Home / Publications / L’Ad Tech dans le viseur des autorités de protection...

L’Ad Tech dans le viseur des autorités de protection des données

Lettre Propriétés intellectuelles | Janvier 2019

31/01/2019

L’année 2018 a vu croître les mises en demeure et plaintes à l’encontre d’une typologie d’acteurs jusqu’ici relativement ignorés du grand public mais également peu visés par les autorités de protection des données. Il s’agit des acteurs de la publicité ciblée en ligne, le secteur de l’"Ad Tech", également désignés pour certains sous le terme de data brokers lorsque leur activité consiste principalement dans le courtage de données.

Plaintes en cours devant les autorités au regard du règlement général sur la protection des données (RGPD)

Des plaintes ont été déposées à l’encontre de Google, Apple, Facebook, Amazon et Microsoft (plaintes collectives déposées par la Quadrature du Net) et Acxiom, Criteo, Equifax, Experian, Oracle, Quantcast, Tapad (plainte déposée par Privacy International) et sont actuellement traitées par les autorités irlandaises, anglaises et françaises de protection des données. 

S’agissant de Google, la Commission nationale de l’informatique et des libertés (CNIL) s’est reconnue compétente pour instruire la plainte au motif que l’entreprise ne dispose dans l’Union d’aucun "établissement principal" qui dirigerait les activités concernées en Europe (l’existence de l’entité irlandaise n’ayant pas suffi à déclencher la compétence de l’Irlande comme autorité chef de file en vertu du mécanisme de coopération du RGPD). Elle a d’ailleurs condamné Google à une amende record de 50 millions d’euros le 21 janvier 2019 (voir notre article dans la rubrique "Données personnelles").

Google n’a pas attendu cette condamnation pour réagir, et a annoncé dès le mois de décembre à ses utilisateurs la modification de ses conditions contractuelles :

"Nous allons prochainement publier des modifications apportées à nos Conditions d'utilisation, qui sont susceptibles d'affecter les services Google que vous utilisez. À compter du 22 janvier 2019, les services fournis dans le cadre de ces conditions seront proposés par Google Ireland Limited au lieu de Google LLC. Notez également que nous sommes en train d'apporter des modifications semblables aux conditions d'utilisation de Drive, de Play, de YouTube et du service payant de YouTube. Pour consulter ces nouvelles conditions, cliquez ici. 

Parallèlement, nous mettons également à jour les Règles de confidentialité de Google afin de préciser que Google Ireland Limited sera responsable du traitement de vos informations et du respect des lois applicables en matière de vie privée. Ces modifications prendront effet si vous résidez en Islande, au Liechtenstein, en Norvège, en Suisse ou dans l'Union européenne (sauf indication contraire dans un avis de confidentialité propre à un service). Pour consulter nos règles mises à jour, cliquez ici."

Mises en demeure de la CNIL

Dans ce contexte tumultueux, l’un des principaux griefs est l’absence de transparence de ces acteurs quant aux traitements de données mis en place, doublée d’une absence de consentement valable, l’ensemble aboutissant à des opérations de traitement menées illicitement (et potentiellement à l’illicéité du système de la publicité ciblée en ligne dans son ensemble).

Or, la CNIL a récemment publié quatre délibérations - prononçant des mises en demeure à l’encontre d’acteurs utilisant la géolocalisation à des fins de publicité ciblée - qui apportent des informations précieuses sur ces questionnements : il s’agit des délibérations TEEMO n° MED-2018-022 du 25 juin 2018 mettant en demeure la société Teemo, n° 2018-023 du 25 juin 2018 mettant en demeure la société Fidzup, n° 2018-043 du 8 octobre 2018 mettant en demeure la société Singlespot, et n° 2018-042 du 30 octobre 2018 mettant en demeure la société Vectaury. Ces délibérations ont mis en lumière les enseignements suivants.

Enseignements généraux

  • L’identifiant publicitaire est une donnée à caractère personnel.
  • Toute entité alimentant par le biais d’un kit de développement logiciel (SDK – software development kit) ou de cookies une base de données unique pour un usage pour son propre compte doit être considérée comme responsable de traitement.
  • Utiliser une base de données réelles pour procéder à des tests et développement constitue un manquement à l’obligation de sécurité passible d’une amende pénale de 1,5 million d’euros.

Enseignements relatifs à la mention d’information

  • L’information préalable au consentement ne doit pas laisser entendre à la personne que le refus entraînerait l’application de frais ou des formats publicitaires plus intrusifs.
  • La fourniture d’une liste agrégée de finalités et l’utilisation d’un vocabulaire complexe ne permettent pas de garantir un consentement valable.
  • Les personnes doivent être informées avant le recueil du consentement de l’identité des responsables ou destinataires.
  • La mention d’information doit préciser non seulement les finalités et les responsables de traitement mais encore les types de données collectées, l’existence du droit de retirer son consentement, l’existence d’une prise de décision automatisée et les risques éventuels en cas de transferts hors de l’Union européenne sans décision d’adéquation ou garanties appropriées.
  • Les informations relatives à la collecte du consentement doivent être clairement distinctes d’autres sujets et les informations liées aux demandes de consentement doivent être détaillées.

Enseignements relatifs à la collecte du consentement

  • Le consentement doit pouvoir être donné ou refusé de façon spécifique dès la première page, une facilité d’acceptation ou de refus global pouvant être proposée en sus.
  • Le consentement n’est pas donné de manière univoque si la mention "accepter" côtoie une mention "plus tard" sans proposition claire de refus.
  • Toute pré-acceptation doit être exclue.
  • En cas de géolocalisation, une acceptation distincte par utilisation des données de localisation doit être obtenue.
  • Chaque acteur doit être capable de prouver le consentement sur lequel il se fonde.

Ces nouveaux impératifs bouleversent les habitudes de collecte du consentement des internautes, jusque-là basées sur une interprétation – notamment dans une délibération de la CNIL - relativement tolérante de l’article 5-3 de la directive 2002/58 du 12 juillet 2002 relatif aux cookies et autres accès à un appareil. 

Ce changement de paradigme est dû au fait que les acteurs en cause cherchent désormais à justifier par le consentement des utilisateurs, non seulement le dépôt de cookies, mais encore les traitements sous-jacents de données à des fins de publicité ciblée. Outre la directive 2002/58, la législation plus globale relative à la protection des données a donc vocation à s’appliquer ; or l’entrée en application du RGPD et les lignes directrices du G29 ont fortement durci en 2018 l’appréciation de la validité d’un consentement au traitement de données à caractère personnel.

Dans une interview au Journal du Net, le directeur de la protection des droits et des sanctions de la CNIL a précisé que ces quatre délibérations publiques révèlent une stratégie "pédagogique pour tout l’écosystème publicitaire". De fait, trois des mises en demeure sur les quatre ont été clôturées à la suite de la mise en conformité des sociétés Teemo, Fidzup et Singlespot.

Réactions du secteur 

Face à ces nouveaux éléments, l’Interactive Advertising Bureau – association des entreprises du secteur de l’Ad Tech – réagit en modifiant son Transparency & Consent Framework, standard technique permettant l’information des internautes et la collecte de leur consentement par les éditeurs de sites et applications mobiles pour le compte de l’ensemble des acteurs de l’Ad Tech. L’association a également publiquement désavoué la société Vectaury au motif que cette dernière ne respectait pas les exigences du Framework (communiqué du 21 novembre 2018). 

La CNIL, quant à elle, ne se prononce pas à ce stade sur la validité de ce document.


En savoir plus sur notre cabinet d'avocats :

Notre cabinet d'avocats est l’un des principaux cabinets d’avocats d’affaires internationaux. Son enracinement local, son positionnement unique et son expertise reconnue lui permettent de fournir des solutions innovantes et à haute valeur ajoutée dans tous les domaines du droit.

cabinet avocats CMS en France

A propos de notre cabinet d'avocats

expertise droit propriété intellectuelle 330x220

Expertise : Droit de la propriété intellectuelle

Publication : Lettre Propriétés intellectuelles

Auteurs

Portrait deAnne-Laure Villedieu
Anne-Laure Villedieu
Associée
Paris