.svg)
Les éditeurs et les opérateurs du secteur AdTech ciblant l’UE sont actuellement confrontés à l’un des plus grands défis qu’ils aient jamais rencontrés, un défi qui pourrait les obliger à modifier profondément leur modèle. À savoir ? Un consentement positif sans ambiguïté.
Sommaire
- Un peu d'histoire
- Le nouveau paradigme
- Le consentement est nécessaire
- Les risques de l’implicite et de la conditionnalité
- Comment obtenir un consentement positif ?
- La notion d’action positive non ambiguë.
- La notion de conditionnalité
Un peu d’histoire
Les éditeurs (en ligne et hors ligne) ont traditionnellement pu fournir à leurs lecteurs des contenus gratuits en vendant des espaces publicitaires. Au départ, le meilleur moyen pour un annonceur d’atteindre ses clients potentiels était de sélectionner l’éditeur en fonction de son audience.
À l’ère d’Internet, cette pratique a été complétée par une nouvelle tendance qui est rapidement devenue massive : la collecte de données sur les utilisateurs afin de créer des profils permettant de leur servir une publicité ciblée, augmentant ainsi l’impact d’une campagne. Tous les utilisateurs ne verraient pas leurs publicités, mais seulement ceux qui sont potentiellement intéressés : pour un même nombre d’impressions, vous obtenez plus de clics, de pistes ou d’actions.
Pour ce faire, les éditeurs permettraient à des tiers de collecter des données personnelles sur leurs site web et/ou de suivre leurs utilisateurs, par exemple grâce à des cookies, généralement sans en informer beaucoup les utilisateurs. C’est ce qui se passera jusqu’en 2016.
{{discover-didomi-for-publishers}}
Le nouveau paradigme
En avril 2016, une nouvelle législation européenne a été adoptée, qui s’est avérée changer la donne. La réglementation dite « générale sur la protection des données » - dont tout le monde a entendu parler – s’applique à l’ensemble de l’UE et dépasse même ce champ d’application territorial pour les entreprises qui visent l’UE. Ses sanctions vont jusqu’à 20 millions d’euros, soit 4% du chiffre d’affaires global d’une entreprise. Les éditeurs, les annonceurs et leurs intermédiaires partagent tous la responsabilité et peuvent être tenus pour responsables en vertu de ses obligations.
Ainsi, la première vague de panique s’est abattue sur le secteur.
Le consentement est nécessaire
Passant à l’étape suivante, l’UE discute actuellement des futures règles qui viendront s’ajouter à la réglementation générale sur la protection des données dans le secteur des communications électroniques. Les sanctions pourraient également atteindre 20 millions d’euros, soit 4 % du chiffre d’affaires global d’une entreprise. Une fois adopté, le « règlement ePrivacy » exigera d’obtenir et de démontrer le consentement des utilisateurs à la mise en place des cookies et à la diffusion de publicité ciblée.
En fait, cette exigence de consentement n’est pas nouvelle dans le secteur européen des communications électroniques, puisque le consentement est déjà requis pour mettre en œuvre des cookies et pour envoyer des emails commerciaux : ce qui change réellement, c’est sa définition.
Les risques de l’implicite et de la conditionnalité
Elle est désormais définie dans le RGPD comme toute « indication librement donnée, spécifique, informée et non ambiguë de la volonté de la personne concernée, par une déclaration ou par une action positive claire. » Cette obligation de démontrer une action positive claire exclut apparemment tout type de consentement tacite ou implicite, ce qui s’est avéré être une stratégie classique sur Internet, en gros « si vous savez ce que nous faisons et que vous accédez à notre service, eh bien, cela signifie que vous êtes d’accord. »
D’autre part, qui ferait une action positive pour accepter les cookies et la publicité ciblée, surtout si en ne faisant rien vous pouvez accéder au service sans eux ?
Le parlement européen a en effet amendé en octobre 2017 la proposition relative à la vie privée et aux communications électroniques afin d’interdire explicitement les « tracking walls » en déclarant « aucun utilisateur ne peut se voir refuser l’accès à un service ou à une fonctionnalité de la société de l’information, que ce service soit rémunéré ou non, au motif qu’il n’a pas donné son consentement. » Si cet amendement devait finalement disparaître dans la version finale, il reste que le consentement doit être donné librement pour être valable, de sorte que toute action positive forcée – par exemple parce que la service est conditionné au consentement équivaudra en fin de compte à une absence totale d’action.
La deuxième vague de panique arrive maintenant, car cela pourrait signifier un sérieux coup pour certains acteurs.
Comment obtenir un consentement positif ?
En janvier 2018, Didomi a envoyé une lettre au Working Party 29, lui demandant de préciser son projet de lignes directrices sur le consentement. Nous l’avons fait car nous considérions que les notions d’action positive non ambiguë et de conditionnalité étaient insuffisamment claires, de sorte que toute mauvaise interprétation de ces notions par un acteur risquait de lui faire encourir une amende.
La notion d’action positive non ambiguë.
Le projet de lignes directrices excluait initialement le « défilement d’un site web » ou la « simple poursuite de l’utilisation ordinaire d’un site web » comme constituant une action positive non ambiguë. Il n’était donc pas clair si l’obtention d’informations suivie d’un clic sur un site web – comme l’autorisaient les interprétations précédentes du groupe de travail et de la CNIL – pouvait encore constituer un consentement valable. La dernière version des lignes directrices sur le consentement publiée en avril indique désormais que « la simple poursuite de l’utilisation ordinaire d’un site web ne constitue pas un comportement dont on peut déduire la personne concernée souhaite signifier son accord avec un traitement proposé. »
Cela signifie essentiellement que cette acceptation (et tout autre type d’acceptation par le biais de la navigation) ne sera plus autorisée :
La notion de conditionnalité
Le projet de lignes directrices indique que le fait d’exiger le consentement pour fournir un service ne pose pas de problème s’il existe une alternative permettant de faire fournir le service par le même fournisseur sans consentir à l’utilisation de données à caractère personnel à des fins supplémentaires. Il précise que « les deux services doivent toutefois être véritablement équivalents et ne pas entraîner de coûts supplémentaires. »
Nous avons donc demandé au W29 si « la fourniture d’un service incluant des coûts supplémentaires peut être une alternative légitime au même service incluant le consentement à l’utilisation de données personnelles » lorsque cette utilisation de données personnelles apporte une rémunération qui est essentielle à la fourniture du service (comme c’est le cas pour la plupart des fournisseurs de contenus gratuits en ligne). La dernière version des lignes directrices sur le consentement publiée en avril a finalement supprimé les mots « y compris sans frais supplémentaires ».
En d’autres termes, un élément comme la fenêtre contextuelle ci-dessous pourrait éventuellement convenir, lorsque le consentement à des fins supplémentaires réduirait la quantité de publicité ou l’abonnement à payer. Bien entendu, la publicité et l’abonnement doivent rester raisonnables si le consentement est refusé, sinon ils seraient considérés comme préjudiciables et pourraient invalider le consentement.
C’est probablement là que l’UE souhaite que l’industrie des technologies aille : non pas vers la faillite, mais vers la transparence et les choix actifs des personnes.
Vous voulez en savoir plus ? Contactez-nous !
{{discover-didomi-for-adtech}}
