Alors qu’une deuxième vague de coronavirus menace, le gouvernement croit en l’utilité des données « pseudonymisées » de son application mobile StopCovid malgré le peu d’utilisateurs. Mais le respect de la vie privée ne suppose-t-il pas une « anonymisation » ? Le dilemme se pose dans la santé.
Par Olivia Roche, avocate, et Prudence Cadio, avocate associée, cabinet LPA-CGR avocats
Plus de deux ans après l’éclatement de l’affaire « Cambridge Analytica » sur l’exploitation massive et illégale des données personnelles de dizaines de millions d’utilisateurs de Facebook à des fins de ciblages politico-publicitaires, aucune enquête n’a été menée en France par la Cnil. Surprenant.
Aux Etats-Unis, Facebook a écopé l’été dernier d’une amende record de 5 milliards de dollars infligée par la FTC (1) pour n’avoir pas géré ni protégé correctement les données personnelles de ses utilisateurs. En Grande-Bretagne, la « Cnil » britannique – ICO (2) – l’a condamné en octobre 2019 au maximum que lui permettait la loi du pays pour violation sur la protection des données, soit 500.000 livres (plus de 565.000 euros). Ces données ont notamment été exploitées en 2016 pour influencer respectivement l’élection présidentielle américaine et le référendum britannique sur le Brexit.
C’est en avril que la Cnil devrait publier sa recommandation finale sur « les modalités pratiques de recueil du consentement » des utilisateurs au dépôt de « cookies et autres traceurs » sur leurs terminaux. Retour sur le projet de recommandation, qui est contesté par les éditeurs et les publicitaires.
Alors que l’adoption du règlement européen « ePrivacy » patine depuis déjà trois ans (1), certaines « Cnil » européennes – allemande, anglaise, française, espagnole et grecque – ont décidé de prendre les devants en adoptant leurs propres lignes directrices sur les règles attendues en matière de cookies et autres technologies de traçage. En juin 2019, en France, la Cnil (2) a annoncé son plan d’action en matière de publicité ciblée. Au menu : l’adoption de lignes directrices dans une délibération datée du 4 juillet 2019 rappelant les règles de droit applicables en matière de cookies (3), complétées d’un projet de recommandation publié le 14 janvier dernier précisant les modalités concrètes de recueil du consentement.
« Le placement de cookies requiert le consentement actif des internautes ; une case cochée par défaut est donc insuffisante », a rappelé la Cour de justice de l’Union européenne (CJUE) dans un arrêt du 1er octobre, RGPD oblige. Ce consentement actif préalable ne plaît à tous les éditeurs du Web.
L’étau du règlement général sur la protection des données (RGPD), entré en vigueur en mai 2018, se resserre sur les cookies, ces traceurs ou autres mouchards déposés sur les terminaux des internautes et mobinautes à des fins de publicités ciblées et de collecte de données. L’arrêt rendu le 1er octobre par la Cour de justice de l’Union européenne (CJUE) suit les conclusions de l’avocat général de cette dernière, qui, le 21 mars 2019, avait rappelé que pour être valide le consentement de l’utilisateur à accepter des cookies doit être « éclairé » (1).
Sont parues le 19 juillet au Journal Officiel les lignes directrices de la Cnil concernant les « opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs) », en attendant ses recommandations pour début 2020, et le futur règlement « ePrivacy » européen.
L’utilisation des cookies et a u t re s t raceurs est actuellement encadrée par la directive européenne dite « ePrivacy » (1), plusieurs fois modifiée, notamment par la directive de 2009 renforçant l’obligation d’information des internautes et leur consentement (2). Si cette dernière a vocation à être abrogée et remplacée par le règlement européen « ePrivacy » (3), celui-ci est toujours en discussion devant les instances européennes. Toutefois, l’entrée en vigueur en mai 2018 du RGPD – règlement général sur la protection des données du 27 avril 2016 – a permis un premier pas vers la modernisation des règles entourant l’utilisation de traceurs et cookies.