GAFA et régulateurs: Gulliver et Lilliput? Ou Thésée et le Minotaure?

Programmation pluriannuelle de l’énergie : s’intéresser aux leviers autant qu’aux objectifs
24 mars 2019
Le Conseil constitutionnel, garant incertain des libertés publiques
7 avril 2019

GAFA et régulateurs: Gulliver et Lilliput? Ou Thésée et le Minotaure?

En 2018 et 2019, les géants du Web ont été lourdement présents dans les politiques publiques : la Commission européenne a infligé à Google, ces dernières années, pour abus de position dominante, trois amendes de montant élevé. Elle a auparavant sanctionné d’autres GAFA (notamment Apple) pour des aides illégales versées par des Etats européens pour les inciter à localiser leurs activités chez eux. La question de la taxation des activités des GAFA est présente dans le débat public. Enfin, la régulation des activités est engagée avec le respect du droit d’auteur, la responsabilité des plates formes sur le contenu publié et la protection des données personnelles. La parution de l’excellent avis du Conseil économique, sociale et environnemental (CESE) sur la politique que devrait mener l’Union dans le domaine du numérique[1]  est l’occasion de faire le point : les mesures actuelles sont-elles suffisantes pour imposer aux GAFA les règles sociales et éthiques auxquelles nous sommes attachés ? La question doit-elle être posée sous l’angle, plus ambitieux encore, d’une intervention de l’Europe dans la construction d’un autre système numérique ?

L’arme de la concurrence, lourde et lente mais efficace si elle s’intensifie

La domination des GAFA n’est pas sans partage ( la concurrence vient de Chine) mais elle est, chez nous, écrasante. Pour les moteurs de recherche, Chrome (Google) captait en août 2018 plus de 67 % des pages vues contre 11 % pour Firefox et 7 % pour Internet explorer (Microsoft). Les GAFA ont assis leur domination grâce à des systèmes d’exploitation permettant l’usage d’applications sur smartphones : le marché mondial des systèmes d’exploitation sur téléphones portables se répartissait en 2016 entre Android (85 %) et IOS (14 %), celui sur tablettes à 66 % pour Android, 22,4 % pour IOS et un peu plus de 11 % pour Windows (Microsoft). Quant à la valeur boursière des GAFA, bien qu’en baisse, elle atteint des sommets, de 350 à 840 Mds selon le cas.

Au regard du droit de la concurrence européenne, cette position dominante n’est pas répréhensible en tant que telle. Mais elle peut le devenir si l’entreprise en abuse. La Commission européenne s’appuie alors sur l’article 102 du traité de fonctionnement de l’Union (TFUE) selon lequel sont interdits, notamment, le fait de limiter la production, les débouchés ou le développement technique aux détriments des consommateurs, d’imposer des conditions de transaction non équitables et de subordonner la conclusion de contrats à l’acceptation par les partenaires de prestations supplémentaires sans lien avec l’objet du contrat. C’est en vertu de ces dispositions qu’en 2017, Google a été condamné à une amende de 2,4 Mds pour avoir placé systématiquement, depuis 2008, son propre comparateur de prix, « Google Schopping », au premier rang des recherches, en reléguant ses concurrents bien plus loin ; qu’en 2018, il a été condamné à une amende de 4,3 Mds pour avoir contraint, depuis 2011, les constructeurs de portables qui voulaient utiliser le système Android à accorder une exclusivité au moteur de recherche de Google ; qu’en mars 2019 enfin, Google a été condamné à une amende de 1,49 Mds pour avoir exigé, depuis plus de 10 ans, de sites partenaires avec lesquels il passait contrat, qu’ils affichent un minimum de liens publicitaires proposés par sa régie en ligne « Adsense for search », en limitant de ce fait artificiellement la possibilité des régies concurrentes d’afficher leurs messages.

La démarche de la Commission a été parfois critiquée, soit parce qu’elle aurait été « politique » (Europe versus Etats-Unis, vieux monde contre des acteurs qui ont révolutionné la circulation de l’information, le commerce, la publicité), soit parce que sa lenteur témoignerait de son inefficacité : de fait, la Commission a mis des années à définir une stratégie, en commençant par négocier avec Google puis en étayant étayer son dossier pour définir des sanctions. Google a ensuite fait appel, ce qui empêche les décisions d’être considérées comme définitives. Certains experts soulignent que les délais témoignent de la difficulté à acquérir, en ces domaines, l’expertise nécessaire pour comprendre les mécanismes utilisés, justifier le montant de l’amende, valider les corrections apportées. Pourtant, les décisions de la Commission sont, à l’évidence, économiquement fondées (Google ne respecte pas la concurrence) et elles tapent juste. Google assied en effet sa domination sur « l’effet de réseau » : la qualité de son moteur de recherche s’améliore avec son utilisation et cette qualité attire sans cesse de nouveaux utilisateurs. Il est donc primordial pour lui d’empêcher la concurrence et d’écraser le marché. Par ailleurs, Google tirerait 88 % de ses revenus de la vente des données des internautes et ses recettes dépendent de la quasi-exclusivité dont il dispose. C’est donc bien sur le terrain de la concurrence que Google est à la fois critiquable et vulnérable, même si le montant des amendes infligées, si élevé qu’il soit, ne le met nullement en danger. Il reste d’ailleurs sous surveillance, comme en témoigne la mise en demeure de l’Autorité de la concurrence en janvier 2019 qui imposent de modifier les règles commerciales de l’application Ads. Resterait à intensifier ces actions, tant il paraît évident que les pratiques commerciales anticoncurrentielles de Google, liées à son modèle économique, sont habituelles.

La Commission a de même condamné les aides illégales des Etats aux GAFA :  Apple a été condamné en 2016 à rembourser 13 Mds à l’Irlande qui lui avait accordé un taux d’imposition de 0,05 % aux bénéfices déclarés dans ce pays. L’affaire Lux leaks est, en partie identique : plusieurs très grandes entreprises (des GAFA, comme Apple et Amazon, mais pas seulement, Ikéa et Heinz également), ont obtenu, par l’intermédiaire de cabinets de conseil fiscal, des avantages fiscaux spécifiques du Luxembourg, révélations qui, en 2014, ont contribué à la réputation de paradis fiscal du pays, même s’il n’est pas inscrit en tant que tel sur la liste établie par la Commission. D’autres pays ont fait de même : de manière assez peu compréhensible, la Commission a jugé certains de ces montages illégaux mais pas d’autres. Dans ces affaires, le mal est au cœur même de l’Europe puisque des pays (et sans grand doute, des responsables européens, tel J-C Juncker qui a été premier ministre du Luxembourg de longues années) organisent une optimisation fiscale qui ne peut que renforcer la position dominante des GAFA concernés. L’Europe doit donc se mettre au clair sur ses propres contradictions.

Les efforts de taxation des GAFA : des progrès, mais très timides

L’on connaît les éléments du problème : Pierre Moscovici, commissaire responsable de l’économie et de la fiscalité, a reconnu que les entreprises numériques supportaient dans l’Union un taux moyen d’imposition de 9 % tandis qu’en moyenne les autres entreprises étaient imposées à 23 %, soit plus du double. L’opinion publique (et certains Etats, soumis à une pression de leurs citoyens) voit, dans les faibles taux d’imposition dont bénéficient, en Irlande notamment, les entreprises numériques, le symbole même de l’injustice fiscale et de l’impuissance de l’Europe à réguler les altérations de la concurrence qui comptent vraiment. Imposer les GAFA soulève des difficultés juridiques. Aujourd’hui, pour être soumis à l’impôt dans un pays, une entreprise doit y disposer d’un établissement qui y est installé physiquement de manière stable, qui y dispose d’une autonomie de décision et y réalise des bénéfices. Le dispositif n’est pas adapté à des services immatériels : ainsi Google France a-t-il pu déclarer en 2018 325 Millions et payer 14 millions d’impôts, alors que l’estimation de ses seules recettes publicitaires est au minimum de 2 Mds.  Non seulement il faut définir de nouvelles règles reconnaissant l’implantation, mais les règles utilisées pour la répartition des bénéfices entre pays qui s’appliquent dans l’économie « physique » ne peuvent pas s’appliquer dans un système différent de production de valeur.

La Commission a travaillé dès 2018 sur la définition de la « présence numérique » (par un seuil de bénéfices réalisé dans un pays ou par le nombre d’utilisateurs ou par le nombre de contrats passés) et étudié la possibilité d’imposer les bénéfices au moins de certaines activités des GAFA. Dans l’attente de pouvoir mettre en place ce dispositif, elle a proposé une taxation provisoire de 3 % sur le chiffre d’affaires (et non pas le bénéfice) généré par ces services numériques (vente de données personnelles, ventes d’espaces publicitaires ciblés, services de mise en relation client/prestataire), frappant les grosses entreprises numériques (au moins 750 Millions de CA dans le monde dont 50 en Europe).  Cependant, la mise en œuvre d’une telle taxation demande l’unanimité des pays : celle-ci n’est pas réunie, certains pays ayant des intérêts propres à défendre. A la suite de l’Espagne et du Royaume-Uni, la France prévoit de mettre en place la taxe de manière unilatérale : elle en a le droit mais la portée de la mesure en sera très affaiblie. Il demeure un espoir du côté de l’OCDE : l’organisation a pris, en janvier 2019, l’engagement de trouver, à horizon 2020, « une solution coordonnée sur la manière d’imposer ces entreprises multinationales ». Il est question d’une taxe minimum qui frapperait les entreprises, même sans présence physique dans un pays. Pour autant, même si le projet prend forme, il sera sans doute peu sévère : mais au moins, l’optimisation fiscale en sera atténuée.

La régulation des activités : un terrain à investir, avec détermination

 Certaines régulations ont fait l’objet de vives discussions mais sont, au final, non pas anodines pour les GAFA, mais dépourvues de conséquences graves, même si elles peuvent les gêner. D’autres, en particulier sur la protection des données personnelles, sont potentiellement plus dangereuses pour leur modèle économique.

La directive sur les droits d’auteur adoptée en ce mois de mars 2019 est importante mais pas décisive. Le rôle des plateformes va se transformer : de simples hébergeurs de contenu, elles seront désormais responsables des publications, même quand ce sont leurs utilisateurs qui les mettent en ligne. En l’absence d’autorisation des auteurs, elles devront empêcher la parution ou la diffusion de l’œuvre. Elles pourront être amenées à négocier avec ceux-ci des accords de rémunération, y compris pour les articles de presse cités dans des rubriques d’actualité. Les hyperliens, les courtes citations resteront toutefois permises, de même que l’exploitation des œuvres à des fins de recherche.

De même, des lois récentes encadrent les contenus diffusés sur internet : ainsi l’article 6 de la loi 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique interdit l’apologie de certains crimes ou la provocation à les commettre. Surtout, les opérateurs de plateformes numériques peuvent voir leur responsabilité civile ou pénale engagée si, avertis du caractère illicite des activités d’un utilisateur ou du contenu des informations stockées, ils n’agissent pas « promptement » pour retirer ces données ou en rendre l’accès impossible. De plus, les deux lois « relatives à la lutte contre la manipulation de l’information » du 22 décembre 2018 prévoient que, en période électorale, les opérateurs tiennent registre des personnes qui les rémunèrent pour diffuser des messages d’information touchant à « l’intérêt général ». Elles peuvent se voir intimer par le juge ordre de retirer des informations fausses dès lors que celles-ci sont diffusées de manière délibérée, artificielle ou automatisée et massive.

Cependant, c’est surtout le règlement européen sur la protection des données personnelles (RGPD) entré en vigueur en mai 2018 qui peut être considéré comme menaçant pour les GAFA. Ce texte conforte le droit à l’information des personnes physiques sur le recueil de leurs données personnelles, donne la possibilité de demander leur effacement ou leur transfert à un autre réseau et rend les entreprises qui les collectent responsables de leur sécurité. Les utilisateurs doivent en particulier être informés de l’utilisation faite de leurs données et pouvoir s’y opposer, si le service demandé à l’entreprise n’impose pas cette utilisation. Les entreprises doivent tenir un registre sur les traitements qu’ils font subir à ces données et réaliser une étude d’impact lorsqu’ils traitent de données sensibles, dès lors que les droits des personnes sont susceptibles d’être affectés.

Or, la réclamation que l’association « La Quadrature du Net » a introduite auprès de la CNIL, autorité de contrôle en France de la bonne application du règlement européen, sur les pratiques de Google, Facebook, Apple, Amazon et LinkedIn, est convaincante[2] : si l’on en croit ce document, les internautes sont contraints, pour avoir droit à des services comme l’utilisation de la messagerie, d’accepter certains traitements de leurs données personnelles, notamment leur utilisation à des fins publicitaires, sans que ces traitements soient, comme l’exige le règlement dans ce cas,  indispensables à la fourniture du service promis. L’auteur de l’avis du CESE mentionné ci-dessus, B. Thieulin, n’a, lui non plus, aucun doute : les pratiques des GAFA sont incompatibles avec la réglementation européenne. Le modèle économique des GAFA comme Facebook ou Google étant lié à la vente des données personnelles des internautes, tout est fait pour que ceux-ci  donnent leur consentement de manière forcée, voire ignorent que l’on relève leurs traces : non seulement Google soumet l’accès à ses services à des « règles de confidentialité » qui prévoient qu’il peut quasiment tout collecter (identité, coordonnées, identifiant de l’appareil de connexion, historique de navigation, vidéos consultées…) mais, quand il met en relation des annonceurs avec des sites tiers et assure l’insertion de la publicité, il y dépose des cookies invisibles. Il mettrait également des « pisteurs » dans les applications mobiles créées pour le système d’exploitation Android. En outre, les données peuvent être vendues à des « Data brokers » qui les croisent entre elles et les revendent, disposant ainsi de fichiers nominatifs très précis contenant parfois des données très sensibles, par exemple sur la santé des personnes ou la présence d’un enfant handicapé. Il semble qu’il y ait peu de doutes sur la violation systématique du RGPD par les GAFA.

Même si Facebook ou Google refusent de dire qu’ils « vendent » les données, arguant qu’ils en « donnent l’accès à des utilisateurs intéressés par des données ciblées », de telles pratiques sont-elles admissibles ?   Si les autorités de contrôle jugent que non (à vrai dire le RGPD dit que non), le modèle de certains GAFA est en danger, au moins en Europe. Pour en avoir la conviction, il faudrait que les autorités de contrôle avancent : or, c’est lent et souvent timide. Facebook a été sanctionné en 2017 à hauteur de 110 millions d’euros par la Commission européenne pour le partage de données personnelles avec WhatsApp sans autorisation des personnes concernées. En France, la Commission nationale de l’informatique et libertés (CNIL) a infligé en mai 2017, une amende de 150 000 € à Facebook pour des « manquements » dans sa gestion des données des utilisateurs, parce que la plate-forme  avait massivement combiné les données des utilisateurs sans que ceux-ci aient eu à un quelconque moment la possibilité de le refuser. En janvier 2019 enfin, à la suite de la réclamation de la Quadrature du Net, la CNIL a infligé une amende de 50 millions à Google pour insuffisance des informations fournies à l’internaute et acceptation forcée (cases précochées, obligation de tout accepter en bloc). C’est un piqûre d’épingle dans la peau d’un mammouth…mais la CNIL n’a encore fait qu’une étude partielle du dossier.

Au final, l’union parviendra-t-elle à imposer aux GAFA les principes de concurrence loyale, d’équité fiscale, de respect des libertés fondamentales ? Elle en est encore très loin. Pourtant, selon l’avis du CESE, la question va bien au-delà. Elle est dans les failles de sécurité du système, dans les risques accrus de cybercriminalité, dans l’incapacité où est l’Union d’organiser un espace numérique unifié. L’avis souhaiterait non seulement que la régulation soit renforcée au niveau européen, mais aussi que les règles de fonctionnement soient unifiées (commerce en ligne, protection des consommateurs, protection des travailleurs des plates-formes, notation et labellisation des plates-formes, voire meilleures réponses aux risques environnementaux lié au développement du numérique). Au-delà encore, l’avis du CESE souhaiterait que l’Union puisse investir dans des solutions technologiques alternatives et devienne un acteur dans la gestion des données et l’intelligence artificielle. L’ambition est extrême : aujourd’hui, l’Union ne parvient même pas à imposer ses propres règles à des mastodontes inquiétants. Il faut en tout cas progresser en ce sens : il est utile de rappeler aux pouvoirs publics, aux internautes et aux citoyens que laisser quelques acteurs, quasiment pas encadrés, contrôler les informations personnelles de la planète, c’est dangereux.

Pergama, 31 mars 2019

 

 

Pergama publie cette semaine deux nouvelles fiches concours: l’une, portant sur l’égalité entre les hommes et les femmes, actualise une ancienne fiche (in “Questions de société”). L’autre (in “Politiques sociales et de santé”) traite de la prise en charge des personnes âgées dépendantes

 

[1] Pour une politique de souveraineté européenne du numérique, B. Thieulin, mars 2019

[2] https://gafam.laquadrature.net/wp-content/uploads/sites/9/2018/05/google.pdf