Archives par mot-clé : Cookies

Les internautes reprennent la main sur les cookies, mais les éditeurs de sites web se rebiffent

Publié le par

« Le placement de cookies requiert le consentement actif des internautes ; une case cochée par défaut est donc insuffisante », a rappelé la Cour de justice de l’Union européenne (CJUE) dans un arrêt du 1er octobre, RGPD oblige. Ce consentement actif préalable ne plaît à tous les éditeurs du Web.

L’étau du règlement général sur la protection des données (RGPD), entré en vigueur en mai 2018, se resserre sur les cookies, ces traceurs ou autres mouchards déposés sur les terminaux des internautes et mobinautes à des fins de publicités ciblées et de collecte de données. L’arrêt rendu le 1er octobre par la Cour de justice de l’Union européenne (CJUE) suit les conclusions de l’avocat général de cette dernière, qui, le 21 mars 2019, avait rappelé que pour être valide le consentement de l’utilisateur à accepter des cookies doit être « éclairé » (1).

Le Conseil d’Etat saisi contre la Cnil
« Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité », prévoit le considérant 32 du RGPD. De plus, l’utilisateur doit être informé de la durée de fonctionnement des cookies et de l’identité des tiers ayant accès à ses informations par ce biais. Et le RGPD précise qu’il en va ainsi « que les informations stockées ou consultées dans l’équipement terminal de l’utilisateur d’un site Internet constituent ou non des données à caractère personnel ». Il s’agit de protéger chaque Européen connecté de toute ingérence dans sa vie privée, « notamment contre le risque que des identificateurs cachés ou autres dispositifs analogues pénètrent dans son équipement à son insu » (2).
Le Comité européen de la protection des données (CEPD), anciennement appelé groupe de travail « Article 29 » (G29) et réunissant les « Cnil » européennes, est le garant de cette bonne application par les différents Etats membres. D’autant que le projet de règlement européen « ePrivacy » (respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques), toujours en discussion au Parlement européen (3), ira dans le même sens concernant les cookies.
En France, c’est la Commission nationale de l’informatique et des libertés (Cnil) qui veille et contrôle au bon respect des consignes législative du RGPD par les éditeurs de sites web. Mais elle a décidé d’appliquer un moratoire, en fixant à début 2020 le moment de la publication de ses recommandations pour mettre en oeuvre les lignes directrices publiées le 19 juillet au Journal Officiel (4) – remplaçant ainsi les précédentes instructions datant de 2013. A ce délai s’ajoutent six mois de délai pour laisser le temps aux éditeurs en ligne de s’adapter et de se mettre en conformité, soit à partir de mi-2020, deux ans après l’entrée en vigueur du fameux RGPD (5). Or une douzaine de jours avant l’arrêt de la CJUE, Etienne Drouard (photo), avocat d’un groupement de neuf associations professionnelles (6), dont le Groupement des éditeurs de contenus et de services en ligne (Geste), déposait en France un recours devant le Conseil d’Etat contre les lignes directrices « cookies et autres traceurs » de la Cnil. Ces neuf associations professionnelles, représentatives de l’écosystème du Net français (éditeurs, régies publicitaires, Ad-tech, e-commerçants et annonceurs), contestent la manière dont la Cnil interprète le RGPD. Par exemple, cette dernière prévoit à l’article 2 de ses lignes directrices qu’« afin que le consentement soit éclairé, l’utilisateur doit pouvoir identifier l’ensemble des entités ayant recours à des traceurs avant de pouvoir y consentir. Ainsi, la liste exhaustive et régulièrement mise à jour de ces entités doit être mise à disposition auprès de l’utilisateur directement lors du recueil de son consentement » (7).
Les neuf plaignantes craignent « une totale remise en cause, à terme, des activités marketing et publicitaires et une grande destruction de valeur économique, notamment au profit des acteurs internationaux dominants de ce secteur ». Par ailleurs, pour Maître Drouard (cabinet K&L Gates), qui s’est exprimé chez nos confrères de Mind Media et de l’AFP, cette solution franco-française n’est pas prévue dans le RGPD qui ne prévoit pas tant d’informations à fournir aux utilisateurs. « La publicité sans cookies, ça n’existe pas », a-t-il lancé. A partir du 29 octobre, Libération va essayer de prouver le contraire.

Le moratoire « cookies » attaqué par LQDN
Quant au moratoire consenti par la Cnil aux éditeurs en ligne du temps pour avoir le temps de se mettre en conformité, il est attaqué dans un second recours déposé le 29 juillet devant le Conseil d’Etat par cette fois La Quadrature du Net, association française de défense des droits et libertés numériques, et Caliopen, autre association de l’Internet libre (à l’origine d’un projet soutenu par Gandi pour développer un agrégateur de correspondances privées provenant de messageries électroniques, réseaux sociaux ou de microblogging). Pour elles, il n’y a pas de temps à perdre pour assurer « la protection de nos libertés fondamentales ». L’arrêt est à venir. @

Charles de Laubier

Consentement des internautes : cookies et autres traceurs sont dans le viseur de la Cnil, Europe oblige

Publié le par

Sont parues le 19 juillet au Journal Officiel les lignes directrices de la Cnil concernant les « opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs) », en attendant ses recommandations pour début 2020, et le futur règlement « ePrivacy » européen.

Par Olivia Roche, avocate, et Prudence Cadio, avocate associée, cabinet LPA-CGR avocats

L’utilisation des cookies et a u t re s t raceurs est actuellement encadrée par la directive européenne dite « ePrivacy » (1), plusieurs fois modifiée, notamment par la directive de 2009 renforçant l’obligation d’information des internautes et leur consentement (2). Si cette dernière a vocation à être abrogée et remplacée par le règlement européen « ePrivacy » (3), celui-ci est toujours en discussion devant les instances européennes. Toutefois, l’entrée en vigueur en mai 2018 du RGPD – règlement général sur la protection des données du 27 avril 2016 – a permis un premier pas vers la modernisation des règles entourant l’utilisation de traceurs et cookies.

Le consentement doit être « éclairé »
Dans cette lignée, la Commission nationale de l’informatique et des libertés (Cnil) a d’ores et déjà anticipé les changements à venir, forçant ainsi les acteurs du secteur de la publicité en ligne à prévoir une évolution très prochaine de leurs pratiques. Pour se mettre en conformité avec le RGPD, l’ordonnance du 12 décembre 2018 a abrogé l’article 32-II de la loi relative à l’informatique, aux fichiers et aux libertés (la fameuse loi de 1978, modifiée depuis) au profit du nouvel article 82 remplaçant le terme « accord » par celui de « consentement » tenant ainsi compte de la nouvelle terminologie consacrée par le RGPD.
Résultat, vis-à-vis de l’internaute : « Ces accès [à des informations déjà stockées dans son équipement terminal] ou inscriptions [des informations dans cet équipement] ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle » (4). Le 21 mars 2019, l’avocat général de la Cour de justice de l’Union européenne (CJUE) présentait, dans l’affaire « Planet49 » des conclusions répondant à plusieurs questions préjudicielles posées par la cour fédérale de justice allemande sur l’encadrement du recours aux cookies et l’application du RGPD. L’avocat général rappelle notamment que pour être valide le consentement doit être « éclairé ». Cela implique que l’internaute doit être informé de la durée de fonctionnement des cookies, ainsi que de l’identité des tiers qui ont accès à ses informations par ce biais (5). Cette position est conforme aux recommandations du groupe de travail « Article 29 », devenu le Comité européen de la protection des données (CEPD), qui place le consentement au coeur du régime des données personnelles. Le CEPD précise que « la notion de consentement telle que présentée dans le projet de règlement “ePrivacy” reste liée à la notion de consentement au sens du RGPD » (6).
Prenant acte de ces évolutions et dans la continuité de son plan d’action 2019-2020 sur le ciblage publicitaire en ligne, publié en juin dernier, la Cnil a fait évoluer ses recommandations, anticipant elle aussi les évolutions du futur règlement « ePrivacy » qui remplacera la directive de 2002 et dont la dernière version du projet officiel a été publiée le 22 février dernier (7). L’autorité de contrôle française a ainsi adopté le 4 juillet dernier une délibération afin de remplacer les lignes directrices promulguées par la délibération de 2013 encadrant jusqu’à présent l’utilisation des cookies (8).
Elle montre sa volonté de faire du renforcement de l’encadrement du ciblage publicitaire une priorité et de mettre fin à des pratiques encore très répandues dans ce secteur. Ces nouvelles lignes directrices permettent ainsi d’apporter de premières explications sur l’application concrète du nouvel article 82 de la loi « Informatique et Libertés » (9).

Cookies « http », cookies « flash », etc.
Il ne s’agit que d’une première étape, puisque la Cnil a déjà annoncé qu’elle publierait d’autres recommandations sectorielles, notamment « au premier trimestre 2020 » une recommandation qui « précisera les modalités pratiques de recueil du consentement » (10), lesquelles feront suite à une consultation publique et une concertation avec les professionnels du secteur. « Des groupes de travail se tiendront au second semestre 2019 entre les services de la Cnil et chaque catégorie d’acteurs (éditeurs de contenus, annonceurs, prestataires et intermédiaires de l’écosystème du marketing, représentants de la société civile), par l’intermédiaire de leurs organisations professionnelles représentatives » (11). La Cnil revoit sa position et renforce les règles applicables aux cookies et autres traceurs. Les nouvelles lignes directrices de 2019 apportent des changements majeurs par rapport à ses recommandations antérieures de 2013.

Révision et renforcement des règles
A titre préliminaire, l’autorité de contrôle prend soin de préciser que le champ d’application de cette délibération est très large, puisqu’elle vise tous types de terminaux – notamment, smartphones, ordinateurs, consoles de jeux – et porte non seulement sur (12) : les cookies dit « http » (« par lesquels ces actions sont le plus souvent réalisées ») mais également sur les cookies dit « flash » (« local shared objects », ou objets locaux partagés), le « local storage » (ou stockage local) mis en oeuvre au sein du HTML5, les identifications par calcul d’empreinte du terminal, les identifiants générés par les systèmes d’exploitation (qu’ils soient publicitaires ou non) et les identifiants matériels (adresses MAC, numéros de série, …).
La Cnil réitère le principe selon lequel le consentement doit être manifesté par l’utilisateur « de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif » (13), conformément aux dispositions du RGPD (Article 7 concernant « les conditions applicables au consentement » du RGPD). L’autorité de contrôle française détaille les contours de ce principe par des illustrations. Ainsi, elle affirme sans ambiguïté que les « cookies walls », à savoir la pratique consistant à bloquer l’accès à un site Internet ou un service pour « qui ne consent à être suivi » est contraire à l’exigence d’un consentement libre.
De même, le consentement doit être spécifique, ce qui signifie que l’acceptation globale de conditions générales d’utilisation « ne peut être une modalité valable de recueil du consentement » qui doit être donné de manière distincte pour chaque finalité. Un simple renvoi vers des conditions générales d’utilisation ne saurait non plus suffire à répondre à l’exigence d’un consentement « éclairé » qui requiert qu’une information complète, visible, accessible et aisément compréhensible soit mise à disposition de l’utilisateur au moment du recueil de son consentement. Enfin, l’un des changements les plus contraignants pour les acteurs du secteur de la publicité en ligne reste la suppression de la pratique dite du « soft opt-in », consacrée par la Cnil en 2013, consistant à considérer que la poursuite de la navigation sur un site Internet ou une application mobile valait consentement. Le caractère « univoque » du consentement requis par le RGPD exige à présent que l’internaute procède à une action positive pour recueillir son accord. Il ne sera plus non plus possible de se référer aux paramètres du navigateur de l’internaute, puisque la Cnil considère, conformément à la jurisprudence du Conseil d’Etat (14) que les « nombreux réglages » mis à disposition par les navigateurs web ne « permettent pas d’assurer un niveau suffisant d’information préalable des personnes », ni de « distinguer les cookies en fonction de leurs finalités ».
L’ensemble des exigences ne visent, néanmoins, que les cookies et traceurs pour lesquels un consentement est requis. De fait, la Cnil a réaffirmé le principe d’exemption pour certains cookies, notamment ceux dédiés aux mesures d’audience ou ceux destinés à « permettre ou faciliter la communication par voie électronique » ou « strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur » (par exemple, les cookies d’identification).

Mais cette exception confirme la règle : continuer sa navigation ou scroller, autrement dit, faire défiler la page vers le bas de l’écran à l’aide de la molette d’une souris, d’un pavé tactile, mais également sur un écran tactile de téléphone portable ou de tablette à l’aide d’un doigt, n’est plus suffisant pour recueillir le consentement de l’internaute. Il faudra entreprendre les changements nécessaires pour assurer d’isoler le consentement de l’internaute et de rendre visibles les informations exigées. La preuve d’avoir recueilli, de manière conforme, le consentement de l’utilisateur, devra en outre être apportée et conservées par ses acteurs, lesquels devront pour ce faire mettre en place certainement de nouveaux outils, comme ceux d’historisation.

Délai accordé d’environ un an
Il est à noter que pour les opérateurs en conformité avec la délibération de 2013, la Cnil a concédé une période transitoire d’adaptation d’un an environ (six mois après la publication de la future recommandation prévue en 2020), laissant ainsi à ceux-ci le temps de mettre en oeuvre les mesures opérationnelles qui s’imposent. Mais l’autorité a déjà prévenu que « cette période d’adaptation n’empêchera pas la Cnil de contrôler pleinement le respect des autres obligations qui n’ont fait l’objet d’aucune modification et, le cas échéant, d’adopter des mesures correctrices pour protéger la vie privée des internautes ». @

Consentement préalable aux cookies : la Cnilmet les éditeurs en ligne en infraction avec le RGPD

Publié le par

« Faire défiler une page ou naviguer sur un site Internet ne satisfait pas à l’exigence d’un acte positif clair », prévient le groupe des « Cnil » européennes (G29) dans ses lignes directrices sur le consentement préalable avant tout cookie. Pourtant, la France continue de tolérer cette pratique interdite.

« En poursuivant votre navigation sur ce site web, vous acceptez l’utilisation de cookies pour vous offrir une meilleure expérience utilisateur »… Autrement dit, en reprenant le modèle de bandeau d’information préalable recommandé par la Cnil elle-même (1) : «En poursuivant votre navigation, vous acceptez que des traceurs soient déposés dans votre terminal afin de vous proposer des publicités ciblées et adaptées à vos centres d’intérêts, et pour réaliser des statistiques de visites » (2).

Un « scroll », et c’est le « cookie » !
Quel internaute n’a pas été confronté à ce message intrusif lors de sa première visite sur un site web français ? Il suffit d’un « scroll », c’est-à-dire l’action de faire défiler le contenu à l’écran (3), pour que l’éditeur considère avoir obtenu ainsi le consentement de l’internaute – sur le smartphone, l’ordinateur ou la tablette duquel il se permettra de déposer des cookies. Ces traceurs, ou mouchards, sont de petits fichiers enregistreurs de tous les faits et gestes du visiteur lors de sa navigation sur le site web en question. Le problème est que ce type de « bandeau cookie » proposant un « soft » opt-in – situé entre l’opt-in (consentement préalable) et l’opt-out (consentement implicite) – n’est pas conforme au règlement général sur la protection des données (RGPD) entré en vigueur le 25 mai 2018. Le consentement préalable obligatoire (opt-in clair et net (4)) y est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (5).
Or, justement, de l’avis même des « Cnil » européennes réunies au sein du groupe dit G29 qui le précise dans ses lignes directrices révisées le 10 avril 2018 sur le consentement à la lumière du RGPD, « faire défiler une page ou naviguer sur un site Internet ne satisfait pas à l’exigence d’un acte positif clair ». Pour la simple raison, poursuit le G29, que « la notification indiquant qu’en continuant à faire défiler la page, l’utilisateur donne son consentement peut être difficile à distinguer et/ou peut être manquée lorsqu’une personne concernée fait rapidement défiler de longs textes, et qu’une telle action n’est pas suffisamment univoque » (6). Pourtant, malgré l’interdiction de cette pratique douteuse, les éditeurs de sites web et de presse en ligne continuent d’y recourir sans scrupule. Et ce, en France, avec l’aval de la Cnil qui va la considérer durant encore un an comme « acceptable » – dixit la Cnil le 28 juin (7). Sa présidente, Marie-Laure Denis (photo), a en effet profité de l’assemblée générale du Groupement des éditeurs de contenus et de services en ligne (Geste) – le 25 juin dernier – pour accorder aux éditeurs du Net un nouveau moratoire d’un an, soit jusqu’en juillet 2020. C’est donc après la publication de « nouvelles lignes directrices » – publication que la Cnil annonce pour juillet en vue de remplacer l’an prochain seulement en les abrogeant ses recommandations du 5 décembre 2013 parues au Journal Officiel (8) – que courra cette nouvelle « période transitoire » de douze mois pour laisser les médias « se mettre en conformité », a indiqué Marie-Laure Denis. La Cnil publiera « sa recommandation, pour consultation publique, fin 2019 ou, au plus tard, début 2020 », mais n’exclue pas des contrôles pour vérifier qu’aucun cookie n’est déposé sans obtention explicite du consentement. La pratique dite du « cookies wall », forçant quelque peu le consentement de l’internaute, sera alors proscrite. Ce moratoire est une aubaine pour les éditeurs en ligne, qui doivent investir dans une Consent Management Platform (CMP) et qui craignent de voir bon nombre d’internautes refuser d’être « espionnés » à des fins publicitaires. « Pendant cette période de transition, explique le Geste qui rassemble de nombreux sites de presse en ligne (TF1.fr, Leparisien.fr, Lefigaro.fr, BFMtv.com, 20minutes.fr, Latribune.fr, Mediapart.fr, etc.), la poursuite de la navigation comme expression du consentement sera ainsi considérée comme acceptable. Sur cette question, la Cnil a récemment rappelé que l’action positive, comme le scroll et/ou le clic sur un élément de la page visitée après un bandeau d’information, suffit à recueillir valablement un consentement internaute ».

Mieux que le RGPD, l’ePrivacy en 2020
Cette position de la Cnil est propre à la France en Europe, qui prend donc le risque de permettre aux éditeurs de jouer les prolongations jusqu’à mi-2020 avec leurs « bandeaux cookies » non conformes au RGPD, alors que se profile déjà pour l’an prochain un autre règlement européen encore plus redouté par les éditeurs, celui appelé « ePrivacy » (9) (*) (**) (***), sur la protection de la vie privée et des données personnelles. @

Charles de Laubier

Publicité en ligne : les GAFA américains n’ont pas réussi à tuer l’ex-licorne française Criteo

Publié le par

Alors qu’il sera redevable de la taxe « GAFA » de 3 % applicable dès cette année,
le spécialiste mondial du (re)ciblage publicitaire en ligne – le français Criteo – a frôlé la catastrophe industrielle après avoir été déstabilisé par Apple et Facebook. Son chiffre d’affaires a stagné en 2018, à 2,3 milliards de dollars. Et son résultat net a reculé, à 96 millions de dollars.

Impactée coup sur coup, d’une année à l’autre, par deux décisions successives prises de façon unilatérale par les américains Apple et Facebook, l’ex-licorne française Criteo – valorisée 1,8 milliard au Nasdaq (1) où elle est cotée depuis 2013 – aurait pu mettre la clé sous la porte si elle n’avait pas « pivoté » à temps vers le ciblage mobile (2). Son PDG cofondateur Jean-Baptiste Rudelle (photo) a même parlé de « choc exogène très violent ».

Bataille larvée entre App et Web
La première déstabilisation de l’écosystème de Criteo – vulnérable aux choix technologiques des GAFA – est venue en décembre 2017 d’Apple, qui a fait des changements dans son système d’exploitation et son navigateur Safari – à partir de
sa version 11. Le but de la marque à la pomme : rendre plus difficile et limité le pistage des utilisateurs par des cookies – ces petits fichiers de suivi logé dans le terminal de
ce dernier à des fins de ciblage publicitaire. Apple interdit depuis toute utilisation de cookies plus de vingt-quatre heures, conformément à son Intelligent Tracking Prevention (ITP). Et au bout de trente jours, ils sont automatiquement supprimés !
Ces changements sont intervenus avec le système d’exploitation iOS 11.2 pour mobile. « Maintenant on comprend mieux pourquoi Apple a fait ça : ils veulent basculer un maximum les gens dans le monde des “app” [applications mobile, ndlr], qu’ils contrôlent mieux que le monde des navigateurs [sur le Web] », avait expliqué Jean- Baptiste Rudelle lors d’une conférence téléphonique avec des analystes financiers le 1er août 2018.
Apple, de son côté, justifie cette restriction pour éviter les pratiques dites de retargeting jugées abusives. Ces reciblages publicitaires – grande spécialité de Criteo – consistent à recourir à des cookies pour traquer les internautes dans leur navigation sur différents sites web – notamment de e-commerce – afin de leur envoyer ensuite des publicités digitales (bannières ou vidéos) en rapport avec leurs centres d’intérêt détectés. Le retargeting peut aussi se faire par mots-clés sur les liens commerciaux affichés par
les moteurs de recherche. Google a d’ailleurs dû mettre en place un nouveau cookie
« Google Analytics » et une nouvelle balise de conversion « AdWords » spécifiques
à Safari pour être conforme à l’ITP. Reste à savoir si Google limitera à son tour les cookies sur son navigateur Google Chrome (3). La marque à la pomme a ainsi souhaité reprendre la main sur les annonceurs publicitaires et les prestataires techniques comme Criteo qui font du cross-tracking (suivi d’un internaute d’un site web à l’autre
à l’insu de ce dernier et souvent au mépris du respect de sa vie privée). La firme de Cupertino mise surtout sur le monde fermé des « apps » de son App Store qu’elle contrôle, contrairement au Web ouvert. Résultat, dès mi-décembre 2017, Criteo a vu son cours de Bourse au Nasdaq s’effondrer de près de 30 % à l’annonce de l’ITP d’Apple. La pépite de la « French Tech » avait alors dû revoir à la baisse ses prévisions de croissance et d’objectifs de chiffre d’affaires, tout en rappelant Jean-Baptiste Rudelle à la rescousse en avril 2018 (après que celui-ci se soit mis en retrait en 2016). La vulnérabilité de Criteo était déjà apparue face aux logiciels anti-pub, les ad-blocks (4). Cette fois, les GAFA mettent le français à rude épreuve. Après Apple, ce fut au tour
de Facebook de s’en prendre l’an dernier à l’ex-licorne française en mettant un terme au partenariat avec elle à partir de juillet 2018. La perte de l’accréditation « Facebook Marketing Partner » empêche Criteo d’accéder aux outils de ciblage publicitaire proposés en version bêta par le premier réseau social mondial. Cette rétrogradation
fut révélée par Goldman Sachs début septembre, entraînant un recul jusqu’à 16 % de l’action Criteo en Bourse. Selon la banque américaine, le géant français du retargeting a été décertifié parce que « son intégration personnalisée ne correspondait plus aux priorités de Facebook ». Une autre analyse financière affirme que la firme de Mark Zuckerberg a décidé de pousser ses propres solutions de reciblage publicitaire et d’avoir des relations directes avec ses clients. C’est désormais plus difficile pour Criteo d’acheter auprès de Facebook des inventaires publicitaires.

Entre la fraude aux clics et le RGPD
Aux Etats-Unis, il se dit même que Facebook a eu des doutes sur la viabilité de Criteo après que Gotham City Research ait évalué à la moitié du chiffre d’affaires du français la part provenant de « sources douteuses » (clics frauduleux, robots virtuels à clics, clickbots, …) ou de sites web de « faible qualité » (5) (*) (**). A cela s’ajoutent les règles contraignantes depuis mai 2018 du RGDP en Europe, avec le consentement préalable des internautes avant le dépôt de cookies. Qu’il est loin le temps où Amazon (en 2012) et Publicis (en 2014) voulaient racheter Criteo… @

Charles de Laubier

La publicité doit-elle être soumise au consentement quand elle est géolocalisée ?

Publié le par

Avec quatre mises en demeure publiées entre juin et novembre sur la géolocalisation publicitaire, la Commission nationale de l’informatique et des libertés (Cnil) « feuilletonne » sa doctrine en la matière. Or le RGPD européen n’exige pas toujours le consentement préalable des utilisateurs.

Etienne Drouard, avocat associé, et Lucile Rolinet, juriste, cabinet K&L Gates

La Cnil a d’abord publié deux mises en demeure à l’encontre des sociétés Fidzup et Teemo pour défaut de recueil du consentement à la collecte et au traitement de données de géolocalisation à des fins publicitaires. Dès le 3 octobre cependant,
elle mettait fin à la mise en demeure de la société Teemo (1) en décrivant précisément les mesures nouvelles prises par cette dernière pour se conformer à ses injonctions publiques (2). Sans discussion.

Réguler par les médias ou par le droit ?
Puis le 23 octobre, Singlespot (3) subissait à son tour la même mise au pilori de la part de la Cnil (4), et le 9 novembre 2018 (5), la société Vectaury était elle aussi épinglée (6) pour non recueil du consentement à la géolocalisation publicitaire. Jusqu’à présent, la Cnil publiait rarement ses mises en demeure – de quatre à quinze par an au cours des six dernières années – mais la série de publications qui s’est ouverte depuis l’entrée en vigueur du règlement général sur la protection des données personnelles (RGPD) le 25 mai 2018 semble marquer une nouvelle méthode de régulation. Celle-ci repose davantage sur la vindicte médiatique que sur le débat contradictoire, pourtant essentiel à un procès équitable. Elle incarne le souhait de la Cnil de montrer l’exemple (et les dents), tout en laissant aux sociétés intimées la possibilité de se conformer dans le délai qui leur est imparti, sans encourir d’autre sanction que médiatique. Il faut dire qu’une simple mise en demeure suffit pour la Cnil obtienne tout ce qu’elle désire…,
tant le niveau des amendes que peut désormais prononcer la Cnil depuis la date d’entrée en application du RGPD est effrayant (jusqu’à 4 % du chiffre d’affaires mondial consolidé). Au risque d’ancrer une doctrine sans le moindre débat juridique et avec
des raisonnements discutables sur le fond. Discutons-en, donc.
• A chaque finalité son consentement ? La Cnil menace de sanctionner l’absence de consentement des personnes concernées au traitement de leurs données personnelles pour recevoir de la publicité ciblée sur leur téléphone mobile. Pour ce faire, elle se fonde sur un élément de doctrine non expliqué, qui pourrait se résumer à la formule très simple – et très fausse : « Une finalité, un consentement ». Selon cette doctrine, toute personne ayant consenti à la géolocalisation devrait par ailleurs avoir la possibilité de consentir – ou de ne pas consentir – séparément et pour chaque finalité distincte, à chacune des utilisations de sa géolocalisation : contractuelle, publicitaire, etc.
La définition du consentement stabilisée par la directive européenne « Protection des données personnelles » de 1995 (95/46) n’a pas été modifiée par les quatre années d’élaboration du RGPD. Le consentement se définit comme toute manifestation de volonté univoque, libre, explicite, informée et spécifique, par laquelle une personne concernée peut accepter par une déclaration ou un acte positif clair le traitement de ses données personnelles (7), notamment le premier d’entre eux : la collecte de données. Selon les récentes lignes directrices des régulateurs européens (8) (*) (**) (***) (****),
le consentement est absolument discrétionnaire. Lorsqu’il est requis, il doit être spécifique à chaque finalité. Il ne peut être soumis à aucune condition, avantage ou détriment. Il est rétractable à l’envi ; il est d’une durée de validité limitée et il doit être renouvelé. Il est indépendant de l’accès à un service, quel que soit le modèle économique en jeu. Ainsi, lorsque le consentement est requis, le traitement d’une donnée est interdit tant qu’un consentement valable n’a pas été exprimé sur la base d’une information complète fournie aux personnes, dénuée de toute manipulation ou omission susceptible de les influencer dans leur libre choix.

Des cookies à la géolocalisation publicitaire
Le consentement est donc un régime d’interdiction a priori, qui déplace l’action de réguler sur les personnes. Ce véritable « droit au caprice », qui place la volonté libre
de l’individu au-dessus de toute autre considération, ne peut constituer le fondement d’aucun service (le consentement se distingue de l’adhésion à un contrat) ni d’aucun modèle économique. En effet, quelqu’un a-t-il déjà donné pareil consentement à l’usage publicitaire de la géolocalisation, sans contrepartie, à un tiers qui ne lui promet rien ? Créé en France en 1978 pour interdire le traitement des données sensibles relatives aux opinions politiques, philosophiques, religieuses ou syndicales, ce consentement-là, absolu et sanctifié, n’a jamais été « lâché seul » dans la sphère économique sans coexister avec des alternatives tout autant protectrices de l’individu (et malgré lui) et économiquement compatibles.
• Géolocalisation, consentement et information. Le consentement à la collecte de données de géolocalisation est exigé par la directive européenne « ePrivacy » (9) de 2002 (2002/58), transposée en droit français dans le code des postes et des télécommunications électroniques (10). Il est d’une nature similaire à l’exigence du consentement à la collecte des données sensibles (11) ou du consentement au dépôt ou à la lecture de « cookies » ou de traceurs en ligne (12).

Des raccourcis trompeurs et dangereux ?
La Cnil a mis en demeure les entreprises concernées au motif du défaut d’information préalable relatif à l’usage des données de géolocalisation à des fins publicitaires. Cette information est requise, quelle que soit la base légale sur laquelle repose la ou les finalité(s) de collecte ou d’utilisation des données. Elle peut, juridiquement, être concomitante à la collecte de la donnée de géolocalisation, mais elle doit en tout état
de cause être préalable à l’usage publicitaire d’une donnée de géolocalisation (13).
Le RGPD n’exige pas toujours le consentement ; il exige une base légale. C’est la faculté de collecter la donnée – de géolocalisation, ou sensible ou de l’identifiant d’un terminal – qui est soumise au consentement et non pas l’usage ultérieur qui sera fait
de cette donnée. Cet usage ultérieur peut être justifié par une nécessité technique, servicielle ou contractuelle, ou une faculté publicitaire ou une obligation légale. Cet usage ultérieur doit donc faire l’objet d’une information des personnes – dans tous les cas. Toutefois, chacun de ces usages postérieurs n’est pas forcément soumis au consentement des personnes. Tout dépendra de la base légale qui fonde chacun de ces usages ultérieurs. En effet, la règle posée par le RGPD n’est pas « une finalité =
un consentement », mais « une finalité = une base légale ». Or, le consentement n’est qu’une des six bases légales retenues par le RGPD et il n’a pas de rang prioritaire sur les autres. Tout dépend de la finalité d’utilisation concernée. La Cnil ne justifie pas en quoi l’utilisation publicitaire des données de géolocalisation collectées avec le consentement des personnes (14), serait-elle-même soumise à un consentement spécifique. En effet, lorsque la finalité d’utilisation d’une donnée est une géolocalisation servicielle, c’est-à-dire strictement nécessaire à la fourniture d’un service ou souscrit par la personne, le consentement discrétionnaire des personnes s’effacera au profit
de la nécessité pour l’entreprise d’exécuter un contrat d’adhésion souscrit par les personnes et qui implique l’utilisation « servicielle » – contractuelle – de la donnée de géolocalisation (15). Tel est le cas pour l’utilisateur d’une application de cartographie routière de type Waze, Plans, Mappy ou Google Maps. Lorsque la collecte des données de géolocalisation est nécessaire à la sauvegarde de la vie humaine (16), le consentement sera écarté et l’utilisation d’une donnée de géolocalisation par les services d’urgence (Police Secours, SAMU, Pompiers) leur permet d’obtenir des opérateurs télécoms la géolocalisation de l’appel d’une personne en détresse. Enfin, lorsque la géolocalisation est nécessaire à l’exécution d’une mission de service public, telle la collecte des points et horaires d’entrée et de sortie d’une section d’autoroute à péage, l’absence du recueil du consentement, matériellement impossible, n’empêchera pas les sociétés d’exploitation d’autoroute de recueillir les données de géolocalisation de leurs usagers.
Concernant la géolocalisation destinée à déclencher l’affichage publicitaire sur mobile, la base légale ne pourra être que l’intérêt légitime prévu par le RGPD et explicitement décrit à son considérant 47. D’ailleurs, quel utilisateur averti serait-il assez « original » pour désirer librement et sans la moindre incitation faire l’objet de publicités géociblées ? Si l’usage publicitaire d’une donnée n’est possible qu’à l’égard des personnes qui y consentent librement, cela signifie en droit et en pratique que l’usage publicitaire est interdit a priori par le RGPD. Or, c’est tout le contraire qui a été arbitré dans le RGPD, malgré la réticence à cet égard des régulateurs nationaux tels que la Cnil. En effet,
le RGPD requiert la démonstration d’un équilibre entre les garanties offertes aux personnes en contrepartie de l’intérêt commercial pour l’entreprise exploitant les données (17). La personne ayant téléchargé une application et ayant expressément consenti à la collecte de ses données de géolocalisation, doit être informée que ses données peuvent être utilisées à des fins de publicité et elle doit pouvoir… s’y opposer, dès lors que cette faculté d’opposition lui est offerte aisément et à tout moment.

Le RGPD n’est pas un texte « à la carte »
Il serait dangereux que le RGPD devienne un texte « à la carte » pour les régulateurs.
Il ne l’est pas pour les justiciables. Ne rompons pas la belle promesse de sécurité juridique et d’harmonisation européenne que l’Union européenne brandit à la face du monde avec le RGPD. Si nous ne tenions pas cette promesse, nous en serions, nous Européens, les principales victimes. @