Les éditeurs n’ont plus que quatre mois pour adopter la nouvelle recette de la Cnil sur les cookies

La Cnil commencera fin mars 2021 à sanctionner les éditeurs de services en ligne qui ne se seront pas mis en conformité avec ses nouvelles règles les obligeant notamment à obtenir de manière plus stricte qu’avant le consentement des internautes avant de déposer des traceurs sur leurs terminaux.

Par Florence Chafiol, avocate associée, et Stéphanie Lapeyre, avocate, August Debouzy

Le cookie, ce petit fichier texte informatique déposé et lu sur le terminal d’un utilisateur, n’a vu le jour qu’en 1994. Si, au début de leur création, les cookies avaient une utilité limitée et méconnue du grand public, ils sont aujourd’hui au coeur de la stratégie numérique de la plupart des éditeurs de services en ligne et sources de nombreux débats. Victimes de leur succès, leur utilisation a rapidement été réglementée (1). En 2002, la directive européenne dite « ePrivacy » (2) est venue encadrer leur utilisation.

Base de la recette : informer les utilisateurs
Le consentement est alors devenu central : en principe pas de cookies sans accord préalable des utilisateurs. En France, la Commission nationale de l’informatique et des libertés (Cnil) a adopté sa première recommandation sur le sujet en 2013, afin de guider les éditeurs dans l’application de la loi et notamment dans les modalités d’obtention du consentement. Le Règlement général sur la protection des données (RGPD) ayant durci les conditions d’obtention d’un tel consentement, la Cnil a adopté le 4 juillet 2019 de nouvelles lignes directrices (3) qui sont venues abroger la recommandation de 2013. Ces lignes directrices ont été partiellement remises en cause par le Conseil d’Etat (4), et une nouvelle version a alors vu le jour le 17 septembre 2020 (5), assortie de recommandations opérationnelles (6) pour accompagner au mieux les éditeurs.
A la lecture de ces nouveaux documents adoptés par la Cnil, on note tout d’abord que l’obligation d’information préalable des utilisateurs est renforcée par rapport à 2013, même si ses modalités ne changent pas réellement : la Cnil recommande toujours une information à deux niveaux, avec un premier niveau mis en évidence lors de la connexion à la plateforme, qui contient les informations essentielles (dans la fameuse interface de recueil de consentement souvent appelée « bannière cookies ») et qui renvoie à un second niveau d’information plus complet. Cependant, les éléments devant figurer dans ces deux niveaux d’information sont largement précisés et apparaissent plus contraignants qu’auparavant. Les entreprises devront ainsi notamment s’assurer que leur bannière cookies :
Mette en exergue chaque finalité spécifique dans un intitulé court accompagné d’un bref descriptif. Un niveau de détail plus important que celui qui existe actuellement est donc requis dès le premier niveau d’information. Il ne sera dès lors plus possible, par exemple, de se contenter d’informer l’utilisateur de l’utilisation de cookies à des fins publicitaires ; il faudra préciser si ces derniers sont utilisés pour de la publicité ciblée, non-ciblée, géolocalisée, etc.
Permette à l’utilisateur d’accéder facilement à une information détaillée sur chaque finalité. L’utilisateur doit pouvoir cliquer sur un lien hypertexte « en savoir plus » ou ouvrir un menu déroulant lui donnant, pour chaque finalité, des informations plus précises sur les opérations techniques réalisées.
Permette à l’utilisateur d’accéder facilement à la liste exhaustive et à jour des responsables de traitement. Pour ce faire, la Cnil recommande d’indiquer le nombre de responsables de traitement et de renvoyer, via un lien hypertexte, vers une liste plus exhaustive (avec leur identité et un lien vers leur politique de protection des données) (7). L’éditeur devra donc être en mesure d’établir une liste de l’ensemble des organismes qui seraient susceptibles de déposer des cookies sur son site/application (cookies tiers) pour leur propre compte et devra mettre cette liste à jour régulièrement.

Ingrédient essentiel : le consentement
La « recette » reste inchangée : sans consentement, pas de cookies – sauf exceptions. Mais, à la suite de l’entrée en vigueur du RGPD le 25 mai 2018, les modalités d’obtention de ce consentement préalable ont été durcies. Pour que le consentement soit valide il faut désormais, selon la Cnil, que la bannière cookies permette à l’utilisateur :
D’exprimer son consentement à l’utilisation de cookies par un acte positif clair, comme par exemple cocher une case (non pré-cochée) ou cliquer sur un bouton « accepter ». Changement majeur donc : la simple poursuite de la navigation ne peut plus être considérée comme une expression valide du consentement.
D’accepter ou refuser le dépôt de cookies avec le même degré de simplicité, via le même écran. Alors que la Cnil réclamait initialement dans son projet de recommandation une symétrie parfaite pour les boutons accepter et refuser (même niveau, même format), elle semble avoir quelque peu assoupli sa position en envisageant également d’autres modalités de refus comme par exemple un bouton « continuer sans accepter » situé sur le même écran, mais à un autre niveau. Même si la Cnil met en garde contre les pratiques trompeuses qui mettent visuellement plus en valeur un choix plutôt qu’un autre, un tel assouplissement risque néanmoins de permettre aux éditeurs d’orienter le choix des utilisateurs en adaptant le design de l’interface.
D’exprimer son choix de manière granulaire. Si l’utilisateur peut avoir la possibilité d’accepter tous les cookies en même temps (via un bouton « tout accepter » par exemple), il doit également avoir la possibilité d’exercer son choix finalité par finalité. Un bouton « personnaliser mes choix » qui se trouverait au même niveau que le bouton « tout accepter » doit lui être proposé.

Les « cookie walls » sous surveillance
Quant à la position de la Cnil sur les « cookie walls » qui consistent à subordonner la fourniture d’un service ou l’accès à un site en ligne à l’acceptation de cookies, elle était également très attendue. D’autant qu’un arrêt du Conseil d’Etat (8) avait annulé la prohibition générale et absolue d’une telle pratique initialement souhaitée par la Cnil, satisfaisant ainsi de nombreux professionnels du numérique – notamment des médias et de la publicité. Cette pratique des « cookie walls » est mise en œuvre par de nombreux éditeurs qui espèrent conduire ainsi une majorité d’utilisateurs à donner leur consentement. Si la Cnil a assoupli sa position à la suite de l’arrêt du Conseil d’Etat, elle n’en demeure pas moins réticente car elle considère que ces cookies « accepter sinon pas d’accès » sont susceptibles de porter atteinte à la liberté du consentement. Elle tire néanmoins les conséquences de l’arrêt du Conseil d’Etat en admettant une telle pratique à condition que sa licéité soit analysée au cas par cas et que l’éditeur indique clairement à l’utilisateur qu’il ne pourra accéder au contenu souhaité sans donner son consentement. On reste malgré tout loin du blanc-seing souhaité par de nombreux acteurs du marché qui ont été à l’origine d’un lobbying actif sur ce sujet…
Les éditeurs de sites web ou d’applications mobiles doivent être en mesure de démontrer à tout moment que le consentement a été valablement recueilli (9). A cette fin, la Cnil propose plusieurs moyens : mise sous séquestre du code informatique utilisé, capture d’écran, audits réguliers, conservation des informations relatives aux outils utilisés, etc. Concernant la durée de conservation du choix de l’utilisateur, la Cnil recommande de le conserver pendant une période de six mois. Un tel délai, protecteur des intérêts des utilisateurs, s’avère cependant bien contraignant pour les éditeurs qui, par exemple, ne pourront pas ressolliciter trop rapidement un utilisateur ayant refusé le dépôt de cookies. La Cnil ne s’était d’ailleurs prononcée en 2013 que sur le délai de validité du consentement qui était alors bien plus long puisqu’il pouvait aller jusqu’à treize mois. Les éditeurs pourront néanmoins prévoir une durée différente de conservation sous réserve d’être en mesure d’en expliquer les raisons. Dans un souci toujours évident de protéger les choix des utilisateurs, la Cnil précise enfin que les utilisateurs ayant donné leur consentement à l’utilisation de traceurs doivent être en mesure de le retirer à tout moment aussi simplement qu’ils l’ont donné. Le moyen mis à disposition pour retirer leur consentement doit donc être aisément accessible sur toutes les pages du site web ou de l’application mobile, à travers un intitulé explicite et doit pouvoir être utilisé facilement. Sont donc proscrites les pratiques consistant à renvoyer l’utilisateur de page en page puis de lien en lien avant de lui permettre d’accéder au mécanisme de gestion des cookies.
En conclusion, si la recette de la Cnil n’a pas fondamentalement changé, elle s’est sans aucun doute complexifiée. La Cnil réaffirme ainsi sa volonté de protéger au mieux les données des utilisateurs – au risque d’impacter négativement de nombreux éditeurs et publicitaires, qui risquent de voir leurs taux de consentement chuter drastiquement. La Cnil tente néanmoins de faire preuve de pragmatisme en laissant aux éditeurs six mois pour se mettre en conformité et en essayant de leur fournir des conseils concrets et détaillés à travers ses recommandations. Cette mise en conformité ne doit cependant pas tarder car la Cnil a indiqué qu’elle ferait du respect des dispositions applicables aux cookies l’un de ses axes de contrôle pour 2021. Rappelons que l’autorité de la protection des données a la possibilité d’effectuer des contrôles en ligne et qu’elle avait sanctionné de cette manière de nombreuses sociétés en 2013 lors de la publication de ses précédentes lignes directrices. @

FOCUS
Des exemptions au consentement obligatoire très limitées
Comme auparavant, un certain nombre de cookies sont exemptés des obligations d’information et d’obtention du consentement. Il s’agit des cookies qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou qui sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse des utilisateurs. La Cnil cite plusieurs exemples de cookies concernés par l’exemption comme ceux destinés à l’authentification de l’utilisateur ou ceux permettant de garder en mémoire le contenu d’un panier d’achat. Toutefois, les utilisateurs doivent être informés de l’existence de ces traceurs, par exemple dans la politique de confidentialité. Quant aux cookies de mesure d’audience (10), ils sont désormais présentés par la Cnil comme faisant partie des cookies pouvant par principe bénéficier de l’exemption (là où en 2013 ils constituaient plutôt l’exception). Mais ce cookie de mesure d’audience doit avoir pour seule finalité… la mesure de l’audience et pour le compte exclusif de l’éditeur — donc pas de transmission des données à des tiers (11).
En pratique, les offres les plus utilisées, telles que Google Analytics ou Facebook Analytics, qui réutilisent souvent les données pour leur propre compte, ne pourront probablement pas bénéficier de l’exemption sauf à proposer des paramétrages de leurs outils spécifiques. @

Les risques du pistage des populations à l’aide des données des opérateurs mobiles et des applications

Le pistage mobile des populations, au nom de la lutte contre le coronavirus, présente des risques sur les libertés fondamentales en général et sur les données personnelles et la vie privée en particulier. De plus, l’efficacité d’une telle pratique technologique reste contestée et controversée.

Par Christophe Chadaillac, avocat, et Héloise Tientcheu, juriste, cabinet Jones Day

« Les technologies numériques, les applications mobiles et les données mobiles ont des atouts formidables qui peuvent nous aider à comprendre le mode de propagation du virus et à réagir efficacement » (dixit Thierry Breton, commissaire européen au Marché intérieur, le 8 avril 2020). Les mesures technologiques envisagées pour contribuer à la lutte contre le covid-19 ne se comptent plus. Mais en plus d’être controversées et leur efficacité remise en cause, elles posent de sérieuses questions sur la préservation de nos libertés fondamentales.

Géolocalisation et contact tracing en question
Un arsenal de mesures est déployé afin de tenter d’enrayer la propagation du covid-19 dans le contexte de la pandémie mondiale actuelle : port de masque, mise en quarantaine des personnes malades, fermeture des lieux accueillant du public, confinement partiel ou total des populations, … A ces mesures de distanciation sociale restreignant la liberté d’entreprendre et la liberté de mouvement des personnes s’ajoutent des mesures technologiques que les Etats et les géants du numérique mettent progressivement en place. Celles-ci reposent sur la géolocalisation, le contact tracing ou la reconnaissance faciale, susceptibles de porter également atteinte à la vie privée et suscitant des interrogations sur l’utilisation des données à caractère personnel. Il est aisé de localiser n’importe quel objet (ordinateur, téléphone portable, tablette, …) connecté à un réseau de communications électroniques (1). La géolocalisation s’appuie notamment sur les technologies GPS ou Galileo utilisées par les applications, ou sur la connexion aux réseaux Wifi ou les antennes de téléphonie mobile.
Dans le cadre de la lutte contre le covid-19, il est avancé que la géolocalisation pourrait utilement servir à l’identification de concentrations de personnes et à l’observation de flux de population grâce à des données anonymisées et agrégées. Et ce, afin de détecter et d’anticiper les potentiels foyers de propagation en vue d’optimiser le déploiement des ressources médicales sur le territoire. Par exemple, Orange a transmis aux autorités françaises des données qui ont permis d’établir que 17 % des Franciliens avaient quitté l’Ile-de-France juste avant la mise en place du confinement. Par ailleurs, les différents opérateurs mobile sont susceptibles de transmettre l’ensemble de leurs données anonymisées au Centre commun de recherche (CCR) de la Commission européenne. Quant à Google et Apple, ils ont également fourni des statistiques d’utilisations de leurs applications montrant des zones de concentration ou des zones vides. La géolocalisation pourrait aussi être employée pour vérifier le respect des obligations de confinement et de distanciation sociale. Les données, cette fois-ci non-anonymisées, permettent – comme en Israël par exemple – de tracer les individus et en cas d’infraction infliger des amendes. En Pologne, les autorités ont couplé données de géolocalisation et reconnaissance faciale : il est demandé aux citoyens de prendre régulièrement un selfie géolocalisé pour démontrer qu’ils respectent la mesure de quarantaine qui leur est imposée.
Le contact tracing consiste, lui, à établir pour les malades récemment contaminés un historique des personnes avec lesquelles ils ont été dans des conditions de proximité susceptibles de permettre une transmission du covid-19 selon des critères d’infectiologie déterminés. La technologie numérique permet l’automatisation de l’établissement de cet historique, grâce à une application installée sur les smartphones et reposant sur la technologie Bluetooth, laquelle permet aux terminaux d’établir des communications radio de courte portée, sans fil. Le contact tracing peut être utilisé pour identifier les chaînes de transmission du virus et ralentir sa propagation en incitant les personnes susceptibles d’être infectées et contagieuses à appliquer les gestes-barrière et à se faire tester le plus rapidement possible. Cet outil se veut particulièrement utile pendant le confinement, mais également lors de phase critique de déconfinement au cours de laquelle de nouveaux foyers de contamination risquent d’apparaître.

Applications mobiles appelées à la rescousse
StopCovid, l’application mobile dont le gouvernement français a révélé le développement le 8 avril dernier, sera une application de contact tracing qui pourrait être mise en service lors du déconfinement. L’approche choisie par la France est celle d’une application pilotée par l’Etat, par l’intermédiaire de l’Inria (2), en partenariat notamment avec Dassault Systèmes, l’Inserm (3), l’Institut Pasteur ou encore Orange, ainsi que sur les conseils du Comité d’analyse de recherche et d’expertise (Care). De multiples initiatives privées émergent en parallèle pour contribuer à cet « effort ». En particulier, Apple et Google collaborent sur la création d’une interface de program-mation en vue de permettre aux applications d’être interopérables. Ces deux géants du numérique, qui ont refusé de collaborer à StopCovid, travaillent également à l’intégration de fonctionnalités de contact tracing directement dans les systèmes d’exploitation Android et iOS.

Des limites techniques et comportementales
Plusieurs pays européens comme l’Allemagne ou la Norvège envisagent d’utiliser le contact tracing, ou le font déjà. La Commission européenne, elle, a insisté sur la nécessité d’une « approche commune » dans l’utilisation des applications mobiles et des données mobiles (4). L’efficacité des solutions reposant tant sur la géolocalisation que sur le contact tracing présentent des limites techniques et comportementales. La géolocalisation ne permet que de rendre compte de concentrations ou de flux de population en masse ou de localiser individuellement des personnes avec une précision relative. Elle ne permet pas d’établir leur proximité physique et fonctionne mal en intérieur. Le Bluetooth, certes, opère mieux en intérieur, mais il n’est pas conçu pour mesurer des distances. D’autant que le champ de détection varie d’un appareil à l’autre et en fonction des circonstances (appareil tenu en main, au fond d’un sac, dans une voiture, etc.), ce qui entraîne un taux non négligeable de faux positifs et de faux négatifs. Il n’y a pas non plus de consensus scientifique sur la durée et la distance de proximité justifiant l’envoi d’une notification. En outre, les systèmes d’exploitation mobiles ne permettent pas aux applications en tâche de fond d’utiliser le Bluetooth, ce qui oblige à conserver en permanence les applications de contact tracing au premier plan pour que les terminaux communiquent. Le gouvernement peine à trouver un accord avec Apple et Google pour lever cette barrière technique (5). Et pour que le contact tracing remplisse pleinement son objectif, il est nécessaire qu’au minimum 60 % de la population utilise l’application. Rendre son utilisation obligatoire paraît difficilement conciliable avec les libertés fondamentales. L’atteinte de ce seuil critique dépend aussi éminemment du taux d’équipement et de la capacité à maîtriser cette technologie. Enfin, le contact tracing peut générer un taux important de faux positifs créant de la panique et de faux négatifs générant un sentiment infondé de sécurité susceptible de favoriser la propagation du virus, surtout dans les zones denses (6). Les données de géolocalisation revêtent un caractère stratégique dans la protection de la vie privée ; les données de santé sont sensibles et appellent des mesures de protection renforcées (7). La problématique liée à la géolocalisation dépend de la finalité des traitements. L’utilisation de données de géolocalisation anonymisées et agrégées en masse évince de prime abord le risque d’atteinte à la vie privée, sans toutefois parvenir à l’éliminer complètement. Si la donnée est simplement « pseudonymisée », ou si en dépit de l’anonymisation il est possible de suivre un identifiant en particulier, alors la ré-identification en exploitant et recoupant les données est possible. Le risque d’atteinte à la vie privée est exacerbé en cas de suivi individualisé des personnes, d’autant qu’elle aboutit à restriction de la liberté de circulation.
Le contact tracing se veut plus respectueux de la vie privée en l’absence de géolocalisation ou de traitement d’autre donnée personnelle que la seule donnée de santé, laquelle doit rester entre les mains des autorités de santé et ne pas être recoupée avec d’autres données. Les différents protocoles envisagés pour sa mise en œuvre ont de commun qu’ils ne devraient pas permettre de faire le lien entre la donnée de santé et l’identité des personnes utilisant l’application, ni d’identifier celles-ci, même si ce point est vigoureusement débattu (8).
L’Union européenne a proposé une « boîte à outils » et des lignes directrices (9). En France, la Cnil a émis des recommandations et réaffirmé l’importance du volontariat, de la sécurité des données personnelles et de la limitation de la durée de leur traitement. Et plusieurs institutions publiques ont été mises à contribution pour apporter des garanties à l’action du gouvernement (Inria, Care, Dinum, ANSSI). Le CNNum a quant à lui rendu un avis favorable sur StopCovid « en tant que brique d’une stratégie plus globale ».

Intimité et droits fondamentaux menacés
Les avis des hérauts de la liberté individuelle sont attendus. Ils verront un piège dans le volontariat et dénonceront l’effet cliquet, déjà tangible : en lui demandant d’accepter volontairement d’abandonner un peu de ses libertés au profit du bien commun, le citoyen est conduit dans un processus progressif qui, de lois anti-terroristes aux états d’urgence sanitaires, l’entraîne dans organisation sociétale qui instrumentalise les données personnelles pour des finalités collectives qui pourraient s’avérer liberticides et de long terme.
Quelle que soit la solution retenue par le gouvernement sur le fonctionnement de StopCovid, une fois les barrières techniques et comportementales levées, l’application devra s’insérer dans une réponse sanitaire globale. Il serait utile que sa mise en œuvre soit accompagnée de discipline et pédagogie renforcées, pour à la fois maintenir les gestesbarrière et préserver – y compris en temps de pandémie – l’intimité qui demeure au cœur des droits fondamentaux de l’individu. @

La publicité doit-elle être soumise au consentement quand elle est géolocalisée ?

Avec quatre mises en demeure publiées entre juin et novembre sur la géolocalisation publicitaire, la Commission nationale de l’informatique et des libertés (Cnil) « feuilletonne » sa doctrine en la matière. Or le RGPD européen n’exige pas toujours le consentement préalable des utilisateurs.

Etienne Drouard, avocat associé, et Lucile Rolinet, juriste, cabinet K&L Gates

La Cnil a d’abord publié deux mises en demeure à l’encontre des sociétés Fidzup et Teemo pour défaut de recueil du consentement à la collecte et au traitement de données de géolocalisation à des fins publicitaires. Dès le 3 octobre cependant,
elle mettait fin à la mise en demeure de la société Teemo (1) en décrivant précisément les mesures nouvelles prises par cette dernière pour se conformer à ses injonctions publiques (2). Sans discussion.

Réguler par les médias ou par le droit ?
Puis le 23 octobre, Singlespot (3) subissait à son tour la même mise au pilori de la part de la Cnil (4), et le 9 novembre 2018 (5), la société Vectaury était elle aussi épinglée (6) pour non recueil du consentement à la géolocalisation publicitaire. Jusqu’à présent, la Cnil publiait rarement ses mises en demeure – de quatre à quinze par an au cours des six dernières années – mais la série de publications qui s’est ouverte depuis l’entrée en vigueur du règlement général sur la protection des données personnelles (RGPD) le 25 mai 2018 semble marquer une nouvelle méthode de régulation. Celle-ci repose davantage sur la vindicte médiatique que sur le débat contradictoire, pourtant essentiel à un procès équitable. Elle incarne le souhait de la Cnil de montrer l’exemple (et les dents), tout en laissant aux sociétés intimées la possibilité de se conformer dans le délai qui leur est imparti, sans encourir d’autre sanction que médiatique. Il faut dire qu’une simple mise en demeure suffit pour la Cnil obtienne tout ce qu’elle désire…,
tant le niveau des amendes que peut désormais prononcer la Cnil depuis la date d’entrée en application du RGPD est effrayant (jusqu’à 4 % du chiffre d’affaires mondial consolidé). Au risque d’ancrer une doctrine sans le moindre débat juridique et avec
des raisonnements discutables sur le fond. Discutons-en, donc.
• A chaque finalité son consentement ? La Cnil menace de sanctionner l’absence de consentement des personnes concernées au traitement de leurs données personnelles pour recevoir de la publicité ciblée sur leur téléphone mobile. Pour ce faire, elle se fonde sur un élément de doctrine non expliqué, qui pourrait se résumer à la formule très simple – et très fausse : « Une finalité, un consentement ». Selon cette doctrine, toute personne ayant consenti à la géolocalisation devrait par ailleurs avoir la possibilité de consentir – ou de ne pas consentir – séparément et pour chaque finalité distincte, à chacune des utilisations de sa géolocalisation : contractuelle, publicitaire, etc.
La définition du consentement stabilisée par la directive européenne « Protection des données personnelles » de 1995 (95/46) n’a pas été modifiée par les quatre années d’élaboration du RGPD. Le consentement se définit comme toute manifestation de volonté univoque, libre, explicite, informée et spécifique, par laquelle une personne concernée peut accepter par une déclaration ou un acte positif clair le traitement de ses données personnelles (7), notamment le premier d’entre eux : la collecte de données. Selon les récentes lignes directrices des régulateurs européens (8) (*) (**) (***) (****),
le consentement est absolument discrétionnaire. Lorsqu’il est requis, il doit être spécifique à chaque finalité. Il ne peut être soumis à aucune condition, avantage ou détriment. Il est rétractable à l’envi ; il est d’une durée de validité limitée et il doit être renouvelé. Il est indépendant de l’accès à un service, quel que soit le modèle économique en jeu. Ainsi, lorsque le consentement est requis, le traitement d’une donnée est interdit tant qu’un consentement valable n’a pas été exprimé sur la base d’une information complète fournie aux personnes, dénuée de toute manipulation ou omission susceptible de les influencer dans leur libre choix.

Des cookies à la géolocalisation publicitaire
Le consentement est donc un régime d’interdiction a priori, qui déplace l’action de réguler sur les personnes. Ce véritable « droit au caprice », qui place la volonté libre
de l’individu au-dessus de toute autre considération, ne peut constituer le fondement d’aucun service (le consentement se distingue de l’adhésion à un contrat) ni d’aucun modèle économique. En effet, quelqu’un a-t-il déjà donné pareil consentement à l’usage publicitaire de la géolocalisation, sans contrepartie, à un tiers qui ne lui promet rien ? Créé en France en 1978 pour interdire le traitement des données sensibles relatives aux opinions politiques, philosophiques, religieuses ou syndicales, ce consentement-là, absolu et sanctifié, n’a jamais été « lâché seul » dans la sphère économique sans coexister avec des alternatives tout autant protectrices de l’individu (et malgré lui) et économiquement compatibles.
• Géolocalisation, consentement et information. Le consentement à la collecte de données de géolocalisation est exigé par la directive européenne « ePrivacy » (9) de 2002 (2002/58), transposée en droit français dans le code des postes et des télécommunications électroniques (10). Il est d’une nature similaire à l’exigence du consentement à la collecte des données sensibles (11) ou du consentement au dépôt ou à la lecture de « cookies » ou de traceurs en ligne (12).

Des raccourcis trompeurs et dangereux ?
La Cnil a mis en demeure les entreprises concernées au motif du défaut d’information préalable relatif à l’usage des données de géolocalisation à des fins publicitaires. Cette information est requise, quelle que soit la base légale sur laquelle repose la ou les finalité(s) de collecte ou d’utilisation des données. Elle peut, juridiquement, être concomitante à la collecte de la donnée de géolocalisation, mais elle doit en tout état
de cause être préalable à l’usage publicitaire d’une donnée de géolocalisation (13).
Le RGPD n’exige pas toujours le consentement ; il exige une base légale. C’est la faculté de collecter la donnée – de géolocalisation, ou sensible ou de l’identifiant d’un terminal – qui est soumise au consentement et non pas l’usage ultérieur qui sera fait
de cette donnée. Cet usage ultérieur peut être justifié par une nécessité technique, servicielle ou contractuelle, ou une faculté publicitaire ou une obligation légale. Cet usage ultérieur doit donc faire l’objet d’une information des personnes – dans tous les cas. Toutefois, chacun de ces usages postérieurs n’est pas forcément soumis au consentement des personnes. Tout dépendra de la base légale qui fonde chacun de ces usages ultérieurs. En effet, la règle posée par le RGPD n’est pas « une finalité =
un consentement », mais « une finalité = une base légale ». Or, le consentement n’est qu’une des six bases légales retenues par le RGPD et il n’a pas de rang prioritaire sur les autres. Tout dépend de la finalité d’utilisation concernée. La Cnil ne justifie pas en quoi l’utilisation publicitaire des données de géolocalisation collectées avec le consentement des personnes (14), serait-elle-même soumise à un consentement spécifique. En effet, lorsque la finalité d’utilisation d’une donnée est une géolocalisation servicielle, c’est-à-dire strictement nécessaire à la fourniture d’un service ou souscrit par la personne, le consentement discrétionnaire des personnes s’effacera au profit
de la nécessité pour l’entreprise d’exécuter un contrat d’adhésion souscrit par les personnes et qui implique l’utilisation « servicielle » – contractuelle – de la donnée de géolocalisation (15). Tel est le cas pour l’utilisateur d’une application de cartographie routière de type Waze, Plans, Mappy ou Google Maps. Lorsque la collecte des données de géolocalisation est nécessaire à la sauvegarde de la vie humaine (16), le consentement sera écarté et l’utilisation d’une donnée de géolocalisation par les services d’urgence (Police Secours, SAMU, Pompiers) leur permet d’obtenir des opérateurs télécoms la géolocalisation de l’appel d’une personne en détresse. Enfin, lorsque la géolocalisation est nécessaire à l’exécution d’une mission de service public, telle la collecte des points et horaires d’entrée et de sortie d’une section d’autoroute à péage, l’absence du recueil du consentement, matériellement impossible, n’empêchera pas les sociétés d’exploitation d’autoroute de recueillir les données de géolocalisation de leurs usagers.
Concernant la géolocalisation destinée à déclencher l’affichage publicitaire sur mobile, la base légale ne pourra être que l’intérêt légitime prévu par le RGPD et explicitement décrit à son considérant 47. D’ailleurs, quel utilisateur averti serait-il assez « original » pour désirer librement et sans la moindre incitation faire l’objet de publicités géociblées ? Si l’usage publicitaire d’une donnée n’est possible qu’à l’égard des personnes qui y consentent librement, cela signifie en droit et en pratique que l’usage publicitaire est interdit a priori par le RGPD. Or, c’est tout le contraire qui a été arbitré dans le RGPD, malgré la réticence à cet égard des régulateurs nationaux tels que la Cnil. En effet,
le RGPD requiert la démonstration d’un équilibre entre les garanties offertes aux personnes en contrepartie de l’intérêt commercial pour l’entreprise exploitant les données (17). La personne ayant téléchargé une application et ayant expressément consenti à la collecte de ses données de géolocalisation, doit être informée que ses données peuvent être utilisées à des fins de publicité et elle doit pouvoir… s’y opposer, dès lors que cette faculté d’opposition lui est offerte aisément et à tout moment.

Le RGPD n’est pas un texte « à la carte »
Il serait dangereux que le RGPD devienne un texte « à la carte » pour les régulateurs.
Il ne l’est pas pour les justiciables. Ne rompons pas la belle promesse de sécurité juridique et d’harmonisation européenne que l’Union européenne brandit à la face du monde avec le RGPD. Si nous ne tenions pas cette promesse, nous en serions, nous Européens, les principales victimes. @

S’infligeant une sévère restructuration, Solocal poursuit sa transformation numérique vers le « mobile first »

Depuis six mois que Pierre Danon (ex-Numericable) et Eric Boustouller (ex-Microsoft) dirigent Solocal, la restructuration de l’ex-PagesJaunes (4.500 emplois supprimés d’ici 2019, désendettement, économies, …) bat son plein. Le recul du search local – son cœur de métier – est compensé par la hausse du marketing digital.

Sur près de 52 millions de personnes en France qui se sont connectées au moins une fois à Internet en un mois, soit près de 83 % des Français, 28,5 millions d’entre elles sont allées visiter non seulement le portail Pagesjaunes.fr, mais aussi Mappy.com, Ooreka.fr ou encore Avendrealouer.fr. Cette audience de masse place le groupe Solocal (ex-PagesJaunes) en septième position du nouvel « Internet global » de Médiamétrie, dont la mesure d’audience s’appuie désormais sur un panel renforcé de plus de 30.000 internautes et mobinautes, dont plus de 13 % d’entre eux sont équipés de deux ou trois écrans (ordinateurs et/ou smartphone et/ou tablette). Résultat : Solocal se hisse en septième position des audiences Internet en France, derrière Google, Facebook, Microsoft, les sites du Figaro, Webedia et Wikipedia.

En 2017, érosion de la clientèle de Solocal et baisse de l’ARPA, l’équivalent de l’ARPU mais pour les annonceurs.

Double changement de paradigme
A lui seul, le groupe français de la recherche locale et de l’information géolocalisée génère en ligne l’équivalent de près de 60 % de l’audience de Google en France (plus de 50 millions de visites unique en un mois). Les 28,5 millions de visiteurs de l’ex-PagesJaunes sont en passe d’être majoritairement des mobinautes, lesquels génèrent actuellement 52,6 % des visites, toujours devancés par les internautes utilisant un ordinateur (60,1 %), tandis que les tablonautes représentent, eux, 19,7 % de l’audience – sachant qu’un utilisateur peut utiliser plusieurs écrans. Au rythme où va la croissance des visites en mobilité, l’audience de Solocal générée à partir de smartphones devrait arriver en tête des visites en 2018, coiffant au poteau l’ordinateur. C’est à un double changement de paradigme – être passé du print au digital et maintenant basculer dans le « mobile first » – que le groupe dirigé par le tandem Pierre Danon et Eric Boustouller (photo), respectivement président du conseil d’administration et directeur général depuis maintenant six mois, doit faire face. Le mobile apparaît comme un relais de croissance salvateur pour l’ex- PagesJaunes déstabilisé ces dernières années par le déclin continu de ses annuaires téléphoniques imprimés.

Faire local face à Google et Facebook
Le mobile est un écosystème devenu vital pour Solocal, d’autant que le marché français du search – publicités sur les moteurs de recherche – a cru de 8% en 2017, porté par
la croissance des recettes sur smartphones et, dans une moindre mesure, sur tablettes. D’après le bilan de l’année écoulée et publié récemment par le Syndicat des régies Internet (SRI) et l’Union des entreprises de conseil et d’achat média (Udecam), les recettes publicitaires générées en France sur le search à partir d’un mobile se sont élevées à 993 millions d’euros et talonnent celles du search à partir d’un ordinateur (1.057 millions d’euros). Et, partant, l’année 2018 s’annonce comme celle du basculement dans le « mobile first » de ce segment de marché-là, où justement Solocal joue la carte de la proximité face à un Google qui reste global. Si l’on y ajoute le segment de marché du display – publicités affichées sous forme de bannières, de vidéos et de contenus de marques sur les sites web et les réseaux sociaux –, le mobile y a généré en France 705 millions d’euros supplémentaires. Là aussi, Solocal se différencie par son savoir-faire local face notamment à Facebook qui est lui aussi global. Il n’en reste pas moins que Google et Facebook se sont arrogés à eux deux
l’an dernier 78 % des 3,5 milliards d’euros de la publicité sur le search et le display
en France – sur un marché total de l’e-pub dépassant pour la première fois en 2017
les 4 milliards d’euros (+12 % sur un an) si l’on prend en compte les autres leviers tels qu’affiliation, e-mailing et comparateurs. La part de marché des deux géants du Net atteint même 90 % si l’on s’en tient à la publicité sur mobile ! Comment l’ex-PagesJaunes peutil exister dans ces conditions de duopole ? C’est là que le bât blesse. L’activité de l’entreprise est dépendante – à hauteur de plus de 60 % de ses revenus en 2017 – du search local qui a généré 461 millions d’euros de chiffre d’affaires sur un total de 756 millions d’euros. Or, cette activité-là accuse une baisse de 6 % sur un an (voir tableau ci-dessous). Devant les analystes financiers le 15 février dernier, Eric Boustouller a expliqué cette déconvenue par « l’impact négatif de la restructuration financière sur l’activité et la montée en puissance plus lente que prévue de nouveaux produits de search ». En y regardant de plus près, l’on constate en plus une érosion de la base de clientèle (-5 %) qui s’établit fin 2017 à 469.000 clients. A cela s’ajoute une baisse du revenu publicitaire moyen par client (-1 %). L’ARPA (Average Revenue Per Advertiser) est à la publicité en ligne ce que l’ARPU (Average Revenue Per User) est aux télécoms. En 2017, ce revenu annuel par client s’est donc érodé d’un point à 984 euros. « Ce ralentissement est très largement lié à l’impact sur le niveau d’activité commerciale de la finalisation du plan de restructuration financière au quatrième trimestre 2016, particulièrement auprès des grands comptes », a analysé l’ancien
vice-président de Microsoft Europe de l’Ouest.

L’atout du « programmatique local »
La baisse de l’activité search local est cependant compensée par la hausse de l’activité de marketing digital, laquelle progresse de 18 % à 175 millions d’euros en 2017. Il s’agit de produits et services de permettant de renforcer la présence des clients sur le Web (professionnels, TPE-PME, grands comptes) et s’articulant autour de sites web et de contenus en ligne, de services transactionnels et de « programmatique local ». Pour
ce dernier savoir-faire, Solocal s’appuie sur la data des intentions d’achat qualifiées
et géolocalisées des internautes qui visitent ses différents portails et médias (PagesJaunes, Mappy, Ooreka, Avendrealouer, …). De plus, depuis 2013 et grâce à
ses partenariats avec Google et Bing, l’ex- PagesJaunes orchestre des campagnes
de référencement payant sur ces moteurs de recherche et permet aux annonceurs de générer du trafic vers leurs sites Internet. Avec un bénéfice net de 336 millions d’euros (+585 %) et un endettement ramené à 332 millions d’euros (-70 %), Solocal est valorisé en Bourse 706,3 millions d’euros (au 22-02-18) avec une action qui tente péniblement de se maintenir au-dessus de la ligne de flottaison d’un euro. Quant au nouveau directeur financier Jean-Jacques Bancel, sur le pont depuis mi-février, il n’a pas attendu le 6 mars pour prendre ses fonctions : il devra rassurer les actionnaires lors de l’assemblée générale qui se tiendra le 9 mars 2018. @

Charles de Laubier

Internet of Animals

Ma première rencontre avec Internet des animaux se
situe précisément en 2013, lorsque notre vétérinaire équipa notre nouveau chaton d’un système de géolocalisation !
Pour 30 euros, il se proposait d’implanter une micro-puce sous-cutanée permettant de le repérer en cas de disparition soudaine… Je pris alors conscience que l’humanité venait d’embarquer les animaux avec elle, dans ce nouvel arche
de Noé numérique. Bien sûr, cela faisait déjà longtemps
que les scientifiques se servaient de cette technologie pour suivre les migrations des oies sauvages ou des troupeaux d’éléphants. Mais, cette fois, c’est une nouvelle étape de l’évolution qui vient de s’enclencher, aux conséquences inattendues. Le règne animal devait enfin avoir une place sur Internet, une place autre
que celle dévolue aux vidéos d’animaux ou aux jeux en ligne comme Farmville sur Facebook. Les initiatives furent de plus en plus nombreuses, le plus souvent dupliquant les applications de l’Internet des objets.
Tous les moments de la vie de nos animaux domestiques ont ainsi donné lieu à des solutions numériques : retrouver sa tortue dans le jardin du voisin, dresser et contrôler son chien à distance, gérer les entrées et les sorties des animaux ou leur alimentation, etc. Cela fait également longtemps que les éleveurs implantent des capteurs sur les bêtes de leur cheptel pour mesurer plusieurs paramètres, modéliser les données grâce à des logiciels d’analyse prédictive et ainsi optimiser les étapes clés de l’élevage, comme ne pas manquer les moments propices pour l’insémination artificielle de sa vache laitière,
en prévenant l’éleveur par un simple SMS.

« Cette fois, c’est une nouvelle étape de l’évolution qui
vient de s’enclencher, aux conséquences inattendues. »

C’est vers 2010 que le nombre de machines connectées dépassa le nombre d’humains abonnés au téléphone mobile. Face au plus de 8 milliards d’abonnés, on compte aujourd’hui plus de 50 milliards d’objets communicants, auxquels s’ajoutent quelques milliards d’animaux. Il y avait l’Animal to Machine comme Internet utilitaire réduisant
les animaux au rang d’objet. Puis s’est développé un Internet des animaux original.
Sa promotion commença avec l’annonce de Peter Gabriel, en mars 2013, d’un projet
de nouvelles interfaces pour permettre aux animaux de se connecter. Le musicien en
eut la révélation lors d’une session où il improvisa à partir de notes jouées par un bonobo sur un clavier. Cela rappela l’intérêt que les dauphins ou les orang-outang montrèrent
très rapidement en devenant des utilisateurs assidus de tablettes pour jouer, visionner
de vidéos et entrer en contact avec de lointains congénères…
Tout cela est possible depuis que l’interaction avec nos terminaux est devenue sensorielle. La commande par la voix, le toucher et le mouvement ont ainsi ouvert le cyberespace aux animaux. La banalisation récente du brain control est en train de nous faire franchir une nouvelle étape : non seulement nous apprenons à communiquer avec des espèces différentes, mais ces nouveaux animaux « augmentés » apprennent aussi
à communiquer directement entre eux par visiophone. C’est ainsi que les zoos sont devenus de véritables terrains d’expérimentation permanente. Les cages disparaissent peu à peu au profit d’une promenade ouverte où sont également convoqués les animaux disparus, comme le tyrannosaure, le mammouth ou le dodo, ramenés à la vie en mixant immersion en 3D, réalité augmentée et robotique animale… en attendant les premiers clones sur lesquels travaillent toujours de nombreuses équipes.
Maintenant que nous commençons à mieux comprendre leurs pensées et leurs modes de représentation du monde, nous apprenons également à apprécier les créations animales. Et c’est ainsi que les compositions graphiques ou musicales de quelques chimpanzés particulièrement doués circulent sur le Net et que certaines commencent à voir leurs cotes s’envoler sur le marché international de l’art contemporain. Un animal sera peut-être en mesure de dire dans un avenir lointain ces mots que Clifford D. Simak mit dans la gueule d’un descendant de la race canine dans son fameux Demain les chiens écrit en 1944 : « Vous ne devez pas traîner le souvenir de l’homme comme un boulet » ! @

Jean-Dominique Séval*
Prochaine chronique « 2020 » :
Lunettes et montres intelligentes
* Directeur général adjoint de l’IDATE