Archives par mot-clé : Opt-in

Affaire Vizio : des cookies sans consentement préalable sur les TV connectées, c’est illégal

Publié le par

Déposer un code unique sur un téléviseur connecté, sorte de cookie qui permet de suivre à des fins publicitaires le comportement du téléspectateur, nécessite
un opt-in de la part ce dernier. Sinon, la collecte de données est « déloyale et trompeuse ». Vizio l’a appris à ses dépens.

Par Winston Maxwell, avocat associé, Hogan Lovells

Le 6 février 2017, le fabricant de téléviseurs connectés Vizio (1) a conclu un accord transactionnel avec l’autorité américaine de la protection des consommateurs, la FTC (2). Cet accord prévoit le paiement par Vizio d’une indemnité transactionnelle de 2,2 millions de dollars, et l’engagement par cette entreprise californienne de mettre en oeuvre un programme de conformité pour une durée de vingt ans. Homologué par un tribunal fédéral, cet accord nous apporte plusieurs enseignements, notamment sur le caractère sensible de données liées au visionnage de programmes audiovisuels, ainsi que sur les pouvoirs très étendus de la FTC.

Cookie sur la TV connectée sans opt-in
Les téléviseurs Vizio disposent d’un logiciel qui analyse les écrans visionnés par le téléspectateur. Ce logiciel analyse les pixels de l’écran, envoie cette information à la société Vizio qui croise cette information avec d’autres bases de données afin d’identifier le contenu visionné par le téléspectateur. Par exemple, Vizio pourra conclure qu’une série de pixels correspond à un épisode des Simpsons, ou à une publicité pour une voiture Renault. En somme, le logiciel Vizio est similaire à des cookies déployés aujourd’hui sur l’ordinateur d’un internaute, sauf que le logiciel Vizio est également conçu pour identifier les émissions de télévision ou les DVD regardés par l’utilisateur. Comme un réseau de publicité en ligne, Vizio vend cette information à des annonceurs et à des prestataires de publicité. Le nom de l’utilisateur n’est pas connu mais, comme pour les cookies, le téléviseur est identifié par un code unique qui permet de suivre le comportement du ou des téléspectateurs. La plupart des internautes sont aujourd’hui habitués aux publicités ciblées sur le Web : si je visite le site d’un constructeur automobile, je peux m’attendre à voir sur un autre site web une publicité de voiture. Ce qui est plus surprenant dans l’environnement de la télévision connectée est de voir sur son compte e-mail par exemple une publicité liée à un film que l’on vient de visionner. Jusqu’à présent, la télévision a été perçue comme une zone protégée contre le phénomène des cookies. Le logiciel Vizio a cassé cette séparation entre TV et Web, sans pour autant chercher le consentement explicite de l’utilisateur, ce qui a conduit la FTC et le procureur de l’état de New Jersey à entamer une procédure de sanction. La FTC a estimé que la collecte de données à caractère personnel par Vizio était à la fois « déloyale » et « trompeuse », ce qui est incompatible avec l’article 5 du Federal Trade Commission Act (FTC Act). Les Etats-Unis s’appuient sur la loi concernant la protection des consommateurs, et notamment l’article 5 du FTC Act, pour sanctionner les traitements illicites de données. Le concept de pratiques « déloyales et trompeuses » permet à la FTC d’atteindre certains des mêmes objectifs que ceux visés par la législation européenne, et notamment le nouveau règlement européen sur la protection des données à caractère personnel. Dans le cas présent, les pratiques de Vizio étaient déloyales et trompeuses car le consommateur moyen ne s’attend pas à ce que ses habitudes de visionnage soient suivies et exploitées sans son consentement explicite. Compte tenu de la sensibilité des données, l’utilisation de conditions générales pour recueillir le consentement n’est pas suffisante, selon la FTC. Un opt-in spécifique est nécessaire. On constate une ressemblance entre la position de la FTC et la position, en France, de la Commission nationale de l’informatique et des libertés (Cnil) en matière de consentement pour les cookies. La FTC cherche une adéquation entre le niveau de consentement, d’une part, et les attentes du consommateur, d’autre part. Une pratique qui est susceptible de surprendre le consommateur ne sera pas tolérée sans son consentement explicite. En revanche, une pratique qui est conforme aux attentes générales du consommateur pourra s’affranchir d’un consentement explicite préalable.

Données « sensibles » de TV connectées ?
Cette approche permet aux autorités américaines d’avoir une approche plus souple
et évolutive que leurs homologues européens, qui sont liés par des textes moins souples en matière de consentement. Dans la plainte de la FTC, celle-ci qualifie de
« sensibles » les données de visionnage collectées par Vizio. A défaut de textes explicites définissant ce qu’est une donnée « sensible », la FTC s’appuie sur une appréciation générale du préjudice potentiel qui pourrait découler de l’exploitation de certains types de données. La FTC cite une loi américaine qui interdit l’utilisation par
les câblo-opérateurs de données de visionnage pour des finalités liées à la publicité.
La FTC dispose d’une souplesse comparée à l’approche européenne en matière de protection des données à caractère personnel (3).

Les sept mots de la loi américaine
La FTC a bâti une jurisprudence sur la protection des données à caractère personnel aux Etats-Unis à partir d’une loi sur la protection des consommateurs qui se résume en sept mots : « Les pratiques déloyales et trompeuses sont interdites ». Le règlement européen, qui compte 61.723 mots pour sa version française, est plus détaillé mais
en même temps moins souple que la législation américaine. Dans le cas Vizio, la FTC
a pu construire une approche européenne sur le fondement des sept mots de la loi américaine. L’approche utilisée par la FTC en matière de consentement converge avec l’approche européenne. Dès lors qu’il s’agit de données sensibles et que le traitement par Vizio dépasse la zone de confort du consommateur moyen, un consentement explicite est nécessaire. La FTC impose à Vizio des conditions très précises sur le recueil du consentement, et la manière de présenter l’information. Celle-ci doit être
« incontournable » et « compréhensible pour un consommateur ordinaire ». La FTC a ordonné l’effacement par Vizio des données collectées avant le 1er mars 2016, et la mise en oeuvre d’un programme de conformité et de responsabilisation (accountability) digne d’un programme issu du règlement européen. La version moderne de l’accountability est née aux Etats-Unis en 1991 avec le décret américain sur les sanctions (4). Aujourd’hui, l’accountability (5) est l’un des piliers du nouveau règlement européen car il impose aux entreprises une série de mesures internes pour assurer
la conformité des pratiques de l’entreprise avec la réglementation (6). La liste des mesures imposées par la FTC dans l’affaire Vizio est impressionnante : l’entreprise californienne (basée à Irvine) doit nommer un délégué à la protection des données à caractère personnel ; elle doit conduire une étude d’impact sur la protection des données à caractère personnel pour identifier des risques ; elle doit mettre en place
des mesures de protection adéquates pour contrer ces risques. Ces mesures doivent inclure une formation des salariés et la mise en oeuvre de la protection des données à caractère personnel au stade de la conception des produits selon le principe du Privacy by Design. Vizio doit en outre mettre en oeuvre des mesures de contrôle internes, y compris des tests réguliers de la conformité. Le programme doit prévoir un mécanisme pour sélectionner des sous-traitants en fonction de leur niveau de protection des données à caractère personnel, et prévoir la mise en place de clauses contractuelles avec chaque sous-traitant pour garantir un niveau de protection élevé. L’entreprise doit aussi disposer de documents pour démontrer sa conformité avec chacune des engagements pris au titre de l’accord transactionnel. Elle doit faire appel à un auditeur indépendant, approuvé par la FTC, pour rédiger un rapport d’audit sur la conformité de Vizio avec ses engagements. L’audit doit avoir lieu tous les deux ans pendant vingt ans.

Rapport détaillé en février 2018
Au plus tard dans les douze mois suivant l’accord transactionnel, Vizio doit envoyer à la FTC un rapport détaillé sur la mise en oeuvre de l’ensemble des obligations découlant de l’accord. A travers cet accord transactionnel, la FTC a démontré non seulement la souplesse du concept de « pratique déloyale et trompeuse » mais également l’étendue des pouvoirs de la FTC de mettre en oeuvre un programme de suivi des engagements, dans l’esprit d’accountability. @

ZOOM

En France, bientôt des cookies dans la TV connectée ?
Le dépôt de cookies ou de logiciels dans les téléviseurs en France doit se conformer
à la recommandation de la Cnil sur les cookies. La personne concernée doit être informée et donner son consentement préalablement au dépôt de ces mouchards,
sauf si ces actions sont strictement nécessaires au fournisseur pour la délivrance d’un service expressément demandé par l’abonné ou l’utilisateur. Les solutions de mesures d’audience sont soumises à une simple déclaration auprès de la Cnil (et non à une demande d’autorisation). « La société Samsung nous a adressé en 2013 une déclaration relative à une prestation de services Smart TV. Nous leur avons envoyé un récépissé car leur demande était complète », indique la Cnil à Edition Multimédi@. Reste qu’en France la publicité ciblée est interdite à la télé. L’article 13 du décret de 1992 sur la publicité télévisée dit bien que « les messages publicitaires doivent être diffusés simultanément dans l’ensemble de la zone de service ». Mais des éditeurs de chaînes veulent une évolution de cette réglementation. « Si l’interdiction existante était levée, se poserait la question de la protection des données à caractère personnel des téléspectateurs. L’utilisation des données issues des “box” (composition du foyer, âge, etc.) pour pouvoir cibler les publicités qui leur seront adressées ne pose pas de problème en soi, tant qu’elle est envisagée au regard de la loi “Informatique et libertés” et de ses principes, dont l’information, le consentement, la durée de conservation des données ou la sécurité, etc. », nous précise la Cnil. BFM Paris, la nouvelle chaîne du groupe SFR, va tester l’été prochain des « publicités adressées ». Une première en France. C’est ce qu’a annoncé le 10 février dernier Alain Weill, directeur général de SFR Media, devant l’Association des journalistes médias (AJM). @

Charles de Laubier

Cookies : le consentement préalable inquiète Nick Leeder, le DG de Google France

Publié le par

En fait. Le 28 octobre, Nick Leeder, DG de Google France, était parmi les invités de l’Association des journalistes économiques et financiers (AJEF). EM@ en a profité pour lui demander si le projet européen de « consentement préalable obligatoire » pour les cookies l’inquiétait pour l’avenir de la pub en ligne.

Nick LeederEn clair. « C’est une bonne question. Cela peut impacter le business de Google, mais cela va nous toucher beaucoup moins que bien d’autres acteurs », nous a répondu Nick Leeder (photo), le DG de Google France depuis avril 2013.
« Je pense que cela ne va pas vraiment impacter l’activité de moteur de recherche de Google, le search. Mais cela peut toucher beaucoup plus les autres, par exemple les sites web de journaux qui utilisent les cookies pour mieux améliorer leur niveau de monétisation : tout ce qui est publicité display [bannières notamment, ndlr] peut être très impacté », a-t-il prévenu.

Europe : opt-in obligatoire en vue avant tout cookie publicitaire
La nouvelle Commission européenne, installée depuis le 1er novembre dernier, doit en effet adopter d’ici l’an prochain (1) le projet de règlement sur la protection des données présenté en janvier 2012 par Viviane Reding (2).
C’est la Tchèque Véra Jourová, commissaire en charge de la Justice, des Consommateurs et de l’Egalité des genres, qui hérite de la réforme. Il est notamment prévu d’obliger les sites web à obtenir le « consentement préalable » (opt-in) des internautes et mobinautes avant de déposer des cookies publicitaires. Pour l’heure,
les éditeurs se contentent d’avertir l’utilisateur avant le dépôt de « mouchards »
(s’il poursuit sa navigation sur le site web visité) – ce que vérifie la Cnil depuis octobre en France (lire EM@100, p. 8). Pour le patron de Google France, « il faut faire très attention car il y a un écosystème très large de sites web qui vivent grâce à ces publicités en ligne ». Et Nick Leeder de mettre en garde : « Si l’on rend le niveau de monétisation plus faible, cela peut être une mauvaise politique. Il faut donc trouver le bon équilibre ». D’après l’Irep et France Pub, le marché français de la publicité Internet (display, search et emailing) pesera 1,8 milliard d’euros cette année. Le consentement préalable obligatoire va-t-il tuer la poule aux oeufs d’or ? « La régulation, c’est facile. Mais on peut tuer l’innovation dans l’œuf », a-t-il dit.

Plus généralement sur la réglementation européenne sur la protection des données personnelles et le droit à l’oubli, il prévient : « C’est un sujet très sensible pour Google, parce que c’est pour nous une question de vie ou de mort si nous perdons la confiance des utilisateurs. Il faut vraiment trouver le bon équilibre. Cela nous amène à donner encore plus de contrôle aux consommateurs sur ses données, comme le Google Dashboard (3) ». @

« Préalable » : le mot qui pourrait compromettre la publicité sur Internet

Publié le par

Le gouvernement doit publier d’ici le 25 mai une ordonnance pour transposer la nouvelle directive européenne « Service universel et droits des utilisateurs » sur Internet. Elle impose aux Vingt-sept de prévoir le « consentement préalable » des internautes pour chaque « cookie » déposé dans son ordinateur.

Le marché de la publicité, qui devrait dépasser cette année en France les 2,5 milliards d’euros de chiffre d’affaires (contre 2,3 milliards en 2010 selon l’Irep) et franchir en Europe la barre des 10 milliards d’euros (contre 8,6 milliards en 2010 selon l’Idate),
est sur le point d’être déstabilisé par un petit mot : « préalable ».

L’opt-in va remplacer l’opt-out
« Préalable » a été rajouté dans la nouvelle directive européenne Service universel et droits des utilisateurs sur les réseaux et services de communications électroniques,
qui a été promulguée le 18 décembre 2009 au JOCE (1) et qui doit être transposée d’ici
le 25 mai 2011 après avoir notifié le texte à la Commission européenne. Ainsi, l’article 6
de ce texte communautaire prévoit désormais que tout éditeur de contenus en ligne ou tout fournisseur de services sur le Web obtiennent le « consentement préalable » de chaque internaute avant de déposer dans l’ordinateur de ce dernier – ou le smartphone
du mobinaute – un cookie. La précédente directive de 2002 prévoyait bien le consentement mais pas de façon préalable. Ce que modifie la nouvelle directive (2).
C’est ce passage de l’opt-out (accord tacite) à l’opt-in (accord exprès) que redoutent
les acteurs de l’Internet. D’autant que toute l’économie de la publicité en ligne est basée sur les fameux « cookies », ces petits fichiers informatiques nés en 1994 chez Netscape sous le nom de « magic cookie » et destinés à suivre à la trace chaque internautes naviguant sur le Web. Une fois installé discrètement dans l’ordinateur au moment de la première visite sur un site web, le cookie fait office de témoin, voire de mouchard ou d’espion, à chaque fois que l’utilisateur se reconnecte. Ils sont déposés par le navigateur complice (Google, Firefox, Opera, Chrome, …), à l’insu de l’internaute, et servent aux éditeurs de services en ligne à collecter toutes sortes
de données utiles à la gestion des connexions (identifiants par exemple), à la personnalisation des sessions (préférences notamment), ou au pistage des visites (statistiques, centres d’intérêt, transactions, etc). C’est sur ce tracking que s’appuie particulièrement l’industrie de la publicité en ligne qui égrène pour ce faire des millions de cookies, dits « tierces parties » car ils relèvent de noms de domaine différent de celui visité par l’internaute. Les annonceurs, leurs agences de publicité et les régies publicitaires en sont friands. Et pour cause : c’est grâce à leurs cookies que les publicitaires vont mesurer l’audience de leurs bannières, pub vidéo et autres liens sponsorisés (3), afin d’en mesurer leur efficacité et de proposer par la suite des publicités ciblées en fonction des préférences de l’internaute recueillis sans qu’il le sache par le cookie. Dans son considérant 25, la directive de 2002 explique que « les dispositifs de ce type, par exemple des témoins de connexion (cookies), peuvent constituer un outil légitime et utile, par exemple pour évaluer l’efficacité de la conception d’un site et de la publicité faite pour ce site, ainsi que pour contrôler l’identité des utilisateurs effectuant des transactions en ligne. (…) L’accès au contenu d’un site spécifique peut être, toutefois, subordonné au fait d’accepter, en pleine connaissance
de cause, l’installation d’un témoin de connexion (…). » (4). Or, les internautes sont suspicieux envers cette intrusion. Selon une étude de ETO et Market Audit publiée
le 10 mars, 70 % des consommateurs refusent que leurs données personnelles – et les cookies en font partie selon la Cnil – soient utilisées par les annonceurs. De plus, selon Benoît Cassaigne, directeur exécutif de Médiamétrie, jusqu’à 50 % des cookies sont effacés par les internautes dans le mois à partir de leur navigateur (5). Le consentement préalable pourrait anéantir les cookies. Le gouvernement français ne pourra faire l’impasse sur l’opt-in malgré les pressions des premiers concernés – tels que l’Interactive Advertising Bureau France (IAB) – pour assouplir le texte. Depuis un an, une première version de l’ordonnance prévue dans le cadre de la transposition du Paquet télécom prévoit bien le consentement préalable des internautes vis-à-vis des cookies et, toujours conformément à la directive de 2009, « la possibilité de retirer à tout moment leur consentement pour le traitement des données relatives au trafic ».

Pas de débat, grande inquiétude
Les professionnels n’ont eu de cesse d’alerter le gouvernement sur les risques que
ces dispositions faisaient peser sur le marché de la publicité en ligne. Maintenant que
le gouvernement est habilité à transposer par ordonnance, donc dans l’urgence et
sans débat parlementaire (6), l’inquiétude monde. S’il y a méfiance et désaffection
des annonceurs vis-à-vis de l’e-pub, qui financera les contenus gratuits du Web ? @

Charles de Laubier