Pratiques publicitaires : début de ménage chez les éditeurs, la CNIL veille

Prochaine étape : on sort Gort ! 47
Accès libre
image dediée
Crédits : AndreyPopov/iStock/Thinkstock
Web
David Legrand

Suite à la semaine anti bloqueurs de publicité du GESTE, nous avons participé à une émission d'Arrêt sur images sur le sujet. L'occasion d'apprendre que la CNIL rencontre des éditeurs sur la question des trackers, non sans quelques premiers résultats sur leurs pratiques.

Hier, nous participions à une émission d'Arrêt sur images sur le thème « Publicité en ligne : blocages et contre-blocages ». Elle fait suite à la campagne de blocage des membres du GESTE (voir notre analyse) mise en place en début de semaine. L'occasion d'en discuter plus directement avec Emmanuel Parody, son secrétaire général, et Éric Mettout, directeur adjoint de la rédaction de L'Express, lequel a largement évoqué sa position à travers deux articles (ici et ).

Outre ces échanges à retrouver dans l'émission diffusée dans la journée, deux points nous ont semblé importants à noter : la position de certains membres du GESTE et la tenue d'une réunion à la CNIL sur la question de la multiplication des cookies et autres traceurs.

Comme déjà évoqué, une enquête est en cours sur la question au sein de l'autorité. Officiellement, elle se refuse pour le moment à tout commentaire, nous indiquant simplement que « De nombreux contrôles ont eu lieu sur les cookies et les suites sont en cours d’instruction. En 2015, la présidente de la CNIL a prononcé 40 mises en demeure relatives à des cookies tous sites confondus ».

Lecteurs sous surveillance

Mais voilà, comme encore indiqué dans nos colonnes, cela n'empêche rien. Chaque jour, des millions d'internautes français se rendent sur des sites de presse (ou autre) pour charger les scripts de centaines de sociétés dont l'unique but est le profilage publicitaire et le recoupement des données d'un site à l'autre.

Des informations revendues ensuite à des annonceurs, permettant aussi chez Google, à travers Analytics, de potentiellement retracer presque entièrement la journée d'un internaute, au sein de ses services comme ailleurs. Une pratique identique à celle utilisée depuis par les réseaux sociaux et leurs fameux « boutons ».

Dès lors, on a du mal à comprendre comment des sites, dont les journalistes s'insurgent au quotidien contre les pratiques des GAFA, ou toute forme de surveillance, ne peuvent se préoccuper de ce qu'il se passe au sein de leurs propres pages.

L'éditeur n'a pas (totalement) le contrôle de ce qui est diffusé sur ses pages

Un sentiment partagé par les journalistes eux-mêmes, et parfois à un plus haut niveau dans les rédactions. Mais voilà, plus personne ne contrôle ce qui passe sur la page d'un éditeur, les espaces publicitaires étant vendus de manière programmatique aux enchères (RTB).

Ainsi, avec un simple script gérant un espace, on peut facilement se retrouver avec une cinquantaine d'éléments dans Ghostery. Pas étonnant donc de voir des dizaines de médias diffuser un ransomware comme relaté il y a quelques jours. Un cas d'infection certes exceptionnel, basé sur des failles de Flash, mais que l'on retrouve désormais presque chaque année sous une forme ou une autre. Et lorsque les équipes des éditeurs interviennent, il est trop tard pour les personnes touchées.

Que dit la loi ?

Comme le rappelle le site de la CNIL, l'article 32-II de la loi du 6 janvier 1978, modifié par l'ordonnance n°2011-1012 du 24 août 2011 a transposé la directive 2009/136/CE. En décembre 2013, une recommandation était publiée par la CNIL. L'année suivante, des contrôles à distance étaient annoncés, avant les premières mises en demeure.

La loi est claire, indique le site de la Commission : « le législateur européen a posé le principe d'un consentement préalable de l'utilisateur avant le stockage d'informations sur l'équipement d'un utilisateur ou l'accès à des informations déjà stockées sauf, si ces actions sont strictement nécessaires pour la délivrance d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur [...] En application de la loi informatique et libertés, les traceurs (cookies ou autres) nécessitant un recueil du consentement ne peuvent donc être déposés ou lus sur son terminal, tant que la personne n’a pas donné son consentement ».

Ce recueil de consentement s'applique aux éditeurs de sites, de systèmes d'exploitation et d'applications, aux régies publicitaires, aux réseaux sociaux et aux éditeurs de solutions de mesure d'audience. Il dépasse les cookies pour viser toute forme de technique servant au ciblage. Bien entendu, des exemptions existent, notamment pour les cookies techniques ceux assurant le bon fonctionnement d'un site. Dans tous les cas, leur durée de vie ne doit pas dépasser 13 mois.

Le consentement, c'est compliqué

La mise en œuvre de ces principes a posé quelques problèmes, certains résolus, d'autres non. Le premier concerne la méthode pour valider le consentement. Ici, la pratique semble assez souple puisque le fait de continuer à naviguer sur un site semble pour le moment valoir consentement (bien que la recommandation soit officiellement plus stricte).

Néanmoins, la position va changer avec l'application du règlement européen sur la protection des données (voir notre analyse), puisque celui-ci précise que le consentement doit être « donné par une action claire et affirmative » avec indication détaillée de l'usage des données. Si plusieurs types de traitements (audience, publicité, etc.) ou services sont concernés, l'utilisateur devra donner son accord pour chacun.

« Cela peut inclure cocher une case sur un site web ou choisir ses paramètres pour un service » propose le texte. « Le silence, des cases pré-cochées ou une inactivité ne doivent donc pas constituer un consentement » prévient-il. Cet accord doit être d'autant plus explicite pour les données sensibles, affirme encore le projet de règlement. L'entrée en application est prévue pour 2018.

Le cas de la mesure d'audience

L'autre point « tendu » était celui de la mesure d'audience. Celle-ci est vitale pour les éditeurs, non pas pour espionner leurs lecteurs, mais simplement pour savoir comment est utilisé leur site, ce qu'il faut améliorer, quels sont les articles qui sont les plus lus, etc.

Problème, si vous devez recueillir le consentement de l'utilisateur, votre audience s'effondre mécaniquement en apparence, alors qu'en réalité il n'en est rien. De quoi créer une distorsion dans les relevés entre ceux qui jouent le jeu et les autres, sur cet élément vital, notamment lié à des enjeux publicitaires.

La CNIL accepte donc une exemption pour les outils de mesure d'audience, mais sous conditions : une information doit être donnée aux utilisateurs, ils doivent pouvoir s'opposer au traitement, les données collectées ne doivent pas être recoupées avec d'autres traitements, le traceur déposé ne doit servir qu'à la production de statistiques anonymes sans permettre le suivi de la navigation sur différents sites. Les données de fréquentation brutes associant un identifiant ne doivent pas non plus être conservées plus de 13 mois.

Il y a aussi des restrictions sur l'utilisation de l'adresse IP pour géolocaliser l'utilisateur. Cela ne doit pas permettre de déterminer sa rue : seuls les deux premiers octets des adresses IPv4 peuvent être conservés et éventuellement utilisés pour de la géo localisation. Pour IPv6, cette règle ne concerne que les 6 premiers octets.

Ainsi, seuls certains outils sont acceptés et comme le dit la CNIL, « aujourd'hui, peu d'outils permettent de respecter ces différentes conditions ». C'est notamment le cas de Piwik et d'AT Internet, lorsque leurs services sont utilisés dans certaines conditions précises. Mais ce n'est pas du tout le cas de Google Analytics, pourtant massivement utilisé. La CNIL publie même un exemple de code d'intégration pour être « dans les clous ». 

Là aussi, il y a une subtilité qui tient, non dans le contenu des textes ou de la recommandation, mais dans son application. En effet, lors de ses enquêtes, la CNIL a fait le choix de sortir les outils de mesure d'audience du champ de l'analyse pour se concentrer sur le gros du problème. Pour autant, cela ne signifie pas que les éditeurs sont exempts de respecter les règles en la matière.

Le bandeau CNIL : un bon prétexte pour détourner le débat

Le dernier point est sans doute le plus emblématique : celui du « bandeau CNIL ». Il est à la fois source de moqueries et de mécontentement de toutes part. Il faut dire que la solution retenue a le défaut de demander un consentement pour chaque terminal, et chaque navigateur.

Autant dire qu'avec des centaines de sites et autant de prestataires capables d'exploiter des solutions de tracking, cela n'a aucun sens (nous y reviendrons). Sur son site, la CNIL recommande bien l'utilisation d'un bandeau mais l'article 37 est plus large :

« Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant : de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; ses moyens dont il dispose pour s'y opposer. »

L'important est donc à la fois d'informer l'utilisateur sur la finalité et des moyens d'opposition dont il dispose avant le recueil de son consentement. Néanmoins, il serait sans doute préférable qu'une solution technique intégrée aux navigateurs ou de manière plus profonde dans les OS, telle que Do Not Track, permette aux utilisateurs d'indiquer s'ils acceptent ou non un suivi à des fins publicitaires, d'audience ou autre, afin de simplifier la vie de tous et surtout proposer un « contrat » plus clair.

Certains sites respectent déjà Do Not Track, comme Twitter par exemple, d'autres proposent une option simple à configurer comme Facebook. Il faudra néanmoins trouver une solution pour le marché au sens large tant la diversité des acteurs peut être un problème.

Les contrôles : une procédure qui prend du temps et se fait dans le silence

Reste néanmoins la question des contrôles. Pour le moment, ils avaient été peu nombreux et ne s'étaient pas vraiment focalisés sur des sites comme ceux de la presse en ligne, pourtant en première ligne sur ces questions. L'année dernière, lors d'une conférence de presse, nous avions eu l'occasion d'interpeller Isabelle Falque-Perrotin sur le sujet.

En effet, à quoi est-ce que cela sert de modifier les règles, d'établir des recommandations, si ce n'est au final pour ne pas les faire appliquer à des acteurs qui se vantent d'attirer chaque jour des millions de lecteurs, et parfois même de disposer de millions de cookies à des fins publicitaires ?

Toujours lors de nos échanges, il nous avait été confirmé que c'était une préoccupation, mais que de tels changements ne peuvent se faire de manière brutale, pas plus que les enquêtes ou les mises en demeure, qui répondent à une procédure stricte, discrète, pouvant prendre du temps.

La CNIL rencontre les éditeurs, certains changent d'approche

Néanmoins, ces enquêtes sont bien en cours, et Éric Mettout nous a confirmé lors de l'émission qu'une rencontre a lieu ce matin avec la CNIL concernant le « débat » autour des trackers publicitaires et autres cookies. Pour le moment, il reste impossible de dire si cela mènera sur des mises en demeure ou une mise en conformité. Ce sont sans doute ces échanges qui vont commencer à décider de la direction qui va être prise.

De son côté, Emmanuel Parody nous a indiqué que des éditeurs étaient bien en train de reprendre l'ensemble de leurs contrats les uns après les autres afin de les étudier et de les dénoncer lorsqu'ils correspondent à des pratiques qui gênent l'utilisateur. Cela n'est pour autant pas toujours simple, certains contrats courant parfois sur plusieurs années.

Le GESTE a manqué l'occasion d'une meilleure communication

Pour le moment, cela ne concerne pas les membres du GESTE dans leur ensemble, ce que l'on ne peut que regretter. Mais les choses semblent avancer dans le bon sens, petit à petit. On a tout de même du mal à comprendre pourquoi ces actions positives n'ont pas été annoncées conjointement à la mise en place des procédures de blocage.

Car il n'y a sans doute rien de pire que de voir un site demander de le mettre sur liste blanche, de le faire, et se de prendre dans la foulée un habillage vidéo qui mange les trois quarts de l'écran.

Néanmoins les premiers résultats semblent satisfaire le GESTE et ses membres. Ils devraient faire l'objet d'une communication dans les jours à venir. Preuve que les internautes ne sont pas fondamentalement opposés à l'accès gratuit à l'information financée par la publicité, et qu'un discours assumé sur le sujet peut avoir des effets.

Sans respect des lecteurs, point de salut

Néanmoins, ils devraient rester opposés au fait de voir des formats publicitaires toujours plus indécents gêner leur navigation, alourdir leurs pages, consommer en masse leur forfait data mobile et récolter leurs données sous prétexte de distribution automatisée de la publicité sans contrôle a priori de la part des éditeurs. 

Comme pour d'autres industries, ceux-ci vont donc sans doute apprendre à reprendre la main, à réintégrer des métiers qu'ils ont laissés à d'autres (de gré ou de force). De quoi, surtout dans le cas de la presse, leur permettre ne plus traiter leurs lecteurs comme de la chair à données, mais plutôt comme une communauté qui a soif d'information, de qualité.

Une information qu'il faut financer, mais de manière responsable, pas à tout prix.


chargement
Chargement des commentaires...