Apple, l'Irlande et l'Europe : l’impôt, la donnée et le truand

Cet article en deux parties raconte l'évasion fiscale et légale par les grands acteurs du numérique dans l'Union Européenne : une politique explicite et connue qui provoque des remous dans les institutions européennes et nationales, tout en privant les citoyens de l'Union du droit à la protection des données.

Partie 1 : Pour une poignée de données

La réglementation des données à caractère personnel est unifiée sur le territoire de l'UE. A contrario, il n'existe pas de politique fiscale unitaire pour les pays membres. Et pourtant, qu'il existe un cadre légal unique ou non, ce sont des domaines où la compétition entre états membres est exacerbée.

Touche pas au Grisbi

Le 30 août 2016, la Commission européenne condamne Apple à verser 13 milliards d'euros au fisc irlandais. Et ce, car L'Irlande lui offrirait des avantages fiscaux provoquant des distorsions de concurrence significatives au sein de l'Union Européenne. L'affrontement oppose Margrethe Vestager, commissaire européenne à la concurrence, et une union en apparence baroque entre Apple et le gouvernement irlandais.

La décision est invalidée une première fois en 2020 par le Tribunal de Justice Européen, ce qui constitue une victoire retentissante pour Apple. La Commission européenne ayant fait appel, la décision finale n'est pas encore connue. Mais déjà ce jugement dit deux choses : d'abord, que certains pays sont prêts à assumer jusqu'au bout leur politique de dumping fiscal au sein de l'Europe au détriment de l'UE, et ensuite, que les institutions européennes sont en confrontation.

Deux visions de l'union s'opposent. Pour la première, les États doivent se comporter de manière compétitive — et donc proposer des avantages qui attireront les entreprises. La deuxième veut que l'union impose un cadre régulateur aux entreprises, et définisse clairement les règles de la bonne concurrence économique.

Mais la dispute va au-delà de la fiscalité. Car l'Irlande ne fait pas que permettre à Google, Apple, Meta, Microsoft, Adobe, Tiktok, ou encore Airbnb, de rapatrier leurs bénéfices en Europe, et ainsi d'échapper à l'impôt national dans les autres pays de l'UE. Elle leur offre également un passe-droit vis-à-vis de la régulation européenne.

L'Autorité de la Protection des Données Irlandaise, portier plutôt que vigile

Ce qui en apparence n'est qu'une aride saga de presse-papiers qui s'affrontent à coups de tampon s'avère en réalité d'une importance capitale pour la construction de l'Union. Car le droit à la protection des données personnelles de tous les citoyens de l'UE est désormais garanti ou non par le commissaire à la protection des données irlandais (Data Protection Commissionar, DPC).

La DPC dispose en effet d'un pouvoir de contrôle démesuré par rapport à ses homologues européens : cela est dû au mécanisme du « guichet unique », inscrit à l'article 4 du RGPD. Les autorités de protection des données sont dites « chef de file » pour les entreprises dont l'établissement se trouve sur leur territoire. Et c'est sous juridiction irlandaise que se place l'immense majorité des géants — notamment états-uniens — du numérique (seul Amazon a choisi un autre perchoir, très accommodant lui aussi : le Luxembourg).

Autrement dit, enquêtes et sanctions relatives aux données personnelles doivent être décidées par l'autorité irlandaise pour toute décision concernant directement les entreprises implantées sur son territoire. Par exemple, en septembre 2022, c'est la DPC qui prononce une amende de 405 millions d'euros à l'encontre d'Instagram, qui ne protégerait pas correctement les données des mineurs utilisant la plateforme.

Mais cette décision est un cache-misère : la DPC a sciemment décidé, dès l'implémentation du RGPD en mai 2018, d'éviter autant que possible de jouer son rôle de régulateur. Au point que quatre ans plus tard, en mai 2022, elle s'est vue offrir un Big Brother Award, prix décerné par l'ONG allemande Digitalcourage qui milite pour les droits des citoyens dans le monde numérique. La récompense salue :

« Un sabotage exhaustif de la loi européenne pour la protection des données. […] La Commission Irlandaise pour la Protection des Données empêche l'application de la loi établie — en délayant pendant des années, en refusant de facto de traiter les plaintes, avec des combines bureaucratiques, des coûts dissuasifs pour les plaignants, et en refusant de coopérer avec ses collègues européens. »

Le comité qui distribue les Big Brother Awards a pour mérite de dire les choses sans détour. Et la situation s'est envenimée au point que d'autres institutions européennes ont commencé à se positionner publiquement en critiquant l'action de la DPC : la commission LIBE du parlement européen, en charge des libertés civiles, entame une procédure pour infraction à l'encontre de la DPC en janvier 2021.

La présidente de la DPC, Helen Dixon, demande alors à être auditionnée — puis boycotte le rendez-vous lorsqu'elle apprend que deux associations seront de la partie : NOYB (None Of Your Business, « Ce ne sont pas vos Affaires »), et l'ICCL (Irish Council for Civil Liberties, « Conseil irlandais Pour les Libertés Civiles »). Car depuis des années, ces deux associations essaient de colmater les trous béants dans la défense des droits des citoyens européens causés par l'inaction de la DPC.

La situation à cet égard est donc pire depuis l'entrée du RGPD. Les agences nationales de protection des données sont obligées de trouver des manœuvres pour contourner le « guichet unique » et procéder à des actions importantes, telle l'interdiction d'usage de Google Analytics pour les sites opérant en UE. Google Analytics est un script développé pour la mesure d'audience et mis gratuitement à disposition des sites qui le souhaitent. C'est aussi un excellent moyen de pister les internautes sur les pages web et de retracer leur navigation.

Publiée en janvier 2022, cette décision prise par l'autorité autrichienne de protection des données fait suite à une plainte de NOYB, qui contournait le problème en ne s'attaquant pas directement à Google Irlande, mais à Google LLC, le siège social de l'entreprise aux États-Unis. La CNIL réagit à son tour dès le mois suivant, en produisant une injonction à se mettre en conformité à deux sites français. Puis ce sera le tour de l'autorité italienne en juillet 2022.

Le droit bafoué des citoyens européens : qui colmate la brèche ?

L'affaire Google Analytics, qui peut être présentée comme une victoire, est aussi l'illustration du chemin de croix qu'est devenue la mise en application du RGPD. Car cette décision porte en particulier sur l'interdiction de transfert des données des citoyens européens vers les États-Unis, actée à deux reprises déjà.

Les arrêts Schrems I et II de la Cour de justice européenne, du nom du fondateur de NOYB, Max Schrems, ont déterminé en effet que le droit américain n'offre pas de protection équivalente à celle que garantit l'UE, notamment en termes de siphonnage des données personnelles par les agences de renseignement américaines.

Il n'existe donc pas de cadre légal pour transférer les données des citoyens européens vers les États-Unis. Et cependant, à la manière d'une anguille, Google échappe encore à la loi européenne, ayant choisi cette fois de s'abriter derrière des « clauses de contrat standard » afin de poursuivre ces transferts de données. Ces méthodes ne sont possibles qu'avec la passivité complice de la DPC — qui avait laissé traîner les plaintes s'attaquant à Google Ireland, et avait passablement irrité d'autres agences de protection des données.

Lorsqu'on l'interroge sur la bonne entente et la coopération entre autorités européennes, Andrea Jelinek, présidente de l'agence autrichienne et de l'EDPB (European Data Protection Board, Comité Européen de la Protection des Données), donne le change. Elle dit, dans une interview à Netzpolitik, média autrichien, en août 2022 :

« Je ne voudrais pas que la discussion dans les médias se répercute sur la discussion au sein de la commission […] Dans la majorité des cas, nous avons une très bonne coopération transfrontalière, qui ne pose pas de problème. Dans quelques cas, le mécanisme de règlement des litiges est déclenché ».

Et lorsqu'on l'interroge sur les reproches qu'a pu faire Ulrich Kleber, le délégué fédéral allemand à la protection des données, à Helen Dixon, elle insiste :

« Je n'ai pas cette impression. […] Bien sûr, ce n'est pas toujours facile, mais qu'est-ce qui est facile dans un comité de 30 ou 31 responsables ? Il est important d'aborder les choses, d'en discuter et de parvenir à une décision. Je pense que nous y parvenons plutôt bien ».

Des affirmations battues en brèche par les organisateurs du Big Brother Award, qui expliquent que Mme Dixon n'est quasiment jamais présente aux réunions entre autorités européennes :

« Les requêtes par courriel des collègues autrichiens ou allemands restent souvent sans réponse, leurs appels téléphoniques également. Les membres des autres autorités de protection ont tendance à être “ghostés”, c'est-à-dire ignorés complètement par leurs homologues irlandais, les dossiers ne sont pas partagés avec les collègues européens. La Commission irlandaise de Protection des données se comporte comme un trou noir. »

De ces deux versions, une seule est vraie. Et il est probable que ce soit la deuxième, car les critiques répétées à l'égard de la DPC viennent d'institutions qui n'ont pas pour habitude de régler leurs comptes publiquement. Plus parlant encore, le gouvernement irlandais, qui par la voix de son Premier ministre Micheál Martin, défendait bec et ongles Mme Dixon jusqu'en février 2022, a été obligé de céder à une demande formulée entre autres par l'ICCL. L'autorité irlandaise aura désormais à sa tête un triumvirat, annonce la ministre de la Justice en juillet 2022 : deux autres commissaires seront nommés avec les mêmes pouvoirs que Mme Dixon prochainement.

Ce fossé créé par l'absence d'application du RGPD est comblé tant bien que mal par des ONG qui se lancent dans des escarmouches légales pendant des années : l'ICCL et NOYB que nous avons déjà cités sont parmi les plus actives et les plus connues.

La Quadrature du net a elle aussi eu maille à partir avec la DPC. L'association, qui avait déposé des plaintes auprès de l'agence irlandaise contre Apple, Google et Microsoft, écrit, dans un billet publié en mai 2021 : « Il est inadmissible que la DPC ait permis à Apple de prendre 2 ans pour vérifier un simple identifiant. Si nous lui donnions un nouvel identifiant, nous n’avons aucune raison de penser que celui-ci ne sera pas vérifié dans 2 ans, lui aussi. La CNIL cautionne-t-elle cette façon de faire de la part de la DPC et d’Apple ? ». Cette plainte, déposée le jour de l'entrée en vigueur du RGPD, concerne un « un méga-cookie permettant de tracer chaque utilisateur […] sans notre consentement explicite, ce qui est illégal ». Elle est à ce jour dans les limbes.

C'est un sujet dont l'urgence politique est de premier plan, et on ne s'y intéresse que trop peu. Que veulent dire l'absence de contrôle des GAFAM et leur mépris du RGPD ? En pratique, cela revient à entériner une attitude prédatrice à l'égard des utilisateurs. Les démonstrations s'accumulent : en voici une des plus récentes, qui ramasse tous les symptômes déjà connus. L'ONG Consumer Reports, publie en septembre 2022 un rapport, le dernier d'une longue lignée, qui détaille l'une des méthodes de pistage de TikTok sur internet :

« Presque tous les sites web que vous visitez collectent de l'information et l'envoient à la machinerie d'analyse des données de l'industrie de la technologie, où elle sert à la publicité en ligne […] Une enquête Consumer Reports montre que TikTok, l'une des applis les plus populaires du pays [les États-Unis], établit des partenariats avec un nombre croissant d'entreprises pour aspirer des données d'internautes qui utilisent le réseau. »

Ce rapport établit que TikTok fait usage de la technique dite des « pixels invisibles », collecte les adresses IP, les clics, recherches, requêtes des utilisateurs, et leur attribue un identifiant unique. Rien de véritablement nouveau, sinon que TikTok est en train de devenir un acteur du calibre de Google ou Meta en termes de traçage des individus lors de leur navigation sur internet (l'application est très controversée pour ses politiques encore plus invasives que les GAFAM).

Le discours critique sur le numérique se concentre notamment sur la mise en orbite d'un régime de surveillance constante, dont le RGPD et les agences de protection des données sont, sur le papier, une première ligne de défense pour le citoyen. Citons le journaliste Thibaut Prévost. Il décrit dans sa récente chronique pour Arrêt Sur Images (« Courage, rêvons ! », septembre 2022) un panorama qui génère chez lui autant de lassitude que de colère :

« Ce ne sont pas les sujets qui manquent. J'en ai même tout un dossier, là, sur mon bureau virtuel. Des colères thématiques, rangées en colonnes, prêtes à se transmuter en interminables pavés de texte. […] J'étais déjà bouillant à l'idée d'écrire sur Ring Nation, la future télé-réalité produite par Amazon et composée uniquement d'images de caméras de surveillance connectées Ring… que possède et vend Amazon. […] Le capitalisme de plateforme vomit chaque jour une marée d'immondices sur les rives de nos attentions, et ramasser les plus brillants pour vous les mettre sous le nez m'a soudain semblé une activité profondément puérile. »

Car la lutte contre les dominants du monde numérique est à bien des égards inégale, et d'autant plus lorsque les institutions créées pour défendre les intérêts des citoyens européens se retrouvent à protéger les multinationales qui les espionnent. Ce processus, une fois complété, est désigné sous le terme de « capture du régulateur » : c'est le cas de la DPC. Mais cette institution n'est pas autonome ; elle est tributaire d'un système politique plus large, que l'on comprend beaucoup mieux en faisant un détour par la politique fiscale irlandaise et les rapports de force en Europe autour de la taxation, qui seront développés dans la deuxième partie de cet article.

Découvrez la suite de cette analyse la semaine prochaine…

Photo d'ouverture : Enseigne Apple à l'extérieur d'un magasin, Belfast, Irlande du Nord, Octobre 2014 - brunocoelho - @Shutterstock

Signaler une erreur

Économie Banque - Finance Paradis fiscaux Souveraineté Souveraineté Numérique Article Europe