[box style=”5″]
Le Parlement européen a adopté en plénière, le 26 octobre dernier, le rapport de la commission LIBE sur la proposition de règlement e-Privacy. Il soutient une position nettement plus protectrice de la vie privée des utilisateurs que la proposition initiale de la Commission européenne. Ce vote a mis en lumière une opposition entre les partis de gauche et du centre (S&D, ADLE, Verts et GUE), partisans de l’adoption du texte, et ceux de droite (PPE et ECR), qui s’y sont opposés. Adopté à 318 voix pour, 280 contre et 20 abstentions, le texte a vu s’opposer d’une part les députés du centre-gauche, soutenus par les associations de défense des droits en ligne, qui défendent une version protectrice de la vie privée des utilisateurs, et d’autre part les députés de droite, attachés pour leur part à une vision favorable aux industries numériques, médiatiques et publicitaires. Ces derniers sont partisans d’une faible régulation du marché, de façon à promouvoir l’innovation et améliorer la compétitivité des entreprises européennes sur le marché numérique[1]. Les négociations du Parlement avec le Conseil pourraient bien faire ressurgir des positions plus favorables à l’industrie numérique et des médias, désireuse d’un cadre juridique souple en matière de traitement de données à des fins publicitaires qui reposerait plutôt sur des mesures d’autorégulation. Les débats concernant notamment les fondements autorisant le traitement des données des internautes, comme le consentement, et le suivi des internautes à travers différents noms de domaines détermineront l’avenir des pratiques publicitaires sur internet dans l’Union.
[/box]
Dans le cadre des négociations en trilogue sur le texte, le Conseil de l’Union européenne est susceptible de relancer le débat sur certaines questions sensibles au regard notamment des pratiques publicitaires en ligne. Les divergences concernent surtout les questions relatives au traitement des données contenues sur et traitées par les terminaux des utilisateurs et à l’expression centralisée du consentement au traitement des données de navigation.
Etendre ou restreindre les conditions de traitement licite des données contenues sur les terminaux
L’article 8 § 1 de la proposition traite des conditions de licéité de l’accès et du traitement des données contenues sur les terminaux des utilisateurs, notamment via les cookies. Les pratiques actuelles de publicité ciblée reposent en grande partie sur le recueil de données stockées sur le terminal des internautes, et qui détaillent habitudes et/ou préférences de ces derniers dans leurs activités en ligne. Ces données peuvent notamment être utilisées pour établir un profil de l’internaute et lui adresser des publicités sur mesure.
C’est la raison pour laquelle les conditions de licéité de traitement de ces données ont fait l’objet de vifs débats au Parlement. Dans la version finale adoptée en plénière, ces données ne peuvent être utilisées que :
- Si cela est strictement nécessaire pour le transfert de communications électroniques,
- Si l’utilisateur y a spécifiquement donné son consentement,
- Si cela est strictement nécessaire pour fournir un service en ligne sollicité par l’utilisateur,
- Si cela est strictement nécessaire pour mesurer la portée d’un service de la société de l’information demandé par l’utilisateur, et dans la mesure où i) l’utilisateur peut s’y opposer, ii) le traitement ne porte atteinte à aucun de ses droits fondamentaux, iii) le traitement ne profite qu’au fournisseur de service lui-même et iv) les données ne sont transmises à aucun tiers,
- Si cela est nécessaire pour sécuriser le terminal via des mises à jour,
- Si cela est nécessaire dans des relations de travail, sur des équipements fournis par l’employeur.
Parmi ces différentes possibilités, on voit que seul le fondement du consentement préalable permettrait d’utiliser ces données à des fins publicitaires. Ces conditions de licéité de traitement de ces données sont plus restrictives que celles prévues dans le Règlement Général sur la Protection des Données (RGPD). En effet, l’article 6 du RGPD permet, entre autre, le traitement des données personnelles si le traitement est « nécessaire aux fins des intérêts légitimes » poursuivis par le responsable du traitement, tant que les droits fondamentaux de la personne concernée ne prévalent pas sur ces intérêts. En outre, le RGPD autorise le traitement ultérieur de ces données à des fins compatibles avec celles poursuivies lors de la collecte initiale desdites données.
C’est pour l’admission dans le règlement e-Privacy de ces deux motifs d’utilisation des données que les représentants de l’industrie numérique et publicitaire militent. En effet, le G29 considère que certaines activités de marketing peuvent constituer un intérêt légitime poursuivi par des responsables de traitement, à condition que certaines garanties soient en place, comme par exemple la possibilité pour l’utilisateur de s’y opposer[1].
Quant à la notion de traitement ultérieur compatible, cela permet une réutilisation à des fins publicitaires de données dont la finalité de traitement initiale a été remplie, dans la mesure où ces deux finalités sont compatibles. Par exemple, on peut considérer que réutiliser des données servant initialement à effectuer de la mesure d’audience et/ou de satisfaction de l’utilisateur dans le but de lui proposer des nouveaux services similaires pourrait être admis à ce titre.
Les modalités de recueil du consentement au traitement
Le consentement de l’utilisateur est, on l’a vu, un des fondements essentiels sur lequel ses données peuvent être traitées, notamment à des fins publicitaires. Or, le règlement e-Privacy précise les conditions suivant lesquelles le recueil du consentement est valable ou non.
L’article 8 § 1 bis du texte adopté par le Parlement interdit par principe les « barrières de traçage », c’est-à-dire le fait de bloquer l’accès à un service en ligne si l’utilisateur ne consent pas au traitement de ses données à des fins non nécessaires à la fourniture dudit service, comme par hypothèse des fins de publicité.
Cette pratique, fort répandue aujourd’hui sur le net, est considérée par de nombreux acteurs de la société de l’information comme essentielle à la pérennité de leurs services. En conséquence, cette disposition fait l’objet de nombreuses critiques, reprises notamment par le PPE, et pourrait être remise en cause par le Conseil.
L’article 10 de la proposition, qui vise à obliger les fournisseurs de services de communication électronique, de présentation et de récupération d’informations à centraliser le consentement des utilisateurs au traitement de leurs données dans les paramètres de confidentialité de leurs services, est lui aussi fortement critiqué. En effet, cet article conduirait les utilisateurs à choisir, lors de l’installation d’un logiciel de navigation internet par exemple, s’ils acceptent ou refusent le traitement de leurs données par les sites qu’ils visitent ou les services en ligne qu’ils utilisent.
En outre, le texte voté au Parlement impose que le paramétrage par défaut de ces services empêche i) tout tiers de récupérer des informations sur les terminaux des utilisateurs et ii) le suivi de l’utilisateur d’un nom de domaine à un autre. Cette disposition a subi les foudres de l’industrie numérique et publicitaire, surtout celles des médias et des plateformes. Ceux-ci suivent en effet les internautes sur des sites et noms de domaines tiers, ce qui leur permet de valoriser les profils de leurs utilisateurs auprès des annonceurs et organismes de publicité, et donc d’accroître leurs revenus publicitaires.
La position adoptée en session plénière par le Parlement européen conduirait, si elle était validée, à une modification considérable de l’environnement publicitaire du net en europe. Le recueil de données sur les internautes à des fins de publicité ne serait en effet possible que pour les sites effectivement consultés par les internautes en question, et ce uniquement s’ils ont recueilli son consentement, qu’il n’est pas obligé de donner.
Bien que cette proposition renforce la maîtrise des utilisateurs sur leurs données, il est probable que le Conseil tente de revenir sur ces dispositions, afin d’étendre la marge de manœuvre de l’industrie publicitaire.
Françoise Nyssen, dans son audition d’aujourd’hui en commissions des affaires culturelles et européennes de l’Assemblée, a d’ailleurs affirmé que la France comptait défendre un « assouplissement de ce règlement, car un blocage trop binaire des cookies emêcherait les éditeurs de presse de les utiliser pour des objectifs de suivi d’audience, de recommandation d’articles ou pour proposer une publicité ciblée ». Dans ces circonstances, « seuls les GAFA pourraient faire de la publicité ciblée ». Ce système pourrait selon elle « mettre en danger le modèle économique de la presse, et donc in fine, le pluralisme des médias ». « La discussion s’annonce donc très compliquée », conclut-elle.
[1] Voir l’avis n°06/2014 du G29 sur la notion de l’intérêt légitime du responsable de traitement, p. 25 & s.
