L’Europe aura-t-elle la peau du capitalisme de surveillance ?

Atlantico : Dans un communiqué publié le 4 janvier 2023, la Commission de protection des données irlandaise (DPC) qui agit pour l’Union européenne annonce qu’elle inflige deux amendes totalisant 390 millions d’euros à Meta, pour ne pas avoir respecté le RGPD sur Facebook et Instagram en violant « ses obligations en matière de transparence ». Quelle est l’importance de cette décision ?

Frédéric Marty : La décision est d’abord importante au regard de son montant : 210 millions d’euros pour Facebook, 180 millions pour Instagram… en sachant qu’une décision va bientôt être rendue par le régulateur irlandais pour WhatsApp. La décision est également importante de par l’injonction qu’elle comporte : Meta doit modifier ses pratiques en matière de recueil du consentement de ses utilisateurs pour le traitement de leurs données personnelles à des fins de ciblage publicitaire personnalisé. La décision peut en ce sens être vue comme constitutive d’une menace réelle sur le cœur du modèle d’affaires de Meta qui est celui du ciblage publicitaire.

Pour l’heure accéder au service suppose d’accepter les conditions générales d’utilisations qui conduisent à un traitement des données personnelles que le régulateur irlandais considère comme non conforme à l’article 6 du Règlement Général relatif à la Protection des données personnelles. L’offre qui est faite au consommateur pose non seulement des problèmes en termes de transparence mais se caractérise par un certain nombre de biais : il s’agit d’une offre de type « à prendre ou à laisser » dont l’acceptation conditionne l’accès au service, sans alternative ; le consommateur n’est pas de surcroît amené à prendre une décision pour accepter le traitement de type opt-in.

La réponse de Meta, qui a annoncé son intention de faire appel de cette décision et qui a souligné le fait que son activité sur le marché du ciblage publicitaire ne sera pas affectée, témoigne de l’importance de ces deux décisions (Facebook et Instagram) pour son modèle économique même. Il convient plus que jamais d’insister à quel point l’acronyme GAFAM (Google, Apple, Facebook, Amazon et Microsoft) ou plus au goût des Big MAAMA (Meta, Alphabet, Apple, Microsoft et Amazon) est trompeur. Les sources de revenus principales des firmes en question diffèrent substantiellement. Alphabet et a fortiori Meta dépendent bien plus que leurs concurrents des revenus publicitaires.

Or les positions de l’un et l’autre sur le marché de la publicité personnalisée sont menacées par de nombreux facteurs. Il s’agit d’abord du renforcement des règles européennes, comme en témoignent la sévérité croissante des sanctions sur la base de la protection des données personnelles et le renforcement de l’arsenal juridique avec la loi européenne sur les services numériques, le DSA – Digital Services Act, publié en octobre 2022. Il s’agit ensuite de la très rapide transformation du paysage concurrentiel. Le « duopole » de Meta et Alphabet sur le marché de la publicité ciblé est mis en péril par la montée en puissance de réseaux sociaux et de services concurrents, comme TikTok, mais également par la stratégie des autres MAAMA. Le renforcement des règles de protection des données personnelles mises en place par Apple qui a eu un effet très significatif sur la capacité de Meta à générer des revenus publicitaires. Amazon a également pris une part significative de ce marché ces dernières années.

Les données sur le marché américain sont très parlantes : Apple a vu ses revenus publicitaires passer de 2,2 à 7 milliards de dollars entre 2018 et 2022 ; Amazon est passé de 1 milliard en 2015 à 38 milliards en 2022. Dans le même temps, la part de marché cumulée de Meta et Alphabet est passée pour la première fois sous les 50% depuis 2014. Elle était de 54,7% en 2017, elle n’est plus que de 48,4% en 2022.

Les acteurs sont plus nombreux, la concurrence commence à se faire par la qualité (i.e. par la protection des données) et les procédures engagées sur la base des règles de concurrence, de protection des données et dans le futur de régulation des marchés et des services numériques se multiplient.  La décision n’est donc pas un coup de tonnerre isolé dans un ciel clair.

L’Europe est-elle de taille à faire plier, de façon globale, les GAFAM sur leurs pratiques illégales en matière de publicité ciblée ?

Longtemps, le RGPD a été considéré comme faiblement effectif. Il pouvait certes conduire à des amendes pouvant s’élever à 4% du chiffre d’affaires mondial et donner lieu au prononcé d’injonctions obligeant les firmes à modifier leurs pratiques, mais son effectivité était débattue et ses effets économiques faisaient l’objet de nombreuses discussions. Parmi les critiques formulées à l’encontre du dispositif mis en place par la Commission européenne figurait au premier rang le principe du one-stop-shop process.  Que recouvre ce dernier ? A priori, il part d’une logique louable de décentralisation et de rationalisation conduisant à la mise en place d’un guichet unique au sein de l’Union. Le RGPD doit être mis en œuvre par l’autorité de protection des données de l’Etat membre où l’entreprise mise en cause à implanté son siège européen. Si Netflix est localisé au Pays-Bas, Spotify en Suède, Amazon l’est au Luxembourg et Meta, Apple, Alphabet, Microsoft, Twitter, AirBnB, Yahoo… en Irlande. Le régulateur irlandais est donc amené à traiter des affaires de dimensions très significatives et a pu être critiqué pour une application des règles jugée trop peu sévère.

Le cas d’espèce montre que cette critique perd peu à peu de sa pertinence. Un des facteurs essentiels à prendre à considération est l’influence du Comité européen de protection des données (CEPD) qui réunit les différentes autorités nationales et qui œuvre à l’harmonisation de l’application des règles. Celui-ci doit être consulté dans les décisions prises par les différentes autorités de régulation des Etats membres. Dans le cas présent, il a pesé pour accroître le montant de l’amende tout comme il avait obtenu en septembre 2021 une augmentation très significative d’une autre amende imposée à WhatsApp.

Progressivement mais inexorablement, les sanctions pécuniaires prononcées dans le cadre de la protection des données personnelles s’élèvent vers des montants extrêmement significatifs même pour des groupes aussi importants que ceux considérés. L’amende fixée par l’autorité de protection des données personnelles du Grand-Duché de Luxembourg à l’encontre d’Amazon, 746 millions d’euros en août 2021, montre que les montants atteints sont désormais équivalents à ceux observés dans les affaires les plus importantes en matière de droit de la concurrence.

Enfin, les autorités de protection des données personnelles disposent de nombreuses ressources d’actions juridiques pour sanctionner des pratiques préjudiciables aux utilisateurs de services numériques. Des décisions rendues par notre CNIL, la Commission Nationale de l’Informatique et des Libertés, en matière de publicité ciblée, comme celle qui a donné lieu en décembre 2021 à une amende de 60 millions d’euros à l’encontre de Facebook, ou celle prononcée en décembre 2022 à l’encontre de Microsoft qui s’est également traduite par une amende de 60 millions ou encore celle de 8 millions d’euros à l’encontre d’Apple également en décembre 2022, n’ont pas trouvé un fondement juridique dans le RGPD dans le cadre de dispositifs issus de directive européenne e-privacy, transposés à l’article 82 de la Loi Informatique et Libertés. Point de guichet unique sur cette base, l’autorité nationale peut prendre des décisions (permettant le prononcé d’amendes et d’injonctions) conduisant à renforcer la protection des utilisateurs des services numériques par rapport aux risques de défaut de consentement éclairé en matière d’exploitation de leurs données personnelles à des fins de publicité ciblée.

Quelle est la légitimité et la pertinence de l’objectif de l’UE si elle raisonne uniquement sur le marché de la publicité. Les consommateurs ne préfèrent-ils pas largement la gratuité permise par la publicité ?

Les principes qui se dégagent de la pratique décisionnelle européenne sont clairs : les firmes peuvent légitimement proposer des services de publicité ciblée mais dans le cadre d’une information complète de l’utilisateur et dans celui d’une architecture de choix non biaisée. Le consentement ne doit pas être recueilli dans le cadre d’une procédure opaque (combinant des décisions de nature différente) ni biaisée selon qu’il s’agisse d’accepter ou de refuser une option ou selon que le traçage soit celui de l’opérateur ou d’entreprises tierces utilisant ses services. Dans tous les cas, de mêmes procédures d’opt-in doivent être mises en place. Il s’agit à la fois de protéger le consommateur contre des pratiques pouvant lui porter préjudice et de protéger la concurrence contre des distorsions relevant de stratégies d’auto-préférence.

Ces principes infusent inéluctablement dans les pratiques des firmes. Celles-ci adoptent de façon croissante ces règles à la fois dans une logique de compliance et dans le cadre de stratégies relevant d’une logique éthique de protection des consommateurs. La concurrence va se faire dans le domaine de plus en plus sur la base de la qualité, en l’espèce de la protection des données personnelles. Les services étant gratuits pour les consommateurs, la qualité est avec l’innovation l’un des deux paramètres essentiels de la concurrence.

Cependant, ni les décisions européennes, ni les décisions des firmes qui participent d’une stratégie plus responsable signifient la fin du modèle de la gratuité en ligne et de la publicité personnalisée. Certes celle-ci repose sur la collecte, le traitement et l’exploitation de données personnelles à des fins intéressées. Certes on pourrait rattacher ces pratiques à une notion de « capitalisme de surveillance ». Cependant ces pratiques ont quand même quelques mérites. Premièrement, elle rend possible la gratuité de certains services et donc l’accès du plus grand nombre. Deuxièmement, la personnalisation en elle-même peut être porteuse de gains d’efficience pour les firmes utilisatrices de services de publicité ciblée (les annonceurs) et pour le bien-être des consommateurs eux-mêmes. Des recommandations personnalisées sont bénéfiques ; une moindre exposition à des publicités mal ciblées est souhaitable et des offres adaptées aux besoins de chacun a pour effet de faciliter les choix, de réduire les frictions dans le cadre de recherche d’informations.

Le problème de la publicité ciblée, comme généralement celle de la personnalisation des services en ligne, est quand on passe de la diffusion d’une ‘meilleure’ information à celle de présentations de périmètres de choix tronqués, non pas en fonction des intérêts du consommateurs mais de ceux de l’entreprise offreuse de services numériques, voire à des stratégies de manipulations des choix en ligne. La défense de la souveraineté du consommateur est une composante essentielle avec la préservation d’un processus de concurrence non faussé d’un marché libre.

N’existe-t-il pas, plutôt, des enjeux plus importants sur la sécurité de nos données personnelles, notamment de santé, ou d'hébergement qui ne sont toujours pas gérés ? 

Bien entendu ! Cependant, le ciblage publicitaire s’il conduit à tronquer les choix des consommateurs voire à les manipuler ne peut être tenu pour une question secondaire. Cette question est au contraire essentielle. La liberté du choix sur le marché des biens et services ne peut être considérée sans songer à celle du choix sur celui des idées. Les possibilités de traçage, d’analyse et d’exploitation des biais des utilisateurs des services numériques peuvent être de nature à manipuler non seulement leurs choix de consommation mais également leurs préférences politiques. Les enjeux liés à la souveraineté du consommateur sont démultipliés dès lors que l’on considère la souveraineté du citoyen. Le monde numérique n’est pas qu’une place de marché, c’est aussi un lieu d’information et de formation d’un espace politique collectif.

La protection des utilisateurs des services est donc essentielle. Mais encore une fois, elle n’épuise pas comme souligné dans votre question tous les enjeux liés à la souveraineté numérique et à la protection des données les plus sensibles face à des exploitations commerciales malintentionnées, face à des actions de groupes criminels et / ou à ceux d’Etats hostiles.