Data, cookies, vie privée : le point sur les projets et initiatives en cours (interview)

avril 24, 2017

Privacy

ePrivacy, règlement GDPR en Europe, annulation de la législation qui limitait l’accès des fournisseurs d’accès aux données des internautes aux États-Unis… les débats et les initiatives cherchant soit à encadrer soit à déréguler le secteur de la data se multiplient des deux côtés de l’Atlantique. Nous essayons d’y voir plus clair dans un premier temps avec Christoph Bauer, directeur général du cabinet européen de consulting ePrivacy. La semaine prochaine nous y reviendrons pour creuser ces mêmes sujets avec le Geste, l’organisme français qui réunit les éditeurs en ligne.

Aux États-Unis, l’administration Trump vient tout juste d’abroger une législation qui était censée protéger les internautes, puisqu’elle imposait aux fournisseurs d’accès à Internet l’obtention de l’accord préalable des utilisateurs avant d’explorer commercialement leurs données personnelles de navigation, de localisation, etc. (lire ici aussi). Les fournisseurs d’accès s’en réjouissent. Mais certains analystes craignent qu’une telle démarche ne soit plus nocive encore pour ces opérateurs, dans la mesure où les consommateurs perdront confiance dans le système. Pensez-vous que cette mesure est vraiment positive pour l’écosystème de l’édition et de la publicité en ligne ?

Christoph Bauer

Christoph Bauer, ePrivacy.

De notre point de vue, c’est une réglementation contestable, parce qu’il se peut très bien que ce traçage soit anonyme, ce qui signifie qu’on peut adresser de la publicité à un consommateur sans connaître son identité. Comme ça, on n’exploite pas des données à caractère personnel, mais des données anonymes. Nous pensons qu’il serait plus important de réfléchir à la notion de données anonymes et de définir les règles de leur usage et les droits des personnes concernées, de façon à ce que ces dernières puissent – mêmes anonymes – refuser leur usage. Cela pourrait se faire par l’introduction d’une option d’opt-out.

En Europe, le sujet sera certainement encadré par le règlement dit ePrivacy, pour le moment au stade de projet, publié officiellement par la Commission européenne le 10 janvier dernier, qui vise à renforcer les règles concernant le traitement, la confidentialité et la sécurité des données relatives aux communications électroniques (sur ce sujet lire aussi ici). L’article 10 de ce projet consacre un mécanisme d’opt-in au niveau du navigateur, qui permettra à l’utilisateur d’accepter ou non des cookies par défaut. Que pensez-vous de cette réglementation ?

Cette réglementation bouleverserait internet tel qu’il est aujourd’hui. Beaucoup d’éditeurs offrent leurs contenus sans rémunération. En retour, ils demandent l’accès à certaines données des utilisateurs, par exemple pour optimiser la diffusion de la publicité qui sert à financer la production de leurs contenus. Vu qu’il est peu probable que les internautes consentent directement aux cookies, beaucoup d’éditeurs ne pourront plus offrir leurs contenus. Même situation pour les fournisseurs de technologie qui travaillent aujourd’hui avec ce genre de données. Pour ces prestataires tiers, il ne serait probablement pas possible d’obtenir le consentement des internautes. Ils devront par conséquence modifier drastiquement leurs modèles économiques avec le risque que leurs activités n’aient plus d’avenir possible.

Aujourd’hui lorsqu’un internaute refuse un cookie, sa navigation est pratiquement impossible. On a l’impression que si l’o n’accepte pas d’offrir ses propres données personnelles, ou en tout cas au minimum de navigation, rien ne peut se faire en ligne. Qu’en pensez-vous ?

On peut refuser pas mal de cookies, comme des cookies de tracking tiers, sans pour autant qu’il y ait un impact direct sur l’usage d’internet. D’ailleurs à moyen terme, les effets que vous mentionnez seraient le résultat d’un refus systématique ou par défaut de tous les cookies : si on renonce à tous les cookies, y compris ceux propres aux éditeurs qui servent à l’utilisation d’un site web (par exemple à la conservation du panier d’achat ou à la garantie de la capacité de performance par la mesure d’audience), l’utilisation du site web serait très vite réduite. Il y a donc des types de cookies différents qui sont difficiles à distinguer pour les internautes.

Privacy settingsUne autre réforme tout aussi importante en Europe est celle concernant la protection des données personnelles dont le règlement GDPR a été adopté il y a un an et dont l’entrée en vigueur est prévue pour mai 2018. Pensez-vous que les acteurs de la publicité et de l’édition en ligne sont prêts à l’accueillir ? Quelles sont les principales améliorations mais aussi les défis imposés par ce texte ?

D’après notre expérience et les témoignages que nous avons collectés sur le terrain, les acteurs du marketing en ligne veulent mettre en œuvre le GDPR et ils seront de toute façon forcés à le faire après l’adoption de la loi. Les modèles économiques existants pourront être maintenus en grande partie. Dans de nombreux cas, on devra justifier mieux pourquoi on aurait des « intérêts légitimes », et on devra souligner les droits des personnes concernées, en donnant plus d’informations, plus de transparence ainsi qu’une option d’opt-out. En ce qui concerne en revanche le règlement ePrivacy, qui impose le consentement des cookies par les utilisateurs, à présent les acteurs de la publicité en ligne ne sont pas disposés à l’accueillir. Ce dernier mettrait en danger leurs modèles économiques actuels. Mais ce règlement n’est qu’au stade de projet et sera encore intensivement débattu par les parties concernées.

Pour rappel et mémoire, le projet de règlement dit ePrivacy dévoilé en janvier par la Commission européenne a pour but de compléter la nouvelle législation européenne en matière de protection de données personnelles (GDPR) qui entrera en vigueur en mai 2018 : « Le règlement général sur la protection des données met l’accent sur la protection des données des personnes physiques. Il a été adopté en 2016 et ses dispositions s’appliqueront à partir de mai 2018. Le règlement général sur la protection des données permettra aux utilisateurs de mieux maîtriser les données à caractère personnel les concernant. Il ne s’appliquera toutefois qu’au traitement des données à caractère personnel des personnes physiques. Il ne couvre pas les communications entre entreprises ni les communications entre individus ne comportant pas de données à caractère personnel. La proposition de règlement relatif à la vie privée et aux communications électroniques présentée aujourd’hui [en janvier dernier] vient compléter le règlement général sur la protection des données [GDPR] et garantit le droit fondamental au respect de la vie privée en ce qui concerne les communications », indiquait la CE en janvier dernier.

Questions formulées par Luciana Uchôa-Lefebvre

(Images: Shutterstock et ePrivacy.)