Tabou Contacté cette semaine, le Service des médias et communications applique un mutisme malaisé lorsqu’on l’interroge sur la poursuite des relations avec Amazon après la sanction prononcée par la Commission nationale pour la protection des données (CNPD) à l’encontre du géant du e-commerce. L’autorité qui supervise le traitement des données personnelles a tapé fort le 15 juillet dernier en enjoignant sa filiale Amazon Europe Core de payer 746 millions d’euros d’amende pour avoir dérogé au règlement européen sur la protection des données (RGPD). Au pays des chemins courts, cette punition record place l’administration dans ses petits souliers. La proximité avec les entreprises étrangères, notamment américaines, est un argument de vente du Standort. Elle s’est matérialisée dans les années 1960 avec Dupont De Nemours. Puis les banques de l’Oncle Sam (J.P. Morgan, State Street, Citi ou BNY Mellon). Elle s’est poursuivie dans les années 2000 avec les entreprises américaines du web. L’ancien chief tax officer d’Amazon, Robert D. Comfort, a déjà détaillé (d’Land, 22.08.2014) la collaboration de son équipe avec l’ancien administrateur général du ministère des Finances Gaston Reinesch et l’ancien directeur du service médias, audiovisuel et société de l’information (ancêtre du SMC) Jean-Paul Zens. Amazon s’était installée au Luxembourg en 2003 parce que le groupe en voie d’internationalisation avait la garantie du soutien gouvernemental pour y développer sa base européenne. « Nous avons aussi rencontré le Premier ministre (Jean-Claude Juncker, ndlr) une ou deux fois. Son message était : Si vous rencontrez un problème que vous pensez ne pas pouvoir résoudre, revenez me voir. J’essayerai de vous aider », se remémore le fiscaliste. Une poignée d’Amazoniens avaient débarqué au tournant du millénaire. Ils sont presque 3 000 aujourd’hui.
C’est donc une entreprise systémique, l’un des plus gros employeurs nationaux et un symbole du Luxembourg siège des géants du web sur le Vieux Continent, que le régulateur a sanctionné. Même si son collège décisionnaire est proposé par le gouvernement (et donc le Premier ministre et ministre des Communications), la CNPD est formellement indépendante et apolitique. Aux États-Unis, les présidents des instances de régulation comme la Federal Communications Commission sautent à chaque alternance à la Maison Blanche. Les Américains soupçonnent ainsi facilement les régulateurs européens de faire de la politique quand ils sanctionnent leurs champions. Preuve en a été la campagne de dénigrement lancée contre Margrethe Vestager après que la commissaire à la Concurrence a condamné Google en 2017 à hauteur de 2,7 milliards de dollars. Dans une communication des plus opaques, la CNPD se réfugie promptement derrière le mécanisme européen de coopération et de cohérence pour souligner le caractère supranational de sa décision de juillet… une décision dont elle n’aurait d’ailleurs fait aucune publicité si Amazon n’y avait fait référence dans son rapport trimestriel. Le groupe basé à Seattle croit la décision « without merit ». « We intend to defend ourselves vigorously in this matter », poursuit la société de Jeff Bezos, laquelle emploie exactement les mêmes éléments de langage quand elle est prise la main dans le pot de miel. Amazon a trois mois pour contester devant le tribunal administratif. Dans un communiqué diffusé le 30 juillet, le groupe a manifesté le souhait de faire appel de celle-ci. « La décision, relative à la manière dont nous présentons aux clients des publicités pertinentes, repose sur des interprétations subjectives et non éprouvées », a partagé un porte-parole du groupe qui juge en outre l’amende « totalement disproportionnée ». Comme le souligne Bloomberg, le RGPD permet au régulateur de réclamer jusqu’à quatre pour cent des ventes globales de la société incriminée. Sur base de ses comptes 2020 publiés Amazon Europe Core a réalisé 10,3 milliards d’euros de chiffre d’affaires (sur cette base l’amende maximale se serait élevé à 412 millions d’euros).
Incroyable La CNPD se cache aussi derrière des lois nationales pour ne pas publier ladite sanction, même anonymisée. (Alors que d’autres amendes pour non-respect du RGPD figurent sur la page « décisions » : de 1 à 33 une seule manque, la 26, dont on conclut évidemment qu’elle vise Amazon.) Dans un courrier de la Cnil, le régulateur français informe qu’Amazon est notamment condamnée pour des ciblages publicitaires abusifs, un manque de transparence de ses traitements et trop peu d’accès accordé aux utilisateurs à leurs données stockées. L’injonction de mise en conformité est assortie d’une astreinte de 746 000 euros pour chaque jour de retard. La Quadrature du net, organisation à l’origine de la réclamation contre Amazon, se félicite de « la posture exemplaire de l’autorité luxembourgeoise ». Cette association de défense des libertés fondamentales dans l’environnement numérique parle de « sanction historique » intervenue au Luxembourg (« qui l’eut cru ! » (sic)) qui « frappe au cœur le système de prédation des Gafam » (Google, Amazon, Facebook, Apple et Microsoft).
Cette amende de la CNPD constitue de loin le record européen en matière de protection des données. D’aucuns prétendent que le Luxembourg jouait ici sa crédibilité en matière de régulation. Un sacré retour de manivelle. À tous les niveaux durant les deux dernières décennies, des ministres (Communications, Finances, Économie, Justice) à leurs fonctionnaires, le gouvernement a choyé ces entreprises internationales du web implantées localement. Des arrangements fiscaux aux visites de courtoisie, la presse internationale s’est régulièrement étonnée d’une telle proximité. Dès 2012, l’agence Reuters détaillait un « Amazon’s billion-dollar tax shield » et remarquait à cette occasion la présence de plusieurs ministres, dont celui des Finances, Luc Frieden, à l’inauguration du siège de Clausen alors qu’Amazon ne comptait alors que 300 employés ici. Idem pour la Süddeutsche Zeitung qui citait l’élu CSV : « Amazon ist ein guter Steuerzahler ». Le même Luc Frieden s’était rendu en mars 2013 à Seattle pour rapporter aux dirigeants d’Amazon les discussions menées à l’OCDE au sujet de la fiscalité des géants du numérique (d’Land, 24.11.2017). Dans l’administration gouvernementale, on défend la « cross-fertilization » permise au cours des deux dernières décennies par la présence de grands groupes internationaux de la tech’, notamment le développement d’une infrastructure de qualité et de compétences techniques à la page. Des réunions sont organisées selon les besoins : les aides à l’innovation auprès du ministère de l’Économie ou les préoccupations réglementaires auprès de ceux des Communications ou de la Justice. The Amazonians and Co font valoir leurs arguments auprès de fonctionnaires d’un État qui chérit l’accès à un marché européen intégré depuis le Luxembourg, en vertu du principe du pays d’origine. Celui-ci constitue la pierre angulaire de l’économie nationale puisqu’il assure aux sociétés opérant depuis le Grand-Duché d’exporter leurs services en Europe sur base du droit luxembourgeois (concept qui a par exemple scellé le succès de RTL). Le « PPO » s’oppose au principe du pays de destination qui tend à appliquer le droit du pays du consommateur… lequel plaît davantage aux grands États comme l’Allemagne ou la France où l’on voit d’un mauvais œil les petites juridictions qui piratent le marché européen.
Wild Wild Web Après avoir sillonné la côte ouest des États-Unis en mode business development à la recherche de pépites, tels des pionniers en quête d’un eldorado économique, puis soigné leurs relations avec les multinationales en devenir une fois qu’elles avaient posé le pied au Grand-Duché (Paypal, eBay ou Amazon), les émissaires gouvernementaux se retrouvent, aux côtés de leurs homologues européens, à définir un cadre réglementaire pour juguler l’expansion sauvage des Big Tech. Dans Unlawful Content Online : Towards a New Regulatory Framework for Online Platforms, Carsten Ullrich, 53 ans, pointe du doigt la toute-puissance des grandes plateformes numériques, en matière commerciale ou en termes de diffusion de contenu. Dans cet ouvrage tiré de sa thèse (reconnue meilleure thèse luxembourgeoise de 2020 avec la remise en juillet du prix Rolf Tarrach) et paru ce mois-ci, cet ancien responsable conformité chez Amazon à Luxembourg, souligne aussi la sous-régulation de cette « nouvelle sphère publique » encadrée par des textes votés en 2000. Cette année-là, « internet n’était pas très développé et nous voulions soutenir le développement de ces sociétés. Nous leur avons octroyé de nombreuses exemptions en matière de régulation. C’était la bonne manière de faire car elles ne pouvaient alors pas se consacrer à la surveillance outre mesure », détaille l’universitaire reparti dans le privé le mois dernier (il travaille maintenant pour la plateforme de vêtements d’occasion Vinted, à un poste conformité).
Le RGPD, voté en 2016 et d’application depuis 2018 (sous forme de règlement et exécutoire dans tous les pays de l’UE sans nécessité de légiférer) couvre la gestion des données personnelles et s’étend de facto aux Gafam (depuis 2018). Les règlements Digital Services Act (DSA) et Digital Markets Act (DMA), présentés par la Commission en décembre dernier et discutés en ce moment au Parlement et au Conseil européens, visent plus précisément lesdites plateformes et complèteront la directive e-commerce de 2000. Rencontré lundi dans les locaux de l’université où il a travaillé sur son PhD cinq ans durant, Carsten Ullrich explique qu’il s’intéresse lui particulièrement aux contenus illicites comme les discours de haine ou la marchandise contrefaite et non-conforme aux normes de sécurité, des problématiques rencontrées au cours de son expérience professionnelle et couvertes par le digital package. L’expert, consulté dans le cadre des discussions techniques au niveau européen, prône un cadre normatif développé par l’industrie (« process-orientated » avec un risk assessment pour responsabiliser la plateforme) dont la bonne application est surveillée par une instance. Au cours de ses recherches, il a constaté la pertinence du principe du pays d’origine, notamment pour assurer une sécurité juridique aux entreprises quand elles vendent leurs services à l’étranger. « Mais on a vu que dans le secteur des plateformes digitales, leur concentration dans un même pays peut générer des problèmes par manque de capacités pour bien faire exécuter les règles, notamment dans les petits pays. » Il cite principalement l’Irlande, mais reconnaît aussi que l’Ilnas (l’institut qui contrôle les normes qualité des produits et services) « has a lot on its plate ». Mais depuis fin juillet, la pression est sur le pays du shamrock. La Quadrature du net juge ainsi que la sanction luxembourgeoise rend « encore plus flagrante la démission généralisée de l’autorité irlandaise de protection des données qui, en trois ans, n’a été capable de clore aucune des quatre autres plaintes que nous avions engagées contre Facebook, Apple, Microsoft et Google ». Elle renforce en outre la position du Luxembourg à Bruxelles qui défend l’inscription du principe du pays d’origine dans le dossier DSA face aux grands États qui l’érodent à coups d’exemptions, fragmentant de fait le marché intérieur.