Archives par mot-clé : Sites Web

Traque anonyme par des cookies publicitaires : l’Europe harmonise l’information aux internautes

Publié le par

Tandis que les navigateurs web Google, Safari, Firefox ou Edge ont proscrit les cookies publicitaires, les sites web continuent le suivi à la trace des internautes mais de façon anonyme, pour peu que ces derniers y aient consentis. Encore faut-il qu’ils soient bien informés avant de décider.

Pour le commissaire européen Didier Reynders (photo), en charge de la Justice (protection des consommateurs comprise), c’est l’aboutissement de longs mois de réflexion, avec les professionnels concernés, sur la manière de mieux informer les consommateurs avant de choisir s’ils acceptent – ou pas – d’être suivis à la trace lors de leur navigation sur Internet. Même si l’année 2024 annonce la fin généralisée des cookies publicitaires, les internautes ont la possibilité de consentir à livrer des données anonymes les concernant à des fins publicitaires. L’Union européenne (UE) veut harmoniser les conditions d’informations des consommateurs du Net avant de donner ou pas leur accord.

Des principes finalisés en janvier 2024
Continuer à être « tracké » ou pas ? Telle est la question. Avant de donner leur consentement individuel à chaque fois qu’ils se rendent sur un site web ou une application, les internautes européens – au nombre de 404 millions dans l’UE (1) – doivent être mieux informés. C’est l’objectif de la « réflexion sur la façon de mieux habiliter les consommateurs à faire des choix efficaces concernant les modèles de publicité basée sur le suivi » initiée il y a près d’un an par la Commission européenne et intitulée « Cookie Pledge » – en français, « Engagement en matière de cookies »).
Ce sont des principes qui devront être appliqués et respectés dans les Vingt-sept par l’écosystème du Net composé des éditeurs de sites web (ou d’applications mobiles) et des annonceurs publicitaires. Ces engagements complèteront les obligations imposées par la directive « ePrivacy » (2) et le règlement général européen sur la protection des données (RGPD), sous peine de sanctions financières infligées par les « Cnil » européennes (3). Ces principes doivent être « peaufinés » en janvier 2024 en vue de présenter une « version finale » lors du Sommet des consommateurs (European Consumer Summit) prévu à Bruxelles le 28 mars prochain (soit après la Journée mondiale des droits des consommateurs, organisée par l’ONU le 15 mars).
« La prochaine étape pour les parties prenantes, précise-t-on à Bruxelles, est de discuter de ces principes et de réfléchir à la possibilité de les adopter volontairement ». Le Comité européen de la protection des données (CEPD), lui, a déjà été consulté et donné son avis le 19 décembre dernier sur la conformité de ces principes (4). Le projet des « principes d’engagement volontaire des entreprises » vise à « simplifier la gestion par les consommateurs des cookies et des choix publicitaires personnalisés ». Ce document de travail de deux pages – intitulé « Draft Pledging Principles » (5) – pose huit principes que devront adopter les acteurs du Net qui sollicitent le consentement des internautes :
La demande de consentement ne contiendra pas d’informations sur les cookies dits essentiels ni de référence à la collecte de données basée sur un intérêt légitime. Comme les cookies essentiels [strictement nécessaires au fonctionnement du site web ou de l’application, sur l’identification sur celui-ci ou celle-ci, ou sur le panier d’achat du consommateur, ndlr] ne nécessitent pas de consentement, le fait de ne pas afficher d’informations à leur sujet dans le cadre de la demande de consentement réduira les informations que les utilisateurs doivent lire et comprendre. En outre, l’intérêt légitime n’étant pas un motif pour le traitement des données basé sur l’article 5 de la directive « e-Privacy », ils ne devraient donc pas être inclus dans la bannière des cookies. La question du traitement ultérieur des données fondé sur l’intérêt légitime devrait être expliquée dans des couches [ou niveau] supplémentaires.
Lorsque le contenu est financé au moins partiellement par la publicité, il sera expliqué à l’avance lorsque les utilisateurs accèdent au site web ou à l’application pour la première fois. A partir du moment où une entreprise génère des revenus, soit en exposant les consommateurs au suivi publicitaire basé sur la collecte et l’utilisation d’informations sur le comportement en ligne des consommateurs via des trackers, soit en vendant à des partenaires le droit de mettre des trackers sur les appareils des consommateurs via leur site web [ou application], les consommateurs doivent être informés du modèle économique en question au moins en même temps que lorsque le consentement aux cookies est requis. Demander aux consommateurs de lire des bannières complexes de cookies et seulement après qu’ils n’aient pas consenti, les exposant à un ultimatum « payer ou quitter », pourrait être considéré comme une manipulation.

Option « publicité moins intrusive »
Chaque modèle économique sera présenté de façon succincte, claire et facile à choisir. Cela inclura des explications claires sur les conséquences de l’acceptation ou du refus des trackers. La plupart des cookies sont utilisés pour mettre en œuvre un modèle économique et cette concomitance devrait donc être facilement décrite, comprise et mise en œuvre dans un panneau conjoint regroupant les accords en vertu du droit des consommateurs et le consentement en vertu de la loi (e-Privacy/ RGPD). Dans ce panneau, les options du modèle économique (c’est-à-dire « accepter de la publicité basée sur le suivi », « accepter d’autres types de publicité » ou « accepter de payer des frais ») seront présentées avec les conséquences en termes de proposition de trackers, et ce en langage simple et simple.

Lutter contre « la fatigue des cookies »
S’il est proposé de faire un suivi de la publicité ou de payer des frais, les consommateurs auront toujours le choix entre une autre forme de publicité moins intrusive. Compte tenu du nombre extrêmement limité de consommateurs qui acceptent de payer pour du contenu en ligne de différentes sortes, et du fait que les consommateurs peuvent naviguer quotidiennement sur des dizaines de sites web différents, le fait de demander aux consommateurs de payer ne semble pas une solution de rechange crédible au suivi de leur comportement en ligne à des fins publicitaires qui exigeraient légalement d’obtenir leur consentement.
Le consentement aux cookies à des fins publicitaires ne devrait pas être nécessaire pour chaque tracker. Pour ceux qui sont intéressés, dans une deuxième couche [ou niveau], plus d’informations sur les types de cookies utilisés à des fins publicitaires devraient être données, avec une possibilité de faire une sélection plus fine. Lorsque les utilisateurs acceptent de recevoir de la publicité, il convient de leur expliquer en même temps comment cela est effectué et en particulier si des cookies, y compris des cookies tiers pertinents, sont placés sur leur appareil. Il ne devrait pas être nécessaire pour eux de vérifier chaque tracker. En effet, cela peut revenir à vérifier un à deux mille partenaires différents, rendant le choix totalement inefficace soit en donnant une illusion de choix, soit en décourageant les gens de lire plus loin, les conduisant à appuyer sur les boutons « accepter tout » ou « refuser tout ». Ce principe devrait être sans préjudice de règles plus strictes dans d’autres législations sectorielles, telles que la DMA [Digital Markets Act].
Pas de consentement séparé nécessaire pour les cookies utilisés pour gérer le modèle publicitaire sélectionné par le consommateur (par exemple, les cookies pour mesurer la performance d’une annonce spécifique ou pour effectuer de la publicité contextuelle) car les consommateurs ont déjà exprimé leur choix à l’un des modèles économiques. L’une des raisons de la fatigue des cookies est que tous les types de cookies sont très souvent décrits de manière longue et plutôt technique, ce qui rend un choix éclairé complexe et lourd et de facto inefficace. Par ailleurs, dès lors que le modèle économique est précisé et accepté par le consommateur, la nécessité pour les entreprises de mesurer la performance de leurs services publicitaires ou de prévenir la fraude peut être considérée comme inextricablement liée au modèle économique de la publicité, auquel le consommateur a consenti. Les autres cookies qui ne sont pas strictement nécessaires à la fourniture du service publicitaire spécifique devraient encore nécessiter un consentement séparé.
Le consommateur ne doit pas être invité à accepter les cookies dans un délai d’un an à compter de la dernière demande. Le cookie pour enregistrer le refus du consommateur est nécessaire pour respecter son choix. Une raison majeure de la fatigue des cookies, particulièrement ressentie par les personnes les plus intéressées par leur vie privée, est que les choix négatifs ne sont pas enregistrés et doivent être répétés chaque fois qu’ils visitent un site web ou même chaque page d’un site web. L’enregistrement de ce choix est indispensable pour une gestion efficace d’un site web et pour le respect des choix des consommateurs. De plus, afin de réduire la lassitude à l’égard des trackers, un délai raisonnable, par exemple un an, devrait être adopté avant de demander de nouveau le consentement des consommateurs.
Les signaux provenant d’applications offrant aux consommateurs la possibilité d’enregistrer à l’avance leurs préférences en matière de cookies avec au moins les mêmes principes que ceux décrits ci-dessus seront acceptés. Les consommateurs devraient avoir leur mot à dire s’ils décident de refuser systématiquement certains types de modèles publicitaires. Ils devraient être habilités à le faire et la législation sur la protection de la vie privée et des données ne devrait pas être utilisée comme argument contre un tel choix, à condition que le choix automatisé ait été fait consciemment.

GAFAM, TikTok et organisations pro
Pour parvenir à ce projet de principes d’« engagement volontaire » des professionnels de l’écosystème « trackers/publicité ciblée » (6), le commissaire européen Didier Reynders a réuni autour de la table les GAFAM (Google/Alphabet, Apple, Facebook/Meta, Amazon, Microsoft), ainsi que TikTok. Des organisations professionnelles ont aussi travaillé au sein de trois groupes de travail : IAB Europe, European Publishers Council (EPC), Bureau européen des unions de consommateurs (Beuc), Federation of European Data & Marketing (Fedma), European Interactive Digital Advertising Alliance (EEDA), German Brand Association (Markenverband). Ils se sont mis à la place des consommateurs confrontés chaque jour aux différentes bannières et autres bandeaux ou panneaux sollicitant constamment leur consentement. @

Charles de Laubier

Blocage de Russia Today et Sputnik en Europe et en France : rappel des fondements, avant débat au fond

Publié le par
RT et Sputnik ne diffusent plus en Europe depuis la décision et le règlement « PESC » du 1er mars. Saisi par RT France d’un recours en annulation de ces actes mais aussi d’un référé pour en suspendre l’exécution, le Tribunal de l’UE a rejeté le 30 mars ce référé. Retour sur ce blocage inédit. Par Anne-Marie Pecoraro*, avocate associée, UGGC Avocats Le 8 mars 2022, soit une semaine après la décision (1) du Conseil de l’Union européenne (UE), RT France avait déposé un recours en annulation de cette décision relevant de la politique étrangère et de sécurité commune (PESC) de l’UE et du règlement afférent (2), auprès du Tribunal de l’UE. La filiale de Russia Today a également déposé une demande en référé pour obtenir le sursis à l’exécution de ces derniers. Cette dernière demande a été refusée le 30 mars par le président du Tribunal, en raison de l’absence de caractère urgent. La procédure au fond est accélérée Selon l’ordonnance de rejet, RT France n’a pas suffisamment démontré l’existence d’un« préjudice grave et irréparable » (3). Le média russe avait fait état d’un préjudice économique et financier, d’une grave atteinte à sa réputation, et plus largement « d’une entrave totale et durable à l’activité d’un service d’information et [le fait] que de tels actes seraient irrémédiables et particulièrement graves au sein de sociétés démocratiques » (4). Quant au recours en annulation des deux actes (non législatifs), il suit son cours. Mais le président du Tribunal a précisé que « compte tenu des circonstances exceptionnelles en cause, le juge du fond a décidé de statuer selon une procédure accélérée » et que « dans l’hypothèse où RT France obtiendrait gain de cause par l’annulation des actes attaqués dans la procédure au fond, le préjudice subi (…) pourra faire l’objet d’une réparation ou une compensation ultérieure » (5). RT France pourra faire appel devant la Cour de justice de l’Union européenne (CJUE) contre l’ordonnance rejetant sa demande en référé. D’après le recours publié le 4 avril au JOUE, les bases légales invoquées par RT France reposent exclusivement sur des articles de la Charte des droits fondamentaux de l’UE. La chaîne estime que les droits de la défense, le respect du contradictoire, la liberté d’expression et d’information, la liberté d’entreprise et le principe de non-discrimination ont été méconnus (6). Compte tenu de ces fondements, les débats porteront certainement sur l’indépendance et le rôle des médias dans une société démocratique. Comment en est-on arrivé là ? Dès le 27 février, la présidente de la Commission européenne, Ursula von der Leyen, a annoncé l’interdiction de diffuser les médias russes Russia Today et Sputnik, en raison de l’invasion de l’Ukraine par la Russie. Elle estime en effet que ces médias – contrôlés par le Kremlin – diffusent des messages de propagande continues ciblant les citoyens européens, et menacent ainsi l’ordre et la sécurité de l’UE. Le 1er mars, le Conseil des ministres de l’UE a par conséquent adopté des mesures inédites, ordonnant de suspendre la diffusion et la distribution par tout moyen et sur tous les canaux des contenus provenant de ces médias. Tous les opérateurs concernés ont immédiatement mis en œuvre le 2 mars 2022 ces mesures qui dérogent de manière inédite aux lois et procédures en la matière, notamment françaises. Quels sont les fondements juridiques européens ? Sur la procédure, la décision PESC du 1er mars 2022 se fonde sur l’article 29 du Traité sur l’UE et l’article 215 du Traité sur le fonctionnement de l’UE. Ces deux articles présentent des moyens légaux pour sanctionner financièrement des personnes physiques ou morales, des groupes ou entités non étatiques, dans le cadre de la PESC. Le Conseil de l’UE peut prendre seul des décisions, de manière unanime. Le Parlement, qui est habituellement le colégislateur, en est seulement informé. Par ailleurs, la CJUE est compétente que de manière très limitée lorsque des actes sont adoptés sur cette base. Elle peut notamment être saisie pour contrôler la légalité des décisions prévoyant des mesures restrictives à l’encontre de personnes physiques ou morales (7). Le Conseil de l’UE a recours habituellement à ces dispositions lorsqu’il souhaite stopper des échanges économiques visant à soutenir des groupes armés (8), imposer des restrictions à l’entrée de l’UE ou encore geler les avoirs dans l’UE de personnes étrangères. Bien que le champ de ces actions soit limité, les textes européens offrent par ce biais un pouvoir unilatéral important aux gouvernements – d’où le caractère inédit, l’ampleur et la rapidité des sanctions à l’égard de ces médias russes. Liberté d’expression et des médias Sur les droits fondamentaux protégés par l’UE, fondements de la décision PESC du 1er mars, l’UE justifie son action sur la base de l’article 11 de la Charte des droits fondamentaux de l’UE, relatif à « la liberté d’expression et d’information » (9). Ce texte ainsi que les décisions qui en découlent, à l’instar de la décision PESC contre RT et Sputnik, doivent être mis en œuvre et respectés par l’ensemble des Etats membres. En pratique, l’article 11 de la Charte renvoie à « la liberté d’opinion et la liberté de recevoir ou de communiquer des informations ou des idées sans qu’il puisse y avoir ingérence d’autorités publiques et sans considération de frontières ». Et l’article 11 d’ajouter : « La liberté des médias et leur pluralisme sont respectés ». Pour autant, l’exercice de ces libertés peut être limité – par des lois – en raison d’objectifs d’intérêt général et s’il est nécessaire de protéger la sécurité nationale, l’intégrité du territoire ou la sûreté publique, entre autres (10). Comme ces limites doivent respecter le principe de proportionnalité, le Conseil de l’UE justifie sa décision PESC par le respect notamment de la liberté d’entreprise, et précise qu’elle ne modifie pas l’obligation de respecter les constitutions des Etats membres. La protection de l’ordre et de la sécurité de l’UE a donc été centrale dans la motivation des Etats membres à adopter ces mesures exceptionnelles. Suspensions et blocages exceptionnels Quelle mise en œuvre par les Etats membres ? L’Arcom (ex-CSA), qui est l’autorité publique française de régulation de la communication audiovisuelle et numérique, s’est immédiatement conformée à ces décisions d’urgence et a résilié le 2 mars sa convention avec RT France – Sputnik, lui, n’étant pas conventionné (11), étant diffusé sur Internet. De la même manière, les fournisseurs d’accès à Internet, les réseaux sociaux et les moteurs de recherche ont immédiatement ou très rapidement bloqué l’accès au site en ligne et aux contenus de ces deux médias. On peut aussi se demander si l’application de cette décision par l’Arcom pourrait faire l’objet d’un recours devant un tribunal administratif français. Le Berec, lui, en tant qu’organisation européenne des régulateurs des télécoms, a par ailleurs précisé par le biais de deux communiqués (12) que ces sanctions sont conformes à la régulation européenne sur l’« Internet ouvert ». La mise en œuvre de ces sanctions européennes est exceptionnelle car elle a été d’application directe et immédiate. En principe, lorsqu’il est question d’interdire la diffusion d’un média étranger sur le territoire français, la loi impose de respecter un certain nombre de conditions. Pour ce qui est de l’interdiction de diffusion et de distribution de RT et de Sputnik en Europe, comme en France, aucune des dispositions légales courantes en la matière n’a été appliquée. Cette décision PESC déroge par conséquent aux modes habituels d’interdiction de diffusion d’un média et de contenus illicites en ligne, et également en matière de blocage de sites Internet. En effet, selon la loi française de 1986 relative à la liberté de communication, la diffusion d’un média en France est en principe libre. Elle est dans certains cas soumise à l’autorisation préalable et à la conclusion d’une convention avec l’Arcom (13). Selon cette même loi et le droit européen (14), un média extra européen peut être rattaché à la compétence d’un Etat membre s’il est transmis principalement par un mode correspondant aux conditions de diffusion satellitaire (notamment par Eutelsat) décrites par les textes, et peut donc être soumis à des droits et obligations en France. Cependant, des raisons impérieuses doivent justifier une limite à l’exercice de cette liberté, notamment la sauvegarde l’ordre public ou la défense nationale (15). En cas de manquement, l’Arcom peut s’adresser – via un courrier de mise en garde – aux opérateurs de réseaux satellitaires et aux services de médias audiovisuels, afin de faire cesser ce manquement. La procédure peut aller ensuite de la mise en demeure de cesser la diffusion du médias audiovisuel (service de télévision notamment) à la saisine du Conseil d’Etat afin qu’il ordonne en référé la cessation de la diffusion de ce média par un opérateur (16). Depuis la loi de 2018 contre la manipulation de l’information, les pouvoirs de l’Arcom ont été étendus et elle peut prononcer la suspension provisoire de la diffusion d’un média et (17), dans certains cas, peut, après mise en demeure, prononcer la sanction de résiliation unilatérale de la convention avec un média extra européen, dès lors qu’il porte atteinte aux intérêts fondamentaux de la nation, notamment par la diffusion de fake news (18). Concernant le blocage des sites Internet en France, en l’occurrence ceux de RT France et de Sputnik, le code pénal et différentes lois, telles que la loi de 2004 pour la confiance dans l’économie numérique (LCEN), prévoient le retrait de contenus illicites, le blocage des sites et leur déférencement (19). Cette loi autorise par exemple l’autorité judiciaire à prescrire toutes mesures propres à prévenir ou à faire cesser un dommage causé par le contenu d’un site web ou un média en ligne (20). Dans des cas plus spécifiques, notamment la provocation à des actes terroristes et l’apologie publique de ces actes, ainsi que la pédopornographie, l’autorité administrative peut demander aux sites web ou autres intermédiaires en ligne de retirer les contenus en question. Concernant le blocage, il est mis en œuvre par les opérateurs télécoms sur la base d’une décision judiciaire ou administrative. Concernant le déréférencement, à savoir demander à un moteur de recherche de supprimer certains résultats de recherche associés à un mot, l’autorité administrative peut également notifier les adresses électroniques des sites en question afin de faire cesser le référencement (21). Faire face au reproche de censure ? La France, en donnant son accord à la décision et au règlement PESC, a certainement considéré l’évidence de son application directe et immédiate, par opposition à la législation française inopérante dans un tel cas d’immédiateté. Le secrétaire d’Etat chargé du numérique, Cédric O, a d’ailleurs énoncé le souhait de revoir les règles de régulation – « y compris en ce qui concerne les médias » – dans les situations de conflits (22). Plusieurs voix au sein de l’UE disent aussi vouloir travailler à un nouveau régime horizontal afin de lutter contre la désinformation, conscientes des difficultés en matière de transparence et de concertation que soulève une telle décision. @

* Anne-Marie Pecoraro est avocate spécialisée en droit de la propriété intellectuelle, des marques, des nouvelles technologies

Les cookies non-sollicités ont la vie dure, mais les sanctions pécuniaires commencent à tomber

Publié le par

En France, les éditeurs de sites web – au premier rang desquels une quarantaine mis en demeure en juillet par la Cnil, après une vingtaine en mai – sont censés s’être mis en conformité depuis le 6 septembre. La Grande-Bretagne, elle, tente de réhabiliter les cookies.

Permettre aux internautes et aux mobinautes de refuser les cookies aussi simplement que de les accepter. Telle est la philosophie des « Cnil » européennes, conformément à la directive sur la protection des données électroniques (ePrivacy) et le règlement général sur la protection des données (RGPD). En France, après une soixantaine de mises en demeures sur les cookies par la Commission nationale de l’informatique et des libertés (Cnil), présidée par Marie-Laure Denis (photo), les sociétés et organisations contrevenantes à la nouvelle réglementation sur les cookies avaient jusqu’au 6 septembre pour s’y conformer.

Le site web Lefigaro.fr sanctionné
Par exemple, le 27 juillet dernier, le groupe Le Figaro a été sanctionné et mis à l’amende par la Cnil – à hauteur de 50.000 euros – « en raison du dépôt de cookies publicitaires à partir du site lefigaro.fr sans recueil du consentement préalable des internautes ». Ces petits fichiers, mouchards ou témoins des « faits et gestes » des internautes enregistrés lors de leurs navigations personnelles, étaient automatiquement logés dans l’ordinateur du visiteur du site web du quotidien Le Figaro par des partenaires de la société éditrice, mais sans action de la part de cet utilisateur ou malgré son refus. Une plainte d’une utilisatrice du Figaro.fr avait été déposée le 16 août 2018 auprès de la Cnil, la plaignante faisant notamment état de l’installation de cookies sur son terminal avant toute action de sa part sur le site web du quotidien et sans recueil de son consentement. L’éditeur du Figaro a tenté de faire valoir le fait que « l’ensemble des cookies identifiés dans le rapport [de la Cnil] comme étant des cookies “internes”, c’est-à-dire déposés par les domaines du site qu’elle édite [lefigaro.fr, player-video.lefigaro.fr], sont en réalité déposés par des tiers au moyen d’un code Javascript exécuté par la page du site web de l’éditeur visitée par l’internaute ». Le Figaro a indiqué que, dans ce cas, « [elle] n’est pas au courant de l’existence de ce cookie et n’a pas le moyen d’en contrôler le dépôt ou la lecture ». La Cnil ne l’a pas entendu de cette oreille : « Plusieurs de ces cookies poursuivaient un objectif publicitaire et auraient dû être soumis au consentement de l’utilisateur », a estimé la Cnil qui a décidé de mettre à l’amende la filiale média du groupe Dassault et de rendre publique cette décision (1) – en plus d’être publiée au Journal Officiel (2). Ce non-respect des règles sur les cookies par Lefigaro.fr remontait avant l’entrée en application du RGPD européen et s’est poursuivi malgré les nouvelles lignes directrices et la recommandation de la Cnil datant du 1er octobre 2020 – faisant suite aux directives « cookies » (3) prises par cette dernière à l’été 2019 et abrogeant la recommandation de 2013.
La Cnil a estimé que le cas du Figaro, mais aussi dans de nombreuses autres affaires, que le fait que les cookies proviennent de partenaires n’affranchit pas l’éditeur de sa propre responsabilité dans la mesure où il a la maîtrise de son site web et de ses serveurs informatiques. « Cette décision s’inscrit dans le prolongement de la décision du Conseil d’Etat dite “Editions Croque Futur” du 6 juin 2018 (4), qui précisait déjà la répartition des responsabilités entre les éditeurs de site [web] et leurs partenaires », a justifié le gendarme des données personnelles et de la vie privée. Le Conseil d’Etat a en particulier jugé que « les éditeurs de site qui autorisent le dépôt et l’utilisation de tels cookies par des tiers à l’occasion de la visite de leur site doivent également être considérés comme responsables de traitement ». Entre 2020 et 2021, l’autorité administrative indépendante dit avoir signifié à ce jour environ 70 mesures correctrices – mises en demeure et sanctions – en lien avec le non-respect de la législation sur les cookies. Et que dans 60 % des cas, il s’agit de sociétés ou d’organismes « étrangers », à savoir que la société mère est établie en dehors de la France.

Amazon et Google condamnés en France
C’est ainsi que la Cnil a prononcé le 7 décembre 2020 deux sanctions sans précédente en Europe à l’encontre d’Amazon (5) et de Google (6), pour des montants respectifs de 35 et 100 millions d’euros. Le gendarme français de la protection des données personnelles a reproché aux deux géants du Net d’avoir déposé des cookies publicitaires sur les ordinateurs d’utilisateurs des sites web google.fr et de amazon.fr sans consentement préalable de ces utilisateurs ni information suffisamment claire. Comme Le Figaro et les autres récalcitrants (grandes plateformes numériques, fabricants de matériel informatique et de logiciels, sociétés de e-commerce, acteurs du tourisme en ligne, sociétés de location de véhicules, établissements bancaires, collectivités locales, fournisseur d’énergie, et même des services publics en ligne), ils ont été condamnés à une amende pour avoir violé l’article 82 de la loi « Informatique et libertés ».

La Grande-Bretagne veut des cookies !
Celui-ci impose au responsable de traitement des données, d’une part, une information claire et complète de la finalité de toute action tendant à accéder à des informations déjà stockées dans l’ordinateur de l’utilisateur et des moyens dont il dispose pour s’y opposer, et, d’autre part, un recueil préalable du consentement de l’utilisateur. Potentiellement, les amendes peuvent atteindre jusqu’à 2 % du chiffre d’affaires de l’entité condamnée pour non-conformité. La Cnil a déjà prévenu : les contrôles s’inscrivent dans la durée avec d’autres campagnes de vérifications et de mesures correctrices qui seront ainsi menées à partir de cette rentrée 2021-2022, « afin d’assurer le respect de la vie privée des internautes français ».
Au 14 septembre, sur la quarantaine d’éditeurs de sites web mis en demeure cet été, « 80 % des acteurs concernés se sont mis en conformité » – pas les 20 % restants… Et le gendarme des données personnelles, qui assume sa politique répressive, de prévenir les mauvais joueurs présents et futurs : « De nouvelles campagnes de contrôle sont en cours de préparation. Comme les précédentes, elles continueront à cibler des acteurs privés nationaux et internationaux, mais également des organismes publics dont les sites web génèrent un trafic important. Par ailleurs, une attention particulière sera portée aux sites des partis politiques en raison des élections présidentielles qui se dérouleront en 2022. Les vérifications continueront à porter sur la possibilité de refuser les cookies aussi simplement que de les accepter, mais également sur le respect effectif de ce choix » (7). Les cookies déposés sans consentement ou refus préalables sur les disques durs des ordinateurs ont donc la vie dure, tout comme ceux mis dans les mémoires de stockage des smartphones ou des tablettes.
Mais à force de vouloir protéger la vie privée des internautes, les bannières surgissantes sont devenues presque systématiques et gênent la fluidité de navigation sur le Web. Et des voix commencent à s’en plaindre. Fin août, dans une interview parue le 26 dans The Telegraph, le secrétaire d’Etat britannique au Numérique, à la Culture, aux Médias et au Sport, Oliver Dowden, il a prévenu qu’il a l’intention de supprimer les fenêtres surgissantes sans arrêt sur les écrans des visiteurs de sites web pour leur demander d’accepter ou de refuser le dépôt de cookies et, ce faisant, la permission stocker des renseignements personnels au sujet de chacun d’eux. Bien que le ministre britannique membre des conservateurs convienne que les cookies présentant « un risque élevé pour la vie privée des personnes » devront toujours recevoir un avis de consentement, il a affirmé que bon nombre de ces bannières intempestives sont « inutiles » et « devraient être supprimées ». Depuis que le Brexit est entré en vigueur le 1er janvier 2021, la Grande-Bretagne veut s’affranchir du RGPD et prépare sa propre réglementation sur la protection des données. Et l’assouplissement de l’autorisation demandée en ligne aux internautes concernant les cookies serait envisagé. Mais Oliver Dowden se veut prudent sur les intentions du gouvernement britannique dans ce domaine sensible, assurant que « nous pouvons toujours veiller à ce que des normes élevées de protection de la vie privée soient protégées » (8). Il s’agit aussi de ne pas heurter l’Union européenne, avec laquelle le Royaume-Uni a signé pour quatre ans des « accords d’adéquation sur les données » commerciales et policières. Si Bruxelles était amené à dire que Londres va trop loin dans sa réforme sur les données personnelles, une rupture de ces accords pourrait compliquer la vie des entreprises britanniques vis-à-vis de l’Europe.
Le ministre britannique se veut confiant pour la réforme à venir, prenant l’exemple de deux autres pays indépendants que sont le Japon et la Nouvelle-Zélande, dont les données sont considérées comme « adéquates » par l’Union européenne.

Noyb (Max Schrems) épingle
L’organisation autrichienne non gouvernementale Noyb (9) multiplie, elle, des actions en Europe en déposant des centaines de plaintes devant la justice de plusieurs pays européens contre des sites web contrevenant aux règles du RGPD sur le dépôt ou pas des cookies via une bannière simplifiée et sans ambiguïté. C’est oui ou bien c’est non.
Le 10 août dernier, Noyb a officiellement déposé 422 plaintes sur les 10.000 sites web mis sous surveillance. « Certains acteurs majeurs comme Seat, Mastercard ou Nikon ont instantanément changé leurs pratiques, s’est félicité Max Schrems, président de la Noyb (10). Cependant, de nombreux autres sites web n’ont cessé que les pratiques les plus problématiques. Par exemple, ils ont peut-être ajouté une option de “rejet”, mais celle-ci reste difficile à lire ». @

Charles de Laubier

Le marché de la pub en ligne, dominé par Google et Facebook, brille par sa complexité et son opacité

Publié le par

Au-delà de la condamnation pécuniaire infligée le 7 juin à Google, à hauteur de 220 millions d’euros, c’est l’opacité et la complexité de la publicité programmatique qui ont été mises en exergue dans la décision de l’Autorité de la concurrence. C’est la première fois au monde qu’un régulateur défriche.

« La décision sanctionnant Google a une signification toute particulière car il s’agit de la première décision au monde se penchant sur les processus algorithmiques complexes d’enchères par lesquels fonctionne la publicité en ligne “display”. L’instruction (…) a permis de révéler des processus par lesquels Google, prenant appui sur sa position dominante considérable sur les serveurs publicitaires pour sites et applications, se favorisait par rapport à ses concurrents tant sur les serveurs publicitaires que les plateformes SSP (1)», a résumé Isabelle de Silva (photo), présidente de l’Autorité de la concurrence, le 7 juin dernier, jour de la condamnation de Google à 220 millions d’euros d’amende pour abus de position dominante en France dans la publicité en ligne (2).

Mise aux enchères des « impressions »
La filiale Internet du groupe américain Alphabet, Google, a abusé de sa position dominante sur le marché de la publicité en ligne, notamment en ayant favorisé sa propre plateforme de mise en vente programmatique d’espaces publicitaires – Doubleclick AdExchange (AdX) – au détriment des autres concurrents du programmatique (Xandr, Rubicon, AdForm, …). Un espace publicitaire vendu de manière programmatique sur un média en ligne génère pour un éditeur un revenu inférieur de 30 % à 60 % par rapport à une vente directe, cette dernière relevant d’un accord conclu entre l’éditeur et l’annonceur, voire son agence (3). Car vente programmatique et vente directe coexistent et sont les deux moyens de commercialiser des espaces publicitaires en ligne.
Les plateformes de mise en vente programmatique d’espaces publicitaires sont appelées SSP (Supply Side Platform), littéralement « plateforme du côté de l’offre ». Elles sont des places de marché où se rencontrent les acheteurs d’espaces publicitaires et les éditeurs souhaitant vendre des espaces publicitaires, ou plus concrètement des « impres-sions » publicitaires lorsque la publicité s’affiche effectivement à l’écran de l’internaute ou du mobinaute. Par exemple, une page web – intégrant un espace publicitaire – consultée par tel nombre d’internautes génère ainsi autant d’impressions. Pour une impression donnée, la SSP sollicite automatiquement une offre de prix de la part des annonceurs publicitaires, ce qui conduit ensuite à une mise aux enchères entre les différents prix proposés par ces derniers, puis transmettent enfin l’enchère gagnante au serveur publicitaire. Généralement, afin d’optimiser leurs revenus et maximiser leurs chances de vendre un espace publicitaire donné, les éditeurs mettent en vente un même espace publicitaire via plusieurs plateformes de vente aux enchères simultanément. Mais les éditeurs ont tendance à utiliser un serveur publicitaire unique pour organiser la compétition entre les différentes plateformes de mise en vente.
Les éditeurs s’appuient de plus en plus sur de la publicité programmatique car la publicité directe, que cela soit le display (l’affichage classique de bannières publicitaire), le native advertising ou le brand content, qui sont des articles ou des contenus sponsorisés par des annonceurs leur demandent plus de ressources pour créer ces contenus et assurer leur diffusion. Mais Les ventes directes sont le plus souvent réalisées à un prix plus élevé que les ventes programmatiques. Une vente programmatique consiste, selon un processus automatisé, à mettre en relation l’éditeur ayant un espace publicitaire à vendre et les annonceurs désireux de s’afficher. La décision d’acheter ou pas une impression est prise en « temps réel », selon plusieurs critères (la page web, le profil de l’internaute, …), et cette mise en relation peut fait intervenir plusieurs intermédiaires en moins d’une seconde en général.
Jusqu’alors, la vente directe pesait entre 30 % et 75 % des recettes publicitaires des éditeurs. Cependant, le programmatique prend de l’ampleur. Les SSP donnent le choix aux éditeurs de trois modes principaux de transaction, à savoir : les enchères ouvertes, les enchères privées, et les accords préférés. Dans les enchères ouvertes, les transactions sont fondées sur des enchères et concernent l’inventaire disponible pour tous les acheteurs. Dans les enchères privées, les transactions sont fondées sur des enchères et concernent un ou plusieurs acheteurs spécifiques qui ont été ajoutés à une « liste blanche » par une entreprise, à savoir les médias qu’elle privilégie – la « liste noire » étant les supports qu’elles veut éviter…

Frais prélevés par les SSP : 5 % à 25 %
Enfin, dans les accords préférés, les transactions sont négociées par les éditeurs avec un ou plusieurs acheteurs spécifiques, et préalablement à la mise aux enchères, tout en étant fondées sur un prix fixe. « Une même impression peut être proposée par plusieurs modes de transaction. En principe, les modes de transaction basés sur un prix fixe sont alors prioritaires par rapport aux enchères, et parmi ces dernières, les enchères privées sont prioritaires par rapport aux enchères ouvertes », relève l’Autorité de la concurrence. Quel que soit le mode de transaction utilisé, le modèle économique des SSP repose généralement sur le prélèvement de frais selon un pourcentage du montant de la transaction réalisée : ce taux est déterminé dans le cadre d’une négociation commerciale entre l’éditeur et le fournisseur de la plateforme, le plus souvent compris entre 5 % et 25 % du montant de la transaction, au lieu d’une fourchette de 25 % à 50 % pour les réseaux publicitaires. « Les SSP peuvent par ailleurs être offertes aux éditeurs comme des produits autonomes, mais également offertes de manière groupée avec des serveurs publicitaires, par des sociétés verticalement intégrées telles que Google, Xandr ou Smart AdServer », précise l’Autorité de la concurrence.

Basculement du direct au programmatique
En outre, depuis l’année 2015, un nouveau mode de transaction a fait son apparition : le « programmatique garanti ». Il s’agit d’une alternative à la vente directe, qui consiste à opérer des transactions reposant sur le programmatique garanti et concernant des inventaires avec engagement préalable qui a été négocié avec un seul acheteur sur la base d’un prix fixe – dans le cadre d’un accord entre l’annonceur et l’éditeur sur l’achat d’une quantité déterminée d’inventaires. La publicité « automatique » prend le pas sur la publicité « manuelle », accélérant ainsi un basculement des ventes, du direct vers le programmatique. Si les SSP sont des places de marché où se rencontrent les acheteurs d’espaces publicitaires et les éditeurs désireux de vendre leurs espaces publicitaires, les DSP (Demand Side Platform) – littéralement « plateforme du côté de la demande » – sont, elles, des plateformes d’achat d’espaces publicitaires. Les annonceurs ou leurs agences publicitaires peuvent en effet disposer de leur propre DSP d’intermédiation publicitaire, qui leur permet de non seulement participer à des enchères programmatiques organisées par des SSP (l’offre), mais aussi d’acheter des espaces auprès de réseaux publicitaires (agrégateurs d’espaces disponibles sur les sites web ou applications mobiles de plusieurs éditeurs médias, vendus à un prix fixe (4)), voire auprès d’inventaires publicitaires tels que ceux de Facebook, Twitter ou YouTube – ce que l’Autorité de la concurrence appelle des « écosystèmes fermés ».
Les DSP (la demande) peut optimiser leur participation aux enchères à l’aide d’algorithmes proposées par les SSP, « mais totalement opaques pour l’annonceur », à moins que ce dernier n’opte pour un contrôle du montant des enchères ou ne fournisse lui-même son algorithme. Les frais prélevés par les DSP se situent entre 5 % et 42 %, avec une moyenne d’environ 14% (5). Ces plateformes « du côté de la demande » offrent différents ciblages aux annonceurs (catégorie d’utilisateurs sociodémographiques, centres d’intérêts, similitudes de groupe, …). Dans cet imbroglio technologique, la publicité sur Internet – dominée par Google et Facebook – reste un marché complexe et opaque. Les engagements (6) de la filiale d’Alphabet sont un premier pas vers un peu de transparence. @

Charles de Laubier

Solocal (ex-PagesJaunes), désormais 100 % digital, résiste à la crise grâce aux abonnements

Publié le par

Pierre Danon, président du conseil d’administration de Solocal depuis quatre ans, a présenté sa démission qui prendra effet le 30 juin. Son départ intervient près de huit mois après celui d’Eric Boustouller, alors directeur général. L’ex-PagesJaunes devenu 100 % digital est moitié moins endetté.

« Il est temps pour moi de me consacrer à d’autres projets », a déclaré Pierre Danon le 2 juin dernier, lors de l’annonce de sa démission qui sera effective à la fin du mois. « Solocal a beaucoup évolué depuis quatre ans et est ainsi devenue une société 100 % digitale », s’est félicité le président du conseil de surveillance depuis septembre 2017 et également directeur général (soit PDG) depuis le départ d’Eric Boustouller début octobre 2020. A coup de suppression d’emplois, d’économies et de restructuration financière, le groupe Solocal a réduit de plus de moitié son endettement, à 195 millions d’euros (1).

L’année 2020 a été « difficile »
C’est donc une nouvelle ère – post-covid ? – qui s’ouvre pour l’ex-PagesJaunes (2), malmenée par la crise sanitaire et ses confinements. L’année 2020 aura été « difficile », selon le propre aveu de Pierre Danon dans un entretien paru dans le document d’enregistrement universel (rapport annuel 2020) publié par l’Autorité des marchés financiers (AMF) le 30 avril dernier. Le chiffre d’affaires du dernier exercice annuel a chuté de 13,7 % sur un an, à 437,4 millions d’euros, mais le résultat net a, lui, été multiplié par deux, à 65,6 millions d’euros. « Le chiffre d’affaires consolidé du groupe est ainsi 100 % digital en 2020, contre 48 % il y a 10 ans », souligne Solocal. Mais l’année 2021 ne démarre pas sur les chapeaux de roues car le chiffre d’affaires sur le premier trimestre est en baisse de 10 %. La plateforme PagesJaunes, qui constitue « le vaisseau amiral de l’entreprise » (dixit Pierre Danon), a vu son audience baisser l’an dernier (- 7,5 %) ainsi que sur le premier trimestre de cette année (- 3,9 %).
Selon Médiamétrie, l’audience de PagesJaunes a régressé à 19,3 millions visiteurs unique par mois, reléguant la plateforme à la vingt-septième place du classement de l’« Internet global » : trafic provenant de smartphones à 65,5 %, d’ordinateurs pour 38,4 % et de tablettes pour 12,3 %. Il y a trois ans, l’annuaire-média en ligne affichait au compteur presque la trentaine de millions de visiteurs. Avec sa stratégie « mobile first » (3), Solocal a perdu depuis de l’audience en route et le covid-19 n’a pas arrangé les choses. « Le trafic PagesJaunes est (…) impacté par la crise sanitaire ainsi que par les mesures de confinement et de couvre-feu », explique la direction de Solocal, tout en rappelant qu’« en raison de la vente de Mappy [en octobre 2020, voir plus loin, ndlr], une part de cette audience n’apparaîtra plus dans les résultats 2021 ». Il n’y a pas que sa fréquentation qui est en décrue ; la valorisation boursière de l’ex-PagesJaunes – coté à la Bourse de Paris depuis 2004 – ne dépasse pas les 249 millions d’euros (au 17 juin). C’est bien en-deçà des 344 millions d’euros de capitalisation en décembre 2020, des 733 millions d’euros en février 2018, des 475 millions d’euros en juin 2014, des 660 millions en janvier 2013 et à des années lumières des 2,3 milliards d’euros en février 2010. Le tandem Danon-Boustouller n’a pas tenu son objectif affiché en juin 2019 du « milliard d’euros » de valorisation boursière. Aujourd’hui, avec « une stratégie recentrée sur son cœur de métier » qu’est le digital et « l’arrêt total de l’activité “imprimés” » en 2020, le périmètre du groupe s’est réduit après les cessions l’an dernier de la plateforme de cartographie et de mobilité multimodal Mappy (vendue en octobre à la RATP (4)) et de sa filiale espagnole QDQ Media (vendue en février de la même année à AS Equity Partners). Le groupe aux pages jaunes, que dirige Hervé Milcent (ex- Arvato du groupe Bertelsmann) depuis avril dernier, et en attendant un nouveau président du conseil d’administration, vise pour cette année une « hausse modérée du parc clients portée par une réduction du churn et dans une moindre mesure par l’augmentation de l’acquisition clients », par rapport aux 314.000 clients au 31 mars dernier (5) et au taux de churn actuel de 16,7 % (au lieu de 20 % auparavant). Quant au revenu moyen par annonceur (ARPA (6)), un « annonceur » étant une entreprise clientes des prestations Internet et mobile de Solocal, il est « quasiment stable », à 1.320 euros sur une année.

88 % des ventes, par abonnement
Les services digitaux proposés au niveau local le sont actuellement à 88 % par abonnement (en hausse) et accessibles en mode SaaS (7), une sorte de cloud du marketing digital de proximité à l’attention des TPE et PME mais aussi des « grands comptes à réseaux » (création de sites web, référencement en ligne, interactions avec la clientèle, click & collect, etc). Les entreprises locales profitent des audiences naturelles (SEO (8)) des principaux « carrefours d’audience du Web » : au-delà de PagesJaunes et de Mappy : Google, Facebook, Bing/Microsoft, Apple, Yahoo, … Des campagnes de référencement payant (SEA (9)) sont incluses dans l’offre. @

Charles de Laubier