Cookies : Pourquoi le règlement de la CE risque de renforcer la domination des GAFA

janvier 16, 2017

Privacy

L’industrie de la publicité accueille très négativement les projets de réforme proposés par la Commission européenne la semaine dernière pour renforcer la confidentialité des données en ligne. De nombreux analystes considèrent que ces textes vont fragiliser encore plus la situation des éditeurs en ligne, tout en renforçant des géants du web, comme Google et Facebook. Explications de Mats Carduner, PDG de la data company fifty-five, et Christoph Bauer, directeur général du cabinet de consulting ePrivacy, interrogés par ad-exchange.fr.

 Que pensez-vous de ces textes ?

Mats Carduner

Mats Carduner, fifty-five.

M.C. La démarche d’harmonisation et de clarification est louable, car l’instabilité législative constitue un risque non négligeable pour l’industrie. Malheureusement, nous ne sommes pas sûrs aujourd’hui que l’objectif de clarification et de stabilisation du cadre juridique soit atteint avec ce texte. Depuis la fuite, en décembre dernier, d’une version du projet qui imposait le blocage des cookies tiers par défaut dans les navigateurs, l’industrie entière est en alerte. Cette nouvelle version préconise que les navigateurs demandent systématiquement, lors de l’installation, l’acceptation ou non des cookies tiers. On évite au moins le séisme pour le secteur publicitaire.

L’objectif de ces textes est, d’une part, de lutter contre l’espionnage des communications des citoyens, d’autre part de donner aux gens les moyens de se prémunir contre les sollicitations marketing entreprises sans leur consentement. Le problème est qu’entre l’énonciation de ces principes – auxquels on adhère bien évidemment – et la proposition de mesures concrètes pour les faire respecter, on perd de vue l’objectif.

Le sujet est certes complexe mais pour l’instant notre sentiment est que ce mille-feuille réglementaire est une source de confusion et d’insécurité stratégique. En décembre 2013, la CNIL imposait aux éditeurs de site français de mettre en place les fameux bandeaux d’information et surtout d’attendre le consentement des visiteurs avant tout dépôt de cookie. Le secteur de la presse – déjà fragilisé et dépendant en grande partie de la valorisation publicitaire des audiences – a été frappé de plein fouet, car théoriquement dans l’impossibilité d’afficher des publicités ciblées avant d’avoir recueilli le consentement de l’internaute. Se mettre en parfaite conformité était possible, et nous avons accompagné nos clients – comme Renault ou Ferrero – pour le faire. Mais cela avait un coût financier et humain non négligeable, et les marques qui l’ont fait avaient pour objectif, indépendamment de la loi, de construire une stratégie digitale centrée sur l’utilisateur, durable et respectueuse de ces principes de liberté et de contrôle. Or, le texte publié aujourd’hui reconnaît l’impuissance de la mesure à atteindre l’objectif d’apporter transparence et pouvoir aux utilisateurs et mentionne également le coût engendré pour les entreprises. Aujourd’hui, quel signal envoie ce texte aux entreprises qui ont fait l’effort de se mettre en conformité ? Et à celles qui ne l’ont pas fait et qui n’ont pas été sanctionnées ? Les marques et les acteurs du marché vont-ils se soumettre à cette nouvelle loi, quand une nouvelle loi promulguée trois ans plus tard pourrait revenir sur les mesures phares ?

Christoph Bauer

Christoph Bauer, ePrivacy.

C.B. Le texte proposé pour le règlement ePrivacy est une spécification du RGPD [Règlement général sur la protection des données], mais il va dans un tout autre sens que celui assumé auparavant par le RGPD. Avant, la législation cherchait toujours à maintenir les modèles d’affaires existants de l’industrie. Ceci a considérablement changé depuis qu’un opt-in de l’utilisateur est demandé pour les cookies tiers et d’autres technologies de traçage. De plus, la période de mise en œuvre ne sera pas de deux ans comme pour le RGPD : le règlement ePrivacy devra prendre effet en mai 2018, en même temps que le RGPD. Vu que le projet de loi est encore en cours, la période de mise en œuvre sera donc probablement très courte. En somme, la démarche de la Commission européenne est très insolite et étonne l’industrie concernée. Certains, comme le vice-président de l’IAB Allemagne Thomas Duhr, craignent que l’internet comme nous le connaissons n’existerait bientôt plus.

La mesure concernant les cookies fait partie d’une liste plus large de propositions législatives visant à renforcer le respect de la vie privée dans les communications électroniques. Elle est présentée par la CE comme une manière de simplifier le paramétrage de l’acceptation ou de refus des cookies servant à accéder aux données stockées sur l’ordinateur ou à suivre le comportement en ligne de l’utilisateur. Quelles conséquences ce texte pourrait avoir s’il est adopté sans modifications ?

M.C. Cela risque de mettre en péril les acteurs publicitaires indépendants, les médias, et de renforcer la domination croissante des GAFA. Ceci dit, on ne peut pas connaître à l’avance la proportion de gens qui refuseraient les cookies tiers lors de l’installation de leurs navigateurs. Les gens étaient importunés par les bandeaux, mais de notre côté on a observé des taux très faibles – souvent négligeables – de désactivation des cookies quand on offrait cette option. Finalement, il se pourrait bien qu’on soit surpris des faibles taux de rejet. La question n’est pas là – si les taux sont faibles, ce sera un coup d’épée dans l’eau dans la lutte contre le marketing indésirable, et si les taux sont élevés, cela va asphyxier une partie du marché et certains secteurs, et renforcer le monopole des GAFA. La question centrale, c’est l’éducation des citoyens et leur compréhension des enjeux. Le recours à la navigation privée, aux adblocks montre que le sujet est une réelle préoccupation, et qu’une fraction des internautes se renseigne, s’organise et prend des mesures lorsqu’ils sont gênés par la publicité ou le tracking. D’un autre côté, les initiatives pédagogiques d’éditeurs de contenus qui consistaient à demander la désactivation des adblocks – comme celles prises par le Figaro en France ou Bild en Allemagne – ont eu des résultats prometteurs. De la même façon, les bandeaux d’information sur les cookies qui ont proliféré sur le web français à la suite de la publication des recommandations de la CNIL en 2013 – certes imparfaits et pas forcément conformes à l’esprit initial du texte – ont également contribué à augmenter la conscience que l’écosystème du web repose sur l’utilisation de cookies, même si leur rôle et leur fonctionnement reste mal connu.

C.B. Du point de vue de l’utilisateur, le nombre de moyens de traçage sera réduit par la nécessité d’un opt-in. D’ailleurs, ces moyens de traçage étaient jusqu’à présent permis sans opt-in dans la plupart des pays. Donc le modèle économique de nombreux fournisseurs de traçage 3rd party serait en danger. De plus, des entreprises qui en général diUtilisateur sur son claviersposent déjà d’un opt-in de l’utilisateur (p.ex. Google, Facebook), ne seraient pas touchées par ce règlement, de sorte que non seulement leur activité ne sera pas menacée comme ils pourront récupérer celle des autres. Si le règlement entre en vigueur sans modifications, il faut s’attendre à des changements énormes dans le secteur de la publicité digitale et des technologies publicitaires. Car finalement, ce règlement favorise seulement les grands de la branche comme Facebook et Google, qui disposent d’un opt-in. Mais pour les autres acteurs du marketing en ligne, le règlement aurait un effet désastreux. Cela ne peut pas être l’intérêt de la CE.

Des analystes indiquent que cette réforme ne s’attaque qu’aux cookies tiers. Seraient donc hors d’atteinte les cookies de tracking utilisés par les éditeurs sur leurs propres audiences connectées, identifiées et « loguées », dites 1st party. En d’autres termes des plateformes qui écrasent déjà les éditeurs comme Facebook ne seraient pas touchées par cette limitation de l’usage des cookies. Êtes-vous aussi de cet avis ?

M.C. Le texte se concentre sur les cookies tiers, ceux qui permettent l’échange d’informations entre plusieurs sites. Le réglage des autres cookies, notamment analytics, n’est pas concerné. Pourtant, ces derniers peuvent également être utilisés à des fins publicitaires. En l’état, ce texte permet en fait aux géants de la Silicon Valley comme Facebook – dont l’arsenal de technologies publicitaires repose en partie sur des cookies mais également sur l’identification volontaire des utilisateurs dans des “jardins fermés” (ou walled gardens) – de continuer à proposer des publicités ciblées exactement comme avant, alors que les autres acteurs ne pourront plus profiter des possibilités de ciblage avancé que permet la digitalisation.

C.B. Absolument, car les grandes plateformes comme Facebook et Google utilisent des cookies internes, mais ont très souvent aussi un opt-in pour l’utilisation des cookies tiers, qui est compris dans les conditions d’utilisation très larges et détaillées que les utilisateurs souvent acceptent sans  étudier en détail.

La CE considère qu’ »il faut garantir la confidentialité des comportements en ligne et des appareils des utilisateurs », qu’il faut donner le contrôle à l’utilisateur. Ainsi, les données stockées sur les ordinateurs ou les appareils intelligents ne devraient être accessibles qu’après son autorisation. D’après vous comment concilier ce principe jugé fondamental et le besoin de financer les contenus diffusés en ligne via la publicité ? En d’autres mots, quels « aménagements » serait-il possible de proposer à ces textes ?

M.C. À notre sens, la loi doit se concentrer sur la promulgation de principes, la définition de cas d’abus sanctionnables et pour le reste, favoriser la pédagogie et l’autorégulation du marché qui a déjà commencé avec les initiatives de l’IAB comme LEAN (Light, Encrypted, Ad-choice supported, Non-invasive), du GESTE avec la semaine sans adblocks pendant laquelle les éditeurs sensibilisaient les lecteurs au financement des contenus gratuits par la publicité… Si on met de côté nos doutes sur la capacité des mesures prévues dans ce texte à atteindre l’objectif recherché, si le texte était voté en l’état, un enjeu majeur serait de définir puis d’expliquer clairement au public ce qu’est un cookie tiers pour permettre à Pas sur le sablechacun de faire un choix réellement éclairé. Qui s’en chargerait: les navigateurs, le législateur, l’annonceur? Si l’on explique simplement que ce sont des cookies utilisés à des fins de ciblage publicitaire, on omet alors de préciser que ce sont eux qui permettent de compter le nombre de vues, et ainsi, de limiter la répétition publicitaire – un paramètre qui, mal maîtrisé, est à l’origine du mécontentement des internautes…

C.B. On pourrait proposer de permettre le traçage anonyme, car le RGPD ne touche pas les données anonymes non plus. Donc à condition de ne pas connaître les données à caractère personnel d’un utilisateur comme son nom, adresse postale, adresse e-mail, adresse IP etc., le traçage par des cookies ou d’autre moyens de traçage pourrait être permis. Car par les données anonymes, le destinataire ne peut pas déterminer la personne à l’origine. Du reste, il y a aussi des moyens de traçage qui ne laissent pas de traces dans les appareils des utilisateurs (contrairement aux cookies qui déposent des fichiers texte dans le navigateur), mais qui tracent quand même l’appareil. Dans ce contexte, il peut arriver qu’on interdise maintenant les cookies tiers, mais que d’autres technologies soient mises en œuvre qui atteindront pratiquement les mêmes objectifs, mais ne seront pas interdites. Dans ce cas le législateur manquerait son objectif.

Luciana Uchôa-Lefebvre

(Images: Shutterstock, fifty-five et ePrivacy.)