En attendant RGPD et ePrivacy, la CNIL précise ses règles sur la publicité en ligne et les trackers

En attendant RGPD et ePrivacy, la CNIL précise ses règles sur la publicité en ligne et les trackers

Dernier coup de semonce ?

Avatar de l'auteur
David Legrand

Publié dans

Internet

29/05/2017 7 minutes
7

En attendant RGPD et ePrivacy, la CNIL précise ses règles sur la publicité en ligne et les trackers

Après plusieurs mois d'enquête, la CNIL commence à livrer les premières pistes concernant sa vision de la responsabilité des différents maillons de la chaîne publicitaire. Une ultime étape avant l'application de nouveaux textes européens dès 2018.

C'est désormais dans moins d'un an que s'appliquera le Règlement général sur la protection des données (RGPD) au niveau européen. Et avec lui, ePrivacy, qui fait actuellement l'objet de nombreuses discussions entre la Commission européenne et les acteurs qui ont à gérer des données, qu'il s'agisse d'éditeurs de presse, de services ou de publicitaires.

La CNIL se prépare à ces échéances, notamment en diffusant des guides permettant aux entreprises françaises de s'adapter dans les meilleures conditions. Elle vient ainsi de publier un récapitulatif des ressources et des changements introduits par le RGPD. Elle a aussi fait la synthèse de sa consultation qui doit mener à la mise en place des lignes directrices concernant le consentement, le profilage et la notification de violations :

Cela n'empêche pas la Commission nationale d'avancer sur certains sujets, comme la question de la publicité en ligne et des trackers exploités sous différentes formes (cookies, stockage local, empreinte, etc.). Alors que l'on sait que des enquêtes étaient en cours, et qu'elles ont été mises en attente en raison des discussions autour d'ePrivacy, la CNIL en a tiré quelques règles qu'elle a décidé de préciser publiquement.

Définir qui est sous-traitant ou responsable de traitement

 « Le 27 juillet 2016, la CNIL annonçait étendre ses contrôles relatifs aux cookies (ou autres traceurs) au-delà des éditeurs de sites, notamment auprès des émetteurs tiers. Il s’agissait d’identifier les responsabilités de chacun des acteurs intervenant dans la chaîne de valeur, complexe, de la publicité en ligne » rappelle l'autorité, qui précise que 13 sociétés établies en France et aux États-Unis étaient concernées.

Elle a ainsi distingué deux cas spécifiques lors de son analyse : 

  • L’éditeur du site dépose lui-même des cookies, ou permet le dépôt de cookies tiers, afin de traiter des données uniquement pour son compte
  • Les données collectées par les cookies tiers sont exploitées, non pas par l’éditeur du site sur lequel ils sont déposés, mais par leur émetteur

La CNIL précise des hypothèses pour le premier cas, comme des solutions de retargeting publicitaire, la mesure d'audience et les pixels de conversion afin de mesurer le retour sur investissement ou gérer la facturation à des clients. Pour rentrer dans ce cadre, il faut que les données ne soient pas exploitées par des tiers pour leur compte. 

Ici, c'est le site qui est désigné comme le responsable de traitement, et doit donc « assumer l’ensemble des obligations découlant de la loi et notamment son article 32-II (recueil du consentement préalable et informé, fourniture des moyens de s’opposer au dépôt des cookies concernés) ». 

Dans le cas des cookies déposés par des tiers, il n'est question que de sous-traitance puisque c'est l'éditeur qui exploite les données pour son compte et que tout est opéré selon ses instructions. Il doit donc « clairement interdire » d’exploiter les données collectées de manière contractuelle.

La difficile question du rapport de force et de l'utilisation des données 

Autant dire que de tels cas sont rares, et que l'on sera souvent dans la seconde situation ou un mélange des deux. Car les pages des éditeurs ne sont le plus souvent qu'un cheval de Troie pour les publicitaires et autres adeptes du ciblage en tous genres, qui en profitent pour déposer de nombreux trackers sans que l'éditeur en ait forcément conscience, ou à utiliser les cookies déposés pour une raison légitime à des fins de recoupements de données.

Le cas des boutons sociaux est relativement connu, mais il en est de même pour les intégrations diverses (tweets, vidéos, etc.) et autres Google Analytics. La question des recoupements de données est d'ailleurs plus que jamais au centre des discussions sur la question concernant la vie privée, celles qui sont pseudonymisées pouvant ensuite être recoupées avec des informations personnelles par certains acteurs. Un élément important alors que des fournisseurs d'accès à Internet commencent à miser sur l'activité de régie publicitaire.

La CNIL précise de son côté que lorsque « l’éditeur du site ne définit pas les modalités et objectifs d’exploitation des données collectées par les cookies, mais se limite à appeler les tiers « directs » qui vont déposer des cookies sur le terminal de l’internaute visitant son site [et que] ces tiers « directs » sont susceptibles par la suite d’appeler d’autres tiers avec lesquels l’éditeur n’a aucun lien direct », alors c'est l'émetteur de cookies tiers qui décide de la finalité du traitement.

Les données collectées peuvent ainsi être exploitées pour son propre compte ou pour être cédées à d'autres sociétés. Ainsi, c'est ici l'émetteur de cookiers tiers qui est considéré comme le responsable du traitement et doit respecter « l’ensemble des obligations prévues par la loi et notamment son article 32-II ».

Information, consentement et opposition : le besoin d'un consensus

L'éditeur du site est cette fois considéré comme le sous-traitant, mais cette relation doit faire l'objet d'un contrat « de manière à garantir notamment le recueil d’un consentement préalable et informé des personnes spécifique au site visité, ainsi que la mise à disposition de moyens d’opposition effectifs avant tout dépôt de cookies ». 

L'autorité précise que si « la qualification de responsable de traitement et de sous-traitant s’effectue au cas par cas, par type et provenance de cookies », elle estime que dans tous les cas, même lorsque la responsabilité est partagée, « les éditeurs de sites dont la visite déclenche le dépôt des cookies sont les seuls en mesure de fournir une information directe sur les cookies déposés sur les terminaux des internautes ».

C'est donc à eux, pour la Commission, d'informer le visiteur sur les cookies déposés et les dispositifs d'opposition qui sont à leur disposition. Mais s'ils sont simples sous-traitants, ils ne pourront être tenus responsables d'informations erronées ou incomplètes. C'est alors l'émetteur qui pourra être sanctionné. 

Ce sont notamment ces points qui ne sont pas respectés dans la loi actuelle et qui vont faire l'objet d'une évolution dans le cadre d'ePrivacy. Si chacun essaie pour le moment de tirer la couverture de son côté pour éviter d'avoir à subir le contrecoup des changements à venir, il faut espérer qu'un consensus pourra être trouvé. Sous peine de quoi, on se retrouvera dans une situation aussi alambiquée qu'elle ne l'est actuellement.

Internautes, éditeurs et régulateurs seraient alors tous perdants d'une situation qui continuera de s'enfoncer dans les déséquilibres, avec d'un côté des abus dans la récolte des données, et de l'autre un blocage presque systématique de la récolte via des extensions en tous genres.

7

Écrit par David Legrand

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Définir qui est sous-traitant ou responsable de traitement

La difficile question du rapport de force et de l'utilisation des données 

Information, consentement et opposition : le besoin d'un consensus

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (7)


y’a plus qu’à espérer que la loi ne sera pas trop “spécifique” et que tous les moyens d’identification (ergo pas que les cookies) soient traités de la même manière, l’emprunte du navigateur ne doit pas être une exception par exemple…




Internautes, éditeurs et régulateurs seraient alors tous perdants d’une situation qui continuera de s’enfoncer dans les déséquilibres, avec d’un côté des abus dans la récolte des données, et de l’autre un blocage presque systématique de la récolte via des extensions en tous genres.



Ce § montre que le marché fonctionne : les abus sont sanctionnés. Il est difficile de croire qu’une usine à gaz législative ou réglementaire supplémentaire de type Command & control pourra régler ce « différent » qui n’est jamais qu’une recherche d’équilibre comme dans tout marché. On ne laisse pas le temps aux acteurs concernés de trouver naturellement une position commune.


D’ailleurs je note que les petits Pop-up  informants qu’un site dépose des cookies, a toujours un bouton OK mais pas je refuse.


Parce que l’opt-out dépend de tiers, donc les éditeurs doivent t’informer des modalités, ce qu’ils font en général sur une page dédiée.


C’est un bandeau pour t’informer, pas pour te donner le choix. [OK] = tu t’en fous, [En savoir plus] = connaître comment c’est géré. Le refus des cookies se fait du côté du client.


Dit autrement, c’est un dialogue de type “Alert” (ok) pour t’informer d’un fait et pas un dialogue de type “Confirmation” (yes/no) pour valider un comportement.




le Règlement général sur la protection des données (RGPD)





Ah je pensais que ça avait une connotation comme RGPJ dans Men in Black : Refaire la Gueule et Péter les Dents <img data-src=" />