Google écope une amende de 4,37 milliards d’euros pour pratiques anticoncurrentielles

Data

Suite à une première amende record reçue en juin dernier, Google s’apprête à payer à nouveau un montant record de plusieurs milliards d’euros à la Commission européenne.

Google

Une amende record pour le géant Google

L’Union-Européenne a décidé mercredi 18 juillet 2018 d’infliger à la firme californienne une amende de 4,34 milliards d’euros pour le motif d’avoir abusé de sa position dominante avec Android pour asseoir un peu plus encore son hégémonie avec son moteur de recherche. La Commission européenne a également demandé à Google de cesser ses activités illégales dans les 90 jours sous peine de se voir infliger de nouvelles amendes pouvant aller jusqu’à 5% du chiffre d’affaires journalier moyen mondial.
Cette amende, ainsi que celle infligée en juin (2,4 milliards d’euros pour les pratiques de Google avec son outils Shopping) sont les sanctions les plus lourdes jamais infligées par la Commission européenne.

Des pratiques anti-concurrentielles à répétition

Cette sanction serait le résultat de pratiques jugées anti-concurrentielles en Europe de l’entreprise américaine quant à la mise à disposition d’Android, le système d’exploitation mobile qui détient 80% de parts de marché en Europe (ainsi que dans le monde). Cette amende est destinée à punir Google qui aurait abusé de la position dominante de son système d’exploitation pour maintenir sa suprématie dans le très rentable secteur de la recherche en ligne.

Depuis 2011 Google impose des restrictions illégales aux fabricants de terminaux Android et aux opérateurs de réseaux mobiles pour accentuer sa position dominante sur les moteurs de recherche. L’entreprise américaine a été reconnue coupable de profiter de la position dominante de son système d’exploitation Android (80% de parts de marché e Europe) pour convaincre ses clients d’utiliser ses applications dont Google Search en particulier.

Google aurait demandé aux fabricants de préinstaller l’application de recherche Google et le navigateur Chrome. Le géant américain aurait également payé certains grands fabricants et opérateurs de réseaux mobiles pour qu’ils préinstallent exclusivement l’application Recherche Google sur leurs appareils.

Les soucis de la firme américaine ne s’arrêtent pas là

La mésentente entre Google et l’Union Européenne est loin d’être terminée puisque les pratiques publicitaires de Google sont examinées par les autorités européennes. La Commission européenne reproche à Google d’abuser de sa position dominante avec sa régie publicitaire Adsense depuis le 14 juillet 2016 qui s’adjuge 80% du marché de la publicité Display en ligne en Europe.

L’intelligence artificielle au service de la conformité RGPD ?

Data Intelligence artificielle RGPD

Avec l’intelligence artificielle, certaines entreprises voudraient pouvoir industrialiser les phases d’identification et de classification des données personnelles. Le but étant de gagner du temps et de l’efficacité en automatisant ce processus.

l’intelligence artificielle

L’intelligence artificielle peut correspondre à une réponse pour certaines entreprises face aux exigences du règlement européen sur la protection des données personnelles. L’analyse faite par l’IA permet de prendre en charge l’étape essentielle d’identification et de classification des données personnelles. Les organisations sont censées avoir mis en place un dossier global réunissant l’ensemble des données soumises au RGPD (données structurées mais aussi celles dans le cloud, les logs et adresses IP).

Faire un inventaire des données sensibles en entreprise grâce à l’intelligence artificielle

L’intelligence artificielle permet de cartographier précisément les données à caractère personnel traitées par l’entreprise telles que des adresses postales ou bien les données sensibles telles qu’un numéro de carte bancaire. Utiliser un traitement manuel peut rapidement montrer ses limites lorsqu’il y a d’énormes quantités de données à traiter. Il est donc nécessaire pour les entreprises dont cela est le cas de passer par une phase d’industrialisation.

Cogito, une solution d’intelligence artificielle est capable de comprendre deux millions de termes. Cette base est amenée à s’enrichir de glossaires spécialisés afin que le moteur de recherche s’approprie les mots spécifiques inhérents à une entreprise, à ses métiers et son secteur d’activité. Cependant, la compréhension des termes ne suffit pas, il est également impératif d’établir les relations qui les lient entre eux en les restituant dans le contexte d’une phrase. L’assimilation du sens d’un texte permet de réduire les ambiguïtés.

Mettre en place des techniques d’anonymisation ou de pseudonymisation

Une fois que les données sensibles ont été identifiées, il est nécessaire d’appliquer une technique de masquage de données. Cela peut passer par l’anonymisation ou bien la pseudonymisation. Ce choix revient à l’entreprise qui peut préférer l’anonymisation si elle stocke ses données dans le cloud ou bien la pseudonymisation si elle souhaite reconstituer ses données ultérieurement. Plus de détails sur l’anonymisation et la pseudonymisation dans le blog du 13/06/2018 « Anonymisation ou pseudonymisation des données ? ».

L’intelligence artificielle peut avoir d’autres usages comme par exemple l’interdiction de saisie de termes prohibés dans les champs texte ou les zones de commentaire des applications d’entreprise de type CRM ou ERP. Ce qui éviterait l’enregistrement d’informations liées à la santé, aux opinions politiques ou religieuses d’un individu qui seraient contraire au règlement.

Il a également été possible de développer un chatbot qui évalue le niveau de maturité d’une organisation sur le sujet du RGPD tout en lui prodiguant des conseils pour progresser sur le chemin de la conformité.

Les États-Unis votent le Cloud Act

Cloud Data Microsoft RGPD Sécurité

Il y a peu, le gouvernement américain a voté le Cloud Act. Une loi visant à combler un vide juridique concernant la réquisition de données dans le cloud. Le texte suscite beaucoup de réactions car il renforce le pouvoir des autorités américaines sur les opérateurs de cloud computing.

 Cloud Act

L’objectif du Cloud Act est d’éclaircir les règles concernant la réquisition des autorités américaines sur les données stockées en dehors de leur territoire. La nouvelle loi pose cependant des difficultés en termes de respect de vie privée, en particulier pour les citoyens européens avec l’arrivée récente du RGPD. Le texte est le résultat d’un désaccord entre la firme de Redmond, Microsoft et les autorités de son pays pour des questions de demande de divulgation de données extraterritoriales. 

L’affaire Microsoft à la base du Cloud Act 

En 2013, dans le cadre d’une enquête sur une affaire criminelle, l’administration américaine a demandé à Microsoft de lui communiquer des données stockées dans ses serveurs. Du fait qu’elles étaient stockées dans un serveur installé en Irlande et non-pas aux Etats-Unis, Microsoft a refusé de divulguer ces données. Cependant, l’administration américaine considère que du fait que la société soit américaine, elle doit lui communiquer les données demandées où qu’elles se trouvent dans le monde. 

L’affaire est remontée en justice qui a donné raison à Microsoft, les autorités américaines ont ensuite fait appel et attendu l’adoption du Cloud Act. Il est donc fort probable que Microsoft communique au gouvernement les données dont ils ont besoin. 

Le Cloud Act permet aux autorités américaines de négocier des accords bilatéraux avec d’autres gouvernements pour échange d’information sans avoir à passer par un juge pour validation. Pour entrer en action, chaque demande doit être liée à une enquête criminelle et doit cibler un élément ou une personne en particulier. De plus, les données récupérées ne pourront pas servir à une autre enquête par la suite. 

Un texte de loi qui fait débat 

Le texte a été adopté en même temps que l’accord sur le budget, un texte long de deux mille pages, le Cloud Act était annexé comme un petit projet de loi d’une trentaine de pages. Les deux n’ont rien en commun, ainsi, le projet de loi du Cloud Act a été voté sans encombre alors qu’il aurait pu susciter maintes critiques et oppositions.  

Le Cloud Act ne fait pas l’unanimité et a suscité de nombreuses réactions. Maintenant voté, les plaintes contre cette loi se font entendre. Notamment de la part des associations American Civil Liberties Union (ACLU) et Electronic Frontier Fondation (EFF) du fait de l’absence de juge dans la procédure entre les exécutifs des deux pays. 

La loi risque donc de créer certains conflits dans les mois à venir au vu des avis partagés qu’elle engendre ainsi que de l’entrée en vigueur du RGPD le 25 mais dernier.

Anonymisation ou pseudonymisation des données ?

Data RGPD

En ce qui concerne la protection des données, il existe deux méthodes à évaluer en vue du RGPD. L’anonymisation qui permet une sécurisation accrue et la pseudonymisation qui offre davantage de souplesse.

anonymisation et pseudonymisation

Avec le RGPD, toutes les entreprises sont confrontées à la sécurisation des données. Le texte de loi préconise certaines techniques pour protéger les données des citoyens européens notamment l’anonymisation et la pseudonymisation.

L’anonymisation est un procédé définitif qui consiste à changer le contenu ou la structure même des données. Toutes les informations qui permettent d’identifier directement ou indirectement des personnes sont supprimées ou modifiées. Cela rend normalement impossible toute réidentification. Sur le papier, l’anonymisation présente un niveau de protection optimal.

Des risques de réidentification par recoupement

Bien qu’Intéressante au départ, cette méthode reste très difficile à mettre en place. En effet, plus le volume de données est important, plus les risques de réidentification par recoupement sont élevés. Des informations totalement anonymisées peuvent amener à l’identification d’une personne en fonction des informations relevées qui permettent de déduire le comportement, comme les habitudes de navigation sur internet ou bien les historiques d’achats en ligne.

Le recoupement de deux collectes peut faire apparaître des données sensibles, ou bien réidentifier des individus dont les données avaient été pourtant anonymisées.

Il est donc conseillé pour les responsables de traitement utilisant des solutions d’anonymisation d’effectuer une veille régulière pour préserver, dans le temps, le caractère anonyme des données produites. Une anonymisation, garantie à un jour donné, n’étant pas nécessairement assurée dans la durée à l’heure du big data et de l’intelligence artificielle.

Une bonne solution d’anonymisation doit reposer sur trois critères : l’individualisation (est-il toujours possible d’isoler un individu ?), la corrélation (est-il possible de relier entre eux des ensembles de données distincts concernant un même individu ?) et l’inférence (peut-on déduire de l’information sur un individu ?).

L’alternative de la pseudonymisation

L’anonymisation présente certains désavantages. Cependant, elle peut être substituée par une autre solution appelée la pseudonymisation. Il s’agit d’un processus non définitif qui consiste à remplacer un attribut par un autre au sein d’un enregistrement. La pseudonymisation est une technique privilégiée dans les projets où l’identité d’un individu n’est pas essentielle.

Le RGPD fait à plusieurs reprises allusion à la pseudonymisation. En effet, dans son article 25, le règlement cite explicitement la pseudonymisation parmi les mesures techniques et organisationnelles recommandées pour la protection des données à mettre en place le responsable de traitement. Plus simple à mettre en œuvre que l’anonymisation, la pseudonymisation permet de se conformer aux nouveaux principes de protection dès la conception (privacy by design) et de protection par défaut (privacy by default).

Microsoft ouvre 4 data centers en France

Cloud Data Microsoft

Microsoft a officialisé le 14 mars dernier l’ouverture de quatre data centers en France. Trois d’entre eux sont situés en région parisienne et le quatrième en région marseillaise. Cette inauguration appuie la décision de Microsoft de s’installer durablement dans le paysage numérique français. Avec ces nouveaux data centers, Microsoft renforce son offre cloud, la plus importante du marché en France (qui comprends Azure, Office 365 et Dynamics 365). 

Microsoft

Le cloud selon Microsoft : 

  • L’offre la plus importante du marché, avec 50 régions Azure dans le monde dont 2 en France 
  • L’activité cloud de Microsoft pèse aujourd’hui plus de 20 milliards de dollars dans son CA 
  • 80% des entreprises du CAC40 utilisent Office 365 
  • 50% des abonnés Office 365 travaillent au sein de TPE, PME ou TPI 

Déployer un environnement numérique sûr  

Microsoft a pour intention de créer un environnement numérique sécurisé sur le marché français. Cela passe par la mise en œuvre d’un cloud fiable et respectueux de la vie privée de ses clients. Ce qui se confirme avec l’obtention de la certification ISO 27018 qui fait de Microsoft le premier fournisseur majeur de cloud à se conformer à la première norme ISO internationale en matière de respect de la vie privée. Microsoft assure que son offre répondra aux besoins de tous ses types de clients qu’ils soient grands comptes ou bien PME.  

La présence des data centers en France change la donne en terme de sécurité puisqu’elles sont désormais placées sous la juridiction française. De plus, les clients français déjà abonnés à office 365 pourront faire transférer leurs données vers les data centers français s’ils le souhaitent. 

Cette offre française bénéficiera des mêmes garanties que pour toutes les autres régions du monde à savoir : 

  • La certification ISO 27001 
  • L’adoption des clauses contractuelles types définies par l’U-E 
  • Une conformité totale avec les directives du RGPD 
  • Une entière transparence avec les clients de Microsoft France sur ses engagements contractuels 
  • La reconnaissance du G29 sur le niveau élevé de protection de la vie privée des services cloud Microsoft 

Une nouvelle ère pour office 365 et Azure en France 

Avec l’ouverture de ces quatre data centers, Microsoft propose l’offre de cloud la plus aboutie depuis la France que ce soit en termes de plateformes, d’infrastructures et de services. Microsoft a tenu à proposer Azure et Office 365 dès l’ouverture des data centers et deviens donc le seul acteur à mettre à disposition depuis la France une offre cloud intégrant des outils de collaboration et de productivité. 

Grâce à cette nouvelle offre, Microsoft a pu convaincre de nouveaux clients qui cherchaient à repenser leurs méthodes de travail mais a également pu conquérir de nouveaux segments de marchés jusqu’à présent inatteignables. En effet, avec la Centrale d’Achat Informatique Hospitalière, Microsoft met un pied dans le secteur de la santé en France. Ce nouveau client en pleine transformation numérique à choisi Office 365 avant tout afin de pouvoir proposer à ses adhérents l’hébergement de leurs données en France. Ce point a été déterminant pour la Centrale d’Achat Hospitalière pour qui la sécurisation des données est primordiale.  

De plus, Microsoft a pu obtenir l’agrément « données de santé » avec l’add-in Medimail pour Office 365. Cet add-in permet dorénavant aux professionnels de santé d’échanger des mails depuis leur messagerie Outlook tout en respectant la réglementation en matière de sécurité et d’intégrité des données médicales confidentielles. 

Grâce à ce nouvel investissement, Microsoft s’engage sur le territoire français comme partenaire privilégié de la transformation numérique de ses clients et partenaires.