Le consentement à l’heure du RGPD éclairé par les décisions de la CNIL

Publié le 18/02/2019 - CIO Online - E. Papin

Pour lire l’article d’Etienne Papin, Avocat associé, du 18 février 2019 pour CIO Online.

Les enseignements à tirer des premières décisions de la CNIL sur le ciblage publicitaire à l’heure du RGPD : quand on veut, on peut…

La sanction rendue par la CNIL à l’encontre de Google le 21 janvier dernier est à la fois spectaculaire et dérisoire. Spectaculaire parce que l’amende de 50 millions d’euros prononcée par la CNIL est la plus élevée jamais prononcée en matière de protection des données personnelles par l’autorité de régulation française. Insignifiante parce que les 50 millions d’amende ne pèseront rien dans les résultats du mastodonte Alphabet.

Third-party cookies, pixels invisibles, SDK, boutons de partage Facebook et autres réseaux sociaux, etc. les technologies pour tracer le comportement de l’utilisateur d’internet ou de smartphones sont de plus en plus discrètes, complexes et puissantes. La confrontation entre les technologies de ciblage publicitaire et le RGPD était inévitable. Les premières sanctions tombent.

La décision Google, mais aussi les mises en demeure adressées à des sociétés spécialisées dans la publicité par géolocalisation de smartphones, permettent de lever le voile sur l’opacité des pratiques des régies publicitaires sur internet et sur les évolutions que la CNIL entend imposer.

Le propos du RGPD (faut-il encore rappeler que l’acronyme désigne le règlement européen du 27 avril 2016 relatif à la protection des données personnelles) est de redonner à l’utilisateur le pouvoir sur le traitement de ses données personnelles.

Et c’est bien une question de pouvoir qui est au centre du débat.

Le pouvoir de consentir

Lorsque l’article 6 du RGPD commande que le consentement au traitement des données personnelles soit obtenu de la personne concernée, ce consentement doit revêtir une certaine qualité.

Celui-ci doit être « spécifique ». Le considérant 32 du RGPD se veut didactique sur ce point : « il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité ». Le considérant 43 précise qu’un consentement distinct doit pouvoir être donné à différentes opérations de traitement ou différentes finalités de traitement.

Dans sa décision du 21 janvier 2019, la CNIL constate que Google échoue à remplir ces obligations. C’est en effet par une succession d’actions peu intuitives que l’utilisateur qui crée un compte Google va pouvoir interdire, et non pas accepter, que Google traite ses données à des fins de « personnalisation de la publicité ». Sur la page de création du compte, il faut d’abord songer à cliquer sur « plus d’options », et l’écran qui suit contient les choix en matière de personnalisation publicitaire mais ceux-ci sont pré-cochés. La CNIL constate que « si l’utilisateur a la possibilité de modifier la configuration des paramètres de son compte préalablement à sa création, une action positive de sa part est nécessaire pour accéder aux possibilités de paramétrage du compte ». Dès lors, « étant autorisés et masqués par défaut, les traitements de personnalisation de la publicité ne sauraient être considérés comme ayant été acceptés par l’utilisateur par un acte positif spécifique et univoque ».

Même constat de la CNIL dans les procédures diligentées, notamment, à l’encontre des sociétés FIDZUP et TEEMO. Les SDK de ces sociétés sont embarqués dans des applications pour smartphones et ont pour fonction de récupérer, à intervalle régulier, l’identifiant publicitaire du smartphone et sa géolocalisation. Ces informations sont utilisées pour proposer ensuite à l’utilisateur des publicités en rapport avec les lieux qu’il a fréquentés. Au moment de l’installation des applications embarquant de tels SDK, la CNIL a constaté que l’utilisateur n’était pas informé de la collecte de ses données de géolocalisation via le SDK à des fins de profilage et de ciblage publicitaire. La simple acceptation de l’accès aux services de géolocalisation par l’application sous cette forme : « Autoriser […] à accéder à votre position ? » n’est, en effet, pas suffisante car l’utilisateur ne peut comprendre de cette question que, outre l’application, un tiers accède et collecte à des fins publicitaires ses données de géolocalisation. En outre, l’utilisation de l’application n’était pas possible sans l’installation de ce SDK.

Par la suite, les sociétés contrôlées ont développé des bannières s’affichant lors de l’installation des applications, avant la collecte des données, permettant de recueillir un consentement libre, spécifique, éclairé et résultant d’une action positive des personnes. Les procédures contre ces sociétés ont donc été clôturées.

On constate ces derniers mois, sur de nombreux sites web, des modules de gestion des cookies qui apparaissent lors de la première visite sur le site.

L’entreprise peut sembler vertueuse mais on ne pourra que constater que bien peu répondent aux exigences du RGPD rappelées dans les décisions ci-dessus. Le consentement doit, en effet, résulter d’un « un acte positif clair » lequel n’est pas au rendez-vous lorsque l’acceptation des cookies est pré-cochée et lorsqu’il est nécessaire d’accéder à des options pour pouvoir désactiver un à un ou globalement les cookies.

En réalité, lorsque l’on veut recueillir le consentement clair, spécifique et non-contraint d’une personne au traitement de ses données… rien n’interdit de le faire.

Le pouvoir d’être clair

Pour qu’une personne puisse valablement consentir au traitement de ses données personnelles, celle-ci doit recevoir une information facilement accessible et claire sur ce que recouvre ce traitement (art. 12 RGPD).

La CNIL pointe trois écueils dans lesquelles Google est tombée s’agissant de l’accessibilité des informations :

  • Les informations sont éparpillées dans plusieurs documents. Il faut cliquer sur des liens dans le premier document pour obtenir des informations dans d’autres documents auxquels ces liens renvoient.
  • Les informations qui doivent être fournies obligatoirement au titre de l’article 13 du RGPD sont disséminées au milieu d’autres informations, obligeant l’utilisateur à une lecture fastidieuse et attentive.
  • Les mêmes informations figurent à différents endroits sous diverses formes, obligeant l’utilisateur à une comparaison entre les informations afin de savoir quelles sont les données qui sont collectées.

La CNIL met en exergue que cinq actions sont nécessaires à l’utilisateur pour accéder à l’information relative à la personnalisation des annonces publicitaires et six en ce qui concerne la géolocalisation.

La décision de la CNIL ne souffre pas la critique sur ce point. En effet, force est de constater que si l’on souhaite présenter simplement les informations que l’on doit à l’utilisateur, rien n’interdit de le faire…

S’agissant de la clarté de l’information, il est vrai que vu la complexité des techniques parfois déployées pour collecter, recouper et analyser les données, un effort didactique s’impose.

La première source d’étonnement pour l’utilisateur mal informé sera la diversité des sources d’information de Google puisque les données proviennent de l’utilisation du téléphone (notamment l’historique de navigation web, l’historique d’usage des applications, les carnets d’adresses, la géolocalisation de l’équipement), de l’utilisation des services comme Gmail ou Youtube (mais la CNIL en relève une vingtaine), de sites tiers qui utilisent, par exemple, Google analytics.

La CNIL propose une catégorisation instructive des données traitées par Google :

  • données produites par la personne (par exemple, son nom, son mot de passe, son numéro de téléphone, son adresse courriel, un moyen de paiement, des contenus créés, importés ou reçus, tels que des écrits, des photos ou des vidéos).
  • données générées par son activité (par exemple, l’adresse IP, des identifiants uniques de l’utilisateur, les données de réseau mobile, les données liées aux réseaux sans fil et aux appareils Bluetooth, l’horodatage des actions effectuées, les données de géolocalisation, les données techniques des appareils utilisés y compris les données relatives aux capteurs (accéléromètre, etc.), les vidéos vues, les recherches effectuées, l’historique de navigation, les achats, les applications utilisées, etc.
  • données dérivées ou inférées à partir des données fournies par cette personne ou son activité.

La CNIL relève que ces données sont susceptibles de révéler avec un degré de précision important de nombreux aspects parmi les plus intimes de la vie des personnes, dont leurs habitudes de vie, leurs goûts, leurs contacts, leurs opinions ou encore leurs déplacements.

Le vice en matière d’information que pointe ici la CNIL, au regard de la complexité des traitements mis en œuvre, est la généralité de l’information délivrée : « proposer des services personnalisés en matière de contenu et d’annonces, assurer la sécurité des produits et services, fournir et développer des services, etc ». Rien qui ne soit suffisamment précis pour rendre compte de ce que Google fait effectivement avec ces données.

La morale de l’histoire

Toutes les sociétés ne peuvent pas se permettre de payer 50 millions d’euros à la CNIL. Dès lors, l’utilisation par une entreprise, directement ou pour son compte, de techniques de profilage afin de diffuser des messages publicitaires personnalisés requiert la plus grande attention.

La problématique est renforcée par la multiplicité et l’opacité des acteurs. La liste des sociétés tierces déposant des cookies lors de l’arrivée sur un site web est parfois ahurissante et la finalité des cookies en question absconse.

Les entreprises ayant recours à des plateformes de Real Time Bidding (RTB), que ce soit pour l’achat (Demand Side Plateform) ou pour la vente (Supply Side Plateform) d’espaces publicitaires, seraient avisées à s’interroger sur la parfaite conformité des pratiques qui y ont cours au regard du RGPD et du rôle qu’elles y prennent part.

Si les obligations liées au consentement des personnes et à leur information sont claires, la question de savoir sur qui elles reposent les moins : responsable ou co-responsable de traitement, sous-traitant ? Qui est qui et qui fait quoi dans le marketing on-line est loin d’être clair. Or, ce n’est pas parce qu’elle passe par une régie ou une agence de communication que la responsabilité de l’annonceur ou du support sera nécessairement écartée en cas de manquement au RGPD.

Pour lire l’article d’Etienne Papin du 18 février 2019 pour CIO Online.

Autres publications