La BEI, la CDC et le groupe Axel Springer soutiennent toujours le moteur de recherche Qwant

La Banque européenne d’investissement (BEI) lui a accordé « un rééchelonnement raisonnable » de sa dette. La Caisse des Dépôts (CDC) et le groupe allemand Axel Springer sont toujours ses plus importants actionnaires. Ayant échappé à la banqueroute, Qwant pourra fêter ses dix ans en 2023.

« Face à la domination sans réel partage de Google, la concurrence européenne s’organise. C’est le cas de Qwant, moteur de recherche franco-allemand qui tente de percer en assurant à ses utilisateurs un respect total de leur vie privée et des contenus non violents pour les plus jeunes », peut-on encore lire sur le site web (1) de la Banque européenne d’investissement (BEI), le plus gros créancier de Qwant. Il y a sept ans, la start-up française bénéficiait d’un prêt de la BEI de 25 millions d’euros.

Sa situation financière reste fragile
L’annonce de ce prêt européen avait été faite en grande pompe lors de la grande conférence numérique franco-allemande qui avait eu lieu le 28 octobre 2015 à l’Elysée, en présence d’un certain Emmanuel Macron (2), alors ministre français de l’Economie, de l’Industrie et du Numérique. L’eau a depuis coulé dans le Rhin et la société franco-allemande – vedette de la French Tech promue par celui qui est devenu en 2017 président de la République – a dû faire face cette année à deux échéances de remboursements de la BEI. Mais au lieu de devoir régler 5 millions d’euros en janvier et 10 millions d’euros en juin, l’entreprise a obtenu de la banque au Luxembourg « un rééchelonnement raisonnable de la dette », indique Raphaël Auphan (photo), directeur général de Qwant, à Edition Multimédi@.
Les nouvelles échéances sont confidentielles. Il nous précise que sur les 25 millions d’euros initialement annoncés en 2015, ce sont finalement 20 millions d’euros qui ont été tirés par l’entreprise auprès de la BEI. Qwant s’était endetté non seulement auprès de la BEI mais aussi en janvier 2017 auprès de la Caisse des dépôts (CDC) à hauteur de 15 millions d’euros. A cela s’ajoutaient 5 millions d’euros levés auprès du groupe de médias allemand Axel Springer, son actionnaire historique (3). Qwant doit en outre 3millions d’euros à l’Etat au titre du prêt garanti par celui-ci (PEG) accordé durant la crise sanitaire. « La dette de Qwant n’a pas diminué en 2021 », nous indique Raphaël Auphan, par rapport aux 39,3 millions d’euros d’endettement de 2020. Quant au prêt de 8 millions d’euros consenti en mai 2021 par le chinois Huawei sous forme d’obligations convertibles, « il s’agit d’une dette qui sera bientôt remboursée ». Et l’accord de « l’utilisation du moteur de recherche sur les smartphones Huawei arrive aussi à échéance ». L’an dernier, l’entreprise a réalisé un chiffre d’affaires de 10,3 millions d’euros (4), pour une perte nette de 9,2 millions d’euros. Alors qu’en 2020 le déficit était de 12,8 millions pour un chiffre d’affaires de 7,5 millions d’euros (5). La situation financière reste fragile, mais Qwant peut compter sur le soutien de ses deux principaux actionnaires – Axel Springer et la CDC – qui ont réinjecté en 2020 de l’argent frais. Le premier était entré à hauteur de 18,4 % du capital de Qwant en 2014, via son fonds Axel Springer Digital Ventures, mais sa participation est moindre depuis l’entrée de la CDC.
Après l’ère de son PDG fondateur Eric Léandri (6), lequel a été contraint en janvier 2020 de passer les rênes de l’entreprise mal en point, Qwant a pris un nouveau départ début juillet 2021 avec une nouvelle direction : le tandem actuel composé de Corinne Lejbowicz, présidente, et Raphaël Auphan. « Nous sommes une tech de croissance et nous avons un plan de développement qui demandera de nouveaux moyens financiers », explique le directeur général. Qwant ne cesse d’innover. Il indique par exemple qu’« une offre spécifique de moteur de recherche, toujours gratuit, respectueux de la vie privée et sécurisé, sera proposée en 2023 aux entreprises ». Son offre « privacy » va s’étoffer. En plus de Qwant Search (moteur principal), Qwant Junior (dédié aux 6-12 ans), Qwant Maps (service de cartographie « sans laisser de traces »), Qwant VIPrivacy (extension de navigation anti-tracking publicitaire) et bientôt de Qwant pour les entreprises, d’autres produits sont en projet, dont un éventuel VPN (réseau privé virtuel). Depuis juin, le moteur de recherche permet de traduire ses textes dans 28 langues grâce à un partenariat avec la société allemande DeepL.

Développer son propre « master index »
Pour autant, Qwant reste encore dépendant de l’index Bing de Microsoft et de sa régie publicitaire Bing Ads. « Nous poursuivons le développement de notre propre master index, actuellement de 10 milliards de documents. Et sur certains segments comme l’actualité en France nous répondons à 100 % des requêtes », nous assure Raphaël Auphan. Le zéro-tracking séduit à ce jour 6 millions d’utilisateurs par mois, bien loin des 37,9 millions d’utilisateurs par mois pour le moteur de recherche Google en France. Peu importe puisque Qwant ne prétend plus devenir son « grand » rival en Europe, mais seulement une alternative « respectueuse de la vie privée ». Cela ne l’empêche pas de se réjouir lorsque la filiale d’Alphabet est mise à l’amende comme le 14 septembre (7). @

Charles de Laubier

Pour pallier la disparition des cookies, la publicité contextuelle cherche à s’imposer dans le monde

La fin prochaine des cookies, et autres traceurs publicitaire intrusifs sur les terminaux des internautes pris pour cibles, a ouvert la voie à la publicité contextuelle. C’est aussi une alternative à l’exploitation des données personnelles des utilisateurs. Des adtech comme Seedtag relèvent le défi.

« La publicité contextuelle est une technique publicitaire qui vise à diffuser sur un support (web, télévision) des publicités choisies en fonction du contexte dans lequel le contenu publicitaire est inséré », définit la Cnil sur son site web (1). Avantage : le ciblage contextuel ne nécessite pas d’avoir des informations sur la personne regardant la publicité, ni de collecter des données personnelles la concernant. Bref, c’est l’arme anti-cookie et anti-data par excellence. Des adtech comme l’espagnole Seedtag s’en sont fait une spécialité, devançant notamment le champion français des cookies, Criteo (2), qui tente de pivoter dans le contextuel.

Seedtag, « n°1 mondial » du contextuel
La start-up Seedtag, fondée en 2014 par deux anciens de chez Google, Jorge Poyatos (photo de gauche) et Albert Nieto (photo de droite), a créé une intelligence artificielle contextuelle – baptisée Liz – qui permet aux annonceurs de « toucher les consommateurs en fonction de leurs intérêts sans utiliser aucune donnée personnelle ». Ayant son siège social à Madrid, cette licorne en puissance se déploie à l’international, tant en Europe qu’aux Etats-Unis et en Amérique du Sud. Fin juillet, elle a annoncé avoir levé 250 millions d’euros auprès du fonds américain Advent International. Celui-ci rejoint d’autres investisseurs institutionnels déjà présents dans Seedtag, à savoir Oakley Capital, Adara Ventures et All Iron Ventures. Objectif : « Faire évoluer le secteur de la publicité digitale à plus grande échelle », notamment outre-Atlantique.
Seedtag se revendique déjà comme étant « le numéro un en Europe et en Amérique Latine dans la publicité contextuelle ». S’étant d’abord développé dans la publicité intégrée au sein des images illustrant des articles (in-image advertising), Seedtag a ensuite élargi son offre à la vidéo (outstream) et aux bannières (display). Pour se hisser à la première place de ce marché dynamique, la start-up madrilène rachète certains de ses concurrents : la société italienne AtomikAd est tombée dans son escarcelle en novembre 2020, suivie de l’allemand Recognified en février 2021, puis du français KMTX en juillet 2022. En plus de son IA contextuelle, Liz, Seedtag ajoute ainsi des cordes à son arc pour mieux cibler les internautes sans recourir aux cookies ni exploiter leurs données, ni les suivre à la trace dans leurs navigations sur le Web. Ses outils alternatifs vont du placement in-content jusqu’à l’automatisation des performances marketing (apprentissage automatique). « En diffusant des publicités dans le contenu, nous tirons pleinement parti de l’attention des utilisateurs : selon l’eye-tracking [oculométrie en français, à savoir le suivi des mouvements des yeux sur un écran, ndlr] les publicités intégrées au contenu captent l’attention plus rapidement et la retiennent plus longtemps ».
Cette optimisation du ciblage publicitaire cookie-free est obtenue par la « lecture » approfondie des contenus des pages pour obtenir le meilleur résultat pour l’annonceur. De grandes marques telles que Microsoft, LG, Heineken, Nestlé, Renault, Unilever, Levi’s, Forbes, Marie-Claire, Vanity Fair ou encore Sky Sport font partie du portefeuille de clients de Seedtag. Par exemple, la filiale française dirigée par Clarisse Madern a renouvelé en début d’année des partenariats avec des éditeurs tels que CMI (Elle, Marianne, Télé 7 jours, …), Prisma Media (Capital, Gala, Geo, …), Lagardère Publicité News et Reworld Media.
En mai dernier, avec l’appui d’une étude de l’institut marketing Nielsen réalité auprès de 1.800 consommateurs au Royaume-Uni, Seedtag a démontré que le ciblage contextuel était bien plus accepté que le ciblage utilisant leurs données personnelles : « Les consommateurs étaient 2,5 fois plus intéressés par la publicité contextuelle que lorsqu’il la publicité n’est pas ciblée. De plus, les résultats ont montré que les personnes qui ont vu des publicités contextuelles étaient 32 % plus susceptibles de passer l’action après avoir vu la publicité. Les consommateurs ciblés en fonction du contexte se sont sentis 40 % plus enthousiastes à l’égard de la catégorie [du message publicitaire] que ceux ciblés sur le plan démographique et 28 % plus enthousiastes que ceux ciblés uniquement en raison de leur intérêt dans la catégorie » (3).

Les navigateurs deviennent cookieless
En début d’année, dans le cadre de ses tests pour sa solution alternative « Privacy Sandbox », Google avait annoncé la fin des cookies tiers sur son navigateur Chrome d’ici à fin 2023 (4), au lieu de 2022 initialement prévu. Alors qu’Apple avec Safari et Mozilla avec Firefox sont déjà cookieless (5), la filiale d’Alphabet a dû prolonger les tests : « Nous avons maintenant l’intention de commencer à éliminer progressivement les cookies tiers dans Chrome dans la seconde moitié de l’année 2024 », a-t-elle indiqué le 27 juillet dernier (6). @

Charles de Laubier

Les alternatives aux cookies tiers, lesquels vont disparaître, veulent s’affranchir du consentement

Le numéro un mondial de la publicité en ligne, Google, a confirmé le 25 janvier qu’il bannira à partir de fin 2023 de son navigateur Chrome les cookies tiers – ces mouchards du ciblage publicitaire. Comme l’ont déjà fait Mozilla sur Firefox ou Apple sur Safari. Mais attention à la vie privée.

Il y a près d’un an, le 3 mars 2021, Google avait annoncé qu’il allait abandonner les cookies tiers – utilisés par les annonceurs et publicitaires à des fins de traçage des internautes et de ciblage personnalisé – au profit de « centres d’intérêts » de groupes d’individus, alors appelés « cohortes » ou, dans le jargon des développeurs «FLoC», pour Federated Learning of Cohorts (1). Une « cohorte » est un groupe d’utilisateurs aux comportements de navigation similaires et aux « intérêts communs » (2). Et ce, sans ne plus avoir à identifier les individus un par un, mais tous ensemble de façon non indentifiable.

Cohortes, fingerprinting, centres d’intérêt, …
Mais cette technique de traçage anonymisé soulevait toujours des questions au regard du consentement des internautes et de sa conformité avec le règlement général sur la protection des données (RGPD) en Europe. De plus, les « cohortes » laissaient la porte ouverte à de l’espionnage par browser fingerprinting, c’est-à-dire la prise d’empreinte à partir du navigateur web pour collecter une floppée d’information sur l’utilisateur et son équipement. Car les réseaux publicitaires s’appuient principalement sur deux méthodes pour mettre les internautes sous surveillance. Son donc dans le même bateau : le suivi par des mouchards déposés dans le terminal et les empreintes digitales issues du navigateur.
Si les cookies tombent à l’eau, qu’est-ce qui reste ? Le fingerprinting. Cette technique de traçage des internautes, indépendamment des cookies eux-mêmes, est en fait illégale sans consentement préalable de l’internaute. L’Electronic Frontier Foundation (EFF), une ONG internationale de protection des libertés sur Internet, basée à San Francisco et aujourd’hui dirigée par Cindy Cohn (photo), a mis en place il y a une dizaine d’année un outil – Cover Your Tracks (3) – qui permet à tout internaute de vérifier le niveau de traçage de son navigateur. « Lorsque vous visitez un site web, votre navigateur fait une “demande” pour ce site. En arrière-plan, le code publicitaire et les trackers invisibles sur ce site peuvent également amener votre navigateur à faire des dizaines ou même des centaines de demandes à d’autres tiers cachés. Chaque demande contient plusieurs informations sur votre navigateur et sur vous, de votre fuseau horaire aux paramètres de votre navigateur en passant par les versions de logiciels que vous avez installés », met en garde l’EFF. Si certaines de ces informations sont transmises par défaut pour simplement mieux visualiser la page sur votre écran (smartphone, ordinateur ou tablette) et en fonction du navigateur utilisé, bien d’autres informations aspirées par du navigateur peuvent remonter – de façon sournoise et à l’insu de l’intéressé – jusqu’aux réseaux publicitaires tiers. En naviguant sur le Web, chaque internaute laisse des traces comme en marchant dans la neige. C’est ce que l’on appelle une « empreinte digitale numérique », ou fingerprinting : il s’agit essentiellement de caractéristiques propres à un utilisateur, à son navigateur et à sa configuration informatique (jusqu’à la résolution de son écran et aux polices de caractère installées dans son ordinateur…). Et le tout collecté par des scripts de suivi (tracking scripts) qui constituent les multiples pièces d’un puzzle sur le profit de l’utilisateur, qui, une fois assemblées, révèlent l’image unique de l’individu ciblé. Contrairement aux cookies qui tombent sous le coup du RGPD imposant le consentement préalable de l’internaute concerné, lequel peut aussi supprimer les cookies voire bloquer les publicités en ligne à l’aide d’un adblocker (4), les empreintes digitales échappent à tout contrôle et restent difficilement modifiables et impossible à supprimer. « Cela équivaut à suivre un oiseau par son chant ou ses marques de plumes, ou une voiture par sa plaque d’immatriculation, sa marque, son modèle et sa couleur », compare l’EFF, laquelle suggère de désactiver JavaScript pour arrêter l’exécution des scripts de suivi. JavaScript est le fameux langage de programmation de scripts, créé il y a plus d’un quart de siècle maintenant et principalement employé dans les pages web interactives, autrement dit partout sur le Web. Mais désactiver JavaScript compliquera la vie de l’internaute…

Les requêtes JavaScript et le RGPD
« Le principal objectif de Cover Your Tracks est de vous aider à établir votre propre équilibre entre la confidentialité et la commodité, explique l’ONG américain. En vous donnant un résumé de votre protection globale et une liste des caractéristiques qui composent votre empreinte digitale numérique, vous pouvez voir exactement comment votre navigateur apparaît aux trackers, et comment la mise en oeuvre de différentes méthodes de protection change cette visibilité ». C’est pour éviter notamment que le fingerprinting, avec ses requêtes JavaScript, ne le mette en infraction visà- vis du RGPD et ne se retourne contre lui, que Google a abandonné FloC pour « Topics ». Quèsaco ? Fini les « cohortes », place aux « thèmes ». Moins d’intrusions dans la vie privée, plus d’information sur les centres d’intérêt, bien que cela ne sonne pas la fin du tracking publicitaire sur ordinateurs et smartphones… Ce changement de pied sera généralisé sur Chrome à partir de fin 2023, après une phase de transition dès le troisième trimestre prochain.

La Grande-Bretagne et l’Allemagne scrutent
Et l’avantage présenté par Google le 25 janvier dernier est que toute cette « cuisine thématique » reste dans le terminal de l’utilisateur et les thèmes y sont conservés durant trois semaines avant d’être effacés. Tandis que l’interface de programmation d’applications – l’API (5) – de Google exploite trois thèmes, à raison d’un thème par semaine. Explication de Vinay Goel (photo ci-contre), directeur Privacy chez Google, basé à New York : « Avec Topics, le navigateur identifie des thèmes (topics) représentatifs des principaux centres d’intérêt des utilisateurs pour une semaine donnée, tels que “fitness”ou “voyages”, en fonction de l’historique de navigation. Ces thèmes sont gardés en mémoire pendant seulement trois semaines avant d’être supprimés. Ce processus se déroule entièrement sur l’appareil utilisé, sans impliquer de serveurs externes, Google ou autre. Lorsqu’un internaute visite un site Web participant, Topics sélectionne seulement trois thèmes, un thème pour chacune des trois dernières semaines, que l’API transmet ensuite à ce même site ainsi qu’à ses annonceurs partenaires » (6). Tout cela en toute transparence : fini les mouchards, fini le suivi dissimulé et autres cookies indigestes, fini aussi le fingerprinting sournois. L’utilisateur garde la main sur ces données le concernant.
Du moins sur Chrome où il peut accéder aux paramètres de contrôle pour y voir les thèmes partagés avec les annonceurs, en supprimer certains, avec la possibilité de désactiver entièrement la fonctionnalité. « Plus important encore, souligne Vinay Goel, les thèmes sont sélectionnés avec attention afin d’exclure les catégories potentiellement sensibles, telles que le genre ou l’appartenance ethnique ». Google n’est pas le premier à bannir les cookies tiers de son navigateur Chrome. Avant lui, Mozilla, Apple, Microsoft et Brave Software les ont écartés de respectivement Firefox, Safari, Edge et Brave. Mais le plus souvent pas des filtres « anti-cookies ». L’aggiornamento du ciblage publicitaire est en tout cas venu, quitte à secouer certains acteurs comme ce fut le cas fin 2017 lorsque Criteo a dévissé en Bourse après l’annonce d’Apple contre les cookies sur iOS 11. Depuis l’adtech française a dû s’adapter (7). D’autres, comme Prisma Media ou Webedia (8), contournent le problème en imposant des « cookies walls ». Tôt ou tard, tout l’écosystème devra passer à la publicité basée sur les intérêts – Interest-based advertising (IBA) – qui est une forme de publicité personnalisée dans laquelle une annonce est sélectionnée pour l’utilisateur en fonction des intérêts dérivés des sites qu’il a visités antérieurement. « Les thèmes sont sélectionnés à partir d’une taxonomie publicitaire, qui comprendra entre quelques centaines et quelques milliers de sujets [entre 350 et 1.500 thèmes, ndlr], tout en excluant les sujets sensibles », précise par ailleurs la plateforme de développement de logiciels GitHub (9). Reste que le monde publicitaire (marques, régies, éditeurs, adtech, …) devra se faire une raison : l’IBA donnera des résultats d’affichages différents – moins performants ? – par rapport à la publicité contextuelle mais peut-être plus utiles pour l’internaute. Mais la démarche de Google – en position dominante sur le marché mondial de la publicité en ligne – inquiète de nombreux acteurs du numérique. La firme de Mountain View (Californie) a déjà eu à répondre l’an dernier devant l’autorité de la concurrence britannique, la Competition and Markets Authority (CMA), ainsi qu’à la « Cnil » britannique, l’Information Commissioner’s Office (ICO), en prenant des engagements vis-à-vis des autres acteurs du marché et envers la protection de la vie privée (10). En Allemagne, la fédération des éditeurs VDZ a fait savoir le 24 janvier dernier qu’elle en appelait – au nom de ses 500 membres – à la Commission européenne pour dénoncer « les distorsions de concurrence de Google », suite à sa décision de « bloquer les cookies de tiers dans le navigateur dominant Chrome ». La VDZ demande à ce « que l’utilisation de cookies fournis par des tiers reste autorisée, à condition, notamment, que les utilisateurs consentent eux-mêmes à leur utilisation » (11). Elle rappelle au passage qu’en avril 2021 elle a engagé avec d’autres organisations professionnelles une action antitrust contre Apple auprès de l’autorité fédérale allemande de lutte contre les cartels (12).

La Commission européenne enquête
En France, la Commission nationale de l’informatique et des libertés (Cnil) se penche sur « les alternatives aux cookies » (13) mais n’a encore rien dit sur les « Topics » de Google. De son côté, Margrethe Vestager, vice-présidente de la Commission européenne et en charge de la Concurrence et du Numérique, n’a pas attendu la requête de la VDZ pour s’interroger sur la fin des cookies tiers – notamment sur les intentions de Google – comme l’atteste un courrier daté du 23 avril 2021 et envoyé au Parlement européen (14). Deux mois après, le 22 juin 2021, la Commission européenne ouvrait une enquête sur les pratiques publicitaires de Google et sur la décision de ce dernier d’« interdire le placement de “cookies tiers” sur Chrome » (15) : « L’enquête se poursuit », nous indique Margrethe Vestager. La filiale Internet d’Alphabet est donc scrutée de toute part en Europe. Autant que les internautes eux-mêmes ? @

Charles de Laubier

Cookies : l’écosystème de la publicité ciblée s’organise en attendant la recommandation finale de la Cnil

C’est en avril que la Cnil devrait publier sa recommandation finale sur « les modalités pratiques de recueil du consentement » des utilisateurs au dépôt de « cookies et autres traceurs » sur leurs terminaux. Retour sur le projet de recommandation, qui est contesté par les éditeurs et les publicitaires.

Par Sandra Tubert et Laura Ziegler, avocates associées, BCTG Avocats

Alors que l’adoption du règlement européen « ePrivacy » patine depuis déjà trois ans (1), certaines « Cnil » européennes – allemande, anglaise, française, espagnole et grecque – ont décidé de prendre les devants en adoptant leurs propres lignes directrices sur les règles attendues en matière de cookies et autres technologies de traçage. En juin 2019, en France, la Cnil (2) a annoncé son plan d’action en matière de publicité ciblée. Au menu : l’adoption de lignes directrices dans une délibération datée du 4 juillet 2019 rappelant les règles de droit applicables en matière de cookies (3), complétées d’un projet de recommandation publié le 14 janvier dernier précisant les modalités concrètes de recueil du consentement.

Un cadre plus strict et peu pragmatique
Ce projet de recommandation (4), dont la version finale devrait être adoptée courant avril, a été soumis à consultation publique, laquelle s’est achevée le 25 février avec un taux de participation étonnement très relatif (5). L’abandon de la poursuite de la navigation comme modalité valide de recueil du consentement – modalité qui prévalait jusqu’alors puisque préconisée dans la recommandation de la Cnil de 2013 – est l’une des annonces phares de la Cnil. En effet le consentement tel que défini dans le règlement général européen sur la protection des données (RGPD) doit être spécifique, éclairé, univoque et libre (6). Pour satisfaire à ces quatre critères, la Cnil détaille dans ses deux textes ses attentes vis-à-vis des professionnels pour recueillir un consentement valide pour le dépôt et la lecture de cookies. Elle prend néanmoins le soin de préciser, dans son projet de recommandation, que les exemples de modalités pratiques y figurant ne sont ni prescriptifs ni exhaustifs. Les professionnels peuvent donc choisir d’autres modalités, dès lors qu’elles sont conformes aux exigences de qualité du consentement posées par le RGPD. Il est alors surprenant de constater que malgré cette annonce et le délai de grâce de six mois laissé aux sociétés pour se mettre en conformité, la Cnil précise sur son site Internet : que des contrôles seront mis en place six mois après l’adoption de sa recommandation définitive pour en vérifier le respect pratique, et que le respect des règles en matière de cookies est l’un des trois axes prioritaires du plan de contrôle pour 2020 de la Cnil (7). Ce projet de recommandation a également été l’occasion pour la Cnil d’insérer, dans chacune des sections, des « bonnes pratiques » qui sont en réalité – et de son propre aveu – des pratiques « permettant d’aller au-delà des exigences légales » (8). Concernant le premier critère, à savoir le caractère éclairé du consentement, celui-ci s’entend comme la fourniture – au moyen de termes simples et compréhensibles par tous – d’une information sur les différentes finalités pour lesquelles les cookies seront utilisés, les acteurs qui les utiliseront et la portée du consentement. Pour satisfaire ce point, exit les terminologies juridiques ou techniques complexes ou le simple renvoi vers les conditions générales d’utilisation (CGU) : la Cnil attend la fourniture d’une information complète, lisible et mise en évidence au moment du recueil du consentement. En pratique, cela signifierait une information en deux niveaux.
• Dans le premier niveau d’information, il s’agit de mettre à disposition de façon succincte l’identité du ou des responsables du traitement (avec un lien ou un bouton renvoyant à la liste complète des sociétés utilisant les cookies), les finalités des cookies mises en avant dans un intitulé court, accompagné d’un bref descriptif (ainsi que la possibilité d’accéder à une description plus détaillée sur le second niveau via un bouton ou un lien hypertexte), et le droit de retirer son consentement.
• Dans le second niveau d’information, accessible via un lien hypertexte ou un bouton depuis le premier niveau d’information, sont attendues deux listes exhaustives : celles sur les responsables de traitement utilisant des cookies et celles des sites web et applications tiers où la navigation des utilisateurs est suivie. Et c’est bien là toute la nouveauté et la complexité des attentes de la Cnil en la matière.

Fini les seuls boutons « Accepter »
De l’avis général, l’écosystème de la publicité ciblée est un système relativement complexe impliquant un nombre considérable d’acteurs. Attendre de l’éditeur d’un site web, la tenue et la mise à jour de ces deux listes et l’obtention d’un nouveau consentement de l’utilisateur en cas d’ajouts de responsables du traitement qualitativement ou quantitativement substantiel semble peu réaliste et laisse par ailleurs à l’appréciation de chacun le caractère substantiel des changements opérés. Toute cette information doit naturellement être fournie aux utilisateurs sans avoir recours à la pratique des cookies walls, reconnue non valide par la Cnil et le Comité européen de la protection des données (CEPD), puisque non compatible avec le caractère libre du consentement. C’est par ailleurs ce qui pousse la Cnil à préciser que l’utilisateur doit avoir la possibilité d’accepter ou de ne pas accepter le dépôt de cookies pour que l’on puisse valablement considérer que son consentement est « libre ». Pour ce faire, les mêmes modalités techniques et de présentation doivent s’appliquer à la capacité de consentir ou de refuser (9). Fini donc les boutons « Accepter » mis en évidence et les petits liens « En savoir plus », dont l’identification incertaine était laissée au soin des utilisateurs, lesquels devaient en déduire qu’ils étaient là pour paramétrer ou refuser le dépôt de cookies. Désormais, l’utilisateur devra se voir proposer des boutons identiques pour refuser ou accepter le dépôt de cookies.

Des délibérations et exigences critiquées
Par ailleurs, le consentement et le refus de consentement devront être enregistrés pour une durée identique – de 6 mois d’après la Cnil – de manière à ne pas solliciter à nouveau, pendant un certain laps de temps, le consentement de l’utilisateur, afin de ne pas le pousser par cette pression répétée à accepter par lassitude. Pour répondre au caractère spécifique du consentement, la Cnil exige également qu’il soit possible pour l’utilisateur de consentir de manière granulaire pour chaque finalité distincte. Différentes modalités semblent acceptées par l’autorité de contrôle : soit sur le premier niveau d’information, soit sur le second. Le consentement global – et donc le bouton « Tout accepter » – est toutefois possible à condition : d’avoir présenté toutes les finalités au préalable, de permettre de consentir par finalité, et de proposer également la possibilité de refuser de façon globale. En pratique donc, devraient fleurir des boutons « Tout accepter », « Tout refuser » et « Paramétrer/Personnaliser », de même taille, de même police et mis en évidence de manière identique pour être conforme aux exigences de la Cnil.
Enfin, pour respecter le caractère univoque comme le caractère libre, la Cnil interdit la pratique des cases pré-cochées, des interrupteurs sur la position activée par défaut et l’acceptation des cookies par les CGU, l’objectif étant que l’utilisateur effectue un acte positif pour mieux prendre conscience du choix qu’il réalise. Les attentes de la Cnil sont donc extrêmement exigeantes envers les éditeurs de sites web et d’applications mobiles, d’autant plus que ces deux délibérations – lignes directrices du 4 juillet 2019 et projet de recommandation – sont à l’heure actuelle assez éloignées des pratiques existantes sur le marché. Il n’est dès lors pas étonnant qu’elles aient fait l’objet de vives contestations par les acteurs de l’écosystème : recours devant le Conseil d’Etat (10) déposé le 18 septembre 2019 par neuf grandes associations professionnelles contre les lignes directrices de la Cnil ; tribunes, lettres ouvertes et prises de position (11) du Collectif pour les acteurs du marketing digital (CPA), de l’Udecam (12) et du Geste (13), reprochant à la Cnil de ne pas avoir pris en compte les propositions des représentants exprimées lors de la concertation engagée par la Cnil entre la publication des lignes directrices et l’adoption du projet de recommandation. Outre la contestation des différents acteurs dont le modèle économique s’est construit autour de la publicité ciblée, se pose également la question de la compatibilité de la multiplicité des lignes directrices publiées ces derniers mois par les différentes autorités de contrôles en Europe. Dans un monde globalisé où Internet est par essence transfrontalier, la publication de lignes directrices aux exigences divergentes par les autorités de contrôle européennes pousse les acteurs désireux de se mettre en conformité à des arbitrages, parfois hasardeux, qui ne sont pas souhaitables. Comme pour justifier le contenu de son projet de recommandation, la Cnil a publié en même temps que ce dernier, les chiffres d’un sondage Ifop (14) dont les résultats sont saisissant de paradoxes. En effet, alors que 70 % des personnes interrogées pensent qu’il est indispensable d’obtenir à chaque fois leur accord au risque d’alourdir leur navigation, 65 % pensent que les demandes d’autorisation de dépôt des cookies ne sont pas efficaces pour protéger leur vie privée. Pire encore : 90% considèrent qu’en plus de consentir, elles devraient connaître l’identité des entreprises susceptibles de suivre leur navigation sur le Web via des cookies, alors que différents sondages précisent que 89 % d’entre elles ne prennent pas le temps de lire ce à quoi elles consentent en ligne.
Face aux difficultés de mise en œuvre pratique du projet de recommandation de la Cnil, aux impacts significatifs que ses exigences pourraient avoir, le modèle des cookies se retrouve plus largement questionné. Google a annoncé – le même jour de la publication du projet de recommandation de la Cnil – son intention de faire disparaître les cookies tiers de son navigateur Chrome d’ici deux ans en optant pour une « Privacy Sandbox », tout comme l’avaient auparavant annoncé Apple avec Safari et Mozilla avec Firefox. Même Criteo – sous le coup d’une enquête de la Cnil suite à une plainte de Privacy International (15) – tente de rassurer en annonçant avoir des solutions qui fonctionneraient sans cookies (16).

Paramètres des navigateurs et des OS
Dans ce contexte, on peut légitimement s’interroger sur la nécessité d’utiliser de nouveaux outils qui pourraient permettre, à la fois, de répondre aux enjeux du modèle économique de la publicité ciblée et de protéger plus efficacement la vie privée des utilisateurs. Une publicité « mieux » ciblée, alignée sur les préférences choisies et affichées des utilisateurs en amont, via un medium à déterminer, ne serait-elle pas une piste à explorer ? De son côté, dans ses deux textes, la Cnil semble en appeler à la modification des paramètres des navigateurs et des systèmes d’exploitation (OS), afin que ceux-ci permettent aux utilisateurs d’exprimer leurs préférences. Cette solution est fortement critiquée par certains acteurs du fait du « monopole » qu’obtiendrait certains GAFAM avec une telle approche. Le débat est ouvert. @

Projet de nouveau règlement sur la vie privée et la protection des données : top départ pour le lobbying

La Commission européenne veut que sa nouvelle proposition sur le respect de la vie privée et la protection des données entre en vigueur le 25 mai 2018 « au plus tard », en même temps le règlement général « Protection des données » déjà promulgué le 4 mai 2016. Le débat se le dispute au lobbying

Quel est le lien entre la nouvelle proposition de règlement sur le respect de la vie privée que la Commission européenne a présentée le 10 janvier 2017 et le règlement général sur la protection des données adopté le 27 avril 2016 ? La première vient compléter le second (1), tout
en garantissant le droit fondamental au respect de la vie privée en ce qui concerne les services en ligne.

 

L’obligation du Privacy by Design
« Les nouvelles règles [sur la vie privée et les communications électroniques, ndlr] confèrent également aux particuliers et aux entreprises des droits et des protections spécifiques, qui ne sont pas prévus par le règlement général sur la protection des données. Elles garantissent, par exemple, la confidentialité et l’intégrité des appareils des utilisateurs (c’est-à-dire les ordinateurs portables, smartphones et tablettes), puisque les données stockées sur les appareils intelligents ne devraient être accessibles qu’après autorisation de l’utilisateur », explique la Commission européenne, dont Véra Jourová (2) (photo), qui demande au Parlement européen et au Conseil de l’Union européenne (UE) d’« avancer rapidement les travaux (législatifs) » et « à garantir leur adoption pour le 25 mai 2018 au plus tard, date à partir de laquelle le règlement général sur la protection des données entrera en application ». L’année 2017 sera donc cruciale dans ce rapport de forces.
Avec ce nouveau règlement, s’il n’est pas dénaturé d’ici là, l’Europe va se doter d’un cadre juridique complet sur le respect de la vie privée et la protection des données qu’aucune autre région du monde n’aura mis en oeuvre. A savoir : toutes les communications électroniques doivent être confidentielles à défaut de consentement
de l’utilisateur (SMS, e-mails, appels vocaux, …) ; la confidentialité des comportements en ligne et des appareils des utilisateurs est garantie (accéder aux informations stockées sur le terminal soumis à consentement, consentement préalable sur les cookies, excepté sur les témoins de connexion liés à des achats, à des formulaires
ou aux statistiques d’audience) ; le traitement des métadonnées et du contenu des communications est subordonné au consentement ; le publipostage et le marketing direct requièrent le consentement préalable (automates d’appel, SMS, e-mails, …). On le voit : le consentement préalable des internautes et des mobinautes est au cœur de cette proposition de règlement. Plus que jamais, les cookies et les spams sont dans le collimateur. Est-ce à dire que les utilisateurs du Net et des mobiles seront sollicités continuellement pour donner ou pas leur aval dans ces différentes situations ? Afin d’éviter que chacun ne soit contraint de répondre sans cesse à des demandes d’autorisation, la Commission européenne a prévu que les utilisateurs puisse « faire
un choix éclairé lorsqu’ils personnalisent leur navigateur ou qu’ils en modifient les paramètres ». Firefox, Internet Explorer, Chrome et autres Safari devront apporter – selon le principe du Privacy by Design – une complète transparence aux utilisateurs
qui pourront alors choisir un niveau plus ou moins élevé de protection de leur vie privée. La Commission européenne n’entend pas régir avec le futur règlement l’utilisation de bloqueurs de publicités, ces fameux ad-blockers, sur lesquels elle n’a rien à redire si
ce n’est que « les utilisateurs sont libres d’installer sur leurs appareils des logiciels permettant de désactiver l’affichage de publicités ». La proposition de règlement permet juste aux éditeurs de sites web de vérifier si le terminal de l’utilisateur final peut afficher leurs contenus, y compris les publicités, sans obtenir le consentement de l’utilisateur.
« Si un fournisseur de sites web constate que les contenus ne peuvent pas tous être affichés par l’utilisateur final, il lui appartient de réagir de manière appropriée, par exemple en demandant à l’utilisateur final s’il utilise un bloqueur de publicités et s’il accepterait de le désactiver lors de sa visite sur le site web concerné », précise-t-on.

Cryptage et conservation non traités
Concernant cette fois les données du Big Data, la nouvelle proposition permettra
aux entreprises de traiter à d’autres fins les contenus des communications et les métadonnées si les utilisateurs ont donné leur consentement, pour autant qu’elles respectent les garanties en matière de respect de la vie privée. Le cryptage, lui, ne relève pas du champs de ce nouveau projet de règlement, à charge aux acteurs de l’économie numérique d’assurer la sécurité conformément au règlement général de 2016 sur la protection des données et au futur code européen des communications électroniques (3). La conservation des données, elle, n’est pas non plus traitée dans
ce projet de texte, la Commission européenne renvoyant les Etats membres à leurs responsabilités au regard des questions de sécurité nationale, de sauvegarder des intérêts publics, ou de répression pénale.

Etno, GSMA, IAB, … : haro sur l’ePrivacy !
A ceci près que « les Etats membres doivent régir ces limitations en légiférant ; les limitations doivent respecter le contenu essentiel des droits fondamentaux ; et [elles] doivent être nécessaires, appropriées et proportionnées, conformément à la jurisprudence de la Cour de justice de l’Union européenne (CJUE), et notamment à son arrêt du 21 décembre 2016 ». Ce coup d’envoi du processus législatif donne aussi le top départ officiel pour les opérations d’intense lobbying pour tenter d’amender un texte jugé trop contraignant par les opérateurs télécoms (fixe ou mobile) et les professionnels de la publicité.
De concert, l’Etno et la GSMA – qui représentent respectivement les opérateurs télécoms historiques en Europe (4) et les opérateurs mobile dans le monde (5) – ont demandé à la Commission européenne de revoir sa copie. « Nous appelons les colégislateurs à corriger le nouveau règlement relatif à la vie privée et aux communications électroniques et à s’assurer qu’il permette une approche orientée client et prête pour les innovations. C’est le seul moyen pour l’UE de capitaliser sur l’économie des données, créer de nouvelles opportunités sociétales et stimuler la prestation de services client innovants », ont-ils déclaré le 10 janvier, soit le jour même de la présentation du projet à Bruxelles. Et de mettre en garde : « Une législation restrictive sur la protection des données représenterait un doublon réglementaire injuste en comparaison avec les autres secteurs ». Quant aux opérateurs de réseaux, ils déplorent que des obligations leur soient imposées, contrairement à leurs concurrents les acteurs du Net – presque tous américains au demeurant – que sont les GAFA (Google, Apple Facebook, Amazon et autres Microsoft ou Netflix), voire plus largement les Over-The- Top (OTT) soupçonnés fournir des services dits « de contournement » (messagerie instantanée, visiophonie, plateformes vidéo, …).
Les deux organisations – toutes deux basées à Bruxelles (Etno et GSMA Europe) – en appellent à la Commission européenne pour rectifier le tir afin, selon elles, de favoriser l’économie de la data (6). Pour cela, les « telcos » demandent à ce que le projet de règlement « Vie privée et données personnelles » soit corrigé afin d’être « pleinement aligné sur le RGPD [le règlement général de 2016 sur la protection des données, ndlr] en ce qui concerne l’approfondissement du traitement des données personnelles » et de permettre d’exploiter ces données lorsqu’elles sont « anonymisée » – on parle aussi de « pseudonymisation » – ou lorsqu’elles sont aussi exploitées par les acteurs du Net telles que « source, destination, date, heure et/ou localisation des données ou du dispositif ».
En plein déploiement de la fibre optique et préparatif de la 5G pour l’Internet des objets, sans parler de la perspective de la voiture connectée, Lise Fuhr, directrice générale de l’Etno (41 membres) et Afke Schaart, viceprésidente Europe de la GSMA (1.100 membres), mettent en garde la Commission européenne contre « un régime double au contour flou » : « Il n’y aura pas d’économie des données en Europe sans un règlement orienté vers l’innovation », déclare la première ; « Nous devons nous assurer que les exigences (…) n’interfèrent pas accidentellement avec l’utilisation de métadonnées », abonde la seconde.
Les professionnels de la publicité en ligne sont, eux aussi, montés au créneau pour exprimer pour ce qui les concerne leur. . . « consternation » quant à la règlementation
« ePrivacy » proposée. L’Interactive Advertising Bureau (IAB), par la voix de sa directrice Europe Townsend Feehan,n’a pas mâché ses mots en dénonçant ce qu’elle considère comme « une loi susceptible d’endommager indéniablement le modèle économique publicitaire et sans réels avantages pour les utilisateurs ».

Cookies et pub : réactions en chaîne
L’IAB (5.500 membres) s’en est inquiété directement en écrivant le 22 décembre dernier une lettre cosignée avec d’autres organisations (éditeurs, « marketeurs », annonceurs, et publicitaires) adressée à Andrus Ansip et Günther Oettinger, le premier – vice-président de la Commissaire européen en charge du Marché unique numérique – ayant repris le portefeuille « Economie et de la Société numériques » du second depuis le 1er janvier (7).
En France, à l’issue d’une réunion le 9 décembre dernier sur les cookies, l a Cnil
a ccorde un délai supplémentaire de mise en conformité – jusqu’à septembre 2017.
Elle devait rendre publique en janvier 2017 son analyse juridique sur la question. @

Charles de Laubier