table ronde nº 1 : Données personnelles : la publicité ciblée sur internet - une stratégie publicitaire nécessairement intrusive ? Classification par matière: Inma. Modérateur : Isabelle DAVIAUD Responsable Juridique Distribution/Systèmes d’Information Administrateur Cyberlex Intervenants : Denise LEBEAU-MARIANNA Avocat Membre de Cyberlex Guillaume DESGENS-PASANAU Chef du service des affaires juridiques Xavier DELANGLADE Fondateur
I. - INTRODUCTION
Par Isabelle DAVIAUD
De nouvelles offres publicitaires sur internet, dites de « publicité ciblée » sont proposées depuis quelques mois aux annonceurs, par différents acteurs du marché de l’internet (moteurs de recherche, prestataires de technologie, éditeurs de sites internet...). La publicité ciblée a pour objectif la diffusion de messages adaptés aux goûts et centres d’intérêts des internautes. Elle est diffusée en fonction d’informations recueillies, selon différents procédés, par le biais des navigateurs internet des ordinateurs.
Du point de vue des internautes, la publicité ciblée est plutôt bien reçue et appréciée en ce qu’elle permet de recevoir des publicités en adéquation avec ses goûts et attentes du moment. Elle peut être néanmoins vécue comme une « immixtion dans la sphère privée ». Cette question est devenue l’un des points centraux du débat.
L’année 2009 a vu la parution en France de deux rapports liés à ce sujet : l’un de la Cnil en février, et l’autre du Sénat, en mai, intitulé « respect de la vie privée à l’heure des mémoires numériques ». Aux États-Unis, la FTC (Federal Trade Commission) a elle aussi publié un rapport, en février, et au niveau européen la DG Sanco a publié un document en mars « data collection, targeting, and profiling of consumers for commercial purposes in online environments ». Pour nous éclairer sur ce sujet, trois invités vont intervenir lors de cette table ronde :
Denise Lebeau-Marianna : Avocat au Cabinet Baker & McKenzie, au sein du département Technologies de l’information et de la communication. Denise a récemment publié un article sur la publicité comportementale dans la Revue Lamy Droit de l’Immatériel ; Guillaume Desgens-Pasanau, chef du service des Affaires juridiques de la Commission nationale informatique et libertés (Cnil). Il a publié en septembre 2009 un livre sur l’identité à l’ère du numérique (Dalloz) ; Xavier Delanglade, ancien dirigeant de l’agence Fullsix, fondateur et président de TheBluePill, agence spécialisée dans les bases de données.
Pour présenter la publicité ciblée et identifier les problématiques juridiques, je vous propose de laisser, tout d’abord, la parole à Denise Lebeau-Marianna.
II. - CADRE JURIDIQUE DE LA PUBLICITÉ CIBLÉE
Par Denise LEBEAU-MARIANNA
A. - Les différentes formes de la publicité ciblée
Il convient de définir la publicité ciblée. Le rapport de la Cnil du 5 février 2009 en distingue trois formes : • La publicité contextuelle Il s’agit « de la publicité choisie en fonction du contenu immédiat fourni par l’internaute » Ainsi le produit ou le service faisant l’objet de la publicité sera choisi en fonction (i) du contenu de la page consultée par l’internaute ou (ii) du mot clé saisi sur le moteur de recherche. Exemples : liens commerciaux générés sur les pages de résultat des moteurs de recherche ou les bannières ou liens publicitaires générés en fonction du contenu d’une page internet.
• La publicité personnalisée
C’est celle choisie en fonction des caractéristiques connues de l’internaute (âge, sexe, localisation, etc.) qu’il a lui-même renseignées volontairement notamment en s’inscrivant à un service. Exemples : publicité sur les réseaux sociaux où les internautes fournissent des informations non seulement sur leur identité mais également sur leurs centres d’intérêts et leurs passions.
• La publicité comportementale
Il s’agit d’une publicité choisie en observant le comportement de l’internaute à travers le temps. Le contenu de la publicité sera défini en fonction de l’observation des actions de l’internaute (visites successives de sites, interactions, mots clés, production de contenu en ligne, etc.) pour en déduire un profil et lui proposer des publicités adaptées. En pratique, il est généralement admis (1) , que les techniques de traçage utilisées par la publicité ciblée demeurent, dans la grande majorité des cas, anonymes. Le comportement de l’internaute sur internet importe davantage que son identité réelle. En effet, les arguments avancés sont souvent les suivants : les données collectées permettent de constituer des profils d’utilisateurs sans pour autant les identifier ; l’adresse IP ne permet pas une identification de l’internaute sans l’aide du FAI. À la différence des entreprises ou institutions (universités) qui disposent d’une adresse fixe, les particuliers se voient attribuer par leur FAI une adresse IP différente à chaque connexion. Seul le FAI est capable de relier une adresse IP à une personne physique à condition de disposer de l’heure et de la date de connexion. C’est ce qui a conduit la 13e chambre de la Cour d’appel de Paris à considérer que l’adresse IP ne pouvait être considérée comme une donnée personnelle : CA Paris, 27 avril 2007 : « l’adresse IP ne permettait pas d’identifier le ou les personnes qui ont utilisé cet ordinateur puisque seule l’autorité légitime pour poursuivre l’enquête (police ou gendarmerie) peut obtenir du FAI l’identité de l’utilisateur ». CA Paris, 15 mai 2007 : « cette série de chiffres ne constituait en rien une donnée indirectement nominative dans la mesure où elle ne se rapporte qu’à une machine, et non à l’individu qui utilise l’ordinateur pour se livrer à la contrefaçon ». La définition très large des données personnelles retenue par la loi du 6 janvier 1978 et les avis du Groupe de l’article 29, en particulier son avis 4/2007 du 20 juin 2007, vont plutôt dans un sens contraire, car si les informations collectées à des fins de publicité ciblée (données de connexion, adresse IP, etc.) ne permettent pas en elles-mêmes une identification directe des personnes concernées, elles rendent une personne identifiable, et, à ce titre, doivent être appréhendées par la réglementation des données personnelles. En effet, pour savoir si une personne est identifiable, « il convient de considérer l’ensemble des moyens susceptibles d’être raisonnablement mis en œuvre, soit par le responsable du traitement, soit par une autre personne » (considérant 26 de la directive). Selon le Groupe de l’article 29, « les outils de surveillance du trafic permettent de cerner facilement le comportement d’une machine et derrière celle-ci, de son utilisateur ». On reconstitue ainsi la personnalité de l’individu pour lui attribuer certaines décisions. Sans même s’enquérir du nom et de l’adresse de la personne, on peut la caractériser en fonction de critères socio-économiques, psychologiques, philosophiques ou autres et lui attribuer certaines décisions dans la mesure où le point de contact de la personne (ordinateur) ne nécessite plus nécessairement la révélation de son identité au sens étroit du terme. « En d’autres termes, la possibilité d’identifier une personne n’implique plus nécessairement la faculté de connaître son identité ». « Les données concernent une personne si elles ont trait à l’identité, aux caractéristiques ou au comportement d’une personne ou si cette information est utilisée pour déterminer ou influencer la façon dont cette personne est traitée ou évaluée ». La notion de « données personnelles » ainsi définie permet donc d’appréhender toutes données rendant une personne potentiellement identifiable sans pour autant connaître son identité et inclut de ce fait tant les données de connexions que l’adresse IP. C’est en ce sens que se prononcent : le rapport de la Cnil, qui considère « qu’en l’absence de transparence de la part des fournisseurs de contenu ou de services sur les mécanismes de profilage et sur les données collectées et sur les possibilités de s’y opposer, l’internaute peut percevoir ces mécanismes comme intrusifs ». La Cnil en déduit que tous les systèmes de publicité ciblée mettent en œuvre des traitements de données à caractère personnel ; le rapport du Sénat et la proposition de loi d’Yves Détraigne et Anne-Marie Escoffier, en son article 2, définissent clairement l’adresse IP comme une donnée personnelle dans la mesure où il s’agit d’une donnée rendant une personne identifiable. Ils ont été confortés dans leur analyse tant par la position de la Cnil que l’avis du Groupe de l’article 29 et, surtout, une décision du Conseil d’État du 23 mai 2007 (Sacem et autres). Le rapport du Sénat considère également comme indispensable que les dispositions applicables en matière de collecte de données personnelles s’appliquent sans ambiguïté aux données de connexion (données de trafic, données de localisation, et toutes données connexes nécessaires pour identifier l’abonné ou l’utilisateur). On constate que cette approche, reposant sur une conception large de la notion de donnée personnelle, est harmonisée au niveau communautaire. En effet, les autorités de protection des données à travers les avis du Groupe de l’article 29 et la jurisprudence communautaire considèrent l’adresse IP comme une donnée personnelle.
B. - La publicité ciblée, susceptible d’être intrusive, doit respecter les principes issus de la réglementation des données personnelles
1º/ Une information spécifique, claire, accessible et permanente
Les techniques de profilage sont souvent peu transparentes. L’internaute doit être clairement informé non seulement quand il fournit ses données de manière volontaire dans un formulaire de collecte (profil explicite) mais également en cas de collecte de données relatives à sa navigation, ses achats, etc. (profil prédictif). Cette information doit indiquer les moyens de collecte, le type de données collectées, les finalités, l’entité à l’origine de la collecte, les destinataires et les conditions dans lesquelles l’internaute peut faire valoir ses droits de consentement préalable, de rectification, de suppression ou d’opposition.
2º/ Obligation de sécurité et conservation limitée des données
a) Obligation de sécurité
La richesse des informations résultant des techniques de profilage suppose la mise en place de mesures techniques et organisationnelles renforcées pour protéger les données contre la destruction, la perte, l’altération, la divulgation, la diffusion, le stockage, le traitement et l’accès non autorisés ou illicites. La proposition de loi prévoit en son article 7, en cas de défaillance dans la sécurité des données, l’obligation pour le responsable de traitement d’avertir la Cnil, qui peut, si cette atteinte est de nature à affecter les données d’une ou plusieurs personnes, exiger du responsable de traitement qu’il avertisse ces personnes. Le contenu, la forme et les modalités de notification seront précisés par décret en Conseil d’État pris après avis de la Cnil.
b) Obligation de conservation limitée
Elle participe de l’obligation de sécurité. Les données collectées à des fins de publicité comportementale peuvent être conservées sous une forme permettant l’identification (même indirecte) des personnes concernées pendant une durée qui ne doit pas excéder la durée nécessaire à la finalité commerciale recherchée. Le Groupe de l’article 29 s’est prononcé sur les durées à retenir notamment dans son avis du 4 avril 2008. Ainsi, au-delà de la durée de conservation nécessaire, il faut être en mesure de justifier son extension ou appliquer un droit à l’oubli, par une destruction des données ou une anonymisation irréversible. Ces principes universels et intemporels ne doivent pas occulter le fait que l’internaute est également demandeur d’une publicité ciblée plus adaptée à ses goûts et attentes du moment. Il est donc nécessaire de l’informer et de le sensibiliser aux moyens qui lui permettront de mieux maîtriser la divulgation de ses données selon les usages recherchés.
3º/ Obligation de déclaration
Les traitements de données résultant de collectes à des fins de publicité ciblée doivent faire l’objet d’une déclaration à la Cnil. La norme simplifiée nº 48 prévoyant que « l’exploitation de données de connexion (date, heure, adresse Internet Protocole de l’ordinateur du visiteur, page consultée) ne peut se faire qu’aux seules fins statistiques d’estimation de la fréquentation du site », une déclaration normale doit donc être envisagée pour le traitement des données à des fins de publicité ciblée. Isabelle Daviaud : Cette approche équilibrée entre protection des personnes et attentes des professionnels, c’est justement la position défendue par la Cnil. M. Desgens-Pasanau, pouvez-vous nous indiquer quelques pistes de réflexion neuf mois après le rapport de la Cnil (du 5 février 2009) sur la publicité ciblée ? Qu’est-ce qui a évolué ?
III. - POSITION DE LA CNIL SUR LA PUBLICITÉ CIBLÉE : QUELQUES PISTES DE RÉFLEXION
Par Guillaume DESGENS-PASANAU
La prospection commerciale est un sujet sur lequel la Cnil a eu l’occasion de se prononcer à de nombreuses reprises. Dans l’esprit de beaucoup de citoyens, l’action de la Cnil est, en effet, largement associée à la nécessité de protéger les personnes contre le démarchage publicitaire abusif. Au fil du temps, la Cnil a ainsi développé le concept du « droit à la tranquillité », même si celui-ci ne figure pas formellement dans les textes. Elle a, sur ce sujet, mené à la fois des actions de conseil auprès des particuliers et des professionnels (guide « la pub si je veux » (2) , validation de codes déontologiques (3) ) et des actions plus contraignantes (opération « boîte à spam » (4) ). Sur ce dernier aspect, l’action de la formation contentieuse de la Cnil (formation restreinte) concerne aujourd’hui, dans 20 % des cas, des questions relatives au démarchage (5) .
Le développement des techniques de marketing ciblé sur internet est, dans ce contexte, symptomatique du changement de dimension auquel la réglementation « Informatique et libertés » fait aujourd’hui face. Il s’agit, tout d’abord, d’une illustration du phénomène de la « traçabilité ». Depuis plusieurs années, on est, en effet, passé d’une problématique de « fichier » à une problématique de « traces ». Les individus laissent quotidiennement des traces informatiques de l’utilisation qu’ils font des technologies mises à leur disposition (téléphone portable, moyens de paiement, télébillétique, etc.). Le marketing ciblé repose ainsi principalement sur une exploitation des traces de navigation sur internet, notamment au moyen de l’adresse IP, et il convient de s’interroger sur le niveau de maîtrise dont disposent les personnes sur l’exploitation qui pourrait être faite de ces traces à des fins commerciales. Dans un rapport d’étude puis une proposition de loi, les sénateurs Détraigne et Escoffier (6) se sont fait l’écho de cette problématique relative, en définitive, au « droit à l’oubli ». Sur ce sujet, dès avril 2008, les Cnil européennes avaient déjà pris position, concernant les moteurs de recherche, sur la nécessité de limiter dans le temps l’exploitation des traces (par ex. les clés de recherche) laissées par les utilisateurs (7) .
Le marketing ciblé est également symptomatique du phénomène dit de la « vague technologique ». Les délais entre la découverte d’un phénomène et sa mise en œuvre technologique, s’agissant par exemple des technologies biométriques ou des dispositifs de géo-localisation, se raccourcissent sans cesse. Il devient de plus en plus difficile de faire coïncider l’adaptation ou l’interprétation des règles de droit à l’évolution technologique : le temps technologique accélère sans cesse, tandis que le temps juridique reste particulièrement lent, régi par le rythme des procédures démocratiques. L’enjeu porte donc désormais sur le point de savoir si les concepts « informatique et libertés », notamment la notion de « données à caractère personnel » (8) , sont toujours susceptibles d’encadrer les nouveaux phénomènes technologiques tels que le marketing ciblé. Cette question est essentielle car elle conditionne l’application de la loi et, donc, le niveau de protection dont bénéficient les personnes.
Si les techniques évoluent, les problématiques juridiques relatives au démarchage commercial restent les mêmes et peuvent se résumer dans les deux propositions suivantes : assurer la loyauté et la transparence de la collecte des données, au moyen d’une information claire des personnes concernées. À l’heure du marketing ciblé, la question n’est plus de savoir où les coordonnées d’une personne ont été collectées (9) mais plutôt quel type d’information va être exploité dans le cadre du démarchage (informations livrées par l’internaute lui-même lors de son inscription sur le site internet, mais aussi traces techniques telles l’adresse IP ou traces de contenus telles les clés de recherche saisies dans un formulaire) ; respecter le droit d’opposition des personnes (« opt-out »), voire la nécessité d’obtenir, dans certains cas, leur consentement préalable (« opt-in »). Sur un site internet, l’opposition d’une personne relève moins du souhait classique de ne pas être « dérangé » par la publicité (l’affichage d’une fenêtre de publicité sur la page web de l’internaute ne génère pas vraiment de gêne, sauf peut-être s’il s’agit d’un « pop-up ») que de la volonté de maîtriser les traces informationnelles susceptibles d’être utilisées par les annonceurs pour personnaliser le contenu de la publicité.
C’est dans ce contexte que la Cnil a rendu public, en février 2009 (10) , un document de travail sur les enjeux relatifs aux techniques de marketing ciblé sur internet. Ce document ne ferme pas le débat ; il invite au contraire les professionnels à engager avec la Cnil une réflexion sur ce sujet. Ici, le rôle de la Cnil vise, conformément à l’esprit de la directive européenne du 24 octobre 1995 (11) , à tenter de définir un équilibre entre l’intérêt des individus, d’une part, et l’intérêt légitime des professionnels, d’autre part (ce d’autant plus que de nombreux modèles économiques reposent sur la gratuité des services proposés aux utilisateurs et, donc, sur la nécessité de développer une activité de publicité ciblée). Sur ce point, il convient de constater que les dispositifs de marketing ciblé répondent à une demande formulée par les consommateurs eux-mêmes, qui souhaitent bénéficier d’offres commerciales adaptées à leurs besoins. Par ailleurs, les professionnels conviennent que c’est leur intérêt de mettre en œuvre des dispositifs de démarchage commercial qui ne soient pas ressentis comme trop intrusifs et qui pourraient, dans ce cas, susciter une réaction de rejet de la part des utilisateurs. Une étude d’octobre 2009 réalisée par des chercheurs de l’Université de Berkeley a d’ailleurs fait état, contrairement aux idées reçues, du manque de confiance exprimé actuellement par les utilisateurs américains à l’égard de la publicité ciblée (12) . En résumé, c’est l’intérêt bien compris de tous les acteurs qui rend aujourd’hui nécessaire de définir des règles de bonnes pratiques concernant l’utilisation de ces dispositifs.
Le document publié par la Cnil rappelle, tout d’abord, avec force que la réglementation « informatique et libertés » a vocation à s’appliquer aux dispositifs de publicité ciblée. La Cnil considère notamment que l’adresse IP, sur laquelle repose le fonctionnement de nombreux systèmes, doit bien être considérée comme une donnée à caractère personnel, conformément à l’analyse réalisée par le Groupe de l’article 29 dans un avis rendu public le 20 juin 2007 (13) . Même si certaines décisions de jurisprudence, décisions d’espèce, ont pu, dans le passé, remettre en cause cette analyse, le caractère personnel de l’adresse IP a déjà été affirmé par la Cour de justice des Communautés européennes (14) , dans l’attente d’une position de principe non encore dégagée par la jurisprudence nationale. De même, s’agissant du droit applicable, la Cnil et ses homologues européens considèrent depuis plusieurs années que la réglementation « Informatique et libertés » s’applique à certains traitements effectués par des entreprises situées en dehors de l’Union européenne, en particulier aux États-Unis (15) , en application du critère de la territorialité des moyens de collecte. Cette analyse est contestée, par exemple par certains moteurs de recherche établis aux États-Unis, concernant la durée de conservation des clés de recherche saisies par les utilisateurs et conservées aux fins de définir des profils marketing. Ce point illustre la nécessité d’une approche commune, au plan international, sur les questions de protection des données. Des solutions existent : lors de la Conférence mondiale des Commissaires à la protection des données qui s’est tenue à Madrid, le 6 novembre 2009, les représentants de près de 80 autorités nationales de protection des données ont, à l’unanimité, voté une résolution visant à établir des standards internationaux sur la protection des données personnelles et de la vie privée. Il s’agit d’un premier pas essentiel, attendu depuis plusieurs années tant par les organisations de défense des libertés que par les entreprises.
Au-delà, le document adopté par la Cnil procède à certains rappels ou préconisations à l’attention des professionnels concernant les règles de « fond » visées dans la loi « Informatique et libertés » : l’obligation d’information préalable visée à l’article 32 de la loi, notamment le II, aux termes duquel toute personne utilisatrice des réseaux de communications électroniques doit être informée de manière claire et complète par le responsable du traitement ou son représentant de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion, ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion. La Cnil se propose ainsi, au cours des prochains mois et en concertation avec les professionnels, de préparer des modèles types de mentions d’information, voire de contribuer à la rédaction ou la validation de chartes d’utilisation, concernant par exemple les « cookies traceurs » (16) ; le droit de s’opposer (« opt-out »), sans frais, à ce que les données soient utilisées à des fins de prospection, notamment commerciale (art. 38) : ici, constatant que les dispositifs techniques actuellement disponibles sont peu efficaces, la Cnil souhaite poursuivre la réflexion sur la mise à disposition de nouveaux dispositifs techniques permettant de mieux tenir compte du droit des personnes (17) ;
le recueil du consentement préalable des personnes (« opt-in »), dans certaines hypothèses. Il convient, en effet, de rappeler qu’en application de l’article L. 34-5 du Code des postes et communications électroniques, « est interdite la prospection directe au moyen d’un automate d’appel, d’un télécopieur ou d’un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d’une personne physique qui n’a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen ». Sur le plan juridique, force est de constater qu’en l’état des textes et en l’absence de jurisprudence, la ligne de partage entre « opt-out » et « opt-in » n’est pas évidente s’agissant de dispositifs de publicité ciblée sur internet. En première analyse, on pourrait peut-être distinguer les traitements dont la finalité est de collecter des informations sur les habitudes comportementales d’un utilisateur (phase amont) et ceux dont la finalité vise à afficher des messages publicitaires sur l’écran de l’utilisateur (phase aval). Dans le premier cas, la Cnil et le Groupe de l’article 29 recommandent (il ne s’agit donc pas d’une contrainte légale) que l’enrichissement de profils d’utilisateurs à l’aide de données qui ne proviennent pas des utilisateurs eux-mêmes (données de trafic par exemple) soit soumis à leur consentement (telle que la mesure d'audience CNIL). Le recueil du consentement devient, en revanche, une contrainte légale lorsque les habitudes comportementales des internautes sont collectées par un opérateur de communications électroniques, conformément aux dispositions de la directive du 12 juillet 2002 (18) transposées dans l’article L. 34-1 du Code des postes et communications électroniques. C’est d’ailleurs dans ce contexte que la Commission européenne a lancé, en avril 2009, une procédure d’infraction à la suite d’une série de plaintes d’internautes britanniques concernant l’utilisation, par certains fournisseurs de services internet, de la technologie « Phorm ».
Dans le second cas (phase aval), la question se pose, par exemple, de savoir si la publicité affichée dans un « encart » de la page web ou celle affichée au moyen d’un « pop-up » devrait être soumise au régime de l’« opt-in » prévu à l’article L. 34-5 précité. À cet égard, dans une réponse à une question parlementaire, la Commission européenne a estimé que la définition du courrier électronique ne couvre que les messages pouvant être stockés dans un équipement terminal jusqu’à ce qu’ils soient relevés par leur destinataire, et non les messages qui « disparaissent lorsque le destinataire n’est plus en ligne ». On pourrait par conséquent en déduire que les « encarts » ou les « pop-up » ne devraient pas être soumis au régime de l’« opt-in » de ce fait, sous réserve de l’appréciation souveraine des tribunaux. Un élément essentiel vient cependant de profondément modifier la donne. Le Parlement européen a, en effet, adopté, le 24 novembre dernier, la nouvelle directive-cadre sur les télécommunications (« paquet télécoms ») procédant à la révision de la directive précitée du 12 juillet 2002. Celle-ci établit notamment l’obligation d’obtenir le consentement des utilisateurs avant l’installation de « cookies » sur leur ordinateur. La France devra transposer cette disposition dans sa législation nationale avant le 24 mai 2011. Nul doute que le processus de transposition suscitera de nombreuses réflexions tant de la part des juristes que des professionnels concernés, afin de déterminer selon quelles modalités pratiques le recueil du consentement pourra avoir lieu (19) . Dans ce contexte, il est donc possible d’affirmer que c’est le régime de l’« opt-in » qui a vocation, à terme, à s’appliquer aux dispositifs de publicité ciblée sur internet ; la collecte de données sensibles (données relatives à l’origine ethnique ou à la vie sexuelle par exemple) : ici, conformément à l’article 8 de la loi « Informatique et libertés », il est strictement interdit d’utiliser de telles données sans le recueil du consentement exprès de la personne concernée. Ceci implique que les opérateurs prennent des mesures pour exclure les données sensibles de la collecte liée au profilage des internautes. De même, les conditions du recueil éventuel du consentement des personnes devront être particulièrement encadrées sur le plan juridique et pratique.
La Cnil portera une attention particulière aux résultats des divers travaux de réflexion en cours, par exemple au sein du Groupe de l’article 29 (travaux relatifs notamment à la notion de responsable de traitement), du Conseil de l’Europe (préparation d’une recommandation sur le profilage), du Conseil national de la consommation (groupe de travail sur la protection des données des consommateurs), du Forum des droits sur l’internet (groupe de travail sur la publicité en ligne) ainsi qu’au sein des différentes fédérations professionnelles intéressées par ce sujet. Isabelle Daviaud : L’autorégulation semble être sur la voie : quelle est votre position M. Delanglade, en votre qualité de professionnel de la publicité ? Expliquez-nous à quoi servent les données personnelles pour un publicitaire ?
IV. - DE L’USAGE DES DONNÉES PERSONNELLES PAR UN PUBLICITAIRE
Par Xavier DELANGLADE
A. - L’utilité de la publicité et les évolutions
D’après la dernière étude de Zenith Optimedia, les Français sont les individus ayant la moins bonne opinion de la publicité, juste devant les Allemands : crainte de manipulation ; pas de perception d’un intérêt réel ; profusion des messages diluant l’impact des messages ciblés. L’intérêt pour la publicité croît avec l’appétit de consommation : pays émergents ou en fort développement, États-Unis, Grande-Bretagne : valeur d’information donnée au message publicitaire sur l’innovation (États-Unis, Grande-Bretagne), sur les modes de consommation (pays émergents). Est-il normal d’avoir cette différence de perception entre la France, d’une part, et les États-Unis et la Grande-Bretagne d’autre part : oui, au-delà d’un appétit de consommation naturel de la société américaine : existence ancienne de réseaux télévisés ciblés aux États-Unis ; groupes médias en ligne puissants en Grande-Bretagne et aux États-Unis permettant également un ciblage du message publicitaire.
À l’opposé d’une concentration média TV forte en France challengée depuis quelques mois seulement par la TNT et de la rareté de médias internet de puissance. Cette concentration nuit au ciblage et amène à des aberrations (ex. : spots pour des produits hallal avant le 20 Heures de TF1 à 80 % hors cible, le téléspectateur ne donne plus de valeur à des informations reçues qui sont en grande partie en dehors de son spectre). De nouveaux médias auraient pu prendre ce rôle de ciblage et réattribuer une valeur au message publicitaire, notamment l’emailing. Le développement des opérations à la performance non ciblées, les pratiques d’échange de base ont conduit à un développement effréné de l’envoi de messages (70 en moyenne par semaine en France, 170 aux États-Unis !) la plupart du temps non ciblés pour permettre aux annonceurs de « ratisser large ». Alors que l’email est un moyen de contact assez bien toléré par le consommateur lorsqu’il est ciblé, ces pratiques reviennent à créer un phénomène de rejet.
B. - Les pièges à éviter
Le contrat avec le consommateur doit être clair ; ce qui nécessite une protection de ses données et des barrières contre les pratiques d’acteurs peu scrupuleux, comme cela se voit déjà aujourd’hui dans le domaine de l’affiliation. Sans l’établissement de ce contrat et son strict respect, la confiance sera rompue et le dialogue publicitaire avec. Ce contrat est simple : les données individuelles utilisées comme telles doivent être opt-in et modifiables ; les données obtenues par « appending » ne doivent servir qu’à approfondir la connaissance générique des consommateurs et l’établissement de profils. Isabelle Daviaud : Pour instaurer cette confiance, la labellisation des services par la Cnil a été envisagée par la loi du 12 mai 2009 de simplification et de clarification du droit : si la Cnil dispose d’un pouvoir de labellisation depuis 2004, son exercice n’a pas encore été mis en œuvre du fait de l’attente de mesures réglementaires d’application. M. Desgens-Pasanau, la Cnil va-t-elle avancer sur ce sujet ? Par ailleurs, quelle est votre position par rapport aux initiatives de certains opérateurs du web notamment qui proposent des technologies innovantes ou des solutions aux internautes afin de gérer eux-mêmes leurs données personnelles ?
V. - SUR LA LABELLISATION DES SERVICES PAR LA CNIL ET LES SOLUTIONS INNOVANTES DE GESTION DE SES PROPRES DONNÉES PERSONNELLES
Par Guillaume DESGENS-PASANAU Ceci nous amène à une question essentielle : comment, au-delà des règles juridiques, les technologies peuvent-elles apporter, par elles-mêmes, une réponse en termes de protection de la vie privée des utilisateurs ? Il s’agit ici de la réflexion relative au « privacy by design », c’est-à-dire aux conditions dans lesquelles la dimension « vie privée » est intégrée dès le stade de la conception des outils technologiques. Ainsi, par exemple, les toutes dernières versions de certains navigateurs internet proposent un mode de navigation « privé » offrant une meilleure protection des traces et notamment dans lequel les « cookies » créés sont automatiquement effacés à l’issue de la session de navigation, indépendamment de leur durée de vie prévue. Des initiatives individuelles sont également prises par les professionnels, telle que la mise en œuvre par Google de son application « Dashboard », qui permet aux utilisateurs de supprimer certaines informations personnelles collectées par le moteur de recherche.
Le développement de ce type de technologies est d’autant plus souhaitable qu’il contribue à responsabiliser chaque utilisateur dans l’usage qu’il fait d’internet. Dans son ouvrage « Delete » (20) , Viktor Mayer-Schonberger suggère même de mettre en œuvre un dispositif permettant à l’utilisateur de définir par lui-même la durée de conservation de certaines des informations qu’il livre sur internet (« privacy right management »).
La Cnil a, bien sûr, vocation à accompagner ces initiatives technologiques, notamment au moyen du pouvoir de labellisation de produits ou procédures conformes à la loi « Informatique et libertés », pouvoir dont elle dispose depuis l’adoption de la loi du 12 mai 2009 (21) . Sur ce sujet, la Cnil a déjà eu l’occasion de valoriser certaines initiatives prises par des professionnels, par exemple en avril 2005, en reconnaissant conformes à la loi du 6 janvier 1978 modifiée deux projets de codes de déontologie des professionnels du marketing direct relatifs à « l’emailing » (22) , en participant à des travaux de normalisation au niveau national ou international (23) ou, plus récemment, en participant aux travaux du groupe « Europrise » (24) . La Cnil mène actuellement une étude technique visant à mettre en œuvre, à moyen terme, le pouvoir de labellisation dont elle dispose désormais. À titre d’exemple, ce label pourrait être décerné à une procédure d’anonymisation des données, domaine sur lequel la Cnil a beaucoup travaillé au cours des dernières années. Dans cette attente, le dialogue a vocation à se poursuivre avec les professionnels, afin de définir le juste équilibre entre informatique et libertés.
Isabelle Daviaud : Comme M. Desgens-Pasanau l’a justement rappelé, l’information du consommateur était un des points abordés dans le rapport de la Cnil. Denise Lebeau-Marianna, quelles sont les pratiques en la matière, comment l’internaute peut-il influer sur l’utilisation de ses données ?
VI. - L’INFLUENCE DE L’INTERNAUTE SUR L’UTILISATION DE SES DONNÉES
Par Denise LEBEAU-MARIANNA
Une meilleure maîtrise de l’internaute sur ses données passe par la mise en œuvre des technologies plus respectueuses de la protection des données des internautes et par une information pédagogique de ces derniers sur les moyens de s’en servir. Le rapport du Sénat, la 31e conférence des commissaires à la protection des données à Madrid, l’atelier sur le droit à l’oubli numérique du 12 novembre dernier initié par la secrétaire d’État, Nathalie Kosciusko-Morizet, ont confirmé la nécessité pour l’internaute d’être également l’acteur de sa propre protection. La personnalisation d’un service ne nécessite pas toujours une identification de l’internaute. L’utilisateur doit maîtriser l’outil et non le subir.
• Il existe d’ores et déjà, à l’heure actuelle, différentes possibilités pour l’internaute de maîtriser ses données selon l’usage recherché : le recours au pseudonymat, à l’anonymat ou la fourniture d’informations limitées est tout à fait envisageable, sous réserve de bien informer l’utilisateur de ces possibilités ; une meilleure information des internautes sur le fonctionnement et la gestion des cookies ; une information plus claire sur les moyens de dissimuler les habitudes de navigation : vider le cache, rejeter les cookies inutiles, etc. On constate qu’une telle information est souvent absente et que les données collectées sont souvent excessives eu égard à la finalité recherchée. • L’internaute doit également être mieux informé sur les produits et procédures proposés sur le marché et offrant des garanties renforcées en matière de protection des données. On constate à ce propos que les grands acteurs du marché communiquent abondamment sur les différents outils qu’ils ont mis en place pour assurer plus de transparence et promouvoir une technologie plus protectrice des données : ainsi, Google a communiqué sur la mise en place de Google Dashboard qui permet à tout internaute disposant d’un compte client chez Google de connaître les données détenues par Google le concernant. Les données sont rangées par outil (une vingtaine dont Gmail, Calendrier, Docs, YouTube, Picasa, Talk, Latitude...), et pour chacun de ces outils, les données considérées comme privées sont affichées, avec des liens pour les gérer. L’internaute dispose ainsi sous les yeux de toutes les « traces » laissées sur les outils de Google et les outils pour les faire disparaître si besoin est ; les technologies développées dans le cadre du « Privacy by design » par des acteurs comme Microsoft ou Hewlett Packard permettent d’intégrer la protection des données personnelles dès la conception du produit afin de limiter la collecte de données ou d’assurer une anonymisation complète des données collectées jusqu’au dernier octet. Ces sociétés ont développé un outil d’évaluation des produits dès leur création (« Right management service » pour Microsoft). Ces outils intègrent également les droits de péremption de la donnée créée afin de respecter la limitation de conservation de la donnée ; les acteurs entendent promouvoir les « privacy enhancing technologies PET » afin de dé-corréler les données personnelles et les données de connexion, l’idée étant de pousser au maximum la dé-corrélation et de permettre une personnalisation sans identification nécessaire de la personne. • Le choix de l’internaute peut également être guidé par une démarche de labellisation.
Le Sénat a, dans son rapport, mis l’accent sur une démarche de labellisation des produits ou procédures offrant des garanties renforcées en matière de protection privée. La labellisation est envisagée comme un moyen permettant de récompenser des protocoles standards et outils limitant, voir supprimant, la collecte de données (PET) c’est-à-dire les technologies renforçant la vie privée. Ainsi, ce label pourrait être décerné à un standard permettant l’anonymisation complète de l’adresse IP. Il pourrait également être décerné à des sites internet proposant des paramètres par défaut fondés sur un haut niveau de protection, sachant que les internautes modifient rarement ces paramètres en pratique. Un tel label permettrait de guider les utilisateurs et de faire un choix éclairé.
Isabelle Daviaud : Justement, avec l’émergence des nouvelles tendances publicitaires permettant à l’internaute de voir la publicité s’il le souhaite, est-il vraiment nécessaire d’identifier cet internaute ? Xavier Delanglade, qu’en pensez-vous ? Prenons l’exemple de la convergence TV-radio-internet.
VII. - DE LA CONNAISSANCE DES INDIVIDUS, AU CENTRE DE LA VALEUR AJOUTÉE PUBLICITAIRE
Par Xavier DELANGLADE
La connaissance des individus est au centre de la valeur ajoutée publicitaire.
Attention, les évolutions de la technologie permettront, et permettent déjà en grande partie, aux téléspectateurs, aux auditeurs des radios et aux internautes d’éviter facilement la publicité. Seuls la presse, l’affichage et le « instore » sont incontournables, mais ils sont naturellement ciblés. Soit on se donne les moyens de cibler la publicité et de la transformer en service à valeur ajoutée, soit il deviendra très difficile de transmettre ses messages. Or les consommateurs, comme les industriels, ont besoin d’une publicité efficace. La publicité doit donc devenir un service à valeur ajoutée pour le consommateur pour survivre. Au cœur de ce concept, il faut évidemment approfondir notre connaissance des consommateurs. Cette connaissance s’exprime sur quatre niveaux de qualification : les données socio-démographiques ; les habitudes de consommation ; l’attitude face à la publicité sous toutes ses formes ; la consommation éditoriale. Ces informations recueillies au sein d’une base de données doivent permettre d’établir des profils sosies à partir de la consommation éditoriale : l’avantage de la démarche, dans le futur, est qu’il ne sera plus nécessaire de savoir à qui on a affaire mais quels contenus sont vus, écoutés ou lus sur un écran. Cette analyse suffira à classer l’individu dans un profil sosie et à adapter le message publicitaire. A priori, le développement de bases de données commerciales (e-commerce et emailing) dans le strict respect des règles d’opt-in actuelles et une stratégie d’« appending » avec les éditeurs (TV, radio et internet) doivent permettre le développement de ces bases de données sur deux à trois ans.
Par la suite, il ne faudra pas confondre protection des individus et fermeture des marchés en n’autorisant pas les éditeurs et les diffuseurs à suivre les comportements individuels de leur cible (individuel ne signifiant pas nominatif), sans quoi ils ne seront pas capables de fournir ce service à leurs consommateurs, que ce soit sur internet (protection des cookies), sur la radio numérique ou sur la TV interactive.
VIII. - CONCLUSION : LES TECHNIQUES ÉVOLUENT ET LA LOI A TOUJOURS UN TEMPS DE RETARD
Par Isabelle DAVIAUD
Plusieurs évolutions législatives sont en cours : la révision du paquet télécoms (incluant la directive 2002/58 « vie privée et communications électroniques »), la proposition de loi des sénateurs Détraigne et Escoffier visant à mieux garantir le droit à la vie privée à l’heure du numérique, etc. En parallèle, le secrétariat d’État à l’économie numérique a lancé son atelier sur le droit à l’oubli numérique, qui a été bien relayé par les médias. Nul doute que nous aurons matière pour la table ronde « Données personnelles » de notre prochain colloque Cyberlex 2010.
(1) Rapport du Sénat du 27 mai 2009, Avis de l’UDA de juin 2009. (2) Les guides de la Cnil, « la pub si je veux », éd. 2008. (3) Voir par ex., Union française du marketing direct (UFMD), code de conduite sur l’utilisation de coordonnées électroniques à des fins de prospection directe ; Syndicat national de la communication directe (SNCD), code de déontologie de la communication directe électronique. (4) Rapport de Mme Cécile Alvergnat sur l’opération « boîte à spam », les enseignements et les actions de la Cnil en matière de communications électroniques non sollicitées, oct. 2002. (5) Voir le 29e rapport d’activités de la Cnil, année 2008, p. 47 et s. (6) Rapport d’information nº 441 (2008-2009) de M. Yves Détraigne et Mme Anne-Marie Escoffier, fait au nom de la commission des lois, déposé le 27 mai 2009 et proposition de loi visant à mieux garantir le droit à la vie privée à l’heure du numérique déposée le 6 novembre 2009. (7) Avis G29 nº 1/2008 du 4 avril 2008 sur les aspects de la protection des données liés aux moteurs de recherche. (8) Voir infra concernant l’adresse IP ; voir égal. l’analyse de la Cnil sur l’utilisation de la technologie « bluetooth » à des fins de prospection commerciale (communiqué du 13 novembre 2008). (9) Voir par ex. la délibération nº 2008-470 du 27 novembre 2008 de la formation restreinte prononçant une sanction pécuniaire à l’encontre de la société Isotherm (cette délibération fait l’objet d’un recours contentieux devant le Conseil d’État). (10) La publicité ciblée en ligne, communication présentée en séance plénière, le 5 février 2009, par M. Bernard Peyrat. (11) Directive 95/46/ CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données. (12) Voir par ex. Clifford S., Two-Thirds of Americans Object to Online Tracking, New York Times, 29 sept. 2009. (13) Avis précité G29 nº 4/2007 du 20 juin 2007 sur le concept de données à caractère personnel. (14) CJCE, 29 janv. 2008, aff. C-275/06, Productores de Música de España (Promusicae) c/ Telefónica de España SAU. (15) Avis G29 nº 1/2008 du 4 avril 2008 sur les aspects de la protection des données liés aux moteurs de recherche. (16) Voir infra sur la révision de la directive européenne du 12 juillet 2002 et la question des cookies. (17) Voir infra sur le développement de technologies « privacy friendly », telles que certains navigateurs internet par ex. (18) Directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. (19) Il faut rappeler ici que la directive du 24 octobre 1995 requiert que le consentement recueilli soit libre, spécifique et informé. (20) Delete : The Virtue of Forgetting in the Digital Age, Viktor Mayer-Schonberger, Princeton University Press, oct. 2009. (21) Loi nº 2009-526 du 12 mai 2009 de simplification et de clarification du droit et d’allègement des procédures. (22) Union française du marketing direct (UFMD), code de conduite sur l’utilisation de coordonnées électroniques à des fins de prospection directe ; Syndicat national de la communication directe (SNCD), code de déontologie de la communication directe électronique. (23) Voir par ex. la norme Afnor NF 43-400 relative à l’archivage de données électroniques sur supports COM/COLD homologuée en août 2005 ou la norme ISO/IEC CD 29100 « privacy framework » actuellement en cours d’adoption. (24) <www.european-privacy-seal.eu>.