Alors que le projet de règlement européen « vie privée et communications électroniques » (dit « e-Privacy »), destiné à remplacer l’actuelle Directive 2002/58/CE du même nom, est actuellement en discussion à Bruxelles, les acteurs de la publicité en ligne intensifient leur lobbying contre plusieurs des dispositions présentées.
Le texte e-Privacy a pour but de garantir le respect de la vie privée des internautes, et plus spécifiquement de redonner à ces derniers le contrôle de leurs données en ligne. C’est dans cette optique qu’une version non officielle du texte e-Privacy, qui avait fuité en décembre 2016, rendait obligatoire le paramétrage par défaut du navigateur internet ou de l’application installé(e) par l’internaute pour interdire la collecte de données à son encontre, c’est-à-dire la pose de cookies traceurs. Une telle disposition découlait naturellement de l’article 25 du nouveau Règlement (UE) 2016/679 pour la protection des données (« RGPD ») disposant que « par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées » (principe de privacy by default).
La version officielle de la proposition de règlement e-Privacy, communiquée par la Commission européenne le 10 janvier 2017, ne reprend pas cette disposition très protectrice de l’internaute mais consacre néanmoins l’option « Ne pas pister » ou « Do Not Track ». Ainsi, aux termes de l’article 9(2) du projet de règlement, « si cela est techniquement possible et réalisable […] le consentement peut être exprimé à l’aide des paramètres techniques appropriés d’une application logicielle permettant d’accéder à Internet ». En pratique, cela signifie que lorsque qu’un internaute installera un navigateur Internet ou une application pour la première fois sur son ordinateur, son téléphone ou sa tablette, il pourra sélectionner pour toutes ses futures navigations les types de cookies qu’il autorise ou non. La Commission européenne explique dans le considérant 23 de la proposition e-Privacy que « les utilisateurs finaux devraient disposer d’un éventail de réglages de confidentialité, depuis les plus restrictifs (par exemple, « ne jamais accepter les cookies ») jusqu’aux plus permissifs (par exemple, « toujours accepter les cookies »), en passant par des options intermédiaires (par exemple, « rejeter les cookies de tiers » ou « accepter uniquement les cookies propres ») ».
Si cette disposition implique une simplification pour les internautes, elle représente surtout un danger pour les entreprises dont le modèle économique est basé sur l’exploitation de cookies, ou plus généralement qui recourent à la publicité digitale. Il en va ainsi des éditeurs de presse qui, afin d’asseoir leurs développements numériques, ont besoin de connaitre leurs lecteurs. Pour cela, ils déposent des cookies dits « first », « propres » ou « non intrusifs » sur leur site internet afin de recueillir des informations sur leurs internautes en suivant leur activité sur le site. Les entreprises spécialisées dans la publicité digitale procèdent quant à elles au dépôt de cookies appelés « third » ou « tiers » sur divers sites Internet afin d’y récolter des données et de les « croiser » entre elles pour in fine cibler les internautes pour des publicités par exemple.
C’est pourquoi, le 29 mai 2017, des éditeurs de presse européens, dont ceux représentés en France par le Syndicat de la Presse Quotidienne Nationale (SPQN) – notamment les groupes Bayard, Figaro, l’Equipe, Le Monde, Les Echos/Le Parisien, l’Humanité, Libération – ont publié une lettre ouverte afin d’interpeller le Parlement et le Conseil européens. De même, les acteurs spécialisés dans la publicité digitale – dont l’UDA (Union Des Annonceurs), l’IAB (Interactive Advertising Bureau) ou encore l’ARPP (Autorité de Régulation Professionnelle de la Publicité) – ont publié le 7 juin 2017 une position interprofessionnelle sur la proposition de règlement e-Privacy.
- Un consentement non informé – Selon les deux communiqués, le recueil centralisé du consentement serait contraire au RGDP, dans la mesure où ce dernier prévoit un choix individuel, contextualisé, spécifique et informé, à l’occasion de l’accès à un service déterminé. Or, un consentement qui interviendrait uniquement au moment de l’installation du navigateur serait quant à lui global, non spécifique et décontextualisé. En effet, un tel système ne permettrait pas d’informer les internautes de la finalité des cookies opérés par un fournisseur de service de communication électronique avant qu’un consentement ou qu’un refus intervienne, ce qui reviendrait à accepter ou à refuser les cookies en fonction de leur origine (cookies first ou cookie tiers, etc.) et non en fonction de leur finalité.
- Une baisse de compétitivité face aux entreprises américaines – Les éditeurs de contenus et acteurs de la publicité digitale font valoir qu’un tel consentement, intervenant dès l’installation du navigateur, reviendrait à renforcer la position dominante des « GAFAMI ». Ces entreprises américaines ont déjà à leur disposition de nombreuses informations sur les internautes, puisqu’elles requièrent de ceux-ci la création d’un compte (et donc la saisie d’informations diverses) pour l’utilisation de leurs services en ligne. Ces informations leur ont permis d’acquérir une position dominante sur le marché de la publicité digitale ciblée. Or, centraliser le recueil du consentement au niveau de l’interface navigateur reviendrait à le centraliser au niveau de ces mêmes entreprises (Google via Google Chrome, Microsoft via Internet Explorer, Apple via Safari et Mozilla), déjà leaders sur le marché de la publicité digitale, et donc à priver les autres acteurs de ce même marché d’une grande partie de leur visibilité sur le comportement des internautes.
C’est pour toutes ces raisons que les éditeurs de contenus et les acteurs de la publicité digitale appellent à la révision de la proposition e-Privacy et demandent aux pouvoirs publics français de prendre en compte leurs observations dans la négociation avec Bruxelles.
A l’heure du développement des bloqueurs de publicité, des « fake news », et alors que la création d’un droit voisin des éditeurs de presse est fortement controversée, les éditeurs de presse ont besoin plus que jamais d’asseoir leur position en ligne, ce qui passe également par la compétitivité des entreprises spécialisées dans la publicité digitale. Le règlement e-Privacy n’en est pour l’instant qu’au stade de projet : le Parlement européen et le Conseil de l’Union européenne doivent encore se saisir du texte pour un examen en première lecture. Mais l’objectif de la Commission européenne est clairement affiché : l’entrée en vigueur du Règlement e-Privacy devrait se faire en même temps que celle du RGPD, soit le 25 mai 2018, ce qui laisse peu de temps aux acteurs de la publicité digitale pour faire entendre leur voix.