Avec quatre mises en demeure publiées entre juin et novembre sur la géolocalisation publicitaire, la Commission nationale de l’informatique et des libertés (Cnil) « feuilletonne » sa doctrine en la matière. Or le RGPD européen n’exige pas toujours le consentement préalable des utilisateurs.
Etienne Drouard, avocat associé, et Lucile Rolinet, juriste, cabinet K&L Gates
Retour sur un verdict attendu depuis trois ans : dans sa décision du
19 avril 2018, la Cour suprême fédérale de Justice allemande a jugé
« légal » le logiciel de blocage de publicités en ligne Adblock Plus, déboutant
le groupe de médias Axel Springer de sa plainte pour concurrence déloyale.
C’est un revers pour le groupe allemand qui publie non le quotidien Bild,
le plus lu outre-Rhin et la plus forte diffusion de la presse en Europe occidentale, mais aussi Die Welt, ainsi que de nombreux sites web (Businessinsider.com, SeLoger, Logic-Immo, …). En 2015, l’éditeur berlinois avait fait appel et obtenu un référé à l’encontre de la société allemande Eyeo qui éditeur Adblock Plus, l’un des logiciels anti-pub sur Internet les plus utilisés dans le monde.
Consécration de l’adblocking
Axel Springer avait essuyé un échec en première instance à Cologne où Eyeo avait remporté une première victoire judiciaire – comme cela avait déjà été le cas après les premières plaintes de ProSiebenSat.1 Media et RTL Group. Mais, en juin 2016, la cour d’appel de Cologne ne l’avait pas entendu de cette oreille en voyant au contraire de la concurrence déloyale dans l’activité de la société Eyeo qui avait alors porté l’affaire devant la Cour suprême fédérale de Justice allemande. Cette fois, c’est de nouveau Eyeo qui l’emporte. La plus haute juridiction allemande basée à Karlsruhe a en effet rendu son verdict le 19 avril dernier (1), en jugeant « légal » le logiciel Adblock Plus.
« L’offre du logiciel bloqueur de publicités Adblock Plus ne viole pas la loi contre la concurrence déloyale », ont déclaré les juges suprêmes. Ils estiment que le programme informatique n’interférait pas dans l’offre publicitaire des sites web des éditeurs et des médias et surtout que son utilisation dépendait de « la décision autonome des internautes ». Adblock Plus, qui est une extension téléchargeable gratuitement pour fonctionner avec tout navigateur web, est actif sur plus de 100 millions de terminaux dans le monde, Europe en tête.
Mais, toutes marques confondues, le nombre de ces logiciels anti-pub installés dans tous les pays dépasserait les 600 millions. C’est dire que le verdict aura des implications bien au-delà de l’Allemagne. Pour la Cour suprême, il s’agit d’une nouvelle façon de faire jouer la concurrence et en toute légalité. Il n’y a pas à ses yeux de pratique commerciale illégale. La société Eyeo – cofondée par son président Tim Schumacher, son directeur général Till Faida et son développeur Wladimir Palant – s’est défendue de vouloir entraver l’activité des éditeurs. Elle a dit rechercher simplement à rendre plus légitimes ses propres objectifs commerciaux, sans passer outre les barrières techniques que le groupe Axel Springer avait mis en place pour protéger ses contenus. Les juges ont estimé qu’utiliser un adblocker est un choix d’utilisateur indépendant, tout en soulignant que les éditeurs de sites web et de médias en ligne avaient adopté des contre-mesures telles que le renvoi des utilisateurs ayant un adblocker activé vers des espaces payants (paywalls). Le verdict du 19 avril va donc à l’encontre du tribunal régional de Cologne, lequel, en juin 2016, avait au contraire jugé déloyale (2) au regard de la concurrence l’activité de la société Eyeo (dont le siège social est à Cologne justement). Et ce, en incitant d’autres acteurs du marché à prendre des décisions qu’ils n’auraient prises pas autrement : de telles pratiques commerciales agressives sont sanctionnées par la section 4a du la loi allemande sur la concurrence déloyale si elles résultent d’un abus de pouvoir commercial. Contrairement au tribunal de Cologne, la Cour suprême constate qu’Eyeo n’a pas influencé à l’excès les annonceurs qui veulent faire affaire avec les sites web d’Axel Springer.
L’outil controversé bloque les publicités intempestives, les « pop-up » ou encore les pubs vidéo. La société Eyeo a en effet constitué avec des annonceurs une « liste blanche » qui sélectionne les publicités en ligne jugées les moins intrusives selon ses propres critères. Les internautes peuvent ainsi bloquer celles qui ne sont pas des « Acceptable Ads », lesquelles se retrouvent cette fois dans une « liste noire », ou bien l’utilisateur peut au contraire choisir de désactiver cette option pour n’en bloquer aucune. Cela revient à « whitelister » les éditeurs qui acceptent de payer une taxe sur leurs recettes publicitaires pour passer entre les mailles du filet Adblock Plus, et donc à « blacklister » ceux qui refusent de payer.
Ce droit de passage est dénoncé par des éditeurs de sites web et des médias.
Une « liste blanche » payante
« Ce qui est surprenant dans cette décision est l’approbation de l’adblocking indépendamment du modèle économique qui le sous-tend derrière. (…) Mais le jugement devrait-il changer si, comme Adblock Plus, le bloqueur de publicité rend disponible une liste blanche pour contenter des éditeurs et des annonceurs contre le paiement ? », s’interroge Anthonia Ghalamkarizadeh, conseil juridique chez Hogan Lovells à Hambourg.
Car si un éditeur de contenu ou un annonceur veulent que leurs messages publicitaires pénètrent dans la barrière du adblocking, un paiement peut aboutir à un traitement préférentiel. « Et l’adblocker devient commercialement partisan, poursuit-elle. Ce n’est pas certainement dans l’intérêt supérieur des utilisateurs, dont la liberté de choix est fortement mise sous le feu des projecteurs dans le débat en cours sur l’adblocking ».
Entrave à la liberté de la presse ?
A l’issu du verdict, la société Eyeo s’en est félicitée : « Nous sommes satisfaits que la plus haute juridiction d’Allemagne ait soutenu le droit de chaque citoyen Internet à bloquer la publicité indésirable en ligne. Comme nous le faisons depuis 2014, nous continuerons à nous battre pour les droits des utilisateurs en Allemagne et dans le monde entier ». Après sa défaite judiciaire, Axel Springer a indiqué à l’agence de presse allemande DPA vouloir déposer « une plainte constitutionnelle pour entrave à la liberté de la presse ». Au-delà de l’affaire « Adblock Plus » en Allemagne, c’est tous les logiciels de blocage de publicités numériques ainsi que les extensions anti-pub présentes dans tous les navigateurs web – Firefox (Mozilla), Safari (Apple), Internet Explorer (Microsoft), Chrome (Google), Opera (Opera Software) – ou sur tous les systèmes d’exploitation mobile, qui se trouvent légitimés partout dans le monde.
De son côté, la Fédération des éditeurs allemands de journaux (BDZV) a exprimé son « incompréhension » envers cette décision qui « rend massivement vulnérable n’importe quel modèle de financement de contenus journalistiques en ligne basé sur des revenus publicitaires numériques ». Les éditeurs et les médias en ligne s’inquiètent du manque à gagner grandissant. En France, où les pertes des éditeurs sont allées jusqu’à 25 % de leur chiffre d’affaires, l’affaire n’a pas été portée devant la justice mais des médias en ligne ont mené des campagnes anti-adblocking auprès des internautes. Et depuis mars 2018, des sites web ont commencé à être labellisés « Digital Ad Trust » par l’Alliance pour les chiffres de la presse et des médias (APCM) et le Centre d’étude des supports de publicité (CESP). Quant à l’Interactive Advertising Bureau (IAB), organisation professionnelle de la pub online, elle mobilise les différents acteurs autour de « bonnes pratiques vertueuses » avec l’élaboration au niveau international d’une
« charte de bonnes pratiques » (3). Au niveau européen, le label EVCF – European Viewability Certification Framework – a été lancée en août 2017
à Bruxelles par l’European Viewability Steering Group (EVSG), lequel fut créé fin 2015 à l’initiative de l’IAB Europe, de la European Association of Communications Agencies (EACA) et de la World Federation of Advertisers (WFA) « afin d’appliquer des standards européens uniformes et équitables dans la mesure de la visibilité de la publicité numérique » (4). Tandis que la société Eyeo, elle, va donc pouvoir continuer à tirer profit du adblocking, les éditeurs de contenus et de médias en ligne vont, eux, devoir d’armer de contre-mesures pour dissuader les internautes à utiliser de tels outils : inciter les visiteurs à payer s’ils ne veulent pas de publicités (paywalls), inventer de nouvelles publicités en ligne moins intrusives, plus dynamiques, voire refuser des internautes équipés d’adblockers – ce qui pourrait être considéré comme une pratique illégale au regard de la protection des données et de la vie privée.
Mais il y a un nouveau défi à relever : limiter le blocage des e-pubs dans les applications mobiles (in-app), bien que les obstacles techniques freinent pour l’instant son expansion. Adblock Plus est là aussi aux avant-postes sur iOS et Android depuis trois ans. Sur smartphones et mobiles dotés de la dernière version du système d’exploitation iOS, la 11, Apple a mis en place à l’automne dernier une nouvelle fonctionnalité baptisée ITP (pour Intelligent Tracking Prevention) visant non seulement à protéger les données personnelles de ses utilisateurs, mais aussi à rendre plus difficile l’usage de cookies – mettant au passage à mal des prestataires du ciblage publicitaire tels que le français Criteo, leader mondial dans ce domaine.
En tout cas, la décision judiciaire de Cologne intervient au moment où, en Europe, le règlement général sur la protection des données personnelles (RGPD) est entré en vigueur depuis le 25 mai 2018. Il oblige les éditeurs du Net et les publicitaires à obtenir le consentement préalable des internautes avant de déposer tout cookie – notamment publicitaire – dans le terminal. En cas de non-respect du RGPD, des amendes pourront être infligées et atteindre jusqu’à 4 % du chiffre d’affaires global annuel des entreprises.
Les cookies sous l’œil de la Cnil
En France, le dépôt de cookies ou de logiciels dans les terminaux doit se conformer à la recommandation que la Commission nationale de l’informatique et des libertés (Cnil) avait émise le 5 décembre 2013 sur les
« cookies et autres traceurs » (5), puis publiée au Journal Officiel du 7 janvier 2014, afin de rappeler à l’ordre les éditeurs de sites web sur les règles applicables depuis 2011. @
Charles de Laubier
Déposer un code unique sur un téléviseur connecté, sorte de cookie qui permet de suivre à des fins publicitaires le comportement du téléspectateur, nécessite
un opt-in de la part ce dernier. Sinon, la collecte de données est « déloyale et trompeuse ». Vizio l’a appris à ses dépens.
Le 6 février 2017, le fabricant de téléviseurs connectés Vizio (1) a conclu un accord transactionnel avec l’autorité américaine de la protection des consommateurs, la FTC (2). Cet accord prévoit le paiement par Vizio d’une indemnité transactionnelle de 2,2 millions de dollars, et l’engagement par cette entreprise californienne de mettre en oeuvre un programme de conformité pour une durée de vingt ans. Homologué par un tribunal fédéral, cet accord nous apporte plusieurs enseignements, notamment sur le caractère sensible de données liées au visionnage de programmes audiovisuels, ainsi que sur les pouvoirs très étendus de la FTC.
Cookie sur la TV connectée sans opt-in
Les téléviseurs Vizio disposent d’un logiciel qui analyse les écrans visionnés par le téléspectateur. Ce logiciel analyse les pixels de l’écran, envoie cette information à la société Vizio qui croise cette information avec d’autres bases de données afin d’identifier le contenu visionné par le téléspectateur. Par exemple, Vizio pourra conclure qu’une série de pixels correspond à un épisode des Simpsons, ou à une publicité pour une voiture Renault. En somme, le logiciel Vizio est similaire à des cookies déployés aujourd’hui sur l’ordinateur d’un internaute, sauf que le logiciel Vizio est également conçu pour identifier les émissions de télévision ou les DVD regardés par l’utilisateur. Comme un réseau de publicité en ligne, Vizio vend cette information à des annonceurs et à des prestataires de publicité. Le nom de l’utilisateur n’est pas connu mais, comme pour les cookies, le téléviseur est identifié par un code unique qui permet de suivre le comportement du ou des téléspectateurs. La plupart des internautes sont aujourd’hui habitués aux publicités ciblées sur le Web : si je visite le site d’un constructeur automobile, je peux m’attendre à voir sur un autre site web une publicité de voiture. Ce qui est plus surprenant dans l’environnement de la télévision connectée est de voir sur son compte e-mail par exemple une publicité liée à un film que l’on vient de visionner. Jusqu’à présent, la télévision a été perçue comme une zone protégée contre le phénomène des cookies. Le logiciel Vizio a cassé cette séparation entre TV et Web, sans pour autant chercher le consentement explicite de l’utilisateur, ce qui a conduit la FTC et le procureur de l’état de New Jersey à entamer une procédure de sanction. La FTC a estimé que la collecte de données à caractère personnel par Vizio était à la fois « déloyale » et « trompeuse », ce qui est incompatible avec l’article 5 du Federal Trade Commission Act (FTC Act). Les Etats-Unis s’appuient sur la loi concernant la protection des consommateurs, et notamment l’article 5 du FTC Act, pour sanctionner les traitements illicites de données. Le concept de pratiques « déloyales et trompeuses » permet à la FTC d’atteindre certains des mêmes objectifs que ceux visés par la législation européenne, et notamment le nouveau règlement européen sur la protection des données à caractère personnel. Dans le cas présent, les pratiques de Vizio étaient déloyales et trompeuses car le consommateur moyen ne s’attend pas à ce que ses habitudes de visionnage soient suivies et exploitées sans son consentement explicite. Compte tenu de la sensibilité des données, l’utilisation de conditions générales pour recueillir le consentement n’est pas suffisante, selon la FTC. Un opt-in spécifique est nécessaire. On constate une ressemblance entre la position de la FTC et la position, en France, de la Commission nationale de l’informatique et des libertés (Cnil) en matière de consentement pour les cookies. La FTC cherche une adéquation entre le niveau de consentement, d’une part, et les attentes du consommateur, d’autre part. Une pratique qui est susceptible de surprendre le consommateur ne sera pas tolérée sans son consentement explicite. En revanche, une pratique qui est conforme aux attentes générales du consommateur pourra s’affranchir d’un consentement explicite préalable.
Données « sensibles » de TV connectées ?
Cette approche permet aux autorités américaines d’avoir une approche plus souple
et évolutive que leurs homologues européens, qui sont liés par des textes moins souples en matière de consentement. Dans la plainte de la FTC, celle-ci qualifie de
« sensibles » les données de visionnage collectées par Vizio. A défaut de textes explicites définissant ce qu’est une donnée « sensible », la FTC s’appuie sur une appréciation générale du préjudice potentiel qui pourrait découler de l’exploitation de certains types de données. La FTC cite une loi américaine qui interdit l’utilisation par
les câblo-opérateurs de données de visionnage pour des finalités liées à la publicité.
La FTC dispose d’une souplesse comparée à l’approche européenne en matière de protection des données à caractère personnel (3).
Les sept mots de la loi américaine
La FTC a bâti une jurisprudence sur la protection des données à caractère personnel aux Etats-Unis à partir d’une loi sur la protection des consommateurs qui se résume en sept mots : « Les pratiques déloyales et trompeuses sont interdites ». Le règlement européen, qui compte 61.723 mots pour sa version française, est plus détaillé mais
en même temps moins souple que la législation américaine. Dans le cas Vizio, la FTC
a pu construire une approche européenne sur le fondement des sept mots de la loi américaine. L’approche utilisée par la FTC en matière de consentement converge avec l’approche européenne. Dès lors qu’il s’agit de données sensibles et que le traitement par Vizio dépasse la zone de confort du consommateur moyen, un consentement explicite est nécessaire. La FTC impose à Vizio des conditions très précises sur le recueil du consentement, et la manière de présenter l’information. Celle-ci doit être
« incontournable » et « compréhensible pour un consommateur ordinaire ». La FTC a ordonné l’effacement par Vizio des données collectées avant le 1er mars 2016, et la mise en oeuvre d’un programme de conformité et de responsabilisation (accountability) digne d’un programme issu du règlement européen. La version moderne de l’accountability est née aux Etats-Unis en 1991 avec le décret américain sur les sanctions (4). Aujourd’hui, l’accountability (5) est l’un des piliers du nouveau règlement européen car il impose aux entreprises une série de mesures internes pour assurer
la conformité des pratiques de l’entreprise avec la réglementation (6). La liste des mesures imposées par la FTC dans l’affaire Vizio est impressionnante : l’entreprise californienne (basée à Irvine) doit nommer un délégué à la protection des données à caractère personnel ; elle doit conduire une étude d’impact sur la protection des données à caractère personnel pour identifier des risques ; elle doit mettre en place
des mesures de protection adéquates pour contrer ces risques. Ces mesures doivent inclure une formation des salariés et la mise en oeuvre de la protection des données à caractère personnel au stade de la conception des produits selon le principe du Privacy by Design. Vizio doit en outre mettre en oeuvre des mesures de contrôle internes, y compris des tests réguliers de la conformité. Le programme doit prévoir un mécanisme pour sélectionner des sous-traitants en fonction de leur niveau de protection des données à caractère personnel, et prévoir la mise en place de clauses contractuelles avec chaque sous-traitant pour garantir un niveau de protection élevé. L’entreprise doit aussi disposer de documents pour démontrer sa conformité avec chacune des engagements pris au titre de l’accord transactionnel. Elle doit faire appel à un auditeur indépendant, approuvé par la FTC, pour rédiger un rapport d’audit sur la conformité de Vizio avec ses engagements. L’audit doit avoir lieu tous les deux ans pendant vingt ans.
Rapport détaillé en février 2018
Au plus tard dans les douze mois suivant l’accord transactionnel, Vizio doit envoyer à la FTC un rapport détaillé sur la mise en oeuvre de l’ensemble des obligations découlant de l’accord. A travers cet accord transactionnel, la FTC a démontré non seulement la souplesse du concept de « pratique déloyale et trompeuse » mais également l’étendue des pouvoirs de la FTC de mettre en oeuvre un programme de suivi des engagements, dans l’esprit d’accountability. @
En France, bientôt des cookies dans la TV connectée ?
Le dépôt de cookies ou de logiciels dans les téléviseurs en France doit se conformer
à la recommandation de la Cnil sur les cookies. La personne concernée doit être informée et donner son consentement préalablement au dépôt de ces mouchards,
sauf si ces actions sont strictement nécessaires au fournisseur pour la délivrance d’un service expressément demandé par l’abonné ou l’utilisateur. Les solutions de mesures d’audience sont soumises à une simple déclaration auprès de la Cnil (et non à une demande d’autorisation). « La société Samsung nous a adressé en 2013 une déclaration relative à une prestation de services Smart TV. Nous leur avons envoyé un récépissé car leur demande était complète », indique la Cnil à Edition Multimédi@. Reste qu’en France la publicité ciblée est interdite à la télé. L’article 13 du décret de 1992 sur la publicité télévisée dit bien que « les messages publicitaires doivent être diffusés simultanément dans l’ensemble de la zone de service ». Mais des éditeurs de chaînes veulent une évolution de cette réglementation. « Si l’interdiction existante était levée, se poserait la question de la protection des données à caractère personnel des téléspectateurs. L’utilisation des données issues des “box” (composition du foyer, âge, etc.) pour pouvoir cibler les publicités qui leur seront adressées ne pose pas de problème en soi, tant qu’elle est envisagée au regard de la loi “Informatique et libertés” et de ses principes, dont l’information, le consentement, la durée de conservation des données ou la sécurité, etc. », nous précise la Cnil. BFM Paris, la nouvelle chaîne du groupe SFR, va tester l’été prochain des « publicités adressées ». Une première en France. C’est ce qu’a annoncé le 10 février dernier Alain Weill, directeur général de SFR Media, devant l’Association des journalistes médias (AJM). @
Charles de Laubier
La Commission européenne veut que sa nouvelle proposition sur le respect de la vie privée et la protection des données entre en vigueur le 25 mai 2018 « au plus tard », en même temps le règlement général « Protection des données » déjà promulgué le 4 mai 2016. Le débat se le dispute au lobbying
Quel est le lien entre la nouvelle proposition de règlement sur le respect de la vie privée que la Commission européenne a présentée le 10 janvier 2017 et le règlement général sur la protection des données adopté le 27 avril 2016 ? La première vient compléter le second (1), tout
en garantissant le droit fondamental au respect de la vie privée en ce qui concerne les services en ligne.
L’obligation du Privacy by Design
« Les nouvelles règles [sur la vie privée et les communications électroniques, ndlr] confèrent également aux particuliers et aux entreprises des droits et des protections spécifiques, qui ne sont pas prévus par le règlement général sur la protection des données. Elles garantissent, par exemple, la confidentialité et l’intégrité des appareils des utilisateurs (c’est-à-dire les ordinateurs portables, smartphones et tablettes), puisque les données stockées sur les appareils intelligents ne devraient être accessibles qu’après autorisation de l’utilisateur », explique la Commission européenne, dont Véra Jourová (2) (photo), qui demande au Parlement européen et au Conseil de l’Union européenne (UE) d’« avancer rapidement les travaux (législatifs) » et « à garantir leur adoption pour le 25 mai 2018 au plus tard, date à partir de laquelle le règlement général sur la protection des données entrera en application ». L’année 2017 sera donc cruciale dans ce rapport de forces.
Avec ce nouveau règlement, s’il n’est pas dénaturé d’ici là, l’Europe va se doter d’un cadre juridique complet sur le respect de la vie privée et la protection des données qu’aucune autre région du monde n’aura mis en oeuvre. A savoir : toutes les communications électroniques doivent être confidentielles à défaut de consentement
de l’utilisateur (SMS, e-mails, appels vocaux, …) ; la confidentialité des comportements en ligne et des appareils des utilisateurs est garantie (accéder aux informations stockées sur le terminal soumis à consentement, consentement préalable sur les cookies, excepté sur les témoins de connexion liés à des achats, à des formulaires
ou aux statistiques d’audience) ; le traitement des métadonnées et du contenu des communications est subordonné au consentement ; le publipostage et le marketing direct requièrent le consentement préalable (automates d’appel, SMS, e-mails, …). On le voit : le consentement préalable des internautes et des mobinautes est au cœur de cette proposition de règlement. Plus que jamais, les cookies et les spams sont dans le collimateur. Est-ce à dire que les utilisateurs du Net et des mobiles seront sollicités continuellement pour donner ou pas leur aval dans ces différentes situations ? Afin d’éviter que chacun ne soit contraint de répondre sans cesse à des demandes d’autorisation, la Commission européenne a prévu que les utilisateurs puisse « faire
un choix éclairé lorsqu’ils personnalisent leur navigateur ou qu’ils en modifient les paramètres ». Firefox, Internet Explorer, Chrome et autres Safari devront apporter – selon le principe du Privacy by Design – une complète transparence aux utilisateurs
qui pourront alors choisir un niveau plus ou moins élevé de protection de leur vie privée. La Commission européenne n’entend pas régir avec le futur règlement l’utilisation de bloqueurs de publicités, ces fameux ad-blockers, sur lesquels elle n’a rien à redire si
ce n’est que « les utilisateurs sont libres d’installer sur leurs appareils des logiciels permettant de désactiver l’affichage de publicités ». La proposition de règlement permet juste aux éditeurs de sites web de vérifier si le terminal de l’utilisateur final peut afficher leurs contenus, y compris les publicités, sans obtenir le consentement de l’utilisateur.
« Si un fournisseur de sites web constate que les contenus ne peuvent pas tous être affichés par l’utilisateur final, il lui appartient de réagir de manière appropriée, par exemple en demandant à l’utilisateur final s’il utilise un bloqueur de publicités et s’il accepterait de le désactiver lors de sa visite sur le site web concerné », précise-t-on.
Cryptage et conservation non traités
Concernant cette fois les données du Big Data, la nouvelle proposition permettra
aux entreprises de traiter à d’autres fins les contenus des communications et les métadonnées si les utilisateurs ont donné leur consentement, pour autant qu’elles respectent les garanties en matière de respect de la vie privée. Le cryptage, lui, ne relève pas du champs de ce nouveau projet de règlement, à charge aux acteurs de l’économie numérique d’assurer la sécurité conformément au règlement général de 2016 sur la protection des données et au futur code européen des communications électroniques (3). La conservation des données, elle, n’est pas non plus traitée dans
ce projet de texte, la Commission européenne renvoyant les Etats membres à leurs responsabilités au regard des questions de sécurité nationale, de sauvegarder des intérêts publics, ou de répression pénale.
Etno, GSMA, IAB, … : haro sur l’ePrivacy !
A ceci près que « les Etats membres doivent régir ces limitations en légiférant ; les limitations doivent respecter le contenu essentiel des droits fondamentaux ; et [elles] doivent être nécessaires, appropriées et proportionnées, conformément à la jurisprudence de la Cour de justice de l’Union européenne (CJUE), et notamment à son arrêt du 21 décembre 2016 ». Ce coup d’envoi du processus législatif donne aussi le top départ officiel pour les opérations d’intense lobbying pour tenter d’amender un texte jugé trop contraignant par les opérateurs télécoms (fixe ou mobile) et les professionnels de la publicité.
De concert, l’Etno et la GSMA – qui représentent respectivement les opérateurs télécoms historiques en Europe (4) et les opérateurs mobile dans le monde (5) – ont demandé à la Commission européenne de revoir sa copie. « Nous appelons les colégislateurs à corriger le nouveau règlement relatif à la vie privée et aux communications électroniques et à s’assurer qu’il permette une approche orientée client et prête pour les innovations. C’est le seul moyen pour l’UE de capitaliser sur l’économie des données, créer de nouvelles opportunités sociétales et stimuler la prestation de services client innovants », ont-ils déclaré le 10 janvier, soit le jour même de la présentation du projet à Bruxelles. Et de mettre en garde : « Une législation restrictive sur la protection des données représenterait un doublon réglementaire injuste en comparaison avec les autres secteurs ». Quant aux opérateurs de réseaux, ils déplorent que des obligations leur soient imposées, contrairement à leurs concurrents les acteurs du Net – presque tous américains au demeurant – que sont les GAFA (Google, Apple Facebook, Amazon et autres Microsoft ou Netflix), voire plus largement les Over-The- Top (OTT) soupçonnés fournir des services dits « de contournement » (messagerie instantanée, visiophonie, plateformes vidéo, …).
Les deux organisations – toutes deux basées à Bruxelles (Etno et GSMA Europe) – en appellent à la Commission européenne pour rectifier le tir afin, selon elles, de favoriser l’économie de la data (6). Pour cela, les « telcos » demandent à ce que le projet de règlement « Vie privée et données personnelles » soit corrigé afin d’être « pleinement aligné sur le RGPD [le règlement général de 2016 sur la protection des données, ndlr] en ce qui concerne l’approfondissement du traitement des données personnelles » et de permettre d’exploiter ces données lorsqu’elles sont « anonymisée » – on parle aussi de « pseudonymisation » – ou lorsqu’elles sont aussi exploitées par les acteurs du Net telles que « source, destination, date, heure et/ou localisation des données ou du dispositif ».
En plein déploiement de la fibre optique et préparatif de la 5G pour l’Internet des objets, sans parler de la perspective de la voiture connectée, Lise Fuhr, directrice générale de l’Etno (41 membres) et Afke Schaart, viceprésidente Europe de la GSMA (1.100 membres), mettent en garde la Commission européenne contre « un régime double au contour flou » : « Il n’y aura pas d’économie des données en Europe sans un règlement orienté vers l’innovation », déclare la première ; « Nous devons nous assurer que les exigences (…) n’interfèrent pas accidentellement avec l’utilisation de métadonnées », abonde la seconde.
Les professionnels de la publicité en ligne sont, eux aussi, montés au créneau pour exprimer pour ce qui les concerne leur. . . « consternation » quant à la règlementation
« ePrivacy » proposée. L’Interactive Advertising Bureau (IAB), par la voix de sa directrice Europe Townsend Feehan,n’a pas mâché ses mots en dénonçant ce qu’elle considère comme « une loi susceptible d’endommager indéniablement le modèle économique publicitaire et sans réels avantages pour les utilisateurs ».
Cookies et pub : réactions en chaîne
L’IAB (5.500 membres) s’en est inquiété directement en écrivant le 22 décembre dernier une lettre cosignée avec d’autres organisations (éditeurs, « marketeurs », annonceurs, et publicitaires) adressée à Andrus Ansip et Günther Oettinger, le premier – vice-président de la Commissaire européen en charge du Marché unique numérique – ayant repris le portefeuille « Economie et de la Société numériques » du second depuis le 1er janvier (7).
En France, à l’issue d’une réunion le 9 décembre dernier sur les cookies, l a Cnil
a ccorde un délai supplémentaire de mise en conformité – jusqu’à septembre 2017.
Elle devait rendre publique en janvier 2017 son analyse juridique sur la question. @
Charles de Laubier
La présidente de la Cnil, Isabelle Falque-Pierrotin, a indiqué à Edition Multimédi@ – en marge du DigiWorld Summit à Montpellier en novembre dernier – que les sites de presse en ligne sont parmi ceux qui ne respectent pas le consentement préalable des internautes avant toute dépose de cookies.
« A part Ouest-France, les sites de presse en ligne ne respectent la réglementation européenne sur les cookies, laquelle a pourtant été transposée dans la loi française “Informatique et Libertés” en 2011. Nous réunissons à
nouveau les éditeurs », nous a indiqué Isabelle Falque-
Pierrotin (photo), présidente de Commission nationale de l’informatique et des libertés (Cnil).
Réunion cruciale le 9 décembre
C’était en marge du DigiWorld Summit à Montpellier où elle est intervenue le 16 novembre sur le thème de la confiance dans l’économie numérique. Selon nos informations, les éditeurs de la presse sur Internet sont convoqués par la Cnil le
9 décembre prochain. Interrogée par EM@ sur l’état d’avancement des contrôles
que la Cnil a intensifiés depuis l’été dernier auprès des éditeurs sur le respect du consentement préalable des internautes – dit opt-in – avant toute dépose de cookies, Isabelle Falque-Pierrotin a déploré l’opposition de la presse de mettre en oeuvre ses recommandations émises il y a maintenant trois ans exactement. « Pour être valable, l’accord doit être exprimé avant le dépôt de cookie, de façon libre et en connaissant
la finalité des cookies déposés », rappelle la Cnil. C’est le 5 décembre 2013 qu’elle a adopté une recommandation « relative aux cookies et aux autres traceurs », qui avait été ensuite publiée au Journal Officiel du 7 janvier 2014, afin de rappeler à l’ordre les éditeurs de sites web sur les règles applicables depuis 2011 à ces mouchards électroniques ou trackers (1). Ces mesures redonnent aux internautes le pouvoir sur ces cookies qui sont déposés, souvent à leur insu, sur leur ordinateur, leur smartphone ou encore leur tablette, souvent à des fins de publicité en ligne plus ciblées. La quasi totalité du marché publicitaire sur Internet et les applications mobiles – plus de 2,6 milliards d’euros de chiffre d’affaires en 2015 en France, selon l’Institut de recherches et d’études publicitaires (Irep) – s’appuie sur l’existence de ces petits traceurs indiscrets. Or la législation européenne est ainsi passée du droit de refus (opt-out) au consentement préalable (opt-in). C’est la directive européenne « Service universel et droits des utilisateurs » de 2009 qui a posé « le principe selon lequel le stockage d’informations sur l’équipement d’un utilisateur ou l’accès à des informations déjà stockés, ne devaient être mises en oeuvre qu’avec le consentement préalable de l’utilisateur » (2).
La pression de la Cnil sur les éditeurs, notamment les récalcitrants de la presse en ligne, se fait d’autant plus forte que depuis le 8 octobre dernier a été publiée au Journal Officiel la loi « République numérique », laquelle porte de 150.000 euros à 3 millions euros (3) le montant maximal des sanctions de la Cnil en cas d’infraction (amendes perçues par le Trésor public et non par la Cnil elle-même). Certaines sanctions peut être rendues publiques si elles étaient assorties de l’obligation d’insérer la condamnation dans des journaux et sur le site web incriminé – et ce, aux frais de l’éditeur contrevenant.
Pour l’heure, la Cnil s’en tient depuis la fin du troisième trimestre 2014 à des contrôles sur place et/ou en ligne menés (plusieurs centaines effectués) auprès des éditeurs de services et de presse en ligne, et notifie depuis juin 2015 quelque mises en demeure (plusieurs dizaines signifiées). Mais aucune sanction pécuniaire n’a été infligée à ce jour, malgré des menaces qui se sont faites plus pressentes le printemps dernier (4).
La présidente de la Cnil avait alors parlé d’un « moratoire » dont ont bénéficié près d’une dizaine d’éditeurs pour une quarantaine de sites web.
La presse française se rebiffe
Les syndicats de la presse magazine (SEPM), de la presse quotidienne nationale (SPQN), de la presse en région (UPREG), ainsi que le Bureau de la radio (Europe 1, RFM, Virgin Radio, RTL, RTL 2, Fun Radio, NRJ, Chérie FM, Rire & Chansons, Nostalgie, RMC, BFM) et le Groupement des éditeurs de contenus et de services en ligne (Geste) où l’on retrouve bon nombre de sites web de médias (Le Figaro, Le Monde, Libération, L’Express, Le Nouvel Observateur, La Tribune, TF1, M6, France Télévisions, Radio France ou encore Lagardère Active), avaient tous alors cosigné un courrier adressé à Isabelle Falque-Pierrotin pour dénoncer l’« exception française » dont fait preuve à leurs yeux la Cnil en voulant sanctionner le dépôt de cookies sans consentement préalable des utilisateurs.
Depuis fin juillet dernier, la Cnil a repris ses contrôles menés par deux équipes. Les éditeurs de médias en ligne ne sont plus les seuls dans le collimateur. Toujours selon nos informations, les régies publicitaires et les plateformes publicitaires basées sur le traitement des données – ou DMP (Data Management Platform) telles que Criteo, Weborama ou encore 1000Mercis – sont elles aussi dans le viseur de la Cnil.
Prestataires ad et data aussi
Cette dernière veut y voir clair dans les responsabilités des différents acteurs, y compris les Ad-servers (les serveurs gestionnaires de e-publicités), et inciter les différents maillons de « la chaîne de la publicité en ligne » à respecter les règles sur les cookies. « L’obligation de recueillir le consentement n’intervient que lorsque l’affichage de la publicité s’accompagne d’un traçage et/ou d’une collecte d’informations relatives à l’internaute par le site ou par un tiers », a rappelé la Cnil aux éditeurs et publicitaires. Mais nombreux sont les éditeurs Internet à s’opposer à cette obligation, prétextant qu’ils rencontrent des difficultés pour recueillir le consentement préalable des internautes avant le dépôt et la lecture de cookies : « Cela ferait obstacle à l’affichage de certaines publicités, entraînant une perte de revenu importante ; les cookies ne proviendraient pas de leurs propres serveurs, étant liés à l’activité de tiers partenaires, sur laquelle ils ne disposeraient d’aucune maîtrise. En conséquence, les éditeurs ne peuvent, à eux seuls, porter l’entière responsabilité de l’application des règles relatives aux traceurs considérés comme des “cookies tiers” car provenant de sociétés tierces ».
Pour la Cnil, ces intermédiaires techniques sont tenus de respecter la loi « Informatique et Libertés », et notamment le principe du consentement préalable de l’internaute au dépôt du traceur recueillant ses informations sur sa navigation, son profil, afin de lui délivrer des publicités ciblées et définir des algorithmes pour réaliser du profilage. Sinon, « la collecte des données par un cookie déposé avant l’acceptation de l’internaute (qui peut s’exprimer en déroulant la page visitée) est susceptible d’engager tant la responsabilité des éditeurs que celle des sociétés tierces ». C’est la raison pour laquelle la Cnil avait décidé l’été dernier d’étendre ses contrôles au-delà des seuls éditeurs de sites Internet, tout en rappelant aux impétrants qu’ils doivent respecter en outre la durée de conservation des cookies (13 mois maximum) et que les données collectées par leur biais doivent être aussi conservées pour une durée limitée.
Mais la Cnil ne peut faire cavalier seul dans ce domaine sur le Vieux Continent. Les
« Cnil » européennes doivent se concerter afin d’harmoniser leurs contrôles, voire leurs sanctions. Or, à ce stade, il n’y a pas d’accord (France et Grande-Bretagne n’ont pas
la même approche par exemple). « Lors de l’entrée en application du règlement européen relatif à la protection des données personnelles en [mai] 2018, les partenaires devront aussi communiquer l’origine des informations qu’ils utilisent ainsi que leur durée de conservation et préciser si un profilage est mis en oeuvre et la logique sous-jacente en cas de prise de décision automatisée ». @
Charles de Laubier
Comment Ouest-france.fr et Cnil.fr annoncent la couleur
« Ce site utilise des cookies. En poursuivant votre navigation sur ce site, vous acceptez l’utilisation des cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts et nous permettre de réaliser des statistiques de visites. Vous pouvez modifier les réglages d’acceptation des cookies pour ce site », avertit et justifie le site web du quotidienOuest-France.
Et d’expliquer ensuite : « Cliquez sur chaque catégorie pour activer ou désactiver l’utilisation des cookies. Le bandeau de couleur indique si les cookies sont actifs (vert, sur la gauche) ou inactifs (rouge, sur la droite) ».
Quant au site web de la Cnil, qui est censé montrer le bon exemple, il se veut plus synthétique et propose une alternative : « En poursuivant votre navigation, vous acceptez le dépôt de cookies tiers destinés à vous proposer des vidéos, des boutons de partage, des remontées de contenus de plateformes sociales. “OK, tout accepter”
ou “Personnaliser” ». @