatre thématiques : droits et obligations des influenceurs ; propriété intellectuelle ; protection des consommateurs ; gouvernance du secteur. Pour ce dernier point, il s’agit de créer «un label » et de créer « une fédération professionnelle ».
C’est ce qu’entreprend l’Union des métiers de l’influence et des créateurs de contenu (UMICC) fondée le 18 janvier par sept agences d’influence marketing : Smile Conseil, Bump, Follow, Point d’Orgue, Reech, Influence4You et Spoutnik. « Webedia a fait sa demande d’adhésion et 80 autres acteurs également, tandis qu’une centaine de créateurs de contenu ont fait part de leur volonté d’adhérer », indique à Edition Multimédi@ Carine Fernandez, présidente de l’UMICC. Toutes les agences sontelles les bienvenues ? « Concernant Shauna Events [agence de la “papesse de l’influence” Magali Berdah, ndlr] et We-Events [du groupe AWPG de l’animateur Arthur, ndlr], ils pourraient en faire la demande. Cependant, pour l’heure et en l’état, au regard des accusations qui sont portées, nous ne souhaitons pas que ces agences et certains influenceurs qui ne respectent aucune règle déontologique ou éthique puissent être membres de l’UMICC », nous précise-t-elle. @

La 5G tant vantée poursuit lentement son décollage

En fait. Le 10 février, l’Arcep dévoilera les chiffres de son observatoire des services mobiles pour le quatrième trimestre. Selon les estimations de Edition Multimédi@, le parc de la 4G dépasserait pour la première fois les 70 millions de cartes SIM en France. En revanche, la 5G resterait sous la barre des 10 millions.

En clair. La 5G fait toujours pâle figure en France, alors que les quatre opérateurs télécoms (Orange, Bouygues Telecom, Free Mobile et SFR) promettaient au grand public du très haut débit mobile et de nouveaux usages, avec des débits jusqu’à dix fois supérieurs à ceux de la 4G (1). Force est de constater que, depuis les débuts de la commercialisation de la 5G il y a plus de deux ans, les clients mobiles (forfaits ou prépayés) ne se précipitent pas. Selon les chiffres de l’Arcep publiés le 12 janvier dernier sur le troisième trimestre 2022 du marché des communications électroniques, le nombre de cartes SIM actives en 5G ne dépasse pas les 6,2 millions (2) – ne pesant que 7,5 % du parc de carte mobiles actives en France. Et bien loin des 69,7 millions de clients 4G.
Si la croissance trimestrielle d’un peu plus de 21,5 % observée au troisième trimestre s’est poursuivie au quatrième trimestre l’an dernier, selon l’hypothèse basse de Edition Multimédi@, la 5G terminerait l’année 2022 avec à peine plus de 7,5 millions de clients mobiles – pesant seulement 9% du parc mobile total. Et toujours très loin des quelques 70 millions d’abonnés 4G attendus à fin 2022. Même en prenant cette fois une hypothèse haute intégrant l’effet « cadeaux de Noël », la 5G devrait rester sous la barre des 10 millions de clients. Comme l’Arcep ne précise pas dans son observatoire des services mobiles les chiffres de la 5G (ni de la 4G ni de la 3G), il faudra attendre finalement non pas le 10 février mais le 6 avril prochain pour avoir la confirmation de cette tendance poussive. @

La BEI, la CDC et le groupe Axel Springer soutiennent toujours le moteur de recherche Qwant

La Banque européenne d’investissement (BEI) lui a accordé « un rééchelonnement raisonnable » de sa dette. La Caisse des Dépôts (CDC) et le groupe allemand Axel Springer sont toujours ses plus importants actionnaires. Ayant échappé à la banqueroute, Qwant pourra fêter ses dix ans en 2023.

« Face à la domination sans réel partage de Google, la concurrence européenne s’organise. C’est le cas de Qwant, moteur de recherche franco-allemand qui tente de percer en assurant à ses utilisateurs un respect total de leur vie privée et des contenus non violents pour les plus jeunes », peut-on encore lire sur le site web (1) de la Banque européenne d’investissement (BEI), le plus gros créancier de Qwant. Il y a sept ans, la start-up française bénéficiait d’un prêt de la BEI de 25 millions d’euros.

Sa situation financière reste fragile
L’annonce de ce prêt européen avait été faite en grande pompe lors de la grande conférence numérique franco-allemande qui avait eu lieu le 28 octobre 2015 à l’Elysée, en présence d’un certain Emmanuel Macron (2), alors ministre français de l’Economie, de l’Industrie et du Numérique. L’eau a depuis coulé dans le Rhin et la société franco-allemande – vedette de la French Tech promue par celui qui est devenu en 2017 président de la République – a dû faire face cette année à deux échéances de remboursements de la BEI. Mais au lieu de devoir régler 5 millions d’euros en janvier et 10 millions d’euros en juin, l’entreprise a obtenu de la banque au Luxembourg « un rééchelonnement raisonnable de la dette », indique Raphaël Auphan (photo), directeur général de Qwant, à Edition Multimédi@.
Les nouvelles échéances sont confidentielles. Il nous précise que sur les 25 millions d’euros initialement annoncés en 2015, ce sont finalement 20 millions d’euros qui ont été tirés par l’entreprise auprès de la BEI. Qwant s’était endetté non seulement auprès de la BEI mais aussi en janvier 2017 auprès de la Caisse des dépôts (CDC) à hauteur de 15 millions d’euros. A cela s’ajoutaient 5 millions d’euros levés auprès du groupe de médias allemand Axel Springer, son actionnaire historique (3). Qwant doit en outre 3millions d’euros à l’Etat au titre du prêt garanti par celui-ci (PEG) accordé durant la crise sanitaire. « La dette de Qwant n’a pas diminué en 2021 », nous indique Raphaël Auphan, par rapport aux 39,3 millions d’euros d’endettement de 2020. Quant au prêt de 8 millions d’euros consenti en mai 2021 par le chinois Huawei sous forme d’obligations convertibles, « il s’agit d’une dette qui sera bientôt remboursée ». Et l’accord de « l’utilisation du moteur de recherche sur les smartphones Huawei arrive aussi à échéance ». L’an dernier, l’entreprise a réalisé un chiffre d’affaires de 10,3 millions d’euros (4), pour une perte nette de 9,2 millions d’euros. Alors qu’en 2020 le déficit était de 12,8 millions pour un chiffre d’affaires de 7,5 millions d’euros (5). La situation financière reste fragile, mais Qwant peut compter sur le soutien de ses deux principaux actionnaires – Axel Springer et la CDC – qui ont réinjecté en 2020 de l’argent frais. Le premier était entré à hauteur de 18,4 % du capital de Qwant en 2014, via son fonds Axel Springer Digital Ventures, mais sa participation est moindre depuis l’entrée de la CDC.
Après l’ère de son PDG fondateur Eric Léandri (6), lequel a été contraint en janvier 2020 de passer les rênes de l’entreprise mal en point, Qwant a pris un nouveau départ début juillet 2021 avec une nouvelle direction : le tandem actuel composé de Corinne Lejbowicz, présidente, et Raphaël Auphan. « Nous sommes une tech de croissance et nous avons un plan de développement qui demandera de nouveaux moyens financiers », explique le directeur général. Qwant ne cesse d’innover. Il indique par exemple qu’« une offre spécifique de moteur de recherche, toujours gratuit, respectueux de la vie privée et sécurisé, sera proposée en 2023 aux entreprises ». Son offre « privacy » va s’étoffer. En plus de Qwant Search (moteur principal), Qwant Junior (dédié aux 6-12 ans), Qwant Maps (service de cartographie « sans laisser de traces »), Qwant VIPrivacy (extension de navigation anti-tracking publicitaire) et bientôt de Qwant pour les entreprises, d’autres produits sont en projet, dont un éventuel VPN (réseau privé virtuel). Depuis juin, le moteur de recherche permet de traduire ses textes dans 28 langues grâce à un partenariat avec la société allemande DeepL.

Développer son propre « master index »
Pour autant, Qwant reste encore dépendant de l’index Bing de Microsoft et de sa régie publicitaire Bing Ads. « Nous poursuivons le développement de notre propre master index, actuellement de 10 milliards de documents. Et sur certains segments comme l’actualité en France nous répondons à 100 % des requêtes », nous assure Raphaël Auphan. Le zéro-tracking séduit à ce jour 6 millions d’utilisateurs par mois, bien loin des 37,9 millions d’utilisateurs par mois pour le moteur de recherche Google en France. Peu importe puisque Qwant ne prétend plus devenir son « grand » rival en Europe, mais seulement une alternative « respectueuse de la vie privée ». Cela ne l’empêche pas de se réjouir lorsque la filiale d’Alphabet est mise à l’amende comme le 14 septembre (7). @

Charles de Laubier

Interview exclusive avec le robot ChatGPT d’OpenAI

En fait. Le 14 décembre, ChatGPT, l’intelligence artificielle créée par la start-up OpenAI, a répondu à EM@. Les questions portaient sur ChatGPT lui-même, en tant que robot conversationnel, capable de générer du texte intelligible en fonction de ce qu’on lui dit. Faute d’être connecté au Web, il est limité.

En clair. Edition Multimédi@ a débuté l’interview avec ChatGPT en lui demandant qui il est. Le chatbot (agent conversationnel) répond : « Je suis assistant, un grand modèle linguistique formé par OpenAI. Je suis une intelligence artificielle conçue pour aider à répondre aux questions et à fournir de l’information sur un large éventail de sujets. Je n’ai pas de forme physique et j’existe uniquement comme programme informatique ». A-t-il des concurrents dans le monde ? « En tant que grand modèle linguistique, répond ChatGPT, je n’ai pas de concurrents directs au sens traditionnel. Cependant, il y a d’autres assistants en IA et d’autres modèles linguistiques qui me ressemblent à certains égards [comme] Siri d’Apple, Alexa d’Amazon, et Assistant de Google […], mais ils peuvent différer dans leurs capacités ».
Connaît-il aussi par exemple son homologue suisse Cedille (1) développé par la société Coterie, comme lui s’appuyant sur le modèle de langage GPT-3 d’OpenAI, mais francophone ? « Je suis désolé, mais je ne suis pas en mesure de naviguer sur Internet ou d’accéder à de l’information en dehors de mes données de formation. Par conséquent, je n’ai aucune information sur Cedille ou la société suisse Coteries. Mes connaissances se limitent à ce sur quoi j’ai été formé par OpenAI ». Aussi, nous avons demandé à ChatGPT s’il aura bientôt accès au Web à l’instar d’Assistant de Google, d’Alexa d’Amazon ou de Siri d’Apple ? « Je n’ai pas la capacité d’accéder à Internet ou d’interagir avec lui d’aucune façon […] Il s’agit d’une différence fondamentale entre moi-même et les autres assistants en intelligence artificielle, comme Google Assistant, qui sont conçus pour accéder à Internet et fournir des informations à partir d’un large éventail de sources. […] Je ne suis pas en mesure d’exécuter les mêmes fonctions qu’un moteur de recherche, comme Google ». Mais lui, ChatGPT, voudrait-il être connecté à Internet ? « Je n’ai pas la capacité de prendre des décisions ou des mesures de mon propre chef »… Est-il capable d’écrire livres (2), articles de presse, poèmes, partitions de musique, scénarios de films et discours ? « Je n’ai pas la capacité d’écrire des livres, des articles de presse, des poèmes, des partitions de musique, des scénarios de films ou des discours par moi-même [ni] de créer du contenu original ». Un chatbot (3) limité et déconnecté mais modeste (4). @