Le 30 octobre 2018 la CNIL a mis en demeure la société Vectaury de se mettre en conformité avec la réglementation applicable en matière de données personnelles. Il s’agit de la quatrième société mise en demeure par la CNIL qui traite des données de géolocalisation via un SDK. Cette décision est donc l’occasion d’apprécier l’évolution du positionnement de la CNIL sur ces traitements, ainsi que sur la notion de coresponsabilité.

     1. Vectaury, ou le rappel de la coresponsabilité dans le domaine de la publicité

La société Vectaury édite et intègre des Software Development Kit (« SDK ») dans des applications mobiles afin de collecter des données personnelles et afficher des publicités ciblées. Suite à un contrôle opéré en avril auprès de cette société, la mise en demeure prononcée par la CNIL aborde la question de la conformité des fenêtres pop-up au droit des données personnelles. Elle aborde également la question de la conformité du système économique des enchères publicitaires (« bid requests »).

Les SDK de Vectaury sont intégrés au sein de 19 applications mobiles développées par 5 éditeurs. Comme dans les trois cas précédemment traités par le CNIL (Teemo (1 & 2), Fidzup et Singlespot), les SDK collectent des données de géolocalisation. Puis, un profil des utilisateurs est établi en confrontant ces données à des « Points of interest » (POIs). Les identifiants publicitaires sont bien évidemment collectés. À cette collecte désormais familière par le biais de SDK, la société Vectaury collecte également des données par le jeu de « bid requests »…

     2. L’écosystème de la publicité numérique

Comprendre le système de vente aux enchères publicitaires suppose de connaître le fonctionnement du secteur de la publicité.

La problématique actuelle est l’optimisation des campagnes publicitaires des annonceurs. Comment payer le moins cher possible pour une campagne publicitaire, en maximisant le nombre d’internautes et d’utilisateurs redirigés vers un site ? La réponse à cette question est, depuis quelques années, ce que l’on appelle la « programmatique » : l’optimisation de campagnes publicitaires à l’aide d’outils informatiques et de processus d’automatisation.

Le principe repose sur la mise en place de différentes plateformes qui contiennent des informations sur les utilisateurs (« Supply-Side Platform », « SSP »). Ces informations, ainsi que les espaces publicitaires vierges et disponibles pour l’affichage de publicités, sont alors proposés à la vente aux enchères sur des « Ad Exchanges ». Ces « Ad exchanges » se connectent à leur tour à des DSP (« Demande-Side Platform », « DSP ») qui contiennent les publicités des annonceurs, les critères d’affichages qui leurs sont associés ainsi que, le cas échéant, d’autres données issues par exemple de cookies. La connexion de l’Ad Exchange à la ou aux DSP s’appelle une « bid request », une demande d’enchère. La rencontre des SSP et des DSP par l’intermédiaire des Ad exchanges constitue un système de vente aux enchères en temps réel (« Real-Time Bidding », « RTB »). Consciente des difficultés à avoir une vision d’ensemble du système de la publicité sur Internet, l’Autorité de la concurrence a réalisé deux graphiques sur le sujet (avis n° 18-A-03 de 2018, p. 22-23).

Ce système est actuellement perçu comme optimal pour l’affichage de campagnes publicitaires. L’éditeur d’un site Internet vend à l’annonceur le plus offrant ses espaces disponibles (marges latérales, en-tête et pieds de page Internet, etc.). L’annonceur dispose pour sa part d’une audience, sélectionnée sur la base des données personnelles, et supposée plus réceptive et attentive à ses offres. Dans ce système, la collecte et le transfert de données à caractère personnel est indispensable. Notons que si des données personnelles sont nécessairement transférées entre deux ou plusieurs entreprises lors de ce processus, des entreprises peuvent recevoir les données sans pour autant afficher leurs publicités sur l’espace publicitaire disponible.

     3. Un écosystème confronté à une nouvelle réglementation

Loin d’être une situation cantonnée aux éditeurs de SDK, la tentation est forte de collecter des données afin de les revendre par un système d’enchères. Un exemple récent a été révélé par le site Tactical Tech qui a réussi à acquérir pour 136 euros environ 1 million de profils de sites de rencontres (pour un exemple concret et parlant du fonctionnement de la vente aux enchères de données, voir leur site, en anglais).

Pourtant, les mises en demeure de la CNIL prononcées à l’égard des sociétés Teemo, Fidzup et Singlespot ne s’intéressent pas à ce système qui est au cœur du modèle économique des sociétés qui éditent des SDK. La mise en demeure de la société Vectaury offre donc une analyse juridique de ce système sous l’angle du droit des données personnelles.

Sur le plan juridique, le système RTB pose la question du consentement des personnes concernées à ces traitements. Comme cela a déjà été souligné à plusieurs reprises le RGPD vient renforcer le droit des personnes concernées en encadrant de manière très stricte le traitement des données à caractère personnel. Il faut ici en rappeler quelques principes :

  • les finalités du traitement doivent être déterminées et les données traitées de manière licite, loyale et transparente (art. 5.1.a) RGPD) ;

  • ne doivent être traitées que les données nécessaires à la finalité poursuivie (principe de minimisation, art. 5.1.c) RGPD) ;

  • la personne concernée doit être informée selon des modalités de forme et de contenu précises (V. notamment les articles 12 à 14 du RGPD).

L’écosystème de la publicité et le RGPD obligent aujourd’hui à se poser deux questions. Les personnes concernées, utilisatrices de terminaux mobiles et d’autres applications gratuites, consentent-elles à ce que leurs données à caractère personnel soient traitées afin de recevoir de la publicité ciblée ? Si oui, consentent-elles pour autant à ce que leurs données soient marchandées, traitées, transférées lors du système RTB ?

La mise en demeure de Vectaury apporte un début de réponse à ces questions. Sans développer intégralement le système RTB et les « bid requests » la CNIL commence par en rappeler les grandes lignes. Elle relève que les données personnelles sont collectées par les SDK de la société Vectaury, mais également par les « bid requests » et que toutes ces données sont « mutualisées au sein d’une même base de données ». Le nombre de données collectées par le biais des « bid requests » est éloquent : environ 24 millions d’identifiants sont issus de « bid requests » auxquelles la société Vectaury a donné suite ; environ 42 millions d’identifiants, soit près du double, sont liés à des « bid requests » auxquelles la société n’a pas donné suite. Dans les deux cas, ces données sont conservées pour une durée de 12 mois. Dans les deux cas, ces données sont à nouveau traitées pour « analyser la conversion physique des campagnes publicitaires mobiles, cibler des campagnes de prospection et améliorer les profils des personnes concernées déjà présentes dans les bases de données de la société ». Autrement dit, chaque « bid request » adressée à la société Vectaury lui permet d’améliorer les profils dont elle dispose, ou d’en créer de nouveaux.

La CNIL distingue donc les données personnelles collectées par les SDK (collecte directe) de celles collectées par le biais des « bid requests » (collecte indirecte). Elle analyse la validité du consentement pour chacune de ces collectes.

Le cas des SDK ayant déjà été analysé lors des trois mises en demeure précédentes, on se contentera d’indiquer qu’en l’espèce le consentement n’était pas valablement recueilli. La personne concernée :

  • n’est pas valablement informée. L’information qui lui est délivrée n’est pas claire, pas transparente et non exhaustive ;

  • ne donne pas un consentement spécifique. Malgré l’installation d’une fenêtre pop-up dédiée, l’utilisateur ne dispose que de la possibilité de tout accepter ou de tout refuser. Or, l’utilisateur doit pouvoir sélectionner lui-même les traitements de ses données personnelles qu’il souhaite autoriser ou refuser (principe de granularité) ;

  • n’exprime pas son consentement de manière positive et simple. D’une part, les cases pour accepter les traitements sont pré-cochées ce qui est contraire aux lignes directrices du G29 sur la notion de consentement. D’autre part, l’opposition au traitement ne se fait pas de manière aussi simple que l’acceptation du traitement.

Au regard de l’ensemble de ces raisons, le consentement à la collecte et au traitement des données par le biais des SDK est illicite.

L’analyse de la licéité du traitement des données collectées et traitées suite à des « bid requests » se fonde aussi sur le consentement, tel qu’il résulte de l’article 7 de la Loi Informatique et Libertés dans sa version antérieure à l’entrée en application du RGPD et du décret du 1er août 2018.

La société Vectaury est destinataire des données personnelles reçues dans le cas des « bid requests ». La CNIL analyse le recueil du consentement des sociétés qui collectent et transmettent les données à la société Vectaury lors de « bid requests ». Elle constate que ces sociétés, étrangères à la présente mise en demeure, n’ont pas valablement recueilli les données, les personnes concernées n’étant pas informées des destinataires de leurs données au moment de la collecte. Les personnes concernées ne pouvaient donc valablement consentir à ce transfert de données. Par conséquent, les sociétés qui ont reçu les données lors de « bid requests », dont la société Vectaury, traitent des données sans base juridique valable.

Réalisée sous l’empire de la Loi Informatiques et Libertés avant l’entrée en application du RGPD, l’analyse de la CNIL apporte des éclaircissements sur l’application du RGPD aux « bid requests ». La CNIL souligne que le responsable de traitement, en l’espèce la société Vectaury, ne peut s’exonérer de sa responsabilité en invoquant l’existence d’une clause contractuelle par laquelle la Supply side Plateform qui lui fournit les données personnelles garantie les avoir valablement collectées. Selon la CNIL et l’article 7 de la LIL, il appartient au responsable du traitement, de démontrer la validité du consentement recueilli pour l’ensemble des données qu’il traite.

     4. Conformité et coresponsabilité des acteurs du secteur publicitaire

Le raisonnement de la CNIL sur le traitement des données personnelles dans le cadre des ventes aux enchères en temps réel (RTB) et plus spécifiquement dans le cas des « bid requests » dépasse le simple cadre de la société Vectaury. Le raisonnement tenu permet de rappeler et d’insister sur les principes de coresponsabilité instaurés par le RGPD et de rappeler l’importance pour les entreprises de mettre en place un processus de suivi de la conformité.

          a. L’importance d’instaurer un processus de suivi de la conformité

Le fait de recueillir un consentement valable et conforme à la réglementation en vigueur (directive de 1995 n° 95/46/CE ou RGPD) est essentiel pour l’économie du secteur de la publicité, la sécurité et la stabilité juridique des entreprises qui opèrent dans ce milieu.

Avec la multiplication des intermédiaires (SSP, DSP, etc.) et l’essor de la programmatique, le nombre de traitements et le nombre de destinataires des données personnelles augmentent. Comme le souligne la CNIL, tout responsable du traitement « doit être en mesure de démontrer, pour la totalité des données [qu’il] traite aujourd’hui, la validité du consentement exprimé ». La multiplication des intermédiaires entraîne inéluctablement « un risque croissant de perte de valeur et de transparence au fil de la chaîne » (article du site Solutions numériques, consulté le 19 novembre 2018). En effet, chaque nouvel intermédiaire suppose que celui-ci soit identifié et, surtout, que la personne concernée ait consenti à ce que ses données lui soient communiquées pour des finalités déterminées. Aussi, plus le nombre d’intermédiaires augmente, plus le risque est élevé que les données personnelles soient traitées sans base juridique, sans consentement valablement recueilli.

Il faut toutefois se garder de penser que les Supply Side Platforms (SSP) et les Demand Side Platforms (DSP) sont les seules sociétés à utiliser des données personnelles sans base juridique licite. Les sites Internet, au premier rang desquels les grands sites de médias, sont peu nombreux à recueillir un consentement univoque, libre, inconditionné, spécifique, révocable et éclairé.      Une minorité des sites d’actualité seraient ainsi en conformité avec le RGPD (article du site Journal du net, consulté le 19 novembre 2018). Dès lors qu’une des conditions du consentement n’est pas présente et manque au moment de la collecte des données personnelles, toute transmission de ces données est viciée et illicite.

Le fonctionnement du système RTB suppose une rigueur qui va au-delà de la simple conclusion d’un contrat entre les différentes parties prenantes. Deux initiatives qui ont pour objectif de mettre ce secteur en conformité avec la réglementation doivent être ici mentionnées :

  • La première est le souhait du consortium Adschain de créer une blockchain dédiée à la distribution publicitaire. L’objectif de cette blockchain serait de favoriser la transparence et d’éviter une perte de valeur au cours du processus (via le site de l’IAB) ;

  • La seconde est la demande d’enquête déposée par M. Johnny Ryan devant les autorités de contrôle du Royaume-Unis (ICO) et de l’Irlande (DCP) à l’encontre du mécanisme de RTB de Google, Authorized Buyers (anciennement DoubleClick Ad Exchange). M. Ryan soutient que l’utilisation du système RTB (i) repose sur une collecte de données qui n’a pas fait l’objet d’une information adéquate selon les dispositions du RGPD, (ii) conduit à une dissémination incontrôlée des données personnelles et (iii) contient souvent des catégories de données particulières (anciennement données sensibles ; V. notamment son rapport sur le sujet). Selon le plaignant, « l’industrie de la publicité est intrinsèquement incapable d’obtenir un consentement approprié [qui respecte les dispositions du RGPD]» (point 29 pour l’ICO, 30 pour la DCP). M. Ryan demande donc, sur le fondement de l’article 58.1. b) du RGPD, que les autorités anglaise et irlandaise mènent des audits afin de s’assurer de la conformité de Google aux dispositions du RGPD.

Les deux démarches (création d’une blockchain et demande d’audit de Google) s’inscrivent pleinement dans la recherche du respect du principe de responsabilité (d’accountability) de l’article 5.2 du RGPD (V. également l’avis 3/2010 du G29 sur le principe de responsabilité). Ce principe :

  • remplace le système de formalités préalable ;

  • repose sur la préconstitution de preuve de la conformité des traitements ;

  • impose au responsable du traitement de mettre en place des mesures et procédures qui démontrent sa conformité au RGPD ;

  • impose au responsable du traitement d’être capable de démontrer, sur demande, les mesures adoptées pour résoudre une faille de sécurité, répondre à une demande de personne concernée, d’un tiers ou d’une autorité ou, plus généralement, pour respecter ses obligations.

Le principe de responsabilité a une vocation pratique notable. Il semble donc cohérent que la CNIL ne suive pas l’argument de la société Vectaury qui invoque la conclusion de contrats avec les SSP pour prouver sa bonne foi et s’exonérer de sa responsabilité. En avançant un tel argument, la société Vectaury reste sur le plan théorique. Ce faisant, elle n’est pas capable, sur demande de la CNIL, de démontrer qu’elle dispose effectivement du consentement des personnes concernée à ce que leurs données fassent l’objet d’une vente aux enchères. Pourtant, dès 2010 le G29 avait illustré le principe de responsabilité avec l’exemple suivant : « mise en œuvre et supervision de procédures de vérification afin de s’assurer que toutes les mesures n’existent pas seulement sur papier, mais qu’elles sont aussi mises en œuvre et fonctionnent dans la pratique (audits internes ou externes, etc.). » (point 41 de l’avis 3/2010 du G29 sur le principe de responsabilité).

L’argumentation de la société Vectaury est la parfaite illustration de la confusion entre le principe de responsabilité instauré par le RGPD et les règles de responsabilité civile (contractuelle ou délictuelle).

          b. De la responsabilité d’un membre à celle de l’ensemble de la chaîne

Deux responsabilités ressortent de la mise en demeure de la société Vectaury. La première est celle de la société Vectaury, en tant que responsable du traitement, la seconde est celle de l’ensemble du secteur de la publicité.

               a’. La coresponsabilité verticale entre responsable du traitement et sous-traitant

Dans son avis 2/2010, le G29 avait qualifié de coresponsables du traitement les fournisseurs de réseaux publicitaires, les annonceurs de publicité et les diffuseurs (V. notre article sur les mises en demeure de la CNIL à l’encontre des sociétés Teemo et Fidzup).

Ce même avis indique que la coresponsabilité des diffuseurs et des fournisseurs de réseaux publicitaires doit s’analyser sous le prisme du contrat conclu entre ces sociétés et que « ces contrats conclus entre diffuseurs et fournisseurs de réseaux publicitaires devraient définir les rôles et responsabilités des deux parties dans le cadre de leur collaboration décrite dans le contrat. » (p. 14 de l’avis précité). La CNIL a eu l’occasion de préciser le régime de responsabilité des éditeurs de sites Internet qui acceptent des cookies tiers. Elle distingue deux hypothèses :

  • l’éditeur installe des cookies ou accepte des cookies tiers. Les données collectées par ces cookies ne sont traitées que pour le compte de l’éditeur de site internet ;

  • l’éditeur de site Internet (sous-traitant) accepte des cookies tiers. Les données collectées par ces cookies sont traitées par l’émetteur du cookie tiers (le responsable du traitement).

On peut procéder par analogie pour analyser et qualifier les sociétés qui éditent des SDK. En effet, les SDK peuvent être comparés à des cookies puisqu’ils assurent la même fonction : collecter des données. Ils sont alors adjoints à des applications, de la même manière que les cookies sont adjoints à des sites internet. Les sociétés qui éditent des SDK peuvent donc être assimilées à des sociétés qui placent des cookies tiers. De même, en principe, les éditeurs d’applications n’ont pas accès aux données collectées par le biais des SDK. Aussi, la deuxième hypothèse de la CNIL peut être transposée aux éditeurs de SDK. D’ailleurs, la CNIL confirme cette analyse lorsqu’elle déclare qu’entrent dans cette hypothèse les plateformes d’enchères en temps réel de publicité.

Cette approche est bien celle retenue dans la mise en demeure de la société Singlespot. Dans cette dernière, la CNIL rappelle qu’il appartient au responsable du traitement, l’éditeur de SDK, de déterminer les mentions et informations qui doivent être communiquées aux personnes concernées. En outre, il appartient au responsable « de s’assurer [de l’intégration effective de la fenêtre contextuelle] au sein des applications de ses éditeurs partenaires » (V. notre commentaire de cette décision).

Si la recherche et la preuve de l’effectivité est essentielle pour le respect du principe de responsabilité (d’accountability), on constate que dans les mises en demeure Singlespot et Vectaury, la gestion du consentement se fait par le sous-traitant. Dès lors, on peut s’interroger sur l’utilité, les modalités et la pertinence de « sous-traiter » la gestion du recueil du consentement. Cette question est d’autant plus importante que le transfert de données personnelles illicite peut corrompre l’ensemble d’un secteur.

               b’. Les chaînes de contrats sur les données personnelles

Dernier point de la mise en demeure, la validité du consentement dans le cadre des « bid requests » remet en cause la chaîne contractuelle qui relie la personne concernée à l’annonceur de publicité via les différents intermédiaires (SSP, DSP, ad exchanges, etc. ; cf. avis précité de l’Autorité de la concurrence n° 18-A-03 de 2018, p. 22-23).

Le fait de ne pas disposer du consentement de la personne concernée pour le transfert entre l’un des intermédiaires corrompt l’ensemble de la chaîne de contrats. La coresponsabilité n’est plus analysée dans un rapport entre responsable et sous-traitant mais entre plusieurs responsables du traitement et, éventuellement, responsables conjoints du traitement.

On peut faire appel au droit commun des contrats tel qu’applicable depuis la réforme des obligations de 2016. L’on sait que, par le jeu combiné du RGPD et de la Loi Informatique et Libertés, le traitement de données personnelles ne peut se faire que s’il existe une base juridique à celui-ci.

La Cour de cassation avait jugée, au visa de l’ancien article 1128 du Code Civil, que le traitement réalisé sans avoir été préalablement déclaré à la CNIL conduit à exclure le fichier du commerce. Par conséquent, la vente d’un tel fichier a un objet illicite (Cass. Com. 25 juin 2013, n° 12-17.037). Les formalités préalables ayant été supprimées, on peut supposer que le traitement réalisé sans un consentement valablement recueilli se verra appliquer la même solution. Aussi, le contrat qui organise le transfert de données personnelles et constitue donc un traitement de données au sens de l’article 4.2 du RGPD doit également être considérée comme nul puisque qu’il déroge à l’ordre public (nouvel article 1162 du Code Civil). L’absence de base juridique conduit logiquement à devoir qualifier d’illicite le traitement, et nuls, l’ensemble des contrats subséquent, l’ensemble de la chaîne de contrats.

Le suivi de la conformité, qui peut passer pour une question propre à chaque responsable de traitement, est en réalité bien une question qui concerne l’ensemble des partenaires d’un responsable du traitement et les destinataires des données. La simple précision que les données seront transmises à telle ou telle catégorie de destinataires n’est pas non plus de nature à exonérer un responsable du traitement destinataire des données de sa responsabilité.

C’est pour l’ensemble de ces raisons qu’il devient de plus en plus urgent que les éditeurs de sites Internet, d’applications, de cookies, de SDK et, plus généralement, que toutes les personne qui collectent des données à caractère personnel se mettent en conformité avec le RGPD. Depuis l’entrée en application du règlement et les quatre mises en demeure publiées sur le sujet, il devient en effet de plus en plus difficile de prétexter la bonne foi dans le traitement de données personnelles à des fins de publicité ciblée…