PUB ciblée PRESSE en ligne RGPD-e-Privacy

Écrit par
Marc-Antoine LEDIEU - Avocat associé - Constellation

[mis à jour le 11 juin 2019] Puisqu’il m’est demandé d’intervenir à une réunion d’information regroupant des régies publicitaires online et des éditeurs de site web (de presse en ligne), j’en ai profité pour faire un point complet – technique et juridique – sur l’écosystème si particulier de la publicité ciblée. D’où la présentation du jour en BD (bien sûr) intitulée “PUB ciblée PRESSE en ligne RGPD-GDPR-e-Privacy jurisprudence 2018-2019”.

La trame de cette présentation est assurée par les personnages des 3 tomes de “Badlands” aux éditions Soleil, tandis que les développements relatifs au droit des bases de données seront illustrés avec “La nef des fous” du génial Turf (éditions Delcourt) et ceux qui tournent autour du RGPD-GDPR avec les 5 premiers tomes de “Horologiom” (aux éditions Delcourt encore).

PUB ciblée PRESSE en ligne : qui sont les acteurs de la publicité ciblée en ligne ?

Ils sont nombreux, ces acteurs de la publicité ciblée en ligne :

– partons du “lecteur” qui, depuis son terminal (ordinateur / tablette / smartphone ou “ordiphone“) consulte des contenus “presse” en ligne;

– l’éditeur du site web (par exemple de presse) sur lequel le lecteur se connecte via un réseau de communication électronique;

– le prestataire de régie publicitaire qui gère la commercialisation des espaces publicitaires du site web de l’éditeur;

– l’annonceur qui souhaite diffuser son message à caractère publicitaire (réalisé le plus souvent par une “agence média” ou une “agence de publicité”).

A cette première série d’intervenants s’ajoutent les acteurs de profilage et de la publicité “programmatique” :

– le prestataire de “profilage” est le professionnel qui va proposer des publicités en relation avec les “centres d’intérêts” de l’internaute lecteur;

– Le prestataire de la “Supply-Side Platform” (ou SSP) organise la mise en vente aux enchères automatisées des espaces publicitaires pour lesquels il a reçu mandat (le plus souvent de la part du prestataire de régie pub);

– le prestataire de la “Demand-Side Platform” (ou DSP) qui centralise les demandes d’achat publicitaires et dispose d’un mandat d’achat des espaces publicitaires disponibles.

C’est cela, le “Real Time Bidding” (ou RTB) ou enchère en temps réel

Les SSP et les DSP opèrent chacun un logiciel en ligne et permettent à l’offre et à la demande de se rencontrer et de conclure de manière automatique le contrat d’achat de l’espace publicitaire proposé par l’éditeur du site web (de presse dans notre exemple). Notez que le système marche de manière absolument identique pour tout type de site web proposant des contenus gratuits contre affichage de publicité.

Il est possible de rajouter à cette longue liste les “data brokers” qui commercialisent des “profils qualifiés” (des listes de personnes “profilées”) et les “Data Management Platforms” dont le rôle est extrêmement variable (je n’insiste pas sur ce point).

PUB ciblée PRESSE en ligne : comment ça marche ?

L’écosystème de la publicité ciblée en ligne passe d’abord par l’identification technique du terminal du lecteur : numéro d’abonné chez l’éditeur du site web, adresse IP, cookie, “canvas fingerprinting”, etc.

Cette identification est nécessaire à l’affichage – dans de bonnes conditions techniques – de la page web demandée par le lecteur : sur quel type de terminal doit-on afficher la page web ? quel type d’Operating System pour le terminal ? quelle géolocalisation pour le terminal mobile, etc. Ces données techniques, ce sont des métadonnées qui permettent le transfert de données de contenu (un article de presse par exemple) d’un terminal (comme un serveur web) vers un autre terminal (par exemple un smartphone).

Ce qui est remarquable dans cette mécanique numérique, c’est la rapidité avec laquelle elle fonctionne.

Entre le moment où l’internaute lecteur clique sur un lien http pour demander l’affichage d’une page web (qui contiendrait un article de presse dans notre exemple) et l’affichage de la page en question, le lecteur a été “profilé” et l’espace publicitaire a été vendu et personnalisé de sorte que la publicité qui s’affiche soit en relation avec les centres d’intérêts connus du lecteur.

Lorsque le “système” fonctionne à partir de “cookies”, notez que cette technologie se fonde sur le langage de programmation “JavaScript”, relativement nouveau : le langage JavaScript ne date que de 1995.

PUB ciblée PRESSE en ligne : le détail de “comment ça marche” et des acteurs en lice figure dans le slider ci-dessous

PUB ciblée PRESSE en ligne : qui est “propriétaire” de la “clientèle” des lecteurs ?

Si l’on veut comprendre “qui” fait “quoi” et surtout, qui est propriétairede la clientèle que constitue l’ensemble des lecteurs d’un site web, et puisque “le droit de propriété sur les data, ça n’existe pas“, il faut se replonger dans la Directive n°96/9 du 11 mars 1996 relative à la protection des bases de données.

Si l’on veut bien réfléchir objectivement à l’application des critères de protection du “producteur” du contenu d’une base de données, la conclusion à laquelle nous parvenons parait difficilement contestable.

Si l’éditeur d’un site web de presse en ligne peut prouver avoir fait des investissements substantiels en moyens “financier, matériel ou humain” à des fins “d’obtention, vérification ou de présentation” du contenu de sa base de données, cet éditeur est indéniable le “producteur” de la base de données des personnes qui viennent lire les articles de son site web.

J’en profite pour vous rappeler que l’expression “site internet” ne signifie rien, tandis que celle de “site web” est techniquement correcte. Car le web est un protocole technique qui s’ajoute au protocole de transfert des data (“tcp/ip” dont “ip” désigne Internet Protocol) sur lequel il repose…

De quel “contenu” de base de données parlons-nous ? De la liste des lecteurs, gratuits ou payants, qui visitent un site web, qu’ils soient abonnés ou simples “visiteurs”.

L’éditeur de site web est certainement également “producteur” de la base de données regroupant ses articles accessibles en ligne. Cet éditeur sait pertinemment que les articles “contenus” dans cette base de données-là sont protégés par le droit d’auteur.

Si l’éditeur d’un site web peut affirmer (ça ne devrait pas trop poser de problème) être producteur du contenu d’une base de données regroupant ses lecteurs, il est en droit d’accorder (ou d’interdire) contractuellement un “droit d’extraction” à ses partenaires contractuels sur tout ou partie de sa base de données (une partie “qualitativement ou quantitativement substantielle” du contenu de la base de données pour parler en Français de la Commission de Bruxelles). Pour en savoir plus sur le régime juridique de protection des bases de données, vous pouvez cliquer sur ce lien pour accéder à ma présentation complète sur le sujet.

Dans notre écosystème de la pub ciblée en ligne, le premier partenaire de l’éditeur devant disposer d’un droit d’extraction est la régie publicitaire. L’éditeur doit lui accorder le droit de piocher dans la base de données de ses lecteurs pour les identifier individuellement et leur rendre le service d’affichage d’une publicité personnalisée.

Il faudrait aussi prévoir pour le bénéficiaire de ce droit d’extraction la capacité technique et juridique de concéder à son tours tout ou partie du droit d’extraction aux prestataires en charge de la publicité programmatique. Il faudrait donc prévoir dès le départ la sous-traitance du traitement des données identifiant les lecteurs, ainsi que sa sous-sous-traitance (c’est la réalité technique et juridique de cet écosystème).

A titre d’exemple, et sans anticiper sur notre analyse de la jurisprudence CJUE du 5 juin 2018 sur l’administrateur d’une “page fan” Facebook, il est peu discutable que Facebook soit le “producteur“du fichier de la base de données de ses abonné(e)s.

PUB ciblée PRESSE en ligne : qui est “propriétaire” de la “clientèle” des lecteurs ? le détail illustré figure dans le slider ci-dessous

PUB ciblée PRESSE en ligne : les règles du RGPD

Oui… encore le Règlement UE n°2016/679 du 27 avril 2016 “RGPD-GDPR”… Nous ferons un rappel rapide sur les notions de “données à caractère personnel” et de “traitement” pour conclure – sans grande surprise – qu’un traitement de données permettant d’identifier des terminaux de lecteurs d’articles de presse en ligne est certainement un “traitement de données à caractère personnel“.

Vous noterez que dans la liste de l’article 4.2 RGPD qui définit ce que peut être un “traitement” figure la notion “d’extraction”. “Extraction”, comme “extraction” au sens de la Directive 96/9 sur la base de données ? Je me risque à l’affirmer !!!

Mais parlons peu, parlons bien : si l’éditeur permet à un terminal de lecture d’afficher des publicité en corrélation avec les “centres d’intérêt” du lecteur, il y a identification indirecte d’une personne (le lecteur) qui utilise le terminal pour visualiser une page web.

L’application du RGPD ne fait que peu de doute (et absolument aucun pour les autorités de contrôle type CNIL, comme pour les juridictions qui connaissent des contentieux en matière de données personnelles, disons le tout de suite…).

Nous revisiterons la notion de “profilage” dont la définition (très large) est posée à l’article 4.4 RGPD. Si un traitement de données permet “d’analyser ou de prédire” les “préférences personnelles” ou le “comportement” d’une personne, c’est du “profilage“.

Si profilage il y a, et si le traitement de données repose sur la base juridique “nécessaire” “à l’exécution d’un contrat” (art. 6.1 (b) RGPD), ou aux “intérêts légitimes” du responsable du traitement (art. 6.1 (f) RGPD), et qu’il y a prospection commerciale, il faut prévoir le “droit d’opposition à prospection (y compris le profilage)” de l’article 21 RGPD.

Si ce traitement repose sur la base légale de la collecte préalable d’un “consentement éclairé” (art. 6.1 (a) RGPD), tout va bien jusqu’au retrait du consentement, qui induit alors l’obligation d’effacer les données traitées. Effacer ? ça veut dire effacer. Définitivement…

Avant d’aller regarder le détail de la délibération CNIL “Google LLC” du 21 janvier 2019, je vous confirme d’ores et déjà que le seul fondement accepté par les autorités de contrôle en matière de publicité ciblée est le consentement…

Nous en profiterons pour faire un rappel rapide sur les obligations qui pèsent sur l’éditeur du site de presse qui est manifestement le “responsable de traitement” s’il est le “producteur” de la base de données des lecteurs.

Vous n’oublierez pas de vérifier si, en application de la délibération CNIL n°2018-326 ou de la délibération n°2018-327 (toutes deux du 11 octobre 2018), le traitement que l’éditeur de site de presse envisage doit ou non faire l’objet d’une étude d’impact préalable.

Nous évoquerons en fin de présentation avec les autres jurisprudences ce qu’il faut retenir, surtout dans l’univers de la publicité en ligne, du problème particulier des “responsables conjoints” de traitement.

PUB ciblée PRESSE en ligne et RGPD : le détail dans le slider ci-dessous

PUB ciblée PRESSE en ligne : l’autorité de contrôle et la politique de contrôle annoncée en 2019

Vous pourriez penser, comme de nombreux acteurs de la presse en ligne, que le RGPD ne s’applique pas à la publicité en ligne… Pourquoi ce préjugé (fondamentalement faux) ? Sans doute parce que l’écosystème de la publicité ciblée en ligne a moins de 20 ans d’existence et que le secteur s’étonne aujourd’hui encore de faire l’objet d’une règlementation si stricte.

Pourtant, la CNIL en France s’est beaucoup intéressée à certains prestataires spécialisés en la matière. Rien qu’en 2018, c’est un total de 4 mises en demeure “officielles” visant des prestataires de publicité sur mobile qui ont été publiées (Teemo, Fidzup, Singlespot et Vectaury).

Comme disait la CNIL en 2018 :

L’idée était certainement de prévenir plutôt que de guérir (???), sachant que 2018 a été l’année d’entrée en application du RGPD au cours de laquelle la CNIL s’est penchée sur quantités d’autres sujets…

Nous ferons un rappel rapide sur la politique de contrôle annoncée officiellement par la CNIL en 2019. Et sans trahir mon secret professionnel, je suis en mesure de vous confirmer que la CNIL agit effectivement dans le sens de sa politique annoncée…

PUB ciblée PRESSE en ligne et CNIL : le détail dans le slider ci-dessous

PUB ciblée PRESSE en ligne : jurisprudence CJUE – Conseil d’État et CNIL 2018/2019

Nous avons gardé le meilleur pour la fin : la jurisprudence. Regardons successivement comment en 12 mois certaines règles applicables à la publicité en ligne ont été clairement rappelées par les autorités de contrôle et les juridictions française et européennes.

PUB ciblée PRESSE en ligne : CJUE 5 juin 2018 aff. C-201/16 “Wirtschaftsakademie”

En synthèse : l’administrateur d’une page “fan” Facebook” pouvait demander à Facebook un paramétrage extrêmement précis de ses cibles publicitaires.

Cet administrateur ne disposait pas directement des données à caractère personnel des “personnes concernées“, Facebook les conservait pour lui.

Pour la Cour de Justice de l’Union Européenne qui statuait sur le fondement de la Directive n°95/46, toute fraichement remplacée par le RGPD (en application depuis le 25 mai précédent) : pas de doute. Si l’administrateur “par son action de paramétrage” “influe et contribue” à un traitement de données personnelle, cet administrateur “participe à la détermination des finalités et des moyens” d’un traitement de données personnelles. Comme il agit en donnant instruction à Facebook, il est (logiquement) qualifié de “responsable conjoint” du traitement des données à des fins publicitaires.

Même si la CJUE ne le dit pas (elle outrepasserait sa mission le faisant), il est extrêmement probable que ce “responsable conjoint” soit tenu de respecter l’obligation d’information des personnes exposées à la publicité sur la “page fan” concernée. Ce qu’il ne faisait pas, d’où la procédure judiciaire aboutissant à la saisine de la Cour de Luxembourg.

Or, ne pas informer les personnes concernées d’un traitement de leur données faisait courir un risque de sanction pécuniaire de 150.000 €uros en France sur le fondement de la Directive n°95/46 applicable au litige.

Pour les procédures ouvertes depuis le 25 mai 2018, ce risque grimpe jusqu’à 4% du chiffre d’affaire mondial de l’exercice.

PUB ciblée PRESSE en ligne : arrêt du Conseil d’État “Croque Futur” du 6 juin 2018

Coïncidence du calendrier, c’est le lendemain de l’arrêt “Wirtschaftsakademie” que le Conseil d’État a rendu en France sa décision “éditions Croque Futur”.

Comme pour l’arrêt de la CJUE du 5 juin 2018, la décision du Conseil d’État avait pour fondement la Directive n°95/46 (ou tout du moins sa loi française de transposition).

Comme pour l’arrêt de la CJUE, les dispositions de la Directive 95/46 concernée sont aujourd’hui reprises à l’identique dans le RGPD.

Comme pour l’arrêt de la CJUE donc, l’arrêt “Croque Futur” du 6 juin 2018 est 100 % transposable à la publicité en ligne en application du RGPD.

3 points à retenir de cet arrêt d’appel d’une délibération de condamnation (non publique) de la CNIL :

– les cookies utilisés à des fins de publicité en ligne sont sans doute nécessaires à la viabilité économique d’un site web (de presse, en l’occurrence) mais ne sont pas des cookies “techniques” nécessaires au fonctionnement du site web en question.

Les cookies à des fins publicitaires ne peuvent donc reposer sur le fondement légal d’un traitement sans consentement “nécessaire” soit aux “intérêts légitime” de l’éditeur du site de presse (art. 6.1 (f) RGPD), soit à “l’exécution d’un contrat” passé entre le lecteur et l’éditeur (art. 6.1 (b) RGPD). Ce n’est pas dit dans l’arrêt “Croque Futur” mais la conséquence de cette affirmation est juridiquement simple : si “cookies à des fins publicitaires” il y a, le seul fondement légal de ce traitement de données est le consentement (art. 6.1 (a) RGPD).

– le fait de renvoyer l’internaute lecteur au paramétrage de son navigateur pour exercer son droit d’opposition à prospection ou son refus de consentement à la publicité ciblée ne constitue pas un mode d’exercice valable des droits conférés par le RGPD ! C’est sanctionner ici la pratique généralisée du débrouille toi pour aller effacer les cookies de ton navigateur (et tant pis pour toi si tu trouves ça compliqué ou si tu n’y arrives pas…).

– le troisième point à retenir concerne la responsabilité directe de l’éditeur du site web à l’égard de ses prestataires sous-traitants. C’est à cet éditeur de faire le ménage entre les différents prestataires qui en profitaient pour déposer – sans le dire – eux aussi des cookies pour leur usage personnel, destinés (par exemple) à enregistrer par exemple les parcours de navigation web des lecteurs du site en question. Là aussi, c’est un véritable choc culturel pour les éditeurs (et pas seulement de site de presse, je vous l’affirme !).

PUB ciblée PRESSE en ligne : délibération CNIL du 21 janvier 2019 “Google LLC”

Vous êtes fatigué(e) de toute cette lecture ? Je vais vous simplifier celle (très longue) de la décision CNIL “Google LLC” de la du 21 janvier 2019 : en cas de publicité ciblée en ligne, il faut demander le consentement préalable et éclairé de la personne concernée.

Il n’y a pas d’autre manière de faire. Et cette demande de consentement doit être distincte de toute autre.

La simplicité du principe nécessite de rappeler une autre règle, également simple (mais à l’impact pratique pas si évident à gérer) : “Il est aussi simple de retirer que de donner son consentement“. C’est l’article 7.3 RGPD qui l’affirme ! Je vous rappelle que l’argument selon lequel “aucune techno du marché ne me permet de faire ça en ligne” n’est jamais reçu par la CNIL.

Nous profiterons de l’analyse (rapide) de cette décision de la CNIL pour vous proposer un petit récapitulatif des règles légales en matière de consentement au sens du RGPD…

A l’occasion de la revue de ces trois jurisprudences, nous vous proposerons aussi quelques extraits des clauses que j’insère dans les contrats de mes clients. Allez voir dans le slider…