Les organisations signataires, représentatives de différents acteurs de la chaîne de valeur en matière de services de communication électronique, conscientes des enjeux liés au respect de la vie privée, reconnaissent la nécessité d’une réglementation européenne adaptée permettant d’accompagner le développement d’une économie numérique européenne dans le respect des attentes légitimes des citoyens en matière de protection de leur vie privée. C’est dans cet esprit qu’elles ont analysé la Proposition de Règlement ePrivacy[1] publiée par la Commission européenne en début d’année et destinée à remplacer la directive ePrivacy 2002/58/CE.
Leur attention s’est plus particulièrement portée sur les articles 8 à 10 de la Proposition relatifs aux « cookies et autres traceurs » en raison des enjeux essentiels que présentent ces dispositions pour l’avenir du secteur des services de communication électronique en France.
Alors que le Parlement européen et le Conseil s’apprêtent à examiner la Proposition, les organisations signataires souhaitent faire part des nombreuses préoccupations suscitées par ce texte dans sa version actuelle et attirer l’attention des pouvoirs publics sur les conséquences que celui-ci pourrait avoir sur la pérennité de l’activité de leurs adhérents.
-
Une approche contraire à celle édictée par le Règlement Général sur la Protection des Données (RGPD) et inadaptée aux nouveaux usages en matière d’internet
Actuellement la Directive ePrivacy 2002/58/CE[2] requiert le consentement des personnes pour le dépôt de cookies, ce qui suppose une information préalable de ces dernières et la possibilité pour celles-ci d’exercer un droit individuel auprès de l’émetteur des cookies. En pratique, ce consentement s’exerce à travers une bannière qui informe l’internaute sur la politique du site visité en matière de cookies et qui oriente l’internaute dans la manière d’exercer son libre choix.
La Proposition de Règlement ePrivacy prévoit de remplacer cette information préalable suivie d’un consentement ou d’un refus des cookies, par l’expression préalable d’un consentement ou d’un refus, dès l’installation du navigateur, sans que le fournisseur d’un service de communication électronique ne puisse informer les personnes de la finalité des cookies qu’il opère.
La Proposition de Règlement ePrivacy contredit le RGPD en ce qu’elle substitue au choix individuel, contextualisé, spécifique et informé, à l’occasion de l’accès à un service déterminé, un choix préalable, global, non spécifique et décontextualisé visant à accepter ou rejeter, sans information préalable conforme aux principes du RGPD, des cookies selon leur seule origine (« first party » / « third party ») lors de l’installation d’un nouveau logiciel de navigation (article 10 de la Proposition). Une telle distinction selon l’origine des cookies est contestable en ce qu’elle retient comme seul critère de choix la source d’un cookie et non sa finalité, comme le prévoit le RGPD.
En outre, le texte ne traite pas des conditions ultérieures dans lesquelles les personnes pourraient modifier leurs préférences, dans quelque sens que ce soit, à tout moment, ni la manière dont ces modifications pourraient être prises en compte juridiquement et techniquement par les différents acteurs qui émettent des cookies ou autres traceurs.
La Proposition de Règlement ignore totalement la reconnaissance par le RGPD des procédés de pseudonymisation (article 4.5 du RGPD). L’emploi de « cookies » ou d’autres dispositifs de traçabilité comparables, repose très majoritairement, en matière de mesure d’audience et de publicité, sur des techniques de pseudonymisation, pour lesquelles le RGPD n’impose pas le consentement préalable des personnes, en ce qu’une telle pseudonymisation peut constituer une garantie de licéité suffisante.
Enfin, alors que l’internet mobile ne cesse de se développer, la Proposition de Règlement ne prend pas non plus en compte les réalités technologiques des terminaux mobiles (smartphones, tablettes) et des écosystèmes d’applications[3], qui diffèrent techniquement[4] de celles liées à l’internet fixe. En l’état, aucune solution n’existe en pratique ni n’est recherchée par la Proposition pour permettre aux acteurs économiques dépendant des systèmes d’exploitation des terminaux mobiles, de se conformer aux exigences prévues par la Proposition de Règlement.
-
Un transfert de la protection de la vie privée des européens vers des sociétés américaines
Actuellement, les entreprises européennes sont libres d’utiliser de nombreux cookies pour fournir des services adaptés aux utilisateurs finaux. Si ces derniers souhaitent refuser certains cookies, les entreprises soumises au RGPD doivent mettre à leur disposition un ou plusieurs liens permettant de les désactiver le cas échéant. Ce système n’est pas parfait et peut sans doute être amélioré. Toutefois, déplacer le consentement au niveau de l’installation et de l’utilisation du logiciel de navigation, comme le suggère la Proposition de Règlement, priverait les entreprises européennes de toute interaction avec les utilisateurs finaux et de la connaissance de leurs préférences et de l’exercice de leurs droits.
La Proposition de Règlement semble en effet confier la mise en œuvre du dispositif de recueil du consentement à des entreprises américaines qui dominent le marché mondial de la publicité digitale et comportementale, au rang desquels les trois principaux éditeurs de logiciels de navigation (Google Chrome, Microsoft Internet Explorer, Apple Safari). Ce simple fait permettra à ces acteurs d’avoir une position très favorable, renforcée par leurs relations directes avec les internautes. Ainsi, ils pourront notamment utiliser des cookies nécessaires au fonctionnement du navigateur lui-même pour l’ensemble des services qu’ils fournissent ailleurs sur le web (recherche, publicité, audience, etc.).
-
Un risque important pour la compétitivité des entreprises européennes sans contrepartie pour la protection des données
La Proposition de Règlement fait peser des risques importants sur la compétitivité des entreprises européennes sans contrepartie effective pour la protection de la vie privée des Européens et sans information précise et pertinente leur permettant d’exercer leurs droits de manière éclairée.
Les cookies peuvent être des cookies « first », déposés par le fournisseur du service visité, ou des cookies « third » déposés par des tiers. Ces cookies tiers servent principalement à la mesure d’audience, à permettre aux utilisateurs de réseaux sociaux de partager facilement un contenu, à fournir de la publicité ciblée, ou à piloter la répétition publicitaire. Ces usages des cookies tiers ne peuvent être réalisés par des cookies « first ». En effet, la plupart des outils de mesure d’audience sont, par nature, opérés par des tiers aux parties prenantes.
La Proposition de Règlement pourrait donc remettre en cause les fondements même de la valorisation des sites internet en privant les acteurs de ce marché d’outils de mesure d’audience fiable.
Parallèlement, la Proposition de Règlement menacerait également les réseaux publicitaires tiers qui ne seraient pas liés à des éditeurs de logiciels de navigation. En effet, il n’est pas de service de communication électronique financé en tout ou partie par la publicité qui ne doive désormais recourir à des mécanismes d’enchères et d’insertions programmatiques reposant sur des cookies tiers et permettant d’afficher moins de publicités, des publicités plus pertinentes et moins répétitives ou intrusives.
En conclusion, ces nouvelles dispositions concernant la dépose de cookies et autres traceurs commerciaux, suscitent donc de fortes inquiétudes parmi les professionnels représentant de nombreux services de la société de l’information : éditeurs de contenus et de services en ligne, commerçants électroniques, annonceurs, régies publicitaires, agences de communication, agences médias, réseaux publicitaires, fournisseurs de données, leur organisme d’autorégulation professionnelle de la publicité etc. Ces derniers demandent aux pouvoirs publics français de prendre en compte les observations formulées dans le présent document dans les discussions à venir au niveau européen, dans l’intérêt commun des internautes et des entreprises.
————————–
[1] Proposition de Règlement du Parlement Européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (Règlement « ePrivacy ») du 10 janvier 2017,
[2] Article 5§3
[3] En 2016, l’accès à internet mobile ou à partir d’équipements terminaux portables (smartphones, tablettes…) représentait près de 59% de l’ensemble des accès à internet en Europe. Statistique EUROSTAT, février 2017, accessible ici
[4] Les écosystèmes d’application mobile ne comportent pas de cookies, mais dépendent totalement de systèmes d’exploitation non européens.