Alors que le ciblage publicitaire est une pratique de plus en plus répandue, quelles sont ses implications pour les éditeurs ?

Emmanuel PARODY, publisher de CBS Interactive France et Etienne DROUARD, avocat à la cour de Paris, confrontent interrogations techniques et point de vue juridique.

geste Info : Pourquoi s’inquiéter du ciblage publicitaire ?

Emmanuel PARODY : Les éditeurs sont confrontés à de nouvelles pratiques de ciblage publicitaire, qui touchent à des données de navigation, de comportement, à des données personnelles recueillies auprès des utilisateurs. Le ciblage devient une pratique massive, qui n’est pas du tout anecdotique, et qui pose le problème de l’utilisation des données personnelles par de nouveaux services. Encore faut-il savoir ce que recoupe exactement la notion de donnée personnelle, et définir par exemple si l’adresse IP d’un utilisateur peut être considérée comme telle. Etienne DROUARD : Tout dépend du contexte de son utilisation. De nombreuses décisions de justice ont été rendues dans le contexte de la traque des contrefacteurs sur les réseaux peer to peer. Dans ce domaine, l’objectif est de pouvoir identifier parfois l’utilisateur de peer to peer derrière l’adresse IP. Dans ce contexte, l’adresse IP peut être considérée comme une donnée personnelle. Dans le domaine commercial par contre, il n’y a aucune possibilité juridique d’obtenir l’autorisation d’identifier la personne derrière une adresse IP : elle n’est donc pas considérée comme donnée personnelle.

gI : Ces nouveaux types de ciblage, impliquant notamment l’utilisation de cookies provenant d’adresses IP, relèvent-ils de l’utilisation de données personnelles ?

E.D. : Là encore, cela dépend de l’utilisation du cookie : s’il est rattaché à des données personnelles, alors oui. Mais si le cookie comprend simplement l’adresse IP, en l’absence d’autres données personnelles, alors il ne peut être assimilé à un traitement de données personnelles. E.P. : L’utilisation de cookies implique certaines conséquences juridiques… E.D. : L’utilisation de cookie est régie par une réglementation mise en place pour protéger la vie privée des personnes, et qui s’applique sans qu’il soit besoin de savoir si le cookie est rattaché ou non à des données personnelles. Au niveau européen, la réglementation en vigueur est la directive 2002/58 du 12 juillet 2002, dont l’article 5-3 prévoit l’utilisation de dispositifs établis « en vue de stocker des informations ou d’accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur ». Le texte stipule que si ces dispositifs ne sont pas strictement nécessaires, il faut informer l’internaute de leur existence, et lui indiquer les moyens dont il dispose pour s’y opposer. Cette directive a ensuite été transposée en droit français en 2004, dans la loi Informatique et libertés, dont l’article 32-II prévoit l’information et le droit d’opposition des personnes à cette technologie.

gI : Justement, quels problèmes soulève la question de la localisation du prestataire ? Par exemple, selon l’endroit où les cookies sont stockés, quelle est la législation qui s’applique ?

E.D. : Le lieu où les cookies sont stockés n’est pas déterminant pour savoir quelle loi est applicable. En règle générale, c’est la loi du pays où est établie la société qui met en place le service (l’éditeur donc, ou la régie si c’est elle qui met en place les cookies) qui s’applique. Avec la réglementation en vigueur, globalement, ce sont les éditeurs européens qui sont impactés, pas les américains. Et, généralement, tant qu’une loi n’est pas d’initiative américaine, elle n’a pas la moindre chance d’être applicable sur le sol américain.

gI : L’éditeur est-il toujours conscient des pratiques publicitaires dont son site peut être le support ?

E.P. : Ce type de ciblage s’opère par adjonction d’un script technologique aux campagnes publicitaires ou au niveau adserver. Mais cette insertion se fait parfois à l’insu même de l’éditeur. La question est alors de savoir ce que doit faire l’éditeur qui serait confronté à une telle demande, et surtout, comment il peut se protéger juridiquement. E.D. : Un dispositif externe à un site, qui viendrait « traquer » le comportement des visiteurs, doit nécessairement être autorisé par l’éditeur. Sinon, cela constitue une pénétration frauduleuse des systèmes d’information, qui tombe donc sous le coup de la loi Godfrain sur le piratage, et qui est passible d’amendes et de peines de prison. Ensuite, si l’éditeur est informé, il peut accepter ou refuser ces dispositifs. Mais s’il les accepte, alors il doit en informer ses utilisateurs et leur indiquer comment s’y opposer, même si le script est produit par un prestataire tiers. Si les utilisateurs ne sont pas informés, c’est l’éditeur qui sera responsable : il doit savoir ce qui se passe sur son site.

gI : Que risque l’éditeur qui n’aurait pas averti ses utilisateurs ?

E.D. : L’éditeur qui manque à son obligation d’information tombe sous le coup du code pénal. L’article R. 625-10 prévoit que le défaut d’information est passible d’une amende de 7 500 euros par infraction constatée pour l’entreprise, et 1 500 euros par infraction constatée pour son dirigeant. Des montants qui, dans le cas d’un site Internet, sont donc à multiplier par le nombre de visiteurs uniques, même si un seul porte plainte. Si en plus, le défaut d’information porte sur un cookie qui était rattaché à des données personnelles, alors il est considéré comme un moyen déloyal de collecte d’information, et les peines sont beaucoup plus lourdes. L’article R. 226-18 du code pénal prévoit ainsi des peines pouvant aller jusqu’à 5 ans de prison et 1,5 million d’euros d’amende pour l’entreprise, et 300 000 euros pour le dirigeant. E.P. : Côté utilisateur, il faut également savoir si ce dernier peut s’opposer à l’insertion de technologies de ciblage comportemental ? Et, par extension, s’il peut pas exemple contester une modification des conditions générales d’utilisation de l’éditeur, visant à rendre compte de l’existence de ces pratiques. E.D. : C’est son droit de s’opposer à l’utilisation de cookie, en paramétrant les options de son navigateur Internet. Mais il ne pourrait pas contester la modification des conditions générales d’utilisation, puisque cette dernière est faite pour satisfaire l’obligation légale d’information.

gI : Quelles évolutions de ces pratiques peut-on anticiper ?

E.P. : De plus en plus, les éditeurs peuvent être contactés directement (cela se fait notamment aux Etats-Unis) par des prestataires voulant acheter des cookies. C’est une source de revenu potentielle pour certains éditeurs. Mais, dans ce cas, il faut que l’éditeur puisse se protéger juridiquement, et qu’il sache quelles conditions il doit instaurer pour encadrer la transaction. E.D. : Là encore, soit l’éditeur refuse la transaction, soit il l’accepte. Dans ce cas, il doit connaître les technologies employées, les destinataires de ces technologies, où ils sont établis, quels sont leurs métiers, et ce qu’ils vont en faire. L’éditeur peut aussi souhaiter que certaines entreprises, par exemple concurrentes, ne soient pas destinataires des informations recueillies. Et, dans tous les cas, la transaction doit être contractualisée. Je ne saurais pas dire comment définir le prix du cookie, mais le contrat doit être fait par écrit, en définissant le rôle de chacun, et en introduisant éventuellement une clause d’exclusivité ou d’interdiction vers certains supports. Et, une nouvelle fois, il faut que le contrat mentionne l’obligation d’information aux visiteurs du site.

gI : Dans les conditions générales d’utilisation, faut-il faire mention d’une durée de vie des données personnelles ?

E.P. : En pratique, quand on cible quelqu’un sur un site marchand, on sait qu’il aura peut-être concrétisé son achat dans les 15 jours. Mais on peut aussi stocker des données pendant des années… Dans tous les cas, la nécessité de recueillir des données est permanente, car ces dernières se périment. E.D. : Ce n’est pas une obligation légale : par défaut, rien n’est défini. Les utilisateurs qui ont configuré leur navigateur Internet de façon à autoriser au coup par coup les cookies verront apparaître une fenêtre les informant de la durée de vie du cookie. Pour les sites marchands, on peut estimer à un mois la durée de vie satisfaisante d’un cookie, si on fait le pari que l’internaute reviendra sur le site support au moins mensuellement. Mais la durée de vie maximale d’un cookie peut être de 30 ans !

gI : De nouvelles technologies comme OpenID permettent une simplification de l’authentification des utilisateurs, avec un compte identifiant unique. Quels problèmes cela soulève-t-il en ce qui concerne les données personnelles ?

E.P. : Ce processus peut aboutir au partage de données personnelles d’un site à un autre. Et, par extension, la technologie pourrait être utilisée pour faciliter le ciblage publicitaire, même si ce n’est pour l’instant qu’une prédiction. Pour l’éditeur, il faut une nouvelle fois savoir comment gérer ce transfert de données, et, sous quelle forme. E.D. : Là encore, le contrat est la solution. C’est dans le contrat que la personne dira qu’elle accepte d’être « traquée » par un identifiant unique, qu’elle donnera son consentement à cette action. Le premier des membres utilisant la technologie OpenID qui aura recueilli ce consentement aura un accord pour tous les autres, donc l’éditeur n’aura rien à faire. Mais, si OpenID est mis en avant comme un outil de « simplification », c’est un procédé de collecte de données, avec une multiplicité d’utilisations potentielles par la suite. Rien n’interdit d’utiliser OpenID pour du ciblage publicitaire aujourd’hui, et c’est sans doute le modèle économique qui est visé par ses développeurs. L’utilisateur doit donc savoir à quoi il s’engage.

Propos recueillis par Sarah BITTON.