Archives par mot-clé : Cookies

Collecte de données de géolocalisation mobile : la Cnil mène l’enquête au regard du RGPD

Publié le par

Le 13 juin 2022, la Commission nationale de l’informatique et des libertés (Cnil) a annoncé avoir confié à son laboratoire Linc une étude sur les données de géolocalisation collectées par des applications mobiles, la revente de données et les data brokers. Elle vérifiera la conformité avec le RGPD.

« Si cette étude n’est pas liée à une procédure de contrôle ou de sanction, elle s’inscrit néanmoins dans l’une des thématiques prioritaires de contrôles puisqu’en 2022 la Cnil vérifiera la conformité au RGPD des professionnels du secteur [en l’occurrence de la prospection commercial, dont la publicité en ligne, ndlr], en particulier de ceux qui procèdent à la revente de données, y compris, des nombreux intermédiaires de cet écosystème (aussi appelés data brokers) », précise le gendarme français des données et des fichiers informatiques.

Données anonymisées ou authentiques
Cela fait partie de ses priorités pour l’année en cours, dans le cadre sa mission de contrôle du respect du règlement général sur la protection des données (RGPD), lequel fut adopté en 2016 par le Parlement européen (1) et en vigueur depuis mai 2018 dans les Vingt-sept. Cette enquête est confiée au Laboratoire d’innovation numérique (Linc), dirigé depuis plus d’un an par Vincent Toubiana (photo). Cette mission s’achèvera dans quinze mois – en septembre 2023 – et « ce projet donnera lieu à plusieurs publications sur le site web du Linc » (2). Si la Cnil n’envisage pas – pour l’instant ? – d’actions répressives à l’encontre des exploitants de données, anonymisées et/ou personnelles, qui enfreindraient le RGPD et la protection de la vie privée des internautes, elle prévoit de « sensibiliser le public et les professionnels sur les enjeux liés à la collecte de données de géolocalisation par les applications mobiles ».
Pour étudier les pratiques aux finalités publicitaires et marketing, le Linc est en train d’analyser « un échantillon de données correspondant à la France » que la Cnil s’est procuré auprès d’un data broker de la place en se faisant passer pour un client potentiel lambda. Elle a pu ainsi obtenir du courtier de données « un jeu de données de géolocalisation » concernant des personnes. La Cnil précise que le jeu de données concerné est un fichier comportant des données de géolocalisation horodatées avec des points de localisation associés à près de 5 millions d’identifiants publicitaires de smartphones (Android et iOS) sur une période d’environ une semaine en 2021. « Les données transmises, précise le régulateur des données personnelles, sont présentées comme anonymisées par le revendeur de données. Après une rapide analyse, la Cnil considère qu’au moins une partie de ces données est authentique. Elle vérifiera si, sur la base de ce jeu de données, elle est en capacité de réidentifier les personnes et, dans l’affirmative, elle informera individuellement celles-ci ».
Dans l’éventualité où des personnes seraient réidentifiées, assure donc l’autorité indépendante de la place de Fontenoy, le traitement de leurs données sera suspendu jusqu’à ce qu’elles soient individuellement informées. « Si vous souhaitez plus d’informations sur ce traitement ou si vous souhaitez exercer vos droits, vous pouvez contacter ip@cnil.fr ou adresser un courrier à la Cnil à l’attention du service Linc », indique-t-elle. Des mesures particulières ont même été prises pour assurer la confidentialité de ces données auxquelles ne pourront accéder que l’équipe du Linc. Dans le jeu de données fourni, apparaissent des identifiants publicitaires. Ce que l’on appelle « identifiant publicitaire » consiste en une chaîne de caractères associée à un unique smartphone et permettant à des annonceurs de le reconnaître pour lui adresser de la publicité. « Comme son nom l’indique, cette donnée est identifiante : il s’agit donc d’une donnée personnelle. Un acteur disposant de deux sources de données présentant le même identifiant publicitaire est en mesure de relier les informations et de construire un profil plus complet de la personne à laquelle l’identifiant est associé », souligne la Cnil.

Deux missions : information et veille techno
Un courtier de données est à même de pouvoir relier les données d’utilisations collectées à partir de différentes applications installées sur un même smartphone. « Plus cet identifiant est stable dans le temps, fait remarquer l’autorité, plus il permet d’accumuler des informations sur les habitudes des propriétaires de smartphones. Il est donc conseillé de renouveler régulièrement cet identifiant ». Dans l’étude du Linc, l’identifiant publicitaire ne sera utilisé que pour faire le lien entre les points de localisation correspondant à un même smartphone. Un acteur de la publicité, lui, cherchera à faire le lien utiliser la valeur de l’identifiant pour l’associer à d’autres données telles que des données d’utilisation d’applications mobiles. La course à la géolocalisation mobile à des fins de publicités ciblées en temps réel – le RTB (Real Time Bidding) – serait la plus grande atteinte à la vie privée, selon l’ONG irlandaise ICCL (3), qui a publié le 16 mai dernier une étude édifiante (4) : en Europe, l’industrie du RTB expose les données des gens 376 fois par jour en moyenne ; aux Etats-Unis, c’est 747 fois ! L’industrie américaine et européenne du RTB a généré plus de 117 milliards de dollars en 2021.

Des mesures législatives ou réglementaires ?
Cette étude sur les données de géolocalisation collectées par des applications mobiles s’inscrit dans le cadre de deux missions précises de la Cnil prévues par la loi « Informatique et Liberté » : d’une mission d’information telle que définie dans l’article 8.I.1 (« Elle informe toutes les personnes concernées et tous les responsables de traitements de leurs droits et obligations et peut, à cette fin, apporter une information adaptée aux collectivités territoriales, à leurs groupements et aux petites et moyennes entreprises ») ; d’une mission de suivi de l’évolution des technologies de l’information telle que définie dans l’article 8.I.4 (« Elle se tient informée de l’évolution des technologies de l’information et rend publique le cas échéant son appréciation des conséquences qui en résultent pour l’exercice des droits et libertés mentionnés à l’article 1er »).
Dans sa mission de suivi de l’évolution des technologies de l’information, la Cnil peut même proposer au gouvernement des mesures législatives ou réglementaires pour procéder à l’« adaptation de la protection des libertés à l’évolution des procédés et techniques informatiques et numériques ». Reste à savoir s’il faudra adapter les textes en vigueur aux données de géolocalisation collectées par des applications mobiles, à la revente de données et aux pratiques des data brokers. Quoi qu’il en soit, la Cnil est tenue de contrôler la conformité des acteurs du numérique en France au RGPD, et les données de géolocalisation des données mobile – à l’ère du smartphone utilisé comme premier écran – sont particulièrement sensibles à cet égard.
D’autant que la loi « Informatique et Libertés » de 1978 n’a jamais été autant réécrite depuis l’ordonnance « Protection des données personnelles » du 12 décembre 2018 qui a mis en conformité le droit national français (5) avec le RGPD entré en vigueur au niveau européen depuis le 25 mai 2018. Cette transposition a notamment eu un impact sur le 1er article de cette loi française historique sur l’informatique, les fichiers et les libertés, qui en réfère désormais au RGPD européen notamment. Ainsi : « L’informatique doit être au service de chaque citoyen. Son développement doit s’opérer dans le cadre de la coopération internationale. Elle ne doit porter atteinte ni à l’identité humaine, ni aux droits de l’homme, ni à la vie privée, ni aux libertés individuelles ou publiques. Les droits des personnes de décider et de contrôler les usages qui sont faits des données à caractère personnel les concernant et les obligations incombant aux personnes qui traitent ces données s’exercent dans le cadre du [RGPD], de la directive [dite « Police-Justice », ndlr (6)] et de la présente loi [« Informatique et Libertés »] ».
L’on comprend pourquoi la collecte des données de géolocalisation par les éditeurs d’applications mobiles soit mise sous surveillance et fasse l’objet d’une enquête de la part du régulateur des données personnelles. La question de l’anonymisation de ces data géolocalisées et de leur identification en tant que données personnelles est cruciale, voire épineuse pour tout l’écosystème numérique et publicitaire.
Surtout que la directive européenne dite « ePrivacy » – modifiée (7) et transposée à l’article 82 de la loi « Informatique et Libertés » – interdit la collecte de données sans le consentement préalable de l’internaute (du mobinaute) concerné et sans qu’elle ait été rendues anonymes. Or cette directive « ePrivacy » prévoit en son article 5.3 que « les Etats membres garantissent que l’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition que l’abonné ou l’utilisateur, soit muni, (…) d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données. (…) ». Cette disposition, transposée dans des termes similaires en droit français dans la loi « Informatique et Libertés », concerne a priori aussi bien les cookies stockés sur tout terminal connecté que l’accès aux données de géolocalisation qui y sont stockées.

Cookies et data géolocalisées, même combat ?
D’ailleurs, comme elle l’a déjà fait pour les cookies déposés par Amazon et Google (8), la Cnil pourrait très bien recourir non pas au RGPD – lequel suppose à « l’autorité chef de file » de coordonner la prise de décision avec les autres autorités concernées par le traitement des données en question – mais à s’appuyer plutôt sur cette directive « ePrivacy ». Dans ce cas, le gendarme français des données personnelles peut se considérer comme territorialement compétente pour contrôler et sanctionner des acteurs – même étrangers – abusant de la géolocalisation de données mobiles via leurs activités en France. @

Charles de Laubier

Les alternatives aux cookies tiers, lesquels vont disparaître, veulent s’affranchir du consentement

Publié le par

Le numéro un mondial de la publicité en ligne, Google, a confirmé le 25 janvier qu’il bannira à partir de fin 2023 de son navigateur Chrome les cookies tiers – ces mouchards du ciblage publicitaire. Comme l’ont déjà fait Mozilla sur Firefox ou Apple sur Safari. Mais attention à la vie privée.

Il y a près d’un an, le 3 mars 2021, Google avait annoncé qu’il allait abandonner les cookies tiers – utilisés par les annonceurs et publicitaires à des fins de traçage des internautes et de ciblage personnalisé – au profit de « centres d’intérêts » de groupes d’individus, alors appelés « cohortes » ou, dans le jargon des développeurs «FLoC», pour Federated Learning of Cohorts (1). Une « cohorte » est un groupe d’utilisateurs aux comportements de navigation similaires et aux « intérêts communs » (2). Et ce, sans ne plus avoir à identifier les individus un par un, mais tous ensemble de façon non indentifiable.

Cohortes, fingerprinting, centres d’intérêt, …
Mais cette technique de traçage anonymisé soulevait toujours des questions au regard du consentement des internautes et de sa conformité avec le règlement général sur la protection des données (RGPD) en Europe. De plus, les « cohortes » laissaient la porte ouverte à de l’espionnage par browser fingerprinting, c’est-à-dire la prise d’empreinte à partir du navigateur web pour collecter une floppée d’information sur l’utilisateur et son équipement. Car les réseaux publicitaires s’appuient principalement sur deux méthodes pour mettre les internautes sous surveillance. Son donc dans le même bateau : le suivi par des mouchards déposés dans le terminal et les empreintes digitales issues du navigateur.
Si les cookies tombent à l’eau, qu’est-ce qui reste ? Le fingerprinting. Cette technique de traçage des internautes, indépendamment des cookies eux-mêmes, est en fait illégale sans consentement préalable de l’internaute. L’Electronic Frontier Foundation (EFF), une ONG internationale de protection des libertés sur Internet, basée à San Francisco et aujourd’hui dirigée par Cindy Cohn (photo), a mis en place il y a une dizaine d’année un outil – Cover Your Tracks (3) – qui permet à tout internaute de vérifier le niveau de traçage de son navigateur. « Lorsque vous visitez un site web, votre navigateur fait une “demande” pour ce site. En arrière-plan, le code publicitaire et les trackers invisibles sur ce site peuvent également amener votre navigateur à faire des dizaines ou même des centaines de demandes à d’autres tiers cachés. Chaque demande contient plusieurs informations sur votre navigateur et sur vous, de votre fuseau horaire aux paramètres de votre navigateur en passant par les versions de logiciels que vous avez installés », met en garde l’EFF. Si certaines de ces informations sont transmises par défaut pour simplement mieux visualiser la page sur votre écran (smartphone, ordinateur ou tablette) et en fonction du navigateur utilisé, bien d’autres informations aspirées par du navigateur peuvent remonter – de façon sournoise et à l’insu de l’intéressé – jusqu’aux réseaux publicitaires tiers. En naviguant sur le Web, chaque internaute laisse des traces comme en marchant dans la neige. C’est ce que l’on appelle une « empreinte digitale numérique », ou fingerprinting : il s’agit essentiellement de caractéristiques propres à un utilisateur, à son navigateur et à sa configuration informatique (jusqu’à la résolution de son écran et aux polices de caractère installées dans son ordinateur…). Et le tout collecté par des scripts de suivi (tracking scripts) qui constituent les multiples pièces d’un puzzle sur le profit de l’utilisateur, qui, une fois assemblées, révèlent l’image unique de l’individu ciblé. Contrairement aux cookies qui tombent sous le coup du RGPD imposant le consentement préalable de l’internaute concerné, lequel peut aussi supprimer les cookies voire bloquer les publicités en ligne à l’aide d’un adblocker (4), les empreintes digitales échappent à tout contrôle et restent difficilement modifiables et impossible à supprimer. « Cela équivaut à suivre un oiseau par son chant ou ses marques de plumes, ou une voiture par sa plaque d’immatriculation, sa marque, son modèle et sa couleur », compare l’EFF, laquelle suggère de désactiver JavaScript pour arrêter l’exécution des scripts de suivi. JavaScript est le fameux langage de programmation de scripts, créé il y a plus d’un quart de siècle maintenant et principalement employé dans les pages web interactives, autrement dit partout sur le Web. Mais désactiver JavaScript compliquera la vie de l’internaute…

Les requêtes JavaScript et le RGPD
« Le principal objectif de Cover Your Tracks est de vous aider à établir votre propre équilibre entre la confidentialité et la commodité, explique l’ONG américain. En vous donnant un résumé de votre protection globale et une liste des caractéristiques qui composent votre empreinte digitale numérique, vous pouvez voir exactement comment votre navigateur apparaît aux trackers, et comment la mise en oeuvre de différentes méthodes de protection change cette visibilité ». C’est pour éviter notamment que le fingerprinting, avec ses requêtes JavaScript, ne le mette en infraction visà- vis du RGPD et ne se retourne contre lui, que Google a abandonné FloC pour « Topics ». Quèsaco ? Fini les « cohortes », place aux « thèmes ». Moins d’intrusions dans la vie privée, plus d’information sur les centres d’intérêt, bien que cela ne sonne pas la fin du tracking publicitaire sur ordinateurs et smartphones… Ce changement de pied sera généralisé sur Chrome à partir de fin 2023, après une phase de transition dès le troisième trimestre prochain.

La Grande-Bretagne et l’Allemagne scrutent
Et l’avantage présenté par Google le 25 janvier dernier est que toute cette « cuisine thématique » reste dans le terminal de l’utilisateur et les thèmes y sont conservés durant trois semaines avant d’être effacés. Tandis que l’interface de programmation d’applications – l’API (5) – de Google exploite trois thèmes, à raison d’un thème par semaine. Explication de Vinay Goel (photo ci-contre), directeur Privacy chez Google, basé à New York : « Avec Topics, le navigateur identifie des thèmes (topics) représentatifs des principaux centres d’intérêt des utilisateurs pour une semaine donnée, tels que “fitness”ou “voyages”, en fonction de l’historique de navigation. Ces thèmes sont gardés en mémoire pendant seulement trois semaines avant d’être supprimés. Ce processus se déroule entièrement sur l’appareil utilisé, sans impliquer de serveurs externes, Google ou autre. Lorsqu’un internaute visite un site Web participant, Topics sélectionne seulement trois thèmes, un thème pour chacune des trois dernières semaines, que l’API transmet ensuite à ce même site ainsi qu’à ses annonceurs partenaires » (6). Tout cela en toute transparence : fini les mouchards, fini le suivi dissimulé et autres cookies indigestes, fini aussi le fingerprinting sournois. L’utilisateur garde la main sur ces données le concernant.
Du moins sur Chrome où il peut accéder aux paramètres de contrôle pour y voir les thèmes partagés avec les annonceurs, en supprimer certains, avec la possibilité de désactiver entièrement la fonctionnalité. « Plus important encore, souligne Vinay Goel, les thèmes sont sélectionnés avec attention afin d’exclure les catégories potentiellement sensibles, telles que le genre ou l’appartenance ethnique ». Google n’est pas le premier à bannir les cookies tiers de son navigateur Chrome. Avant lui, Mozilla, Apple, Microsoft et Brave Software les ont écartés de respectivement Firefox, Safari, Edge et Brave. Mais le plus souvent pas des filtres « anti-cookies ». L’aggiornamento du ciblage publicitaire est en tout cas venu, quitte à secouer certains acteurs comme ce fut le cas fin 2017 lorsque Criteo a dévissé en Bourse après l’annonce d’Apple contre les cookies sur iOS 11. Depuis l’adtech française a dû s’adapter (7). D’autres, comme Prisma Media ou Webedia (8), contournent le problème en imposant des « cookies walls ». Tôt ou tard, tout l’écosystème devra passer à la publicité basée sur les intérêts – Interest-based advertising (IBA) – qui est une forme de publicité personnalisée dans laquelle une annonce est sélectionnée pour l’utilisateur en fonction des intérêts dérivés des sites qu’il a visités antérieurement. « Les thèmes sont sélectionnés à partir d’une taxonomie publicitaire, qui comprendra entre quelques centaines et quelques milliers de sujets [entre 350 et 1.500 thèmes, ndlr], tout en excluant les sujets sensibles », précise par ailleurs la plateforme de développement de logiciels GitHub (9). Reste que le monde publicitaire (marques, régies, éditeurs, adtech, …) devra se faire une raison : l’IBA donnera des résultats d’affichages différents – moins performants ? – par rapport à la publicité contextuelle mais peut-être plus utiles pour l’internaute. Mais la démarche de Google – en position dominante sur le marché mondial de la publicité en ligne – inquiète de nombreux acteurs du numérique. La firme de Mountain View (Californie) a déjà eu à répondre l’an dernier devant l’autorité de la concurrence britannique, la Competition and Markets Authority (CMA), ainsi qu’à la « Cnil » britannique, l’Information Commissioner’s Office (ICO), en prenant des engagements vis-à-vis des autres acteurs du marché et envers la protection de la vie privée (10). En Allemagne, la fédération des éditeurs VDZ a fait savoir le 24 janvier dernier qu’elle en appelait – au nom de ses 500 membres – à la Commission européenne pour dénoncer « les distorsions de concurrence de Google », suite à sa décision de « bloquer les cookies de tiers dans le navigateur dominant Chrome ». La VDZ demande à ce « que l’utilisation de cookies fournis par des tiers reste autorisée, à condition, notamment, que les utilisateurs consentent eux-mêmes à leur utilisation » (11). Elle rappelle au passage qu’en avril 2021 elle a engagé avec d’autres organisations professionnelles une action antitrust contre Apple auprès de l’autorité fédérale allemande de lutte contre les cartels (12).

La Commission européenne enquête
En France, la Commission nationale de l’informatique et des libertés (Cnil) se penche sur « les alternatives aux cookies » (13) mais n’a encore rien dit sur les « Topics » de Google. De son côté, Margrethe Vestager, vice-présidente de la Commission européenne et en charge de la Concurrence et du Numérique, n’a pas attendu la requête de la VDZ pour s’interroger sur la fin des cookies tiers – notamment sur les intentions de Google – comme l’atteste un courrier daté du 23 avril 2021 et envoyé au Parlement européen (14). Deux mois après, le 22 juin 2021, la Commission européenne ouvrait une enquête sur les pratiques publicitaires de Google et sur la décision de ce dernier d’« interdire le placement de “cookies tiers” sur Chrome » (15) : « L’enquête se poursuit », nous indique Margrethe Vestager. La filiale Internet d’Alphabet est donc scrutée de toute part en Europe. Autant que les internautes eux-mêmes ? @

Charles de Laubier

« Build-up » de Fimalac depuis 2013, Webedia va avoir 15 ans mais sa rentabilité dépend des GAFA

Publié le par

Cofondé il y a près de 15 ans, Webedia – initialement éditeur de Purepeople et de Puretrend – a crû à coup d’acquisitions (Terrafemina, Allociné, Jeuxvideo.com, 750g, Talent Web, Easyvoyage, …) moyennant 350 millions d’euros à ce jour. Mais la fin des cookies déstabiliser le groupe.

Webedia, la « pépite » du milliardaire Marc Ladreit de Lacharrière, fondateur de la holding Fimalac qui en a pris le contrôle il y a plus de huit ans, peut-elle se transformer en boulet ? La question peut paraître brutale, tant cet éditeur de médias en ligne se fait fort de se montrer à son avantage : plus de 600 millions d’euros de chiffre d’affaires, près de 30 millions de visiteurs par mois, des cibles plutôt jeunes appréciées des annonceurs, une rentabilité revendiquée, mais secrète, 2.500 salariés, …

« Accepter les cookies sinon payer » : réglo ?
Tout va pour le mieux dans le meilleur des mondes numériques, si l’on en croit Véronique Morali (photo), l’épouse de Marc Ladreit de Lacharrière et présidente de Fimalac Développement, ainsi que présidente du directoire de Webedia : « Sur le cinéma, le jeu vidéo et la cuisine, nous avons plutôt réussi. Nos sites assez emblématiques nous permettent de proposer du contenu, lequel n’est pas seulement monétisé par de la publicité traditionnelle mais aussi par du programmatique (achat d’espaces publicitaires en temps réel, comme à la Bourse) pour toucher les cibles – plutôt jeunes – au meilleur moment. Et nos annonceurs nous demandent aussi de les aider à aller jusqu’à la vente, jusqu’à la transaction : c’est l’affiliation sur laquelle nous nous sommes positionnés », s’est-elle félicitée en décembre, lors d’un entretien organisé par l’école de commerce HEC et relayé par Challenges et BFM Business (1).
Mais la dirigeante, qui a créé en 2008 le magazine féminin en ligne Terrafemina (intégré cinq ans plus tard dans Webedia tout juste acquis par son mari), reste très discrète sur la rentabilité du groupe. D’autant que sa maison mère, Fimalac, n’est plus cotée en Bourse depuis juillet 2017. Rentabilité opérationnelle et pertes nettes ? « Malheureusement, nous ne communiquons pas ces informations pour l’instant », a répondu un porte-parole à Edition Multimédi@. Secret décidément bien gardé. Or la viabilité économique de la « pépite », qui veut « aider l’industrie culturelle française » (2), dépend étroitement des géants américains du Net. « Si les GAFA peuvent produire tous les contenus qu’ils veulent et à tout moment, tant leur puissance financière est grande, nous pouvons résister en nous positionnant sur des verticales où ils ne sont pas et où ils acceptent d’avoir de “petits partenaires” [comme Webedia, ndlr] », a expliqué Véronique Morali, en assumant cette « complémentarité ». Mais la fin annoncée des cookies publicitaires pourrait déstabiliser le modèle économique de Webedia. « Sur la data, nous sommes très attentifs. Nous travaillons avec la Cnil qui nous régule comme tous les sites médias. Nous avons choisi une stratégie transitoire en attendant de savoir ce que Google va décider sur le monde sans cookies », a-t-elle indiqué, alors que Google vient d’annoncer justement la fin des cookies tiers sur Chrome d’ici fin 2023 (3). Depuis mars 2021, Webedia a pris le parti de mettre sur sa soixantaine de sites web des « cookie wall » (4) : soit les internautes acceptent les cookies et accèdent gratuitement aux contenus, sinon ils doivent payer – 2 euros pour un mois (5) pour chaque site de Webedia – pour y accéder. La Cnil s’était opposée à une telle pratique, jusqu’à ce que le Conseil d’Etat en annule l’interdiction complète (6). Le gendarme des données considère cet « accepter ou payer, sinon pas d’accès » comme étant susceptible de porter atteinte à la liberté du consentement. La licéité sera analysée par la Cnil « au cas par cas » avec les éditeurs (7)… « La gratuité l’emporte, les visiteurs préférant accepter des cookies », a fait valoir Véronique Morali.
La présidente de Webedia a en outre reconnu que l’année 2020, impactée par la pandémie, avait été « difficile ». Elle ne s’est pas attardée sur les nombreux départs de youtubeurs à fortes audiences : Hugo Tout Seul, Squeezie ou encore Léopold ont quitté Webedia. Elle a relativisé ces désaffections, qui se sont poursuivies l’an dernier comme l’a montré le « bye bye webed » de McFly et Carlito (8) – fameux duo qui avait séduit Emmanuel Macron (9). Certains d’entre eux se sont affranchis de Webedia après avoir encaissé en 2019 leur dernier gros chèque du montant que ce dernier devait, selon Capital, leur verser en plusieurs années (earn out) pour l’acquisition de leur participation dans la régie publicitaire Talent Web (10). Une audience globale qui plafonne Cyprien, Norman et Natoo étaient aussi au capital de Talent Web au côté de Mixicom, réseau de chaînes Internet tombé dans l’escarcelle du couple Lacharrière-Morali, mais ils sont toujours là (11), au sein de la nouvelle entité Webedia Creators (12). Depuis, l’audience globale de Webedia en France semble plafonner au-dessus des 28 millions de visiteurs uniques par mois. Ce qui, d’après les classements de Médiamétrie, place l’éditeur de Terrafemina, d’Allociné, de Jeuxvideo.com, de 750g ou encore d’Easyvoyage en douzième ou treizième position (c’est selon) de l’Internet français. @

Charles de Laubier

Les cookies non-sollicités ont la vie dure, mais les sanctions pécuniaires commencent à tomber

Publié le par

En France, les éditeurs de sites web – au premier rang desquels une quarantaine mis en demeure en juillet par la Cnil, après une vingtaine en mai – sont censés s’être mis en conformité depuis le 6 septembre. La Grande-Bretagne, elle, tente de réhabiliter les cookies.

Permettre aux internautes et aux mobinautes de refuser les cookies aussi simplement que de les accepter. Telle est la philosophie des « Cnil » européennes, conformément à la directive sur la protection des données électroniques (ePrivacy) et le règlement général sur la protection des données (RGPD). En France, après une soixantaine de mises en demeures sur les cookies par la Commission nationale de l’informatique et des libertés (Cnil), présidée par Marie-Laure Denis (photo), les sociétés et organisations contrevenantes à la nouvelle réglementation sur les cookies avaient jusqu’au 6 septembre pour s’y conformer.

Le site web Lefigaro.fr sanctionné
Par exemple, le 27 juillet dernier, le groupe Le Figaro a été sanctionné et mis à l’amende par la Cnil – à hauteur de 50.000 euros – « en raison du dépôt de cookies publicitaires à partir du site lefigaro.fr sans recueil du consentement préalable des internautes ». Ces petits fichiers, mouchards ou témoins des « faits et gestes » des internautes enregistrés lors de leurs navigations personnelles, étaient automatiquement logés dans l’ordinateur du visiteur du site web du quotidien Le Figaro par des partenaires de la société éditrice, mais sans action de la part de cet utilisateur ou malgré son refus. Une plainte d’une utilisatrice du Figaro.fr avait été déposée le 16 août 2018 auprès de la Cnil, la plaignante faisant notamment état de l’installation de cookies sur son terminal avant toute action de sa part sur le site web du quotidien et sans recueil de son consentement. L’éditeur du Figaro a tenté de faire valoir le fait que « l’ensemble des cookies identifiés dans le rapport [de la Cnil] comme étant des cookies “internes”, c’est-à-dire déposés par les domaines du site qu’elle édite [lefigaro.fr, player-video.lefigaro.fr], sont en réalité déposés par des tiers au moyen d’un code Javascript exécuté par la page du site web de l’éditeur visitée par l’internaute ». Le Figaro a indiqué que, dans ce cas, « [elle] n’est pas au courant de l’existence de ce cookie et n’a pas le moyen d’en contrôler le dépôt ou la lecture ». La Cnil ne l’a pas entendu de cette oreille : « Plusieurs de ces cookies poursuivaient un objectif publicitaire et auraient dû être soumis au consentement de l’utilisateur », a estimé la Cnil qui a décidé de mettre à l’amende la filiale média du groupe Dassault et de rendre publique cette décision (1) – en plus d’être publiée au Journal Officiel (2). Ce non-respect des règles sur les cookies par Lefigaro.fr remontait avant l’entrée en application du RGPD européen et s’est poursuivi malgré les nouvelles lignes directrices et la recommandation de la Cnil datant du 1er octobre 2020 – faisant suite aux directives « cookies » (3) prises par cette dernière à l’été 2019 et abrogeant la recommandation de 2013.
La Cnil a estimé que le cas du Figaro, mais aussi dans de nombreuses autres affaires, que le fait que les cookies proviennent de partenaires n’affranchit pas l’éditeur de sa propre responsabilité dans la mesure où il a la maîtrise de son site web et de ses serveurs informatiques. « Cette décision s’inscrit dans le prolongement de la décision du Conseil d’Etat dite “Editions Croque Futur” du 6 juin 2018 (4), qui précisait déjà la répartition des responsabilités entre les éditeurs de site [web] et leurs partenaires », a justifié le gendarme des données personnelles et de la vie privée. Le Conseil d’Etat a en particulier jugé que « les éditeurs de site qui autorisent le dépôt et l’utilisation de tels cookies par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement ». Entre 2020 et 2021, l’autorité administrative indépendante dit avoir signifié à ce jour environ 70 mesures correctrices – mises en demeure et sanctions – en lien avec le non-respect de la législation sur les cookies. Et que dans 60 % des cas, il s’agit de sociétés ou d’organismes « étrangers », à savoir que la société mère est établie en dehors de la France.

Amazon et Google condamnés en France
C’est ainsi que la Cnil a prononcé le 7 décembre 2020 deux sanctions sans précédente en Europe à l’encontre d’Amazon (5) et de Google (6), pour des montants respectifs de 35 et 100 millions d’euros. Le gendarme français de la protection des données personnelles a reproché aux deux géants du Net d’avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs des sites web google.fr et de amazon.fr sans consentement préalable de ces utilisateurs ni information suffisamment claire. Comme Le Figaro et les autres récalcitrants (grandes plateformes numériques, fabricants de matériel informatique et de logiciels, sociétés de e-commerce, acteurs du tourisme en ligne, sociétés de location de véhicules, établissements bancaires, collectivités locales, fournisseur d’énergie, et même des services publics en ligne), ils ont été condamnés à une amende pour avoir violé l’article 82 de la loi « Informatique et libertés ».

La Grande-Bretagne veut des cookies !
Celui-ci impose au responsable de traitement des données, d’une part, une information claire et complète de la finalité de toute action tendant à accéder à des informations déjà stockées dans l’ordinateur de l’utilisateur et des moyens dont il dispose pour s’y opposer, et, d’autre part, un recueil préalable du consentement de l’utilisateur. Potentiellement, les amendes peuvent atteindre jusqu’à 2 % du chiffre d’affaires de l’entité condamnée pour non-conformité. La Cnil a déjà prévenu : les contrôles s’inscrivent dans la durée avec d’autres campagnes de vérifications et de mesures correctrices qui seront ainsi menées à partir de cette rentrée 2021-2022, « afin d’assurer le respect de la vie privée des internautes français ».
Au 14 septembre, sur la quarantaine d’éditeurs de sites web mis en demeure cet été, « 80 % des acteurs concernés se sont mis en conformité » – pas les 20 % restants… Et le gendarme des données personnelles, qui assume sa politique répressive, de prévenir les mauvais joueurs présents et futurs : « De nouvelles campagnes de contrôle sont en cours de préparation. Comme les précédentes, elles continueront à cibler des acteurs privés nationaux et internationaux, mais également des organismes publics dont les sites web génèrent un trafic important. Par ailleurs, une attention particulière sera portée aux sites des partis politiques en raison des élections présidentielles qui se dérouleront en 2022. Les vérifications continueront à porter sur la possibilité de refuser les cookies aussi simplement que de les accepter, mais également sur le respect effectif de ce choix » (7). Les cookies déposés sans consentement ou refus préalables sur les disques durs des ordinateurs ont donc la vie dure, tout comme ceux mis dans les mémoires de stockage des smartphones ou des tablettes.
Mais à force de vouloir protéger la vie privée des internautes, les bannières surgissantes sont devenues presque systématiques et gênent la fluidité de navigation sur le Web. Et des voix commencent à s’en plaindre. Fin août, dans une interview parue le 26 dans The Telegraph, le secrétaire d’Etat britannique au Numérique, à la Culture, aux Médias et au Sport, Oliver Dowden, il a prévenu qu’il a l’intention de supprimer les fenêtres surgissantes sans arrêt sur les écrans des visiteurs de sites web pour leur demander d’accepter ou de refuser le dépôt de cookies et, ce faisant, la permission stocker des renseignements personnels au sujet de chacun d’eux. Bien que le ministre britannique membre des conservateurs convienne que les cookies présentant « un risque élevé pour la vie privée des personnes » devront toujours recevoir un avis de consentement, il a affirmé que bon nombre de ces bannières intempestives sont « inutiles » et « devraient être supprimées ». Depuis que le Brexit est entré en vigueur le 1er janvier 2021, la Grande-Bretagne veut s’affranchir du RGPD et prépare sa propre réglementation sur la protection des données. Et l’assouplissement de l’autorisation demandée en ligne aux internautes concernant les cookies serait envisagé. Mais Oliver Dowden se veut prudent sur les intentions du gouvernement britannique dans ce domaine sensible, assurant que « nous pouvons toujours veiller à ce que des normes élevées de protection de la vie privée soient protégées » (8). Il s’agit aussi de ne pas heurter l’Union européenne, avec laquelle le Royaume-Uni a signé pour quatre ans des « accords d’adéquation sur les données » commerciales et policières. Si Bruxelles était amené à dire que Londres va trop loin dans sa réforme sur les données personnelles, une rupture de ces accords pourrait compliquer la vie des entreprises britanniques vis-à-vis de l’Europe.
Le ministre britannique se veut confiant pour la réforme à venir, prenant l’exemple de deux autres pays indépendants que sont le Japon et la Nouvelle-Zélande, dont les données sont considérées comme « adéquates » par l’Union européenne.

Noyb (Max Schrems) épingle
L’organisation autrichienne non gouvernementale Noyb (9) multiplie, elle, des actions en Europe en déposant des centaines de plaintes devant la justice de plusieurs pays européens contre des sites web contrevenant aux règles du RGPD sur le dépôt ou pas des cookies via une bannière simplifiée et sans ambiguïté. C’est oui ou bien c’est non.
Le 10 août dernier, Noyb a officiellement déposé 422 plaintes sur les 10.000 sites web mis sous surveillance. « Certains acteurs majeurs comme Seat, Mastercard ou Nikon ont instantanément changé leurs pratiques, s’est félicité Max Schrems, président de la Noyb (10). Cependant, de nombreux autres sites web n’ont cessé que les pratiques les plus problématiques. Par exemple, ils ont peut-être ajouté une option de “rejet”, mais celle-ci reste difficile à lire ». @

Charles de Laubier

Après Facebook et Apple, Noyb – cofondée par l’Autrichien Max Schrems – s’attaque à Google

Publié le par

L’organisation Noyb indique à Edition Multimédi@ que « le plaignant français » (en fait plusieurs plaintes de Français) a reçu le 9 avril un e-mail de la Cnil lui confirmant la réception le 6 avril de sa plainte contre Google, accusé de le suivre sans son consentement via des « cookies » AAID.

« Nous ne connaissons pas l’étape de la procédure, mais nous savons que le plaignant [en fait plusieurs plaintes de Français épaulés par Noyb, ndlr] a reçu une confirmation de réception le jour du dépôt et il a reçu un autre courriel le 9 avril confirmant que la plainte avait été attribuée au “service des plaintes de la Cnil (1)” », nous a précisé une porte-parole de l’organisation cofondée en 2017 par l’Autrichien Maximilian Schrems (photo), tout en nous confirmant que « le plaignant est un citoyen français ». De son côté, la Cnil a répondu à Edition Multimédi@ qu’elle est « en train d’étudier la recevabilité des plaintes reçues par ce biais » – à savoir en « m[ettant] un “modèle” de plainte sur son site ».

Eviter l’Irlande via la directive « ePrivacy »
L’Android Advertising Identifier (AAID) est à Google ce que l’Identifier for Advertisers (IDFA) est à Apple. Ce sont des traceurs qui permettent, une fois déposés sous forme de « cookies » dans les terminaux des Européens, de les suivre à la trace justement dans leurs navigations sur le Web ou sur les applications mobiles, tout en capitalisant sur leurs comportements de visiteurs et de consommateurs à des fins de ciblages publicitaires et marketing. Comme pour l’IDFA d’Apple sur les terminaux sous iOS, l’AAID de Google est, selon Noyb, « un code de suivi non autorisé installé illégalement sur les téléphones Android ». Cinq moins après avoir déposé plainte – le 16 novembre 2020 – contre Apple et son traceur installé sous forme de cookies dans les terminaux iOS des utilisateurs européens, et sans leur consentement préalable pourtant rendu obligatoire par la directive européenne « ePrivacy » de 2002 (modifiée en 2006 et 2009), l’organisation Noyb (2) a de nouveau porté plainte le 6 avril dernier, mais cette foisci contre Google et son traceur du même genre. Alors que la plainte contre la marque à la pomme avait été déposée à la fois auprès de la « Cnil » allemande, le BfDI (3), et auprès de la « Cnil » espagnole, la AEPD (4), la plainte contre l’éditeur du système d’exploitation Android a, elle, été adressée à la Cnil en France (5). Dans ces deux affaires, « Apple/IDFA » et « Google/AAID », Noyb attaque les deux géants du numérique sur le fondement de la directive « ePrivacy » concernant le « traitement des données à caractère personnel et protection de la vie privée dans le secteur des communications électroniques » (6). Car, selon l’organisation autrichienne, la directive sur la protection des données électroniques (ePrivacy) prévaut juridiquement sur le règlement général sur la protection des données (RGPD). Mais la directive présente un double avantage sur le règlement. D’une part, l’article 5.3 de la directive prévoit clairement que « les Etats membres garantissent que l’utilisation des réseaux de communications électroniques en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ne soit permise qu’à condition que l’abonné ou l’utilisateur, soit muni, (…) d’une information claire et complète, entre autres sur les finalités du traitement, et que l’abonné ou l’utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données ». Chaque Etat membre de l’Union européenne (UE) a transposé en droit national cette disposition, comme en France dans la loi « Informatique et libertés ».
D’autre part, la directive « ePrivacy » permet à la « Cnil » nationale d’être compétente pour contrôler et sanctionner les pratiques dans le dépôt cookies et le recueil préalable du consentement des utilisateurs. Alors que si le plaignant de Noyb s’était appuyé sur le règlement RGPD, l’instruction de la plainte et ses éventuelles sanctions auraient dû être confiées à la « Cnil » en Europe considérée comme l’autorité « chef de fil » car relevant du pays européen où la plateforme numérique en question est basée. En l’occurrence, Apple et Google ont leur quartier général européen en Irlande – le premier à Cork, le second à Dublin. Cela aurait dû être alors à la « Cnil » irlandaise, en l’occurrence la Data Protection Commission (DPC), d’instruire les deux affaires.

Le terminal personnel doit être sanctuarisé
Mais Max Schrems a voulu éviter d’en passer par l’Irlande où, comme il l’a affirmé à l’AFP le 21 avril, « 99,9% des dossiers sont tout simplement jetés à la poubelle » ! De plus, pour pouvoir mettre à l’amende Apple et Google, il aurait fallu s’accorder avec tous les pays de l’UE dans lesquels ces entreprises sont présentes. Ce qui est loin d’être gagné d’avance. Alors qu’en utilisant l’article 5.3 de la directive « ePrivacy », comme l’a déjà fait la Cnil en France (où il a été transposé dans la loi « Informatique et libertés ») pour sanctionner financièrement en décembre dernier Amazon (35 millions d’euros) et Google (100 millions d’euros) pour infraction aux règles sur les cookies (8), chaque « Cnil » est compétente sur son territoire pour contrôler et sanctionner.
Le considérant 24 de la directive « ePrivacy » est on ne peut plus clair sur l’extension du domaine de la vie privée des internautes et mobinautes : « L’équipement terminal de l’utilisateur d’un réseau de communications électroniques ainsi que toute information stockée sur cet équipement relèvent de la vie privée de l’utilisateur, qui doit être protégée au titre de la convention européenne de sauvegarde des droits de l’homme et des libertés fondamentales ».

Série d’affaires, de « Schrems 1» à « Schrems 4»
Et le législateur européen d’enfoncer le clou pour mettre en garde les plateformes numériques, réseaux sociaux et autres sites web : « Or, les logiciels espions, les pixels invisibles (web bugs), les identificateurs cachés et les autres dispositifs analogues peuvent pénétrer dans le terminal de l’utilisateur à son insu afin de pouvoir accéder à des informations, stocker des informations cachées ou suivre les activités de l’utilisateur, et peuvent porter gravement atteinte à la vie privée de ce dernier. L’utilisation de tels dispositifs ne devrait être autorisée qu’à des fins légitimes, et en étant portée à la connaissance de l’utilisateur concerné ». Tout est dit. L’article 5.3, lui, va ainsi règlementer deux types de traitement : le stockage d’informations ou l’accès à des informations déjà stockées dans l’équipement terminal de l’utilisateur. L’organisation de Max Schrems part du principe que la directive « ePrivacy » est technologiquement neutre (confortée par un avis du groupement des « Cnil » européennes, le G29, en avril 2012) et considère que l’AAID de Google comme l’IDFA d’Apple sont « très similaire[s] à un identifiant de traçage présent dans un cookie de navigation ».
Ainsi, l’éditeur d’Android et le fabricant d’iPhone – voire des tierces parties telles que les fournisseurs d’applications mobiles – peuvent chacun de leur côté « accéder l’information stocker dans l’équipement terminal de l’utilisateur » et « ceci peut être utilisé afin de déterminer les préférences de l’utilisateur associées avec son [AAID ou IDFA] afin d’afficher des annonces pertinentes sur d’autres applications ou même sur des pages de site web non liés ». Ces affaires « Apple/IDFA » et « Google/AAID », que l’on pourrait surnommer les affaires, respectivement « Schrems 3 » et « Schrems 4 », interviennent après les deux précédentes affaires judiciaires initiées et remportées par Max Schrems. Avant qu’il ne crée Noyb, ce jeune homme (actuellement 33 ans) s’était fait connaître en portant plainte, en tant que citoyen autrichien, contre Facebook accusé de transférer les données personnelles de ses utilisateurs européens vers les Etats-Unis. Ce qui a amené la Cour de justice de l’Union européenne (CJUE) à invalider en 2015 le « Safe Harbor », lequel autorisait depuis l’année 2000 le transfert des données personnelles des citoyens européens vers les Etats-Unis sous certaines conditions. C’était l’affaire « Schrems 1 » (9), laquelle a propulsé Max Schrems audevant de la scène médiatique face à Facebook. Le « Safe Harbor » annulé (10), celui-ci a été remplacé en 2016 par le « Privacy Shield » malgré un avis mitigé à l’époque du groupement des « Cnil » européennes (11), dit « Article 29 » ou G29 – devenu le Comité européen de la protection des données (CEPD).
Fort de son premier succès à l’encontre du « Safe Harbor », Max Schrems a encore porté plainte, contre cette fois le « Privacy Shield », ce « bouclier de la vie privée » ou « bouclier des données » qui permettait aux Etats-Unis d’être considérés comme un pays ayant un niveau de « protection adéquate » par la Commission européenne pour les transferts de données à caractère personnel vers des organisations américaines auto certifiées. Là aussi la CJUE a eu à se prononcer et, le 16 juillet 2020, à l’invalider à son tour au regard cette fois des exigences découlant du RGPD et à la lumière des dispositions de la Charte des droits fondamentaux de l’Union européenne garantissant le respect de la vie privée et familiale, de la protection des données personnelles et du droit à une protection juridictionnelle effective (12). C’est l’affaire « Schrems 2 » (13) qui a renforcé la légitimité de Max Schrems (14) face à la firme de Mark Zuckerberg. Avec une quinzaine de personnes travaillant pour elle, l’organisation à but non lucratif Noyb, surnommée European Center for Digital Rights et basée à Vienne, ne se limite pas à ces affaires emblématiques puisque plus d’une centaine de recours l’occupent actuellement.

Données de localisation : « Schrems 5 » ?
Par exemple, Noyb a porté plainte en juin 2020 sur la base du RGPD contre l’opérateur mobile A1 Telekom en Autriche pour manque de transparence sur les données de géolocalisation collectées auprès de ses mobinautes. « Où étiez-vous ? Ça ne vous regarde pas ! ». En Australie cette fois, l’autorité de la concurrence ACCC a d’ailleurs pour la première fois au monde sanctionné le 16 avril Google pour avoir « induit les consommateurs en erreur au sujet de la collecte et de l’utilisation des données de localisation » (15). Il y a matière pour une affaire « Schrems 5 »… @

Charles de Laubier