Qui ?
Les régulateurs du Net, dont Henri Piffaut, vice président de l'Autorité de la Concurrence, des professeurs et des syndicats professionnels.
Quoi ?
"Privacy and antitrust integration not just intersection", un webinar en deux parties du think tank britannique CEPR.
Comment ?
Jason Kint , le président de Digital Content Next, qui fédère les médias US, dresse un sombre constat de l'application du RGPD en Europe, "qui est violé de manière endémique" (voir aussi notre papier). "Après le rachat de Doubleclick par Google, en 2007, ce dernier avait pris des engagements auprès des autorités de concurrence de protéger les données des acheteurs et des vendeurs et de ne pas jouer avec. Ils ont brisé ces engagements". Pour lui, le concept de protection de la vie privée est érodé, car les éditeurs veulent une bonne relation avec leurs lecteurs mais doivent baisser la barre sur la privacy pour concurrencer les géants.
Dina Srinivasan dirige le Thurman Arnold Project, à l'université de Yale, qui se propose d'aider à une application rigoureuse des dispositifs antitrust : "On ne devrait même pas parler du sujet de l'intersection entre le droit de la concurrence et la protection des données personnelles. Les règles concernant la data doivent être soumises à la concurrence. les marchés financiers doivent donner l'accès à leurs données, le marché de l'aérien,des billets de spectacle, tous ont été régulés et garantissent à chacun un accès égal à la donnée. L'accès équilibré à la data est critique pour la concurrence. Avec Google et Facebook, on parle des plus grandes sociétés au monde. Sur ces marchés, la donnée liée à la vente doit être séparée de la donnée liée à l'achat. Aujourd'hui, la data est un sujette "market power" qui permet à ces entreprises d'utiliser ce pouvoir de marché sur différents secteurs."Ce transfuge du monde de la publicité, qui a aidé l'Etat de Texas dans son recours contre Google (voir nos indiscrets), estime que que " La régulation ne marche pas si on autorise une société qui a des conflits d’intérêt avec la société qu'elle rachète. Des brèches sont faciles à faire derrière la scène. Le Congrès avait imposé des pare feux entre différents services. Et l'interdiction d'opérer des deux côtés du marché. Mais nous avons appris que ces règles ne fonctionnent pas. Jeff Bezos a ainsi témoigné l'an dernier qu'Amazon avait des règles internes très strictes. Mais si vous faites asseoir un employé à côté d'un autre et que ce dernier a des incentive sur les ventes, il y a porosité. Il faut des séparations structurelles".
Dernier épisode en date du feuilleton de la régulation, Le 11 juin 2021, les autorités britanniques de la concurrence (CMA) ont décidé d'investiguer la "sandbox" de Google (voir leur décision) , qui veut bouter les cookies tiers hors du navigateur dominant d'ici à un an. Pour Simeon Thornton qui dirige UK Competition and Markets Authority, les cookies faisaient le pont avec le reste du marché. Leur disparition peut distordre la concurrence, accentuer la self préférence, et renier le droit au choix pour les utilisateurs de Chrome. Et dans cette action, le patron de l'instance de la concurrence a fait une déclaration commune avec l'ICO, chargé du respect de la vie privée.L'autorité de la concurrence britannique a travaillé avec l' ICO chargé du respect de la Data Protection Act, pour comprendre les propositions de Google et évaluer la crédibilité de leurs engagements. "Notre travail commence quand ces engagements sont pris; Car leur non respect entrainera des sanctions judiciaires. Si les engagements ne sont aps tenus, le CMA peut réouvrir le dossier et imposer de nouvelles mesures". Cette nouvelle approche est le fruit d'une vision pragmatique : "Nous devons nous impliquer avant que le mal ne soit fait". L'un des principes sur lesquels s'engage Google ? Que les éditeurs aient des revenus suffisants. Jason Kint se réjouit de cette politique mais suggère d'ajouter à la liste des engagements "Google ne peut pas contrôler la data des éditeurs".
Pour Alessandro Acquisti Professor, Information Technology & Public Policy, Carnegie Mellon University, "la recherche universitaire ne mesure pas bien si le prix payé par le consommateur en échange de sa data est suffisant. Nous ne savons rien du bénéfice pour le consommateur. La valeur du bien ou du vendeur change en fonction du comportement du consommateur. Mais on ne mesure pas le coût d'une discrimination accrue, ou d'un dommage émotionnel. Les crackers ralentissent le chargement des pages. A un niveau individuel c'est négligeable, mais si on agrège cela, c'est beaucoup de temps. Enfin, des catastrophes comme le génocide des Rohinghya de Myanmar, favorisé par Facebook (voir cet article) sont rares, mais leurs conséquences, dramatiques.
Pour évaluer le coût, il faut aussi revisiter la légende selon laquelle le public se soucie peu de la préservation de sa vie privée. 86 % des adultes américains déclarent se soucier du sujet. en 2005, 86 % des gens partageaient des photos de leurs événements familiaux sur Facebook. En 2009, il n'étaient plus que 22 %.
Pour Johnny Ryan Senior Fellow, Irish Council for Civil Liberties, "la vie privée est un droit fondamental. Quand une autorité de la concurrence avalise un M&A , elle doit s'attacher à évaluer la quantité et la qualité de la data qui serait agrégée. Et déterminer si la société qui achètete a le droit d'utiliser les données de sa nouvelle acquisition."
La deuxième partie de la conférence en ligne rassemblait, et c'est un événement en soi, Andrea Coscelli CBE, Chief Executive, UK Competition and Markets Authority, Rebecca Slaughter, Commissioner, US Federal Trade Commission, Elizabeth Denham CBE UK Information Commissioner; Global Privacy Assembly Chair, Wojciech Wiewiórowski European Data Protection Supervisor, Andreas Mundt President, German Cartel Office, Chris D'Angelo, Chief Deputy Attorney General, Office of the New York Attorney General et Henri Piffaut, Vice President, French Competition Authority.
Pour Elizabeth Denham, "C'est une perte de temps de nous blamer des erreurs du passé. Il faut ciollectivement nous saisir du problème des big tech et ne pas nous blâmer. IL s'agit de collaborer sur des cas réels. l'ICO et le CMA ont investigué la sandbox à ses tout débuts. C'est une première. Une nouvelle manière d'exercer nos fonctions".
Andreas Mundt de l'autorité de la concurrence allemande a essuyé les plâtres avec son recours contre Facebook, qui a trainé des années. Sa décision de 300 pages intercalait 100 pages de droit de la concurrence 100 pages de respect de GDPR et cent pages de concurrence. "le cas Facebook a été l'occasion d'intégrer ces deux sujets". Malheureusement la décision a navigué entre la cour régionale, la court férdérale et la court européenne de justice, avec trois ans de procédure. "Et ca va prendre encore des années. Alors qu'un an, c'est une décennie au rythme du digital." Parmi les questions posées, le recueil du consentement, "dont on peut se demander s'il est volontaire, au vu de l position dominante de Facebook. L'autre question, est de savoir quelles lois peut évoquer Facebook pour collecter les datas à l'extérieur de Facebook. La Cours Européenne de Justice peut combiner lois de la concurrence et RGPD pour se poser ce type de question." Il ajoute: "Si nous devions juger le cas aujourd'hui ce serait plus facile avec la loi votée en janvier, qui interdit de conditionner l'usage d'un service contre la data. "Quand la loi a été promulguée, le cas Facebook était au coeur des discussions".Dans cette nouvelle loi, la charge de la preuve incombe à la société, par à nous, ce qui nous facilite beaucoup la vie." Et pour aller plus vite, la décision incombe à la court suprême directement, ce qui économie un an et demi de procédure."Je ne veux pas discuter du design d'un site mais aller directement au coeur du probleme, est ce que Google offre un choix suffisant pour collecter la data?".
Rebecca Slaughter, Commissioner, US Federal Trade Commission était contre le rachat d'Instagram par Facbook, avalisé par son institution : "La FTC n'a pas bien utilisé son pouvoir, elle était en silos, et il y avait des enquêtes différentes dans différents endroits de l'agence, non coordonnées. Pour elle les régulateurs doivent former un groupe mondial. "Si nous nous apercevons qu'ils ont violé les termes d de l'accord, ils ne sont plus valables, il faut aller aux racines de l'abus de la data".Il y a en ce moment 48 procès des plateformes en droits de la concurrence. "Il faut mettre des barrières entre chaque usage de la donnée, sa collecte, sa conservation, son partage et son usage. Aujourd'hui, c'est le consommateur qui porte le fardeau du respect de sa vie privée, mais il faut que cela change, et mettre cette charge sur le dos des entreprises, leur interdire le partage et l'abus de la data. Si nous avions fait cela il y a dix ans, nous n'aurions pas eu ces nouvelles lois"
Henri Piffaut, qui représentait la France a eu 5 minutes pour s'exprimer. Pour lui, la baisse de la qualité de la vie privée n'est pas forcément liée à la puissance économique des acteurs. Il ne suffit pas de donner le pouvoir de consentement aux individus, il faut que la structure de concurrence du marché préserve la vie privée.L'Autorité a collaboré avec la CNIL dans sa décision sur Google, première décision au monde, statuant sur l'auto-préférence du groupe, en analysant son algorithme. Pour le régulateur français,q ue nous avons interrogé après la conférence, le webinaire était un peu orienté vers cette volonté d'intégrer protection des données et droit de la concurrence. "Il y a des arguments pour, mais aussi contre".