Numéro 36 // Jeudi 23 février 2023
|
|
|
|
DIGITAL SERVICES ACT : LE NOUVEAU PAYSAGE JURIDIQUE POUR LES INTERMÉDIAIRES DE L'INTERNET
|
|
|
|
Ce mois-ci, la Lettre du DPO a interrogé Romain Darfeuille (directeur juridique de la société Bedrock) et Oscar Lourdin (DPO de Bedrock). Bedrock conçoit et administre des services à haute performance de streaming de contenus, qu’elle fournit notamment aux exploitants de plateforme de SVOD (service de vidéo à la demande).
Ils livrent à la Lettre du DPO leur témoignage sur ce nouveau Règlement, dont certaines dispositions sont déjà entrées en application, et dont le reste le sera en février 2024, soit dans moins de 12 mois, ce qui va arriver très vite lorsque l’on prend la mesure des changements à adopter pour certaines entreprises, notamment toutes celles qui exploitent des plateformes en ligne.
L’idéologie libérale d’Internet à ses débuts, a vécu. Lancé par des entrepreneurs anglo-saxons épris d’idées très libérales, voire – pour certains – libertariennes, Internet, le réseau des réseaux, s’est développé et a prospéré jusqu’alors en répondant à une logique non directive et peu favorable à la régulation. C’est de cette logique que les grands textes fondateurs du droit de l’Internet tirent leur source, au premier rang desquels la Directive 2000/31/CE du 8 juin 2000 qui a posé le principe cardinal d’une responsabilité allégée pour les intermédiaires techniques de l’Internet (fournisseurs d’accès, hébergeurs, etc.), responsabilité allégée dont le champ d’application a été étendu à des opérateurs parfois éloignés d’une prestation « technique » et qui sont devenus incontournables, donc puissants, dans l’espace numérique : les plateformes. Cette tournure, prise par un Internet devenu marchand et obéissant à une logique d’attractivité du trafic avec, dans certains cas, des contenus toujours plus addictifs, a dessiné un paysage qui, plus de deux décennies après, révèle quelques reliefs inquiétants : l’espace numérique est aujourd’hui massivement dominé par quelques grands opérateurs de plateformes s’étant taillé des empires économiques en exploitant les données de leurs utilisateurs, souvent à partir d’un malentendu puisque ces derniers n’avaient que très peu conscience de cette exploitation et de ses conséquences, à savoir l’exposition extrême de leur vie privée, mais surtout le caractère orienté, voire manipulatoire de certains contenus proposés en fonction de paramètres cachés ou, au mieux, exposés de manière ambigüe. Le très faible investissement des pouvoirs publics (n’ayant pas alloué des ressources suffisantes de police-justice) à veiller sur le respect effectif du droit commun sur cet espace numérique (respect de la vie privée, du consommateur, de la propriété intellectuelle, d’une concurrence non faussée, etc.) a abouti à une certaine défiance, notamment après des scandales dont certains ont pu montrer que des opérateurs comme les grands réseaux sociaux pouvaient être le vecteur de la propagation de contenus haineux, manipulatoires ou tout simplement illicites, susceptibles de mettre en péril la sérénité du débat public ou encore de déstabiliser la démocratie. Pour cette raison, il apparaissait urgent de responsabiliser tous les intermédiaires de l’Internet, en leur imposant des obligations de vigilance, « en amont », afin de limiter les effets néfastes, « en aval », d’un espace numérique laissé en pâture à une trop grande liberté.
Le DSA : un texte jumeau du DMA, et s’inscrivant dans une stratégie européenne. Privilégiant de nouvelles obligations « ex ante », en complément des mesures « ex post » que prévoit déjà le droit positif, le législateur communautaire a adopté, coup sur coup, deux textes : le Règlement n°2022/1925 du 14/10/2022, dit « sur les marchés numériques » (« Digital Markets Act », ou « DMA », en anglais), et le Règlement n°2022/2065 du 19/10/2022, dit « sur les services numériques » (« Digital Services Act », ou « DSA », en anglais). Le premier impose de nouvelles obligations aux géants du numérique qui, par leur suprématie économique (définie au moyen de seuils), jouent un rôle de « contrôleur d’accès ». Le second impose des obligations nouvelles à tous les « fournisseurs de services intermédiaires », catégorie plus large que la précédente (car n’étant soumise à aucun seuil) et comprenant notamment les transitaires de données, les fournisseurs d’hébergement, les plateformes (dont celles d’intermédiation) et les moteurs de recherche.
Entrée en application : deux dates à retenir ! Le DSA sera applicable à partir du 17 février 2024, à l’exception de certaines dispositions dont l’application a été avancée au 16 novembre 2022. Parmi ces dispositions d’application anticipée, figurent celles obligeant les fournisseurs de plateforme en ligne à (i) publier, au plus tard le 17 février 2023 et au moins tous les six mois par la suite, des informations relatives à la moyenne mensuelle des destinataires actifs du service dans l’Union, et à (ii) communiquer ces informations, dans l’Etat membre d’établissement, à l’autorité en charge du respect de ce Règlement (le « coordinateur de services numériques ») et à la Commission européenne, à leur demande et dans les meilleurs délais.
|
|
|
|
"Cette volonté de régulation doit être saluée sous réserve toutefois que les obligations qui en découlent pour les acteurs concernés restent proportionnées."
|
|
|
|
Ancienne avocate spécialisée en droit du numérique, Charlotte de Dreuzy (VP Legal et Public Affairs chez la marketplace ManoMano, la licorne française du bricolage) revient en détail pour la Lettre du DPO sur son parcours et livre sa vision sur les enjeux du DSA pour les acteurs de l’économie numérique.
|
|
|
|
1/- Quel est votre parcours, et qu’est-ce qui vous a poussé à vous intéresser au droit du numérique et aux données personnelles ?
Je suis titulaire d’un Master de droit privé général de l’Université de Nanterre (option propriété littéraire et artistique et droit des médias) et d’un Master 2 en gestion des médias de Sciences Po Rennes. J’ai débuté ma carrière en droit de la presse en effectuant différents stages dans un cabinet spécialisé en cette matière et dans le département presse écrite de Lagardère Active. C’est à l’issue de ce stage, que j’ai été embauchée comme juriste avec l’envie d’évoluer dans des matières juridiques en relation avec la presse écrite. En parallèle de mes activités professionnelles, j’ai obtenu le Barreau en 2011. Par opportunité mais aussi par contrainte (la presse écrite déclinant), je me suis tournée vers le droit du numérique en évoluant sur un nouveau poste chez Lagardère, qui avait pour objet la gestion de tous les « pureplayers » qui avaient été rachetés par le groupe, en particulier des plateformes telles que billetreduc.com, des comparateurs et des sites de fournisseurs de contenu tels que doctissimo.com. C’est dans ce contexte, que j’ai commencé à développer une réelle expertise en droit du numérique avec une vraie connaissance de l’univers des start-up. Je gérais également, à l’époque, les questions juridiques pour une plateforme de vente de médicaments du groupe Lagardère, avant de rejoindre un cabinet de niche en droit de la santé électronique. Au sein de ce cabinet (de 2013 à 2016), j’étais en charge des problématiques de droit de la consommation/concurrence, IP/IT et data protection. Ensuite, j’ai rejoint le département IP/IT de KGA Avocats puis un cabinet de niche en IT. A cette époque, la mise en application du RGPD chez les clients occupait le plus clair de mon temps. En parallèle, j’avais une clientèle personnelle constituée essentiellement de plateformes d’intermédiation. J’ai donc vraiment évolué dans l’univers des plateformes tout au long de ma vie professionnelle. En mars 2018, je suis arrivée chez ManoMano en qualité de responsable juridique pour m’occuper dans un premier temps de la mise en conformité au RGPD.
2/- Quelles sont vos responsabilités et les missions que vous menez, plus particulièrement actuellement ?
Je suis VP Legal et Public Affairs chez ManoMano. ManoMano est une plateforme française, créée en 2013, qui a une activité de marketplace spécialisée dans l’aménagement de l’habitat intérieur et extérieur (une marketplace B2B et une marketplace B2C) et qui compte aujourd’hui 5000 marchands et 7.000.000 de clients actifs. ManoMano est présent en Espagne, en Italie, en Allemagne, au Royaume Uni, en France et en Belgique. Lorsque je suis arrivée en 2018, il n’y avait ni département juridique, ni département d’affaires publiques. J’ai donc créé ces deux départements. Actuellement, je dirige une équipe de 12 juristes qui traite de tous les sujets (corporate, immobilier, assurance, IP/IT, compliance) à l’exception du droit social qui est géré par le département RH. J’ai également sous ma responsabilité une personne qui s’occupe des questions en relation avec les affaires publiques. J’ai longtemps été DPO avant de passer le relai à une personne de mon équipe qui a suivi les problématiques de données personnelles avec moi depuis le début. Il y a également un DPO tech qui est rattaché à l’équipe tech et sécurité. Nous fonctionnons donc en binôme sur les questions de données personnelles. D’une manière générale, notre activité est assez dense car nous sommes en croissance constante et nous développons en permanence de nouveaux services. Pour cette année, notre attention est portée sur le déploiement des nouvelles réglementations qui ont un fort impact sur les marketplaces avec évidemment le DSA qui va impliquer la mobilisation de l’ensemble des équipes, le règlement sur la sécurité générale des produits et la loi AGEC dont nous avons déjà commencé les chantiers de mise en application.
3/- Quel est votre vision sur l’avenir du droit du numérique et sur les acteurs de l’économie numérique ?
L’activité de marketplace commence à devenir une activité réglementée. Nous assistons ces dernières années à une augmentation du nombre de textes qui visent à réguler davantage l’activité des plateformes. A cet égard, le règlement dit « Platform to Business », entré en application le 12 juillet 2020, est venu réguler les relations entre les marketplaces et les vendeurs. Il y a désormais le DSA qui vient préciser le régime de responsabilité sans pour autant le refondre. Le DSA crée néanmoins de nouvelles obligations incombant aux marketplaces. Cette volonté de régulation doit être saluée sous réserve toutefois que les obligations qui en découlent pour les acteurs concernés restent proportionnées. Il est effectivement très compliqué pour les acteurs émergents de trouver un juste équilibre entre croissance et compliance. Cela est encore plus vrai dans le contexte économique morose dont souffrent les entreprises du secteur de la tech. Les entreprises sont toujours animées par l’envie de se mettre en conformité avec les réglementations applicables mais cela nécessite de gros investissements financiers et technologiques tout en mobilisant des ressources humaines non négligeables. D’une certaine manière, sur un plan concurrentiel, les gros acteurs se trouvent avantagés puisque, pour eux, les investissements requis peuvent apparaître comme d’une importance moindre. Ils peuvent en outre anticiper et bénéficier bien en amont de l’application effective des textes, des services de consultants et de lobbyistes. Le point essentiel est qu’il y ait une réelle vigilance sur la proportionnalité des obligations. Si l’on prend l’exemple du DSA, il y a eu la création du statut de « très grandes plateformes », qui implique des obligations accrues (notamment en matière de reporting et d’audit), ce qui est une intention louable. Toutefois, le législateur est resté flou sur la méthode de calcul à prendre en compte pour définir le seuil à partir duquel une plateforme devait être considérée comme une très grande plateforme. Pour finir sur une note positive, je trouve que ce qui est utile et pertinent dans le DSA, c’est l’incitation des marketplaces à développer des mesures proactives afin de combattre la présence de produits contrefaisants, illicites et dangereux, tout en conservant le régime de responsabilité limitée. C’est une bonne façon de les inciter à le faire.
|
|
|
|
Une transparence accrue qui va au-delà de l’interface.
|
|
|
|
Joint-Venture formée par le Groupe M6 et RTL Group (Bertelsman), Bedrock conçoit et administre des services à haute performance de streaming de contenus (diffusion en continue sans téléchargement complet), qu’elle fournit notamment aux exploitants de plateformes de SVOD (service de vidéo à la demande). Grâce à sa technologie de pointe, sécurisée et modulable, Bedrock est reconnue pour pouvoir absorber des pics de trafics records, comme ceux qui caractérisent les évènements sportifs à forte audience que diffusent ses clients. Respectivement Directeur juridique et DPO de Bedrock, Romain Darfeuille et Oscar Lourdin ont accepté de partager avec la Lettre du DPO leur point de vue au sujet du DSA qui va s’appliquer à la plupart de leurs clients.
Le DSA impose aux plateformes des modifications substantielles de leur interface.
« Pour l’essentiel, ce texte impose aux opérateurs de plateforme en ligne, qui représentent la plupart de nos clients, de nouvelles obligations qui impacteront leur interface :
- D’abord, celle de désigner et rendre publique(s) l’identité et les coordonnées de points de contact uniques (un pour les autorités publiques, et un autre pour les utilisateurs de leur service) ;
- Ensuite, celle de compléter leurs conditions générales par des précisions (notamment concernant les restrictions d’usage de leur service, mesures de modération, fonctionnement des algorithmes …) ;
- Également, celle de publier a minima annuellement un rapport dit « de transparence » (indiquant rétrospectivement les évènements et actions intervenus au sujet de la modération des contenus sur la plateforme, la moyenne mensuelle des utilisateurs actifs, etc…) ;
- Aussi, celle de fournir à leurs utilisateurs l’accès à un système de traitement des réclamations ;
- Enfin, celle de s’associer à un organisme certifié de règlement extrajudiciaire des litiges, en publiant, sur leur interface en ligne, les informations permettant à leurs utilisateurs d’y avoir accès.
Toutes ces nouvelles obligations de transparence accrue, qui contraignent en apparence les opérateurs de plateforme à modifier essentiellement leur interface (c’est-à-dire la partie « visible », pour les utilisateurs, celle où leurs services sont présentés), impliqueront en réalité de repenser en partie l’ergonomie de leurs services et seront aussi l’occasion, pour ces opérateurs, de se réinterroger sur leur politique en matière de choix de contenus mis en avant, sur leur modèle économique, sur leur gestion des réclamations … Car la révélation au grand jour de ces facettes, jusque-là peu mises en avant, de leurs services, poussera peut-être ces opérateurs à donner davantage de garanties en matière de réponses aux réclamations, ou encore de protection de données personnelles (qui est parfois malmenée par les modèles économiques gratuits) ».
Le DSA implique aussi de se doter de nouvelles ressources internes, pour traiter efficacement les réclamations et les contenus illicites.
« Les opérateurs de plateforme devront doubler leur évolution ergonomique d’un net renforcement de leur dispositif de gestion des plaintes et des contenus illicites, puisque le DSA leur impose, par exemple, d’accuser réception de toutes notifications de contenus illicites qu’ils reçoivent en devant ensuite, en cas de réponse restreignant ou suspendant l’accès à un contenu ou service, en exposer les motifs précis.
Il est ainsi exclu de recourir trop exagérément, comme peuvent le faire certains opérateurs pour réduire leur coût, à des dispositifs d’intelligence artificielle en les chargeant de gérer les plaintes et les retraits de contenus : il faudra y associer davantage de personnel dédié, qui devra être qualifié car le DSA exige une appréciation « au cas par cas » et « en tenant compte des faits et circonstances pertinents » (art. 23, §3), ce qui interdit les dispositifs de réponse automatique selon les textes prérédigés dans ce genre de cas ».
|
|
|
|
Le bilan des sanctions de la CNIL en 2022 : les plateformes particulièrement sanctionnées pour les manquements en matière de cookies
|
|
|
|
En 2022, la CNIL a prononcé 21 sanctions, dont 13 rendues publiques, pour un montant total qui dépasse les 100 millions d’euros. Les sanctions les plus importantes concernent des plateformes, dont Microsoft (60 millions d’euros), Apple (8 millions d’euros), Tiktok (5 millions d’euros) et Voodoo (3 millions d’euros). Sont principalement en cause le non-respect par les GAFAM des obligations d’information et de recueil du consentement nécessaire pour le dépôt et la lecture de cookies, traceurs et identifiants utilisés à des fins publicitaires. Les sanctions ne se limitent pas aux géants du numérique, puisque la CNIL a fait usage de la nouvelle procédure de sanction dite simplifiée pour infliger des amendes de 5 000 à 15 000 euros à l’encontre de médecins ou d’une université par exemple. La plupart de ces sanctions ont pour origine des plaintes reçues par la CNIL. Elle a également prononcé 147 mises en demeure, confirmant la forte progression de l’utilisation de ce pouvoir d’injonction, observée en 2021.
|
|
|
|
Sanction des sociétés TIKTOK et VOODOO : la CNIL poursuit ses contrôles en matière de gestion des cookies.
|
|
|
|
La CNIL a débuté l’année en annonçant deux importantes sanctions, souhaitant ainsi afficher sa volonté de continuer sa course-poursuite contre la mauvaise gestion des cookies dont l’analyse révèle souvent un ou plusieurs manquements à l’article 82 de la loi Informatique et Libertés. Dans sa première décision du 29 décembre 2022, la CNIL a sanctionné le réseau social TIKTOK pour un montant total de 5 millions d’euros pour défaut, d’une part, d’information (les finalités des cookies n’étant précisément définies dans aucun des deux niveaux d’information) et d’autre part, de recueil d’un consentement licite, les utilisateurs de « tiktok.com » ne pouvant pas refuser les cookies avec le même degré de simplicité qu’ils avaient de les accepter (la liberté du consentement donné par l’utilisateur faisait ainsi défaut). Dans sa seconde décision, rendue le même jour, la CNIL a sanctionné la société VOODOO, éditrice de jeux pour smartphone, d’une amende de 3 millions d’euros pour avoir utilisé un identifiant essentiellement technique (IDFV) pour afficher de la publicité sans le consentement de l’utilisateur. La CNIL en a profité pour rappeler que le régime applicable à l’IDFV (identifiant mis à la disposition des éditeurs par APPLE, leur servant à suivre l’utilisation de leurs applications par les utilisateurs), qui entre dans le champs d’application de l’article 82 de la loi Informatique et Libertés et sa position constante en la matière ne peuvent faire l’objet de débat puisque ses lignes directrices du 17 septembre 2020 portaient, « en particulier, sur […] les identifiants générés par les systèmes d’exploitation (qu’ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.) […] ". La CNIL coupe également court à tout débat qui pourrait porter sur le caractère instable du cadre juridique en matière de traceurs, en rappelant que « la rédaction de l’article 82 de la loi Informatique et Libertés n’a pas été modifiée depuis 2011, hormis le remplacement du mot " accord " par " consentement " et le changement de la numérotation de l’article à la suite de la réécriture de la loi par l’ordonnance n° 2018-1125 du 12 décembre 2018 ».
|
|
|
|
BRÈVE N°2 - Arrêt de la CJUE 12/01/2023 aff. C-154/21 |
|
|
|
Le droit de la personne concernée d’obtenir les destinataires exactes de ses données, la CJUE prône la transparence
|
|
|
|
Le 12 janvier 2023, la Cour de justice a statué sur l’interprétation de l’article 15 §1, c) du RGPD afférent au droit d’accès (lequel précise que la personne concernée peut notamment obtenir « c) les destinataires ou catégories de destinataires auxquels les données à caractère personnel ont été ou seront communiquées, […] »). La question se posait de savoir si cette disposition, telle qu’elle est rédigée, octroie un choix discrétionnaire au responsable de traitement sur les informations qu’il entend communiquer à la personne concernée, ou si, au contraire, cette dernière est en droit d’exiger la liste exacte et complète de ces destinataires dans la mesure où cet article est relatif à la portée d’un droit dont elle dispose. Après avoir précisé que cette disposition n’établit aucun ordre de priorité entre les termes « destinataires » et « catégories de destinataires », la CJUE penche pour les intérêts de la personne concernée et retient que le droit d’accès signifie que cette dernière doit obtenir la liste (et donc l’identité) des destinataires lorsque le responsable de traitement communique ses données à des destinataires. Alors que la Cour s’abstient de se prononcer sur un éventuel parallèle avec l’article 13 §1, e) du RGPD, il est permis de s’interroger sur la transposition éventuelle de cette interprétation. Nous pouvons toutefois en douter, bien, qu’en pratique, il est fortement recommandé aux responsables de traitement d’indiquer, au stade de l’information des personnes concernées, la liste exacte des destinataires lorsqu’ils en ont connaissance, et d’actualiser ces mentions d’informations à chaque nouveau contrat conclu avec un nouveau prestataire.
|
|
|
|
Mardi 4 avril 2023 à 11h à 12h |
|
|
|
Webinaire de la CNIL « Évolution des règles applicables en matière de cookies et autres traceurs : bilan et perspectives »
|
|
|
|
Le département Immatériel et Numérique de klein • wenner
Forte d’avocats expérimentés, experts en droit du numérique et du RGPD, l’équipe Immatériel & Numérique de klein • wenner a développé une pratique transversale inédite en droit de la donnée. En lien avec d’autres experts (cybersécurité, SI/gouvernance des données), elle propose une approche globale permettant de traiter l’ensemble des questions liées aux données (privacy, propriété intellectuelle, cybersécurité, et open data* – *avec l’équipe Droit public du cabinet).
|
|
|
|
La Lettre du DPO est une publication de klein • wenner qui traite vos données conformément à la règlementation protégeant les données à caractère personnel. Pour en savoir plus, cliquez ici
|
|
|
|
|
|
|
|
