Cookies et consentement des internautes : les leçons à tirer des récentes sanctions de la Cnil

En décembre 2021 et en décembre 2022, la Cnil a sanctionné Google, Facebook, TikTok, Apple, Microsoft et Voodoo d’une amende allant de 3 millions à 90 millions d’euros. Il leur est reproché de ne pas faciliter aux internautes le refus des cookies publicitaires aussi facilement que leur acceptation.

Par Vanessa Bouchara et Florian Viel, cabinet Bouchara Avocats

Pour la seconde année consécutive, le mois de décembre aura été riche en décisions rendues par la Commission nationale de l’informatique et des libertés (Cnil) sur la thématique de la gestion des cookies. Alors que le mois de décembre 2021 voyait le gendarme de la protection des données personnelles et de la vie privée prononcer des sanctions administratives contre Google (1) et Facebook (2), ce sont en décembre 2022 les sociétés TikTok (3), Apple (4), Microsoft (5) et Voodoo (6) qui ont fait à leur tour l’objet de sanctions pour des manquements à loi française « Informatique et Libertés » dans le cadre de la gestion de leurs cookies.

Pas de consentement, pas de cookies
Google a eu une amende de 90 millions d’euros, Facebook de 60 millions d’euros, TikTok de 5 millions d’euros, Apple de 8 millions d’euros, Microsoft de 60 millions d’euros et Voodoo de 3 millions d’euros. Il ressort de toutes ces décisions deux principaux manquements récurrents que tout éditeur de site Internet ou d’application mobile devrait appréhender afin de les éviter.
Comme le rappelle la Cnil dans l’ensemble de ces décisions, « tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : 1° de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; 2° des moyens dont il dispose pour s’y opposer » (7). Se faisant, ces accès ou inscriptions – via l’utilisation de traceurs – ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement. Par exception à ce qui précède, il est prévu deux cas spécifiques dans lesquels certains traceurs bénéficient d’une exemption au consentement : soit lorsque ceux-ci ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique, soit lorsqu’ils sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur (8). Ainsi, afin de déterminer si l’utilisation de cookies nécessite le recueil préalable du consentement de l’abonné ou de l’utilisateur, l’éditeur du site en ligne ou de l’application mobile doit déterminer si l’ensemble des finalités associées à ces cookies sont exemptées ou non de consentement. Comme le souligne expressément la Cnil dans ses décisions à l’encontre de respectivement Apple et de Microsoft, à l’appui de ses lignes directrices du 17 septembre 2020 (9), l’utilisation d’un même traceur pour plusieurs finalités, dont certaines n’entrent pas dans le cadre de ces exemptions, nécessite de recueillir préalablement le consentement des personnes concernées. Sans consentement, l’éditeur du service en ligne devra alors s’abstenir d’utiliser ce cookie pour la finalité non exemptée de consentement.
En effet, en considérant que les éventuelles différentes finalités fonctionnelles et non fonctionnelles d’un même cookie sont indissociables les unes des autres, l’utilisation de cette catégorie de traceurs reviendrait alors à détourner les dispositions de la loi « Informatique et Libertés » puisque le consentement de l’utilisateur ne serait plus jamais sollicité préalablement au dépôt de cookies. Par extension à ce qui précède et comme le remarque la Cnil dans sa décision à l’encontre de la société Voodoo, le refus exprès d’un utilisateur à l’utilisation de cookies pour des finalités non exemptées de consentement se doit d’être respecté par l’éditeur du service concerné, à défaut de quoi ce dernier prive d’effectivité le choix exprimé par l’utilisateur.

Aussi facile d’accepter que de refuser
Depuis l’entrée en application du RGPD, le « consentement » prévu à l’article 82 de la loi « Informatique et Libertés » précité doit s’entendre au sens du règlement général européen sur la protection des données (RGPD), c’est-à-dire qu’il doit être donné de manière libre, spécifique, éclairée et univoque, et se manifester par un acte positif clair. Dans ses décisions prononcées à l’encontre des sociétés Google, Facebook, TikTok et Microsoft, la Cnil rappelle que le considérant 42 du RGPD : « Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ». La Cnil précise par ailleurs que, comme mentionné dans ses lignes directrices et ses recommandations (10) datées du même jour, et confirmées par un arrêt du Conseil d’Etat du 19 juin 2020 (11), il doit être aussi aisé de refuser ou retirer son consentement aux traceurs que de le donner.

Inventivité des éditeurs et « dark pattern »
Le caractère « libre » du consentement implique en effet un choix et un contrôle réel pour les personnes concernées (12). Or, dès lors qu’un éditeur rend le refus d’utilisation de cookies non fonctionnels plus complexe que son acceptation, celui-ci incite l’internaute qui souhaite pouvoir visualiser le site Internet ou utiliser l’application rapidement, à accepter ces cookies en le décourageant à les refuser – viciant ainsi son consentement qui n’est plus libre. Les modalités proposées à l’utilisateur pour manifester son choix ne doivent donc pas être biaisées en faveur du consentement, comme l’indique la Cnil dans sa décision à l’encontre de Microsoft.
Par ailleurs, si le refus de l’utilisateur de consentir aux cookies peut potentiellement se déduire de son silence, c’est à la stricte condition que l’utilisateur en soit pleinement informé, et que l’équilibre entre les modalités d’acceptation et de refus soit respecté. Ainsi, si l’utilisation d’un bouton « tout accepter » est commune sur les bandeaux cookies, cette modalité de recueil du consentement de l’utilisateur ne sera licite que si l’utilisateur dispose d’un bouton « tout refuser » présent au même niveau et sur le même format, afin de ne pas altérer la liberté de son choix. La pratique encore commune des éditeurs de sites web ou d’applications mobiles d’opposer un bouton « tout accepter » à un bouton « paramétrer » ou « personnaliser » (ou équivalent), n’est donc pas licite et constitue un « dark pattern », comme l’indique la Cnil dans ses décisions à l’encontre des sociétés Facebook et Google.
A propos de ces « dark pattern », la délégation de la Cnil – qui a effectué un contrôle en ligne sur le site web « facebook.com » – mentionne d’ailleurs une étude universitaire de 2020 intitulée « Les “dark patterns” au temps du RGPD : récupération des fenêtres de consentement et démonstration de leur influence » (13). Les chercheurs – provenant notamment des universités de Cambridge et du MIT – ont démontré que 93,1 % du panel des internautes confrontés à des bandeaux cookies s’arrêtent au premier niveau et que seule une faible minorité d’entre eux vont au second niveau pour personnaliser ou refuser. Cette étude démontrait également que le fait de reléguer le bouton du refus au second niveau augmentait en moyenne de 23,1 points de pourcentage le taux de consentement aux cookies. Enfin, pour que le consentement de l’internaute soit libre, l’éditeur du site ou de l’application doit également veiller à ce que l’information relative à ses cookies et transmise à l’internaute – avant le recueil de son éventuel consentement – soit complète, visible et mise en évidence. Cette information doit en particulier porter sur les finalités poursuivies par les opérations de dépôt et de lecture des cookies, et sur les moyens dont l’utilisateur dispose pour s’y opposer. Une description générale et approximative des finalités de l’ensemble cookies non fonctionnels déposés, par l’utilisation de termes généraux tels que « améliorer votre expérience sur nos sites web » et « à des fins d’analyse et de marketing », est imprécise et constitue un manquement à la loi « Informatique et Libertés » (14), comme le mentionne la Cnil dans sa décision à l’encontre de TikTok.
Il résulte ainsi de ces six décisions, rendues par la Cnil sur les seuls mois de décembre 2021 et 2022, des rappels de règles bien établies ou en phase de l’être depuis l’entrée en vigueur du RGPD (15) – à savoir depuis le 25 mai 2018. Si ces règles sont claires, leur application n’est toutefois pas toujours l’objectif des éditeurs de sites et d’applications qui font preuve d’inventivité pour limiter la chute du taux de consentement de leur utilisateurs ou abonnés (16) à l’utilisation de cookies non fonctionnels, comme le démontre le Comité européen de la protection des données (CEPD) dans son rapport « Cookie Banner » publié le 18 janvier 2023 (17). Ces éditeurs considèrent en effet que leur intérêt à utiliser des cookies non fonctionnels, en particulier à des fins de publicités ciblées ou analytiques, prévaut sur le respect du consentement de leurs utilisateurs ou abonnés, et par extension acceptent le risque de sanctions administratives et d’actions judiciaires qui en résulte.

Sanctions plus rapides et solutions alternatives
Les modifications de la loi « Informatique et Libertés » et de son décret d’application, intervenues le 24 janvier puis le 8 avril 2022, ont pour ambition de permettre une plus grande souplesse dans le recours aux mises en demeure ou aux sanctions. Si la réforme des procédures correctrices de la Cnil (18) – permettant à celle-ci de prononcer des sanctions plus rapidement – ne sera probablement pas suffisante pour convaincre toutes les entreprises et organisations de changer leurs pratiques, le développement de solutions alternatives aux cookies non exemptés de consentement pourrait l’être. @

* Vanessa Bouchara, avocate et spécialiste en droit
de la propriété intellectuelle, a fondé
le cabinet Bouchara Avocats (www.cabinetbouchara.com).

La réalité augmentée n’augmente pas la rentabilité de Snap malgré la hausse des « snapchatteurs »

Le réseau social Snapchat a beau voir le nombre de ses utilisateurs augmenter de 17 % en 2022, à 375 millions de « snapchatteurs », cela n’empêche pas la société Snap d’augmenter son déficit. Et lors de son « Investor Day » le 16 février, elle devra convaincre sur son avenir en réalité augmentée.

En publiant ses résultats 2022 le 31 janvier, la société californienne Snap a déçu, malgré la hausse de 17 % de ses utilisateurs, à 375 millions, et un objectif d’atteindre entre 382 et 384 millions de « snapchatteurs » d’ici la fin de ce premier trimestre 2023. Pour l’exercice de l’an dernier, le chiffre d’affaires est de 4,6 milliards de dollars, certes en hausse de 12 % sur un an, mais les pertes nettes – 1,4 milliard de dollars – se sont creusées de… 193 %. Son cours de Bourse a décroché à Wall Street et sa capitalisation n’est plus de que 19,3 milliards de dollars (au 09-02-23), bien loin du pic des 54 milliards de dollars d’octobre 2020.

R&D : 2,1 milliards de dollars en 2022
Bien qu’ayant terminé 2022 avec 3,9 milliards de dollars de cash, Snap est par ailleurs très endetté, à hauteur de 3,7 milliards avec une première échéance de remboursement en 2025. De tout cela, le PDG cofondateur de Snap, Evan Spiegel (photo), devra s’en expliquer devant les investisseurs lors de l’« Investor Day » qu’il organise le 16 février prochain dans ses locaux de Santa Monica (Californie). Dans la lettre aux actionnaires datée du 31 janvier (1), l’entreprise a d’ores et déjà prévenu que « le chiffre d’affaires du premier trimestre 2023 devrait être en baisse, entre – 10 % et – 2 % sur un an ».
Snap avait lancé au troisième trimestre 2022 un plan de restructuration qui prévoyait « une réduction d’environ 20 % de [son] effectif mondial » – dont 1.300 suppressions d’emploi en août dernier. Les productions « Snap Originals » et le drone Pixy ont été sacrifiés. Au 31 décembre 2022, ses effectifs étaient de 5.288 de salariés. « Nous sommes en voie de réaliser les 500 millions de dollars de réduction des coûts d’ici le premier trimestre de 2023 », assure le groupe au fantôme (2).
Parallèlement, Snap ne lésine pas sur les dépenses de recherche et développement (R&D) qui s’élèvent à 2,1 milliards de dollars rien qu’en 2022, en forte hausse de 34,7 % sur un an. « Nos efforts de R&D sont axés sur le développement de produits, la technologie publicitaire et l’infrastructure à grande échelle », précise l’entreprise dans son rapport annuel publié par la SEC, le gendarme boursier américain, le 1er février dernier (3). Pour se différencier des Facebook, Instagram et autres TikTok, Snap mise gros sur la réalité augmentée (RA) dont l’écosystème dépasse à ce jour plus de 300.000 créateurs et développeurs qui ont construit plus de 3 millions de « lentilles » de RA (« lens » en anglais) pour permettent la créativité et l’expression de soi. Snapchat s’ouvre directement sur l’appareil photo (« camera ») du smartphone ou de la tablette, voire la webcam de l’ordinateur sur le Web, ce qui facilite la création d’un « snap » et l’envoi de photos et de vidéos à des amis (via messagerie, « map » ou « stories »). Snap vend aussi depuis septembre 2016 – et malgré l’échec de la première version – des lunettes de RA, connectées en Bluetooth et appelées « Spectacles », utilisables sur son réseau social (4). Les lentilles se distinguent des « filtres » (« filter » en anglais) par le fait que les premières sont des animations virtuelles – autrement dit un filtre à réalité augmentée. C’est là que le réseau social au fantôme, très prisé de la génération Z, se distingue de ses concurrents. Y compris sur le marché publicitaire d’où Snap tire l’essentiel de ses revenus : ses offres « Snap Ads » et « AR Ads » proposent aux annonceurs et partenaires des filtres sponsorisés (« sponsored filters ») et des lentilles sponsorisées (« sponsored lenses »), pour peu que les marques se familiarisent avec ces technologies visuelles – surtout en RA. « Nous avons ajouté de nouvelles fonctionnalités et capacités à Lens Studio, notre logiciel de développement de réalité augmentée, qui permettent des expériences plus riches et plus immersives, et aident à approfondir l’engagement », assure Snap.
Mais le contexte macroéconomique (crise sanitaire, inflation, guerre en Ukraine, …) amène des entreprises à réduire leur budget publicitaire, notamment ceux orientés vers la RA souvent utilisée à titre expérimental. Sans parler du durcissement de la protection des données (fin des cookies tiers) qui limite le ciblage et l’efficacité publicitaire. Les autres acteurs du Net surveillent Snap comme un thermomètre pour prendre la température de la publicité en ligne (5).

Plus de 2 millions d’abonnés à Snapchat+
Lancé au début de l’été 2022 dans plusieurs pays, dont la France, le service par abonnement payant Snapchat+ – mais toujours avec publicités – a dépassé les 2 millions de souscripteurs (4,59 euros par mois, ou moins selon la durée de l’engagement), lesquels bénéficient d’exclusivités, d’expérimentations et d’avant-premières. L’avenir de Snapchat est entre les mains d’Evan Spiegel, qui détient 53,1 % des droits de vote de l’entreprise mais seulement 3 % du capital de Snap (6) aux côtés des 17,6 % du chinois Tencent. @

Charles de Laubier

Accord avec la presse : Microsoft traîne des pieds

En fait. Le 6 février, Marc Feuillée, directeur général du groupe Le Figaro, s’est exprimé dans Mind Media en reprochant notamment à Microsoft de ne toujours pas rémunérer les éditeurs au titre des droits de la presse – contrairement à Google et Facebook, et malgré ses engagements de février 2021.

En clair. « Microsoft avait (…) annoncé publiquement en janvier et février 2021 vouloir discuter et rémunérer les éditeurs, et faire mieux que Facebook et Google, or je n’en vois pour l’instant pas le résultat », a déploré Marc Feuillée, directeur général du groupe Le Figaro (1), dans une interview accordée à Mind Media et publiée le 6 février. La firme de Redmond (Etats-Unis) s’était en effet engagée – il y a aura deux ans le 22 février prochain – à « travailler ensemble sur une solution pour faire en sorte que les éditeurs de presse européens soient payés pour l’utilisation de leur contenu par des gatekeepers [comme Microsoft avec son moteur de recherche Bing, son portail d’actualités MSN, ou son application Microsoft Start, ndlr] qui ont une puissance dominante sur le marché ».
Un communiqué (2) avait même été signé par Casper Klynge, alors vice-président de Microsoft en charge des affaires publiques européennes et basé en Belgique, et quatre organisations européennes d’éditeurs de presse : European Publishers Council, News Media Europe, Newspaper Publishers’ Association/ENPA et European Magazine Media Association/EMMA. Ensemble, ils appelaient en outre à « un mécanisme d’arbitrage de type australien en Europe pour garantir que les gatekeepers rémunèrent équitablement les éditeurs de presse pour l’utilisation du contenu ». Microsoft entendait ainsi se distinguer de Google et de Facebook qui, à l’époque, étaient très réticents à rémunérer les médias pour l’utilisateur de leurs contenus sur respectivement le moteur de recherche et le réseau social. Depuis, Google et Facebook ont finalement trouvé un accord avec la presse en Europe – notamment en France, soit à la suite d’un contentieux (Google), soit dans un rapport de force (Facebook).
Mais toujours rien à ce jour du côté de la firme dirigée par Tim Cook. Casper Klynge, qui a quitté Microsoft fin 2022, avait indiqué que l’application Microsoft News (ex-MSN News et Bing News) – rebaptisé depuis Microsoft Start alias MSN (3) – permettait à Microsoft de partager « une grande partie » des revenus avec les éditeurs de presse. Et que le paiement de droits voisins était « une prochaine étape logique ». Pas de résultat depuis. « Toutes les autres plateformes refusent de discuter sérieusement, a regretté Marc Feuillée. Ma conclusion c’est que la loi française n’est pas assez précise et doit être amendée par le législateur ». @

Protection des données en Europe : pour le CEPD, le groupe Meta ne peut imposer sa loi

Facebook, Instagram et WhatsApp (réseaux sociaux du groupe Meta) ont été épinglés par la « Cnil » irlandaise, la DPC, pour ne pas avoir respecté le règlement européen sur la protection des données (RGPD). Mais faute de consensus avec ses homologues des Vingt-sept, le CEPD a eu le dernier mot.

Par Jade Griffaton et Emma Hanoun, avocates, DJS Avocats

Après cinq ans de procédure, deux sanctions ont été annoncées respectivement les 4 et 19 janvier 2023 pour un total de 395,5 millions d’euros pour le non-respect des mesure imposées par le règlement européen sur la protection des données personnelles (RGPD). Il s’agit de trois amendes infligées à Meta en Irlande par la DPC, la commission de protection des données, à savoir la « Cnil » irlandaise (1). Au coeur du débat : la publicité ciblée pour les utilisateurs des réseaux sociaux du groupe : Facebook (210 millions d’euros d’amende), Instagram (180 millions) et WhatsApp (5,5 millions). Des enquêtes avaient été entreprises après des plaintes de l’organisation autrichienne Noyb (2) pour la protection de la vie privée, fondée par Max Schrems.

Un contexte procédural complexe
La société Meta Ireland est au coeur des discussions depuis plusieurs années. Dès 2021, Facebook fait l’objet d’une fuite de données personnelles de plusieurs millions de ses utilisateurs menant à l’ouverture d’une enquête par l’autorité irlandaise de protection des données. A la suite de l’enquête, Meta a été condamnée le 25 novembre 2022 à une amende de 265 millions d’euros pour avoir violé ses obligations de sécurisation des données (3). En mars 2022, l’autorité irlandaise avait déjà infligé une amende de 17 millions d’euros à Meta (4), qui n’avait pas pu démontrer la mise en place « de mesures techniques et organisationnelles appropriées […] pour protéger les données des utilisateurs » de l’Union européenne (UE). En parallèle, en France, la Cnil a condamné en janvier 2022 l’entreprise Meta à une amende de 60 millions d’euros en raison de l’impossibilité pour les utilisateurs de refuser simplement les cookies (5). En plus de cette amende, la Cnil avait ordonné une injonction sous astreinte de mettre à disposition des internautes français, dans un délai de 3 mois à compter de la notification de la décision, un moyen permettant de refuser les cookies aussi simplement que celui pour les accepter afin de respecter le consentement de chaque utilisateur. Et par deux décisions – respectivement en date du 31 décembre 2022 concernant Facebook et Instagram pour 390 millions d’amendes (6) et du 12 janvier 2023 concernant WhatsApp pour 5,5 millions d’amende (7) –, l’autorité irlandaise a infligé à Meta ces trois amendes totalisant près de 400 millions d’euros pour manquement à plusieurs principes imposés par le RGPD (8) dont le principe de transparence et le principe de licéité des traitements de données à caractère personnel. Ces dernières décisions font suite à de nombreux débats entre les différentes autorités de contrôle européennes que sont les différentes « Cnil » dans les Vingt-sept.
En effet, dans le cadre de la procédure de consultation des autorités de contrôle concernées par l’autorité de contrôle « chef de file » mise en place par l’article 60 du RGPD, en l’occurrence la DPC dans ces procédures « Meta », les projets de décisions préparés en 2021 par l’autorité irlandaise ont été soumis aux régulateurs homologues de l’UE qui ont soulevé un certain nombre d’objections. Face à l’absence de consensus, l’autorité irlandaise a alors saisi le Comité européen de la protection des données (CEPD) – ou, en anglais, EDPB (9) – pour consultation sur les points litigieux, en vertu de l’article 65 du RGPD. Ce dernier a alors rendu trois décisions contraignantes le 5 décembre 2022 relatives aux activités de traitement de données à caractère personnel par Facebook, Instagram et WhatsApp (10). L’autorité irlandaise a alors intégré ces conclusions dans ses trois décisions – celles datées du 31 décembre 2022 à l’encontre de Facebook (210 millions euros d’amende) et d’Instagram (180 millions euros), ainsi que dans celle du 12 janvier 2023 à l’encontre de WhatsApp (5,5 millions d’euros d’amende). Dans le cadre de ses projets de décisions d’octobre 2021, l’autorité irlandaise relevait, de la part des sociétés Facebook, Instagram et WhatsApp, un manquement à leur obligation de transparence édictée par le RGPD (11). En effet, l’autorité irlandaise considère que les utilisateurs des services Meta ne disposent pas d’une clarté suffisante quant aux opérations de traitement effectuées sur les données à caractère personnel, à quelle(s) finalité(s) et quelle(s) base(s) légale(s) parmi celles identifiées à l’article 6 du RGPD.

L’absence de consensus européen
Les décisions contraignantes rendues par le CEPD le 5 décembre 2022 confirme cette position en ce qui concerne la violation par Facebook, Instagram et WhatsApp de leur obligation de transparence, sous réserve de l’insertion d’une violation supplémentaire, celle du principe de loyauté édicté par le RGPD (12). Alors que la « Cnil » irlandaise considère, dans ses projets de décisions soumis au CEPD, que le recours de Meta Ireland au contrat constituait une base juridique pour certains traitements des données personnelles, ses homologues européens ont soulevé des objections sur ce point. En cause : le rejet par la DPC de la notion de « consentement forcé », s’appuyant sur le contrat entre les utilisateurs et Meta pour légitimer les traitements concernés. Dans les cas Facebook et Instagram, la question était de savoir si la diffusion de publicité personnalisée ou comportementale constituait, ou non, un des services personnalisés inclus dans les services plus largement fournis par Facebook et Instagram au titre du contrat conclu avec ses utilisateurs.

Impact important sur les plateformes
En effet, dans l’affirmative, ce service pourrait être considéré comme licite au sens de l’article 6 du RGPD, sans nécessité de solliciter le consentement des personnes concernées – systématiquement requis pour les traitements ayant pour finalité la publicité – en se fondant sur la base juridique de « l’exécution d’un contrat auquel la personne concernée est partie ». Selon l’autorité irlandaise, ce service personnalisé fait partie intégrante du contrat conclu entre le fournisseur de services et ses utilisateurs, et a été accepté par ces derniers au moment où ils acceptent les conditions d’utilisation des services. Ainsi, le consentement de l’utilisateur au traitement serait implicitement déduit de l’acceptation d’utiliser le service Meta. Cette réalité est au coeur du modèle économique de la firme de Mark Zuckerberg, dont la rentabilité se fonde sur les revenus publicitaires nécessitant la collecte massive et la réutilisation gratuite des données personnelles de ses utilisateurs à des fins de publicité comportementale. Andrea Jelinek, présidente du CEPD, a d’ailleurs déclaré que les décisions du comité pouvaient « avoir un impact important sur d’autres plateformes qui ont des publicités comportementales au centre de leur modèle d’affaires » (13).
Dans le cas WhatsApp, l’enjeu consistait à déterminer si le fait de subordonner l’accès des services WhatsApp à l’acceptation par les utilisateurs des conditions générales mises à jour (les services ne seraient alors pas accessibles si les utilisateurs refusaient de le faire), revenait ou non à « forcer » les utilisateurs à consentir au traitement de leurs données personnelles à des fins d’amélioration et de sécurité du service. Selon le point de vue de la « Cnil » irlandaise, le service fourni par WhatsApp comprend l’amélioration du service et la sécurité, nécessaire à l’exécution du contrat conclu avec les utilisateurs, de sorte que de telles opérations de traitement étaient licites au regard de l’article 6 du RGPD. Les autres « Cnil » européennes concernées par ces traitements ont soulevé – tant pour les cas Facebook et Instagram que pour le cas WhatsApp – des objections et ont estimé que les finalités de publicité personnalisée et d’amélioration du service et de sécurité ne sont pas considérées comme nécessaires pour exécuter les éléments essentiels du contrat conclu avec les utilisateurs. Face à l’absence de consensus sur ces points, le CEPD a par conséquent été consulté par l’autorité irlandaise, dans le cadre de la procédure issue de l’article 65 du RGPD, afin qu’il tranche sur les questions litigieuses.
Dans ses décisions rendues le 5 décembre 2022, le CEPD adopte, sur le fondement de l’article 6 du RGPD, la position selon laquelle Meta Ireland ne peut par principe invoquer le contrat comme constituant une base juridique pour traiter les données à caractère personnel à des fins de publicité comportementale (cas Facebook et Instagram) et d’amélioration et de sécurité. Le CEPD se distingue alors des autorités européennes qui soulevaient qu’un tel traitement ne satisfait pas à la condition de nécessité (en d’autres termes, la publicité personnalisée n’est pas nécessaire à l’exécution d’un contrat avec les utilisateurs de Facebook et Instagram), et rend des décisions de principe par application stricto sensu du RGPD.
Reflet du pouvoir contraignant du CEPD, l’autorité irlandaise a donc intégré cette solution dans les deux décisions rendues le 31 décembre 2022 à l’encontre de Facebook et Instagram. Il est exigé une mise en conformité avec le RGPD dans un délai de trois mois à compter de la décision – autrement dit d’ici au 31 mars prochain. De même, le 12 janvier 2023, l’autorité irlandaise a accueilli cette solution dans sa décision à l’encontre de WhatsApp, en lui ordonnant de se mettre en conformité dans un délai de six mois – soit d’ici le 12 juillet prochain.
A l’heure où il est indéniable que la donnée est le nouvel « or noir » du XXIe siècle, les entreprises doivent adopter des méthodes et techniques, et ce dès la conception de leur modèle économique, afin de protéger convenablement les données personnelles, comme l’exige le RGPD. Il apparaît désormais vital pour les entreprises d’anticiper les implications de leur conformité dès la conception de leurs projets impliquant des traitements de données personnelles (« Privacy by Design »).

Les internautes reprennent la main
On constate aujourd’hui que les internautes, surtout ceux résidant dans l’UE, cherchent, dans le cadre d’une approche « Privacy First », à utiliser des services respectueux de leur vie privée et prennent en compte la question de la protection des données personnelles les concernant comme condition à l’utilisation de tels services. Les entreprises traitant massivement les données personnelles, et notamment les GAFAM, se trouvent alors confrontées à cette problématique qui tend à modifier considérablement leur modèle économique. Il est aujourd’hui indispensable de se demander de quelle manière et à quel moment il est opportun d’appréhender la question de la protection de la donnée. @

Interview exclusive avec le robot ChatGPT d’OpenAI

En fait. Le 14 décembre, ChatGPT, l’intelligence artificielle créée par la start-up OpenAI, a répondu à EM@. Les questions portaient sur ChatGPT lui-même, en tant que robot conversationnel, capable de générer du texte intelligible en fonction de ce qu’on lui dit. Faute d’être connecté au Web, il est limité.

En clair. Edition Multimédi@ a débuté l’interview avec ChatGPT en lui demandant qui il est. Le chatbot (agent conversationnel) répond : « Je suis assistant, un grand modèle linguistique formé par OpenAI. Je suis une intelligence artificielle conçue pour aider à répondre aux questions et à fournir de l’information sur un large éventail de sujets. Je n’ai pas de forme physique et j’existe uniquement comme programme informatique ». A-t-il des concurrents dans le monde ? « En tant que grand modèle linguistique, répond ChatGPT, je n’ai pas de concurrents directs au sens traditionnel. Cependant, il y a d’autres assistants en IA et d’autres modèles linguistiques qui me ressemblent à certains égards [comme] Siri d’Apple, Alexa d’Amazon, et Assistant de Google […], mais ils peuvent différer dans leurs capacités ».
Connaît-il aussi par exemple son homologue suisse Cedille (1) développé par la société Coterie, comme lui s’appuyant sur le modèle de langage GPT-3 d’OpenAI, mais francophone ? « Je suis désolé, mais je ne suis pas en mesure de naviguer sur Internet ou d’accéder à de l’information en dehors de mes données de formation. Par conséquent, je n’ai aucune information sur Cedille ou la société suisse Coteries. Mes connaissances se limitent à ce sur quoi j’ai été formé par OpenAI ». Aussi, nous avons demandé à ChatGPT s’il aura bientôt accès au Web à l’instar d’Assistant de Google, d’Alexa d’Amazon ou de Siri d’Apple ? « Je n’ai pas la capacité d’accéder à Internet ou d’interagir avec lui d’aucune façon […] Il s’agit d’une différence fondamentale entre moi-même et les autres assistants en intelligence artificielle, comme Google Assistant, qui sont conçus pour accéder à Internet et fournir des informations à partir d’un large éventail de sources. […] Je ne suis pas en mesure d’exécuter les mêmes fonctions qu’un moteur de recherche, comme Google ». Mais lui, ChatGPT, voudrait-il être connecté à Internet ? « Je n’ai pas la capacité de prendre des décisions ou des mesures de mon propre chef »… Est-il capable d’écrire livres (2), articles de presse, poèmes, partitions de musique, scénarios de films et discours ? « Je n’ai pas la capacité d’écrire des livres, des articles de presse, des poèmes, des partitions de musique, des scénarios de films ou des discours par moi-même [ni] de créer du contenu original ». Un chatbot (3) limité et déconnecté mais modeste (4). @