Le 24 septembre, notre cofondateur et CEO, Romain Gauthier s'est entretenu avec Max Schrems, avocat renommé en matière de protection des données personnelles et président de noyb, Peter Craddock, associé chez Keller and Heckman, et Willy Mikalef, partenaire chez Bird and Bird, pour couvrir un large éventail de sujets concernant l'état actuel du secteur de la protection des données.
Poursuivez la lecture de cet article pour découvrir les informations essentielles de ce webinar, incluant les lignes directrices de l'EDPB sur les bannières de cookies, le modèle 'Pay Or Okay', ainsi que l'intelligence artificielle. Vous pouvez également regarder le replay sur YouTube :
Explorer les nouvelles lignes directrices de l'EDPB en matière de bannières de cookies
Le premier sujet abordé lors de l'événement a été la création d'un groupe de travail sur les bannières de cookies par le Comité européen de la protection des données (EDPB), créé en janvier 2023 en réaction au dépôt, par noyb, de centaines de plaintes auprès de 18 autorités de protection des données de l'UE/EEE concernant la conception de bannières de cookies.
Ce groupe de travail était une initiative volontaire visant à coordonner la réponse et à publier un rapport portant spécifiquement sur les dark patterns, des pratiques trompeuses conçues pour manipuler les utilisateurs en les induisant en erreur ou en les trompant délibérément. Vous vous pouvez en apprendre plus sur les différents types de dark patterns dans notre article dédié.
Les lignes directrices de l'EDPB ne sont pas exhaustives mais simplement informatives, car les règles relatives au consentement en matière de cookies et à leur application restent fragmentées au sein de l'UE, avec des niveaux d'application variant d'un pays à l'autre.
Willy Mikalef a noté que le rapport mettait en lumière plusieurs pratiques mais ne fournissait pas d'instructions claires et complètes aux organisations et que l'EDPB n'était pas parvenu à un consensus sur certaines questions clés :
« Même si les organisations espéraient que ce document harmoniserait les attentes des régulateurs en termes de conception des bannières cookies (...), les conclusions du groupe de travail étaient plutôt générales et faisaient souvent référence à une approche au cas par cas. »
- Willy Mikalef, partenaire chez Bird and Bird
Par conséquent, les lois sur les cookies restent fragmentées dans l'UE, et les organisations doivent surveiller en permanence les règles par pays et les conseils de chaque autorité de protection des données pour garantir leur conformité, avec le soutien de partenaires experts tels que Didomi ou Bird and Bird.
Pour aider les organisations à se faire une idée plus précise des directives européennes et nationales sur les dark patterns, noyb a publié son propre rapport sur le sujet. Max Schrems, en tant que président du groupe, a décrit les premiers cas comme étant motivés par une harmonisation des différentes règles relatives aux cookies dans l'UE et regrette que le rapport de l'EDPB ait fini par illustrer un seuil minimum sans nécessairement représenter la réalité au niveau national :
« C'est très difficile de s'y retrouver parce qu'en lisant le rapport, on a l'impression que beaucoup de choses sont acceptables (...) C'est vraiment dommage, pour être honnête. »
- Max Schrems, Président de NOYB
D'un point de vue juridique, Peter Craddock, associé chez Keller and Heckman, a pu apporter une certaine perspective à la notion de dark patterns en faisant valoir que ce qui est parfois considéré comme un dark pattern (comme le choix des couleurs des boutons d'une bannière de consentement) mériterait d'être davantage discuté et nuancé :
« Je sais que cela peut être un peu controversé quand je dis cela, mais toutes les interfaces avec lesquelles nous interagissons sont trompeuses dans une certaine mesure. Tout le monde veut vendre. Ainsi, chaque supermarché dans lequel vous entrez (...) L'article le plus cher se trouve à hauteur des yeux. C'est normal. C'est parce qu'ils essaient de vendre une version en particulier, idéalement plutôt qu'une autre. Il n'est donc pas illégal en soi de pouvoir promouvoir certaines options d'une certaine manière. »
- Pierre Craddock, associé chez Keller and Heckman
Après un échange très interessant entre Peter Craddock et Max Schrems (Accédez au replay pour visionner le débat complet), Romain Gauthier a conclu que le fait de disposer d'un ensemble de principes standardisés aiderait toutes les personnes impliquées.
{{learn-more-about-consent-banner-formats}}
Débat sur le modèle "Pay Or Okay" (consentir ou payer)
La deuxième partie de la conversation était centrée sur le modèle « Pay Or Okay », un sujet dont nous en avons beaucoup parlé à Didomi au cours de l'année écoulée.
À titre de contexte, le terme est apparu en novembre 2023, lorsque Meta a lancé un abonnement payant pour Instagram et Facebook, permettant aux utilisateurs de payer des frais en échange de ne pas être tracé sur la plateforme. Ce modèle a été contesté par noyb et d'autres comme n'étant pas légal en vertu du RGPD. Le Comité européen de la protection des données (EDPB) est allé dans ce sens en publiant au début de l'année un avis indiquant que le simple fait d'offrir aux utilisateurs un choix binaire entre consentir au traitement des données à des fins publicitaires ou payer une redevance n'est pas de nature à satisfaire les critères d'un consentement valable.
Alors que la conversation se poursuit au sein de l'industrie et que de plus en plus d'éditeurs commencent à envisager ce type de modèles commerciaux, notre conversation a réuni un ensemble intéressant de participants : Max Schrems, fondateur et président de noyb, et Peter Craddock, qui travaille fréquemment avec des éditeurs en tant qu'associé de Keller et Heckman.
En ouvrant la conversation, Max Schrems a expliqué pourquoi ces modèles sont si attrayants :
« Si vous discutez avec les éditeurs, surtout en coulisse, c'est en grande partie un argument pour dire : « Nous voulons toujours gagner de l'argent grâce aux abonnements, et non grâce à la publicité. L'abonnement est celui que nous voulons vraiment. »
Et c'est une bonne transition vers l'abonnement. En gros, vous prenez une bannière de cookie et vous en faites un espace publicitaire pour les abonnements, en utilisant le bouton de rejet pour en faire un bouton d'abonnement. »
- Max Schrems, Président de NOYB
Peter Craddock, quant à lui, a introduit des éléments de nuance en faisant valoir que les organisations devraient avoir la liberté de monétiser leurs produits et services :
« Du côté des régulateurs et de certaines organisations à but non lucratif, nous entendons très souvent qu'il s'agit de vendre vos droits fondamentaux. (...) Et je pense que c'est une comparaison très injuste, parce que c'est comme dire, eh bien, je suis un tyran et je vais te forcer à payer.
Eh bien, désolé, mais les services sont commerciaux. (...) Ils ont besoin de financement, et ce financement peut se faire par différents moyens. »
- Pierre Craddock, associé chez Keller and Heckman
En tant que cofondateur et CEO de Didomi, dont l'expertise consiste à fournir des technologies de consentement aux organisations, Romain Gauthier a soulevé la question des données, à savoir si les stratégies ont un impact sur les taux d'opt-in, et le fait que les données sont souvent absentes de la discussion :
« Nous faisons ce que nous appelons une analyse du consentement. Il est très intéressant de constater que dans chaque débat, il manque quelque chose, à savoir combien d'utilisateurs rebondissent et quittent le site Web, ce qui est une autre façon de dire non. (...) Vous pouvez avoir un taux de consentement de 99 %, mais, malgré tout, seulement 56 % des personnes peuvent avoir réellement consenti parce que le reste a quitté le site web depuis longtemps. »
- Romain Gauthier, co-fondateur et CEO de Didomi
Pour accéder à certaines des données mentionnées lors du webinar, consultez notre étude sur la collecte de consentements en 2024, où nous avons compilé des informations précieuses pour dresser un tableau des performances en termes de consentement dans l'ensemble de l'Europe :
Alors que nos panelistes débattaient de la légitimité des modèles Pay or Okay, Willy Mikalef est revenu sur l'avis de l'EDPB, soulignant que le document du Comité européen de la protection des données était considéré par beaucoup comme imparfait dans différents domaines :
« [L'avis de l'EDPB] crée une grande incertitude juridique, et la plupart des organisations doivent malheureusement surmonter cette incertitude. »
- Willy Mikalef, partenaire chez Bird and Bird
Cette partie de la conversation sur le thème «Pay Or Okay» a été particulièrement enrichissante et riche en informations. Pour apprécier l'ampleur de la discussion et les opinions émises par chaque partie, nous vous recommandons vivement de consulter l'enregistrement (en anglais):
Les implications de l'IA pour la protection des données
La dernière partie de la conversation a porté sur l'intelligence artificielle et la protection des données, en se concentrant spécifiquement sur l'utilisation des données personnelles pour la formation des IA, comme l'explique Peter Craddock :
« Les systèmes d'IA sont basés sur la formation : il faut entraîner un système d'IA pour pouvoir le faire fonctionner d'une certaine manière.
Et la discussion que nous avons aujourd'hui est de savoir ce que nous faisons de la formation, en particulier des LLM, lorsqu'il s'agit de recueillir des informations. (...) Parlons-nous de données personnelles ? Les données personnelles sont-elles utilisées dans la formation ? Les données personnelles sont-elles alors utilisées dans la machine elle-même ? Y a-t-il des données personnelles dans les données que je fournis ? Et y a-t-il des données personnelles dans le résultat ? »
- Pierre Craddock, associé chez Keller and Heckman
Max Schrems a présenté le travail que Noyb a réalisé, défiant des entreprises comme Meta sur l'utilisation de l'intérêt légitime comme base légale pour la collecte de données personnelles à des fins d'entraînement de leur IA.
Après quelques informations contextuelles et pistes de réflexion supplémentaires de Peter Craddock, Willy Mikalef a apporté des précisions sur le travail de la Commission nationale de l'informatique et des libertés (CNIL). Celle-ci a joué un rôle pionnier en établissant un ensemble de directives de référence pour les pratiques en matière de données d'IA et en abordant la question de l'utilisation de l'intérêt légitime dans différentes législations :
« (...) En ce qui concerne l'application du RGPD aux différentes phases de la formation de l'IA, la question clé est bien entendu celle de la base juridique. Nous savons tous qu'il n'est tout simplement pas possible de recueillir le consentement conformément au RGPD.
Certaines directives nationales indiquent déjà que l'intérêt légitime peut constituer une base légale possible, comme le fait la CNIL, mais l'autorité de protection des données néerlandaise affirme le contraire.
Il est donc très important que la discussion se déroule de manière très ouverte et qu'il y ait également des consultations publiques, conformément à un certain nombre de principes directeurs. Nous pourrions également examiner ce que font nos amis britanniques en matière de consultation publique. »
- Willy Mikalef, partenaire chez Bird and Bird
Peter Craddock et Max Schrems ont ramené ensuite le débat à son point de départ, en soulignant l'importance de déterminer avant tout si les données personnelles sont utilisées dans les modèles de formation des LLM et d'autres technologies. Pour en savoir plus, consultez notre article de blog sur l'équilibre entre l'IA et la protection des données ou passez à la section spécifique de la conversation du replay :
L'événement a été un véritable succès, avec des centaines de participants et des dizaines d'interactions dans le chat, en plus du débat fascinant entre nos panelistes. Restez à l'affût des prochains webinars et conversations avec des experts du secteur en vous inscrivant à notre newsletter et suivez-nous sur LinkedIn et X.