« De la loi du 6 janvier 1978 à la Délibération CNIL du 4 juillet 2019 »
La publicité digitale est une source de revenus pour un très grand nombre de sites web, dont la gratuité d’accès est ainsi assurée, mais ne va pas sans poser de nombreuses questions, certaines très complexes, quant à sa conformité aux réglementations applicables, au premier rang desquelles le RGPD et l’eprivacy.
Premièrement, il faut comprendre qu’un site web gratuit qui propose des campagnes de publicité ciblées se finance ainsi en valorisant ses espaces publicitaires auprès d’annonceurs, lesquels trouvent ainsi des vecteurs pour toucher leur clientèle, active ou potentielle, sur internet. Ce fait n’est pas anodin puisqu’un site web ou une application mobile ne peut afficher de telles campagnes qu’à partir de la collecte automatisée de données relatives aux internautes ou mobinautes cibles. Or, la collecte de ces données est analysée aujourd’hui comme (i) une collecte de données de communications électroniques (informations issues du terminal de l’utilisateur) et (ii) une collecte de données personnelles.
Les premières décisions de la CNIL en 2019, et parmi les plus médiatisées, ont d’ailleurs concerné des entreprises évoluant dans le secteur de la publicité digitale (Teemo, Fidzup, Singlespot, Vectaury ou bien entendu Google).
Les marchés de la publicité en ligne sont en effet gourmands en données à caractère personnel, mais présentent une complexité qui rend délicate l’implémentation du RGPD et de certains de ses principes. A cet égard, la CNIL a publié le 4 juillet 2019 une délibération n° 2019-093 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs), sur lesquels cet article propose de revenir après un rappel de ce qui y a mené.
On entend ici la notion de données personnelles dans une acception large, mais c’est très précisément celle qu’il faut retenir du RGPD. Ces données ne permettent certes pas d’identifier de manière directe un individu, mais comprennent de très nombreuses informations techniques sur son terminal (type de terminal, données de session, langue utilisée, identifiants techniques comme l’adresse IP ou l’adresse MAC, identifiant publicitaire unique type IDFA ou AAID, fingerprint), et de très nombreuses informations sur le comportement de son utilisateur (géolocalisation, navigation, publicités cliquées, contenus consultés, temps de consultation, « points of interest », etc.).
Il en résulte souvent un véritable « profilage » (ciblage publicitaire), dont est friand un très grand nombre d’acteurs économiques, dont les incontournables Facebook, Google ou Amazon, mais également un très grand nombre d’autres acteurs nationaux et internationaux, présentés infra.
1. Quels textes de loi ?
La loi Informatique & Libertés
Rappelons d’abord que le sujet est loin d’être nouveau, et que la collecte des données par implantation de cookies (ou autres traceurs) est envisagée de longue date par la législation applicable aux données personnelles.
Initialement, l’article 32-II de la loi du 6 janvier 1978 dite Informatique & Libertés disposait que « tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète (…) : (i) de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, où à inscrire des informations dans cet équipement ; (ii) des moyens dont il dispose pour s’y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur : soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. »[1]
La Directive eprivacy
Dans la foulée, l’article 5, 3° de la Directive 2002/58/CE du 12 juillet 2002 modifiée par la Directive 2009/136/CE du 25 novembre 2009 dispose que « Les États membres garantissent que le stockage d’informations, ou l’obtention de l’accès à ces informations déjà stockées dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement. ».
Cette directive ne vise pas à proprement parler les données à caractère personnel, mais la protection de la vie privée par les opérateurs de communications électroniques, et plus précisément, la protection des données de communications électroniques que tout un chacun laisse derrière lui dès lors qu’il passe un appel, envoie un SMS, ou plus généralement utilise un service de que l’on appelait un « service de la société de l’information ».
Cette exigence de consentement préalable est prévue en particulier en cas de collecte de données de géolocalisation, à l’article 9 de la Directive, mais à l’époque, les rédacteurs de la Directive n’ont pas caractérisé la forme que ledit consentement devait prendre : le considérant n°17 indique que « le consentement peut être donné selon toute modalité appropriée permettant à l’utilisateur d’indiquer ses souhaits librement, de manière spécifique et informée, y compris en cochant une case lorsqu’il visite un site Internet ».
L’article 9 quant à lui préfigurait déjà la notion de consentement « éclairé » du RGPD, puisqu’il indique que « Le fournisseur du service doit informer les utilisateurs ou les abonnés, avant d’obtenir leur consentement, du type de données de localisation autres que les données relatives au trafic qui sera traité, des objectifs et de la durée de ce traitement, et du fait que les données seront ou non transmises à un tiers en vue de la fourniture du service à valeur ajoutée ».
Pour le reste, la Directive renvoie à la définition du consentement telle qu’elle existait dans la Directive de 1995 relative à la protection des données personnelles (« toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l’objet d’un traitement »), qu’on peut estimer remplacée désormais par l’article 7 du RGPD.
Par conséquent et jusqu’aux précisions du G29 sur la notion de consentement sous l’empire du RGPD, c’est sur la forme de ce consentement qu’ont porté les interrogations. Le « soft optin » s’est alors abondamment développé, en procédant par déduction à partir d’une action plus ou moins univoque de l’utilisateur.
La délibération de la CNIL de 2013
Pendant plusieurs années, ce sont ces articles ci-dessus qui ont régi la publicité sur internet, et qui ont présidé à la rédaction de la délibération CNIL n°2013-378 du 5 décembre 2013 qui distinguait notamment entre traceurs intrusifs (géolocalisation, suivi comportemental, analytics, boutons des réseaux sociaux…) et non intrusifs (cookies de session, détection de langue, mesure d’audience anonyme…), et avait posé l’exigence d’un bandeau à la première connexion sur un site web pour recueillir le consentement à l’implantation des cookies, l’exigence d’une politique de confidentialité précise, et qui a limité à 13 mois maximum la conservation des informations recueillies via lesdits cookies.
Cette délibération rappelait expressément que l’utilisation de cookies doit être subordonnée au consentement préalable de l’internaute personne physique, pour les cookies liés aux opérations relatives à la publicité ciblée (donc tout cookies traçant notamment le surf web de l’internaute, ou recueillant sa géolocalisation).
A son époque, cette délibération a conduit au déploiement des bandeaux d’information préalable, qui devaient porter l’information liée aux cookies non intrusifs, et permettre de recueillir le consentement pour les cookies intrusifs (cf. infra). Mais ces bandeaux, la plupart du temps, expliquaient de manière très sibylline les utilisations qui sont faites des données, et imposaient un consentement en bloc à déduire de la poursuite de navigation… ou proposaient à l’utilisateur d’aller paramétrer son navigateur pour refuser l’implantation des cookies s’il décidait de s’y opposer – chose qu’aucun internaute n’allait faire, compte tenu de la complexité des manipulations à effectuer, parfaitement incompatibles avec l’immédiateté attendue d’une navigation web.
Le programme d’évaluation REFIT avait logiquement conclu à l’inefficacité de ce dispositif.
Le RGPD
L’avènement du RGPD, contrairement à ce qui fut dit par un certain nombre d’acteurs du métier, n’a pas fondamentalement modifié ces règles. Mais il en a indéniablement renforcé les exigences, et modifié le contexte, sans pour autant modifier les concepts sur lesquels le texte s’appuie.
A cet égard, le considérant n° 30 du RGPD dispose que : « Les personnes physiques peuvent se voir associer, par les appareils, applications, outils et protocoles qu’elles utilisent, des identifiants en ligne tels que des adresses IP et des témoins de connexion (« cookies ») ou d’autres identifiants, par exemple des étiquettes d’identification par radiofréquence. Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes ».
Les cookies ne sont du reste qu’une technique parmi d’autres pour collecter des données auprès des utilisateurs, dont les « software development kit » (SDK), principalement utilisés via les applications mobiles pour collecter les données des mobinautes. L’important est qu’il s’agit de techniques qui permettent de collecter des données liées aux utilisateurs (adresse IP, adresse MAC, UserID, identifiant publicitaire unique type IDFA ou AAID, données comportementales, géolocalisation, etc.).
Le RGPD a également entériné la très importante notion de « profilage », qu’il définit comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique. »
L’évaluation d’informations relatives aux préférences personnelles, au comportement ou à la localisation des personnes entre indéniablement dans le fonctionnement de la publicité ciblée, de même que la notion de « prise de décision automatisée » à laquelle le profilage est souvent lié dans le RGPD, puisque c’est en fonction du ciblage publicitaire que les logiciels choisissent automatiquement quels messages publicitaires sont diffusés à l’internaute.
Il ne fait aucun doute que ce profilage repose sur la collecte de données à caractère personnel : l’article 4 du RGPD rappelle à cet égard que constitue une donnée à caractère personnel « toute information se rapportant à une personne physique identifiée ou identifiable (ci-après dénommée «personne concernée ») ; est réputée être une « personne physique identifiable » une personne physique qui peut être identifiée, directement ou indirectement, notamment par référence à un identifiant, tel qu’un nom, un numéro d’identification, des données de localisation, un identifiant en ligne, ou à un ou plusieurs éléments spécifiques propres à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale ».
La CNIL, quant à elle, rappelle que « Les informations collectées via des « cookies, traceurs ou toute autre identifiant généré par un logiciel ou un système d’exploitation », ainsi encore que « le résultat du calcul d’empreinte dans le cas du fingerprinting » (calcul d’un identifiant unique de la machine basée sur des éléments de sa configuration à des fins de traçage » constituent des données personnelles, dès lors qu’elles identifient un utilisateur unique. »
A côté du RGPD demeure la règlementation de protection de la vie privée au travers des communications électroniques susmentionnée, actuellement condensée dans la Directive européenne n°2002/58/CE du 12 juillet 2002 complétée par la Directive 2009/136/CE du 25 novembre 2009. Cette règlementation rappelle que les données de communications électroniques (entendues comme toute information se rapportant (i) au contenu d’une communication électronique (texte, voix, vidéo, image, son), c’est-à-dire relevant de la correspondance privée et/ou de l’utilisation d’un service de communication électronique, d’une part, et (ii) aux métadonnées c’est-à-dire données techniques nécessaires à l’acheminement du contenu, ou liées au terminal utilisé par la personne (données techniques identifiant le terminal ou stockées au sein du terminal aux fins d’exécution du service de communication électronique), sont assimilables à des données personnelles.
Il ne fait désormais aucun doute que les données collectées sur les terminaux des utilisateurs, qu’ils soient mobiles ou fixes, aux fins de permettre le profilage de leur comportement et l’affichage de publicités personnalisées à partir des informations recueillies, tombe sous le coup des deux réglementations que sont la protection des données personnelles (RGPD) et la protection de la vie privée dans le contexte des communications électroniques (eprivacy). Mais comme on va le voir, l’application de ces réglementations à des marchés complexes, à des acteurs variés, a posé des difficultés significatives et continue encore de susciter inquiétudes et incompréhensions.
Voilà pour le contexte légale et réglementaire, tel qu’il existait jusqu’à l’été dernier. Nous verrons dans les suites de cet article de quelle façon il a récemment évolué.
[1] Précisons que depuis la loi du 20 juin 2018, c’est désormais l’article 82 de la loi qui dispose que « Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; 2° Des moyens dont il dispose pour s’y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur : 1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; 2° Soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. »