Gafam : la fin annoncée du Far West

En gros, deux textes – le DSA et le DMA[2] – visent à encadrer, pour le premier, le commerce des services (Digital Services Act) et, pour le second, des biens (Digital Markets Act) par les grosses entreprises. Les Gafam ne sont jamais mentionnés mais clairement ciblés, si l’on en croit l’intense activité de lobbying à laquelle s’est livré Alphabet, la maison mère de Google, lobbying dénoncé par Thierry Breton (commissaire européen) et qui a dû aller suffisamment loin pour que Sundar Pichai, le PDG d’Alphabet, présente en personne ses excuses.

Ce qui est interdit off line doit être interdit on line, et les plateformes devront mettre tout en œuvre (outil de signalement, déréférencement, etc.) pour supprimer les biens et les services illégaux : on pense bien entendu à tout ce qui concerne le matériel pédophile, mais aussi (l’affaire avait fait grand bruit à l’époque) à la vente d’objets nazis et, pour la vente de services illégaux, on s’appuie sur une appréciation au sens large (la publication de propos haineux sur les forums en fait partie). Un amendement de dernière minute, déposé par un groupe de parlementaires européens appelé « Tracking-Free Ads Coalition », consacre ainsi l’interdiction de la publicité ciblée issue de données de personnes mineures. Tout un programme.

Les modèles économiques tel celui de l’App Store (qui engrange une grosse part des recettes des services commercialisés sur la plateforme) ont du plomb dans l’aile, autant que la mainmise exclusive des Gafam sur les données personnelles générées par la commercialisation de ces services dont ils ne sont qu’hébergeurs (on pense aux applications tierces hébergées sur Facebook). Également, le DSA imposerait à toutes ces entreprises de désigner un représentant légal dans un pays de l’UE. Celui-ci devrait, par exemple, obéir à toute demande de retrait de contenu ou de produit dangereux de la part de l’un des 27 États membres. Un « coordinateur des services numériques » au sein de chaque État pourrait également, s’il constatait des irrégularités, enquêter, saisir la justice et même sanctionner directement une entreprise dans certaines situations. 27 « coordinateurs des services numériques » coopéreraient au sein d’un « Conseil européen des services numériques » habilité à mener des enquêtes conjointes dans plusieurs États. On parle aussi de l’ouverture forcée de « la boîte noire des algorithmes », point très dur vis-à-vis des Gafam qui considèrent que cette dernière relève du secret industriel.

D’aucuns mettent en avant une atteinte possible, dans certains cas, à la liberté d’expression. Nul doute que les juristes vont s’écharper à ce sujet pendant des années et que la jurisprudence à suivre sera cruciale. Certains avancent également que le modèle des Gafam perdure et que l’on n’est pas allé assez loin. Côté sanctions financières, on a les yeux qui brillent : selon les cas, 1 %, 5 %, 6 %, 10 % du CA seraient en jeu, voire la cessation d’activité – le RGPD, petit joueur !

La loi entrera en vigueur le 1^er janvier 2023, et en tout cas la France est moteur dans cette avancée juridique, ce qui tombe bien puisqu’elle assure la présidence tournante du Conseil de l’UE.

Comme par un fait exprès, la Cnil autrichienne (la DSB) vient de considérer qu’un site qui utilise Google Analytics est hors des clous en termes de protection de la donnée personnelle. Sans attaquer frontalement l’outil de Google, elle en fait, pour le moment, porter la responsabilité au site utilisateur : chiffrement insuffisant, données accessibles par les autorités US (Cloud Act et Patriot Act). La réaction de Google est par contre édifiante : Kent Walker, le responsable mondial des affaires publiques de Google, a pris la plume, mercredi 19 janvier, pour réagir vivement : « Google offre des outils de mesure d’audience depuis plus de 15 ans à des entreprises du monde entier. Et depuis tout ce temps, nous n’avons pas une seule fois reçu le type de demande [des autorités américaines] sur laquelle spécule [la DSB]. Et nous ne nous attendons pas à en recevoir, car ce genre de requête aurait peu de chance de rentrer dans l’objet très restreint de la loi américaine. » Manifestement, on est toujours dans le déni chez Kent, qui oublie juste de mentionner que Cloud et Patriot Acts exonèrent l’entreprise faisant l’objet d’une demande de la part du gouvernement US de prévenir les clients : sa promesse est donc absolument invérifiable.

On avait connu le 25 mai 2018, on attend impatiemment le 1^er janvier prochain…

[1] https://www.publicsenat.fr/article/politique/gafam-le-parlement-europeen-s-attaque-au-far-west-du-numerique-191984 

[2] https://www.touteleurope.eu/societe/numerique-que-sont-le-dma-et-le-dsa-les-projets-europeens-de-regulation-d-internet/