« De la loi du 6 janvier 1978 à la Délibération CNIL du 4 juillet 2019« 

La publicité digitale est une source de revenus pour un très grand nombre de sites web, dont la gratuité d’accès est ainsi assurée, mais ne va pas sans poser de nombreuses questions, certaines très complexes, quant à sa conformité aux réglementations applicables, au premier rang desquelles le RGPD et l’eprivacy. Suite de notre chronique.

  • Le consentement dans le cadre du RGPD et du CEPD (guidelines 10 avril 2018)

Les décisions de la CNIL dans le domaine de la publicité ciblée sont typiques de l’attention qu’elle porte aux caractéristiques du consentement, et force est de reconnaître que celle-ci, coincée entre sa précédente délibération de 2013 – qui restait pertinente puisque conforme à la Directive eprivacy de 2002 actualisée en 2009 – et les règles du RGPD telles qu’interprétées désormais par le CEPD, a été amenée à prendre des positions difficiles qui déplaisent à certains acteurs ou commentateurs, et qui étaient nécessairement transitoires.

A ce jour, on doit donc rappeler que le consentement à l’implantation des dispositifs tels que cookies, tags ou SDK, nécessaires au profilage et au suivi publicitaires, doit répondre aux exigences du consentement défini par l’article 4 (11°) du RGPD, soit « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

L’article 7 du RGPD détaille les conditions applicables au consentement[1], et le CEPD a ajouté des précisions à la notion de consentement RGPD ci-dessus rappelée, au sein de lignes directrices en date du 10 avril 2018. Les caractéristiques du consentement exigé par le RGPD sont les suivantes :

  • Consentement libre et inconditionné : sans contrainte d’aucune sorte, et distinct d’un éventuel contrat ;

  • Consentement actif : exprimé par une action positive (opt-in), et non pas par une abstention, une inaction ou toute autre forme de « consentement implicite ».

  • Consentement spécifique : lié à des finalités précises et distinctes. Le consentement est présumé non-libre et donc invalide, si un « consentement distinct ne peut être donné à différentes opérations de traitement bien que cela aurait été approprié » (Considérant n°43).

Le G29 précise que « la solution pour se conformer aux conditions pour un consentement valide réside dans la granularité, la séparation des finalités et l’obtention du consentement pour chacune de ces finalités ».

Un consentement vaut par conséquent pour (i) un traitement, et sa finalité, (ii) un Responsable de traitement, destinataire des données. Cela signifie que tout changement de finalité, ou tout changement de destinataire, implique de recueillir un consentement propre. Tout transfert des données à un tiers destinataire doit également faire l’objet d’un consentement.

Se pose donc cette question de la granularité : le consentement vise des traitements, effectués pour des finalités : on n’a pas à recueillir de consentement spécifique pour chaque tâche composant un traitement, mais pour tout traitement correspondant à une finalité spécifique. De ce fait, le consentement peut couvrir plusieurs traitements, tant que ces opérations servent bien toutes la même finalité.

L’exigence est donc bien de (i) désigner nominalement les destinataires des données, qu’il s’agisse de filiales ou de partenaires commerciaux externes, et de (ii) préciser la ou les finalités que chacun de ces destinataires entend poursuivre avec les données qu’on se propose de lui transmettre.

Comme indiqué par le Considérant n°32 du RGPD (i) si plusieurs traitements correspondent à une finalité unique, le consentement vaut pour les différents traitements que cette finalité implique… et (ii) si un traitement unique correspond à plusieurs finalités, le consentement doit être donné pour toutes les finalités en question. En pratique, il appartient donc au responsable de traitement de définir ses traitements et les finalités poursuivies de manière suffisamment précise et compartimentée.

La granularité existe également au niveau des destinataires des données : un responsable de traitement[2] est une organisation unique, personne morale, et donc une entreprise dans le cas des organisations à but lucratif. Si ce responsable de traitement envoie les données à un tiers, ce tiers est un « destinataire »[3] (qui peut être un sous-traitant, un responsable conjoint du traitement, ou un responsable de traitement distinct et autonome.

Ainsi, tout transfert des données personnelles par le responsable de traitement vers un destinataire, doit répondre à une finalité précise, et reposer sur une base légale définie.

Comme la finalité est différente, puisqu’elle concerne un deuxième responsable de traitement, soit la base légale prévoit justement ce transfert à un tiers pour une finalité différente, soit il convient de recueillir le consentement préalable, libre, actif et clair, positif et spécifique, pour autoriser le traitement constitué par le transfert des données vers le tiers[4].

Le responsable de traitement qui collecte les données doit donc obtenir un consentement spécifique pour transférer les données à des destinataires tels que filiales de son Groupe ou partenaires commerciaux extérieurs au Groupe, en explicitant la finalité poursuivie par ces destinataires avec les données qu’ils reçoivent. Le G29 indique bien ci-dessus que le consentement doit être collecté « pour chaque partenaire, dont l’identité doit être indiquée à la personne concernée au moment du recueil de ce consentement ».

Plus loin (art. 3.3.1), le G29 ajoute en effet que : « in a case where the consent sought is to be relied upon by multiple (joint) controllers of if the data is to be transferred to or processed by other controllers who wish to rely on the original consent, these organizations should all be named. »

Cela confirme l’exigence d’une énumération des destinataires des données et par conséquent, dans les CMP en lignes qui se sont multipliées sur le web, les longues listes d’entreprises aux noms parfois barbares qui sont proposées aux internautes. On peut s’interroger sur cette application pratique du principe de transparence, et d’identification précise et exhaustive des destinataires car, dans les faits, l’internaute lambda n’a pas la moindre idée de qui sont ces destinataires et de ce qu’ils feront des données.

  • Consentement éclairé, c’est-à-dire assorti d’une information poussée et circonstanciée. Pour permettre le recueil d’un consentement « éclairé » conforme au RGPD, la personne concernée doit a minima avoir été informée d’un certain nombre d’éléments indispensables[5], en l’absence desquels le consentement sera considéré comme invalide, et donc le traitement sera considéré comme privé de base légale.

Il importe également que toutes les informations relatives au contexte du consentement soient localisées au même endroit que le recueil du consentement lui-même : il n’est pas possible, par exemple, de distiller ces renseignements à divers endroits d’un site web, de les noyer au sein de conditions générales d’utilisation ou de ne les rendre accessibles que via une demande préalable. A l’instar de l’information légale sur les droits dont disposent les personnes, les informations contextualisant les consentements sollicités doivent être apportées de manière simple, univoque et directement connexe aux cases à cocher ou autres dispositifs de recueil du consentement.

Selon le G29, en toute hypothèse les modalités de recueil doivent être claires, simples, concises et compréhensibles. Elles doivent pouvoir être comprises par les « personnes ordinaires » et non être destinées exclusivement à des juristes dans le cadre de « politiques de confidentialité longues et illisibles ou des déclarations pleines de jargon juridique ».

  • Consentement univoque, c’est-à-dire dénué d’ambiguïté sur l’étendue de l’autorisation donnée par la personne concernée. Le consentement de la personne concernée doit résulter d’une déclaration ou action positive de la part de la personne concernée, exprimée en fonction d’une finalité ou d’un destinataire clairement indiqués.

  • Consentement révocable; le consentement ainsi recueilli doit pouvoir être révoqué par la personne concernée, de manière là encore simple et effective. Le RGPD n’exige pas que le moyen utilisé pour donner le consentement soit strictement identique au moyen utilisé pour le retirer. Cependant, le G29 considère dans ses lignes directrices que lorsque le consentement a été obtenu par des moyens électroniques (comme un simple clic de souris ou le balayage d’un écran de smartphone) ou via une interface-utilisateur, il doit pouvoir être retiré tout aussi aisément.

  • Consentement tracé, c’est-à-dire constitutif d’une preuve du consentement effectif et éclairé de la personne. En vertu de l’article 7 (1) et du considérant n°42 du RGPD, il incombe systématiquement au Responsable de traitement de pouvoir prouver qu’il a bel et bien recueilli le consentement de la personne concernée (optin).

Le Responsable du traitement doit donc en conserver la trace, en corrélation précise avec (i) la finalité à laquelle la personne a consenti, (ii) la liste limitative des données pour lesquelles le consentement a été donné, (iii) le destinataire des données et (iv) la date à laquelle ce consentement a été recueilli. C’est à cette date que le traitement devient licite, et c’est cette date qui détermine la durée de conservation des données pour cette finalité.

Ainsi, le consentement de la personne doit être tracé et conservé de manière probante. Le Responsable de traitement doit pouvoir prouver que la personne connaissait notamment l’identité du responsable de traitement et les finalités dudit traitement pour lequel son consentement a été demandé.

Cette preuve doit pouvoir être transmise aux destinataires successifs des données à caractère personnel, et rendue opposable dans le cadre de leurs relations (qu’il s’agisse d’un contrat entre un responsable de traitement et un sous-traitant au sens de l’article 28 du RGPD, ou d’un acte liant deux ou plusieurs responsables conjoints de traitement, au sens de l’article 26 du RGPD).

Appliquée au monde de la publicité ciblée, cette notion de consentement libre et inconditionné, actif, spécifique, éclairé, univoque, révocable et tracé, apparaît particulièrement exigeante, compte tenu de la variété des finalités poursuivies, mais surtout, compte tenu de la très grande diversité d’acteurs de la publicité ciblée.

Plusieurs initiatives ont vu le jour, la principale d’entre elles étant le Transparency and Consent Framework, publié par l’Interactive Advertising Bureau (« IAB »), auquel ont participé de nombreux professionnels du secteur (intermédiaires en publicité, éditeurs de plateformes de gestion du consentement (CMP), éditeurs de sites et d’applications web, etc.).

De telles initiatives ont pour vocation de définir des dispositifs communs, transverses sur le marché, permettant de déployer une gestion des données à caractère personnel à la fois conforme à la réglementation (RGPD et eprivacy), mais soucieuse de préserver les modèles économiques fondés sur l’exploitation de la donnée comportementale à des fins de profilage et de suivi publicitaire. De très nombreuses activités en dépendent, puisque la gratuité de nombreux sites web et applications dépend directement des revenus publicitaires de leurs éditeurs.

Ce framework a été déployé au début de l’automne 2019 dans une version actualisée, qui doit conduire à présenter dans les CMP déployées par les sites et applications, des choix multiples en termes de finalités et de destinataires. La typologie des choix qui sont présentés peut néanmoins poser question, car tous les contributeurs n’ont pas nécessairement la même approche pour distinguer les traitements des finalités, et pour statuer sur la base légale applicable ou encore la granularité du consentement à recueillir.

Il reste donc encore à parcourir plusieurs étapes, et la V2 du TCF n’est probablement que l’une d’elles, vers des modes de recueil, de gestion et de transmission des bases légales (dont le consentement) entre acteurs de la publicité digitale, totalement respectueux des textes, et techniquement probants. L’enjeu réside en effet dans le caractère probant des bases légales qui permettent à chaque acteur de collecter ou détenir les données personnelles des internautes ou mobinautes.

A cet égard, la décision Vectaury semble indiquer, du moins pour l’univers des applications mobiles, que fonctionnement du système RTB doit impliquer une rigueur qui va au-delà de la simple conclusion d’un contrat entre les différentes parties prenantes, mais nécessite (i) une preuve véritable du consentement recueilli pour les finalités et destinataires en cause, d’une part, et (ii) l’opposabilité réelle de cette preuve entre les acteurs de la chaine publicitaire.

A cet égard, la CNIL n’a pas suivi l’argument de la société Vectaury qui invoquait la conclusion de contrats avec les SSP pour prouver sa bonne foi et s’exonérer de sa responsabilité. En avançant un tel argument, la société Vectaury restait sur un plan purement théorique, et s’avérait concrètement incapable, en réponse à la demande de la CNIL, de démontrer qu’elle disposait effectivement du consentement spécifique des personnes concernées à ce que leurs données fassent l’objet d’une vente aux enchères dont elle était bénéficiaire.

Pourtant, dès 2010 le G29 avait illustré le principe de responsabilité avec l’exemple suivant : « mise en œuvre et supervision de procédures de vérification afin de s’assurer que toutes les mesures n’existent pas seulement sur papier, mais qu’elles sont aussi mises en œuvre et fonctionnent dans la pratique (audits internes ou externes, etc.). » (point 41 de l’avis 3/2010 du G29 sur le principe de responsabilité).

Ainsi, le fait de ne pas disposer de la preuve du consentement de la personne concernée pour le transfert vers l’un des intermédiaires corrompt l’ensemble de la chaîne de contrats ultérieurs. La coresponsabilité n’est plus analysée dans un rapport entre responsable et sous-traitant mais entre plusieurs responsables du traitement et, éventuellement, responsables conjoints du traitement.

Au-delà, ce défaut de base légale vicie littéralement la revente du fichier de données[6]. Cela pose donc la question de la preuve qu’un responsable de traitement doit pouvoir solliciter et obtenir pour justifier du consentement, auprès de l’entité qui lui transmet les données.

Si cette preuve est relativement simple à recueillir en cas de collecte directe, puisque les CMP permettent de tracer et dater les consentements, en revanche, cette preuve devient plus difficile à rapporter à mesure qu’on progresse dans l’entrelacs des professionnels de l’écosystème publicitaire, qui se revendent les données dans le cadre d’enchères automatisées quasi-instantanées, à l’échelle du monde et via des systèmes qui sont loin d’être tous compatibles, sécurisés ou privacy by design et by default !

Il est important de noter que la CNIL a souhaité faire de sa mise en demeure adressée à Vectaury une alerte adressée à l’ensemble de l’écosystème de la publicité digitale :

« En outre, le système d’enchère d’espace publicitaire a permis à la société de recueillir plus de 42 934 160 identifiants publicitaires et les données de géolocalisation correspondantes à partir de plus de 32 708 applications.

 

Le bureau estime par ailleurs que la publicité de la mise en demeure se fonde sur la nécessité de mettre les personnes concernées en mesure de garder le contrôle de leurs données. Cet objectif ne saurait être atteint qu’en assurant le plus haut niveau de transparence sur la collecte des données, notamment de géolocalisation, et la finalité du traitement mis en œuvre par la société VECTAURY. La technicité de ces systèmes, et notamment les enchères publicitaires, rend ces traitements largement inconnus du grand public.

 

Enfin, le bureau souhaite sensibiliser les professionnels du secteur sur cette difficulté alors que la collecte de données à caractère personnel à des fins de profilage et de ciblage publicitaire, notamment à partir des lieux fréquentés par les personnes, connaît une forte croissance. Le bureau note, en effet, que l’utilisation du SDK s’inscrit dans un écosystème faisant intervenir plusieurs acteurs, à savoir les éditeurs d’applications mobiles et les clients annonceurs, qu’il est essentiel d’alerter sur les enjeux de la protection des données.

 

En conséquence, le bureau de la Commission nationale de l’informatique et des libertés décide de rendre publique la décision n° MED-2018-042 de la Présidente de la CNIL mettant en demeure la société VECTAURY. » (Délibération du bureau de la Commission nationale de l’informatique et des libertés n° 2018-343 du 8 novembre 2018 décidant de rendre publique la mise en demeure n°MED-2018-042 du 30 octobre 2018 prise à l’encontre de la société VECTAURY).

 

 

[1] Art. 7 RGPD : « 1. Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant. 2. Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n’est contraignante. 3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement. 4. Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat. »

[2] Art. 4 RGPD : « responsable du traitement » désigne « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement; (…) ».

[3] Art. 4 RGPD : « destinataire » désigne « la personne physique ou morale, l’autorité publique, le service ou tout autre organisme qui reçoit communication de données à caractère personnel, qu’il s’agisse ou non d’un tiers. Toutefois, les autorités publiques qui sont susceptibles de recevoir communication de données à caractère personnel dans le cadre d’une mission d’enquête particulière conformément au droit de l’Union ou au droit d’un État membre ne sont pas considérées comme des destinataires; le traitement de ces données par les autorités publiques en question est conforme aux règles applicables en matière de protection des données en fonction des finalités du traitement ».

[4] Dans ses Lignes directrices consacrées au consentement, le G29 prend l’exemple suivant pour illustrer la granularité attendue pour les finalités et destinataires des données : « Within the same consent request a retailer asks its customers for consent to use their data to send them marketing by email and also to share their details with other companies within their group. This consent is not granular as there is no separate consents for these two separate purposes, therefore the consent will not be valid. In this case, a specific consent should be collected to send the contact details to commercial partners. Such specific consent will be deemed valid for each partner (see also section 3.3.1), whose identity has been provided to the data subject at the time of the collection of his or her consent, insofar as it is sent to them for the same purpose (in this example: a marketing purpose). »

[5] Selon le G29, ces éléments sont a minima les suivants :

  • L’identité du responsable de traitement, ou, le cas échéant, des responsables conjoints du traitement ou de responsables de traitement ultérieurs souhaitant effectuer des traitements sur la base du consentement initial;
  • La ou les finalité(s) correspondant aux traitements pour lesquels le consentement est recueilli ;
  • Les catégories de données qui seront collectées et utilisées ;
  • Les destinataires des données collectées ;
  • L’éventuelle existence d’un dispositif de prise de décision automatisée à partir des données collectées, incluant le profilage de la personne concernée, conformément à l’article 22 du RGPD ;
  • Les risques liés aux éventuels transferts de données vers des pays tiers en l’absence d’une décision d’adéquation ou de garanties appropriées (clauses contractuelles types, BCR…) ;
  • Le rappel du droit à révocation du consentement à tout moment et les moyens pour ce faire.

[6] La Cour de cassation avait jugé, au visa de l’ancien article 1128 du Code Civil, que le traitement réalisé sans avoir été préalablement déclaré à la CNIL conduit à exclure le fichier du commerce. Par conséquent, la vente d’un tel fichier a un objet illicite (Cass. Com. 25 juin 2013, n° 12-17.037). Les formalités préalables ayant été supprimées, on peut supposer que le traitement réalisé sans un consentement valablement recueilli se verra appliquer la même solution. Aussi, le contrat qui organise le transfert de données personnelles et constitue donc un traitement de données au sens de l’article 4.2 du RGPD doit également être considérée comme nul puisque qu’il déroge à l’ordre public (nouvel article 1162 du Code Civil). L’absence de base juridique conduit logiquement à devoir qualifier d’illicite le traitement, et nuls, l’ensemble des contrats subséquent, l’ensemble de la chaîne de contrats.