• RGPD

  • France

  • CMP

  • Ad Tech

Que pourrait apprendre le CMPs de l’autorité française de protection des données

novembre 22, 2018 by Jawad Stouli

Le 30 octobre 2018, la Commission nationale de l'informatique et des libertés (la "CNIL") a émis un avertissement à l'encontre d'une petite société appelée Vectaury, en raison de la manière dont cet acteur de Ad Tech recueillait le consentement pour des campagnes publicitaires basées sur la géolocalisation.

 

 Mise à jour Octobre 2020 : Didomi a récemment publié un article sur les nouvelles recommandations de la CNIL. Découvrez notre page dédié au sujet  Recommandations CNIL : Tout savoir sur le consentement cookies et traceurs

 

Découvrir les recommandations CNIL

 

Sommaire :

 

 


 

Le 8 novembre 2018, elle a décidé de rendre cette décision publique notamment parce qu'il est nécessaire de "sensibiliser les professionnels du secteur à cette question dans un contexte où la collecte de données personnelles à des fins de profilage et de publicité ciblée - notamment dans les lieux visités par les personnes concernées - est en plein essor". La CNIL "constate que l'utilisation d'un SDK s'inscrit dans un écosystème où différents acteurs ont un rôle à jouer, à savoir les éditeurs d'applications mobiles et les annonceurs, qui doivent être sensibilisés aux objectifs de protection des données".

 

Le 9 novembre 2018, un résumé de la décision a été diffusé en direct sur le site de la CNIL.

 

Une série d'avertissements Ad Tech

 

A titre préliminaire, il est intéressant de souligner que cette décision n'est pas la première de la CNIL concernant l'industrie de la publicité et de la technologie.

 

Trois autres mises en garde ont été émises et rendues publiques depuis juin dernier à l'encontre de Teemo, Fidzup et Singlespot : elles concernaient toutes la collecte de données de géolocalisation à des fins de profilage et de publicité ciblée, à l'aide d'un SDK mis en œuvre dans les applications des partenaires de ces sociétés ; elles confirmaient toutes le principe selon lequel ces sociétés qui éditaient le SDK et recueillaient des identifiants publicitaires dans une base de données devaient être considérées comme des responsables du traitement de ces données à caractère personnel ; elles insistaient toutes intensément sur le fait que le consentement des utilisateurs des applications n'était pas valablement obtenu à cette fin.

 

Il est évident que la CNIL tire des enseignements de chaque contrôle, comme le démontre à la fois la longueur des décisions et la quantité de détails techniques et sectoriels qu'elles contiennent, qui a presque doublé en cinq mois seulement.

 

Similarités entre les decisions de juin et les décisions d'octobre 

 

Par ailleurs, certains éléments bizarres mentionnés dans les décisions de juin - comme le fait que le libre consentement nécessiterait une possibilité de télécharger l'application sans le SDK en jeu - ont disparu dans les décisions d'octobre.

 

Ce n'est peut-être pas une simple coïncidence : en ce qui concerne Teemo, la fin de la procédure a été prononcée le 3 octobre 2018 puis publiée le 4 octobre 2018, car des bannières ont été mises en place qui permettaient la collecte d'un consentement préalable suite à une information sur (i) l'objectif de la publicité géo-ciblée, (ii) l'identité des partenaires (facilement accessible via un lien cliquable) et (iii) la nature des données collectées (plus d'informations étant disponibles via un autre lien cliquable) ; aucune référence à une application "sans SDK" n'a été faite.

 

Premiers rappels résultant de ces décisions :

 

  • Les identifiants publicitaires et l'adresse mac doivent être considérés comme des données personnelles ;

  • Chaque acteur du secteur est responsable du traitement de la base de données à caractère personnel qu'il crée à l'aide d'un SDK mis en œuvre pour les finalités qu'il détermine (il est également intéressant de voir les critères utilisés par l'IAB) ;

  • Lorsque la base juridique est le consentement, chaque acteur doit être en mesure de prouver personnellement son existence ;

  • L'information doit être donnée - et le consentement obtenu - pour la géolocalisation dans un but précis avant que les opérations ne soient mises en œuvre.

 

Si vous êtes un prospect et que vous souhaitez mettre en œuvre un CMP, il vous suffit de contacter notre équipe commerciale et nous serons heureux de vous aider.

 

Schedule a demo

 

 

Utiliser un CMP, mais pas selon n'importe quelles modalités

 

Pourquoi la décision Vectaury est-elle différente ?

 

Teemo, Fidzup et Singlespot ne collectaient pas le consentement mais imposaient simplement à leurs partenaires l'obligation de mentionner leur existence dans leurs conditions générales (Fidzup) ou de recueillir le consentement des utilisateurs de leurs applications (Teemo et Singlespot). Ils ont été avertis parce qu'ils n'étaient pas en mesure de prouver la simple existence d'un consentement.

 

Vectaury, en revanche, avait développé une plateforme de gestion du consentement (CMP) en vue de collecter les consentements notamment pour ses propres besoins (comme l'ont fait d'autres sociétés Ad Tech), était enregistrée comme prestataire de services CMP auprès du Bureau international de la publicité ("IAB") dans le cadre de la transparence et du consentement ("TCF"), et proposait cette solution à ses partenaires. Elle a été avertie par la CNIL car les modalités de collecte du consentement (largement déterminées par le cadre de l'IAB) n'étaient pas considérées comme valables dans le cadre du RGPD.

 

Cette décision est donc la première à prendre officiellement position sur la manière dont le consentement devrait être obtenu par un CMP. Dans les jours qui ont suivi, elle a été largement commentée, y compris par ceux qui étaient heureux de détourner le système d'enchères en temps réel ("RTB") de la publicité en ligne et le cadre proposé par l'IAB pour transmettre aux différents acteurs du système RTB le consentement recueilli sur un site web ou une application.

 

Plutôt que de critiquer - souvent avec un agenda caché - un système qui a demandé beaucoup de temps et d'énormes efforts à de nombreuses personnes de bonne volonté, être constructif signifie prendre note de la décision, informer les acteurs concernés de son contenu et de la manière dont ils peuvent le mettre en œuvre, et améliorer tout ce qui peut l'être.

 

Précisions sur ce qui constitue un consentement valable :

 

  • "Informé" signifie qu'il ne doit pas être sous-entendu qu'un refus de donner son consentement entraînera des conséquences négatives, que chaque finalité doit être énoncée de manière claire et qu'une liste des responsables du traitement doit être disponible dès la première fenêtre de consentement ;

  • "Spécifique" signifie que des options globales de refus ou d'acceptation sont possibles dans un souci de convivialité, uniquement après que toutes les finalités ont été exposées avec une demande de consentement spécifique pour chacune d'entre elles ;

  • "Positif" signifie que toute acceptation préalable doit être interdite et que la simple utilisation du service ne peut être considérée comme un consentement.

 

Ordi et iphone avec des bannières de cookies en conformité avec la CNIL

Illustration de notre page pilier sur les recommandations de la CNIL 2020

 

À propos de la RTB

 

Dans une deuxième partie, la décision Vectaury a également clarifié certains points concernant les données obtenues par la société, non pas auprès des éditeurs de candidatures - ses partenaires - via son SDK, mais auprès des bourses publicitaires et des plateformes d'approvisionnement dans le cadre des appels d'offres.

 

La CNIL a noté qu'après avoir été analysées pour vérifier automatiquement et instantanément l'opportunité de l'offre, les données - identifiants publicitaires - sont conservées à des fins de profilage, de ciblage et d'analyse de la conversion. A la recherche d'un consentement valable ici encore par rapport à ces finalités, la CNIL a fait deux remarques intéressantes avant de conclure qu'un tel consentement valable n'existe pas.

 

Remarque 1 : la CNIL a indiqué que "Afin de garantir les caractéristiques spécifiques et éclairées du consentement recueilli au profit des partenaires, la société émettant la demande d'offre et collectant les données personnelles doit informer les utilisateurs sur les destinataires de ces données", étant précisé que cette information devrait être fournie "directement lors de la collecte des données et éventuellement par un lien hypertexte renvoyant à cette liste [de destinataires]".

 

Remarque 2 : un peu plus loin dans le texte, la CNIL a également mentionné que "l'obligation prévue à l'article 7 précité [de fonder le traitement sur une base juridique valable] ne peut être remplie par la simple existence d'une disposition contractuelle garantissant un consentement initial valablement obtenu" dans la mesure où la société doit "être en mesure de prouver la validité du consentement pour chaque donnée dont elle dispose aujourd'hui".

 

Pour être très clair, ces deux remarques ne font que mettre en œuvre dans le cadre de l'appel d'offres les règles précédemment mentionnées concernant le consentement éclairé et la preuve du consentement de chaque responsable de données, rien de plus.

 

Ce qui vaut encore plus la peine d'être mentionné, c'est le fait que, alors qu'il a été indiqué par certains commentateurs que cette décision prouve l'invalidité inhérente du cadre construit par l'IAB, cela semble être tout le contraire : la CNIL a clarifié dans la première remarque les conditions pour que le consentement soit valablement recueilli pour le compte des vendeurs, puis a rappelé dans la seconde remarque que cette délégation n'est pas en soi une preuve de consentement et que chaque vendeur reste dans l'obligation de démontrer son consentement si on le lui demande.

 

Conclusions pour le recueil de consentement dans le cadre du TCF :

 

  • Les objectifs et l'utilisation de la géolocalisation à ces fins doivent être clarifiés ;

  • Les vendeurs devraient être répertoriés avant la collecte du consentement ;

  • Les consentements ne doivent pas seulement être transmis via la chaîne de consentement, mais également être mis à la disposition de l'éditeur qui met en œuvre le CMP et - via cet éditeur - des vendeurs sur son site web ou son application ;

  • Les consentements doivent être conservés pendant toute la durée de leur validité puis archivés à des fins de preuve jusqu'à l'expiration de la prescription..

 

Si vous êtes curieux de savoir comment vous pouvez atteindre cet objectif, contactez l'IAB pour un impact global ou contactez-nous pour une démarche individuelle.

 

Organiser une démo

 

Questions ouvertes pour le secteur Ad Tech

 

Bien que la CNIL ne s'occupe pas de cette question, cette décision ravive des questions désagréables pour les sociétés Ad Tech, qui ont trait au fait que plus un utilisateur est susceptible de refuser la collecte de données, plus la baisse de revenus sera importante. Cela peut sembler être une simple question de convivialité, mais la plupart des gens savent que c'est potentiellement beaucoup plus pour toutes les entreprises qui vivent des données et de la publicité ciblée. Elle ne peut être séparée d'un autre point aux conséquences similaires, à savoir la question de la validité du défilement ou de la navigation en tant qu'actions positives.

 

Ces questions ont également une portée beaucoup plus large que les décisions de la CNIL, puisqu'elles sont débattues au niveau de l'UE dans le cadre de la réforme de la protection de la vie privée en ligne et pourraient éventuellement être abordées par la Cour de justice européenne lors de l'examen de l'affaire Planet 49.

 

Il serait assez imprudent d'attendre de l'avenir un changement radical de la direction actuelle aux niveaux national, européen et mondial, à savoir le renforcement de la protection des données. Il n'y a qu'en France que le secteur Ad Tech a été (programme de contrôles 2016 de la CNIL), est (procédures en cours mentionnées précédemment) et sera (réclamation de La Quadrature du Net ou réclamation de Privacy International) sous le feu des critiques. Il est plus que jamais temps de réfléchir à l'avenir de la publicité ciblée.

 

L'une de ces questions ouvertes est de savoir si les données peuvent être utilisées par les personnes concernées comme une alternative valable à une carte de crédit pour le paiement de contenus en ligne ?

 

Une décision du tribunal de Paris en date du 7 août 2018 l'a laissé entendre en mentionnant le fait que "si Twitter propose ses services aux utilisateurs sans contrepartie financière, il commercialise - contre paiement de partenaires, annonceurs ou commerçants - données personnelles ou non personnelles fournies gratuitement par l'utilisateur lors de l'inscription et de l'utilisation de la plateforme", a ensuite précisé que "la mise à disposition puis l'exploitation et la monétisation des données collectées gratuitement par Twitter doivent être analysées comme un "avantage" au sens de l'article 1107 du code civil français, qui constitue la contrepartie du service fourni par Twitter à ses utilisateurs et fait du contrat avec Twitter un contrat conclu pour un intérêt pécuniaire".

 

Une telle position permettrait aux éditeurs de donner aux utilisateurs le choix entre le paiement de contenus ou l'accès à des contenus payés via une publicité ciblée, c'est-à-dire grâce à leurs données personnelles (nous avons exploré cette option en début d'année). Cependant, la CNIL semble adopter une approche opposée lorsqu'elle déclare, dans la décision Vectaury, que le consentement n'est pas valable lorsque le texte de la bannière implique que "le refus de collecte et de traitement conduira à un modèle économique payant" ou "une impossibilité d'utiliser l'application" ou "des formats publicitaires intrusifs".

 

Options pour l'avenir :

  • Préciser quelles sont les finalités qui nécessitent un consentement et celles qui peuvent reposer sur un intérêt légitime ;

  • Explorer avec les autorités la nature d'un "préjudice" qui rendrait le consentement valable ou non.

 

 Mise à jour Octobre 2020 : Didomi a récemment publié un article sur les nouvelles recommandations de la CNIL. Découvrez notre page dédié au sujet  Recommandations CNIL : Tout savoir sur le consentement cookies et traceurs

 

Découvrir les recommandations CNIL

 

La meilleure plateforme de gestion du consentement et des préférences

Organiser une démo