Ce lundi 8 novembre, la lanceuse d’alerte Frances Haugen qui avait rendu public des milliers de dossiers publiés sous le nom des « Facebook Files », a été auditionnée par le Parlement européen. Appelée à se prononcer sur le contrôle des géants du numérique, elle a notamment souligné le rôle important que pourraient jouer les projets de règlements DSA (Digital Services Act) et DMA (Digital Markets Act) dans cette régulation.

Pourquoi cette actu ? Nous avons trouvé intéressant d’avoir le point de vue d’une spécialiste américaine des réseaux sociaux sur ces deux textes emblématiques proposés tout d’abord par la Commission européenne, sous l’influence de Thierry Breton notre Commissaire européen français et à présent dans les mains du Parlement européen et du Conseil. Ces deux Institutions doivent trouver un accord sur un texte commun, conformément à la procédure législative européenne, espéré pour 2022. Les dispositions adoptées auront certainement un impact notable en termes de souveraineté numérique européenne face à la rivalité sino-américaine. Le Digital Service Act et le Digital Market Acts visent en effet à réguler les plateformes de toutes tailles ayant une activité en Europe, à « garantir un environnement en ligne sûr et responsable » et à encadrer par les règles de concurrence les potentielles situations de monopole sur les marchés numériques. Ainsi, si le rôle des lanceurs d’alerte est d’abord d’attirer l’attention sur certains comportements préjudiciables d’entreprises ou de personnes, cette actualité montre qu’il est aussi de mettre en lumière les solutions pour éviter ces failles dans le futur. Peut-être que cette audition saura accélérer la prise de conscience sur la puissance des GAFAM ainsi que l’adoption de ces deux projets de textes toujours en discussion au Parlement pour le moment. Dans un autre registre, nous voyons dans cette actualité un exemple de bataille entre deux types de puissance : le pouvoir des institutions politiques d’une part et le pouvoir économique des grands groupes d’autre part, qui aujourd’hui conteste l’organisation westphalienne de nos sociétés. Le combat qui est mené à Bruxelles est probablement l’un des plus importants de notre temps.

Le 8 novembre, Europol a annoncé dans un communiqué de presse que l’opération “GoldDust” avait été une réussite. En étroite collaboration avec Europol, Eurojust et Interpol, quelque 18 pays dont la France, l’Allemagne et la Roumanie sont parvenus à arrêter 5 personnes qui auraient réussi à infecter plus de 7 000 systèmes d’information par le biais de rançongiciels Sodinoki, autre nom de REvil et GrandCab, prédécesseur de REvil, qui donnent leur nom au groupe cybercriminel qui les utilisent.

Pourquoi cette actu ? Une actualité de plus concernant la lutte contre les rançongiciels mais qui montrent que cette lutte s’organise à très grande échelle à la fois aux États-Unis, mais aussi grâce à la coordination efficace des organismes européens (Europol et Eurojust) et internationaux (Interpol). Comme le dit l’adage, « tout seul on va plus vite mais ensemble on va plus loin ».

Le 8 novembre, l’entreprise américaine Oracle a inauguré son premier centre de données en région ou première « région cloud » à Marseille. Le centre de données sera hébergé dans les locaux d’Interxion, déjà bien installé avec trois centres et un quatrième à venir. Cette localisation s’explique notamment par le fait que Marseille et sa région sont devenus le 9ème hub d’Internet mondial. La ville est connectée à 43 pays via quinze câbles sous-marins auxquels s’ajouteront, dans les deux prochaines années six nouveaux câbles, précise Fabrice Coquio, président d’Interxion France. Ce choix, qui confirme la position stratégique et agressive d’Oracle, va permettre au géant américain de s’étendre dans à nouveaux pays en Europe et au Moyen-Orient.

Pourquoi cette actu ? L’installation d’Oracle à Marseille matérialise le fait qu’une course au cloud se renforce en France à la suite de l’annonces du gouvernement en mai dernier de développer une stratégie nationale de cloud visant notamment à instaurer un label « Cloud de confiance ». Le gouvernement cherche ainsi à sécuriser à la fois techniquement et juridiquement les services cloud utilisés par les entreprises françaises. Cette actualité pose également la question de la souveraineté numérique des pays européens face au Cloud Act américain et de leur position dans la protection des données personnelles qui y sont stockées. Avoir des services cloud européens autonomes et fiables permettraient de prévenir les risques d’extraction et d’utilisation des données d’utilisateurs européens stockées sur un service cloud étranger du fait de l’extraterritorialité d’une réglementation américaine par exemple. En d’autres termes, les États-Unis et l’Europe se livrent à une géopolitique du cloud qui prend la forme d’une course de vitesse…

En juin 2017, la Commission européenne avait condamné Google à une amende de 2,4 milliards d’euros pour avoir favorisé son service Google Shopping dans treize pays européens, au détriment de ses concurrents. Le 10 novembre 2021, le Tribunal de l’Union européenne a validé cette décision en précisant que l’entreprise avait effectivement « abusé de sa position dominante en favorisant son propre comparateur de produits par rapport aux comparateurs concurrents ». Toutefois, Google a encore la possibilité de contester cette décision devant la Cour de justice de l’Union européenne.

Pourquoi cette actu ? Cette actualité a retenu notre attention pour deux raisons. D’une part parce que ce dossier est l’un des trois contentieux majeurs opposant la Commission européenne et Google. En effet, en juillet 2018, la Commission européenne avait déjà condamné Google à une amende record de 4,3 milliards d’euros pour abus de position dominante au sujet de son système d’exploitation Android pour téléphones mobiles. En mars 2019, la Commission européenne avait encore sanctionné la firme d’une amende de 1,5 milliard d’euros pour des pratiques anticoncurrentielles de sa régie publicitaire AdSense. D’autre part, parce que la lenteur de cette enquête et des recours judiciaires constitue un argument supplémentaire en faveur des deux projets de réglementation annoncés par Bruxelles (DSA/DMA). Néanmoins, il faut tout de même souligner que Google ne perd pas tous ses procès. La Cour suprême britannique vient par exemple de rejeter l’action de groupe, menée par l’association Google You Owe Us, qui l’accusait de récolter illégalement les données personnelles des utilisateurs d’iPhones via des cookies déposés sur son navigateur Safari. Relevons toutefois que cette actualité, dans le sillage de celle concernant Apple, montre l’ampleur des débats qui concernent aujourd’hui la montée en puissance des géants du numérique.

On se souvient que lors d’un premier jugement rendu le 10 septembre dernier, le tribunal d’Oakland avait condamné Apple et exigé que la firme permette au développeur Epic Games, possédant la licence Fortnite, et présent sur l’Apple store de contourner la commission prélevée par Apple en proposant un système de paiement alternatif. Si la justice américaine a reconnu un besoin de liberté pour les éditeurs, elle a rejeté cependant l’accusation de monopole invoquée par Epic Games. Apple a interjeté appel de cette décision. Dans le même temps, et en attendant la décision au fond, l’entreprise a saisi un juge afin de demander la suspension de l’exécution de la décision de première instance. A l’appui de sa demande, la firme a mis en avant des problèmes techniques et commerciaux, en demandant du temps pour s’adapter. Dans une décision en date du 9 novembre 2021, une juge fédérale américaine a rejeté cette demande. Apple a désormais jusqu’au 9 décembre pour proposer aux développeurs d’applications un système de paiement alternatif au sien.

Pourquoi cette actu ? La firme Apple est cernée de toutes parts sur la question de son service de paiement sur l’Apple Store non seulement en Europe mais aussi nous le découvrons ici aux États-Unis. La Commission européenne avait en effet déjà estimé, en avril dernier, que Apple était certainement en abus de position dominante en ce qui concerne la distribution d’applications de diffusion de musique en continu via sa boutique, l’App Store. Il nous semble important de souligner aujourd’hui les décisions de justice qui réintroduisent des formes nécessaires de concurrence dans un marché largement dominé par les géants de la Big tech, devenus pour certains des écosystèmes, prédateurs des États.

La plateforme de courtage américaine Robinhood, qui compte 22 millions d’utilisateurs, a fait savoir cette semaine qu’elle avait subi une cyberattaque le 3 novembre dernier, sans conséquences financières semble-t-il pour ses clients, bien que les données de plus de sept millions de personnes, soit plus d’un tiers des utilisateurs de l’entreprise, aient été exposées.
L’entreprise a aussi fait savoir que les noms complets de deux millions de clients supplémentaires avaient été exposés à l’attaque, et que des données personnelles plus sensibles concernant 310 autres personnes avaient été compromises (noms, date de naissance, code postal…).
Cette situation reste néanmoins inquiétante car les informations exposées à ce piratage pourraient être utilisées pour faciliter des futures attaques similaires à celles qui ont révélé les données des utilisateurs.

Pourquoi cette actu ? Les violations de données et les demandes de rançons se sont multipliées ces derniers mois. Elles ciblent de plus en plus d’entreprises, publiques comme privées, certaines en sont même paralysées. Ces cyberattaques sont principalement motivées par la perception de rançons conséquentes conditionnant le déblocage des réseaux informatiques affectées. S’attaquer à un site de courtage en ligne manifeste à l’évidence cet intérêt financier. Toutefois, nous avons vu dans nos actualités précédentes que la lutte contre les cybercriminels s’organisait efficacement au plan international et que plusieurs réseaux et criminels avaient été arrêtés ces dernières semaines. Les entreprises elles-mêmes s’organisent aussi pour déjouer ces attaques, comme cela semble être le cas en l’espèce.

Dès le 19 janvier 2022, à la suite de la suppression de centaines catégories d’options dites sensibles, le ciblage publicitaire sur Facebook, Instagram ou encore Messenger en considération des critères liés à l’orientation sexuelle, la santé, l’affiliation politique, la religion et l’origine ethnique devrait cesser. Cette décision du groupe Facebook, désormais Meta, datant du 10 novembre est liée aux révélations du site Tech Transparency Project qui, dans les derniers mois, avait souligné des dérives importantes. En effet, des membres de groupes d’extrême-droite avaient été ciblés par des publicités pour des étuis de revolver ou des gilets pare-balles peu avant l’Assaut du Capitole du 6 janvier 2021. De même, des annonces immobilières avaient exclu des personnes de couleur ou en situation de handicap de leur ciblage. Le média Vox, à l’origine d’une enquête sur l’impact de la publicité ciblée, décrivait aussi comment une femme atteinte d’un cancer ne se voyait plus proposer sur Facebook que des publicités pour les pierres tombales.

Pourquoi cette actu ? Que Facebook/Meta s’engage à supprimer ce qui est la base de son modèle économique est particulièrement notable. La firme tire en effet l’écrasante majorité de son chiffre d’affaires de la vente à des annonceurs d’espaces publicitaires ciblés. En 2020, l’entreprise a ainsi réalisé un chiffre d’affaires de 84 milliards de dollars, essentiellement grâce à ce type de recettes. Il est vrai qu’après la révélation des Facebook files, et la tournée européenne savamment orchestrée de la lanceuse d’alerte Frances Haugen, Meta a tout intérêt à s’acheter une conduite éthique…