Le 07 juillet 2022, Lettre trésor. Dans le domaine numérique, la protection de la vie privée est étroitement liée à la notion de donnée personnelle. Elle peut se définir comme la maîtrise, pour chaque citoyen, des données le concernant dont disposent d’autres acteurs. Rédigé par Mélanie Thoinet, Léa Dardelet
L’économie numérique
L’économie numérique a fait émerger des effets croisés, complexes et ambivalents entre protection de la vie privée et concurrence, brouillant les frontières entre ces deux politiques, historiquement distinctes. La préservation de la concurrence peut conduire à limiter la collecte des données personnelles par une plateforme ou à autoriser l’accès de concurrents aux données possédées par certains acteurs, ce qui renforce ou dégrade la protection de la vie privée. De manière symétrique, une protection plus stricte de la vie privée peut augmenter la concurrence en limitant l’accumulation de données, source potentielle de position dominante, ou la réduire en créant des coûts de conformité qui pèsent relativement plus sur les petits acteurs.
Une meilleure articulation des deux types de politique est recherchée par l’Union européenne et par les autorités nationales. Au niveau européen, le Digital Markets Act et le Data Governance Act abordent ces sujets. Les autorités de concurrence donnent également une importance croissante aux enjeux liés aux données personnelles : plusieurs autorités nationales ont lancé des enquêtes sur les pratiques de plateformes, justifiées par la protection de la vie privée, pour déterminer s’il s’agissait de comportements anticoncurrentiels. Les différents régulateurs coopèrent de plus en plus pour faire face à ces questions.
Une plus grande sensibilité des consommateurs à la valeur de leurs données réduirait les conflits d’objectifs entre politiques de concurrence et de vie privée. En effet, il existe aujourd’hui un « paradoxe de la vie privée » : bien que soucieux de la protection de leur vie privée sur Internet, les internautes dévoilent gratuitement à des acteurs leurs données, notamment parce qu’ils ne sont pas en mesure d’en connaître la valeur. En 2016, selon une enquête de la Commission européenne, 64 % des Européens interrogés trouvaient inacceptable le suivi de leur activité en ligne en échange de la gratuité d’un site web, mais 74 % d’entre eux n’accepteraient pas non plus de payer pour ne plus être suivis (cf. graphique). Ainsi, si les Européens sont majoritairement préoccupés par le suivi de leur activité sur Internet, très peu sont néanmoins disposés à renoncer à la gratuité de leur consultation de site web.
L’économie numérique modifie la relation entre protection de la vie privée et concurrence
Protection de la vie privée et concurrence ont été longtemps abordées séparément
Traditionnellement, les politiques de protection de la vie privée et de concurrence ont des appréhensions différentes de la collecte, de l’utilisation et de la protection des données personnelles, c’est-à-dire de « toute information se rapportant à une personne physique identifiée ou identifiable ». Si le droit au respect de la vie privée est inscrit dans le Code Civil, la séparation entre les deux types de politiques n’a pas été immédiatement remise en cause par l’émergence du numérique.
Le droit de la concurrence a initialement appliqué une grille de lecture « optimiste » à l’économie numérique. Dans cette lecture, l’utilisation massive de données personnelles des utilisateurs par les plateformes, mais aussi la protection de leur vie privée par ces mêmes plateformes, pouvaient améliorer la concurrence sur les marchés : elles seraient en effet un facteur de qualité du service ou produit, par l’intermédiaire duquel des acteurs se concurrenceraient. Par exemple, pour un service de navigation routière, collecter un nombre croissant de données permettrait une amélioration continue des itinéraires par rapport à ses rivaux. Symétriquement, des services se différenciant sur leur niveau de protection de la vie privée permettraient à l’utilisateur de choisir s’il est ou non utile de céder ses données en échange du service, et introduiraient ainsi de la concurrence dans la mesure où la plateforme doit livrer un service de qualité sous peine de voir l’utilisateur changer de fournisseur. Dans ce cadre d’analyse, si une entreprise conditionne le maintien de la gratuité de son produit à l’exploitation d’un volume plus important de données personnelles ou à la vente de ces données à d’autres acteurs, la moindre protection de la vie privée en découlant est assimilable à une augmentation du prix du produit ou une réduction de sa qualité (le respect de la vie privée étant un prix inobservable de l’utilisation des plateformes).
Dans le même temps, la politique de protection de la vie privée a continué d’appréhender avec précaution l’utilisation des données, en insistant particulièrement sur les risques de toute collecte de données, sans prendre en compte ses effets économiques, notamment sur la concurrence.
Le développement des plateformes a rendu visibles des effets croisés ambivalents entre les deux politiques
De nombreux acteurs numériques (e.g. Google, Facebook) fournissent aux utilisateurs des services en apparence gratuits. Leur modèle économique repose sur la collecte et l’exploitation de données fournies par les clients (e.g. informations de profil) ou obtenues indirectement (e.g. « cookies »). Ces données permettent aux plateformes de mieux connaître les préférences des utilisateurs, et ainsi de cibler les publicités à leur intention et donc de se financer en vendant des espaces publicitaires de plus grande valeur. Bien que difficile à estimer, la valeur des données personnelles peut être approchée grâce au « revenu publicitaire par utilisateur ». En 2019 chaque utilisateur mondial a rapporté à Facebook environ 29 $ de revenu publicitaire, 137 $ pour un utilisateur nord- américain, 13 $ pour un utilisateur asiatique et 43 $ pour un utilisateur européen (cf. Graphique 1).
Graphique 1 : Revenu publicitaire moyen par utilisateur pour Facebook en 2019
Le libre choix du consommateur et la protection de la vie privée comme facteurs de différenciation entre plateformes se heurtent cependant à certaines limites. L’internaute n’est souvent pas capable d’apprécier la valeur des données qu’il transmet, en raison de la complexité de leur collecte6. L’asymétrie d’information obère alors le choix éclairé de l’internaute et contribue au « paradoxe de la vie privée » : bien que soucieux de la protection de leur vie privée sur Internet, les internautes dévoilent gratuitement leurs données à des acteurs variés. Ainsi, selon la Commission européenne, alors que 64 % des Européens interrogés en 2016 trouvent inacceptable le suivi de leur activité en ligne la majorité d’entre eux ne trouve pas non plus acceptable de payer pour ne plus le subir (cf. Graphique de 1ère page) ; de ce point de vue, une certaine cohérence est visible dans ces préférences : les pays où les consommateurs trouvent le plus acceptable d’être suivis pour ne pas payer (e.g. France et Italie) sont aussi ceux où ils sont le moins prêts à payer pour ne pas être suivis. Faute d’informations fiables sur l’usage des données ou faute d’alternatives aux services proposés par les plateformes, et en raison des effets de réseaux directs , il n’est pas non plus facile pour un utilisateur de changer de fournisseur de service, en particulier pour un acteur moins consommateur de données. Enfin, les interfaces biaisées (« dark patterns ») entravent également la protection des données personnelles.
En outre, en raison des caractéristiques des marchés numériques (effets de réseaux directs et indirects9), le contrôle de données peut être source de pouvoir de marché et servir à des comportements anticoncurrentiels. Les réseaux les plus attractifs captent la majorité des revenus publicitaires découlant
de l’exploitation des données et ils peuvent ainsi optimiser leurs services en investissant et innovant pour conserver cette attractivité ; ils peuvent aussi adopter des stratégies d’acquisition d’autres entreprises leur permettant de collecter un nombre croissant de données. Cela favorise les positions monopolistiques face aux petits acteurs, et peut être problématique lorsque cela conduit à des abus de position dominante.
La politique de concurrence peut donc contribuer à renforcer la protection de la vie privée lorsqu’elle limite la concentration des données personnelles par un nombre restreint de grandes plateformes, lesquelles pourraient en faire une exploitation intrusive et ainsi réduire le bien-être des consommateurs. Le maintien de la concurrence sur les marchés peut parfois promouvoir des innovations permettant une meilleure protection des données personnelles. Mais la politique de la concurrence peut aussi dégrader cette protection lorsqu’elle considère que les plateformes ne doivent pas restreindre l’accès de concurrents aux données, afin que de nouveaux acteurs – eux-mêmes plus ou moins respectueux de la vie privée des personnes puissent entrer sur les marchés
Symétriquement, la politique de protection de la vie privée peut contribuer à prévenir la création de positions dominantes, car elle peut soit interdire l’utilisation de certaines données de nature à octroyer un avantage concurrentiel, soit être une manière pour les acteurs de différencier leurs produits (en fonction du degré de respect de la vie privée) et donc de stimuler la concurrence. Mais elle peut également parfois accroître les positions dominantes de certains acteurs lorsque les règles protégeant les données personnelles réduisent la possibilité pour un concurrent d’innover à partir des données qu’il détient, et donc de stimuler la concurrence par une innovation disruptive, ou lorsque ces règles accroissent les coûts d’un concurrent de manière prohibitive pour un petit acteur. Cette dualité peut s’observer pour le règlement général sur la protection des données (RGPD) : il aurait à la fois des effets anticoncurrentiels en renforçant la position dominante des grandes plateformes à cause des coûts de conformité assimilables à des barrières à l’entrée pour les concurrents, et des effets pro-concurrentiels grâce à l’obligation de portabilité des données, qui réduit les coûts des consommateurs pour changer de fournisseur et leur donne une meilleure maîtrise de leurs données.
Des réflexions se développent pour une régulation permettant un meilleur équilibre entre concurrence et protection de la vie privée
Sans intervention des pouvoirs publics, le fonctionnement des marchés numériques ne semble pas permettre d’aboutir à un équilibre satisfaisant entre concurrence et protection de la vie privée. Le respect de la vie privée est mis en avant par certains moteurs de recherche en tant qu’avantage comparatif, mais cela ne concerne encore que des exemples limités et ce paramètre non-tarifaire ne paraît pas encore assez attractif pour modifier substantiellement les business models fondés sur l’exploitation des données et la publicité. Dès lors, réguler semble nécessaire pour donner un cadre permettant la libre entrée des concurrents sur les marchés numériques sans nuire à l’innovation ni à la protection de la vie privée. La question se pose particulièrement au sein de l’Union européenne, attachée à un modèle économique et social fondé sur les droits individuels et la protection des données personnelles.
Des règlements ont été adoptés pour mieux réguler les plateformes numériques. Au niveau européen, le Digital Markets Act (DMA), approuvé en mars 2022, vise à préserver la concurrence sur les marchés numériques tout en prenant en compte les enjeux de protection de la vie privée. Par exemple, la combinaison de données personnelles pour la publicité ciblée, considérée comme source d’« avantages potentiels […], élevant ainsi les barrières à l’entrée », ne sera autorisée qu’avec le consentement de l’utilisateur. Le Data Governance Act, approuvé en novembre 2021, vise à renforcer le partage des données tout en augmentant la confiance dans les intermédiaires de données grâce à un cadre de protection (par exemple, la réutilisation des données personnelles est encadrée). Au RoyaumeUni, la National Data Strategy de 2019 a conduit le gouvernement à proposer une réforme du régime de protection des données pour soutenir l’innovation et la concurrence et stimuler la croissance économique tout en protégeant les données.
La définition d’un bon équilibre entre protection de lavie privée et concurrence dépend aussi des préférences des utilisateurs de plateformes. Or ces préférences sont mal identifiées par les utilisateurs eux-mêmes, comme en témoigne le « paradoxe de la vie privée ». Ce constat amène certains à préconiser un système de révélation de ces préférences à travers la monétisation des données
La définition d’un bon équilibre entre protection de lavie privée et concurrence dépend aussi des préférences des utilisateurs de plateformes. Or ces préférences sont mal identifiées par les utilisateurs eux-mêmes, comme en témoigne le « paradoxe de la vie privée ». Ce constat amène certains à préconiser un système de révélation de ces préférences à travers la monétisation des données : par exemple, au lieu de continuer à prendre la forme de paiements en données personnelles de l’utilisateur en échange de publicités ciblées, comme c’est implicitement le cas aujourd’hui, celle-ci pourrait prendre la forme de paiements monétaires par l’utilisateur pour ne plus recevoir de publicité et compenser la perte en recette publicitaire subie par la plateforme.
Selon ses défenseurs, la monétisation amènerait les utilisateurs à prendre conscience de la valeur de leurs données personnelles et à adapter leurs comportements en fonction de leurs attentes en termes de protection de la vie privée. Cela promouvrait aussi la concurrence, puisque les entreprises répondant le mieux à ces attentes gagneraient des parts de marché, tout en limitant les abus possibles de position dominante : les utilisateurs, en choisissant les données qu’ils rendent accessibles à chaque plateforme, pourraient accorder des montants relativement importants aux concurrents des grandes plateformes. L’approche dite « propriétariste », c’est-a-dire où chaque internaute possèderait un « portefeuille de données personnelles » à gérer librement avec les plateformes, reste pour l’instant très prospective et incertaine, et n’est pas sans soulever des difficultés conceptuelles. Elle impliquerait en effet de redéfinir la notion de données personnelles, considérées actuellement comme un droit fondamental en Europe (inaliénables au même titre que le corps d’un individu), ce qui pourrait rendre juridiquement impossible l’instauration d’un tel droit de propriété.
Les pratiques des autorités de régulation nationales et supranationales évoluent à la lumière de ces réflexions théoriques
Les différentes autorités de régulation ont d’abord fonctionné indépendamment
Les autorités de protection de la vie privée ont longtemps appréhendé les données personnelles dans le but d’éviter tout risque pour la vie privée (exemple en France de la loi « informatique et libertés » de 1978). Ainsi, en France, la Commission nationale de l’informatique et des libertés (CNIL) considère que l’utilisation des données personnelles doit être restreinte à certains acteurs identifiés.
En revanche, en matière de politique de la concurrence (e.g. contrôle des concentrations), l’utilisation des données personnelles a soit été considérée dans une logique de partage entre acteurs économiques (pour éviter les situations de position dominante qu’entraînerait le contrôle de masses de données par une seule entité), soit n’a pas été considérée du tout. Par exemple, en 2008, lors du rachat de la société DoubleClick par Google, la Commission européenne a uniquement considéré les aspects relatifs au droit de la concurrence et non ceux qui touchaient la protection de la vie privée (i.e. l’impact d’une combinaison des données des deux entreprises). De même façon, lors de l’acquisition de WhatsApp par Facebook en 2014, elle a séparé les deux enjeux (voir encadré 2).
Les autorités de concurrence s’intéressent désormais davantage aux effets de la protection de la vie privée
La Commission européenne s’intéresse depuis quelques années aux effets croisés des politiques de concurrence et de protection de la vie privée. En 2015, une publication de ses services sur le cas Facebook/ WhatsApp indiquait ainsi que les données peuvent jouer un rôle dans l’évaluation concurrentielle des fusions, en tant que moyen d’obtenir un avantage concurrentiel, et parce que la protection de la vie privée peut être vue comme un paramètre non-tarifaire de concurrence (lorsque des produits sont offerts gratuitement aux utilisateurs car monétisés par des publicités ciblées, alors les données personnelles sont la monnaie payée par l’utilisateur ou une dimension de la « qualité » du produit). De telles considérations ont pu être prises en compte dans certaines décisions ou enquêtes : en 2016 dans la décision sur l’opération de concentration Microsoft/LinkedIn (où la protection de la vie privée a été considérée comme un moteur du choix des consommateurs et un paramètre de la concurrence19) et en 2020 et 2021 dans les enquêtes lancées sur les places de marché d’Amazon et Meta (où est envisagée la possibilité que les données créent des barrières à l’entrée et soient utilisées de manière anticoncurrentielle). La Commission s’implique ainsi dans des pratiques liées à des enjeux de protection de la vie privée, dès lors qu’elles sont susceptibles de constituer en elles-mêmes des violations du droit de la concurrence. La mise en garde d’Apple en 2021, par la Commissaire Vestager, à propos des modifications de ses règles (changement de l’iOS14 qui oblige à afficher un pop-up demandant le consentement des utilisateurs pour suivre leurs activités) reflète cette approche : même si Apple disait avoir fait cette modification pour protéger les données personnelles, la Commissaire avait indiqué que cela ne l’exemptait pas des règles de concurrence.
Au niveau national, plusieurs autorités de concurrence se sont saisies de sujets en lien avec la protection de la vie privée. En Allemagne, le Bundeskartellamt a ouvert en 2016 une enquête contre Facebook sur la base d’allégations d’abus de pouvoir de marché. Il a cherché à savoir si Facebook abusait de sa position dominante pour enfreindre les règles de protection des données et étendre les conditions d’utilisation définissant le volume de données traitées. En 2019, il a imposé des restrictions au partage de données par Facebook entre ses propres plateformes et des applications tierces, affirmant que cette collecte de données sans le consentement de l’utilisateur et leur partage entre ses services représentaient un abus de position dominante. Suite aux évolutions judiciaires de cette affaire, la CJUE devra se prononcer sur ce dossier, notamment sur la compétence d’une autorité nationale de concurrence concernant le respect du RGPD par l’entreprise visée dans le cadre d’un contrôle des pratiques anticoncurrentielles.
En France, en 2020, l’Autorité de la concurrence a été saisie par des acteurs de la publicité en ligne qui contestaient les mêmes modifications de l’iOS14, en estimant qu’Apple abusait de sa position dominante, et risquait de réduire l’efficacité des publicités ciblées. En mars 2021, l’Autorité a considéré que ces modifications n’étaient pas une pratique anticoncurrentielle, qu’elles s’inscrivaient dans les choix d’Apple en matière de protection de la vie privée et de politique commerciale, et qu’elles seraient bénéfiques à la protection des données des utilisateurs. Elle poursuit toutefois l’instruction afin de déterminer si Apple ne favoriserait pas injustement ses propres services. En 2021, l’association France Digitale a aussi déposé plainte contre l’iOS14 auprès de la CNIL, accusant cette fois Apple de ne pas respecter le consentement des utilisateurs car la mise à jour activerait la publicité ciblée par défaut pour les applications Apple.
Enfin, aux États-Unis, la présidente de la Federal Trade Commission a annoncé en septembre 2021 qu’elle voulait faire de la protection des données personnelles une priorité de l’institution en lien avec l’application des lois antitrust, afin d’éviter des préjudices résultant des pratiques de surveillance et de l’absence de législation fédérale sur la vie privée.
Une plus grande coopération émerge entre autorités et régulateurs nationaux
En France, les coopérations multiples de l’Autorité de la concurrence avec d’autres institutions illustrent la volonté des pouvoirs publics d’appréhender les enjeux de l’économie numérique dans toutes ses dimensions. L’Autorité de la concurrence, l’Autorité des marchés financiers, l’Autorité de régulation des transports, l’Autorité de régulation des communications électroniques, des postes et de la distribution de la presse, la CNIL, la Commission de régulation de l’énergie et le Conseil supérieur de l’audiovisuel ont ainsi publié en 2019 une note commune sur « Les nouvelles modalités de régulation – La régulation par la donnée ». L’affaire Apple en 2020, avec l’utilisation d’un avis de la CNIL par l’Autorité de la Concurrence, est un premier exemple de cette coopération. Plusieurs collaborations se sont développées : en 2020, la DGCCRF et la CNIL ont signé un protocole de coopération pour mieux articuler droit de la consommation et respect du RGPD ; en mai 2021, l’Autorité de la concurrence et le Pôle d’Expertise de la Régulation Numérique (PEReN) ont signé une convention : le PEReN pourra analyser des données et apporter son expertise technique dans des enquêtes relatives aux plateformes numériques. Dans un récent discours, le président de l’Autorité de la concurrence a plaidé en faveur d’une « coopération accrue » entre les autorités de la concurrence et les autorités de protection des données personnelles, en raison notamment de l’aspect ambivalent des interactions entre l’analyse concurrentielle et les règles de protection des données personnelles.
Au Royaume-Uni, le régulateur des données (ICO) et l’Autorité de la concurrence (CMA) ont publié au printemps 2021 un protocole d’entente pour formaliser l’approfondissement de leurs interactions. Les deux instances avaient déjà pris en compte leurs objectifs respectifs au sein d’enquêtes (par exemple, l’enquête conjointe en 2021 sur la Privacy Sandbox). Désormais chaque autorité pourra ainsi transmettre à l’autre des informations obtenues au cours de ses enquêtes, si elles sont nécessaires à l’atteinte des objectifs de l’autre instance.
Enfin, les autorités nationales de protection des données et de la vie privée des pays du G7 ont déclaré en 202122 qu’il était nécessaire de renforcer la collaboration entre ces autorités et leurs homologues de la concurrence à l’échelle nationale en matière de régulation des marchés numériques. En juin 202223, la Commissaire Vestager a souligné l’importance de la collaboration entre les décideurs politiques dans les domaines de la concurrence, de la protection des données et de la protection des consommateurs, indiquant que l’architecture institutionnelle prévue par les différents textes européens adoptés ou en négociation devrait permettre de trouver de telles synergies.