Les news qui ont fait l’actu

Dans le cadre du partenariat entre l’IDFRights et SKEMA Business School, voici un aperçu de notre actualité vue par des étudiants du Master de management & droit des affaires de Skema.

Semaine du 13 au 18 décembre 2021

Rédigée par Lyes Bendou, Alexandre Cusanno, Mathilde de Biasi, Léa Dupont, Vincent Kerharou, Louis Poulain, Emmy Paret, Manon Roy, Oriane Serrot , Alexis Spagnolo, Emma Walter, Mélanie Welisarage, étudiants de Master 1 Management & Droit des affaires SKEMA/ULCO, sous la direction de Mme Isabelle Bufflier et M. Frédéric Munier, professeurs SKEMA BS

Lyes Bendou

Lyes Bendou

23 ans
Alexandre Cusanno

Alexandre Cusanno

20 ans
Mathilde De Biasi

Mathilde De Biasi

21 ans
Léa Dupont

Léa Dupont

21 ans
Vincent Kerharou

Vincent Kerharou

20 ans
Louis Poulain

Louis Poulain

21 ans
Emmy Paret

Emmy Paret

21 ans
Manon Roy

Manon Roy

22 ans
Oriane Serrot

Oriane Serrot

21 ans
Alexis Spagnolo

Alexis Spagnolo

22 ans
Emma Walter

Emma Walter

20 ans
Mélanie Welisarage

Mélanie Welisarage

21ans
La CNIL met en demeure Clearview AI de cesser la collecte et l’usage de photos en ligne

À partir du 26 décembre 2021, Clearview AI ne dispose plus que de 2 mois pour cesser toute collecte illicite de photos en ligne. En 2020 déjà, l’ONG Privacy International portait plainte contre la société pour le vol de pas moins de 10 milliards d’images à des fins publicitaires. Or, la CNIL souligne que de nombreuses règles dont le respect est exigé par le RGPD n’ont pas été respectées, dont le consentement des personnes dont l’image a été captée. La CNIL précise que si la société refuse de se conformer à la mise en demeure, elle devra s’acquitter d’une amende de 10% de son chiffre d’affaires.

Pourquoi cette actu : Clearview AI aspirait jusque-là des photos publiques – c’est d’ailleurs derrière cet argument que l’entreprise s’est retranchée pour se défendre – sans demander l’autorisation aux personnes concernées, afin d’en tirer un profit financier. Il est vrai qu’internet rend poreuses les parois entre le domaine privé et public, gratuit et commercial. Son développement rapide implique une régulation qui, on le voit, triomphe in fine. Mais, pour prendre une comparaison historique, il a fallu au XVIIIe siècle pour que soit reconnu le droit d’auteur (loi du 13 janvier 1791). Aussi, nous voyons ces efforts de régulation comme le signe que la « jungle » d’internet commence à être régulée de plus en plus efficacement, grâce à l’intervention des autorités de contrôle comme la CNIL, ce dont il faut se réjouir.

La start-up Milvue lève 8 millions d'euros pour son logiciel d'aide au diagnostic radiologique

Le 15 décembre 2021, La startup Milvue vient d’annoncer une levée de fonds de 8 millions d’euros afin d’exporter son logiciel sur le marché nord-américain. Ce dernier a été développé en 2020 et permet, dans le domaine de la radiographie, d’automatiser la détection de certaines pathologies, notamment osseuses et pulmonaires. Son algorithme se sert en particulier de données de vie réelle transmises par certains hôpitaux et cabinets de radiologie. Son usage pourrait permettre de soulager les services hospitaliers et radiologiques en effectuant un premier diagnostic rapide et fiable.
Pourquoi cette actu : La levée de fonds pour ce logiciel de la startup Milvue démontre l’usage croissant de l’intelligence artificielle dans le domaine de la santé. La récolte en masse de données de santé traitées par les algorithmes permet de décupler les capacités du personnel médical tout en aidant à poser des diagnostics d’une grande fiabilité. Ces logiciels sont ainsi très prometteurs pour l’avenir de la médecine mais interrogent également sur la protection de ces données sensibles. En effet, depuis le début de la pandémie sanitaire, de nombreuses cyberattaques ont ciblé les établissements de santé. Sachant que les dossiers médicaux concentrent des informations sensibles, , le développement de ces nouveaux logiciels recueillant en masse des données sensibles devra donc s’attacher à garantir leur sécurité et le secret médical. Des par des entreprises privées avaient déjà été signalées par les journalistes au printemps dernier. Un challenge de plus pour les établissements hospitaliers dans la gestion de ces nouvelles technologies alors que le gouvernement lui-même reste sourd de produire des éléments permettant d’évaluer pleinement l’efficacité des fichiers et dispositifs mis en œuvre, captant depuis le début de la crise sanitaire les données de santé de milliers d’usagers.

L’Inde annonce un plan pour devenir leader du marché des semi-conducteurs

Le 15 décembre 2021, le gouvernement indien a approuvé un vaste plan de 30 milliards d’euros, afin de créer un écosystème de production de semi-conducteurs. Un financement supplémentaire de 13 milliards sera disponible pour soutenir la production de batteries. Ainsi, le gouvernement utilisera ces fonds afin de cofinancer, jusqu’à 50%, les nouveaux projets industriels dans le pays. Ce programme s’inscrit dans la course actuelle aux puces, microprocesseurs et autres éléments électroniques, maintenant utilisés dans tous les secteurs de production, des voitures aux cuisines. Ce programme met enfin l’accent sur la formation de personnels hautement qualifiés, et sur le soutien à l’innovation, vital dans ce secteur.
Pourquoi cette actu : En matière de technologies innovantes, le chantier de l’énergie est LE chantier d’avenir et l’Inde ne se trompe pas en l’investissant. Il est fréquent aujourd’hui de voir dans la Chine et les pays d’Asie de l’Est de grandes puissances en termes de production de semi-conducteurs. C’est oublier combien l’Inde est aussi un acteur important en ce domaine. Rappelons que le pays est le premier producteur mondial de médicaments génériques et le premier exportateur de services informatiques. Il a développé un programme spatial et ambitionne d’être un compétiteur crédible dans des productions aussi stratégiques que les processeurs et les batteries électriques. Il est vrai que le pays possède non seulement des écoles d’ingénieurs de bon niveau et bénéficie de la diaspora dont certains membres, comme Vinod Dham (co-inventeur de la mémoire flash) ont fait profiter leur pays natal de leur expérience. L’Inde est en outre un pays jeune et dynamique dont la population va bientôt dépasser celle de la Chine. En matière de technologies, le combat entre le dragon chinois et l’éléphant indien ne fait que commencer, d’autant que l’Inde va bientôt se doter dans les mois qui viennent d’un texte fort, dans le domaine lui aussi incontournable de la protection des données personnelles.

Le réseau de rencontre Grindr soumis à une amende historique par la CNIL norvégienne

Le 15 décembre 2021, la CNIL norvégienne a annoncé une décision qui fera date : le pays condamne à une amende de 65 millions de couronnes (soit environ 6,3 Millions d’euros) le réseau de rencontres LGBT + Grindr. La plateforme est accusée de partage illégal de données et d’avoir divulgué à différents annonceurs publicitaires des données très personnelles du profil de ses utilisateurs : notamment leurs coordonnées GPS, leur âge, leur sexe ou tout simplement le fait qu’ils font l’usage de cette application. Cette pratique, menée sans l’information et l’approbation des utilisateurs de Grindr, porte une atteinte à des données sensibles et à la vie privée, ce qui est totalement contraire au RGPD, entré en vigueur en juillet 2018 en Norvège, membre de l’Espace économique européen, comme l’Autriche et le Liechtenstein. La société condamnée nie cependant les faits, estimant qu’ils concernent des pratiques anciennes, désormais abandonnées. Elle a la possibilité de faire appel de cette décision.
Pourquoi cette actu : Saisi par un organisme norvégien représentant les consommateurs en coopération avec l’ONG autrichienne Noyb, la CNIL norvégienne avait prévenu en janvier que Grindr s’exposait à une amende de 100 millions de couronnes (9,88 millions d’euros), mais avait donné à l’entreprise jusqu’au 15 février pour expliquer sa position. Lorsqu’ils accèdent à la plateforme, les utilisateurs acceptent certes les conditions d’utilisation et la politique de confidentialité. Mais il n’est jamais fait mention d’un quelconque partage de leurs informations personnelles à des tiers, ils ne donnent donc jamais leur consentement, pivot du RGPD qui s’applique aussi en Norvège, bien qu’elle ne soit pas membre de l’UE mais de l’Espace économique européen. Dans l’économie numérique, les données personnelles sont l’or noir des entreprises et le tracking publicitaire devient l’instrument incontournable de développement de nouveaux marchés, il est donc essentiel que le partage des données personnelles sans base légale soit sévèrement condamné et que le droit des consommateurs soit respecté. On imagine en outre facilement quels usages malveillants pourraient faire des cybercriminels de données touchant aux orientations sexuelles des usagers de l’application. C’est toute la crédibilité de Grindr qui est en cause ici. Où l’on voit également que la Norvège, bien que n’étant pas membre de l’UE, joue un jeu efficace en faveur du RGPD, mieux que certains Etats membres, comme l’Irlande, en la matière.

Une nouvelle coalition européenne dans le cloud : le pas vers l’inclusion des sociétés étrangères

Le 15 décembre 2021, la Commission européenne a lancé l’European Alliance for Industrial Data, Edge and Cloud composée de 38 entreprises de pays membres de l’UE et une société norvégienne. Cette initiative s’inscrit dans la continuité des projets menés jusqu’alors par l’UE pour figurer parmi les acteurs incontournables en matière numérique.
En effet, cette alliance aura pour but de réunir des acteurs engagés dans le développement stratégique des technologies de nouvelle génération, mais aussi de fournir d’une part des recommandations et d’autre part des conseils quant à la réglementation applicable au cloud. La participation au projet est ouverte aux entreprises étrangères, non-européennes, dont les activités sont liées aux technologies. Ces dernières devront toutefois réunir plusieurs critères d’éligibilité et apporter des preuves de la sécurité de leur process de protection des données. L’alliance compte d’ores et déjà parmi ses membres des acteurs importants tels que OVHcloud, Airbus, ou encore Scaleway.

Pourquoi cette actu : Les États-Unis et la Chine exercent aujourd’hui un poids important dans le domaine du cloud. L’Europe qui avait d’ores et déjà tenté de rattraper son retard avec le projet Gaia-X réunissant les forces franco-allemandes, ne relâche pas ses efforts et revient en force avec ce nouveau projet. N’oublions pas également Euclidia l’alliance 100% française, qui souhaite faire la différence avec Gaia-X en menant le combat pour une souveraineté numérique de l’Europe. L’European Alliance for Industrial Date, Edge and Cloud est donc la bienvenue pour permettre à l’Europe de revenir en course face aux fournisseurs de services cloud bien installés.

Pegasus : NSO Group va-t-il se séparer de son logiciel espion ?

Le 15 décembre dernier, les journalistes de l’organisation Forbidden Stories ont révélé les résultats d’une enquête sur le logiciel Pegasus. On se souvient que ce dernier est commercialisé par la société israélienne NSO Group et a été vendu à des États et des agences gouvernementales. Les journalistes-investigateurs ont découvert que cette technologie avait servi depuis 2016 à espionner des journalistes, des militants d’ONG opposés à certains régimes politiques, ou encore de personnalités politiques de premier plan, dont possiblement Emmanuel Macron.
Les États-Unis ont placé la société NSO Group sur une liste noire d’entreprises sur lesquelles sont appliquées de nombreuses restrictions commerciales. Cette décision a des conséquences économiques importantes sur l’entreprise israélienne qui se serait rapprochée d’un défaut de paiement de 500 millions de dollars de prêts selon le Financial Times.
Selon deux sources bien informées du média américain Bloomberg, le groupe envisage de revendre la société ou de fermer son unité controversée Pegasus. Une alternative serait de transformer le logiciel espion en un produit « défensif ».

Pourquoi cette actu : Cette actualité est intéressante car elle met en avant l’espionnage et les sanctions encourues en cas de recours à ce procédé illégal. En effet, la société fait l’objet de poursuites aux États-Unis où les géants de la Tech comme Facebook, Google, Microsoft, et Apple, dont les appareils et les services ont été compromis à des fins d’espionnage, ont décidé de porter plainte. De son côté, le gouvernement israélien a également été confronté à des turbulences diplomatiques et des discussions ont notamment été engagées avec la France récemment. Cette actualité illustre une fois encore la force de frappe des sanctions américaines, une modalité du hard power, capables de mettre à terre un groupe étranger dont les agissements gênent Washington ou encore certains individus comme ont pu l’être Edward Snowden ou Julian Assange, lanceurs d’alerte pour certains, « traîtres » pour d’autres.

La Quadrature du Net attaque l’expérimentation de surveillance sonore à Orléans

Le 14 décembre 2021, la Quadrature du Net, association de défense et de promotion des droits sur Internet, a déposé un recours auprès du tribunal administratif contre une expérimentation décidée par le conseil municipal de la ville d’Orléans d’équiper ses caméras de micros capables de détecter des sons jugés « anormaux ». Dans cet objectif, la ville a signé en octobre dernier une convention avec l’entreprise Sensivic pour tester des dispositifs permettant d’analyser en permanence l’environnement sonore pour y détecter d’éventuels dangers. La société Sensivic ne serait pas rémunérée en échange de cette prestation, la ville acceptant que sa population serve de population test. La CNIL avait déjà déclaré illégal un semblable dispositif développé à Saint-Etienne. Dans le cas d’Orléans en revanche, la CNIL ne semble pas avoir réagi, et c’est l’association La Quadrature du Net qui s’est emparée du dossier et a déposé un recours, tout en envoyant une copie de celui-ci à la CNIL et en la saisissant d’une plainte.

Pourquoi cette actu : Il est intéressant de voir qu’à côté de la vidéosurveillance, très encadrée par les textes, se développe la surveillance sonore par le biais d’algorithmiques, qui, elle, l’est beaucoup moins alors qu’elle représente un marché certain pour certaines start-up. On peut également s’interroger sur le manque de réaction de la CNIL en matière de lutte contre la surveillance de l’espace public. La Quadrature du Net a dénoncé en effet à plusieurs reprises la surveillance biométrique des consommateurs au sein de plusieurs supermarchés opérée par l’entreprise Veesion. L’utilisation de l’intelligence artificielle pour traiter les milliers de données ainsi récoltées, souvent à l’insu des individus, par des entreprises privées nécessiterait certainement une évolution de l’encadrement législatif. En attendant, les décisions qui seront prises dans ce type d’affaires vont contribuer à définir les frontières entre la surveillance des individus et l’exercice des libertés individuelles : nos sociétés libérales vont-elles sacrifier les libertés sur lesquelles elles se sont bâties au nom de l’impératif de sécurité ? Il s’agit manifestement d’une tentation de notre temps.

Meta annonce avoir bloqué 7 cyber-mercenaires et fermé 1500 de leurs comptes Facebook et Instagram

Le 16 décembre 2021, le groupe Meta, ex-Facebook, a annoncé avoir fermé 1500 comptes Facebook et Instagram liés à des « cyber-mercenaires », après une enquête de plusieurs mois. Ces derniers les auraient utilisés, sous prétexte de cibler des terroristes ou des cybercriminels, pour espionner en réalité des militants, dissidents, critiques de régimes autoritaires, des familles de membres de l’opposition, des militants de droits humains et des journalistes pour le compte d’agences gouvernementales ou des clients privés venus du monde entier. Ces comptes étaient connectés à sept sociétés de surveillance, offrant des services de collecte d’informations publiques en ligne, l’utilisation de fausses identités pour entrer en relation avec les cibles en passant par de l’espionnage numérique via du piratage.

Pourquoi cette actu : Alors que les cyberattaques se multiplient, avec notamment des rançongiciels, on voit ici des attaques plus subtiles menées par des cyber-mercenaires au service notamment d’États, dans le but de mieux démasquer leurs opposants. Où l’on voit aussi que Meta/Facebook cherche à redorer « son blason », après avoir été partie prenante dans l’exploitation des données personnelles de ses internautes comme dans l’affaire Cambridge Analytica ou mise en cause à la suite des dénonciations de la lanceuse d’alerte Frances Haugen.

L'association Interhop demande au gouvernement de prouver l’efficacité de TousAntiCovid

L’association Interhop, « qui promeut le développement des communs en santé, œuvre à la préservation des libertés fondamentales et du secret médical en e-santé », demande des comptes au gouvernement. Elle veut connaître l’efficacité des traitements automatisés mis en œuvre dans la lutte contre le Covid-19. La CNIL, quant à elle, n’a toujours pas obtenu de données chiffrées du gouvernement. Elle a « rappelé » au gouvernement de lui fournir de solides indicateurs sur l’efficacité de « SI-DEP », « Contact Covid », « Tousanticovid », « Vaccin Covid », « Passe Sanitaire activités » et « Tousanticovid Verif », soit l’ensemble des traitements de données à caractère personnel mis en œuvre aux fins de lutter contre le Covid-19. Et la même autorité de « regretter » que ses souhaits soient restés lettre morte depuis le début de la crise sanitaire.

Pourquoi cette actu : Des requêtes similaires ont été faites de tous bords ces derniers mois, mettant l’exigence de transparence de l’action gouvernementale au cœur des préoccupations citoyennes. En effet, alors que le gouvernement estime que le passe sanitaire est désormais l’outil majeur de son action contre la pandémie de Covid-19, d’aucuns souhaitent avoir des preuves tangibles de son efficacité, bien que l’utilité d’un tel système puisse, aux yeux de beaucoup, relever de l’évidence. Ainsi, alors qu’un défi sociétal actuel majeur, du point de vue de l’Etat, est de convaincre quelques millions de Français encore réticents à la vaccination, une demande récurrente de transparence, à la fois de l’autorité de contrôle des données personnelles mais aussi de la société civile, est intéressante car elle témoigne du fait que des arguments clairs, détaillés et convaincants pourraient aider à aller dans ce sens. Les dernières déclarations du Premier ministre montrent d’ailleurs que la voie privilégiée par l’exécutif est de faire pression sur les non vaccinés en transformant le passe sanitaire en passe vaccinal, et au cœur de nombreuses interrogations au regard des libertés et droits fondamentaux des citoyens.

Un outil d’Apple contre la pédopornographie pose question

Au vu des importants débats et signalements sur le sujet, nombreuses sont les plateformes en ligne qui ont multiplié les annonces concernant la protection de l’enfance. Apple a souhaité aller plus loin que ses concurrents en développant une fonctionnalité de son iCloud permettant de détecter les contenus pédopornographiques qui y seraient stockés. Mais si les intentions d’Apple étaient, somme toute, louables, le projet a soulevé de nombreuses inquiétudes. En effet, des experts ont craint que ce dispositif finisse par être détourné en outil de censure ou de surveillance de masse. Face à la pression, Apple a dû revoir ses plans. Après avoir déployé en septembre dernier ce dispositif, Apple a finalement décidé de le suspendre le 16 décembre 2021.

Pourquoi cette actu : L’inquiétude légitime que pose le manque de contrôle et la puissance des entreprises dans le secteur du numérique amène certaines Big Tech à prendre des mesures pour lutter contre les excès et les délits sur Internet. Cependant, il est frappant de voir que les outils ainsi mis en place, louables en théorie, peuvent voir leur utilisation détournée à des fins tout aussi inquiétantes. Ainsi, quelle que soit l’intention affichée, il convient d’observer les effets d’une mesure d’un géant comme Apple dans son ensemble, ce qui peut donc, comme dans le cas présent, mettre en lumière certaines problématiques. La firme de Cupertino a décidé de mettre ce projet en pause, et même de faire disparaître les références à ce projet qui étaient visibles jusqu’à alors. Sans aucun doute, cela renforce les interrogations qui y sont liées. Par ailleurs, se pose également la question de savoir s’il revient aux Big tech de contrôler et de censurer les contenus qui transitent par leurs outils ? Cette question va certainement être au cœur des prochains débats poser par la régulation des Big Tech dans le cadre du Digital Service Act européen.

Focus de la semaine

Une trentaine d’organismes épinglés par la CNIL pour non-respect des règles relatives aux cookies

Le 14 décembre 2021, dans un communiqué, la CNIL a précisé qu’elle avait mis en demeure 30 entités publiques et entreprises nationales et internationales de se mettre en conformité avec la nouvelle règlementation sur les cookies. Depuis mai 2021, la présidente de la CNIL a déjà envoyé une soixantaine de mises en demeure semblables. Les vérifications en ligne pour relever d’éventuels manquements en matière de cookies se poursuivent et ont permis de constater qu’un certain nombre d’organismes ne permettaient toujours pas aux internautes de refuser les cookies aussi facilement que de les accepter.
Ce sont donc, à ce jour, près de 90 acteurs qui auront été épinglés par la CNIL sur ce sujet. Cette dernière dit avoir observé une certaine « persistance de mauvaises pratiques en matière de cookies ». Par exemple, un bon nombre d’organismes ne permettraient toujours pas aux internautes de refuser les cookies aussi facilement que de les accepter et notamment en raison des bandeaux d’information, qui ne sont toujours pas conformes. D’autres organismes présenteraient un bandeau d’information très simple pour refuser. Mais, ils déposeraient quand même des cookies, après le refus exprimé par l’utilisateur. D’autres enfin déposeraient automatiquement des cookies sur le terminal des internautes dès leur arrivée sur leur site, avant même qu’ils refusent ou ne donnent leur consentement explicite.

Sont notamment visés par ces nouvelles mises en demeure :

• des établissements publics ;
• des écoles d’enseignement supérieur ;
• des sociétés dans le secteur de l’habillement ;
• des sociétés dans le secteur du transport ;
• une société dans le secteur de la grande distribution ;
• une société dans le secteur de la vente à distance.

Cette nouvelle campagne complète les procédures en cours devant la formation restreinte de la CNIL, l’organe chargé de prononcer les sanctions, et qui sont susceptibles d’aboutir à des amendes pouvant aller jusqu’à 2 % du chiffre d’affaires.

La politique de contrôle de la CNIL s’inscrit dans la durée. D’autres campagnes de vérifications et de mesures correctrices seront menées afin d’assurer le respect de la vie privée des internautes français. Il s’agit d’assurer l’effectivité du travail initié par la CNIL depuis 2 ans et qui s’est notamment concrétisé le 1er octobre 2020 par l’adoption des lignes directrices et d’une recommandation. Ainsi, la poursuite de la navigation ne peut plus être considérée comme un consentement valable au dépôt de cookies. La première campagne de vérifications et de mesures correctrices a eu lieu en mai 2021. Elle a permis de mettre en demeure une vingtaine d’organismes. Deux mois plus tard, une quarantaine de groupes défaillants en matière de cookies avaient été identifiés dont quatre plateformes majeures de l’économie numérique. Ce qui fait plus de 150 organisations épinglées à ce jour.

Pourquoi ce focus : La collecte de données personnelles en grand nombre constitue l’or noir du XXIe siècle, et les cookies sont un obstacle sur la route des Big tech. Les campagnes de la CNIL comme celle récente de la Cookies Factory de l’Unesco servent aussi à avertir les internautes qu’accepter les cookies n’est pas anodin. Elles ont pour but d’assurer le respect de leur vie privée. Les géants de la Tech comme Google ont d’ailleurs déjà trouvé une alternative aux cookies. Le géant américain travaille actuellement sur sa « Sandbox Privacy », qui proposera aux annonceurs des segments d’audience établis par Chrome en fonction des habitudes de navigation des internautes. Ce projet inquiète les autorités de contrôle car elles y voient pour Google un moyen d’établir une nouvelle hégémonie dans la publicité en ligne. D’autres s’organisent déjà pour élaborer des solutions de contournement. La puissance de frappe des géants numériques nécessite, on le voit des réactions rapides, afin de pouvoir résister et imposer la vision européenne de la personne humaine, au détriment de la mercantilisation croissante des données personnelles.

Le point de vue étudiant

Digital Market Act et régulation des marchés numériques : vers la fin de l’omnipotence des plateformes numériques ?

Le 16 mars 2020, l’autorité de la concurrence française infligeait à Apple une amende record de 1,1 milliard d’euros, pour des pratiques anticoncurrentielles. La multinationale américaine aurait réalisé des ententes auprès de son réseau de distributeurs et des abus de dépendance économique face à ses revendeurs indépendants « premium ». Cette décision marque une volonté des autorités françaises de sanctionner sévèrement les plateformes numériques lorsqu’elles ne respectent pas le droit de la concurrence. Cette tendance se retrouve aussi au niveau européen. L’amende de 2,42 milliards d’euros infligée à Google par la Commission européenne en 2017 et confirmée récemment par le Tribunal de l’Union européenne pour pratiques anticoncurrentielles sur le marché des comparateurs de prix, en est une preuve. Face à l’inflation des pratiques déloyales des GAFAM (Google, Amazon, Facebook, Apple et Microsoft), la Commission Européenne a proposé deux textes pour réguler les marchés du numérique dont le Digital Market Act.
Le Digital Market Act, de quoi s’agit-il ?

Dans l’objectif de mieux réguler les services numériques, la Commission européenne a présenté le 15 décembre 2020 deux propositions de règlements communautaires : le Digital Service Act (DSA), destiné à réguler les contenus et le Digital Market Act (DMA) ou « règlement sur les marchés numériques ». Ce dernier, fondé sur la politique du marché intérieur est destiné à corriger les déséquilibres des marchés numériques, principalement dominés par des acteurs systémiques appelés « contrôleurs d’accès » ou gatekeepers, souvent accusés d’avoir des pratiques prédatrices et anti-concurrentielles, difficiles à endiguer au niveau national. L’objectif affiché par le DMA est de compléter le droit de la concurrence, en assurant la contestabilité et l’équité du fonctionnement du marché intérieur numérique.
La proposition de texte définit ainsi un ensemble d’obligations et d’interdictions spécifiques auxquelles seraient soumises de plein droit les seules grandes plateformes structurantes, sous la supervision de la Commission européenne. Le texte, après avoir a été amendé en commission en novembre dernier, a été approuvé par les députés européens, le 15 décembre 2021, à 642 voix pour, 8 contre et 46 abstentions. Ce dernier précise et modifie celui de la Commission européenne sur de nombreux points.

Un champ d’application modifié

Le règlement proposé s’appliquera aux grandes entreprises offrant des « services de plateforme essentiels », les plus propices à se livrer aux pratiques déloyales visées, comme les services d’intermédiation en ligne, les réseaux sociaux, les moteurs de recherche, les systèmes d’exploitation, les services de publicité en ligne, l’informatique en nuage et les services de partage de vidéos, qui remplissent certains critères leur permettant d’être qualifiées de ‘‘contrôleurs d’accès’’. Les députés européens ont néanmoins étendu le champ d’application du DMA aux navigateurs web, aux assistants virtuels et aux télévisions connectées, ce qui est bienvenu.

Toutefois, les députés ont modifié la proposition de la Commission en relevant les seuils quantitatifs faisant entrer une entreprise dans le champ d’application de la DMA à 8 milliards d’euros de chiffre d’affaires annuel dans l’Espace économique européen (EEE) (contre 6,5 milliards pour la Commission) et à 80 milliards d’euros au niveau de la capitalisation boursière (contre 65 milliards pour la Commission). Cela signifie donc que moins de Big tech devraient être concernées.

Par ailleurs, pour être qualifiées de contrôleur d’accès, les entreprises devront remplir certaines conditions qui n’ont pas été modifiées par les parlementaires : fournir un service de plateforme essentiel dans au moins 3 pays de l’UE et disposer d’au moins 45 millions d’utilisateurs finaux par mois ainsi que de plus de 10 000 entreprises utilisatrices (les députés ont cependant créé une annexe avec des précisions sur la manière de mesurer ces indicateurs). Toutefois, ces seuils n’empêcheront pas la Commission, le cas échéant, de qualifier d’autres entreprises de « contrôleurs d’accès » si elles remplissent certaines conditions, peu aisées à appliquer dans un contexte mouvant, selon les commentateurs. Seule la Commission aura en définitive la main sur quelles entreprises seront qualifiées de gatekeepers ou non.

La publicité ciblée mieux encadrée

Les données personnelles sont l’or noir du XXIe siècle et leur récolte donne lieu à une chasse sans merci de la part des opérateurs des marchés numériques car elles alimentent les algorithmes de l’intelligence artificielle afin de mieux cibler les consommateurs par une publicité adaptée.

Au sein du DMA, il est envisagé de réguler les contrôleurs d’accès afin qu’ils s’abstiennent d’imposer des conditions inéquitables aux entreprises et aux consommateurs. Les députés européens ont ainsi inclus des exigences supplémentaires sur l’utilisation des données pour la publicité ciblée ou micro-ciblée. Le texte prévoit désormais qu’un contrôleur d’accès devra, « pour ses propres fins commerciales et le placement de publicités de tiers dans ses propres services, s’abstenir de combiner des données à caractère personnel dans le but de diffuser des publicités ciblées ou micro-ciblées », sauf en cas de consentement éclairé explicite et renouvelé, en conformité avec le RGPD.

Les députés ont en outre précisé que les données personnelles des mineurs ne devront pas être traitées à des fins commerciales tels que le marketing direct, le profilage et la publicité comportementale ciblée.

Les pratiques les plus prédatrices endiguées

Parce que le droit de la concurrence ne peut rien ou presque lorsque les seuils en matière de concentrations ne sont pas atteints et que les Big tech absorbent très souvent leurs concurrents ou les jeunes entreprises innovantes capables de leur faire de l’ombre, les députés européens ont convenu que le texte devait donner la possibilité à la Commission de restreindre les acquisitions des contrôleurs d’accès dans des domaines relevant du DMA, afin de remédier ou de prévenir d’autres atteintes au marché intérieur et renforcer la contestabilité. Les députés ont précisé en outre que les contrôleurs d’accès seront également obligés d’informer la Commission de tout projet de concentration de marché.

Décider des paramètres par défaut des services dès leur première utilisation

Un amendement clé a été adopté en séance plénière, permettant aux utilisateurs de décider des paramètres par défaut lors de la première utilisation d’un service, et de les modifier à tout moment, y compris en désinstallant les applications préinstallées. Les acteurs technologiques de plus petite taille ont réclamé ces mesures comme un moyen essentiel de contester la position dominante des Big tech.

Interopérabilité et communication mutuelle des réseaux et des messageries
Les mesures d’interopérabilité ont été un autre ajout majeur au texte du Parlement, exigeant que les réseaux sociaux et les applications de messagerie communiquent entre eux. Lors de la discussion en séance plénière, les parlementaires de tout bord ont souligné que l’interopérabilité était une étape importante pour réduire la dépendance aux plus grandes plateformes en ligne, même si des réserves ont été émises sur une mise en danger de la vie privée et des failles potentielles de sécurité mais certains députés ont souligné le besoin de ne pas « rester coincés dans des réseaux sociaux dominants qui monétisent nos données ».
Grâce à cette disposition, un message envoyé sur WhatsApp pourra être reçu sur Messenger ou Signal et vice-versa. La Commission aurait 18 mois pour définir les spécificités techniques nécessaires.
L’accès à de multiples boutiques d’application
Le texte oblige désormais les systèmes d’exploitation à autoriser l’accès à de multiples boutiques d’applications. Le champ d’application des dispositions relatives au self-preferencing, s’appliquent aussi aux boutiques d’applications et pas uniquement au niveau des systèmes de classement, comme c’est le cas dans un résultat de recherche (voir pour un exemple de self-preferencing la décision Google Shopping du 10 novembre 2021). Les utilisateurs pourront supprimer les applications par défaut.
La coopération avec les autorités des États-membres

Parce que le DMA suscite de nombreuses questions concernant les interactions entre les autorités de la concurrence des États membres et la Commission ainsi qu’en ce qui concerne la compatibilité des textes nationaux du droit de la concurrence et le DMA, les députés proposent de créer un groupe européen de haut niveau de régulateurs numériques, afin de faciliter la coopération entre la Commission et les États membres. Ils clarifient le rôle des autorités nationales de concurrence tout en laissant la mise en œuvre du DMA dans les mains de la Commission.

L’augmentation du montant des sanctions

Les députés ont prévu un durcissement des sanctions au regard des dispositions envisagées par la Commission. Ainsi, si un contrôleur d’accès ne respecte pas les règles du DMA, la Commission pourra imposer des amendes représentant pas moins de 4% et n’excédant pas 20% du chiffre d’affaires mondial durant l’exercice précédent, au lieu des 10% envisagés par le texte de la Commission. De même, en cas non-conformité systématique, un contrôleur d’accès qui enfreint plus d’une fois les obligations du DMA pourra être sanctionné des mêmes sanctions.

Dans la mesure où ce sont les plus grandes entreprises numériques qui ont été visées par les députés, on comprend que la sanction financière peut être particulièrement lourde et sans doute plus efficace que les sanctions actuelles infligées aux Big tech par les autorités de la concurrence nationales.

Une protection renforcée des lanceurs d’alerte

Sous l’influence sans doute de la lanceuse d’alerte Frances Haugen, la Commission IMCO, à l’origine du texte amendé voté par les parlementaires européens, a souligné par ailleurs la nécessité que le DMA garantisse des « dispositions adéquates » pour permettre aux lanceurs d’alerte d’alerter les autorités compétentes concernant des infractions réelles ou potentielles au présent règlement et pour les protéger contre les représailles. Frances Haugen avait en effet souligné que malgré le statut de lanceurs d’alerte, ces derniers restaient encore fragilisés.

On le voit, les députés européens ont à l’évidence modifié et renforcé de nombreux points de la proposition de texte de la Commission, ce qui est plutôt positif mais leur point de vue va-t-il l’emporter ?

Le texte doit faire l’objet à présent de négociations avec les gouvernements des Etats-membres de l’UE qui devraient débuter sous la présidence française du Conseil dans le courant du premier semestre de 2022. Le Conseil de l’UE a d’ores et déjà adopté le 25 novembre dernier le texte qui constituera l’orientation générale des discussions à venir, et celui-ci est très proche… de celui de la Commission.

Cela signifie que le champ d’application plus restreint, les acquisitions prédatrices, les paramètres par défaut, l’interopérabilité et les publicités ciblées ne font pas partie du texte adopté par le Conseil. A cet égard, il faut savoir qu’il reviendra à la France de représenter les États membres dans les négociations à venir, de par la présidence du Conseil de l’UE au premier semestre 2022.

Le 15 décembre 2021, M. Schwab, rapporteur de la Commission IMCO côté Parlement, a rencontré le secrétaire d’État français chargé du Numérique, Cédric O, pour entamer officieusement les discussions d’une manière à surmonter les principales différences entre les deux institutions.

A la veille de ce moment crucial, force est néanmoins de constater que même si la position du Parlement l’emporte, il reste que si le texte amendé, certes présente des avancées certaines, il comporte encore des lacunes et des imprécisions.

Le rapport Hennion rendu par la Commission des affaires européennes de l’Assemblée nationale française le 22 juillet 2021 regrettait ainsi le caractère imprécis, parfois confus du texte, aussi bien dans la définition des concepts fondamentaux, des procédures et des obligations de fond. Il soulignait les malfaçons rédactionnelles constituant « une atteinte à la fois à la sécurité juridique et à l’efficacité du texte ». Le rapport proposait de :

• rendre le texte plus lisible en définissant mieux les concepts fondamentaux et en améliorant la procédure de désignation des gatekeepers ;
• mieux organiser les obligations et les affiner, pour qu’il soit aisé de les adapter et de les faire appliquer de manière plus efficace ;
• créer une véritable architecture de régulation qui ferait intervenir l’ensemble des parties prenantes, et notamment les autorités nationales de régulation, plutôt abandonnées au profit de la Commission.

Le 16 décembre 2021, deux sénatrices Catherine Morin-Desailly et Florence Blatrix-Contat présentaient à leur tour leurs rapports et propositions de résolution européenne pour une meilleure régulation européenne du numérique, faites au nom de la Commission des affaires européennes afin notamment de préciser, compléter et renforcer le DMA et d’associer davantage les autorités nationales et les entreprises utilisatrices.

Concernant le DMA, les sénatrices soulignaient à juste titre que « l’objectif de ces plateformes structurantes, qui ne se concurrencent qu’à la marge, est en effet de pousser l’utilisateur final à rester dans l’écosystème, en alimentant des addictions, en proposant un nombre croissant de services, en développant des stratégies multidimensionnelles, avec des utilisations différenciées, jusqu’à le rendre dépendant, sans qu’il en ait toujours conscience ».

L’espoir n’est donc pas perdu d’améliorer le texte de la Commission. M. Schwab ajoutait d’ailleurs à l’issue du vote du Parlement, qu’entre le Parlement et le Conseil, « il y a un accord à 100 % sur ce que nous voulons réaliser. »

Margrethe Vestager, Commissaire européenne à la concurrence, n’a pas dissimulé sa satisfaction devant les progrès des deux textes. Saluant un « cadeau de noël en avance » elle a déclaré sur Twitter, que « dans notre démocratie européenne, ce n’est pas aux Big Tech de fixer les règles du jeu, mais aux législateurs ». Espérons que le texte adopté permette à ces règles du jeu d’être efficaces.

Par Inès Chenouf, étudiante en M2 DDA, sous la supervision d’Isabelle Bufflier et de Frédéric Munier ».