L’Union européenne compte environ 450 millions d’habitants et près de 400 millions d’internautes, ce qui lui confère le taux de pénétration le plus élevé au monde (89%) devant les Etats-Unis (83%). L’Europe génère 14% du trafic internet mondial elle est ainsi la deuxième région la plus populaire d’internet, derrière l’Asie (54%).
L’internet mondial n’est pas en reste avec une croissance exponentielle de 8,6% par an depuis 2012. Ces 12 derniers mois, plus de 5 milliards d’internautes se sont connectés sur internet. Le volume de données généré dans le monde devrait dépasser les 180 zettaoctets à l’horizon 2025. En échelle de grandeur cela représente 45 000 milliards de DVD, soit tous les grains de sable de la surface terrestre multipliés par 256. Ce n’est pas pour rien que l’on qualifie cette nouvelle ère numérique de « Big Bang » du Big data.
Dans ce contexte de plus en plus interconnecté et numérisé, notamment avec la démocratisation des objets connectés, du cloud et le déploiement progressif de la 5G, les réglementations sur la gestion des données sont devenues une préoccupation majeure pour les gouvernements et les entreprises du monde entier. Elles visent à limiter l’hégémonie des grands groupes (Google, Apple, Meta, Amazon, Microsoft) et à lutter contre la diffusion de contenus illicites. La régulation des flux est devenue une nécessité et ces réglementations ont un impact important sur la façon dont les données sont collectées, stockées et utilisées. Elles impactent à la fois les entreprises et les consommateurs.
L’Union Européenne (UE) est à l’avant-garde sur ces questions et plusieurs réglementations existent déjà ou sont en cours de déploiement afin de protéger la vie privée des citoyens et garantir une utilisation responsable des données. Parmi ces réglementations figurent le règlement général sur la protection des données (RGPD), en vigueur depuis 2018, la directive sur le droit d’auteur dans le marché unique numérique, le règlement sur les marchés numériques (DMA), le règlement relatif à un marché unique des services numériques (DSA) et la proposition de loi sur la gestion des données, également connue sous le nom de Data Act.
Cette volonté de régulation à l’échelle européenne devrait à terme inspirer le reste du monde.
Le RGPD est peut-être la réglementation la plus connue et la plus importante de l’UE en matière de protection des données. Elle vise à renforcer la protection des données personnelles des individus et à leur donner un plus grand contrôle sur la façon dont leurs données sont collectées et utilisées. Le RGPD s’applique à toutes les entreprises, grandes ou petites, qui traitent des données personnelles; un audit RGPD peut apporter des réponses claires sur sa situation en matière de protections des données. Qu’elles soient établies dans l’UE ou qu’elles ciblent les citoyens de l’UE, elles sont tenues de respecter les principes du RGPD, tels que la limitation des finalités, la minimisation des données et la transparence.
La DMA et le DSA sont deux réglementations plus récentes de l’UE en matière de gestion des données qui mettent aussi en avant la transparence. La DMA vise à renforcer le marché unique numérique en garantissant que les entreprises de l’UE aient un accès équitable aux données et aux utilisateurs. Elle concerne les sites d’e-commerce (ex : Amazon), les services de communication électronique (ex : WhatsApp) les réseaux sociaux (ex : Instagram), les moteurs de recherche (ex : Google), les systèmes d’exploitation (ex : IOS d’Apple), les boutiques d’applications (ex : App Store), les services cloud (ex : Microsoft Azure), etc.
La Commission européenne est partie du constat que les grandes plateformes sont devenues les « contrôleurs d’accès », des passerelles d’accès aux données numériques et aux offres de services ce qui rend les plus petites entreprises et les consommateurs complètement dépendants de ces plateformes ou écosystèmes parfois verrouillés. Ce règlement reconnaît donc que les grandes plateformes numériques ont une influence considérable sur le marché et pour éviter tout phénomène de concentration, des mesures doivent être prises pour garantir une concurrence loyale.
La DMA impose alors des obligations de transparence et de non-discrimination aux grandes plateformes numériques, ainsi qu’un partage des données avec les concurrents et les régulateurs. Concrètement cela se traduit par de nouveaux mécanismes comme l’accès aux données générées par une entreprises tierce sur une plateforme, l’interopérabilité des données avec des plus petites entreprises, etc.
Dans cette optique Apple va donner la possibilité, par exemple, d’installer des app stores de tiers sur ses terminaux IOS. De la même manière, les applications par défaut sur les systèmes d’exploitation ne devront plus être imposées. L’accès est mis sur la liberté de choix des utilisateurs.
Autre apport pour les utilisateurs, la règlementation impose leur consentement explicite dans le cadre de l’utilisation de leurs données à des fins de ciblage publicitaire, mais aussi une totale transparence sur les systèmes de recommandation, ainsi que des recommandations alternatives qui ne sont pas basées spécifiquement sur leur profilage.
Le DMA sera applicable dès cette année aux plateformes parfaitement établies ayant un certain poids économique et une forte affluence.
Le DSA de son côté modernise la directive du 8 juin 2000 sur le commerce électronique et vise, quant à lui, à renforcer la sécurité en ligne et à responsabiliser les grandes plateformes numériques en matière de gestion des contenus illégaux (ex : contrefaçons) ou nuisibles (ex : propos haineux, discriminatoires, atteinte à la dignité humaine, etc.). Outre la protection du public, le DSA vise aussi à assurer l’intégrité des démocraties en prévenant tout type d’ingérence extérieure et la propagation des fausses informations dans la vie démocratique. On se souvient par exemple des soupçons d’ingérence de la Russie durant les élections américaines de 2016 et 2020 ou plus récemment des soupçons d’ingérence de la Chine dans la politique canadienne.
Cette réglementation impose dès lors des obligations renforcées de diligence raisonnable et de transparence aux plateformes numériques, ainsi que des mécanismes de signalement des contenus illicites ou nuisibles. En pratique, les plateformes devront proposer des outils de signalement efficaces permettant de bloquer les contenus illicites rapidement. En compensation, les créateurs de contenus devront être systématiquement notifiés de toute suppression et disposer d’un mécanisme de contestation.
L’efficience de ces signalements passera par la labellisation de « signaleurs de confiance » (individus, organes, associations). L’objectif étant de trouver le parfait équilibre entre régulation et liberté d’expression pour rendre internet plus sûr d’accès, notamment pour les mineurs (interdiction de publicités ciblées les concernant).
Les plateformes sont également tenues de nommer un représentant légal dans l’UE pour faciliter la communication avec les régulateurs de l’UE. Le but du DSA est d’éviter qu’internet demeure une zone de non-droit par application logique du principe que ce qui est illégal hors ligne doit l’être aussi en ligne.
Le DSA sera applicable en 2 temps dès cette année pour les grands groupes (désignés par la Commission) et à partir de 2024 à l’ensemble des entreprises fournissant des services numériques (accès à internet, cloud, messageries, réseaux sociaux, etc.).
La proposition de loi sur la gestion des données, ou Data Act, est une autre réglementation importante en cours d’élaboration dans l’UE. Consciente du volume de données de plus en plus conséquent, cette règlementation vise à renforcer la souveraineté des données de l’UE et à encourager la coopération entre les États membres de l’UE en matière de gestion des données.
Le Data Act vise également à encourager la libre circulation des données à travers l’UE en établissant des normes communes pour la gestion et le partage des données et vise également à « équilibrer le flux et l’utilisation des données tout en préservant un haut degré de protection de la vie privée, de sécurité, de sûreté et d’éthique ». C’est une continuité logique dans sa mission de réduction de la fracture numérique. Cette réglementation permettra également aux entreprises de l’UE de concurrencer sur un pied d’égalité avec les entreprises d’autres régions du monde en créant un marché unique de données dans l’UE. En renforçant la souveraineté des données de l’UE, le Data Act contribuera à protéger la sécurité et les intérêts économiques de l’UE et asseoir sa position de « leader mondial de l’économie » ou en tout cas stimuler une économie durable fondée sur les données.
On peut raisonnablement se demander si de telles innovations juridiques constitueront une source d’inspiration pour les législations extra européennes, d’autant plus que la régulation vise des entreprises avec une activité économique à l’échelle mondiale.
En tant que leader mondial en matière de réglementation de la gestion des données, l’UE exerce une influence indéniable sur l’Internet mondial. Les entreprises du monde entier doivent se conformer aux réglementations de l’UE en matière de gestion des données si elles souhaitent opérer dans l’UE ou si elles souhaitent traiter des données de citoyens de l’UE. Cette influence est particulièrement importante compte tenu de la dominance de l’UE dans le commerce électronique et de la position clé de l’UE dans l’économie numérique mondiale. C’est donc une véritable souveraineté numérique qu’impose l’UE au reste du monde, reste à savoir si une telle vision globale va créer des émules.
L’UE a déjà travaillé en étroite collaboration avec d’autres pays pour promouvoir une gestion responsable des données à l’échelle mondiale. Par exemple, avec le Japon elle a créé un cadre de reconnaissance mutuelle des réglementations en matière de protection des données, permettant aux entreprises de l’UE et du Japon de transférer des données en toute sécurité entre les deux régions. Cette décision d’adéquation a également pour but de rendre plus prospère l’économie entre ces deux territoires. De telles décisions existent déjà avec d’autres pays comme Andorre, l’Argentine, le Canada (partiellement), la Corée du Sud, Israël, le Royaume-Uni, etc. On peut parier que de tels mécanismes prennent en compte à l’avenir les nouveaux principes des DMA, DSA et Data Act.
D’ailleurs au sujet du DSA, l’objectif avoué de l’UE est de « réaliser un environnement numérique compétitif en Europe » en considérant cette règlementation comme « l’occasion d’alimenter l’élaboration de normes à l’échelon mondial ». De ce fait, on réalise que l’Europe souhaite impulser une harmonisation de la règle de droit avec ses voisins et partenaires.
Les ambitions ne sont pas en reste en ce qui concerne le DMA, puisque le député européen, Gerard DE GRAAF, derrière cette proposition, estime que l’on peut s’attendre à ce que « les conséquences soient importantes ». L’importance de ces conséquences s’évalue notamment par un pouvoir de sanction élevé. Les entreprises n’auront pas le choix de s’y plier puisque les sanctions attendues en cas de non-respect des nouvelles règlementations européennes pourraient dépasser celles du RGPD (jusqu’à 4% du chiffre d’affaires mondial pour le RGPD, 6% pour le DSA et 20% pour le DMA).
Les pays étrangers ont tout intérêt à s’aligner, à proposer des équivalences, pour devenir des partenaires de choix de l’UE. On peut parier, par exemple, que le Canada s’alignera à l’avenir étant donné les rapprochements entre ce pays et l’UE, notamment dans les accords de libre-échange (AECG) qui ouvrent la voie à de nouveaux secteurs (transport, assurance, communication).
D’autres pays de poids ont des législations de régulation en cours. On peut citer l’exemple des Etats-Unis pour lesquels cette préoccupation est devenue majeure depuis l’attaque contre le Capitole le 6 janvier 2021. Ainsi, le Safe tech Act, impulsé par les démocrates offre la possibilité de poursuivre les plateformes en raison d’un contenu abusif non modéré. La Californie, l’Etat le plus avancé des USA en termes de protection des données personnelles, veut réguler l’accès des mineurs aux services en ligne.
Ces différentes règlementations ne sont pas sans controverse. Certaines critiques estiment qu’elles sont trop restrictives et peuvent entraver l’innovation et la croissance économique. D’autres critiques affirment que les réglementations sont mal appliquées et que les entreprises ne sont pas tenues de rendre des comptes de manière adéquate en cas de violation des réglementations.
Sur le caractère trop restrictif, Neal MOHAN, numéro 2 de YouTube, estime que le système de modération de YouTube est déjà très efficace et que la plupart des contenus problématiques sont supprimés avant d’atteindre une certaine audience, ce qui limite les atteintes potentielles aux personnes. Selon lui, les acteurs du secteur sont suffisamment proactifs. Les nouvelles normes européennes risquent de rajouter de nouvelles contraintes jugées non nécessaires. Il faut comprendre qu’elles auront sans doute un fort impact économique et humain dont les entreprises aimeraient très bien se passer.
Ce type d’interprétation dépend bien évidemment du point de vue, car pour Gilles BABINET, Digital champion auprès de la Commission européenne, bien qu’elles soient une belle avancée, ces règlementations ne vont pas assez loin. Il estime également qu’elles laissent de la latitude aux entreprises. Les textes ont été allégés par le Parlement européen sous la pression des GAFAM. Des parlementaires européens estiment, par exemple, que la directive E-commerce de 2000 était plus protectrice sur certains aspects. Notamment le fait que désormais des contenus signalés qui n’auront pas été détectés par les algorithmes et potentiellement illicites pourront rester en ligne le temps de la procédure de vérification. Le pari du retrait rapide n’est peut-être pas si certain. Ou encore sur le fait qu’un contenu illicite ne devra pas nécessairement être dénoncé à la police ou à la gendarmerie.
Quid également du caractère illégal ou non d’une publication ? A savoir que la désinformation non illégale ne sera pas interdite, mais leur diffusion devra être limitée par les algorithmes. Comment les plateformes de contenus vont-elles pouvoir s’organiser efficacement pour ne pas censurer des contenus finalement appropriés sous couvert de proactivité ?
Sur le volet concurrentiel, la DMA a reçu des critiques positives sur la possibilité de pouvoir accélérer certaines procédures déjà existantes en droit de la concurrence. Cependant, elle n’encadre pas certaines questions qui relèvent des fusions et acquisitions, alors qu’il aurait été l’occasion de faire évoluer certaines normes pour les adapter à l’économie des plateformes. Pour cette raison, on peut lui reprocher une règlementation parcellaire ou limitée dans le fait aussi qu’elle ne vise que les services de plateformes essentiels.
Quant à l’innovation, même si la souveraineté numérique ne doit pas être considérée comme un frein à l’attractivité économique, bien au contraire, certains estiment que la qualification de « contrôleur d’accès émergent » dans le DMA pourrait dissuader des entreprises d’acquérir des start-ups dans le secteur du numérique. Elles pourraient se voir considérées comme des géants du secteur, ce qui implique que les mêmes obligations leur seront appliquées. Il faudra voir si à terme cela ne pourrait pas créer des déséquilibres, puisque les très grandes plateformes à qui l’on applique déjà ces contraintes n’auront pas de problèmes, elles, pour absorber de plus petites entreprises du numérique. En revanche, des investisseurs plus modestes pourraient renoncer à une telle acquisition si leurs obligations se voyaient renforcées.
Malgré certaines critiques parfois justifiées, il est évident que les réglementations de l’UE en matière de gestion des données ont un impact considérable sur l’Internet mondial et sont susceptibles de continuer à le faire à l’avenir. L’UE, pionnière en termes de règlementations, a établi des normes élevées en matière de protection des données personnelles et de responsabilité des entreprises. Elle a encouragé la coopération et la collaboration entre les États membres de l’UE ainsi qu’à l’extérieur du marché unique. En fin de compte, ces réglementations contribuent à protéger les droits des citoyens de l’UE et à garantir une utilisation responsable des données. À supposer qu’elles ne constituent pas un frein à la liberté d’expression, à l’innovation et au développement économique, elles dessinent vraisemblablement les traits du futur de l’internet.
Steven Ehrhardt