Vous êtes dans : Accueil > Tribunes libres >

Le petit Mark ne veut en faire qu’à sa tête

Cédric Cartau, MARDI 01 MARS 2022

Cela a fait le tour des rédactions, les médias IT s’en sont bien entendu fait l’écho, et même la presse locale : Mark Zuckerberg menace de fermer Facebook et Instagram en Europe. Rien que cela.

Bon, pour être précis, le petit Mark menace de fermer ses plateformes ou certains de leurs services. Il n’empêche, cela pique un peu. La raison invoquée ? Ces plateformes seraient en effet fermées en Europe si jamais les entreprises n’étaient plus autorisées à transférer des données d’utilisateurs européens vers les États-Unis.

Explication de texte : depuis l’entrée en vigueur du RGPD et depuis les dernières jurisprudences (différentes condamnations, notamment celle de Google avec un high score en ce moment, 100 millions d’euros tout de même…), les Gafam ont de plus en plus de difficulté à dérouler leur business model, qui revient à siphonner le maximum de données personnelles pour les exfiltrer sur leurs plateformes US et les triturer dans tous les sens pour vous vendre ensuite de la litière pour chat ou de la crème pour les odeurs de pieds. Ou, pour être encore plus précis, pour vendre aux fabricants de litière et de pommade l’information que vous avez un chat et que vos pieds ne sentent pas la rose.

Pour illustration, la Cnil française vient d’estimer que l’usage de Google Analytics est une violation du RGPD[1] (la Cnil autrichienne avait fait de même quelques semaines plus tôt) et même le Wall Street Journal publiait le 16 janvier dernier un article expliquant que les Gafam font face à une armada réglementaire et qu’« on vit clairement un changement d’époque ». Rien que ça.

En plus, le petit Mark n’est pas à la fête en ce moment : entre Apple qui vient d’inclure dans ses dernières versions d’OS le recueil par défaut du consentement de l’utilisateur pour laisser les applications le pister jusque dans les toilettes, le fait que Facebook traîne maintenant la peu recommandable réputation d’être l’appli des boomers et pas des jeunes (oh ! l’insulte), la perte récente de 4 millions d’utilisateurs, la baisse de son cours en Bourse et les différents lanceurs d’alerte qui s’en donnent à cœur joie sur sa plateforme, cela commence à faire beaucoup.

Pour autant, la réaction du petit Mark peut s’interpréter de trois façons différentes :
a) Moi, Gafam, je suis soumis au Cloud Act qui est extraterritorial, et le RGPD crée un conflit juridique dont mon entreprise risque de faire les frais ;
b) Mon business model, c’est la donnée, et si je ne peux plus siphonner, comment je fais pour payer l’entretien du yacht de 58 mètres ?
c) Mais euh, pourquoi je peux pas faire ce que je veux ? Mais euh !

La première interprétation ne tient pas deux minutes : certaines entreprises, pour contourner ce conflit d’extraterritorialité, ont monté des sociétés sur le territoire européen sans aucun lien juridique avec la maison mère, justement pour les faire échapper au Cloud Act (ou l’inverse : des sociétés américaines sans aucun lien avec la maison mère française).
La seconde interprétation ne tient pas longtemps non plus car la difficulté liée au modèle économique est facile à contourner : il s’agit de monter des plateformes techniques en Europe et de faire dérouler les algorithmes de traitement en Europe aussi. Si vous pensez que FB est un peu juste côté pépettes pour le faire… comment dire ?… si, il a les moyens.
Il reste la troisième interprétation, qu’il faut creuser un peu plus quand même : entre le RGPD et le fait que l’UE a dans sa ligne de mire la publication obligatoire des traitements qui sont exécutés en Europe, d’un côté, le petit Mark va devoir héberger sur le vieux continent et, de l’autre, on va l’obliger à dire très concrètement ce qu’il fait avec toutes ces données – Cambridge Analytica, cela vous parle ?

Aucun monopole n’est éternel : le petit Mark qui est fan d’histoire de l’Empire romain et de l’empereur Auguste (il aurait même appelé ses filles Maxima et Augusta – authentique[2]) devrait le savoir. À ce titre, l’histoire pas si ancienne d’AT&T est assez riche d’enseignements puisque, après des années de procédure, la firme a perdu son monopole et a fini par éclater. Dans le domaine du numérique, les géants sont encore plus faibles : les positions dominantes se font et se défont à une vitesse stupéfiante.

Il y a au moins quatre mesures à prendre pour sortir de cette situation de dépendance vis-à-vis de certaines pratiques des Gafam :

– Obligation d’hébergement sur le territoire UE ;
– Séparation entre la fonction d’hébergeur technique et d’opérateur middleware ; la concentration verticale dans ce secteur est certainement l’une des pires qui soit ;
– Obligation de chiffrement des données avec clé externalisée pour certains types de données sensibles (santé, recherche, etc.) ; si la Chine a contraint Apple à stocker les clés de chiffrement de ses services iCloud en Chine même, ce n’est pas pour rien ;
– Homologation par une entité externe des algorithmes utilisés.

Curieusement, je ne serais pas inquiet si de telles mesures étaient prises pour le marché IT en santé, à l’exception de la question du chiffrement, qui nécessiterait l’apparition d’acteurs spécifiques tels des « notaires numériques industrialisés ». Cela étant, je doute que les DMA et DSA, en cours d’élaboration/vote au parlement UE, soient neutres à la fois pour les Gafam et pour la santé.

[1] https://www.cnil.fr/fr/utilisation-de-google-analytics-et-transferts-de-donnees-vers-les-etats-unis-la-cnil-met-en-demeure 

[2] L’anecdote provient de l’ouvrage Les Maîtres de la manipulation de David Colon, dans le chapitre consacré à Mark Zuckerberg.

#cnil#RGPD#cloud