« De la loi du 6 janvier 1978 à la Délibération CNIL du 4 juillet 2019 »
La publicité digitale est une source de revenus pour un très grand nombre de sites web, dont la gratuité d’accès est ainsi assurée, mais ne va pas sans poser de nombreuses questions, certaines très complexes, quant à sa conformité aux réglementations applicables, au premier rang desquelles le RGPD et l’eprivacy. Suite de notre chronique.
2. L’écosystème de la publicité digitale
De quels professionnels parle-t-on ici ?
On rencontre pêle-mêle les éditeurs des sites web ou applications mobiles, qui cherchent à valoriser les espaces publicitaires dont ils peuvent agrémenter leurs sites web et applications ; les régies publicitaires, qui font justement profession de commercialiser ces espaces publicitaires au bénéfice des éditeurs, et qui interagissent donc avec les professionnels qui déploient ces campagnes ; les prestataires intermédiaires, qui peuvent assumer plusieurs types de fonctions, de la conception du message publicitaire à sa personnalisation au regard des informations glanées sur les sites web et surtout sur leurs utilisateurs (agences de com ou agences de publicité, intermédiaires techniques, etc.) ; et les annonceurs (marques et enseignes) qui cherchent quant à eux à maximiser la visibilité de leurs produits auprès d’audiences qui seront d’autant plus pertinentes que les annonceurs auront pu s’assurer qu’elles correspondent à leurs clientèles usuelles, ou à celles qu’elles veulent conquérir. L’ensemble de cet écosystème, aux buts variés, se retrouve donc sur une nécessité : connaître le mieux possible l’audience visée : l’internaute, le mobinaute.
Une particularité réside dans le « programmatique », mot qui désigne un ensemble de places de marché et d’acteurs qui s’échangent des données sur les audiences, le plus souvent qualifiées et profilées : les DSP (« demand-side platform ») qui recueillent les demandes d’achat publicitaire émanant des annonceurs et leurs intermédiaires, mandatés aux fins d’achat auprès des supports publicitaires que sont les éditeurs ; les SSP (« supply-side platform ») qui quant à eux sont mandatés par les régies publicitaires pour identifier les acheteurs.
Tous interagissent au sein de systèmes d’enchères en temps réel (« real-time bidding » ou « RTB »). S’y ajoutent l’ensemble des trading desks, des data brokers (qui commercialisent des fichiers de données qualifiées) et des éditeurs de plateformes adtech et adexchange, qui opèrent les achats-reventes d’espaces publicitaires et de lots de données d’audiences qualifiées. Comme l’indique le terme « programmatique », les transactions sont effectuées via des logiciels édités et opérés par les DSP et SSP.
Ces professionnels ne poursuivent pas tous la même finalité : elle dépend très largement de leur métier, mais aussi des fonctionnalités qui caractérisent les plateformes adtech proposées sur le marché.
Ces finalités sont plurielles : il s’agit d’afficher des publicités personnalisées (ou « ciblées ») en fonction des informations glanées depuis le terminal de l’utilisateur (sa géolocalisation, des « points of interest »…) dans l’intérêt de l’éditeur du site, ou dans l’intérêt d’annonceurs partenaires, mais aussi de constituer des « profils de préférences publicitaires » qui peuvent être revendus sur les marchés de la publicité digitale, via le système tentaculaire du RTB (« real-time bidding », places de marché automatisée où les acteurs de l’écosystème de la publicité digitale (DSP, SSP, adtech diverses, etc.) s’échangent aux enchères des données en quelques millièmes de seconde. Il peut également s’agir de mesurer l’efficacité des publicités, d’effectuer du retargeting, du suivi de profils publicitaires sur plusieurs terminaux ou tout au long de la navigation web de la personne, de lutter contre la fraude aux clics, ou encore de vérifier que les campagnes sont diffusées sur des sites qualitatifs en lien avec l’image de marque de l’annonceur.
L’écosystème de la publicité digitale comprend en particulier l’éditeur du site web ou de l’application, qui édite et opère le site ou l’application où se connecte l’utilisateur (internaute ou mobinaute), et qui constitue donc le vecteur initial de collecte des données… et à l’autre bout de la chaine, l’annonceur qui souhaite que ses campagnes de publicité soient diffusées sur des sites ou applications les plus pertinents en fonction de ses produits ou services. C’est entre ces deux familles d’acteurs qu’on trouve une myriade d’intermédiaires : régies publicitaires, agences de communication, trading desks, SSP, DSP, plateformes diverses, prestataires d’ad-vérification, etc. Ces intermédiaires s’échangent les données collectées, ou participent d’une façon ou d’une autre à leur traitement, parfois sans les manipuler.
Or, le RGPD impose de qualifier les protagonistes de la chaîne de traitement des données personnelles collectées. Et en la matière, on est très loin des qualifications binaires et aisées qui caractérisent beaucoup de relations commerciales qui sont (i) soit des cas de sous-traitance clairement définis (soumis à l’article 28 du RGPD), (ii) soit des cas de partenariat commerciaux entre deux responsables de traitement clairement distincts et autonomes.
L’écosystème de la publicité génère de nombreuses situations dans lesquelles il est difficile de qualifier les protagonistes, et notamment, de distinguer des responsables « conjoints » de traitement (au sens de l’article 26 du RGPD) et des responsables autonomes.
De plus, d’un contrat à l’autre, d’un professionnel à l’autre, les qualifications varient largement. Google, qui est le leader incontournable du marché de la publicité digitale, ne peut être qu’un responsable autonome de traitement, tant il serait illusoire de le présenter comme un sous-traitant des éditeurs des sites web qui recourent à ses services…
D’autres régies en revanche, mono-clientes ou encore « régies d’enseigne », peuvent au contraire être considérées comme des sous-traitants. De plus, de nombreuses plateformes adtech disposent d’une très grande autonomie dans l’organisation de leurs services, et donc des traitements de données personnelles… Il est donc particulièrement complexe de qualifier les acteurs de l’écosystème publicitaire au regard de la réglementation de protection des données personnelles.
Et ce d’autant plus que la CNIL s’intéresse, pour qualifier les protagonistes, à la réalité de leur intervention dans la détermination des finalités et des moyens de traitement des données, et non pas seulement à leurs désignations contractuelles. Ainsi, un professionnel qui intervient en tant que « mandataire » au sens du contrat, peut très bien avoir un rôle de responsable de traitement dès lors qu’il est autonome ou met en œuvre une expertise spécifique.
Pourtant, dès avant l’adoption du RGPD, les travaux du G29 (avis 2/2010 sur la publicité comportementale en ligne) sur la publicité ciblée s’y sont essayés, et ont tenté de distinguer :
- Les diffuseurs (éditeurs ou « publishers») en tant que « coresponsables » de traitement, en ce qu’ils « déclenchent » la collecte des données à partir de leur applications (cf. avis page 13) ;
- Les « fournisseurs de réseaux publicitaires» (les intermédiaires qui placent les cookies, implantent des SDK et/ou collectent les données) en tant eux aussi que responsables de traitements, (cf. avis page 12) ;
- Les annonceurs comme responsables de traitement également.
Plus précisément, les diffuseurs et « fournisseurs de réseaux publicitaires » seraient « coresponsables » des traitements de collecte, et les annonceurs seraient responsables des traitements d’analyse – encore que rien n’est jamais tout à fait aussi monolithique.
Plus récemment (en 2017), la CNIL française avait amendé et simplifié cette approche, en reprenant la dichotomie entre responsable de traitement et sous-traitant, pour distinguer entre « cookies first » et « cookies tiers ».
En substance, la CNIL considérait que « lorsqu’un éditeur détermine les moyens et les finalités du traitement réalisé sur les données collectées grâce aux cookies externes (tiers) ou internes déposés, il doit être considéré comme le responsable de ce traitement », y compris s’il recourt à une technologie de suivi éditée par un prestataire tiers (ce prestataire est alors son sous-traitant).
La CNIL citait ici l’exemple des sites de commerce électronique sur lesquels les régies publicitaires ou prestataires publicitaires déposent des cookies afin de procéder à du reciblage publicitaire (« retargeting »), qui « consiste à adresser un message publicitaire aux profils ayant visité au moins une fois le site de l’annonceur pour lequel la publicité est adressée. »
A l’inverse, lorsque les données collectées par les cookies tiers sont exploitées, non pas par l’éditeur du site sur lequel ils sont déposés, mais par leur émetteur (éditeur de la technologie de suivi intervenant pour son propre compte ou pour son client annonceur), l’éditeur du site ne définit pas les modalités et objectifs d’exploitation des données collectées par les cookies, mais se limite à « appeler » les tiers qui déposent directement leurs cookies sur le terminal de l’internaute.
L’émetteur de cookies tiers décide ici de la finalité du traitement des données collectées, que ces données soient exploitées pour son propre compte ou pour vendre des services d’analyse ou de profilage auprès de clients et partenaires, ce qui fait de lui le responsable de traitement. Dans cette deuxième approche, l’éditeur du site devient alors le sous-traitant de ce responsable de traitement.
La CNIL citait ici l’exemple des régies publicitaires qui suivent les internautes sur différents sites afin d’établir leur profil ou de les regrouper dans des segments de marché qui peuvent être utilisés ou revendus à leurs clients, ou encore des DSP qui enchérissent sur des espaces publicitaires et se servent des informations associées à ces espaces pour parfaire leur ciblage, en passant par les data brokers qui peuvent recueillir ici de quoi enrichir leurs profils.
Dans tous les cas, la CNIL considérait que les éditeurs de sites dont la visite déclenche le dépôt des cookies sont les seuls en mesure de fournir une information directe sur les cookies déposés sur les terminaux des internautes, et ce que ces éditeurs interviennent comme responsable de traitement, ou comme sous-traitant de tiers. Et il est certain que les éditeurs ont à la fois un rôle clé à jouer, et un intérêt tout particulier à ce que les visiteurs de leurs sites web (ou utilisateurs de leurs applications) voient leurs données traitées conformément à la réglementation.
Cependant, la diversité des intervenants au sein de cet écosystème, ainsi que de leurs intérêts pas toujours convergents, a troublé cette dichotomie apparemment simple, car en réalité peu conforme à la complexité des traitements effectués et des professionnels impliqués.
A cet égard, l’avis du G29 établissait une distinction en apparence claire entre éditeurs et fournisseurs de réseaux publicitaires, en écrivant que :
- Les « fournisseurs de réseaux publicitaires» (souvent appelés « vendors » au sein de l’écosystème) « louent des espaces sur les sites web des diffuseurs pour y placer leurs annonces; ils définissent et lisent les informations des cookies et, le plus souvent, ils collectent l’adresse IP et d’autres données éventuelles révélées par le navigateur. En outre, les fournisseurs de réseaux publicitaires utilisent les informations collectées sur le comportement de navigation des internautes afin de constituer des profils et de choisir et diffuser des publicités qui seront affichées en fonction de ce profil. Dans ce scénario, les fournisseurs de réseaux publicitaires agissent donc clairement comme des responsables du traitement » ;
- Les « diffuseurs» (ou encore « publishers ») quant à eux « assument une certaine responsabilité dans le traitement des données, qui découle de la transposition en droit national de la directive 95/46/CE et/ou d’autres actes législatifs nationaux. Cette responsabilité ne couvre certes pas l’ensemble des opérations de traitement nécessaires à l’envoi de publicités comportementales, par exemple, le traitement réalisé par le fournisseur de réseau publicitaire consistant à dresser des profils qui serviront ensuite à diffuser des publicités ciblées, mais elle couvre la première étape, c’est-à-dire la partie initiale du traitement des données que constitue le transfert de l’adresse IP, lequel intervient lorsque des personnes physiques consultent leurs sites web. En effet, les diffuseurs facilitent ce transfert et codéterminent les finalités pour lesquelles il a lieu, à savoir envoyer aux visiteurs des publicités ciblées. Pour ces raisons, ils assument une part de la responsabilité en qualité de responsables du traitement. Cette responsabilité ne nécessite toutefois pas qu’ils se conforment à l’ensemble des obligations imposées par les directives ».
Mais ce même avis du G29 indiquait également que :
- « Les obligations énoncées à l’article 5, paragraphe 3, de la directive « vie privée et communications électroniques » s’appliquent à ceux qui placent des cookies et/ou récupèrent des informations à partir des cookies déjà stockés dans l’équipement terminal de la personne concernée. Au regard de l’article 5, paragraphe 3, il importe peu que l’entité qui place ou lit le cookie soit un responsable du traitement ou un sous-traitant. Dans le cadre de la publicité comportementale, cette interprétation fait peser l’obligation d’obtenir un consentement informé sur les fournisseurs de réseaux publicitaires. D’autre part, dans le même temps, lorsque la publicité comportementale implique le traitement de données à caractère personnel, les fournisseurs de réseaux publicitaires peuvent également être responsables du traitement. Cet élément est capital dès lors que des obligations supplémentaires découlant de l’application de la directive 95/46/CE sont applicables. Les fournisseurs de réseaux publicitaires contrôlent en effet entièrement les finalités et les moyens du traitement. Ils « louent » des espaces sur les sites web des diffuseurs pour y placer leurs annonces; ils définissent et lisent les informations des cookies et, le plus souvent, ils collectent l’adresse IP et d’autres données éventuelles révélées par le navigateur. En outre, les fournisseurs de réseaux publicitaires utilisent les informations collectées sur le comportement de navigation des internautes afin de constituer des profils et de choisir et diffuser des publicités qui seront affichées en fonction de ce profil. Dans ce scénario, les fournisseurs de réseaux publicitaires agissent donc clairement comme des responsables du traitement. »
Cette interprétation est exigeante pour l’ensemble des intermédiaires de la publicité digitale, car elle les place potentiellement comme responsables des traitements qui sont pourtant exécutés pour le compte de leurs clients (annonceurs).
Cette position vient du fait que le prestataire maîtrise une grande partie de la chaine technique, depuis l’implantation des dispositifs de collecte (le « cookie » évoqué en 2010 inclut aussi, par analogie, tout dispositif de collecte tels que le SDK) jusqu’aux transformations subséquentes de la donnée (établissement de segments de consommateurs, profilage, enrichissement etc.). L’éditeur n’a que peu ou pas de contrôle sur cette chaîne de traitement. L’annonceur non plus.
Le RGPD exige de définir la base légale applicable à la collecte des données aux fins d’affichage de publicités digitales. Or, un traitement de collecte de données comportementales ou de géolocalisation sur un site web ou une application, que l’internaute utilise nécessairement à d’autres fins (consulter le site web, utiliser les fonctionnalités de l’application…) ne peut reposer que sur l’intérêt légitime du responsable de traitement, ou sur le consentement préalable de la personne concernée.
En effet, il n’existe aucun « contrat » même tacite entre l’internaute et le responsable de traitement qui souhaite diffuser des publicités ciblées, pas plus qu’il n’est possible de diluer et inclure le recueil du consentement au sein des pages consacrées aux CGU du site web, comme plusieurs éditeurs ont pu l’apprendre à leurs dépens.
En fonction de la nature du cookie et de son rôle technique, la base légale fera donc choisir entre information préalable, assortie d’une faculté d’opposition, ou consentement préalable, assorti d’une faculté de rétractation. Et si certains cookies peuvent en effet relever de l’intérêt légitime du responsable de traitement (mesure de fréquentation, nécessités fonctionnelles du site, reconnaissance de session…), les dispositifs consacrés à la publicité ciblée ne peuvent relever que du consentement préalable, comme l’affirment les textes depuis déjà de nombreuses années.
Rappelons que c’est au responsable de traitement de définir la base légale, ce qui implique d’identifier qui est le responsable de traitement parmi les protagonistes énumérés ci-avant…
… et il convient également de définir la forme et les caractéristiques que doit revêtir le consentement. Et sur ce point, il y a évolution autant que controverse.