Directives 2 / 2023 du CEPD : la fin de la récré ?


Les dernières directives en date proposées par le Comité européen de protection des données (CEPD) pourraient mettre un terme à certaines formes de tracking jusqu'ici réalisées sans le consentement de l'Internaute.



Publié le 24 janvier 2024



Rappel



Le 16 novembre 2023, le CEPD a soumis à consultation publique de nouvelles directives de nature à changer radicalement la donne en termes de tracking (publicitaire notamment, mais pas que). Si ce texte, dont l'intitulé est : "directives sur le champ technique d'application de l'article 5(3) de la directive ePrivacy", semble abscons, ses conséquences pour les Internautes sont, pour leur part, directes et importantes. Le texte proposé est téléchargeable en format pdf sur cette page. Tentative de décryptage.



En quoi est-ce important ?



La directive ePrivacy porte sur le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques. Son article 5(3) précise les circonstances dans lesquelles le consentement de l'Internaute est requis. Cet article, émis par l'autorité européenne, est repris et transcrit au niveau national par chaque Etat membre. Le pendant français en est l'article 82 de la loi "informatique et libertés", que nous avons évoqué à plusieurs reprises dans nos billets précédents. Afin que le lecteur voie le lien direct entre ces deux textes, nous les citons ici :



Directive "ePrivacy"



Article 5



3. Les États membres garantissent que l'utilisation des réseaux de communications électroniques en vue de stocker des informations ou d'accéder à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur ne soit permise qu'à condition que l'abonné ou l'utilisateur, soit muni, dans le respect de la directive 95/46/CE, d'une information claire et complète, entre autres sur les finalités du traitement, et que l'abonné ou l'utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données.
Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer ou à faciliter la transmission d'une communication par la voie d'un réseau de communications électroniques, ou strictement nécessaires à la fourniture d'un service de la société de l'information expressément demandé par l'abonné ou l'utilisateur.



Loi "Informatique et libertés, article 82"



Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :
1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
2° Des moyens dont il dispose pour s'y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :

1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
2° Soit, est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.



Ainsi, pour le cas de la France et de l'article 82 de la loi "Informatique et libertés", il faut bien comprendre que ces nouvelles directives du CEPD sont de nature à apporter un nouvel éclairage sur l'interprétation qui doit en être faite. Et il faut le dire : cette interprétation, et tout particulièrement celle de la CNIL, était loin d'être satisfaisante à nos yeux jusqu'alors.



En cause : l'évolution des techniques de tracking



La technique fondamentale qui consiste à suivre et capter le comportement de l'Internaute s'est, pendant des années et aujourd'hui encore, fondée sur les cookies. Par la suite se sont développées d'autres techniques, d'une certaine manière plus discrètes. Nous allons nous attarder sur deux d'entre elles.



La première est le tracking dit "server-side". Nous ne reviendons pas sur ce sujet et invitons le lecteur à (re)lire notre article qui y est largement consacré, et plus particulièrement notre réaction vis-à-vis de la position de la CNIL à ce sujet.



La seconde est ce qu'on pourrait appeler le "fingerprint passif", qui consiste à n'utiliser que la seule adresse IP d'un terminal comme moyen d'identification. Nous avons fréquemment évoqué l'article de l'Internaute Pixeldetracking dans lequel il explique avec force détails la problématique liée au tracking passif, et à l'interprétation de ses maîtres d'oeuvre consistant à estimer qu'il n'y a, dans ce cas d'usage, pas d'accès au terminal de l'utilisateur, et que donc, cela n'est pas couvert par la directive ePrivacy. En d'autre termes : il est possible de réaliser sans consentement un tracking par utilisation seule de l'adresse IP. Courte capture d'écran de cet excellent (nous le rappelons une fois encore) article que vous pouvez (re)lire sur cette page. :







Ainsi, depuis des années, beaucoup d'acteurs de l'écosystème publicitaire qui utilisaient ces méthodes se sont sentis très à l'abri de la législation, car en effet, s'il existe bien une donnée incontournable sur Internet, c'est l'adresse IP. La bénédiction de la CNIL sur ces pratiques a contribué à égayer la récré.



Mais le CEPD risque fort d'en sonner la fin.



Le contenu des directives



En substance et sur le fond, le CEPD souhaite transcrire l'esprit d'ePrivacy, qui dans l'idée est (contrairement à ce que beaucoup tendent à faire croire) très simple :



Dans le domaine des communications électroniques, on ne collecte pas d'informations sans consentement, de quelque manière que ce soit, sauf à en affecter le fonctionnement même du site ou directement le service proposé, ou à le faciliter.



Si l'idée de départ est simple, sa transcription juridique est beaucoup plus complexe, d'autant plus que chaque acteur va (comme nous l'avons souvent dit) exploiter le moindre détail ou vide pour contourner la législation. Et cela, ce n'est pas seulement nous qui le disons, mais bien le CEPD lui-même qui l'affirme, comme écrit dans son introduction, alinea 3, de ses directives (traduction non officielle) :


Les ambiguïtés concernant le champ d'application de l'article 5, paragraphe 3, de la directive ePrivacy ont incité à mettre en œuvre des solutions alternatives pour le suivi des internautes et conduisent à une tendance à contourner les obligations légales prévues à l'article 5, paragraphe 3, de la directive ePrivacy.


Il n'est pas dans les habitudes du CEPD d'être péremptoire. Néanmoins, on sent bien qu'il y a une volonté de taper du poing sur la table au regard de la multiplicité d'abus constatés. Il s'agit donc de remettre les choses au clair, et il faut le dire, le CEPD n'y est pas allé de main morte. Notre position est que cela devenait plus que nécessaire et qu'il était grand temps, surtout à l'approche de la disparition des cookies tiers qui laissent présager l'émergence de nouvelles (ou anciennes-nouvelles) méthodes de tracking "cookieless", que les éditeurs risquent rapidement d'interpréter à tort comme "consentless, parce que cookieless". Pour notre part, nous applaudissons l'initiative, même si elle est de nature à soulever quelques questions que nous allons aborder.



Quels sont les points précisés dans cette directives ?



En résumé, le CEPD reprend tout depuis le début. Très bref résumé (et raccourci) de ces directives :



L'article 5(3) évoque un "accès à des informations", et non une collecte précise de données personnelles sur un terminal expressément désigné, ce qui étend grandement son champ d'application jusqu'ici si mal interprété. Par ailleurs, et sans entrer dans les détails de la directive, celle-ci indique que cet accès peut être immédiat comme retardé, direct ou avec étape(s) intermédiaire(s), intrinsèque ou déclenché. Une liste non exhaustive d'exemples les plus courants est fournie en fin de texte, y compris celui du tracking ayant pour seule utilisation l'adresse IP. Il en résulte ainsi potentiellement ceci :



- Le fingerprint passif ? Soumis à consentement au regard de ePrivacy. C'est le point le plus préoccupant pour l'Adtech, et IAB Europe, dans sa réponse (qu'il n'a pas manqué de donner, comme on peut s'en douter), l'évoque non sans malice. Nous ne partageons bien évidemment pas son point de vue, car IAB se contente de parler de "réception passive d'informations", stockées de manière "transitoire et éphémère" dans le cache du terminal de l'usager. Or, IAB sait pertinamment que ces opérations techniques sont de nature à pleinement contribuer à certaines formes de tracking jusqu'alors difficilement constestables sur le plan juridique. Un rempart s'effondre, et on le dit : tant mieux pour l'usager.



- Les pixels de suivi ? Soumis à consentement au regard de ePrivacy, mais cela n'a rien de réellement nouveau en réalité.



- Le tracking via des identifiants insérés dans les URLs ? Soumis à consentement au regard de la ePrivacy



- La collecte de données personnelles via les objets connectés ? Soumis à consentement au regard de la ePrivacy



Et enfin : le tracking server-side ? Soumis à consentement au regard de la ePrivacy, ce qui est totalement contraire à ce qu'a indiqué la CNIL. Nous réimprimons à cette fin la réponse de la CNIL à la pernicieuse question posée en 2020 par un groupement d'éteurs, laissée à l'appréciation du lecteur. Nous avons déjà exprimé notre position sur ce point ; nous n'y reviendrons que pour dire que le CEPD fait simplement ré émerger le bon sens le plus élémentaire en la matière.





Les difficultés liées à ces directives



Si nous avions déploré l'ultraminimalisme de la CNIL à l'époque, et si nous accueillons aujourd'hui avec une joie non feinte l'émission de ces nouvelles directives, il faut cependant reconnaître que pour cette fois, le CEPD apporte une lecture (très) étendue de l'article 5(3). Comme on peut s'en douter, cela revient finalement à considérer que tout tracking de l'Internaute, quelle que soit la méthode employée, est soumis à consentement : véritable tremblement de terre pour l'Adtech, qui, bien que ces directives ne soient pas intrinsèquement contraignantes, serviront sans nul doute de fondement en cas de réclamation(s) future(s) (que nous ne manqueront pas de formuler le cas échéant du reste).



Comme nous l'avons déjà précisé, le CEPD a soumis à contribution ces directives. Autant dire que celles-ci ont provoqué une levée de bouclier au sein de l'Adtech. Ainsi, parmi les 56 contributions publiées par le CEPD, 37 émanent de groupements d'entreprises, avec dans l'ensemble un propos toujours courtois mais souvent réprobateur. Voici ci-dessous un petit tableau statistique recensant la qualification des entités dont les avis sont publiés sur le site du CEPD, que nous jugeons plutôt éloquent.





Si les points soulevés par ces organismes représentatifs sont loin d'avoir notre assentiment dans l'ensemble, quelques items spécifiques méritent d'être mis en relief, car il faut le reconnaître aussi, le texte soulève des interrogations.



La précision du texte dans son ensemble



Beaucoup d'observations ont été formulées sur ce thème. De façon générale, on reproche au CEPD d'être trop vague dans ses descriptions, ou de manquer d'exemples précis, ouvrant la porte à des inteprétations qui peuvent varier de façon significative. Cette divergence possible d'interprétation risque d'être d'autant plus sensible dans l'éventualité d'une retranscription par chaque Etat membre. C'est entre autres ce que redoute IAB Europe, qui craint (sur cet item), que les organismes ne doivent s'adapter à chaque législation nationale en vigueur. Pour des multinationales, un casse-tête juridique se profile.

Notre intuition est que ce flou est volontaire, l'objectif étant de péréniser l'esprit de la directive et d'éviter que ce texte, aujourd'hui valide, ne devienne caduque demain au regard d'éventuelles technologies émergentes. C'est pour cette raison notamment que le fait d'évoquer un "accès aux informations" nous paraît tout-à-fait idoine, et reste suffisament vaste pour ne pas se retrouver pris dans un bourbier juridique et devoir trahir l'esprit de la directive. A cet égard, il convient de saluer les remarquables contributions de NOYB d'une part, et surtout de la communauté des chercheurs des universités d'Utrecht, de l'ETH de Zürich, de l'université impériale de Londres et de l'INRIA, qui pour leur part proposent des modifications de terminologie et soulèvent de très intéressants cas d'usages, de façon à éviter d'éventuelles fautes d'interprétation qui pourraient être faites au détriment de l'usager.



La nécessité d'obtenir de nouveaux consentements



Il concernent principalement trois domaines spécifiques :



- La publicité contextuelle, qui (lorsqu'elle est "correctement" mise en oeuvre) ne réalise pas de suivi de navigation ni de profilage, mais qui cependant nécessite l'utilisation de l'adresse IP du terminal de l'usager. Ce type de publicité était perçu comme beaucoup moins intrusif et pas toujours soumis à consentement jusqu'alors, cela risque de prendre fin avec ces nouvelles directives. IAB ne manque pas d'évoquer ce cas, semblant soudainement défendre une publicité qui, on le dit, était bien loin de constituer sa priorité absolue jusqu'alors. On trouve l'argument à la limite de la démagogie.



- La mesure d'audience. Pour ce cas, il faut reconnaître que la CNIL a réfléchi à ce problème en amont avec ses solutions d'audience exemptées de consentement sous certaines conditions. Cependant, ces dispositions sont loin d'être la panacée, et nous renvoyons le lecteur à notre article exprimant notre circonspection sur le sujet. Ceci étant posé, certaines solutions d'audience ayant fait le réel effort de répondre aux besoins de confidentialité dès leur conception risquent de se trouver en difficulté ; idem pour les éditeurs qui utilisaient ces solutions par équité et risquent potentiellement de perdre une part significative de leur mesure d'audience.



- La mesure de performance publicitaire : grave problème pour l'Adtech qui ne pourra dans ce cas plus réaliser le comptage des impressions publicitaires sans consentement... et donc ne pourra plus facturer.



Le corollaire : la démultiplication des consentements



De façon générale, cette "extension du domaine du consentement" risque d'induire davantage de demandes à l'utilisateur final et à augmenter significativement sa fatigue. Dans certains cas même, on évoque une augmentation du nombre de Paywalls à venir (sujet sur la sellette également), les éditeurs pouvant anticiper une perte de revenus liée au refus croissant des utilisateurs.



Moralité : une fois encore, pour avoir développé des méthodes de tracking en s'attachant à la lettre et non à l'esprit, l'Adtech programmatique se retrouve confrontée à de sérieuses difficultés tout en éclaboussant ses camarades plus vertueux.



Comme nous l'avions déjà dit sur les réseaux sociaux : "We told you so", cela était prévisible.



Des solutions ?



Il est clair que le texte, s'il est adopté tel quel et fidèlement retranscrit par les Etats membres, risque de faire mal. Quelles pistes alternatives ? Nous en voyons une, dont il est difficile d'en déterminer la pertinence et l'efficacité pour l'Adtech au regard de nos connaissances insuffisantes dans le domaine : un traitement de données qui respecte et applique de façon EFFECTIVE les opérations suivantes :

- Anonymisation des données (et NON PAS pseudonymisation) ;
- Agrégation, i.e. diminution très significative de la granularité des données collectées,



le tout, pourquoi pas, via une proxyfication ? Solution très probablement coûteuse, mais qui sauverait à la fois l'Adtech et préserverait les Internautes.



Dans tous les cas, il est à prévoir une révision de copie en profondeur des technologies actuellement employées, pour le bien des usagers et le respect de leurs droits fondamentaux. Rendez-vous en milieu d'année, lorsque le CEPD aura émis son opinion suite aux consultations.



Dignilog.