L’économie numérique et la croissance de nombreuses sociétés reposent en grande partie sur le marketing et la publicité en ligne que le G29[1] appelle volontiers « carburant de l’économie numérique[2] ». Cependant la publicité ciblée en ligne, qui ces trois dernières années à connu un essor fulgurant, pose de sérieuses interrogations juridiques. Les sites internet, aussi bien éditeurs qu’hébergeurs sont devenus parallèlement à leur activité principale des fournisseurs de réseaux publicitaires.
Comme le rappelle justement le président de la CNIL[3], il existe un fossé abyssal entre la conception américaine et européenne des données à caractère personnel. La première veut que ces données servent une utilisation commerciale, la deuxième veut que ces données soient avant tout considérées comme des attributs de notre personnalité. Il s’agit d’un clivage entre patrimonialisation et extra-patrimonialisation de ces données. S’impose la constatation de ce qu’une donnée personnelle comporte aujourd’hui un aspect patrimonial indéniable et ce dans le monde entier à l’image du web.
Les fournisseurs de réseaux publicitaires possèdent aujourd’hui les moyens techniques afin de tracer les internautes sur différents sites dans le temps, dans le but de les profiler et finalement offrir aux annonceurs les moyens d’une publicité ciblée. Si la publicité ciblée en ligne comporte des avantages incontestables aussi bien pour le consommateur que pour le professionnel, les techniques employées sont accusées d’être intrusives, de ne pas protéger la vie privée et les données personnelles des internautes.
Est pris pour illustration l’internaute qui consomme de l’information médicamenteuse sur internet ou qui commande des produits pharmaceutiques en étant suivi par le biais de cookies. Dès lors, il est invoqué le risque que l’on puisse reconstituer son profil médical et déterminer les maladies dont il souffre[4]. Ce type d’information est susceptible d’intéresser employeurs, banques et assurances, sans compter les escrocs classiques. Dès lors, si la publicité ciblée utilise majoritairement un système de traçage, son potentiel en termes de dérives est grand, ce pourquoi il devrait s’opérer dans le respect de la protection légale des données personnelles.
Néanmoins, il est d’une nécessité impérieuse de connaitre le fonctionnement de la publicité ciblée en ligne, et du profilage qui en résulte pour savoir dans quelle mesure cette pratique est encadrée par le régime de protection de la loi du 25 janvier 1978 relative à la protection des données à caractère personnel. Dans cette optique il importe de rechercher qui sont les responsables de traitement des données utilisées à des fins de publicité ciblées, puis si ces données sont des données à caractère personnel aux sens de la loi, et enfin la personne qui sera responsable de leur traitement. Cette recherche est difficile ; d’une part les données recueillies par les opérateurs sont disparates, d’autre part de nombreux opérateurs se confondent, in fine les techniques employées sont elles aussi variées.
Les données recueillies par les fournisseurs de réseaux publicitaires sont extraordinairement nombreuses. Elles englobent les données qui sont positivement laissées par les internautes à travers leurs informations personnelles (âge, famille, profession…) et leurs contenus (photos, musiques, liens…)[5]. Bien évidemment, le réseau offrant des services de publicité comportementale sur internet aura tout intérêt à pouvoir croiser ces données.
Les protagonistes de la publicité ciblée en ligne sont nombreux. Le diffuseur possède un site internet et crée des espaces spécialement destinés à être loués à des annonceurs pour accueillir leurs encarts ou annonces publicitaires de manière à tirer des revenus directs de la publicité générée sur son site. L’annonceur recherche lui à diffuser ses annonces publicitaires auprès d’un public ciblé et recherche à occuper ces espaces. Personnage clef, le fournisseur de réseau publicitaire joue un rôle d’intermédiation entre les annonceurs et les diffuseurs, et il est bien souvent lui même le diffuseur. Il est chargé de distribuer les annonces aux diffuseurs en obtenant un effet optimal. Le fournisseur de réseau publicitaire détient les technologies de ciblage et les bases de données.
Ces opérateurs se confondent, concrètement la société Facebook est à la fois un fournisseur de réseau publicitaire et un diffuseur. La publicité comportementale sur ce réseau social passera par des annonces et encarts sur les interfaces des utilisateurs du site Facebook qui en tant que diffuseur réserve ses espaces à cet effet. En tant que fournisseur de réseau publicitaire, la société Facebook sera sollicitée par l’annonceur, qui aura défini le public ciblé (tranche d’âge, célibat, centres d’intérêts etc.). En tant que diffuseur, Facebook appliquera la technique de ciblage et le placement des annonces demandé. Dans d’autres hypothèses, le fournisseur de réseau publicitaire n’est pas lui même diffuseur, et de par son rôle d’intermédiation rapproche les annonceurs et les diffuseurs sur un modèle proche du courtage. Ainsi l’annonceur ne connaît pas le plus souvent les diffuseurs, ou sites qui diffusent son annonce
Les techniques de publicité ciblée sont variées. Un consensus admet aujourd’hui qu’il existe trois formes[6] de publicité ciblée sur internet :
- La publicité contextuelle, choisie en fonction du contenu immédiat de la page internet consultée par l’internaute.
- La publicité personnalisée ou segmentée, choisie en fonction des caractéristiques connues de l’internaute et d’informations qu’il a lui-même fournies.
- La publicité comportementale, qui permet d’observer le comportement de l’internaute à travers le temps, de le tracer, d’en déduire son profil pour lui proposer des publicités adaptées.
La publicité comportementale ne repose pas sur des « instantanés » (ce que les internautes regardent ou font en temps réel sur un site ou sur les informations fournies), mais trace l’internaute. Les problèmes juridiques posés par la publicité ciblée en ligne reposent en majorité sur ce type de publicité, qui est à même de fournir une image très détaillée des internautes et de leur vie en ligne, et surtout, possède le caractère le plus intrusif et opaque a leurs yeux. La publicité comportementale ou « behavioural advertising » utilise des « cookies » et des « balises web »[7] pour suivre les activités de l’internaute, telles que les recherches effectuées sur les pages web visitées ou le contenu consulté sur ces pages. A partir de ce suivi, de la publicité ciblée est envoyée aux internautes en fonction de leurs centres d’intérêt, soit par l’envoi de courriers électroniques promotionnels, soit lors de leur navigation dans des espaces publicitaires.
En procédant par étapes, le fournisseur de réseau publicitaire dépose un cookie traceur dans l’équipement terminal de l’internaute. Ensuite des balises web tracent l’internaute (visites, clics, mots-clefs…), ainsi des données sont collectées et forgent le cookie en fonction du profil de navigation de l’internaute. L’internaute sera ensuite reconnu par son adresse IP ou son cookie sur certains sites, ce qui permettra à la régie publicitaire de lui adresser les publicités correspondantes, directement sur le site visité, via des sites partenaires ou par mail. Les cookies qui remplissent cette fonction sont aussi appelés des « cookies comportementaux »[8]. Le caractère intrusif des cookies résulte de ce qu’ils ne sont a priori reconnus donc lus ou modifiés que par le site qui est à l’origine de son implantation dans l’équipement terminal de l’utilisateur mais qu’a fortiori cette reconnaissance du cookie pourra avoir lieu sur différents sites au cours de la navigation de par les partenariats entre les fournisseurs de réseaux publicitaires, d’où une multiplication des sollicitations et un caractère intrusif dans la vie privée de l’internaute « insatisfait »[9] (Annexe n° 4).
Eu égard à la complexité de la publicité ciblée sur internet, la protection des données personnelles assurée par la loi « informatique et libertés » encadre-t-elle suffisamment les pratiques des opérateurs ?
I. L’actuelle protection des données personnelles par la loi « informatique et libertés » est inefficace dans le contexte de la publicité ciblée en ligne.
L’inefficacité de la « loi informatique et libertés » résulte des incertitudes sur sa vocation à englober les techniques de publicité ciblée sur internet de par son champ d’application matériel (A). Cette inefficacité transparaît dans le régime que cette loi impose aux opérateurs, par le faible pouvoir de contrainte des obligations qu’elle impose (B).
A - Une difficile adéquation entre le champ d’application matériel de la loi du 6 janvier 1978 et les techniques de publicité en ligne.
Le champ matériel de la loi « informatique et liberté » peut s’appliquer aux techniques de publicité ciblée en ligne, sans que la question ne soit réellement tranchée à propos des cookies (a). Cette application se veut compliquée par la recherche d’un responsable de traitement au cas par cas (b).
a) Un débat non tranché sur l’inclusion du cookie dans la catégorie des données à caractère personnel.
Selon l'article 2 alinéa 2 de la loi "informatique et libertés"[10], une donnée à caractère personnelle recouvre « toute information relative à une personne physique identifiée, ou qui pourrait l'être directement ou non, par référence à un numéro d'identification ou d'autres éléments qui lui sont propres ». Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des moyens en vue de permettre son identification dont dispose, ou auxquels peut avoir accès, le responsable du traitement ou toute autre personne.
La définition d’une donnée à caractère personnelle selon la loi du 6 janvier 1978 et les avis du G29, en particulier l’avis 4/2007 du 20 juin 2007 ainsi que selon la directive 95/46/CE, vise les données qui permettent de rendre une personne « identifiable ». Ainsi, peu importe que la personne à qui les données sont relatives soit identifiée pour qu’une donnée soit qualifiée de personnelle, il suffirait qu’elle soit identifiable à partir de ces données.
Aujourd’hui le débat est pratiquement clos s’agissant de l’inclusion de l’adresse IP dans le champ des données à caractère personnel, la CJCE elle-même s’est prononcée en ce sens[11], de même que la réforme de la loi du 6 janvier 1978 semble tendre inexorablement vers cette inclusion car la proposition de loi des sénateurs Détraigne et escoffier[12] inclut l’adresse IP dans la catégorie des données à caractère personnel même si cette proposition est en cours d’examen par l’assemblée nationale. En toute hypothèse elle est selon la jurisprudence une donnée à caractère personnel dès que permettrait de retrouver et identifier l’auteur d’un contenu. La Cour de cassation n’a pas tranchée la question du statut de l’adresse IP.
Un cookie traite-t-il alors des données à caractère personnel ? La CNIL à travers l’avis 2/2010[13] « sur la publicité comportementale en ligne » du G29 estime que les techniques de publicité comportementale impliquent souvent le traitement de données à caractère personnel au sens de l’article 2 de la directive 95/46/CE et de l’interprétation du G29 ci-dessus évoquée. Le même avis se fonde sur la collecte d’adresses IP et le traitement d’identifiants uniques par les cookies (ces identifiants permettent de tracer l’internaute en cas de changement de son adresse IP). Selon le G29 ces dispositifs permettent d’identifier la personne concernée, et la personne est identifiable par un cookie. Le G29 dans son avis 1/2008 sur « les aspects de la protection des données liés aux moteurs de recherche » considère qu’un cookie contenant un identifiant d’utilisateur unique, « il devait être considéré lui-même comme une donnée à caractère personnel ».
Le sénat dans son rapport en date de mai 2009 « la vie privée à l’heure des mémoires numériques[14] » avait pourtant observé que le traçage dans la plupart des cas reste anonyme car le comportement de l’internaute compte plus que son identité réelle. De même qu’a travers une recommandation du forum des droits sur internet sur « la publicité ciblée en ligne[15] », les acteurs économiques défendent que l’identité de la personne n’a aucun intérêt ni valeur, et assurent qu’ils n’ont pas les moyens d’une identification. Cependant, la loi va en sens contraire et joue si l’identification est possible. Ceci ne semble être que bon sens puisque dans le domaine de l’informatique, les moyens frauduleux d’accès aux données détenues par autrui sont étendus et courants, le principe de précaution voudrait que de telles données ne tombent pas entre les mains de tiers qui ont les moyens et/ou un intérêt malveillant à identifier la personne concernée.
Dans la mesure où le débat sur la nature juridique de l’adresse IP n’est pas tranché, il est difficile de dire si le cookie traite de données à caractère personnel. Cependant, selon l’esprit de la directive 95/46/CE et son interprétation large de ces données, l’avis 2/2010 du G29, et la proposition de loi devant l’assemblée nationale, tout porte à croire que le cookie entre dans le champ d’application matériel de la loi du 6 janvier 1978[16].
Selon la CNIL, ce n’est pas parce qu’il y a publicité ciblée, que cela implique un traitement de données à caractère personnel[17] : il y en a uniquement « dès lors que la publicité ciblée repose par exemple sur des goûts et des comportements qui peuvent être rattachés à des individus identifiés ou identifiables, elle doit être opérée dans le respect des principes de protection des données » puisqu’elles constituent des données à caractère personnel. A partir de ce constat, il faut déduire que :
- S’agissant de la publicité ciblée employant des cookies, l’application de la loi de 1978 est incertaine car l’on ne sait si elle se rattache à des individus identifiés ou identifiables, le débat n’étant pas tranché.
- S’agissant de la publicité personnalisée, l’application de la loi de 1978 sera étendue, du moins elle s’y assujettit facilement dès lors que les profils dressés par les internautes contiennent des données personnelles (nom, adresse, e-mail, préférences et goûts etc.) utilisées à des fins de publicité. Il en ira donc ainsi dans le cas « des profils effectués à partir de comptes créés par les internautes et utilisés dans le cas d’une publicité personnalisée ». Reste que l’application de la loi sera complexe eu égard à la difficile recherche d’un responsable de traitement.
b) Une recherche du responsable de traitement au cas par cas.
Au regard de la directive 95/46/CE et de l’article 3§1 de la loi du 6 janvier 1978, le responsable de traitement détermine « les moyens et les finalités » du traitement des données à caractère personnel. Cependant, les auteurs s’accordent aujourd’hui à dire que seul le pouvoir de détermination de la finalité du traitement sera suffisant pour identifier le responsable du traitement[18] . Ainsi le responsable de traitement sera en définitive la personne qui dispose d’un pouvoir de décision sur le traitement effectué. Cela n’exclut pas que deux personnes soient Coresponsables du même traitement[19]. Eu égard aux nombreux acteurs de la publicité ciblée en ligne, il convient de rechercher dans quelle mesure chaque opérateur peut être qualifié de responsable de traitement.
- Les fournisseurs de réseaux publicitaires déterminent les finalités et les moyens du traitement. Les moyens de collecte et de traitement de données comme les adresses IP sont mis en œuvre en vue du profilage d’internautes dans le but de faire louer les espaces sur les sites web des diffuseurs, ou de louer ces espaces sur leur propre site dans le cas ou ils sont eux même diffuseurs. Le fournisseur de réseau publicitaire est ainsi responsable de traitement en toute circonstance alors qu’il est l’opérateur le plus difficile à identifier aux yeux de l’internaute, qui perçoit sur son écran sans difficulté le diffuseur et l’annonceur. Ainsi la CNIL dit explicitement que les régies publicitaires de Google, Yahoo! et Microsoft sont des responsables de traitement.
- Les diffuseurs ne semblent pas contrôler les finalités et les moyens du traitement. Selon la CNIL ils peuvent être qualifiés de Coresponsable du traitement[20]. En pratique les diffuseurs contribuent à l’envoi de publicité personnalisée quand leurs sites web sont configurés de telle façon que la simple visite de leur site renvoie l’internaute sur le site du fournisseur de réseau publicitaire : Le diffuseur permet de transmettre au fournisseur l’adresse IP, qui déposera un cookie dans le terminal de l’utilisateur pour lui envoyer de la publicité ciblée (on parle de l’usage de cookies tiers). Les diffuseurs sont donc Coresponsables de traitement dès lors qu’ils déclenchent le transfert de l’adresse IP, moyen de la publicité ciblée, et Co déterminent la finalité de ce traitement à savoir l’envoi de publicité.
Dans le cadre de l’actuelle loi « informatique et libertés », au problème de son identification se superposera la question de savoir de quelles obligations est tributaire le responsable de traitement identifié. Le G29 spécifie que seule les dispositions pertinemment applicables de la directive 95/46/CE s’imposent à tous les opérateurs responsables, comme l’obligation d’information, a contrario le droit d’accès n’aura pas vocation à s’appliquer quand les données ne sont pas conservées par le diffuseur. Un diffuseur sera cependant pleinement assujettit aux obligations de la directive si conserve et envoi des données personnelles au fournisseur. En conséquence, le diffuseur, selon son niveau d’implication dans le traitement de données à caractère personnel sera sujet aux obligations imposées au responsable de traitement, selon l’avis 2/2010 du G29.
- Les annonceurs ne seront responsables de traitement que s’ils ont accès à des données personnelles et les traitent. Ce traitement ne recouvre cependant pas directement le cas de la publicité ciblée en ligne et le G29 ne se prononce pas sur leur responsabilité dans l’avis 2/2010. Pour certains auteurs[21], les annonceurs tels que les développeurs d’application sur Facebook-« ads »- qui peuvent collecter des données à caractère personnel via le réseau social, ou l’entreprise qui commande une publicité ciblée sur le réseau, déterminent toutes les deux les finalités du traitement, ainsi que le moyen du traitement. Dans les deux hypothèses, il semble qu’ils seraient Coresponsables du traitement avec le fournisseur de réseau publicitaire.
B - Des obligations peu contraignantes pour les opérateurs de la publicité ciblée en ligne.
L’obligation d’information imposée aux opérateurs est limitée (a), tandis que les obligations pleinement applicables aux opérateurs sont pratiquement difficiles à mettre en œuvre (b).
a) Une obligation d’information à l’étendue limitée.
L’article 32 de la loi « informatique et libertés » (Annexe n° 3) impose une obligation d’information au responsable de traitement. Son objet ? En premier lieu une obligation d’information sur la finalité poursuivie par le traitement auquel les données sont destinées, et les destinataires de ces données. Ensuite l’information doit porter sur les droits des personnes à l’égard des traitements de données. Enfin elle doit spécifier l’éventuel transfert de données hors U-E. Cet article permet que l’information puisse se cantonner à la finalité du traitement et à l’identité du responsable de traitement en cas d’anonymisation ce qui vaut pour l’ensemble des techniques de publicité en ligne.
L’obligation d’information ne concernant pas les moyens du traitement, le législateur à travers la « proposition de loi visant à mieux garantir le droit à la vie privée à l’ère du numérique[22] » envisageait déjà de réécrire l’article 32 de la loi du 6 janvier 1978, en imposant non seulement l’information sur la finalité du traitement mais aussi sur la nature des informations collectées. Cette obligation supplémentaire visait à renforcer l’obligation d’information en matière de « cookies traceurs » de la part du responsable de traitement.
Ses modalités ? La loi par ce même article dispose que : « Toute personne utilisatrice des réseaux de communications électroniques doit être informée de manière claire et complète par le responsable du traitement ou son représentant : - de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations stockées dans son équipement terminal de connexion, ou à inscrire, par la même voie, des informations dans son équipement terminal de connexion ; - des moyens dont elle dispose pour s’y opposer » (Annexe n° 3).
La manière dont les opérateurs remplissent aujourd’hui cette obligation fait débat. La « politique de confidentialité[23] » de Facebook ainsi que sa « déclaration des droits et responsabilités [24]» évoquent toutes les deux le fait que les informations personnelles sur les membres du réseau peuvent être utilisées à des fins publicitaires. L’information porte bien sur la finalité de la collecte d’information et l’identité du fournisseur de réseau publicitaire. Or la personne qui souhaite s’inscrire sur un réseau tel que facebook n’aura pour se faire qu’a cliquer sur l’encart « inscription » au dessous duquel est mentionné que cette inscription, ce « click », vaut acceptation de la politique de confidentialité et de la déclaration des droits et responsabilités vers lesquelles deux liens hypertextes distincts renvoient. Alors qu’une information se voudrait claire et complète en faisant l’objet d’un affichage obligatoire aux yeux du futur membre, la loi est beaucoup moins exigeante de sorte que le régime de l’ « Opt-out [25]» en matière de publicité ciblée domine.
En effet, la clarté de l’information au sens de l’article 32 porte uniquement sur l’information objectivement fournie et son contenu, à distinguer du consentement de l’utilisateur qui porte sur la manière dont les informations sont fournies. Ainsi rien n’impose que cette information claire soit lue, du moins vue par un internaute donc un « Opt-in » ou consentement préalable sur ce fondement n’est pas envisageable, ce pourquoi il faudra une réforme de cet article pour encadrer tout spécialement les cookies.
Du reste, pour la publicité ciblée dite « personnalisée » (crée en fonction des caractéristiques fournies par l’internaute), la loi « informatique et libertés » ne suffit pas à lier l’information de l’utilisateur à son consentement préalable. Si l’article 6 de la loi informatique et libertés impose un traitement loyal, cette loyauté pourrait imposer que l’information de l’utilisateur soit déterminante de son consentement à faire l’objet d’une publicité ciblée. Cet article pourrait imposer un « Opt-in » ou consentement préalable. Cette construction est impossible, d’une part parce qu’elle ne pourrait naître que d’une jurisprudence inexistante en l’absence de contentieux actuel en la matière, d’autre part car cette jurisprudence serait contra legem puisque l’article 7 (Annexe n°3) de la loi informatique et libertés permet de déroger au consentement à faire l’objet d’un traitement dès lors que le responsable poursuit un intérêt légitime, (l’interprétation de cet intérêt est si large qu’il fait du consentement préalable une exception) .
Il en résulte que l’obligation d’information de la loi « informatique et libertés » n’est que peu protectrice des données personnelles à l’heure actuelle, au grand bonheur des opérateurs qui en toute quiétude continuent à cacher des informations légales au milieu de leur conditions générales de vente ou chartes.
b) La difficile mise en œuvre d’un droit d’accès, de rectification, d’effacement et d’opposition.
Selon l’article 38 de la loi « informatique et libertés » (Annexe n°3), toute personne à le droit de s’opposer sans frais, à ce que les données soient utilisées à des fins de prospection, notamment commerciales. En vertu de l’article 32 de la même loi celui dont les données personnelles sont collectées à des fins de prospection doit être informé de son droit d’opposition.
A la lecture du rapport du CNC[26], l’on constate que dans le cadre de la prospection commerciale par voix électronique au sens de l’article L 34-5 du CPCE inappliqué aux cookies, (V. infra. II. A .a) pour laquelle un consentement préalable est requis, un droit d’opposition est rendu théorique par le fait qu’il n’existe pas de parallélisme des formes entre l’opposition et la prospection. Les opérateurs exigent en effet le plus souvent l’opposition par voix postale, à une adresse difficilement trouvable. Si conforté par un Opt-in, censé protecteur du consommateur, ce dernier se retrouve incapable en pratique d’exercer son droit d’opposition face a des démarches dissuasives, l’on imagine le caractère aujourd’hui inexistant du droit d’opposition en matière de publicité ciblée.
Ce droit des personnes à l’égard du responsable de traitement, à pourtant été renforcé par un décret modifié du 25 mars 2007 et ce au-delà de la prospection commerciale. A ce titre le responsable de traitement doit mettre l’intéressé en mesure d’exercer son droit avant la collecte des données. L’exercice de ce droit d’opposition suppose donc « qu’avant leur inscription dans un fichier, les personnes aient été avisées préalablement à cette inscription de ce que les informations nominatives les concernant étaient susceptibles de faire l'objet d'un traitement »[27]. Ce droit d’opposition veut donc 1/ la mise en œuvre du droit d’information de l’utilisateur à distinguer du recueil de son consentement. 2/faire échapper les données recueillies au traitement pour un motif légitime de l’internaute. Littéralement, ce texte pourrait imposer un consentement préalable à l’envoi de cookies par un opérateur, de par la nécessité de faire respecter son droit d’opposition. A défaut, ce droit reste résiduel à l’heure actuelle mais est mis en œuvre par un Opt-out par les opérateurs qui d’ailleurs est recommandé a titre de bonne pratique[28] au sens de l’IAB France et du SNCD (Syndicat national de la communication directe) autant que par l’UDA (Union des annonceurs) (Annexe n°5).
L’article 39 (Annexe n°3) de la loi du 25 janvier 1978 veut que toute personne justifiant de son identité puisse avoir accès aux données à caractère personnel les concernant. En vertu de cet article, l’internaute peut demander au responsable de traitement plusieurs informations, dont la confirmation que des données collectées la concerne, les finalités et destinataires du traitement, l’éventuel transfert hors U-E des données. L’article 40 de la loi « informatique et libertés » permet à l’internaute d’user de son droit de rectification des données les concernant, ce pouvant aller jusqu'à l’effacement, lorsque les données sont notamment incomplètes, inexactes ou périmées. Les fournisseurs de réseaux publicitaires ont déjà pris des mesures destinées à garantir à la fois un droit d’accès et un droit de rectification subséquent au sens de la loi « informatique et libertés » et de la directive 95/46/CE. Ces droits sont effectifs par la mise en place d’un accès de l’internaute aux catégories de centres d’intérêt auxquelles ils ont été associés, ces catégories pouvant être modifiées et supprimées.
Cependant, les droits garantis par la loi du 25 janvier 1978 ne sont pratiquement jamais mis en œuvre par l’internaute qui considère que cette tache est fastidieuse et disproportionnée au regard des mesures qu’il pourra obtenir de la part d’un seul opérateur, en atteste le rapport du CNC (Annexe n°4).
II. La révision de la loi informatique et libertés : - Une protection spécifique des données en matière de cookies.
La directive cadre dite « paquet Telecom » vise à renforcer la protection des données personnelles par un Opt-in dans le cas spécifique de l’utilisation de cookies par les opérateurs de la publicité ciblée en ligne (A). Cependant, les modalités du recueil du consentement se veulent équilibrées(B).
A- Un Opt-in au champ matériel visant l’emploi des cookies par la publicité ciblée en ligne.
L’Opt-in s’impose aux opérateurs en tant que régime dérogatoire inséré dans la loi informatique et libertés (a), ce qui leur impose de recueillir le consentement préalable de l’internaute pour l’envoi de cookies (b).
a) Un régime dérogatoire inclus dans la loi « informatique et libertés ».
La directive 2002/58/CE[29] «vie privée et communications électroniques » est modifiée par la directive « paquet télécom[30] » de 2009. Son article 5§3 prévoit ainsi une protection de la confidentialité des communications dans le cas concret de l’utilisation de cookies et de dispositifs similaires[31] (Annexe n°1). Cette directive « paquet télécom » doit être transposé en droit interne avant mai 2011.
Le G29 à travers son avis 2/2010, précise comment doivent interagir les deux directives : La loi du 25 janvier 1978 sera applicable sauf en ce qui concerne les dispositions de la directive 2002/58/CE (en cours de modification par la directive paquet Telecom) qui régissent spécifiquement la question du consentement et se rapportent essentiellement à l’article 7 de la directive 95/46/CE sur la légitimation des traitements de données et donc à l’article 7 de la loi « informatique et libertés »[32]. Il faut en déduire que la loi « informatique et libertés » s’appliquera sauf en ce qui concerne son article 7 régissant la question du consentement.
Le G29 considère aussi que le principe de traitement loyal et licite consacré par l’article 6 de la directive 95/46/CE est compris par l’article 5§3 de la directive 2002/58/CE modifiée dans la mesure où elle retient la condition de transparence. L’application de la directive « paquet Telecom » réitère ici simplement le principe de loyauté et de licéité en matière de publicité ciblée.
Il est d’une importance capitale de savoir dans quelle mesure la directive 2002/58/CE modifiée par la réforme paquet télécom s’applique à l’exclusion des dispositions de la directive 95/46/CE car son article 5§3 (Annexe n°1) s’applique « a ceux qui placent des cookies et/ou récupèrent des informations à partir des cookies déjà stockés dans l’équipement terminal de la personne concernée (…) il importe peu que l’entité qui place ou lit le cookie soit un responsable de traitement ou un sous-traitant[33] ». De même cette directive parle d’ « informations » et non de données à caractère personnel. Ses dispositions s’imposent donc comme des dérogations ou comme un régime dérogatoire à la loi informatique et libertés[34].
Le parlement européen et le conseil ont eu la volonté d’appliquer un régime spécifique à la technique de l’envoi de cookie sans en déterminer la qualification juridique, et sans égard pour les personnes qui emploient cette technique puisque sont dans le champ de l’article 5§3 ceux qui envoient ou lisent le cookie. Ainsi les nouvelles dispositions de la directive « vie privée », « renforcent la protection des données personnelles et en élargissent le champ pour prendre en compte les innovations technologiques »[35]. Face à l’inadéquation du champ de la directive « vie privée » et de la loi « informatique et libertés », il a été décidé d’y inclure un régime spécifique plus élargi donc adapté au caractère intrusif des cookies.
b) L’obligation d’obtenir un consentement informé de l’internaute pour l’envoi de cookies ou la contrainte par l’Opt-in.
Le consentement de l’internaute est encadré dans les cas ou il reçoit par courrier électronique des messages de prospection. Cet encadrement a-t-il vocation à s’appliquer aux « cookies » ?
Le régime de l’Opt-in ou de consentement préalable à été consacré par l’article L 34-5 du code des postes et communications électroniques selon lequel, « est interdite la prospection directe au moyen d’un automate d’appel, d’un télécopieur ou d’un courrier électronique utilisant, sous quelque forme que ce soit, les coordonnées d’une personne physique qui n’a pas exprimé son consentement préalable à recevoir des prospections directes par ce moyen ». Le consentement ici visé à été défini par la LCEN, en son article 12[36].Ainsi « Par consentement de la personne concernée, on entend toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement ». La CNIL veut que l’internaute soit actif dans son consentement, et considère que les cases pré-cochées contreviennent au régime de l’Opt-in défini par la LCEN.
Au sens de cet article, serait-il possible d’imposer aux opérateurs une obligation de recueillir de la part des internautes un consentement informé de façon spécifique ? La commission européenne considère que la définition du courrier électronique ne couvrant que les messages pouvant être stockés dans un équipement terminal jusqu’à ce qu’ils soient relevés par leur destinataires[37], les messages qui disparaissent quand l’utilisateur n’est plus en ligne, comme les pop-up, les encarts publicitaires ciblant, ne sont pas assujettis au régime de l’Opt-in.
Cependant, la directive « Paquet-Télécom » qui doit être transposée d’ici au 24 mai 2011 en France, procédant à la révision de la directive du 12 juillet 2002, établit l’obligation d’obtenir le consentement informé et préalable des utilisateurs avant l’installation de cookies sur leur ordinateur. Ce consentement préalable doit être donné avant l’installation d’un cookie sur l’ordinateur de l’utilisateur, ou la collecte des informations.
L’article 5§3 de la directive 2002/58/CE modifiée veut un consentement informé dans le respect de la directive 95/46/CE, dont le cadre à été développé ci-dessus à propos de l’obligation d’information. La directive « vie privée et communications électroniques[38] » impose que les informations soient « claires et précises » et communiquées de la manière « la plus conviviale possible ». Le G29 en déduit qu’elles doivent être « aisément accessibles et extrêmement visibles ». Ces informations essentielles ne peuvent donc « pas être cachées dans des conditions générales et/ou dans des déclarations sur la politique de confidentialité [39]».
De même le G29 estime que l’utilisateur doit être régulièrement informé du fait qu’un cookie le suit (par exemple par un symbole), pour vérifier le maintient du consentement et en permettre la révocation. Ce consentement informé comble les lacunes de la loi « informatique et libertés » dont l’article 7 exige un consentement de la personne concernée pour le traitement, sauf à réaliser « l’intérêt légitime poursuivi par le responsable de traitement[40] ». Le champ de cette exception au consentement préalable de la personne concernée est très vaste et fait en sorte que le consentement préalable devienne l’exception. L’intérêt légitime du fournisseur de réseau publicitaire ou du diffuseur semble correspondre à la nécessité d’orienter ses publicités, ainsi cet article n’impose pas l’obligation d’obtenir un consentement préalable de l’internaute pour lui envoyer des cookies, ce même si le G29 s’est prononcé en sens contraire s’agissant des moteurs de recherche agissants à des fins de profilage[41].
Assurément, il aura fallu attendre la directive « vie privée et communications électroniques » pour qu’une véritable protection de l’internaute par son consentement informé soit assurée au-delà de tout traitement de données à caractère personnel mais seulement en présence de l’usage de cookies dans le cadre de la publicité ciblée en ligne. Cependant, dans le cadre d’un traitement, l’article 6 de la loi informatique et libertés imposait déjà une collecte loyale. Ce principe de loyauté est rattaché par le G29 au principe de transparence que contient l’article 5§3 de la directive, il prendra alors un caractère autonome dans la loi de 1978 s’agissant du cas spécifique de l’utilisation du cookie.
La volonté d’inclure le principe de loyauté dans la directive « paquet Telecom » montre que ce même principe pouvait dans le cadre d’un traitement justifier de la part de la CNIL ou d’une autre juridiction une protection de l’internaute par un consentement informé et une information « transparente ». L’article 5§3 de la directive telle que modifiée, n’a fait qu’éclore un œuf couvé par la loi « informatique et libertés ».
B- Une réforme équilibrée ?
a) Une faible incidence sur les opérateurs.
Le G29 estime que le consentement doit en outre être donné librement, de manière exprès, et constituer une manifestation éclairée et être révocable. Dès lors quelles sont les pratiques susceptibles de répondre aux qualités d’un tel consentement ? Le G29 s’est prononcé sur le consentement dans le cadre du paramétrage d’un navigateur et sur les pratiques d’Opt-in et d’Opt-out en général.
- L’utilisation d’un navigateur ou d’une application qui accepterait les cookies par défaut ne saurait valoir consentement de l’utilisateur dès lors qu’il avait la possibilité de modifier leur configuration pour refuser les cookies traceurs, en raison de l’ignorance de l’internaute moyen en ce domaine, le consentement ne serait pas informé.
- Le G29 considère qu’un consentement valable et effectif est donné si l’utilisateur se voit demander une action positive pour accepter le paramétrage du navigateur et la transmission des informations contenues dans les cookies, dans ce cas il serait préalable et exprès. Le navigateur, les fournisseurs de réseaux, ou les diffuseurs, doivent en plus de cela faire parvenir à ce moment une information claire, complète et visible, sur la finalité des cookies et le traitement ultérieur des données ainsi que l’identité du responsable de traitement, afin de garantir que le consentement est informé[42].
La mesure est susceptible de n’avoir qu’une influence faible sur les opérateurs dans la mesure où le G29 préconise selon la directive paquet télécom (considérant n°66, annexe I) que le paramétrage du navigateur est suffisant pour valoir consentement de l’utilisateur.
S’agissant de la personne qui doit fournir l’information, il s’agira dans le cas ou existent des Coresponsables de traitement de délivrer une information unique, ce qui dépendra de la coopération entre ces responsables, l’obligation pesant en dernier ressort[43] sur la partie qui envoie et lit le cookie, généralement le fournisseur de réseau publicitaire. Cependant ce dernier est invisible aux yeux de l’internaute ce qui obligera une coopération entre fournisseur de réseau publicitaire et diffuseur pour que les informations soient rendues accessibles sur la page du diffuseur.
Concrètement, il devrait s’en suivre dans un futur proche un rapprochement entre les professionnels de la publicité ciblée et les navigateurs internet, de sorte à ce que le système de consentement préalable soit « mutualisé ».Ainsi aux Etats-Unis le NAI[44]mutualise les systèmes d’Opt-out de même qu’en France, un site de l’IAB propose en ce sens de refuser les cookies des grandes régies selon « une interface mutualisée »[45]. Force est de constater que le système d’Opt-in qui nous est aujourd’hui proposé ressemble fort a « l’Opt-out » persistant que propose le forum des droits sur l’internet de sorte a ce que l’internaute ne réitère pas a chaque fois son opposition. Dans le système mis en place, le consommateur devra donner son consentement préalable a priori en étant informé, consentement qui sera persistant a travers le paramétrage du navigateur. La mesure semble favorable aux consommateurs dans la mesure ou leur grande majorité n’est pas au fait du paramétrage possible de leur navigateur, et ou psychologiquement le novice est réticent à la modification de paramètres d’un outil informatique non maitrisé.
Un manque d’efficacité résulterait de ce qu’après information et consentement, les opérateurs se sentent libérés de toute obligation d’information subséquente et régulière a l’égard de l’utilisateur qui aurait consenti. Ce pourquoi l’information régulière demandée par le G29 semble justifiée et nécessaire, dans la mesure où la loi du 25 janvier 1978 et les droits qui en découlent n’encadrent pas efficacement les cookies (V. infra, I).
b) Une transposition en faveur de l’économie numérique ?
Lors de l’examen de la proposition de loi visant à garantir le droit à la vie privée, en commission le 24 février 2010, un amendement est voté visant « à assouplir le principe de consentement préalable en matière de cookies en renvoyant l'utilisateur aux possibilités de paramétrage du navigateur Internet afin qu'il puisse exprimer un choix préalable, quel qu'il soit, ce qui semble conforme aux choix récents du législateur communautaire ». Cette proposition de loi voulait déjà régir la question des cookies, et s’était inspiré des recommandations du G29, la proposition n’a jamais dépassé le stade de la première lecture devant l’assemblée nationale, pour autant le gouvernement s’en est inspiré.
Ainsi, le rapport de la commission des affaires économiques du 1 er décembre 2010[46] propose de réécrire l’article 32 de la loi informatique et libertés de manière à ce qu’il comprenne l’ « obligation d’informer l’utilisateur et d’obtenir son accord qui peut être valablement exprimé par l’utilisation de paramètres permanents appropriés de son dispositif de connexion avant d’installer des cookies ; III. de l’article 32 bis de la loi de 1978 ». Il s’agit du texte d’avant projet d’ordonnance tel que le gouvernement est habilité à la prendre. Le projet d’ordonnance prévoit de plus une durée de conservation maximale des données recueillies, et sans doute suivra-t-il le délai de 60 jours mentionné à titre de bonnes pratiques par les organismes de la publicité en ligne. Ensuite, le projet veut que l’internaute puisse facilement rétracter son consentement.
En effet, le 13 janvier 2011, le projet de loi (déposé par le gouvernement) transposant en droit français le « paquet télécom » à été voté par l’assemblée nationale en première lecture, permettant ainsi au gouvernement d’agir par voix d’ordonnance en matière de données personnelles[47]. Le vote favorable du sénat est intervenu le 10 février 2011.Ainsi la loi évite le débat parlementaire sur la question de la rédaction du nouvel article 32 III bis de la loi informatique et libertés.
Pour autant et si le dossier à été confié à Bercy, le projet d’ordonnance a cherché l’équilibre entre la protection du consommateur et celle de l’économie numérique. A chaud, les premières réactions des publicitaires à l’annonce du projet sont vives, ils envisagent déjà une baisse considérable de leur chiffre d’affaire, invoquant le fait que la publicité permet à l’internaute d’économiser 40 euros, en accédant gratuitement à des services sur le net, que les consommateur devront supporter.
Plusieurs griefs sont soulevés à l’encontre de la réforme. Le premier selon lequel se déroulera une guerre d’interprétation, car le texte ne s’applique pas, en conformité avec la directive, aux cookies de navigations (nécessaire à la fluidité du trafic, aux achats sur le net etc.…). Dès lors, comment qualifiera-t-on un cookie hybride ? De plus, cette réforme intervient en plein rebond de la réflexion sur les cookies, et semble déjà dépassée. En effet, l’ENISA[48] rapporte une étude qui précise l’impossibilité actuelle de se rendre compte de la réalité du marché et de l’utilisation effective des cookies en Europe, mais surtout de l’émergence de nouveaux cookies qui au lieu de passer par l’utilisation du navigateur, emploient un logiciel que tout les ordinateurs ou presque utilisent, Adobe Flash Player (Annexe n°6). Si les navigateurs ne sont plus a même d’assurer le consentement préalable de l’internaute, force est de constater que les avancées technologiques trouveront un moyen de s’émanciper du texte à venir.
Conclusion : Malgré l’effort du législateur et du gouvernement pour pallier à l’inefficacité de la loi de 1978, sous l’impulsion du Droit communautaire ; la réforme visant à protéger l’internaute semble incomplète, bientôt obsolète. Bien que partielle, elle est pourtant gage d’un meilleur respect de la vie privée et des données personnelles sur internet, et a su prendre en compte la complexité de la publicité en ligne. Ce progrès ne sera assuré que si le gouvernement prévoit des sanctions assez lourdes pour contraindre les opérateurs, et si la CNIL dont le contentieux s’élargit constamment opère un contrôle de façon effective.
***
[1] Le Groupe de travail Article 29 sur la protection des données ou G29 est un organe consultatif européen indépendant sur la protection des données et de la vie privée. Son organisation et ses missions sont définies par les articles 29 et 30 de la directive 95/46/CE, dont il tire sa dénomination, et par l'article 14 de la directive 97/66/CE.
[2] Et ce à juste titre puisque la croissance du marché de la publicité sur internet est de 2,2% pour l’année 2008/2009 tandis que les autres marchés (télévision, radio, cinéma…) connaissent sur cette période une croissance négative. http://www.francepub.fr/images/stories/File/Septembre%202009/OK/OK%20OK/OK%20OK%20OK/France%20pub%20Note%20Conjoncture%2009%202009%20Synthese.pdf
[3] Feral-Schul, Mag Securs, octobre 2009- « Les réseaux sociaux à l’épreuve de la responsabilité sociétale de l’entreprise »
[4] Eric Fouassier, Revue de Droit sanitaire et social 2001, p. 496.
[5] Ces premières données permettent d’établir des profils dits « explicites ». Les données qui sont négativement recueillies sur l’internaute à travers des « cookies » serviront à constituer des profils dits « prédictifs »
[6] Selon le rapport d’activité de la CNIL pour l’année 2009.
[7] Voir l’article « La FTC américaine propose des principes pour encadrer la publicité comportementale sur internet », Gazette du palais, 24 avril 2008 n°115, p 17-Chronique de droit anglo-saxon. Les balises web sont différentes des cookies, elles sont invisibles mais présentes sur les pages web (leur taille fait 1 pixel).Contrairement aux cookies, les balises web ne peuvent être supprimées mais certains sites proposent leur blocage. Elles on plusieurs fonctions-Surveillance du trafic internet, comptabiliser les visiteurs, savoir quelle partie de la page web un visiteur à regardé, sur quelles publicités il a cliqué. Les balises web sont ainsi considérées comme plus menaçantes que les cookies et plus intrusives.
[8] Rapport du conseil national de la consommation sur la protection des données personnelles des consommateurs du 18 mai 2010-p 28.Le rapport distingue les « cookies comportementaux » des « cookies de navigation »qui permettent une plus grande fluidité de navigation.
[9] Selon le rapport du CNC du 18 mai 2010 qui évoque les nombreuses inquiétudes des consommateurs et leur insatisfaction.
[10] Loi du 25 janvier 1978 modifiée par la loi du 6 aout 2004 transposant la directive 95/46/CE -http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=40162849C7139016722DE94E1DAF57FD.tpdjo14v_2?cidTexte=JORFTEXT000000886460&idArticle=&dateTexte=20100318
[11] CJCE, 29 janvier 2008, « Productores de Música de España (Promusicae) c/ Telefónica de España SAU ».
[12] Proposition de loi de M. Yves DÉTRAIGNE et Mme Anne-Marie ESCOFFIER visant à mieux garantir le droit à la vie privée à l'heure du numérique, n° 93, déposée le 6 novembre 2009.Sur les points importants soulevés par la proposition-Dalloz Actualité, 26 mars 2010-Internet « Une proposition de loi contre les atteintes à la vie privée ».
[13] Avis 2/2010 du G29 (groupe de travail des CNIL européennes) adopté le 22 juin 2010.Avis de référence sur l’encadrement juridique de la publicité comportementale.
[14] « La vie privée à l’heure des mémoires numériques », mai 2009, Sénat : http://www.senat.fr/rap/r08-441/r08-441-syn.pdf.
[15] http://www.foruminternet.org/institution/espace-presse/communiques-de-presse/IMG/pdf/Reco-pub_ciblee-20100308.pdf
[16] En l’absence de contentieux en la matière et de réponse de la part des autorités judiciaires, il convient de se rallier à la position de la CNIL qui est une « juridiction » au sens de l’article 6§1 de la convention européenne de sauvegarde des droits de l’homme selon le Conseil d’état (Ord.ref. 19 février 2008 ;CE).
[17] « La publicité ciblée en ligne », communication CNIL du 5 février 2009, http://www.cnil.fr/fileadmin/documents/La_CNIL/actualite/Publicite_Ciblee_rapport_VD.pdf
[18] Revue Européenne de droit de la consommation-« Facebook au regard de la protection des données », 2010/2-p 247, Jean-Philippe Moiny.
[19] L’article 2, d), de la directive 95/46/CE le prévoit explicitement.
[20] Avis 2/2010 du G29 (groupe de travail des CNIL européennes) adopté le 22 juin 2010.Avis de référence sur l’encadrement juridique de la publicité comportementale.
[21] Revue Européenne de droit de la consommation-« Facebook au regard de la protection des données », 2010/2- Jean-Philippe Moiny.
[22] Proposition de loi de M. Yves DÉTRAIGNE et Mme Anne-Marie ESCOFFIER visant à mieux garantir le droit à la vie privée à l'heure du numérique, n° 93, déposée le 6 novembre 2009 -http://www.senat.fr/leg/ppl09-093.html .
[23] http://fr-fr.facebook.com/policy.php- (5. Utilisation de vos données personnelles).
[24] http://www.facebook.com/terms.php- (10. À propos des publicités et d’autres contenus commerciaux diffusés par Facebook).
[25] Il s’agit de la faculté d’exercer ses droits a postériori, notamment de s’opposer.
[26] Rapport du conseil national de la consommation sur la protection des données personnelles des consommateurs en date du 18 mai 2010.
[27] Ch. Crim, 14 mars 2006, Bulletin criminel 2006 N° 69 p. 267.
[28] IAB France et SNCD - Livre blanc du 19 octobre 2009 (http://www.iabfrance.com/?go=edito&eid=399).
[29]Directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (http://eurlex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2002:201:0037:0047:FR:PDF).
[30] Directive 2009/136/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communication électronique. (http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011:0036:FR:PDF).
[31] Il s’agit du considérant 66 de la directive 2009/136/CE.
[32] Le considérant 10 de la directive « vie privée et communications électroniques"2002/58/CE, prévoit l’application accessoire des dispositions de la loi du 6 janvier 1978 « pour tous les aspects de la protection des droits et libertés fondamentaux qui n’entrent pas dans » son champ d’application. Puisque cette directive est modifiée, l’exclusion de la loi de 1978 en matière de consentement à recevoir des cookies est effective.
[33] Avis 2/2010 du G29.
[34] Le considérant 24 de la directive 2009/136/CE justifie cette large protection par son rattachement à la « vie privée de l’utilisateur, qui doit être protégée au titre de la convention européenne des droits de l’homme et des libertés fondamentales ».
[35] Selon une formule synthétique de la consultation publique sur la transposition du « paquet Telecom » : http://www.telecom.gouv.fr/fonds_documentaire/consultations/10/100505paquettelecom.pdf
[36] L’article 12 de la LCEN reprend sur ce point la directive 2002/58 CE qui renvoi à la directive 95/46/CE.
[37] Selon l’article 1 de la LCEN du 21 juin 2004.
[38] Considérant 25 de la directive 2009/136/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communication électronique modifiant la directive 2002/58/CE : http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2009:337:0011:0036:FR:PDF.
[39] Avis 2/2010 du G29 sur la publicité comportementale.
[40] Article 7, 5° de la loi du 25 janvier 1978.
[41] Avis 04/04/2007 du G29.Les avis du G 29 n’ont pas de valeur contraignante, dans le cadre du profilage par les moteurs de recherche, Google ne sollicite toujours pas le consentement des internautes afin d’établir une personnalisation des recherches basée sur les recherches précédentes de l’utilisateur.
[42] A travers son l’avis 2/2010 sur la publicité comportementale, le G29 préconise que les navigateurs imposent aux utilisateurs un assistant de protection de la confidentialité et qu’ils soient munis de paramètres de protection de la confidentialité par défaut incluant le paramètre « Non-acceptation et non-transmission des cookies tiers ».
[43] Article 5§3 de la directive vie privée et communications électroniques.
[44] Network Advertising Initiative.
[45] Interactive Advertising Bureau- http://www.youronlinechoices.com/fr/controler-ses-cookies .
[46] Avis LA RAUDIERE n°2989 déposé le 1er décembre 2010 devant le bureau de l’assemblée nationale au nom de la commission des affaires économiques.http://www.assembleenationale.fr/13/pdf/rapports/r2989.pdf.
[47] Ce projet de loi aujourd’hui passé devant la commission mixte paritaire, va être voté par l’assemblée nationale. Pour un détail de a procédure législative : http://www.senat.fr/dossier-legislatif/pjl10-225.html.
[48] European Network and information security agency. http://www.enisa.europa.eu.