Entrée en application du DMA : quels bénéfices pour les utilisateurs des plateformes numériques ?

 

Ce qu'il faut retenir

Le Règlement sur les marchés numériques (Digital Markets Act - DMA), entré en application le 2 mai 2023, a pour objectif de réguler le comportement des grandes plateformes numériques qui agissent en tant que “contrôleurs d’accès” sur les marchés, notamment les GAFAM. Les pratiques, désormais prohibées, et les obligations leur incombant doivent bénéficier aux utilisateurs, entreprises et consommateurs, en limitant les pratiques abusives et en favorisant la concurrence.  La Commission européenne a publié la liste des contrôleurs d’accès le 6 septembre dernier.

 

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-entree-en-application-du-dma-quels-benefices-pour-les-utilisateurs-des-plateformes-numeriques

Google Ads : confirmation de la condamnation de Google pour abus de position dominante

 

Dans un arrêt du 7 avril 2022, la Cour d’appel de Paris a confirmé la décision rendue par l’Autorité de la concurrence en date du 19 décembre 2019 ayant condamné la société Google à une amende de 150.000 euros pour abus de position dominante sur le marché de la publicité en ligne et enjoint Google de clarifier la rédaction des règles de fonctionnement de Google Ads ainsi que la procédure de suspension des comptes des annonceurs. (1) Nous rappelons ci-après les conditions d’utilisation du service Google Ads, la notion d’abus de position dominante et la situation de Google sur le marché de la publicité en ligne, ayant justifié cette décision.

 

 

Ce qu’il faut retenir :

 

Selon l’Autorité de la concurrence, Google détient une position “ultra-dominante” sur le marché français de la publicité en ligne liée aux recherches.

L’Autorité ne remet pas en cause la liberté de Google de définir des règles limitant ou interdisant l’utilisation de son service Google Ads pour des produits et services licites à des fins de protection des consommateurs. Toutefois, ces règles doivent être définies de manière claire et être appliquées de manière objective, transparente et non-discriminatoire.

1. Les conditions d’utilisation du service Google Ads

Le service Google Ads (dénommé AdWords jusqu’en juillet 2018) est une régie publicitaire proposée par la société Google qui permet aux annonceurs “d’acheter” des mots-clés qui déclencheront l’affichage de leurs annonces publicitaires lorsque les internautes saisiront ces mots-clés. Ces annonces sont identifiées sur Google comme annonces publicitaires, publicités ou annonces sponsorisées. Les annonceurs paient, selon un système d’enchère sur les mots-clés sélectionnés, lorsqu’un utilisateur clique sur l’annonce.

L’utilisation du service Google Ads est soumise aux Conditions générales de publicité de la société Google, complétées par des règles applicables à certaines catégories de produits et de services.

    1.1 Les Conditions générales de publicité de Google

Lorsqu’un annonceur (ou une agence) s’inscrit sur le service Google Ads, il doit accepter les Conditions générales de publicité de Google qui régissent leurs relations contractuelles.

L’article 1, “Programmes” décrit les conditions d’inscription aux différents services publicitaires de Google, dont Google Ads. Cet article stipule notamment que “Google et ses Partenaires peuvent refuser ou retirer une Publicité, Cible ou Destination spécifique à tout moment”.

L’article 3, “Politiques” stipule que “le Client (l’annonceur)est seul responsable de l’utilisation des Programmes. (…) L’Utilisation par le Client des Programmes est soumise aux politiques et règlements de Google (…) et à l’ensemble des autres politiques mises à la disposition du Client par Google (…)”.

    1.2 Les règlements régissant l’utilisation de Google Ads

Les Conditions générales de publicité sont complétées par des règlements (ou règles) qui limitent ou interdisent l’utilisation de Google Ads par les annonceurs.

Ces règles sont organisées en quatre groupes :

1. les contenus interdits (par exemple les annonces pour des produits ou services dangereux, ou pour incitation à un comportement malhonnête) ; 
2. les pratiques interdites (par exemple l’utilisation abusive du réseau publicitaire, ou les annonces comprenant des déclarations trompeuses) ;  
3. les contenus et fonctionnalités soumis à des restrictions (par exemple les annonces pour des contenus à caractère sexuel, alcools, jeux d’argent et de hasard) ; et  
4. les règles d’exigence éditoriales et techniques.
   

Google identifie certains produits et services licites mais “propices à des abus” et présentant un risque déraisonnable pour la sécurité des internautes. Les annonces pour ces produits et services sont donc interdites par Google, afin de protéger les consommateurs et éviter les abus.


2. L’abus de position dominante

L’abus de position dominante est prohibé tant par le droit européen que par le droit français.

L’article L.420-2 al.1 du Code de commerce dispose qu’ “Est prohibée, (…) l’exploitation abusive par une entreprise ou un groupe d’entreprises d’une position dominante sur le marché intérieur ou une partie substantielle de celui-ci. Ces abus peuvent notamment consister en refus de vente (…) ainsi que dans la rupture de relations commerciales établies, au seul motif que le partenaire refuse de se soumettre à des conditions commerciales injustifiées.”

L’existence d’une situation de position dominante n’est pas répréhensible en soi. Toutefois, l’entreprise en situation de position dominante doit être particulièrement attentive au respect de la concurrence et au traitement non discriminatoire de ses clients et utilisateurs. Deux conditions doivent être réunies pour que la position dominante soit considérée comme répréhensible : 1) l’existence d’une position dominante, et 2) son exploitation abusive.

La position dominante s’analyse par rapport au pouvoir détenu par une entreprise sur un “marché pertinent” où agissent plusieurs concurrents. Selon la jurisprudence, l’existence d’une position dominante impose à l’entreprise concernée la responsabilité de ne pas porter atteinte par son comportement à une concurrence effective et non faussée.


3. La situation de Google sur le marché de la publicité en ligne et l’affaire Gibmedia

La société Gibmedia avait saisi l’Autorité de la concurrence courant 2018 pour abus de position dominante de la part de Google sur le marché de la publicité en ligne.

Gibmedia édite plusieurs sites d’informations, dont les sites pages-annuaire.net et annuaire-inverse.net. A la suite de la suspension sans préavis de son compte Google Ads, la société Gibmedia a saisi l’Autorité pour pratiques anticoncurrentielles au motif que la procédure suivie par Google et les raisons de la suspension n’étaient pas objectifs, transparents, et non-discriminatoires.

Gibmedia estime que Google a abusé de sa position dominante sur le marché de la publicité en ligne en adoptant des règles de fonctionnement de sa plateforme Google Ads opaques et difficilement compréhensibles, et en les appliquant de manière inéquitable et aléatoire.

    3.1 La position ultra-dominante de Google

En l’espèce, le marché pertinent consiste en la publicité en ligne liée aux recherches, sur le marché français. Selon l’Autorité de la concurrence, Google détient une position dominante sur ce marché. L’Autorité qualifie même cette situation comme présentant des caractéristiques “extraordinaires”, notamment dans la mesure où son moteur de recherche totalise plus de 90% des recherches effectuées en France et sa part de marché de la publicité en ligne liée aux recherches serait supérieure à 90%.

En outre, selon l’Autorité, la plateforme Google Ads a une nature “biface” : d’un côté, utilisée par 90% des internautes en France ; de l’autre bénéficiant d’une dynamique très forte auprès des annonceurs, aboutissant ainsi à une position ultra-dominante.

Cette position sur le marché de la publicité en ligne impose une responsabilité particulière de Google en matière de respect des règles de concurrence, et particulièrement dans la mise en oeuvre des règles qui régissent l’utilisation de Google Ads.

Même si l’Autorité ne va pas jusqu’à reconnaître un abus de dépendance économique entre les sociétés Google et Gibmedia, elle relève que d’une manière générale, compte tenu de cette situation d’ultra-dominance, “la position des annonceurs à l’égard de l’offre de Google est (…) particulièrement contrainte”.

    3.2 Des règles Google Ads qui manquent de clarté

L’Autorité ne remet pas en cause la liberté de Google de définir des règles limitant l’utilisation de son service Google Ads à des fins de protection des consommateurs. Ces règles doivent être définies de manière claire et appliquées de manière objective, transparente et non-discriminatoire. Cet objectif ne saurait cependant justifier que Google traite de manière différenciée et aléatoire des acteurs dans des situations comparables. Google ne peut pas suspendre le compte d’un annonceur au motif qu’il proposerait des services qu’elle estime contraire aux intérêts du consommateur, tout en acceptant de référencer et d’accompagner sur sa plateforme publicitaire des sites qui vendent des services similaires.

Or, l’Autorité relève que les règles applicables aux annonceurs sont :

• imprécises et confuses dans leur formulation et leur interprétation, 
• sujettes à de nombreuses modifications par Google sans que les annonceurs en soient informés, 
• soumises à des changements de position dans leur interprétation, créant une situation d’instabilité et d’insécurité juridique et économique pour les annonceurs, 
• appliquées de manière discriminatoire : plusieurs sites ont été suspendus alors que d’autres, aux contenus ou services similaires, ne l’étaient pas.
  

L’Autorité a prononcé à l’encontre de Google une sanction de 150 millions d’euros et ordonné à Google de :
    - clarifier la rédaction des Règles de Google Ads,
    - clarifier les procédures de suspension des comptes afin d’éviter que celles-ci ne revêtent un caractère brutal et injustifié,
    - et mettre en place des procédures d’alerte, de prévention, de détection et de traitement des manquements à ses Règles, afin que les mesures de suspension de sites ou de comptes Google Ads soient strictement nécessaires et proportionnées à l’objectif de protection des consommateurs.


    La décision Gibmedia de l’Autorité de la concurrence, confirmée par la Cour d’appel de Paris est dans la droite ligne de la jurisprudence de l’Autorité. (2) Ainsi, dans l’affaire Amadeus, datant de janvier 2019, l’Autorité rappelait déjà que Google est libre de déterminer sa politique de contenus, mais ces règles doivent être suffisamment intelligibles pour les acteurs économiques et s’appliquer dans des conditions objectives, transparentes et non-discriminatoires afin que tous les annonceurs d’un même secteur soient traités sur un pied d’égalité.

Depuis cette dernière décision, Google a clarifié une partie des règles applicables au service Google Ads.


                                                      * * * * * * * * * * *

(1) CA Paris, 7 avril 2022, Google Ireland Ltd c. GibMedia ; Aut. Conc. déc. n°19-D-26, 19 décembre 2019, GibMedia

(2) Voir les décisions Navx - Aut. conc. déc. n°10-MC-01, 30 juin 2010 et Aut. conc. déc. n°10-D-30, 28 octobre 2010, et Amadeus - Aut. conc. déc. n°19-MC-01, 31 janvier 2019


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Avril 2022

DMA : Proposition de règlement sur les marchés numériques pour encadrer les “contrôleurs d’accès”

La réforme européenne du droit du numérique vient de passer une étape décisive avec le vote, par le Parlement européen, de la proposition de Règlement sur les marchés numériques (Digital Markets Act - DMA) le 15 décembre 2021, suivi du vote de la proposition de Règlement sur les services numériques (Digital Services Act - DSA) le 20 janvier 2022. Ces deux projets de règlements passent maintenant par l’étape d’un trilogue entre des représentants du Parlement, du Conseil et de la Commission afin de parvenir à un accord sur le texte définitif, pour une entrée en application probablement début 2023. (1) 

L’objectif de cette réforme d’envergure est double : réguler le fonctionnement des marchés numériques, et plus particulièrement, le rôle des “contrôleurs d’accès” (ou “gatekeepers”), dont les GAFAM, qui jouent un rôle dominant sur le marché, et réguler les services numériques, afin de lutter plus efficacement contre les contenus illicites et la propagation de fausses informations.

Dans ce premier article, nous nous concentrons sur le DMA. Un second article suivra afin de présenter le DSA, ces deux textes ayant des objectifs distincts.

Ce qu’il faut retenir

Le DMA a pour objectif de réguler le comportement des grandes plateformes numériques, y compris les services de plateforme essentiels, qui agissent en tant que “contrôleurs d’accès” (ou “gatekeepers”) sur les marchés, notamment les GAFAM. Les services concernés comprennent, entre autres, les systèmes d’exploitation, les services de publicité en ligne, les moteurs de recherche, les réseaux sociaux, etc.

Les contrôleurs d’accès seront soumis à un certain nombre d’obligations dans le but d’améliorer la concurrence entre les entreprises utilisatrices et les services proposés par les contrôleurs d’accès.

1. Le DMA - ou la régulation des contrôleurs d’accès

Selon l’exposé des motifs du DMA, “Certaines grandes plateformes jouent de plus en plus le rôle de points d’accès ou de contrôleurs d’accès entre les entreprises utilisatrices et les utilisateurs finaux et jouissent d’une position solide et durable, qui résulte souvent de la création d’écosystèmes de conglomérat organisés autour de leurs services de plateforme essentiels, renforçant ainsi les barrières à l’entrée existantes.”

Ainsi, le DMA a pour objectif de réguler le comportement des grandes plateformes numériques qui agissent en tant que “contrôleurs d’accès” sur les marchés. Alors qu’il existerait plus de 10.000 plateformes actives sur le marché communautaire, seul un petit nombre d’entre elles captent la plus grande part de la valeur générée.

Suivant le constat des régulateurs, ces plateformes ont atteint une taille telle qu’elles ont rendu les utilisateurs - consommateurs et entreprises, dépendants de leurs services. Elles se positionnent ainsi en tant que régulateurs privés pouvant imposer des conditions inéquitables aux entreprises et aux consommateurs (services captifs, blocage de l’accès aux données générées en ligne par les entreprises, etc.) et imposent des barrières à l’entrée à leurs concurrents potentiels, qui ne peuvent avoir accès au marché. En effet, les contrôleurs d’accès, par leur taille, ont acquis une situation dominante, présentant des risques pour les droits des utilisateurs, personnes physiques et morales.


2. Plateformes essentielles et contrôleurs d’accès

Le DMA vise plus particulièrement les services de plateforme essentiels (les contrôleurs d’accès ou certains services qu’ils proposent). Ces services de plateforme essentiels recouvrent les services suivants :

• l’intermédiation en ligne (y compris les places de marchés - Amazon, App Store, Google Play), 
• les moteurs de recherche (Google),
• les réseaux sociaux (Facebook, Instagram),  
• les plateformes de partage de vidéos (Youtube),
• les services de communication électronique,
• les systèmes d’exploitation (Android, iOS),  
• les services en nuage (AWS, iCloud, Google Cloud) et  
• les services de publicité en ligne (Google Ads).
  

Pour être qualifié de contrôleur d’accès, un service de plateforme essentiel doit remplir plusieurs critères quantitatifs (art. 3 DMA), à savoir :

1. avoir une forte incidence sur le marché numérique européen, c’est-à-dire réaliser un chiffre d’affaires annuel dans l’UE égal ou supérieur à 6,5 milliards d’euros au cours des trois derniers exercices ou avoir une capitalisation boursière moyenne, ou atteindre une juste valeur marchande équivalente de l’entreprise à laquelle il appartient, au moins égale à 65 milliards d’euros au cours du dernier exercice, et fournir un service de plateforme essentiel dans au moins trois Etats membres ; 
2. exploiter un ou plusieurs points d’accès majeur des entreprises pour développer leurs activités commerciales en ligne, c’est-à-dire avoir enregistré plus de 45 millions d’utilisateurs actifs par mois dans l’UE et plus de 10.000 entreprises utilisatrices actives dans l’UE au cours du dernier exercice ; 
3. occuper une position solide et durable sur le marché, c’est-à-dire avoir atteint le nombre d’utilisateurs finaux mentionné ci-dessus pendant les trois derniers exercices.
   

Les contrôleurs d’accès doivent informer la Commission de leur situation dans un délai de trois mois et fournir les informations visées ci-dessus. Ils pourront également démontrer à la Commission qu’ils ne remplissent pas ces critères. Enfin, la Commission pourra désigner comme contrôleur d’accès des services de plateforme essentiels qui satisfont aux exigences qualitatives ci-dessus, mais qui ne remplissent pas les critères quantitatifs.


3. Les obligations des contrôleurs d’accès

Les contrôleurs d’accès sont soumis à un certain nombre d’obligations, l’objectif étant d’améliorer la concurrence entre les entreprises utilisatrices et les services proposés par les contrôleurs d’accès.

Parmi ces obligations, les contrôleurs d’accès doivent (art. 5 DMA) : 

• s’abstenir de combiner les données personnelles issues de leurs services avec les données issues des autres services proposés par le contrôleur d’accès ou par des services tiers ; 
• permettre aux entreprises utilisatrices de proposer les mêmes produits ou services aux utilisateurs finaux via des services d’intermédiation en ligne tiers à des prix ou des conditions différents de ceux proposés par le contrôleur d’accès ; 
• permettre aux entreprises utilisatrices de promouvoir leurs offres auprès des utilisateurs finaux acquis grâce au service de plateforme essentiel et de conclure des contrats avec ces utilisateurs finaux ; 
• s’interdire d’exiger des entreprises utilisatrices ou des utilisateurs finaux qu’ils s’abonnent ou s’enregistrent à un autre service de plateforme essentiel comme condition d’accès, d’inscription ou d’enregistrement à l’un de ses services de plateforme essentiel ; 
• faire réaliser un audit, par un auditeur indépendant, sur les techniques de profilage des consommateurs utilisées, les résultats devant être soumis à la Commission. (art. 13 DMA)
  

Par ailleurs, le DMA interdira certaines pratiques manifestement déloyales, telles que l’interdiction pour les utilisateurs de désinstaller des logiciels ou applications pré-installés. Le règlement imposera également l’interopérabilité entre les services proposés sur ces plateformes et les logiciels tiers.

La Commission européenne aura la possibilité de mener des enquêtes de marché ciblées pour déterminer s’il y a lieu de faire évoluer la règlementation sur les contrôleurs d’accès pour suivre l’évolution des marchés numériques. (art. 18 et s. DMA)

 

4. Des sanctions dissuasives en cas de violation du DMA

Les sanctions pouvant être imposées par la Commission européenne et par les tribunaux nationaux se veulent être à la hauteur des enjeux et de la taille des acteurs concernés.

En cas de violation des dispositions du DMA, les amendes pourront atteindre 10% du chiffre d’affaires réalisé au cours de l’exercice précédent par le contrôleur d’accès. Pour fixer le montant de l’amende, la Commission prendra en considération la gravité, la durée et la récurrence des manquements aux obligations du DMA. (art. 26 DMA)


A l’issue de l’examen du DMA par le Parlement, les députés européens souhaitent améliorer les critères de qualification des contrôleurs d’accès. Les députés ont par ailleurs inclus les navigateurs web, les assistants virtuels et les télévisions connectées dans le champ du DMA et ajouté la possibilité de désinstaller des applications préinstallées. Les seuils quantitatifs permettant de désigner les contrôleurs d’accès ont également été relevés à 8 milliards d’euros de chiffre d’affaires annuel ou 80 milliards d’euros de capitalisation boursière et le montant des amendes a été doublé, de 10 à 20% du chiffre d’affaires.

Ces dernières années, avec la montée en puissance des GAFAM, les juridictions des Etats membres et la Commission en Europe d’une part, les juridictions américaines d’autre part, ont tenté de lutter contre des pratiques jugées abusives de la part des sociétés, qualifiées de “contrôleurs d’accès” - sans grand succès. L’objectif du DMA est donc, par l’imposition de règles homogènes dans l’Union européenne, de lutter contre les avantages permettant à ces très grands groupes de conserver leur position dominante, favorisant notamment leurs produits et services par rapport aux entreprises utilisatrices ou exploiter les données générées par ces entreprises à leur propre avantage et, in fine permettre plus de compétitivité et de diversité, en donnant accès au marché à des acteurs de taille plus modeste.

                                                      * * * * * * * * * * *

(1) Proposition de règlement du Parlement européen et du Conseil relatif aux marchés contestables et équitables dans le secteur du numérique (Digital Markets Act - DMA)


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Février 2022

La CNIL prononce une sanction record de 50 millions d’euros à l’encontre de Google

Le 21 janvier 2019, la formation restreinte de la CNIL a prononcé une sanction pour un montant de 50 millions d’euros, à l’encontre de la société Google LLC.(1) Cette délibération, la première rendue en application du RGPD, est particulièrement motivée quant aux règles de compétence de l’autorité de contrôle pour engager la procédure, et quant aux manquements constatés.

L’un des objectifs du RGPD est de donner aux personnes concernées plus de maîtrise sur leurs données personnelles, en renforçant les principes de transparence et de consentement éclairé, grâce à une information préalable claire et compréhensible.

En l’espèce, la décision de la CNIL sanctionne un manque de transparence de la part de Google et met en cause la validité du consentement obtenu à partir d’informations qui “ne sont pas toujours claires et compréhensibles”, ni aisément accessibles pour les utilisateurs.

Les 25 et 28 mai 2018, soit juste après l’entrée en application du RGPD, la CNIL a été saisie de deux plaintes collectives en vertu de l’article 80 du RGPD, déposées pour le compte de près de 10.000 personnes, par les associations None Of Your Business et La Quadrature du Net. Ces plaintes étaient motivées par le fait que Google traitait les données personnelles des utilisateurs de ses services, notamment à des fins de ciblage publicitaire, sans base juridique valable.

En septembre 2018, la CNIL a procédé à un contrôle en ligne pour vérifier la conformité à la loi Informatique et Libertés et au RGPD des traitements de données personnelles réalisés par Google. Pour ce faire, la Commission a analysé le parcours d’un utilisateur et les documents auxquels il peut avoir accès, en créant un compte Google au moment de la configuration de son téléphone mobile sous Android.


1. La compétence de la CNIL pour engager la procédure contre Google

Avant même d’aborder les manquements constatés par la formation restreinte de la CNIL(2), celle-ci justifie notamment sa compétence pour engager cette procédure contre la société Google.

La société Google contestait en effet la compétence de la CNIL, en soutenant que le siège européen de Google étant situé en République d’Irlande, l’autorité de protection des données irlandaise (Data Protection Commission) était compétente en qualité d’autorité chef de file.

La formation restreinte rappelle que la notion d’établissement principal suppose que l’établissement concerné dispose d’un “pouvoir de décision vis-à-vis des traitements de données à caractère personnel (…)”, et que ce pouvoir de décision comprend “l’exercice effectif et réel d’activité de gestion déterminant les décisions principales quant aux finalités et aux moyens du traitement.” Cette notion doit s’apprécier in concreto et ne peut reposer que sur la déclaration de l’entreprise en cause.

En l’espèce, Google ne démontre pas que sa filiale irlandaise disposait d’un pouvoir décisionnel sur les finalités et les moyens des traitements concernés. Le rôle de Google Ireland Limited se concentrait sur les activités commerciales et financières de Google en Europe. Par ailleurs, Google Ireland Limited n’était pas mentionnée dans les Règles de confidentialité de la société au 25 mai 2018 (date de l’entrée en application du RGPD), et n’avait pas désigné de délégué à la protection des données (DPO).

La formation restreinte en conclut que Google Ireland Limited ne peut être considérée comme l’établissement principal européen de Google LLC au sens de l’article 4 (16) du RGPD. Elle ne peut donc identifier une autorité chef de file. Après avoir consulté les autres autorités de contrôle européennes et pris en compte les lignes directrices publiées par le CEPD (3), la CNIL se déclare compétente pour engager cette procédure.


2. Les manquements constatés par la CNIL

Pour établir ses constatations, la formation restreinte a analysé le parcours d’un utilisateur et les documents contractuels auxquels il peut avoir accès, en créant un compte Google lors de la configuration de son téléphone mobile sous Android.

Deux séries de manquements au RGPD ont été constatés :

     1 - Un manquement aux obligations de transparence et d’information

Le RGPD repose sur les deux principes fondamentaux de transparence et d’information. La formation restreinte reprend les articles correspondants (art. 12 et 13 notamment) et les applique à la lettre à la procédure de création de compte sur Google.

Selon l’article 12 du RGPD, les informations fournies à la personne concernée doivent être concises, transparentes, compréhensibles, aisément accessibles, et rédigées en termes clairs et simples. L’article 13 prévoit que le responsable de traitement fournit les informations suivantes à la personne concernée au moment de la collecte des données, à savoir l’identité et les coordonnées du responsable du traitement, le cas échéant les coordonnées du DPO, les finalités du traitement ainsi que sa base juridique, les destinataires des données, le cas échéant, le fait que les données seront transférées vers un pays tiers, etc.

En l’espèce, les informations délivrées par Google aux utilisateurs ne sont pas suffisamment accessibles, claires et compréhensibles. Certaines informations obligatoires ne sont pas fournies aux utilisateurs : “des informations essentielles, telles que les finalités pour lesquelles les données sont traitées, la durée de conservation des données ou les catégories de données utilisées pour la personnalisation de la publicité, sont excessivement disséminées dans plusieurs documents, qui comportent des boutons et liens qu’il est nécessaire d’activer pour prendre connaissance d’informations complémentaires. L’information pertinente n’est accessible qu’après plusieurs étapes, impliquant parfois jusqu’à cinq ou six actions.”

L’architecture générale de l’information, mise en place par Google, rend l’accès à certaines informations clés difficile. Ainsi, même si ces informations sont fournies par Google, elles sont difficiles à trouver car nécessitent de passer de page en page, par plusieurs clics, avant de les atteindre.

La formation restreinte conclut à un défaut global d’accessibilité des informations délivrées par la société.

La formation restreinte met ensuite l’accent sur le caractère “massif et intrusif” des traitements mis en oeuvre par Google. Elle rappelle que les données collectées par Google à travers ses différents services proviennent de sources très variées : données d’utilisation du téléphone portable (Android), de la messagerie Gmail, de la plateforme de vidéos YouTube, données de navigation sur internet avec les cookies Google Analytics déposés sur des sites tiers, données de géolocalisation…

Ces données relèvent de trois catégories : les données produites par la personne concernée (nom, mot de passe, adresse email, etc.), les données générées par son activité (adresse IP, identifiant uniques de l’utilisateur, données de réseaux mobiles et sans fil, géolocalisation, etc.), et les données dérivées à partir des données produites par la personne ou générées par son activité (ciblage publicitaire sur la base notamment des centres d’intérêt des utilisateurs, à partir de leur activité sur internet, ou recommandations personnalisées).

La formation restreinte considère que les finalités annoncées dans les différents documents sont “trop génériques au regard de la portée des traitements mis en oeuvre et de leurs conséquences.” La description des données collectées est imprécise et incomplète. Au vu de ces éléments, elle considère que l’utilisateur n’est pas à même de prendre la mesure des conséquences des principaux traitements sur sa vie privée.

Le manque de clarté et la difficulté des utilisateurs à “comprendre l’ampleur des traitements mis en place par Google”, considérés comme “particulièrement massifs et intrusifs” est en partie la conséquence du nombre de services proposés par Google, de la quantité de données collectées ainsi que leur nature.

     2 - Un manquement à l’obligation de disposer d’une base légale pour les traitements de personnalisation de la publicité

La deuxième série de manquements concerne la validité du consentement.

L’un des principes fondamentaux du droit de la protection des données repose sur la caractère licite du traitement, et particulièrement le consentement de l’utilisateur qui doit être libre, spécifique, éclairé et univoque, et recueilli par un acte positif clair (art. 4 (11) RGPD). Les conditions relatives au recueil et au retrait du consentement figurent à l’article 7 du RGPD.

A ce titre, la CNIL relève que le consentement de l’utilisateur n’est pas valablement recueilli car non suffisamment éclairé, dans la mesure où l’information, telle que l’information sur les traitements de personnalisation de la publicité, est disséminée dans plusieurs documents et parfois difficile à localiser.

La CNIL relève ensuite que le consentement n’est ni “spécifique” car il concerne plusieurs traitements alors que le RGPD implique un consentement distinct pour chaque traitement ou finalité, ni “univoque” dans la mesure où plusieurs cases sont pré-cochées par défaut alors qu’elles devraient être décochées.

La formation restreinte en conclut que le consentement des utilisateurs n’est pas valablement recueilli car il n’est pas donné par un acte positif et distinct pour chacun des traitements mis en oeuvre.


3. Les motivations justifiant le montant de la sanction

Enfin, la formation restreinte justifie le montant de cette sanction, fixé en application des nouvelles dispositions du RGPD (art. 83), compte tenu de la gravité des manquements constatés, du nombre d’utilisateurs, du nombre de services et du volume de données concernés, et du fait que ces manquements sont continus et non pas délimités dans le temps. La CNIL rappelle ainsi que “le renforcement des droits des personnes est l’un des axes majeurs du Règlement” et que “les personnes physiques devraient avoir le contrôle des données à caractère personnel les concernant.”

Les manquements constatés permettent, selon la formation restreinte, de justifier une amende qui, en l’espèce, a été fixée à 4% du chiffre d’affaires de la société Google, soit 50 millions d’euros. Cette amende reste cependant très en deçà du plafond de 20% du chiffre d’affaires mondial de Google (110 milliards de dollars en 2017 pour sa maison-mère, Alphabet), prévu par le RGPD.

La société Google a annoncé sa décision de former un recours devant le Conseil d’Etat.


    L’objectif de remplacer la précédente directive d’octobre 1995 par un règlement est d’assurer une approche unifiée du droit de la protection des données personnelles dans l’Union européenne. A ce titre, la formation restreinte mentionne avoir consulté les autres autorités de contrôle et se réfère à plusieurs reprises dans sa délibération aux lignes directrices du CEPD. On peut donc s’attendre au développement d’une “jurisprudence” homogène des autorités de contrôle européennes.

Cette première sanction de la CNIL donne un aperçu de l’application effective du RGPD et comment la conformité à la nouvelle réglementation est appréhendée par l’autorité de contrôle, à savoir une interprétation stricte du règlement. La CNIL sanctionne ici une architecture de l’information trop complexe et peu instinctive pour l’utilisateur, ainsi que des textes souvent rédigés dans des termes peu clairs ou trop généraux.

La difficulté pour Google, comme pour toutes les plateformes proposant plusieurs services, sera de concilier les impératifs de concision, transparence et simplicité de l’information avec ceux de clarté et spécificité du consentement, afin d’être considérée conforme aux dispositions du RGPD, alors même que ces dispositions impliquent des documents contractuels plus longs car plus détaillés. Même si Google a choisi de former un recours contre la délibération de la CNIL, la société devra faire un réel effort de simplification et de transparence de l’information.

                                                                   * * * * * * * * * * *


(1) Délibération de la formation restreinte n°SAN-2019-001 du 21 janvier 2019 prononçant une sanction pécuniaire à l’encontre de la société Google LLC

(2) La formation restreinte de la CNIL est un collège spécifique composé de 6 membres. Elle est chargée de mener les procédures de non-conformité au RGPD et à la loi Informatique et Libertés et, le cas échéant, de prononcer des sanctions pécuniaires.

(3) Le comité européen à la protection des données (CEPD, ex-groupe de travail Article 29 ou G29) rassemble les autorités des 28 Etats-membres. Il a notamment pour mission de clarifier la mise en œuvre du RGPD en vue d’assurer une application uniforme du règlement. Ainsi, 19 lignes directrices ont été adoptées et 6 sont en cours d’élaboration par le CEPD.


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Février 2019

La marque d'un concurrent peut-elle être utilisée comme mot-clé sur un moteur de recherche ?

L’annonceur qui utilise la marque d’un concurrent (ou d’un tiers) à titre de mot-clé pour générer une annonce commerciale à son nom sur la page de résultats d’un moteur de recherche commet-il un acte de contrefaçon ?

La Cour de Justice de l'Union européenne (CJUE), qui avait été saisie de cette question en mars 2010, vient d'apporter de nouveaux éléments de réponse dans le cadre d’un litige opposant la société Interflora Inc. à la société Marks & Spencer plc (M&S).(1)

En l’espèce, M&S, qui exploite notamment un service de vente et livraison de fleurs, avait “acheté” le mot-clé "Interflora" sur le service de référencement publicitaire AdWords de Google. Une annonce commerciale de M&S s’affichait ainsi automatiquement sur la page de résultats de Google chaque fois qu’un internaute effectuait une recherche à partir du mot-clé "Interflora".

La société Interflora Inc., titulaire de la marque communautaire Interflora, a introduit un recours pour violation de ses droits sur sa marque contre M&S devant la High Court of Justice au Royaume Uni. Le juge britannique a décidé de surseoir à statuer et de demander l'avis de la CJUE, compétente en matière de droit communautaire.

Dans sa décision du 22 septembre 2011, la CJUE précise les conditions dans lesquelles l'utilisation de la marque d'un concurrent, dans le cadre du service de référencement publicitaire AdWords, est susceptible ou non de porter atteinte au droit des marques.


1. L'atteinte à la marque d’autrui définie par la jurisprudence Google de mars 2010

Dans une décision du 23 mars 2010 opposant Google France aux sociétés Louis Vuitton Malletier SA, Viaticum SA et CNRRH Sarl, la CJUE s'était prononcée sur les conditions dans lesquelles l'usage par une société d'un mot-clé, identique à la marque d'un concurrent, pour promouvoir ses propres produits ou services était ou non contrefaisant.(2)

    1.1  L'utilisation du service de référencement payant AdWords
Le service AdWords proposé par Google est complémentaire des résultats de recherche “naturelle” en permettant aux annonceurs “d’acheter” des mots-clés pendant une durée déterminée (durée de la campagne publicitaire sur Google) afin que leur annonce apparaisse en tête des pages de résultat sur Google.

En l'espèce, les demandeurs reprochaient à la société Google d’avoir commis des actes de contrefaçon par le fait de proposer aux annonceurs, via son service AdWords, des mots-clés correspondant à des marques enregistrées, sans que leurs titulaires aient donné leur accord pour une telle utilisation de leur marque.

    1.2  La réglementation communautaire sur le droit des marques
Dans cette affaire, la question posée à la CJUE, sur le fondement de l'article 5 §1 a) et §2 de la Directive communautaire de 1988 et de l'article 9 §1 a) du Règlement de 1993 relatifs aux marques, était de savoir si le titulaire d'une marque pouvait s'opposer à l'utilisation de sa marque comme mot-clé dans le cadre d’un service de référencement publicitaire, tel que proposé par Google.(3)

Ces textes prévoient en effet que le titulaire d'une marque enregistrée est habilité à interdire à tout tiers, en l'absence de son consentement, de faire usage dans la vie des affaires :
    - d'un signe identique à la marque, pour des produits ou des services identiques à ceux pour lesquels celle-ci est enregistrée,
    - d'un signe identique ou similaire à la marque renommée pour des produits ou des services qui ne sont pas similaires à ceux pour lesquels la marque est enregistrée, lorsque l'usage du signe sans juste motif tire indûment profit du caractère distinctif ou de la renommée de la marque ou lui porte préjudice. 

    1.3  L’analyse de la CJUE
Dans sa décision, la CJUE définit les conditions dans lesquelles une telle utilisation de la marque d'autrui est susceptible de porter atteinte au droit des marques.

Ainsi, la CJUE affirme que l'usage de la marque d'un tiers sans son consentement est condamnable si les trois conditions suivantes sont remplies :

    (i) L’usage de la marque a lieu dans la vie des affaires, à savoir, dans le contexte d'une activité commerciale. A ce titre, la Cour considère qu'en sélectionnant un mot-clé identique à une marque avec pour objet l'affichage d'un lien commercial vers le site de l'annonceur, celui-ci se situe bien dans le cadre de son activité commerciale ;

    (ii) L’usage est fait pour des produits ou des services identiques à ceux pour lesquels la marque est enregistrée. Selon la Cour, il en va ainsi dès lors que l'annonceur sélectionne un mot-clé identique à une marque dans le but de proposer aux internautes une alternative aux produits ou services du titulaire de la marque ;

    (iii) L’usage porte atteinte ou est susceptible de porter atteinte aux fonctions de la marque: les droits dont bénéficie le titulaire de la marque lui sont octroyés aux fins de protéger des intérêts spécifiques attachés au rôle de la marque. Ce rôle (ou cette fonction) consiste notamment à garantir la provenance des produits ou services au consommateur, en lui permettant de distinguer un produit ou un service de ceux d’une autre provenance (la "fonction d'indication d'origine").(4)

Ces trois conditions sont cumulatives ; si l'une d'elles fait défaut, la Cour considère qu’il n'y a pas atteinte au droit des marques.

Selon la Cour, l'utilisation par un annonceur d'un mot-clé identique à la marque d'un concurrent dans le cadre du service AdWords porte atteinte à la fonction de la marque lorsque la publicité de l'annonceur ne permet pas ou permet seulement difficilement à l’internaute de savoir si les produits ou services visés par cette publicité proviennent du titulaire de la marque ou d’une entreprise économiquement liée à celui-ci ou, au contraire, d’un tiers.

A ce titre, la Cour précise qu'il incombe à la juridiction nationale d'apprécier, au cas par cas, si les faits du litige dont elle est saisie sont caractérisés ou non par une telle atteinte à la fonction d'indication d'origine de la marque.

En conséquence, la CJUE considère que les deux premières conditions sont remplies en l'espèce : l'utilisation de la marque d'un concurrent dans le cadre du service AdWords consiste à faire usage de cette marque dans la vie des affaires et pour des produits ou des services identiques à ceux pour lesquels la marque est enregistrée.

Toutefois, la Cour précise que la troisième condition s'apprécie au cas par cas. Elle fera notamment défaut si l'utilisation de la marque d'un concurrent dans le cadre du service AdWords ne porte pas à confusion quant à la provenance des produits ou services. L'atteinte à la marque d'autrui dépendra donc de la rédaction et de la présentation de l’annonce commerciale de l’annonceur.

Ces critères d’analyse ont été confirmés avec la décision de la CJUE de septembre 2011.


2. L'utilisation de la marque d'un concurrent sur un moteur de recherche n'est pas nécessairement contrefaisante

Les questions préjudicielles posées à la CJUE portaient sur l'interprétation des mêmes textes communautaires sur le droit des marques.

Dans sa décision rendue le 22 septembre 2011, la CJUE précise à nouveau les conditions dans lesquelles le référencement publicitaire payant est susceptible ou non de porter atteinte au droit des marques. Elle ajoute une distinction, selon que l'utilisation concerne une marque non renommée ou une marque notoire.

    2.1  L'utilisation d'une marque ne jouissant d'aucune renommée
La CJUE réaffirme que le titulaire de la marque est habilité à en interdire l’usage par un tiers, si cet usage porte atteinte ou est susceptible de porter atteinte à l'une des fonctions de la marque. Parmi ces fonctions, la CJUE analyse notamment la fonction d'indication d'origine du produit ou du service et la fonction d'investissement (l'emploi d'une marque pour acquérir ou développer une réputation susceptible d'attirer et de fidéliser des consommateurs).(5)

La CJUE en conclut que l'utilisation de la marque d'un concurrent dans le cadre du service  de référencement AdWords n'est pas contrefaisante :

    - si la publicité affichée à partir du mot-clé ne porte pas à confusion et permet à l’internaute normalement informé et raisonnablement attentif, de savoir si les produits ou services visés par l’annonce commerciale proviennent du titulaire de la marque ou d’une entreprise économiquement liée à celui-ci ou, au contraire, proviennent d’un tiers (la fonction d’indication d’origine de la marque). L'atteinte dépend donc de la façon dont la publicité est rédigée par l’annonceur  ;

    - si cette utilisation ne gêne pas de manière substantielle l’emploi, par son titulaire, de ladite marque pour acquérir ou conserver une réputation susceptible d’attirer et de fidéliser des consommateurs (la fonction d’investissement de la marque). Le titulaire d'une marque ne peut s'opposer à ce qu'un concurrent fasse, dans des conditions de concurrence loyale, usage d'un signe identique à cette marque pour des produits ou services identiques, si cet usage a pour seule conséquence d'obliger le titulaire de cette marque à adapter ses efforts pour acquérir ou conserver une réputation susceptible d'attirer et de fidéliser les consommateurs.

    2.2  L'utilisation d'une marque notoire
La CJUE rappelle que le titulaire d’une marque renommée est habilité à interdire à un concurrent de faire de la publicité à partir d’un mot-clé correspondant à cette marque lorsque :

    (i) la publicité porte préjudice au caractère distinctif de la marque (“dilution”) ou à sa renommée (“ternissement”). En outre, la CJUE précise qu'une telle publicité porte préjudice au caractère distinctif de la marque renommée, notamment, si elle contribue à une dénaturation de cette marque en terme générique. Ce serait le cas, par exemple, d’un usage qui conduirait progressivement à faire croire aux consommateurs que le terme Interflora n'est pas une marque désignant un service de livraison de fleurs par les fleuristes adhérant au réseau Interflora, mais constitue un terme générique pour tout service de livraison de fleurs.

Or, en l'espèce, la CJUE estime qu'une telle publicité ne conduit pas systématiquement à une évolution vers un terme générique à partir du moment où elle permet à l'internaute normalement informé et raisonnablement attentif de comprendre que les produits ou services offerts proviennent non pas du titulaire de la marque renommée, mais d'un concurrent de celui-ci ; ou

    (ii) le concurrent-annonceur tire indûment profit de ce caractère distinctif ou de cette renommée (“parasitisme”). Ainsi, la Cour précise que l'usage d'une marque renommée dans le cadre du service AdWords permet à l'annonceur de se placer dans le sillage de cette marque. L’annonceur bénéficie alors du pouvoir d'attraction de la marque, de sa réputation et de son prestige, sans aucune compensation financière pour le titulaire de la marque. Le profit ainsi réalisé par l'annonceur doit donc être considéré comme indu.

Toutefois, le titulaire d’une marque renommée n’est pas habilité à interdire ce type de publicité si l'annonceur propose une alternative aux produits ou aux services du titulaire de la marque, et sous réserve de ne pas offrir une simple imitation de ces produits ou services, ne pas causer une dilution ou un ternissement et ne pas porter atteinte aux fonctions de la marque renommée. Un tel usage par le concurrent doit alors être considéré comme participant d'une concurrence saine et loyale.

En l’espèce, la CJUE a renvoyé l’affaire devant la juridiction britannique pour qu’elle apprécie si l'usage par M&S d'un signe identique à la marque Interflora constitue ou non un acte de contrefaçon, au regard des critères posés par la CJUE.


En conclusion, même si la CJUE reconnaît la possibilité pour un annonceur d’utiliser une marque concurrente comme mot-clé dans le cadre du référencement payant en ligne, il convient de rester prudent quant à la manière dont ce mot-clé sera utilisé dans le cadre de la campagne publicitaire de l’annonceur.

Ainsi, l'utilisation de la marque d’un concurrent ne sera pas contrefaisante à la double condition (i) de ne pas porter à confusion, c'est-à-dire de ne pas induire les consommateurs en erreur sur l'origine des produits ou des services visés dans la publicité commerciale, en leur faisant croire que ceux-ci proviennent du titulaire de la marque, et (ii) de respecter les conditions d'une concurrence “saine et loyale”. L'atteinte à la marque d'un concurrent s'apprécie donc au cas par cas.

* * * * * * * * * * *

(1) CJUE, 22 sept. 2011, aff. C-323-09, Interflora Inc., Interflora British Unit c/ Marks & Spencer plc, Flowers Direct Online Ltd.
(2) CJUE, Gr. ch., 23 mars 2010, aff. C- 236/08, C-237-08 et C-238-08, Google France et Inc. c/ Louis Vuitton Malletier SA, Viaticum SA, CNRRH et a.
(3) Article 5 §1 a) et §2 de la "Première directive 89/104/CEE du Conseil du 21 décembre 1988 rapprochant les législations des États membres sur les marques": Art. 5 - Droits conférés par la marque - §1 "La marque enregistrée confère à son titulaire un droit exclusif. Le titulaire est habilité à interdire à tout tiers, en l'absence de son consentement, de faire usage, dans la vie des affaires : a) d'un signe identique à la marque pour des produits ou des services identiques à ceux pour lesquels celle-ci est enregistrée (...)". §2 "Tout État membre peut également prescrire que le titulaire est habilité à interdire à tout tiers, en l'absence de son consentement, de faire usage dans la vie des affaires d'un signe identique ou similaire à la marque pour des produits ou des services qui ne sont pas similaires à ceux pour lesquels la marque est enregistrée, lorsque celle-ci jouit d'une renommée dans l'État membre et que l'usage du signe sans juste motif tire indument profit du caractère distinctif ou de la renommée de la marque ou leur porte préjudice".
Article 9 §1 a) du "Règlement (CE) n°40/94 du Conseil, du 20 décembre 1993, sur la marque communautaire" : Article 9 - Droit conféré par la marque communautaire - §1 "La marque communautaire confère à son titulaire un droit exclusif. Le titulaire est habilité à interdire à tout tiers, en l'absence de son consentement, de faire usage dans la vie des affaires: a) d'un signe identique à la marque communautaire pour des produits ou des services identiques à ceux pour lesquels celle-ci est enregistrée (...)".
(4) Il s'agit de la "fonction d'indication d'origine". D'autres fonctions ont depuis été rattachées et reconnues à la marque par la jurisprudence, telles que les fonctions de communication, d'investissement ou de publicité.
(5) La CJUE mentionne également la “fonction de publicité”, à savoir l'emploi d'une marque en tant qu'élément de promotion des ventes ou d’instrument de stratégie commerciale. En l'espèce, la CJUE considère qu'il n'y a pas atteinte à la fonction de publicité de la marque INTERFLORA : la sélection d'un signe identique à une marque d'autrui dans le cadre du service de référencement AdWords ne prive le titulaire de cette marque de la possibilité d'utiliser efficacement sa marque pour informer et persuader les consommateurs (ex: la visibilité des produits et services du titulaire de la marque est garantie par le référencement naturel gratuit).
Bénédicte DELEPORTE - Avocat
Betty SFEZ - Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Octobre 2011