Régies & Adtech  >  Actualités  >  Corinne Thierache (ALERION Société d’Avocats) : "Règlement e-privacy : un cadre qui ne satisfait personne"

Corinne Thierache (ALERION Société d’Avocats) : "Règlement e-privacy : un cadre qui ne satisfait personne"



La commission européenne a présenté mardi 10 janvier un projet de texte qui viendrait réviser une directive du règlement général sur la protection des données (RGPD). Il prévoit que les navigateurs soient tenus de demander aux internautes, au moment de l’installation, le niveau de protection qu’ils souhaitent adopter (nos détails). Corinne Thierache, avocate associée chez ALERION Société d’Avocats, et responsable du département PI/NTIC, analyse les risques que pourrait provoquer ce nouveau texte sur le marché publicitaire.


Le règlement général sur la protection des données (RGPD) est entré en vigueur le 27 avril 2016 et sera applicable directement dans chacun des états membres à compter du 25 mai 2018. En tant que cadre général assurant de manière uniforme la protection des données personnelles au sein de l’Union européenne, le RGPD prend soin de mentionner, dans son considérant n°30, les cookies, témoins de connexion, comme identifiants pouvant servir à créer des profils de personnes physiques et à identifier ces personnes.

Dès lors découlent, pour les éditeurs de presse en ligne et les régies publicitaires, des obligations relatives aux conditions de collecte des données, dont font partie certains cookies et autres traceurs via les sites web et les applications mobiles : recueil du consentement préalable non équivoque de l’internaute, exhaustivité de l’information communiquée en amont (notamment quant à la finalité du traitement, leur durée de conservation) et fourniture de moyens pour le droit d’opposition en particulier. En cas de non-respect, le responsable du traitement se verra infligé des amendes pouvant aller jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial. En France, les pouvoirs de sanctions applicables en la matière par la CNIL ont été augmentés par anticipation. La loi pour une République numérique du 7 octobre 2016 fixe le plafond à -trois millions d’euros au lieu des 150 000 euros précédemment applicables.

Une co-responsabilité légitime

Le RGPD met en place un régime de co-responsabilité qui a toute sa légitimité dans le cadre de l’écosystème de la publicité en ligne, particulièrement complexe et en constante évolution. Les éditeurs de presse en ligne, tout en étant au cœur du dispositif entre la régie publicitaire et les lecteurs, n’ont pas forcément la totale maîtrise de la donnée. Cela signifie en pratique que les contrats liant les éditeurs de presse en ligne à des régies publicitaires devront clairement déterminer les obligations et la responsabilité de chacun. C’est bien l’ensemble de des acteurs de la filière publicitaire sur Internet qui est concerné La CNIL a par ailleurs eu l’occasion d’entériner le principe de responsabilité distributive appliqué aux régies publicitaires agissant pour leur propre compte ou pour le compte des éditeurs en procédant pour chaque hypothèse à une analyse in concreto de la situation sous le prisme de la maîtrise de la donnée pour établir la responsabilité de chacun (responsable de traitement/sous-traitant). C’est bien l’ensemble des acteurs de la filière publicitaire sur internet qui est concerné. Les cookies font déjà l’objet en France d’une réglementation qui suit cette logique : la recommandation du 5 décembre 2013 de la CNIL venue clarifier la directive européenne 2009/136/CE. Elle prévoit que les visiteurs d’un site web soient informés de l’utilisation de cookies de façon claire et compréhensible (bandeau d’information) et qu’ils y consentent (acte positif clair et préalable) avec la possibilité de ne pas être tracés lorsqu’ils visitent un site Internet.

C’est dans ce contexte qu’interviendra l’adoption du règlement e-privacy. L’objectif est de règlementer le secteur des télécommunications en promouvant, dans la droite ligne du RGPD, une politique stricte de protection de la vie privée tout en offrant de nouvelles opportunités commerciales (services complémentaires et monétisation des données). En effet, la Commission européenne considère qu’elle propose de nouvelles perspectives d’exploitation des données aux entreprises qui bénéficieront désormais d’un marché aux règles uniformisées applicables dès lors que les utilisateurs finaux sont situés au sein de l’Union européenne. La publication par la Commission européenne le même jour d’une communication sur les transferts de données personnelles  avec l’annonce de nouvelles étapes pour "la création d’une économie européenne fondée sur les données" favorisera en principe un cadre stable et prévisible pour leur circulation à l’intérieur du marché unique.  

Le risque de publicités plus intrusives

Au nom de la neutralité technologique, les services de messagerie seraient soumis aux mêmes obligations que les opérateurs de télécommunications : les cookies pourraient être utilisées uniquement avec le consentement exprès et préalable des utilisateurs sauf ceux nécessaires  aux communications électroniques, à la fourniture d’un service souscrit par l’internaute ou destinés à la mesure d’audience. De nouvelles règles de simplification pour les utilisateurs seraient prévues : bandeaux d’information remplacés par la configuration possible des navigateurs pour les cookies tiers publicitaires permettant ainsi à l’utilisateur d’accepter ou bloquer ces cookies mais son droit de retrait devra lui être rappelé tous les six mois.

Mais ces règles qui tentent d’instaurer un certain équilibre font débat et ne satisfont personne, en particulier les professionnels du secteur de la publicité qui pourraient ainsi, au prix certes d’une plus grande maîtrise des données par les utilisateurs, accuser une perte de données dont ils pouvaient encore bénéficier même après instauration des bandeaux d’information. Enfin, faute de dépôt de cookies tiers pour mieux cerner les centres d’intérêts de l’internaute à la lumière de leurs habitudes sur Internet, ce dernier va en réalité se retrouver noyé par des publicités non ciblées dont on connaît à la fois le caractère intrusif pour l’internaute et le défaut de pertinence et de rentabilité pour l’annonceur. Ce projet de règlement ne remettrait en outre pas en cause la possibilité pour l’éditeur d’un site de s’adresser directement à l’utilisateur, qui aurait refusé le dépôt de cookies tiers au niveau du navigateur, pour lui permettre le dépôt de cookies premiers.

Il s’agit encore une fois d’un exemple de dispositif mis en place pour protéger la partie dite "faible" qui au bout du compte produira plus d’effets pervers que la situation à laquelle la nouvelle réglementation entend remédier. Il est encore trop tôt pour tirer des conclusions, faisons confiance aux efforts de lobbying pour faire amender ce texte avant son entrée en vigueur espérée par Bruxelles pour mai 2018.