Applicables dans l’ensemble des Etats-Membres dès le 25 mai prochain, les dispositions relatives au Règlement Général sur la Protection des Données (RGPD) représentent une prise de conscience salutaire pour la protection de la vie privée des internautes dans l’espace digital. Replaçant le citoyen au centre de son esprit, le règlement vise, selon les textes du Conseil européen, à « redonner aux citoyens le contrôle de leurs données personnelles, tout en simplifiant l’environnement réglementaire des entreprises ». L’initiative est ambitieuse, les objectifs louables. Cependant, la mise en œuvre concrète de ces dispositions reste profondément liée aux bonnes pratiques des entreprises du numérique, notamment des régies publicitaires en ligne, dont la politique volontariste est un préalable impérieux à l’application cohérente du RGPD. Au sein de l’écosystème startups français, quelques mauvais élèves ont été mis à l’index dans une étude menée par le magazine Numerama, notamment Ogury, Vectaury et Teemo.
Le RGPD : des droits renforcés et des sanctions accrues pour les organisations réfractaires.
Le RGPD est un texte massif et complexe, aux allures technocratiques. Il est tout de même possible d’en percevoir la substance et d’en dégager quelques traits saillants. Le renforcement des droits existants est un progrès indéniable, avec la reconnaissance du droit à l’effacement (article 17) ou du droit à être informé d’une violation des données en cas de risques élevés pour les intéressés (article 34). Autre nouveauté, la création ad hoc de délégués à la protection des données (Data Protection Officer) dans les organisations réalisant des opérations de traitement des data. L’outil répressif est aussi très largement renforcé, avec un impact direct sur les fonds des organisations. Les sanctions prises contre les entreprises ne respectant pas les dispositions du RGPD peuvent ainsi atteindre jusqu’à 3 % du CA mondial de l’organisation. Cette capacité répressive se double, sur un plan opérationnel, d’un accroissement des pouvoirs des autorités de contrôle.
La connaissance et le libre-consentement des internautes reposent sur une information accrue de ces derniers quant à l’usage qui serait fait de leurs données personnelles. Les textes évoquent ainsi un consentement « par acte positif par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données ». Les dispositions du RGPD ne souffrent ainsi d’aucune ambiguïté, tout particulièrement dans les aspects propres à la connaissance que peut avoir l’internaute de l’usage fait de ses données personnelles.
Le traçage des internautes : une pratique ancrée dans le traitement des données
A deux mois de la mise en applications de la RGPD, les pratiques abusives menées par les entreprises se multiplient et suscitent une inquiétude croissante parmi les défenseurs de la vie privée. Cinq autorités de protection des données ont ainsi, en mai 2017, prononcé une sanction de 150 000 euros contre Facebook liée à des manquements notables à la loi Informatique et Libertés[1]. La faute la plus déconcertante est, sans nul doute, le traçage des internautes à leur insu, qu’ils soient inscrits ou non sur le réseau social, sur des sites tiers via un cookie. Les groupes français sont eux-aussi très largement habitués à ces pratiques abusives. Le Conseil d’Etat, dans une décision du 8 février 2017, confirmait le refus de la CNIL et déboutait JC Decaux, désireux de collecter des données à caractère personnel dans le cadre d’une expérimentation de valorisation de ses affichages publicitaires, dont le traçage des piétons était une composante majeure.[2] Le manque d’anonymisation des données collectives a été invoqué dans la décision finale du Conseil d’Etat. Bien évidemment, le consentement des personnes visées dans ces deux jurisprudences récentes était inexistant.
La géolocalisation à l’épreuve des libertés individuelles : les pratiques abusives des régies publicitaires
Plus sournoises, les régies publicitaires recourent aussi très massivement aux techniques de géolocalisation ciblées. Elles profitent du formidable essor des applications mobiles. L’étude e’Stat Web de Médiametrie indiquait que 73 % des visites de site avaient été effectuées sur mobile en juillet 2017. Si une partie seulement de ces visites est réalisée via des applications, celles-ci représentent un atout financier majeur pour les éditeurs médias et s’inscrivent très nettement dans les stratégies de ciblage menées. En incorporant des traqueurs au sein des applications, les éditeurs médias récoltent des données massives et ciblées. Une étude menée pendant plusieurs mois par l’association Exodus révèle ainsi que sur 36 applications, opérées par 22 régies, il est possible de trouver une douzaine de traqueurs couvrant un large panel de catégories (publicité, analytics, notifications push…). Trois traqueurs publicitaires français s’inscrivent dans une stratégie drive-to-store visant, là encore, à mettre en œuvre une géolocalisation ciblée des utilisateurs en les invitant à se rendre dans des magasins partenaires en fonction de leur emplacement géographique. Invisibles pour les utilisateurs, ces traqueurs permettent néanmoins de collecter des masses de données, sans consentement préalable. Parmi les régies visées par ces pratiques abusives, citons notamment Teemo, qui récoltait, selon Numérama[3], des données sur 10 millions de français en 2017. C’est aussi le cas de Augury, dont le SDK est installé dans plusieurs milliers d’applications dans le monde pour recueillir les données de plus de 400 millions d’utilisateurs.[4]
La mise en œuvre de synergies vertueuses entre les acteurs du numérique et les pouvoirs publics, dans l’intérêt des internautes, est un prérequis inévitable. Certaines régies commencent à s’engager dans ce sens. Les réfractaires restent cependant encore trop présents dans l’écosystème numérique français et international, nous invitant à une vigilance d’autant plus forte que le RGPD nous offre des moyens plus puissants pour contrer les pratiques abusives. Outre une politique juridique stricte et volontariste mise en œuvre par les pouvoirs publics, un engagement réel de certaines startups, notamment Teemo, Augury et Vectaury est une nécessité.
[1] : « Facebook sanctionné pour de nombreux manquements à la loi Informatique et Libertés », CNIL, 16 mai 2017 [Lire en ligne : https://www.cnil.fr/fr/facebook-sanctionne-pour-de-nombreux-manquements-la-loi-informatique-et-libertes]
[2] : « Le Conseil d’Etat empêche définitivement JC Decaux de pister le téléphone des passants », Le Monde, 9 février 2017 [Lire en ligne : https://abonnes.lemonde.fr/pixels/article/2017/02/09/le-conseil-d-etat-empeche-definitivement-jcdecaux-de-pister-les-telephones-des-passants_5077186_4408996.html]
[3] : Corentin Durand, « Comment les Apps Figaro, l’Equipe ou Closer participent au pistage de 10 millions de français », Numerama, 23 août 2017. [Lire en ligne : https://www.numerama.com/politique/282934-enquete-comment-les-apps-figaro-lequipe-ou-closer-participent-au-pistage-de-10-millions-de-francais.html]
[4] : Aymeric Marolleau, « Quels SDK publicitaires figurent dans les applications mobiles des éditeurs médias ? », Mind Media, N°370. [Lire en ligne : https://www.mindnews.fr/article/11369/quels-sdk-publicitaires-les-editeurs-medias-utilisent-ils-dans-leurs-applications-mobiles/]