Publicité programmatique et RGPD : vers une bulle juridique ?
Petite opinion sur la protection de nos données personnelles et de ses potentielles et lourdes conséquences.
Publié le 28 août 2023
Une récente et n-ième analyse de cookie banner nous a amené à une réflexion sur un sujet que nous avions déjà évoqué en filigrane dans nos articles précédents : l'éventualité de l'explosion d'une bulle juridique aux conséquences loin d'être négligeables.
Des modèles économiques précaires
Le constat de départ est simple : on observe qu'un média "pure player" fonde son modèle économique sur les seuls revenus publicitaires ciblés et consentis par ses visiteurs. Première difficulté : un bandeau persiste en cas de refus aux cookies par l'utilisateur qui rend pour ainsi dire impossible la lecture, ce qui est encore assez courant malheureusement. Problème corrolaire : ceci contrevient totalement au RGPD.
Le propos ici ne consiste pas à souligner le caractère non conforme, mais plus à y entrevoir les conséquences dans l'éventualité d'une réclamation auprès de l'autorité de contrôle, qui sans trop de doutes imposera à l'éditeur soit une possibilité de poursuite de navigation même en refusant les traceurs, soit une alternative payante. Les conséquences sont importantes, car on peut raisonnablement présager qu'une fois le site conforme, le taux de refus sera loin d'être négligeable, et donc de nature à réduire drastiquement les revenus de l'éditeur, engageant ainsi sa propre survie et les emplois qu'il a générés.
On peut ici pour le moins s'étonner qu'un tel modèle économique ait été ainsi posé, modèle économique qu'on qualifie de précaire : une seule et principale source de revenus fondée finalement sur un processus illégal. La question se pose bien évidemment : comment en sommes-nous arrivés là ?
Les esprits chagrins seraient les premiers à ériger ce type d'exemple en preuve de caractère indéniablement nuisible du RGPD vis-à-vis du marché. Rendez-vous compte : tout allait bien jusqu'en 2018, et à cause de la mise en application de ce RGPD, nos modèles économiques volent en éclat ! Cette façon d'analyser ce type de situation, nous la nommons "prendre le problème à l'envers", avec à notre sens, une bonne dose d'hypocrisie.
Le contournement des droits de l'usager : une constante dangereuse
La véritable nature du problème ne réside pas dans la réglementation, mais dans la volonté farouche de l'ignorer pour ceux qui la bafouent. Et cette volonté existe depuis la création du premier des traceurs : le cookie. Dès sa conception et son implémentation (non révélée au public par ailleurs !) par Netscape en 1994, les difficultés liées à la vie privée sont pointées par l'Internet Engineering Task Force (IETF) qui proposent un autre standard plus respectueux, standard qui tombera aux oubliettes devant l'état de fait : Netscape supplante le marché, son cookie sera roi. Deux ans plus tard naissent Doubleclick et l'Interactive Advertising Bureau (l'IAB dont nous avons parlé dans l'un de nos articles) qui décuplent en quelques années leurs bénéfices.
Pendant des décennies, en dépit de la loi "Informatique et libertés" pourtant déjà bien en place (pour ce qui concerne la France), l'Adtech s'est développée en strates successives pour devenir le monstre qu'est l'écosystème publicitaire d'aujourd'hui. Cet écosystème génère des milliards de revenus. Pour ainsi dire, très peu voire aucun acteur majeur de la publicité programmatique n'a levé le nez de son guidon pour se poser la question de ce qu'il était en train de faire : collecter en masse des données, les revendre, en faire un business. Parler d'amoralité serait excessif, mais on peut à tout le moins évoquer la conscience de ce que l'on fait. Et l'Adtech en a bien peu. Tant que le législateur n'est ni ferme, ni clair, elle fonce tête baissée sans aucune retenue. Et quand bien même la loi la rattrappe, elle joue à l'extrême avec la législation. La machinerie Adtech est lancée à trop vive allure pour freiner si brutalement. Et c'est bien là la difficulté majeure d'aujourd'hui : les enjeux économiques sont devenus tellement collossaux que son effondrement brutal aurait des conséquences potentiellement catastrophiques.
Pour reprendre et transposer un concept émis par Benjamin Bayart (et qu'on partage pleinement), au même titre que l'ordinateur, l'Adtech, jusqu'ici, a été fatale. Qu'est-ce que cela signifie ?
Cela signifie que le législateur, les autorités de contrôle, le politique, bref, tous les acteurs en la matière, s'adaptent à une réalité dictée par l'écosystème de la data, et non l'inverse. Ainsi, reprenons (une fois encore, nous sommes désolés de bassiner le lecteur avec le même exemple, mais celui-ci est trop caractéristique pour l'ignorer) le cas de l'utilisation de Google Analytics, qui illustre plus que parfaitement le propos :
L'utilisation de Google Analytics a été de facto pleinement illégale depuis Juillet 2020, suite à l'invalidation du "Privacy Shield". Que s'est-il passé ?
- Dans un tout premier temps : feinte d'ignorance totale du sujet par tous les acteurs (Adtech en tête), jusqu'à ce que des plaintes soient déposées en nombre auprès des APD.
- La plupart des APD européennes, bien que censées être indépendantes, ont probablement mesuré l'impact très négatif en termes de coût pour les organismes qui l'utilisent, et ont préféré ignorer le sujet, ou le faire traîner autant que faire se peut, ainsi du reste que le précise NOYB dans un récent article . On rappelle ici qu'initialement, une action coordonnée au niveau européen devait être mise en place. Il n'en aura rien été.
- Quand bien même une APD réagit (en l'espèce la CNIL), seuls les organismes faisant l'objet de plaintes sont visés, sans autre investigation spontanée supplémentaire.
- En définitive, l'autorité politique intervient au sommet pour adapter la loi et faire en sorte que le transfert de données outre atlantique soit à nouveau validé, et donc l'utilisation de la solution de Google possible, apportant des modifications que nous jugeons (à tort ou à raison, mais l'avenir nous le dira), largement insuffisantes.
Le monde s'adapte au programmatique. Les enjeux qui y sont liés imprègnent suffisamment la globalité du marché au point qu'il deviendrait délétère de le freiner, tout simplement parce chaque acteur à son niveau a laissé faire pendant presque trente années, au motif que l'Adtech génère de la richesse.
L'Adtech est fatale.
Pourtant, alors que le RGPD a été initialement perçu comme un texte sans avenir (voire inepte), on observe une tendance globale qui confirme que son esprit se répand. De nombreux pays (l'Inde étant le dernier en date à notre connaissance), promulguent des directives et / ou des lois visant à protéger les données de l'usager. Dans le même temps, la polarisation des camps de défense de la vie privée et de la "libre circulation des données" (expression que nous jugeons extrêmement fallacieuse au demeurant) s'accentue. Et il faut le dire, nous y participons.
Cette situation peut-elle basculer ? Cela n'est pas forcément impossible.
La Bulle
Il faut en effet rester prudents, voire inquiets. Les bilans dressés cette année par les différentes instances et autorités de contrôle après cinq années de mise en application du RGPD laissent entrevoir un avenir potentiellement dangereux. En effet, même si nous reprochons fréquemment le manque de zèle de nos APD, on observe malgré tout une augmentation globale du nombre de sanctions liées à la protection des données. Le tableau ci-dessous récapitule, pour la CNIL, les sanctions prononcées ces cinq dernières années, en termes de nombre d'amendes inflingées et de mises en demeure.
source : rapports d'activité CNIL de 2019 à 2022
La tendance est donc à la hausse ; on peut toutefois raisonnablement s'attendre à une certaine stabilisation de ce nombre dans les années à venir. Mais intéressons-nous au "qualitatif", et à la nature de certaines des contraintes imposées par nos APD, ne serait-ce que pour ces deux dernières années :
Sanction contre Google Analytics :
tellement conséquente que la quasi-totalité des acteurs ont figé leur attitude en attendant que la décision d'adéquation tombe. Les reproches suite à l'annonce de la non conformité de son utilisation ont été formulés quasi immédiatement par les gros éditeurs.Sanction contre OpenAI (APD Italienne) :
on assiste à un ultimatum en bonne et due forme avec rien de moins que l'interdiction d'utilisation de l'outil..Plus sérieux : sanction contre Meta :
au-delà du montant record de l'amende et des atermoiements entre l'autorité de contrôle irlandaise et le Comité européen de Protection des Données, les injonctions ont failli être très sérieuses, même si tout le monde savait bien que l'actuel ADPF allait naître. Qu'en aurait-il été si cela n'avait pas été le cas ? Meta aurait-il seulement pu être en capacité technique de supprimer l'intrégalité des données qu'il a recueillies auprès des citoyens européens depuis plus d'une décennie ? Quid des milliers de personnes qui utilisent Facebook (et cela aurait pu être Instagram également) comme moyen de monétisation ? Les pertes n'auraient-elles pas été gigantesques ?Enfin, sanction contre IAB Europe :
le TCF a tellement infiltré nos cookies banners que cette décision a été de nature à faire trembler l'écosystème dans son ensemble. Et cette procédure n'est pas finie.
La radicalité croissante des sanctions de nos APD est un signe. Même si l'on pourrait penser qu'il existe des tendances naturelles à s'y opposer, il ne paraît pas dénué de sens de s'imaginer qu'un beau matin, une décision contraignante risque de provoquer d'une manière ou d'une autre l'effondrement d'un acteur majeur de l'Adtech, avec un effet domino possible. Croyez-vous que nous allons nous en réjouir ? Non, cela ne fera sourire personne : si Google s'effondre demain, l'état de manque du marché ainsi provoqué sera tel que beaucoup de personnes en pâtiront.
L'Adtech est un colosse aux pieds d'argile, et ce qui fragilise son socle, c'est son mépris de la réglementation.
Et ne nous y trompons pas : ce n'est pas la réglementation qui provoque ces potentiels cataclysmes, mais bien l'obstination de la tech à conserver à n'importe quel prix son modèle économique. Même devant le Sénat américain, Mark Zuckerberg dit ne pas comprendre la question : "envisagez-vous de modifier votre modèle économique ?" Cette obstination, à notre sens, se transforme progressivement en folie : ne lâchons surtout pas un modèle qui nous rapporte autant, fût-il illégal et dangereux. C'est ainsi que se sont développés quantité de solutions, de medias, d'outils en ligne prétenduments gratuits, aux modèles économiques bien peu viables, engageant des emplois et des carrières.
Il nous paraît donc vital à ce stade que l'Adtech apprenne à changer de modèle, et surtout qu'elle accepte ce changement. L'Adtech n'a pas de vision : elle se contente de gérer ses affaires à moyen terme, en usant inlassablement de biais à tous les niveaux : cognitifs bien évidemment, mais aussi et surtout législatifs. Il est à craindre qu'elle ne se fasse un jour rattrapper, faute d'avoir simplement réfléchi à ce qu'elle faisait.
Et ce jour là, nous en souffrirons tous.
Pour autant, nous ne pouvons accepter l'état de fait actuel du marché. Cette bulle, si elle advient, (et, nous le répétons, elle peut simplement ne pas advenir si les acteurs acceptent le changement), ne justifie pas l'état léthargique des modèles économiques adoptés par le marché. Aussi non seulement notre action restera la même, mais encore allons-nous démultiplier les procédures. A défaut pour l'Adtech de lâcher prise et d'accepter le changement, il nous paraît nécessaire de l'y contraindre.
Dignilog.