[Rediffusion du Mag #3] Depuis l’entrée en vigueur (2016) puis en application (2018) du Règlement Général pour la Protection des Données (RGPD) en Europe, publicitaires et éditeurs n’ont de cesse de vous le répéter, sous cette forme ou une autre : le respect de votre vie privée est leur priorité. Mais le plus souvent, cette bonne volonté affichée n’est qu’une façade servant à masquer l’envie de faire perdurer une situation où vos données personnelles sont aspirées, recoupées et exploitées afin de financer la machine du tout gratuit en ligne.
Heureusement, les choses changent petit à petit… de gré ou de force. En France, le respect de la vie privée, c’est (normalement) du sérieux. Notamment depuis la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés. Elle a fait suite au scandale lié à la découverte du fichier SAFARI, qui entendait interconnecter les fichiers nominatifs de l’administration française. Elle a notamment donné naissance à la CNIL.
La vie privée, victime du laisser-faire
Depuis, la Commission Nationale de l’Informatique et des Libertés veille. Elle est en cela aidée par le droit européen qui, depuis les années 90, n’a de cesse que de renforcer la protection des citoyens en la matière, avec un concept assez constant : pour traiter des données personnelles, il faut un consentement explicite.
Il a néanmoins fallu adapter les textes aux différentes pratiques et technologies, ce qui s’est parfois fait avec un certain laxisme, que l’on paie encore aujourd’hui. Par exemple, pour le dépôt de cookies servant au suivi publicitaire, la CNIL considérait dans ses recommandations de 2013 qu’un bandeau d’information suffisait, tant qu’il présentait les finalités précises et qu’il offrait « la possibilité de s'opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ». Pour la Commission, dans ces conditions, « la poursuite de sa navigation vaut accord ». Une erreur que l’on paiera cher et longtemps.
Car dans la majeure partie des cas, ces bandeaux ne permettaient pas de s’opposer simplement au dépôt de cookies. Parfois c’était impossible à moins de passer par des réglages du navigateur. Les sites n’attendaient pas plus le début de la navigation pour effectuer le dépôt et se moquaient bien des réserves de la CNIL sur des outils de suivi statistiques gratuits, utilisés par de grandes plateformes pour récolter des données en masse.
Ce qui devait arriver arriva, face à ce laisser-faire les internautes ont progressivement appris à se protéger : les bloqueurs de publicités et du pistage en ligne se sont multipliés (certains étaient même recommandés par la CNIL à une époque), au point d’être désormais la norme dans de nombreux navigateurs (à l’exception du premier d’entre eux, Chrome de Google).
De meilleures protections, mais un secteur qui refuse de changer
Ces dernières années, on a même vu de grands acteurs s’impliquer, comme Mozilla ou encore Apple, en introduisant des fonctionnalités parfois assez dures sur la question du traitement des données personnelles, ce qui a fragilisé certains qui n’avaient pas forcément anticipé ces décisions. De quoi pousser le secteur de la publicité, qui a d’ailleurs porté le sujet en France devant l’Autorité de la concurrence.
Le législateur européen a pour sa part continué à renforcer les textes jusqu’à l’entrée en vigueur du RGPD en 2016, empêchant de considérer la poursuite de navigation comme un accord de l’internaute. Le responsable d’un traitement de données personnelles doit désormais pouvoir « démontrer que la personne concernée a donné son consentement », la demande de consentement doit être exprimée de manière claire et simple, on doit pouvoir retirer le consentement à tout moment et il doit être « aussi simple de retirer que de donner son consentement ».
Des principes aisés à comprendre, mais qui n’allaient pas vraiment dans le sens d’une industrie qui est bien décidée à ne pas évoluer. Depuis plus de 20 ans, elle aurait en effet pu sentir le vent tourner, et au gré de la souplesse dont elle a fait l’objet, se transformer progressivement pour adapter le besoin d’un modèle économique viable à l’offre publicitaire, de personnalisation, au contexte législatif. Mais non : elle n’a plutôt eu de cesse que de chercher à le combattre et à le contourner.
Et si des changements se constatent ici ou là ces dernières années, c’est le plus souvent à la marge et à reculons, sous la pression ambiante. Ce qui n’est pas le gage d’une évolution rapide ou saine.
Du RGPD aux cookie walls
On le voit d’ailleurs assez bien depuis l’entrée en application du RGPD en 2018. Dans les premiers temps, les sites ont affiché de gros bandeaux clamant que « votre vie privée est notre priorité », mais en ne proposant pas le plus souvent une option de refus aussi claire que l’acceptation.
L’idée était ainsi de gêner le visiteur avec ce gros bandeau, de lui expliquer que tout cela a été rendu obligatoire par une méchante loi européenne, sans jamais la respecter avec un bouton « Refuser ». Là encore, la CNIL a fait le choix de la souplesse, laissant du temps aux différents acteurs pour s’adapter. Elle a défini de nouvelles lignes directrices en 2019, puis des recommandations l’année suivante, laissant jusqu’à mars 2021 aux sites pour s’adapter. Force est de constater qu’encore aujourd’hui, nombreux sont ceux à ne même pas appliquer ces règles de base.
Et ceux qui l’appliquent n’hésitaient parfois pas à chercher à tromper les internautes. Interprétant à leur faveur une recommandation d’interface graphique de la CNIL, nombreux ont été ceux qui ont par exemple ajouté un lien en petit à droite de leur panneau d’information un « Continuer sans accepter » plutôt qu’un gros bouton « Refuser ». Les internautes le choisissant quand même, certains ont... décidé de le déplacer en douce et de le remplacer par un « Continuer et accepter ». Le lien ressemble à l’ancien, ceux qui ne font pas attention se font avoir par habitude.
On parle alors de « dark pattern ». Une pratique sur laquelle on entend malheureusement assez peu la CNIL publiquement. D’autres ont fait le choix des « cookie walls » qui consistent à dire aux visiteurs : permettez-nous de collecter vos données ou abonnez-vous via une offre payante. Une forme de chantage selon certains, pas très en phase avec l’esprit du RGPD et d’un consentement libre. La CNIL a de son côté indiqué qu’elle jugerait au cas par cas lors de ses contrôles, qui s’accélèrent ces dernières années.
On note néanmoins que cette pratique tend à considérer que publicité et pistage sont intrinsèquement liés. Or, ce n’est le cas que parce que le marché n’a pas respecté la loi et le consentement pendant des années. On pourrait d’ailleurs considérer que cela a créé une distorsion de concurrence entre les sites abusant de la flexibilité ambiante et ceux qui restent dans les clous.
La CNIL durcit le ton, Pixel de tracking veille
Depuis 2021, la CNIL a multiplié les vagues de mise en demeure et les amendes, tant de grandes plateformes que de société de taille plus modeste, mais l’ampleur du travail qui reste à faire est gigantesque, tant les abus dans le traitement des données personnelles sont entrés dans les mœurs.
Pour s’en rendre compte, il suffit de suivre l’excellent travail mené par le compte « Pixel de Tracking » sur Twitter ces dernières années. Chaque jour, il référence des pratiques qui vont à l’encontre du RGPD, des astuces techniques mises en place pour contourner les bloqueurs et autres protections mises en place par les sites, même quand cela pose des soucis de sécurité (voir le CNAME Cloaking).
Nous l’avons interrogé, sous couvert d’anonymat, pour connaître ses motivations. Il nous a indiqué avoir « travaillé une dizaine d’années dans l’adtech, ce qui m’a permis d’avoir une bonne compréhension du fonctionnement de ce secteur, de l’intérieur. Les problématiques techniques sont très intéressantes, c’est un secteur qui bouge beaucoup ». Il nous raconte avoir vu l’évolution de la pratique publicitaire au fil du temps, comment l’on est passé des bannières avec de simples liens, gérées par des régies et des commerciaux, à une mécanique automatisée au niveau mondial, se nourrissant de la collecte de données massive.
Mais aussi « le poids de plus important de Google et Facebook, la place du RTB [Real Time Bidding, ndlr] et des données personnelles ». Il confesse d’ailleurs lui-même une « prise de conscience sur les problématiques liées à la vie privée très progressive. J’ai principalement quitté le secteur pour cette raison, je ne me voyais pas continuer de l’intérieur, la contradiction devenait trop forte entre mon inquiétude sur ces questions, et l’adtech qui n’évoluait pas assez vite ». Frustré par le traitement de ce sujet dans la presse grand public, face à l’ampleur qu’il constatait en réalité, il décide de prendre la parole publiquement, mais sous pseudonyme. « Le secteur est une énorme boîte noire, très compliquée à comprendre pour quelqu’un qui n’a pas bossé dedans. J’ai fini par me lancer il y a 2 ans avec un blog et un compte Twitter, que j’alimente régulièrement ».
Il se focalise plus sur l’aspect technique que juridique, qui n’est pas son domaine d’expertise principal, mais apprend « au fil de l’eau » sur ce point. Il se félicite néanmoins de la tournure actuelle, notamment à travers les conséquences de la jurisprudence Schrems II et son rôle dans la prise de conscience collective.
On le voit dans la décision récente de la CNIL qui a jugé illégaux les transferts des données collectées vers les États-Unis dans le cadre de l’outil Google Analytics qui incite les éditeurs de site à regarder du côté de Matomo (un outil européen, open source et que l’on peut héberger facilement sur ses propres serveurs). Ou l’amende de 250 000 euros infligée à l’IAB Europe par une coordination des CNIL Européennes début février sur l’outil de gestion du consentement TCF (Transparency and Consent Framework) qui va devoir être revue (l’IAB a fait appel).
L’avenir de la vie privée s’écrit sous nos yeux
S’il est « curieux de voir la suite, [il] reste sceptique, l'industrie publicitaire n'a aucune envie de réellement se réformer. Ils voudront d'abord épuiser tous les recours, et chercheront ensuite à éviter un changement de business model ». Il considère également que les choix et priorité de la CNIL posent également question : « les sanctions restent très rares. Si l'on ne s'appelle pas Google ou Facebook, il n'y a aucun risque à bafouer la loi. Si l'on s'appelle Google ou Facebook, les amendes restent souvent ridicules. Là on peut pointer du doigt le manque de moyens de la CNIL. Mais on peut aussi s'interroger sur l'efficacité de leurs process, ce n'est pas normal de voir la quasi-totalité du web français bafouer aussi ouvertement ePrivacy en déposant des cookies sans consentement, multiplier les dark patterns sur les fenêtres de consentement ». Il reste néanmoins plein d’espoir si la prise de conscience opère.
S’il milite pour une interdiction pure et simple de la publicité ciblée, tant les dérives sont grandes, ou la séparation des activités des plateformes, il voit dans les activités d’associations comme Noyb une opportunité de trouver des solutions, notamment à travers la proposition de l’Advanced Data Protection Control (ADPC), qui permettrait une gestion plus globale, intégrée aux navigateurs. Reste maintenant à savoir quels équilibres seront trouvés en matière de vie privée et de modèles économiques en ligne dans les années à venir.
Alors que l’on parle déjà d’analyser nos expressions faciales pour la publicité dans le métavers, plusieurs textes européens sont en discussion et permettront à nouveau de changer la donne, ou pas. Déciderons-nous collectivement de faire du respect de la vie privée une opportunité plutôt qu’une valeur à combattre ?
La suite au prochain épisode.
Cet article a initialement été publié dans le magazine #3 de Next INpact distribué début 2022. Il est pour le moment réservé à nos abonnés et sera ensuite accessible à tous, comme l'ensemble de nos contenus. Nos magazines sont disponibles à la vente au sein de notre boutique en ligne.
