« De la loi du 6 janvier 1978 à la Délibération CNIL du 4 juillet 2019« 

La publicité digitale est une source de revenus pour un très grand nombre de sites web, dont la gratuité d’accès est ainsi assurée, mais ne va pas sans poser de nombreuses questions, certaines très complexes, quant à sa conformité aux réglementations applicables, au premier rang desquelles le RGPD et l’eprivacy. Suite de notre chronique.

3. L’évolution de la notion de consentement

 

  • Le consentement avant l’entrée en vigueur du RGPD

Le consentement à l’implantation des cookies dits « intrusifs », et donc le consentement au profilage de la personne à des fins marketing ou publicitaires notamment, était exigé dès avant le RGPD, puisqu’il apparaissait déjà dans la délibération de 2013 de la CNIL, et bien entendu dans la Directive européenne de 2002 consacrée à l’eprivacy.

Cependant, la forme du « consentement » ne faisait l’objet d’aucune définition spécifique, et en particulier, cette forme a été l’objet de nombreuses dérives. Peu à peu cependant, on a pu dégager quelques règles.

Le consentement doit se manifester par une « action positive » (G29, Avis n° 02/2013), mais peut prendre la forme d’un soft opt-in, c’est-à-dire d’une action qui n’a pas spécifiquement pour but de valider l’implantation des cookies, mais qui sous-entend cet accord, une fois l’internaute dûment prévenu.

En conséquence, on a considéré depuis plusieurs années que la « poursuite de la navigation sur le site » valait consentement à l’apposition des cookies, y compris ceux permettant un suivi comportemental ou un ciblage publicitaire. Ainsi constituaient une poursuite de la navigation, et donc un consentement plus ou moins implicite :

  • Un clic sur un élément interactif de la page en cours après apparition d’un bandeau cookie d’information (cf. CNIL, délib. N°2013-378, art.2, al.6 et CNIL « Cookies & traceurs : que dit la loi ?»[1] ), et ce sans qu’il y ait forcément de chargement d’une nouvelle page (exemples de clics sur éléments interactifs : image, vidéo, lien, bouton « rechercher », lien-ancre pour une « one page ») ;

  • La consultation d’une autre page du site après apparition d’un bandeau cookie (dans ce cas, même si un bandeau cookie prévoit un bouton « j’accepte», le site prévoit que si l’utilisateur consulte une autre page du site sans avoir cliqué sur « J’accepte », cet utilisateur a implicitement consenti au dépôt de cookie (cf. ICO, « Cookie Guidance », 2012, p. 20) ;

  • Le fait de faire défiler l’écran de la première page (scroll) jusqu’à ce que la ligne de flottaison se retrouve en haut de l’écran (selon le site Data Vibes). Il ne s’agit toutefois que d’une pratique et non pas d’une exigence légale…

A contrario, ne constituaient pas une poursuite de la navigation (et donc un « opt-in passif ») le fait pour l’utilisateur de (cf. CNIL, délib. n°2013-378, art.2, al.9) :

  • Simplement se rendre sur le site (page d’accueil ou directement sur un autre page du site à partir d’un moteur de recherche par exemple) sans y effectuer au moins une des actions susmentionnées. La CNIL estime qu’une « simple absence d’action ne saurait être en effet assimilée à une manifestation de volonté ». (selon l’avis n°02/2013 du G29 : « l’absence de tout comportement ne saurait non plus être considérée comme un consentement valable» ; « Si l’utilisateur accès au site web sur lequel lui ont été communiquées des informations relatives à l’utilisation de cookies et s’il n’adopte pas de comportement actif mais reste au contraire sur la page d’entrée sans agir davantage, il est difficile de soutenir qu’un comportement a été indubitablement donné » ;

  • Cliquer sur le lien présent dans le bandeau lui permettant de paramétrer les cookies et, le cas échéant, refuser le dépôt de cookies. (Avis n°02/2013 du G29 : un seul clic sur un lien permettant d’« en savoir plus sur les cookies» ne saurait suffire à valoir consentement parce que l’utilisateur s’est expressément limité à demander un complément d’informations) ;

  • Faire défiler (scroller) la page (sans atteindre la ligne de flottaison), fermer le bandeau en cliquant sur un bouton de suppression (qui ne peut s’interpréter comme une validation de l’implantation des cookies), ou encore, accepter les CGU du site (notamment si le consentement est spécifique et ne concerne que la question des cookies) (CNIL, délib. n°2013-378, art.2, al.5)…

Mais depuis l’entrée en vigueur du RGPD, les règles ont changé, et les caractéristiques du consentement ont fait l’objet de débats intenses. Il convient d’examiner d’abord les critères issus de la « jurisprudence » de la CNIL, rapportés aux critères énumérés par le CEPD, puis d’analyser les récentes lignes directrices émises par la CNIL.

  • La « jurisprudence » de la CNIL (juin 2018 – janvier 2019)

En France, la CNIL a publié plusieurs éléments applicables à la publicité digitale. Elle a émis un avis sur la qualification à appliquer aux éditeurs et aux autres acteurs de la publicité ciblée (https://www.cnil.fr/fr/publicite-en-ligne-la-cnil-precise-les-regles-respecter-lissue-de-ses-controles), qui fait suite à l’avis antérieur du G29 relatif à la publicité comportementale en ligne du 22 juin 2010.

Plus récemment, la CNIL a rendu plusieurs décisions très éclairantes sur la façon dont l’autorité de contrôle conçoit les caractéristiques qui doivent s’appliquer au recueil du consentement applicable à la collecte de données personnelles auprès d’internautes ou d’utilisateurs d’applications mobiles. Peu à peu, un tableau s’est dégagé, au travers de décisions déjà commentées ici :

  • 25 juin 2018 : Mise en demeure des sociétés Teemo et Fidzup (fournisseurs de réseaux publicitaires, qualifiés par la CNIL de responsables de traitement), pour défaut de recueil d’un consentement préalable, clair, libre et spécifique (motifs cependant non pertinents pour le présent Position Paper), clôturée le 3 octobre 2018 après que ces sociétés aient notamment renforcé le degré de précision des consentements recueillis, détaillant l’identité des différents responsables de traitement destinataires ultérieurs des données ;

  • 8 octobre 2018 : Mise en demeure de la société SingleSpot (fournisseur de réseau publicitaire, qualifié par la CNIL de responsable de traitement), pour défaut de recueil d’un consentement libre et éclairé. SingleSpot a notamment fait valoir qu’il incombait à son partenaire éditeur de recueillir ledit consentement, et qu’elle serait donc tributaire du manquement de ce partenaire, ce à quoi à la CNIL a répondu qu’il incombait au responsable de traitement qu’est SingleSpot de s’assurer qu’un consentement valable, conforme au RGPD a bien été recueilli lors de la collecte (« Faute de dispositions claires sur le format, la formulation du recueil du consentement et l’information à délivrer aux personnes concernées, la société SINGLESPOT n’est, à ce stade, pas en mesure de permettre à l’éditeur de l’application de satisfaire aux obligations qu’elle met à sa charge au titre de la protection des données, ni, à fortiori, d’en garantir le respect, ce qu’il lui appartiendra de faire. »).

Plus précisément, en ne proposant aux utilisateurs qu’un choix entre « accepter » et remettre ce choix à « plus tard », Singlespot ne permettait pas réellement un choix libre, ni un choix éclairé. Choisir « plus tard » était-il un moyen de refuser le traitement ou de se voir proposer à nouveau cette fenêtre pop-up ultérieurement ? Pour ces raisons, la CNIL constatait l’absence d’un recueil de consentement valable par le biais du SDK de Singlespot et la réalisation d’un traitement illicite.

A ce stade, deux informations apparaissaient sur la notion de consentement, du moins dans l’univers de la publicité ciblée sur mobile : (i) pour qu’il soit libre, la personne concernée doit pouvoir refuser un traitement de manière tout aussi simple et conviviale que l’acceptation du traitement. Aussi, la présence et l’affichage d’un bouton « refuser », à côté d’un bouton « accepter » le traitement, apparaît de plus en plus indispensable. La simple faculté de remettre à plus tard le choix de l’acceptation ou du refus du traitement ne saurait correspondre au refus que la personne doit pouvoir opposer sans équivoque ; et (ii) la possibilité pour la personne concernée de choisir les responsables du traitement auxquels ses données de géolocalisations sont envoyées n’est pas obligatoire, mais « préconisée » par la CNIL.

Sur ce point, on pouvait d’ailleurs se demander si le principe de granularité du consentement n’impose pas que la personne concernée puisse choisir les responsables du traitement auxquels ses données sont transférées, ce qui irait au-delà de la simple « préconisation » de la CNIL.

  • 30 octobre 2018 : Mise en demeure de la société Vectaury (DSP, fournisseur de réseau publicitaire qualifié de responsable de traitement), portant à nouveau sur le caractère non-conforme du consentement recueilli, mais pour la première fois sur l’écosystème de la publicité digitale et le bid-request. Faute d’information spécifique sur les destinataires des données, les intermédiaires ayant transmis les données à Vectaury dans le cadre du bid-request n’étaient pas valablement entrés en possession de ces données, privant ainsi les traitements effectués par Vectaury de base légale.

 

Là encore, l’argument du prestataire, se réfugiant derrière une garantie donnée par contrat, par le SSP n’a pas convaincu la CNIL, ce qui confirme que chaque acteur de la chaine de transmission des données personnelles doit s’assurer concrètement qu’il dispose d’une base légale effective, et donc qu’un consentement a été recueilli lors de la collecte pour fonder ledit traitement effectué par chaque acteur ou au moins chaque catégorie d’acteurs.

A cet égard, la CNIL écrivait que « conformément aux dispositions de l’article 7 du RGPD, dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant. L’obligation imposée par l’article 7 précité ne saurait être remplie par la seule présence d’une clause contractuelle garantissant un consentement initial valablement collecté. La société VECTAURY doit être en mesure de démontrer, pour la totalité des données qu’elle traite aujourd’hui, la validité du consentement exprimé. Force est de constater que la société VECTAURY n’est aujourd’hui pas en mesure de démontrer que les données collectées par le biais des offres d’enchères en temps réel font, actuellement, systématiquement l’objet d’un consentement informé, libre, spécifique et activement manifesté. »

Deux responsabilités sont ressorties de la mise en demeure de la société Vectaury. La première était celle de la société Vectaury, en tant que responsable du traitement ; la seconde concerne plus généralement l’ensemble du secteur de la publicité.

Mais au-delà, la décision Vectaury a mis en lumière la nécessité que soit collecté un consentement conforme aux exigences du RGPD et aux précisions du CEPD, pour bénéficier valablement à l’ensemble de la chaine des acteurs de la publicité digitale (cf. Avis n° 18-A-03 du 6 mars 2018 portant sur l’exploitation des données dans le secteur de la publicité sur internet).

La CNIL distingue les collectes directes réalisées par les SDK des fournisseurs de réseau publicitaire, via les applications des éditeurs, d’une part, et les collectes indirectes réalisées, ici dans le cadre des bid-request, par les acteurs ultérieurs de la chaine publicitaire, d’autre part.

Et dans ce second cas, la CNIL avait relevé que :

« – La conservation et le traitement des données de géolocalisation issues des offres d’enchère en temps réel à des fins de profilage apparaissent être visés par la seconde finalité de la liste de l’IAB, laquelle est définie comme la collecte et le traitement d’informations relatives à l’utilisation du service par l’utilisateur afin de personnaliser ultérieurement la publicité et/ou le contenu pour lui dans d’autres contextes, tels que sur d’autres sites web ou applications, sur un temps long. Généralement, le contenu du site ou de l’application est utilisé pour faire des déductions sur les intérêts de l’utilisateur qui éclairent le choix futur de la publicité et/ou du contenu.

 – Le traitement de ces données en vue de la réponse immédiate à une offre d’enchère apparaît correspondre à la troisième finalité définie par l’IAB, définie comme la collecte d’informations, et leur combinaison avec des informations précédemment collectées, pour sélectionner et diffuser des publicités pour l’utilisateur et pour mesurer la diffusion et l’efficacité de ces publicités. Cela comprend l’utilisation d’informations collectées précédemment sur les centres d’intérêt de l’utilisateur pour sélectionner des annonces, le traitement des données sur les annonces qui ont été diffusées, leur fréquence, quand et où elles ont été diffusées, et si l’utilisateur a pris des mesures liées à l’annonce, comme cliquer sur une annonce ou faire un achat. Ceci n’inclut pas la Personnalisation.

 Afin de garantir le caractère spécifique et informé du consentement recueilli au bénéfice des partenaires, il appartient à la société dont émane l’offre d’enchère et qui collecte les données de mettre à disposition des mobinautes une information sur les destinataires de ces données. Cette information doit prendre la forme d’une communication directement à la collecte des données éventuellement par le biais d’un lien hypertexte renvoyant à cette liste.

 – Or, des enchères en temps réel sont communiquées, par les applications concernées, à plusieurs séries d’intermédiaires avant d’être prises en charge et traitées par les sociétés concernées (telles que VECTAURY) sans que les personnes dont les données sont traitées n’en soient informées, et sans qu’elles aient donné leur consentement à un tel traitement.

 – En effet, l’analyse des pièces issues du contrôle réalisé au sein des locaux de la société VECTAURY montre notamment que celle-ci a reçu et conservé les données issues de 144 offres d’enchère en temps réel issues de l’application […]. Les vérifications conduites à cette occasion sur l’application […] démontrent que les mobinautes ne sont pas valablement informés, et n’ont pas valablement consenti à la collecte et au traitement de leurs données à caractère personnel à des fins publicitaires.

 – (…) L’obligation imposée par l’article 7 précité ne saurait être remplie par la seule présence d’une clause contractuelle garantissant un consentement initial valablement collecté. La société VECTAURY doit être en mesure de démontrer, pour la totalité des données qu’elle traite aujourd’hui, la validité du consentement exprimé.

 – Force est de constater que la société VECTAURY n’est aujourd’hui pas en mesure de démontrer que les données collectées par le biais des offres d’enchères en temps réel font, actuellement, systématiquement l’objet d’un consentement informé, libre, spécifique et activement manifesté. Pour cette raison, le défaut de caractère éclairé du consentement prive de la base légale du consentement les traitements effectués par la société VECTAURY dans le cadre des enchères en temps réel qu’elle reçoit. »

La mise en demeure de Vectaury a été clôturée le 30 octobre 2018, mais les questions posées à l’écosystème de la publicité ciblée demeurent encore nombreuses.

  • 21 janvier 2019 enfin, la sanction prononcée contre Google à hauteur de 50 millions d’euros, visait notamment (parmi d’autres incriminations sans rapport direct avec la publicité ciblée) le défaut de base légale pour les traitements de publicité ciblée effectués par « la firme de Mountain View » : les informations fournies aux utilisateurs n’étaient pas suffisamment accessibles et assez claires pour permettre à ces derniers de donner leur consentement en toute connaissance de cause.

  • En outre, le fait que la case concernant l’affichage d’annonces personnalisées soit pré-cochée par défaut était contraire à l’obligation selon laquelle le consentement doit être univoque et positif, et ceci d’autant plus que l’utilisateur doit cliquer sur certains boutons (tels que « plus d’options») afin d’avoir la possibilité de paramétrer son compte utilisateur et donc l’affichage de publicités personnalisées. De plus, le consentement en bloc à toutes les finalités poursuivies par Google (par l’action de cocher les cases « j’accepte les conditions d’utilisation de Google » et « j’accepte que mes informations soient utilisées telles que décrit ci-dessus et détaillées dans les règles de confidentialité ») afin de créer un compte utilisateur rendait le consentement non spécifique.

Quoi qu’il en soit, ces décisions ont permis de mieux comprendre comment les autorités de contrôle, et en tous cas la CNIL française, avaient l’intention d’appliquer le RGPD dans le domaine délicat de la publicité ciblée sur mobile, et également sur internet. Cette jurisprudence est parfaitement cohérente avec les règles plus générales posées par le CEPD pour interpréter les exigences du RGPD en matière de consentement.

 

[1] La CNIL signale expressément que cette page est désormais obsolète et va voir son contenu et les préconisations de la CNIL évoluer.