Publicité en ligne : les GAFA américains n’ont pas réussi à tuer l’ex-licorne française Criteo

Alors qu’il sera redevable de la taxe « GAFA » de 3 % applicable dès cette année, le spécialiste mondial du (re)ciblage publicitaire en ligne – le français Criteo – a frôlé la catastrophe industrielle après avoir été déstabilisé par Apple et Facebook. Son chiffre d’affaires a stagné en 2018, à 2,3 milliards de dollars. Et son résultat net a reculé, à 96 millions de dollars.

Impactée coup sur coup, d’une année à l’autre, par deux décisions successives prises de façon unilatérale par les américains Apple et Facebook, l’ex-licorne française Criteo – valorisée 1,8 milliard au Nasdaq (1) où elle est cotée depuis 2013 – aurait pu mettre la clé sous la porte si elle n’avait pas « pivoté » à temps vers le ciblage mobile (2). Son PDG cofondateur Jean-Baptiste Rudelle (photo) a même parlé de « choc exogène très violent ». La première déstabilisation de l’écosystème de Criteo – vulnérable aux choix technologiques des GAFA – est venue en décembre 2017 d’Apple, qui a fait des changements dans son système d’exploitation et son navigateur Safari – à partir de sa version 11.

Entre la fraude aux clics et le RGPD, sans parler de la taxe « GAFA »
Le but de la marque à la pomme : rendre plus difficile et limité le pistage des utilisateurs par des cookies – ces petits fichiers de suivi logé dans le terminal de ce dernier à des fins de ciblage publicitaire. Apple interdit depuis toute utilisation de cookies plus de vingt-quatre heures, conformément à son Intelligent Tracking Prevention (ITP). Et au bout de trente jours, ils sont automatiquement supprimés ! Ces changements sont intervenus avec le système d’exploitation iOS 11.2 pour mobile.
Après Apple, ce fut au tour de Facebook de s’en prendre l’an dernier à l’ex-licorne française en mettant un terme au partenariat avec elle à partir de juillet 2018. La perte de l’accréditation « Facebook Marketing Partner » empêche Criteo d’accéder aux outils de ciblage publicitaire proposés en version bêta par le premier réseau social mondial. Cette rétrogradation fut Continuer la lecture

La publicité doit-elle être soumise au consentement quand elle est géolocalisée ?

Avec quatre mises en demeure publiées entre juin et novembre sur la géolocalisation publicitaire, la Commission nationale de l’informatique et des libertés (Cnil) « feuilletonne » sa doctrine en la matière. Or le RGPD européen n’exige pas toujours le consentement préalable des utilisateurs.

Etienne Drouard, avocat associé, et Lucile Rolinet, juriste, cabinet K&L Gates

La Cnil a d’abord publié deux mises en demeure à l’encontre des sociétés Fidzup et Teemo pour défaut de recueil du consentement à la collecte et au traitement de données de géolocalisation à des fins publicitaires. Dès le 3 octobre cependant,
elle mettait fin à la mise en demeure de la société Teemo (1) en décrivant précisément les mesures nouvelles prises par cette dernière pour se conformer à ses injonctions publiques (2). Sans discussion.

Réguler par les médias ou par le droit ?
Puis le 23 octobre, Singlespot (3) subissait à son tour la même mise au pilori de la part de la Cnil (4), et le 9 novembre 2018 (5), la société Vectaury était elle aussi épinglée (6) pour non recueil du consentement à la géolocalisation publicitaire. Jusqu’à présent, la Cnil publiait rarement ses mises en demeure – de quatre à quinze par an au cours des six dernières années – mais la série de publications qui s’est ouverte depuis l’entrée en vigueur du règlement général sur la protection des données personnelles (RGPD) le 25 mai 2018 semble marquer une nouvelle méthode de régulation. Celle-ci repose davantage sur la vindicte médiatique que sur le débat contradictoire, pourtant essentiel à un procès équitable. Elle incarne le souhait de la Cnil de montrer l’exemple (et les dents), tout en laissant aux sociétés intimées la possibilité de se conformer dans le délai qui leur est imparti, sans encourir d’autre sanction que médiatique. Il faut dire qu’une simple mise en demeure suffit pour la Cnil obtienne tout ce qu’elle désire…,
tant le niveau des amendes que peut désormais prononcer la Cnil depuis la date d’entrée en application du RGPD est effrayant (jusqu’à 4 % du chiffre d’affaires mondial consolidé). Au risque d’ancrer une doctrine sans le moindre débat juridique et avec
des raisonnements discutables sur le fond. Discutons-en, donc.
• A chaque finalité son consentement ? La Cnil menace de sanctionner l’absence de consentement des personnes concernées au traitement de leurs données personnelles pour recevoir de la publicité ciblée sur leur téléphone mobile. Pour ce faire, elle se fonde sur un élément de doctrine non expliqué, qui pourrait se résumer à la formule très simple – et très fausse : « Une finalité, un consentement ». Selon cette doctrine, toute personne ayant consenti à la géolocalisation devrait par ailleurs avoir la possibilité de consentir – ou de ne pas consentir – séparément et pour chaque finalité distincte, à chacune des utilisations de sa géolocalisation : contractuelle, publicitaire, etc.
La définition du consentement stabilisée par la directive européenne « Protection des données personnelles » de 1995 (95/46) n’a pas été modifiée par les quatre années d’élaboration du RGPD. Le consentement se définit comme toute manifestation de volonté univoque, libre, explicite, informée et spécifique, par laquelle une personne concernée peut accepter par une déclaration ou un acte positif clair le traitement de ses données personnelles (7), notamment le premier d’entre eux : la collecte de données. Selon les récentes lignes directrices des régulateurs européens (8), le consentement est absolument discrétionnaire. Lorsqu’il est requis, il doit être spécifique à chaque finalité. Il ne peut être soumis à aucune condition, avantage ou détriment. Il est rétractable à l’envi ; il est d’une durée de validité limitée et il doit être renouvelé. Il est indépendant de l’accès à un service, quel que soit le modèle économique en jeu. Ainsi, lorsque le consentement est requis, le traitement d’une donnée est interdit tant qu’un consentement valable n’a pas été exprimé sur la base d’une information complète fournie aux personnes, dénuée de toute manipulation ou omission susceptible de les influencer dans leur libre choix.

Des cookies à la géolocalisation publicitaire
Le consentement est donc un régime d’interdiction a priori, qui déplace l’action de réguler sur les personnes. Ce véritable « droit au caprice », qui place la volonté libre
de l’individu au-dessus de toute autre considération, ne peut constituer le fondement d’aucun service (le consentement se distingue de l’adhésion à un contrat) ni d’aucun modèle économique. En effet, quelqu’un a-t-il déjà donné pareil consentement à l’usage publicitaire de la géolocalisation, sans contrepartie, à un tiers qui ne lui promet rien ? Créé en France en 1978 pour interdire le traitement des données sensibles relatives aux opinions politiques, philosophiques, religieuses ou syndicales, ce consentement-là, absolu et sanctifié, n’a jamais été « lâché seul » dans la sphère économique sans coexister avec des alternatives tout autant protectrices de l’individu (et malgré lui) et économiquement compatibles.
• Géolocalisation, consentement et information. Le consentement à la collecte de données de géolocalisation est exigé par la directive européenne « ePrivacy » (9) de 2002 (2002/58), transposée en droit français dans le code des postes et des télécommunications électroniques (10). Il est d’une nature similaire à l’exigence du consentement à la collecte des données sensibles (11) ou du consentement au dépôt ou à la lecture de « cookies » ou de traceurs en ligne (12).

Des raccourcis trompeurs et dangereux ?
La Cnil a mis en demeure les entreprises concernées au motif du défaut d’information préalable relatif à l’usage des données de géolocalisation à des fins publicitaires. Cette information est requise, quelle que soit la base légale sur laquelle repose la ou les finalité(s) de collecte ou d’utilisation des données. Elle peut, juridiquement, être concomitante à la collecte de la donnée de géolocalisation, mais elle doit en tout état
de cause être préalable à l’usage publicitaire d’une donnée de géolocalisation (13).
Le RGPD n’exige pas toujours le consentement ; il exige une base légale. C’est la faculté de collecter la donnée – de géolocalisation, ou sensible ou de l’identifiant d’un terminal – qui est soumise au consentement et non pas l’usage ultérieur qui sera fait
de cette donnée. Cet usage ultérieur peut être justifié par une nécessité technique, servicielle ou contractuelle, ou une faculté publicitaire ou une obligation légale. Cet usage ultérieur doit donc faire l’objet d’une information des personnes – dans tous les cas. Toutefois, chacun de ces usages postérieurs n’est pas forcément soumis au consentement des personnes. Tout dépendra de la base légale qui fonde chacun de ces usages ultérieurs. En effet, la règle posée par le RGPD n’est pas « une finalité =
un consentement », mais « une finalité = une base légale ». Or, le consentement n’est qu’une des six bases légales retenues par le RGPD et il n’a pas de rang prioritaire sur les autres. Tout dépend de la finalité d’utilisation concernée. La Cnil ne justifie pas en quoi l’utilisation publicitaire des données de géolocalisation collectées avec le consentement des personnes (14), serait-elle-même soumise à un consentement spécifique. En effet, lorsque la finalité d’utilisation d’une donnée est une géolocalisation servicielle, c’est-à-dire strictement nécessaire à la fourniture d’un service ou souscrit par la personne, le consentement discrétionnaire des personnes s’effacera au profit
de la nécessité pour l’entreprise d’exécuter un contrat d’adhésion souscrit par les personnes et qui implique l’utilisation « servicielle » – contractuelle – de la donnée de géolocalisation (15). Tel est le cas pour l’utilisateur d’une application de cartographie routière de type Waze, Plans, Mappy ou Google Maps. Lorsque la collecte des données de géolocalisation est nécessaire à la sauvegarde de la vie humaine (16), le consentement sera écarté et l’utilisation d’une donnée de géolocalisation par les services d’urgence (Police Secours, SAMU, Pompiers) leur permet d’obtenir des opérateurs télécoms la géolocalisation de l’appel d’une personne en détresse. Enfin, lorsque la géolocalisation est nécessaire à l’exécution d’une mission de service public, telle la collecte des points et horaires d’entrée et de sortie d’une section d’autoroute à péage, l’absence du recueil du consentement, matériellement impossible, n’empêchera pas les sociétés d’exploitation d’autoroute de recueillir les données de géolocalisation de leurs usagers.
Concernant la géolocalisation destinée à déclencher l’affichage publicitaire sur mobile, la base légale ne pourra être que l’intérêt légitime prévu par le RGPD et explicitement décrit à son considérant 47. D’ailleurs, quel utilisateur averti serait-il assez « original » pour désirer librement et sans la moindre incitation faire l’objet de publicités géociblées ? Si l’usage publicitaire d’une donnée n’est possible qu’à l’égard des personnes qui y consentent librement, cela signifie en droit et en pratique que l’usage publicitaire est interdit a priori par le RGPD. Or, c’est tout le contraire qui a été arbitré dans le RGPD, malgré la réticence à cet égard des régulateurs nationaux tels que la Cnil. En effet,
le RGPD requiert la démonstration d’un équilibre entre les garanties offertes aux personnes en contrepartie de l’intérêt commercial pour l’entreprise exploitant les données (17). La personne ayant téléchargé une application et ayant expressément consenti à la collecte de ses données de géolocalisation, doit être informée que ses données peuvent être utilisées à des fins de publicité et elle doit pouvoir… s’y opposer, dès lors que cette faculté d’opposition lui est offerte aisément et à tout moment.

Le RGPD n’est pas un texte « à la carte »
Il serait dangereux que le RGPD devienne un texte « à la carte » pour les régulateurs.
Il ne l’est pas pour les justiciables. Ne rompons pas la belle promesse de sécurité juridique et d’harmonisation européenne que l’Union européenne brandit à la face du monde avec le RGPD. Si nous ne tenions pas cette promesse, nous en serions, nous Européens, les principales victimes. @

Pourquoi Axel Springer a perdu son procès contre Eyeo, éditeur du logiciel Adblock Plus

Retour sur un verdict attendu depuis trois ans : dans sa décision du
19 avril 2018, la Cour suprême fédérale de Justice allemande a jugé
« légal » le logiciel de blocage de publicités en ligne Adblock Plus, déboutant le groupe de médias Axel Springer de sa plainte pour concurrence déloyale.

C’est un revers pour le groupe allemand qui publie non le quotidien Bild,
le plus lu outre-Rhin et la plus forte diffusion de la presse en Europe occidentale, mais aussi Die Welt, ainsi que de nombreux sites web (Businessinsider.com, SeLoger, Logic-Immo, …). En 2015, l’éditeur berlinois avait fait appel et obtenu un référé à l’encontre de la société allemande Eyeo qui éditeur Adblock Plus, l’un des logiciels anti-pub sur Internet les plus utilisés dans le monde.

Consécration de l’adblocking
Axel Springer avait essuyé un échec en première instance à Cologne où Eyeo avait remporté une première victoire judiciaire – comme cela avait déjà été le cas après les premières plaintes de ProSiebenSat.1 Media et RTL Group. Mais, en juin 2016, la cour d’appel de Cologne ne l’avait pas entendu de cette oreille en voyant au contraire de la concurrence déloyale dans l’activité de la société Eyeo qui avait alors porté l’affaire devant la Cour suprême fédérale de Justice allemande. Cette fois, c’est de nouveau Eyeo qui l’emporte. La plus haute juridiction allemande basée à Karlsruhe a en effet rendu son verdict le 19 avril dernier (1), en jugeant « légal » le logiciel Adblock Plus. « L’offre du logiciel bloqueur de publicités Adblock Plus ne viole pas la loi contre la concurrence déloyale », ont déclaré les juges suprêmes. Ils estiment que le programme informatique n’interférait pas dans l’offre publicitaire des sites web des éditeurs et des médias et surtout que son utilisation dépendait de « la décision autonome des internautes ». Adblock Plus, qui est une extension téléchargeable gratuitement pour fonctionner avec tout navigateur web, est actif sur plus de 100 millions de terminaux dans le monde, Europe en tête.
Mais, toutes marques confondues, le nombre de ces logiciels anti-pub installés dans tous les pays dépasserait les 600 millions. C’est dire que le verdict aura des implications bien au-delà de l’Allemagne. Pour la Cour suprême, il s’agit d’une nouvelle façon de faire jouer la concurrence et en toute légalité. Il n’y a pas à ses yeux de pratique commerciale illégale. La société Eyeo – cofondée par son président Tim Schumacher, son directeur général Till Faida et son développeur Wladimir Palant – s’est défendue de vouloir entraver l’activité des éditeurs. Elle a dit rechercher simplement à rendre plus légitimes ses propres objectifs commerciaux, sans passer outre les barrières techniques que le groupe Axel Springer avait mis en place pour protéger ses contenus. Les juges ont estimé qu’utiliser un adblocker est un choix d’utilisateur indépendant, tout en soulignant que les éditeurs de sites web et de médias en ligne avaient adopté des contre-mesures telles que le renvoi des utilisateurs ayant un adblocker activé vers des espaces payants (paywalls). Le verdict du 19 avril va donc à l’encontre du tribunal régional de Cologne, lequel, en juin 2016, avait au contraire jugé déloyale (2) au regard de la concurrence l’activité de la société Eyeo (dont le siège social est à Cologne justement). Et ce, en incitant d’autres acteurs du marché à prendre des décisions qu’ils n’auraient prises pas autrement : de telles pratiques commerciales agressives sont sanctionnées par la section 4a du la loi allemande sur la concurrence déloyale si elles résultent d’un abus de pouvoir commercial. Contrairement au tribunal de Cologne, la Cour suprême constate qu’Eyeo n’a pas influencé à l’excès les annonceurs qui veulent faire affaire avec les sites web d’Axel Springer.
L’outil controversé bloque les publicités intempestives, les « pop-up » ou encore les pubs vidéo. La société Eyeo a en effet constitué avec des annonceurs une « liste blanche » qui sélectionne les publicités en ligne jugées les moins intrusives selon ses propres critères. Les internautes peuvent ainsi bloquer celles qui ne sont pas des « Acceptable Ads », lesquelles se retrouvent cette fois dans une « liste noire », ou bien l’utilisateur peut au contraire choisir de désactiver cette option pour n’en bloquer aucune. Cela revient à « whitelister » les éditeurs qui acceptent de payer une taxe sur leurs recettes publicitaires pour passer entre les mailles du filet Adblock Plus, et donc à « blacklister » ceux qui refusent de payer.
Ce droit de passage est dénoncé par des éditeurs de sites web et des médias.

Une « liste blanche » payante
« Ce qui est surprenant dans cette décision est l’approbation de l’adblocking indépendamment du modèle économique qui le sous-tend derrière. (…) Mais le jugement devrait-il changer si, comme Adblock Plus, le bloqueur de publicité rend disponible une liste blanche pour contenter des éditeurs et des annonceurs contre le paiement ? », s’interroge Anthonia Ghalamkarizadeh, conseil juridique chez Hogan Lovells à Hambourg.
Car si un éditeur de contenu ou un annonceur veulent que leurs messages publicitaires pénètrent dans la barrière du adblocking, un paiement peut aboutir à un traitement préférentiel. « Et l’adblocker devient commercialement partisan, poursuit-elle. Ce n’est pas certainement dans l’intérêt supérieur des utilisateurs, dont la liberté de choix est fortement mise sous le feu des projecteurs dans le débat en cours sur l’adblocking ».

Entrave à la liberté de la presse ?
A l’issu du verdict, la société Eyeo s’en est félicitée : « Nous sommes satisfaits que la plus haute juridiction d’Allemagne ait soutenu le droit de chaque citoyen Internet à bloquer la publicité indésirable en ligne. Comme nous le faisons depuis 2014, nous continuerons à nous battre pour les droits des utilisateurs en Allemagne et dans le monde entier ». Après sa défaite judiciaire, Axel Springer a indiqué à l’agence de presse allemande DPA vouloir déposer « une plainte constitutionnelle pour entrave à la liberté de la presse ». Au-delà de l’affaire « Adblock Plus » en Allemagne, c’est tous les logiciels de blocage de publicités numériques ainsi que les extensions anti-pub présentes dans tous les navigateurs web – Firefox (Mozilla), Safari (Apple), Internet Explorer (Microsoft), Chrome (Google), Opera (Opera Software) – ou sur tous les systèmes d’exploitation mobile, qui se trouvent légitimés partout dans le monde.
De son côté, la Fédération des éditeurs allemands de journaux (BDZV) a exprimé son « incompréhension » envers cette décision qui « rend massivement vulnérable n’importe quel modèle de financement de contenus journalistiques en ligne basé sur des revenus publicitaires numériques ». Les éditeurs et les médias en ligne s’inquiètent du manque à gagner grandissant. En France, où les pertes des éditeurs sont allées jusqu’à 25 % de leur chiffre d’affaires, l’affaire n’a pas été portée devant la justice mais des médias en ligne ont mené des campagnes anti-adblocking auprès des internautes. Et depuis mars 2018, des sites web ont commencé à être labellisés « Digital Ad Trust » par l’Alliance pour les chiffres de la presse et des médias (APCM) et le Centre d’étude des supports de publicité (CESP). Quant à l’Interactive Advertising Bureau (IAB), organisation professionnelle de la pub online, elle mobilise les différents acteurs autour de « bonnes pratiques vertueuses » avec l’élaboration au niveau international d’une
« charte de bonnes pratiques » (3). Au niveau européen, le label EVCF – European Viewability Certification Framework – a été lancée en août 2017
à Bruxelles par l’European Viewability Steering Group (EVSG), lequel fut créé fin 2015 à l’initiative de l’IAB Europe, de la European Association of Communications Agencies (EACA) et de la World Federation of Advertisers (WFA) « afin d’appliquer des standards européens uniformes et équitables dans la mesure de la visibilité de la publicité numérique » (4). Tandis que la société Eyeo, elle, va donc pouvoir continuer à tirer profit du adblocking, les éditeurs de contenus et de médias en ligne vont, eux, devoir d’armer de contre-mesures pour dissuader les internautes à utiliser de tels outils : inciter les visiteurs à payer s’ils ne veulent pas de publicités (paywalls), inventer de nouvelles publicités en ligne moins intrusives, plus dynamiques, voire refuser des internautes équipés d’adblockers – ce qui pourrait être considéré comme une pratique illégale au regard de la protection des données et de la vie privée.
Mais il y a un nouveau défi à relever : limiter le blocage des e-pubs dans les applications mobiles (in-app), bien que les obstacles techniques freinent pour l’instant son expansion. Adblock Plus est là aussi aux avant-postes sur iOS et Android depuis trois ans. Sur smartphones et mobiles dotés de la dernière version du système d’exploitation iOS, la 11, Apple a mis en place à l’automne dernier une nouvelle fonctionnalité baptisée ITP (pour Intelligent Tracking Prevention) visant non seulement à protéger les données personnelles de ses utilisateurs, mais aussi à rendre plus difficile l’usage de cookies – mettant au passage à mal des prestataires du ciblage publicitaire tels que le français Criteo, leader mondial dans ce domaine.
En tout cas, la décision judiciaire de Cologne intervient au moment où, en Europe, le règlement général sur la protection des données personnelles (RGPD) est entré en vigueur depuis le 25 mai 2018. Il oblige les éditeurs du Net et les publicitaires à obtenir le consentement préalable des internautes avant de déposer tout cookie – notamment publicitaire – dans le terminal. En cas de non-respect du RGPD, des amendes pourront être infligées et atteindre jusqu’à 4 % du chiffre d’affaires global annuel des entreprises.

Les cookies sous l’œil de la Cnil
En France, le dépôt de cookies ou de logiciels dans les terminaux doit se conformer à la recommandation que la Commission nationale de l’informatique et des libertés (Cnil) avait émise le 5 décembre 2013 sur les
« cookies et autres traceurs » (5), puis publiée au Journal Officiel du 7 janvier 2014, afin de rappeler à l’ordre les éditeurs de sites web sur les règles applicables depuis 2011. @

Charles de Laubier

Affaire Vizio : des cookies sans consentement préalable sur les TV connectées, c’est illégal

Déposer un code unique sur un téléviseur connecté, sorte de cookie qui permet de suivre à des fins publicitaires le comportement du téléspectateur, nécessite
un opt-in de la part ce dernier. Sinon, la collecte de données est « déloyale et trompeuse ». Vizio l’a appris à ses dépens.

Par Winston Maxwell, avocat associé, Hogan Lovells

Le 6 février 2017, le fabricant de téléviseurs connectés Vizio (1) a conclu un accord transactionnel avec l’autorité américaine de la protection des consommateurs, la FTC (2). Cet accord prévoit le paiement par Vizio d’une indemnité transactionnelle de 2,2 millions de dollars, et l’engagement par cette entreprise californienne de mettre en oeuvre un programme de conformité pour une durée de vingt ans. Homologué par un tribunal fédéral, cet accord nous apporte plusieurs enseignements, notamment sur le caractère sensible de données liées au visionnage de programmes audiovisuels, ainsi que sur les pouvoirs très étendus de la FTC.

Cookie sur la TV connectée sans opt-in
Les téléviseurs Vizio disposent d’un logiciel qui analyse les écrans visionnés par le téléspectateur. Ce logiciel analyse les pixels de l’écran, envoie cette information à la société Vizio qui croise cette information avec d’autres bases de données afin d’identifier le contenu visionné par le téléspectateur. Par exemple, Vizio pourra conclure qu’une série de pixels correspond à un épisode des Simpsons, ou à une publicité pour une voiture Renault. En somme, le logiciel Vizio est similaire à des cookies déployés aujourd’hui sur l’ordinateur d’un internaute, sauf que le logiciel Vizio est également conçu pour identifier les émissions de télévision ou les DVD regardés par l’utilisateur. Comme un réseau de publicité en ligne, Vizio vend cette information à des annonceurs et à des prestataires de publicité. Le nom de l’utilisateur n’est pas connu mais, comme pour les cookies, le téléviseur est identifié par un code unique qui permet de suivre le comportement du ou des téléspectateurs. La plupart des internautes sont aujourd’hui habitués aux publicités ciblées sur le Web : si je visite le site d’un constructeur automobile, je peux m’attendre à voir sur un autre site web une publicité de voiture. Ce qui est plus surprenant dans l’environnement de la télévision connectée est de voir sur son compte e-mail par exemple une publicité liée à un film que l’on vient de visionner. Jusqu’à présent, la télévision a été perçue comme une zone protégée contre le phénomène des cookies. Le logiciel Vizio a cassé cette séparation entre TV et Web, sans pour autant chercher le consentement explicite de l’utilisateur, ce qui a conduit la FTC et le procureur de l’état de New Jersey à entamer une procédure de sanction. La FTC a estimé que la collecte de données à caractère personnel par Vizio était à la fois « déloyale » et « trompeuse », ce qui est incompatible avec l’article 5 du Federal Trade Commission Act (FTC Act). Les Etats-Unis s’appuient sur la loi concernant la protection des consommateurs, et notamment l’article 5 du FTC Act, pour sanctionner les traitements illicites de données. Le concept de pratiques « déloyales et trompeuses » permet à la FTC d’atteindre certains des mêmes objectifs que ceux visés par la législation européenne, et notamment le nouveau règlement européen sur la protection des données à caractère personnel. Dans le cas présent, les pratiques de Vizio étaient déloyales et trompeuses car le consommateur moyen ne s’attend pas à ce que ses habitudes de visionnage soient suivies et exploitées sans son consentement explicite. Compte tenu de la sensibilité des données, l’utilisation de conditions générales pour recueillir le consentement n’est pas suffisante, selon la FTC. Un opt-in spécifique est nécessaire. On constate une ressemblance entre la position de la FTC et la position, en France, de la Commission nationale de l’informatique et des libertés (Cnil) en matière de consentement pour les cookies. La FTC cherche une adéquation entre le niveau de consentement, d’une part, et les attentes du consommateur, d’autre part. Une pratique qui est susceptible de surprendre le consommateur ne sera pas tolérée sans son consentement explicite. En revanche, une pratique qui est conforme aux attentes générales du consommateur pourra s’affranchir d’un consentement explicite préalable.

Données « sensibles » de TV connectées ?
Cette approche permet aux autorités américaines d’avoir une approche plus souple
et évolutive que leurs homologues européens, qui sont liés par des textes moins souples en matière de consentement. Dans la plainte de la FTC, celle-ci qualifie de
« sensibles » les données de visionnage collectées par Vizio. A défaut de textes explicites définissant ce qu’est une donnée « sensible », la FTC s’appuie sur une appréciation générale du préjudice potentiel qui pourrait découler de l’exploitation de certains types de données. La FTC cite une loi américaine qui interdit l’utilisation par
les câblo-opérateurs de données de visionnage pour des finalités liées à la publicité.
La FTC dispose d’une souplesse comparée à l’approche européenne en matière de protection des données à caractère personnel (3).

Les sept mots de la loi américaine
La FTC a bâti une jurisprudence sur la protection des données à caractère personnel aux Etats-Unis à partir d’une loi sur la protection des consommateurs qui se résume en sept mots : « Les pratiques déloyales et trompeuses sont interdites ». Le règlement européen, qui compte 61.723 mots pour sa version française, est plus détaillé mais
en même temps moins souple que la législation américaine. Dans le cas Vizio, la FTC
a pu construire une approche européenne sur le fondement des sept mots de la loi américaine. L’approche utilisée par la FTC en matière de consentement converge avec l’approche européenne. Dès lors qu’il s’agit de données sensibles et que le traitement par Vizio dépasse la zone de confort du consommateur moyen, un consentement explicite est nécessaire. La FTC impose à Vizio des conditions très précises sur le recueil du consentement, et la manière de présenter l’information. Celle-ci doit être
« incontournable » et « compréhensible pour un consommateur ordinaire ». La FTC a ordonné l’effacement par Vizio des données collectées avant le 1er mars 2016, et la mise en oeuvre d’un programme de conformité et de responsabilisation (accountability) digne d’un programme issu du règlement européen. La version moderne de l’accountability est née aux Etats-Unis en 1991 avec le décret américain sur les sanctions (4). Aujourd’hui, l’accountability (5) est l’un des piliers du nouveau règlement européen car il impose aux entreprises une série de mesures internes pour assurer
la conformité des pratiques de l’entreprise avec la réglementation (6). La liste des mesures imposées par la FTC dans l’affaire Vizio est impressionnante : l’entreprise californienne (basée à Irvine) doit nommer un délégué à la protection des données à caractère personnel ; elle doit conduire une étude d’impact sur la protection des données à caractère personnel pour identifier des risques ; elle doit mettre en place
des mesures de protection adéquates pour contrer ces risques. Ces mesures doivent inclure une formation des salariés et la mise en oeuvre de la protection des données à caractère personnel au stade de la conception des produits selon le principe du Privacy by Design. Vizio doit en outre mettre en oeuvre des mesures de contrôle internes, y compris des tests réguliers de la conformité. Le programme doit prévoir un mécanisme pour sélectionner des sous-traitants en fonction de leur niveau de protection des données à caractère personnel, et prévoir la mise en place de clauses contractuelles avec chaque sous-traitant pour garantir un niveau de protection élevé. L’entreprise doit aussi disposer de documents pour démontrer sa conformité avec chacune des engagements pris au titre de l’accord transactionnel. Elle doit faire appel à un auditeur indépendant, approuvé par la FTC, pour rédiger un rapport d’audit sur la conformité de Vizio avec ses engagements. L’audit doit avoir lieu tous les deux ans pendant vingt ans.

Rapport détaillé en février 2018
Au plus tard dans les douze mois suivant l’accord transactionnel, Vizio doit envoyer à la FTC un rapport détaillé sur la mise en oeuvre de l’ensemble des obligations découlant de l’accord. A travers cet accord transactionnel, la FTC a démontré non seulement la souplesse du concept de « pratique déloyale et trompeuse » mais également l’étendue des pouvoirs de la FTC de mettre en oeuvre un programme de suivi des engagements, dans l’esprit d’accountability. @

ZOOM

En France, bientôt des cookies dans la TV connectée ?
Le dépôt de cookies ou de logiciels dans les téléviseurs en France doit se conformer
à la recommandation de la Cnil sur les cookies. La personne concernée doit être informée et donner son consentement préalablement au dépôt de ces mouchards,
sauf si ces actions sont strictement nécessaires au fournisseur pour la délivrance d’un service expressément demandé par l’abonné ou l’utilisateur. Les solutions de mesures d’audience sont soumises à une simple déclaration auprès de la Cnil (et non à une demande d’autorisation). « La société Samsung nous a adressé en 2013 une déclaration relative à une prestation de services Smart TV. Nous leur avons envoyé un récépissé car leur demande était complète », indique la Cnil à Edition Multimédi@. Reste qu’en France la publicité ciblée est interdite à la télé. L’article 13 du décret de 1992 sur la publicité télévisée dit bien que « les messages publicitaires doivent être diffusés simultanément dans l’ensemble de la zone de service ». Mais des éditeurs de chaînes veulent une évolution de cette réglementation. « Si l’interdiction existante était levée, se poserait la question de la protection des données à caractère personnel des téléspectateurs. L’utilisation des données issues des “box” (composition du foyer, âge, etc.) pour pouvoir cibler les publicités qui leur seront adressées ne pose pas de problème en soi, tant qu’elle est envisagée au regard de la loi “Informatique et libertés” et de ses principes, dont l’information, le consentement, la durée de conservation des données ou la sécurité, etc. », nous précise la Cnil. BFM Paris, la nouvelle chaîne du groupe SFR, va tester l’été prochain des « publicités adressées ». Une première en France. C’est ce qu’a annoncé le 10 février dernier Alain Weill, directeur général de SFR Media, devant l’Association des journalistes médias (AJM). @

Charles de Laubier

Projet de nouveau règlement sur la vie privée et la protection des données : top départ pour le lobbying

La Commission européenne veut que sa nouvelle proposition sur le respect de la vie privée et la protection des données entre en vigueur le 25 mai 2018 « au plus tard », en même temps le règlement général « Protection des données » déjà promulgué le 4 mai 2016. Le débat se le dispute au lobbying

Quel est le lien entre la nouvelle proposition de règlement sur le respect de la vie privée que la Commission européenne a présentée le 10 janvier 2017 et le règlement général sur la protection des données adopté le 27 avril 2016 ? La première vient compléter le second (1), tout
en garantissant le droit fondamental au respect de la vie privée en ce qui concerne les services en ligne.

 

L’obligation du Privacy by Design
« Les nouvelles règles [sur la vie privée et les communications électroniques, ndlr] confèrent également aux particuliers et aux entreprises des droits et des protections spécifiques, qui ne sont pas prévus par le règlement général sur la protection des données. Elles garantissent, par exemple, la confidentialité et l’intégrité des appareils des utilisateurs (c’est-à-dire les ordinateurs portables, smartphones et tablettes), puisque les données stockées sur les appareils intelligents ne devraient être accessibles qu’après autorisation de l’utilisateur », explique la Commission européenne, dont Véra Jourová (2) (photo), qui demande au Parlement européen et au Conseil de l’Union européenne (UE) d’« avancer rapidement les travaux (législatifs) » et « à garantir leur adoption pour le 25 mai 2018 au plus tard, date à partir de laquelle le règlement général sur la protection des données entrera en application ». L’année 2017 sera donc cruciale dans ce rapport de forces.
Avec ce nouveau règlement, s’il n’est pas dénaturé d’ici là, l’Europe va se doter d’un cadre juridique complet sur le respect de la vie privée et la protection des données qu’aucune autre région du monde n’aura mis en oeuvre. A savoir : toutes les communications électroniques doivent être confidentielles à défaut de consentement
de l’utilisateur (SMS, e-mails, appels vocaux, …) ; la confidentialité des comportements en ligne et des appareils des utilisateurs est garantie (accéder aux informations stockées sur le terminal soumis à consentement, consentement préalable sur les cookies, excepté sur les témoins de connexion liés à des achats, à des formulaires
ou aux statistiques d’audience) ; le traitement des métadonnées et du contenu des communications est subordonné au consentement ; le publipostage et le marketing direct requièrent le consentement préalable (automates d’appel, SMS, e-mails, …). On le voit : le consentement préalable des internautes et des mobinautes est au cœur de cette proposition de règlement. Plus que jamais, les cookies et les spams sont dans le collimateur. Est-ce à dire que les utilisateurs du Net et des mobiles seront sollicités continuellement pour donner ou pas leur aval dans ces différentes situations ? Afin d’éviter que chacun ne soit contraint de répondre sans cesse à des demandes d’autorisation, la Commission européenne a prévu que les utilisateurs puisse « faire
un choix éclairé lorsqu’ils personnalisent leur navigateur ou qu’ils en modifient les paramètres ». Firefox, Internet Explorer, Chrome et autres Safari devront apporter – selon le principe du Privacy by Design – une complète transparence aux utilisateurs
qui pourront alors choisir un niveau plus ou moins élevé de protection de leur vie privée. La Commission européenne n’entend pas régir avec le futur règlement l’utilisation de bloqueurs de publicités, ces fameux ad-blockers, sur lesquels elle n’a rien à redire si
ce n’est que « les utilisateurs sont libres d’installer sur leurs appareils des logiciels permettant de désactiver l’affichage de publicités ». La proposition de règlement permet juste aux éditeurs de sites web de vérifier si le terminal de l’utilisateur final peut afficher leurs contenus, y compris les publicités, sans obtenir le consentement de l’utilisateur.
« Si un fournisseur de sites web constate que les contenus ne peuvent pas tous être affichés par l’utilisateur final, il lui appartient de réagir de manière appropriée, par exemple en demandant à l’utilisateur final s’il utilise un bloqueur de publicités et s’il accepterait de le désactiver lors de sa visite sur le site web concerné », précise-t-on.

Cryptage et conservation non traités
Concernant cette fois les données du Big Data, la nouvelle proposition permettra
aux entreprises de traiter à d’autres fins les contenus des communications et les métadonnées si les utilisateurs ont donné leur consentement, pour autant qu’elles respectent les garanties en matière de respect de la vie privée. Le cryptage, lui, ne relève pas du champs de ce nouveau projet de règlement, à charge aux acteurs de l’économie numérique d’assurer la sécurité conformément au règlement général de 2016 sur la protection des données et au futur code européen des communications électroniques (3). La conservation des données, elle, n’est pas non plus traitée dans
ce projet de texte, la Commission européenne renvoyant les Etats membres à leurs responsabilités au regard des questions de sécurité nationale, de sauvegarder des intérêts publics, ou de répression pénale.

Etno, GSMA, IAB, … : haro sur l’ePrivacy !
A ceci près que « les Etats membres doivent régir ces limitations en légiférant ; les limitations doivent respecter le contenu essentiel des droits fondamentaux ; et [elles] doivent être nécessaires, appropriées et proportionnées, conformément à la jurisprudence de la Cour de justice de l’Union européenne (CJUE), et notamment à son arrêt du 21 décembre 2016 ». Ce coup d’envoi du processus législatif donne aussi le top départ officiel pour les opérations d’intense lobbying pour tenter d’amender un texte jugé trop contraignant par les opérateurs télécoms (fixe ou mobile) et les professionnels de la publicité.
De concert, l’Etno et la GSMA – qui représentent respectivement les opérateurs télécoms historiques en Europe (4) et les opérateurs mobile dans le monde (5) – ont demandé à la Commission européenne de revoir sa copie. « Nous appelons les colégislateurs à corriger le nouveau règlement relatif à la vie privée et aux communications électroniques et à s’assurer qu’il permette une approche orientée client et prête pour les innovations. C’est le seul moyen pour l’UE de capitaliser sur l’économie des données, créer de nouvelles opportunités sociétales et stimuler la prestation de services client innovants », ont-ils déclaré le 10 janvier, soit le jour même de la présentation du projet à Bruxelles. Et de mettre en garde : « Une législation restrictive sur la protection des données représenterait un doublon réglementaire injuste en comparaison avec les autres secteurs ». Quant aux opérateurs de réseaux, ils déplorent que des obligations leur soient imposées, contrairement à leurs concurrents les acteurs du Net – presque tous américains au demeurant – que sont les GAFA (Google, Apple Facebook, Amazon et autres Microsoft ou Netflix), voire plus largement les Over-The- Top (OTT) soupçonnés fournir des services dits « de contournement » (messagerie instantanée, visiophonie, plateformes vidéo, …).
Les deux organisations – toutes deux basées à Bruxelles (Etno et GSMA Europe) – en appellent à la Commission européenne pour rectifier le tir afin, selon elles, de favoriser l’économie de la data (6). Pour cela, les « telcos » demandent à ce que le projet de règlement « Vie privée et données personnelles » soit corrigé afin d’être « pleinement aligné sur le RGPD [le règlement général de 2016 sur la protection des données, ndlr] en ce qui concerne l’approfondissement du traitement des données personnelles » et de permettre d’exploiter ces données lorsqu’elles sont « anonymisée » – on parle aussi de « pseudonymisation » – ou lorsqu’elles sont aussi exploitées par les acteurs du Net telles que « source, destination, date, heure et/ou localisation des données ou du dispositif ».
En plein déploiement de la fibre optique et préparatif de la 5G pour l’Internet des objets, sans parler de la perspective de la voiture connectée, Lise Fuhr, directrice générale de l’Etno (41 membres) et Afke Schaart, viceprésidente Europe de la GSMA (1.100 membres), mettent en garde la Commission européenne contre « un régime double au contour flou » : « Il n’y aura pas d’économie des données en Europe sans un règlement orienté vers l’innovation », déclare la première ; « Nous devons nous assurer que les exigences (…) n’interfèrent pas accidentellement avec l’utilisation de métadonnées », abonde la seconde.
Les professionnels de la publicité en ligne sont, eux aussi, montés au créneau pour exprimer pour ce qui les concerne leur. . . « consternation » quant à la règlementation
« ePrivacy » proposée. L’Interactive Advertising Bureau (IAB), par la voix de sa directrice Europe Townsend Feehan,n’a pas mâché ses mots en dénonçant ce qu’elle considère comme « une loi susceptible d’endommager indéniablement le modèle économique publicitaire et sans réels avantages pour les utilisateurs ».

Cookies et pub : réactions en chaîne
L’IAB (5.500 membres) s’en est inquiété directement en écrivant le 22 décembre dernier une lettre cosignée avec d’autres organisations (éditeurs, « marketeurs », annonceurs, et publicitaires) adressée à Andrus Ansip et Günther Oettinger, le premier – vice-président de la Commissaire européen en charge du Marché unique numérique – ayant repris le portefeuille « Economie et de la Société numériques » du second depuis le 1er janvier (7).
En France, à l’issue d’une réunion le 9 décembre dernier sur les cookies, l a Cnil
a ccorde un délai supplémentaire de mise en conformité – jusqu’à septembre 2017.
Elle devait rendre publique en janvier 2017 son analyse juridique sur la question. @

Charles de Laubier

Consentement préalable aux cookies : les sites de presse en ligne dans le collimateur de la Cnil

La présidente de la Cnil, Isabelle Falque-Pierrotin, a indiqué à Edition Multimédi@ – en marge du DigiWorld Summit à Montpellier en novembre dernier – que les sites de presse en ligne sont parmi ceux qui ne respectent pas le consentement préalable des internautes avant toute dépose de cookies.

« A part Ouest-France, les sites de presse en ligne ne respectent la réglementation européenne sur les cookies, laquelle a pourtant été transposée dans la loi française “Informatique et Libertés” en 2011. Nous réunissons à
nouveau les éditeurs », nous a indiqué Isabelle Falque-
Pierrotin (photo), présidente de Commission nationale de l’informatique et des libertés (Cnil).

Réunion cruciale le 9 décembre
C’était en marge du DigiWorld Summit à Montpellier où elle est intervenue le 16 novembre sur le thème de la confiance dans l’économie numérique. Selon nos informations, les éditeurs de la presse sur Internet sont convoqués par la Cnil le
9 décembre prochain. Interrogée par EM@ sur l’état d’avancement des contrôles
que la Cnil a intensifiés depuis l’été dernier auprès des éditeurs sur le respect du consentement préalable des internautes – dit opt-in – avant toute dépose de cookies, Isabelle Falque-Pierrotin a déploré l’opposition de la presse de mettre en oeuvre ses recommandations émises il y a maintenant trois ans exactement. « Pour être valable, l’accord doit être exprimé avant le dépôt de cookie, de façon libre et en connaissant
la finalité des cookies déposés », rappelle la Cnil. C’est le 5 décembre 2013 qu’elle a adopté une recommandation « relative aux cookies et aux autres traceurs », qui avait été ensuite publiée au Journal Officiel du 7 janvier 2014, afin de rappeler à l’ordre les éditeurs de sites web sur les règles applicables depuis 2011 à ces mouchards électroniques ou trackers (1). Ces mesures redonnent aux internautes le pouvoir sur ces cookies qui sont déposés, souvent à leur insu, sur leur ordinateur, leur smartphone ou encore leur tablette, souvent à des fins de publicité en ligne plus ciblées. La quasi totalité du marché publicitaire sur Internet et les applications mobiles – plus de 2,6 milliards d’euros de chiffre d’affaires en 2015 en France, selon l’Institut de recherches et d’études publicitaires (Irep) – s’appuie sur l’existence de ces petits traceurs indiscrets. Or la législation européenne est ainsi passée du droit de refus (opt-out) au consentement préalable (opt-in). C’est la directive européenne « Service universel et droits des utilisateurs » de 2009 qui a posé « le principe selon lequel le stockage d’informations sur l’équipement d’un utilisateur ou l’accès à des informations déjà stockés, ne devaient être mises en oeuvre qu’avec le consentement préalable de l’utilisateur » (2).
La pression de la Cnil sur les éditeurs, notamment les récalcitrants de la presse en ligne, se fait d’autant plus forte que depuis le 8 octobre dernier a été publiée au Journal Officiel la loi « République numérique », laquelle porte de 150.000 euros à 3 millions euros (3) le montant maximal des sanctions de la Cnil en cas d’infraction (amendes perçues par le Trésor public et non par la Cnil elle-même). Certaines sanctions peut être rendues publiques si elles étaient assorties de l’obligation d’insérer la condamnation dans des journaux et sur le site web incriminé – et ce, aux frais de l’éditeur contrevenant.
Pour l’heure, la Cnil s’en tient depuis la fin du troisième trimestre 2014 à des contrôles sur place et/ou en ligne menés (plusieurs centaines effectués) auprès des éditeurs de services et de presse en ligne, et notifie depuis juin 2015 quelque mises en demeure (plusieurs dizaines signifiées). Mais aucune sanction pécuniaire n’a été infligée à ce jour, malgré des menaces qui se sont faites plus pressentes le printemps dernier (4).
La présidente de la Cnil avait alors parlé d’un « moratoire » dont ont bénéficié près d’une dizaine d’éditeurs pour une quarantaine de sites web.

La presse française se rebiffe
Les syndicats de la presse magazine (SEPM), de la presse quotidienne nationale (SPQN), de la presse en région (UPREG), ainsi que le Bureau de la radio (Europe 1, RFM, Virgin Radio, RTL, RTL 2, Fun Radio, NRJ, Chérie FM, Rire & Chansons, Nostalgie, RMC, BFM) et le Groupement des éditeurs de contenus et de services en ligne (Geste) où l’on retrouve bon nombre de sites web de médias (Le Figaro, Le Monde, Libération, L’Express, Le Nouvel Observateur, La Tribune, TF1, M6, France Télévisions, Radio France ou encore Lagardère Active), avaient tous alors cosigné un courrier adressé à Isabelle Falque-Pierrotin pour dénoncer l’« exception française » dont fait preuve à leurs yeux la Cnil en voulant sanctionner le dépôt de cookies sans consentement préalable des utilisateurs.

Depuis fin juillet dernier, la Cnil a repris ses contrôles menés par deux équipes. Les éditeurs de médias en ligne ne sont plus les seuls dans le collimateur. Toujours selon nos informations, les régies publicitaires et les plateformes publicitaires basées sur le traitement des données – ou DMP (Data Management Platform) telles que Criteo, Weborama ou encore 1000Mercis – sont elles aussi dans le viseur de la Cnil.

Prestataires ad et data aussi
Cette dernière veut y voir clair dans les responsabilités des différents acteurs, y compris les Ad-servers (les serveurs gestionnaires de e-publicités), et inciter les différents maillons de « la chaîne de la publicité en ligne » à respecter les règles sur les cookies. « L’obligation de recueillir le consentement n’intervient que lorsque l’affichage de la publicité s’accompagne d’un traçage et/ou d’une collecte d’informations relatives à l’internaute par le site ou par un tiers », a rappelé la Cnil aux éditeurs et publicitaires. Mais nombreux sont les éditeurs Internet à s’opposer à cette obligation, prétextant qu’ils rencontrent des difficultés pour recueillir le consentement préalable des internautes avant le dépôt et la lecture de cookies : « Cela ferait obstacle à l’affichage de certaines publicités, entraînant une perte de revenu importante ; les cookies ne proviendraient pas de leurs propres serveurs, étant liés à l’activité de tiers partenaires, sur laquelle ils ne disposeraient d’aucune maîtrise. En conséquence, les éditeurs ne peuvent, à eux seuls, porter l’entière responsabilité de l’application des règles relatives aux traceurs considérés comme des “cookies tiers” car provenant de sociétés tierces ».
Pour la Cnil, ces intermédiaires techniques sont tenus de respecter la loi « Informatique et Libertés », et notamment le principe du consentement préalable de l’internaute au dépôt du traceur recueillant ses informations sur sa navigation, son profil, afin de lui délivrer des publicités ciblées et définir des algorithmes pour réaliser du profilage. Sinon, « la collecte des données par un cookie déposé avant l’acceptation de l’internaute (qui peut s’exprimer en déroulant la page visitée) est susceptible d’engager tant la responsabilité des éditeurs que celle des sociétés tierces ». C’est la raison pour laquelle la Cnil avait décidé l’été dernier d’étendre ses contrôles au-delà des seuls éditeurs de sites Internet, tout en rappelant aux impétrants qu’ils doivent respecter en outre la durée de conservation des cookies (13 mois maximum) et que les données collectées par leur biais doivent être aussi conservées pour une durée limitée.
Mais la Cnil ne peut faire cavalier seul dans ce domaine sur le Vieux Continent. Les
« Cnil » européennes doivent se concerter afin d’harmoniser leurs contrôles, voire leurs sanctions. Or, à ce stade, il n’y a pas d’accord (France et Grande-Bretagne n’ont pas
la même approche par exemple). « Lors de l’entrée en application du règlement européen relatif à la protection des données personnelles en [mai] 2018, les partenaires devront aussi communiquer l’origine des informations qu’ils utilisent ainsi que leur durée de conservation et préciser si un profilage est mis en oeuvre et la logique sous-jacente en cas de prise de décision automatisée ». @

Charles de Laubier

ZOOM

Comment Ouest-france.fr et Cnil.fr annoncent la couleur
« Ce site utilise des cookies. En poursuivant votre navigation sur ce site, vous acceptez l’utilisation des cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts et nous permettre de réaliser des statistiques de visites. Vous pouvez modifier les réglages d’acceptation des cookies pour ce site », avertit et justifie le site web du quotidienOuest-France.
Et d’expliquer ensuite : « Cliquez sur chaque catégorie pour activer ou désactiver l’utilisation des cookies. Le bandeau de couleur indique si les cookies sont actifs (vert, sur la gauche) ou inactifs (rouge, sur la droite) ».
Quant au site web de la Cnil, qui est censé montrer le bon exemple, il se veut plus synthétique et propose une alternative : « En poursuivant votre navigation, vous acceptez le dépôt de cookies tiers destinés à vous proposer des vidéos, des boutons de partage, des remontées de contenus de plateformes sociales. “OK, tout accepter”
ou “Personnaliser” ». @

Défaut de consentement préalable des internautes avant tout cookie : la Cnilmet en demeure et va sanctionner

La Cnil multiplie ses contrôles auprès des sites web, régies publicitaires et réseaux sociaux pour épingler ceux – une cinquantaine d’éditeurs à ce jour –
qui déposent des cookies sans en informer les internautes ni recueillir leur consentement préalable. Après les mises en demeure, les sanctions financières vont tomber.

Selon nos informations, la Commission nationale de l’informatique et des libertés (Cnil) s’apprête pour la première fois à sanctionner des éditeurs de sites web, de presse en ligne et de réseaux sociaux, ainsi que des régies de publicité sur Internet, pour non respect de la législation sur les cookies. Sa prochaine formation restreinte composée de six membres et seule habilitée à prononcer des sanctions se réunira le 21 avril prochain. Les condamnations financières peuvent atteindre un montant maximum de 150.000 euros, et, en cas de récidive, portées jusqu’à 300.000 euros (1).
Certaines sanctions pourraient être rendues publiques si elles étaient assorties de l’obligation d’insérer la condamnation dans des journaux et sur le site web incriminé
– et ce, aux frais de l’éditeur sanctionné. L’autorité reproche aux éditeurs Internet de
ne pas recueillir le consentement préalable de chaque internaute ou mobinaute avant de déposer sur son ordinateur ou son mobile un cookie ou un traceur. Après plus de 500 contrôles sur place et/ou en ligne menés depuis la fin du troisième trimestre 2014 auprès des éditeurs de services et de presse en ligne, et malgré quelque 50 mises
en demeure notifiées depuis juin 2015, les premières sanctions vont tomber. « Des échanges ont été organisés avec les éditeurs de site de presse et se poursuivent encore actuellement », nous a répondu une porte-parole de la Cnil que préside Isabelle Falque-Pierrotin (photo).

Des « mouchards » déposés à l’insu des internautes
La Cnil estime que ces « récidivistes » sont en infraction au regard de l’ordonnance du 24 août 2011, laquelle avait modifié la loi « Informatique et Libertés » de 1978. Malgré le rappel à la loi par délibération de la Cnil (2) du 5 décembre 2013 (3), il est reproché aux éditeurs en ligne de ne pas informer suffisamment les internautes avant le dépôt de ces petits mouchards électroniques logés dans leurs terminaux (ordinateur, smartphone ou tablette) et surtout de ne pas recueillir leur consentement avant de procéder à leur installation. Lorsque ce n’est pas l’absence d’opt-out permettant au visiteur de s’opposer au dépôt de traceurs chargés d’espionner sa navigation, comme avec le cookie « Datr » de Facebook (mis en demeure par la Cnil), voire à la collecte de données sur son terminal.

Bras de fer entre les éditeurs et la Cnil
Les cookies ou trackers servent aux éditeurs de service, régies publicitaires ou encore réseaux sociaux à analyser la navigation personnelle de chaque internaute ou mobinaute, ses déplacements, ses habitudes de consultation ou de consommation, afin de lui proposer des publicités ciblées ou des services personnalisés. La quasi totalité du marché de la publicité en ligne – 3,2 milliards d’euros de chiffre d’affaires en 2015 en France (4) – s’appuie sur l’existence de ces petits traceurs indiscrets. Contacté par Edition Multimédi@, le secrétaire général du Groupement des éditeurs de contenus et de services en ligne (Geste), Emmanuel Parody, indique que « le point délicat concerne l’interprétation de la Cnil sur la notion de consentement au moment du dépôt du cookie de première visite ». Et d’expliquer : « La Cnil souhaite qu’aucun cookie ne soit chargé tant que le visiteur n’a pas donné son consentement préalable. Nous sommes parvenus à faire valoir les exceptions pour certains cookies analytics (mesure d’audience), mais cette mesure est très compliquée à mettre en oeuvre et génère une perte de revenus ». Selon la DG du Geste, Laure de Lataillade, également jointe, les éditeurs ont calculé que l’application d’une telle mesure se traduirait par une baisse pouvant atteindre 20 % de leur chiffre d’affaires publicitaire. « Les éditeurs de sites web ont massivement déployé au cours des derniers mois le bandeau d’information. Ils s’efforcent par ailleurs de mettre en application toutes les autres obligations découlant de la recommandation et travaillent dessus avec leurs équipes et partenaires », plaide-t-elle. Selon nos informations, une douzaine de membres du Geste sont concernés par les mises en demeure de la Cnil et ses menaces de sanctions.
Ce groupement professionnel représente des éditeurs de presse tels que Le Figaro, Le Monde, La Croix, Le Nouvel Observateur, L’Equipe, La Tribune, Valeurs Actuelles, ainsi que TF1, M6, France Télévisions (France 2, France 3, …), Radio France (France Inter, France Info, …), Lagardère Active (Europe 1, Paris Match, JDD, …), Altice Media (Libération, L’Express, Stratégies, …), Mondadori, Prisma Media, Mediapart ou encore Skyrock. Le Geste n’est la seule organisation professionnelle à se rebiffer face aux exigences de la Cnil sur les cookies. Il y a aussi les syndicats de la presse magazine (SEPM), de la presse quotidienne nationale (SPQN), de la presse en région (UPREG), ainsi que le Bureau de la radio (Europe 1, RFM, Virgin Radio, RTL, RTL 2, Fun Radio, NRJ, Chérie FM, Rire & Chansons, Nostalgie, RMC, BFM). Tous ensemble, ils ont cosigné un courrier adressé récemment à la présidente de la Cnil pour dénoncer
l’« exception française » dont l’autorité fait preuve en menaçant de sanctions le fait
de déposer des cookies publicitaires sans le consentement préalable des utilisateurs. Ce qui serait, selon les éditeurs Internet, une application non fondée de la réglementation européenne en la matière. L’Allemagne, l’Italie, la Grande-Bretagne
ou encore l’Espagne n’ont pas, selon eux, une approche aussi « rigoriste » que celle
de la Cnil. « Dans aucun autre pays européen on ne rencontre cette interprétation extrême de la loi, ce qui crée une distorsion de concurrence dommageable », déplore Emmanuel Parody.
C’est une directive européenne « Service universel et droits des utilisateurs » (2009/136/CE) qui a posé « le principe selon lequel le stockage d’informations sur l’équipement d’un utilisateur ou l’accès à des informations déjà stockés, ne devaient être mises en oeuvre qu’avec le consentement préalable de l’utilisateur » (5). En réponse, Isabelle Falque-Pierrotin a reçu le 25 mars dernier des éditeurs et leurs organisations, auxquels elle a promis d’étudier les pratiques de ses homologues européens.
Selon une source, la Cnil n’exclut pas de fixer un moratoire sur les mises en demeure liées aux dépôts de cookies sans consentement préalable. Ce moratoire devrait être soumis au vote lors d’une prochaine réunion plénière. Quant aux contrôles, ils vont se poursuivre. L’autorité sera notamment inflexible sur la durée de vie – limitée à treize mois – des cookies à partir de leur premier dépôt dans le terminal : toujours pour peu que l’utilisateur ait exprimé son consentement préalablement (6). La Cnil demande en outre aux professionnels de se mettre d’accord sur de bonnes pratiques dans le traitement des données à caractère personnel – quitte à labelliser « Données propres » les services en ligne s’y conformant.

Ne pas tomber sous le coup de la loi
Des outils existent comme ceux proposés par AT Internet, Piwik, Google Analytics, Smart AdServer, Integral AdScience ou encore DFP peuvent en outre aider les éditeurs à paramétrer leurs services en ligne et à être dispensés du recueil du consentement lorsqu’il s’agit de mesurer l’audience (exemption accordée par la Cnil). Quant à l’adresse IP, elle doit être supprimée ou anonymisée une fois la géolocalisation effectuée, afin d’éviter toute autre utilisation de cette donnée personnelle ou tout recoupement avec d’autres informations relevant de la vie privée de l’utilisateur. @

Charles de Laubier