La Loi Informatique et Libertés, une arme contre les débordements de la publicité en ligne ?

Dans son rapppport "La publicité ciblée en ligne", la CNIL s’est penchée sur la question de la publicité ciblée sur Internet et ses conséquences au regard de la protection des données à caractère personnel.

Le rapport de la Commission Nationale de l’Informatique et des Libertés (CNIL) a un double mérite, celui de permettre une prise de conscience par les internautes de phénomènes dont ils n'envisagent souvent pas l'ampleur, mais également celui de préciser certaines notions clefs de la Loi informatique et libertés.

 

Dans le cadre de son rapport, la CNIL part du constat suivant : la publicité en ligne finance de nombreux sites Internet fournissant des services gratuits aux internautes et constitue, ainsi, pour lesdits sites, un enjeu économique majeur.

 

La publicité en ligne étant le principal mode de financement des sites Internet, son caractère incontournable est tel que, afin de s'assurer de son efficacité, les différents acteurs ont été amenés à mettre en place des publicités de plus en plus ciblées.

 

Pas à pas, la CNIL dresse dans son rapport un panorama des types de publicités en ligne existantes (publicité personnalisée "classique", publicité contextuelle, publicité comportementale) et des différentes technologies permettant l'amélioration de la pertinence et de l'efficacité de la publicité au regard du public de chaque site internet.

 

La CNIL illustre son propos par des exemples pratiques des systèmes de publicité en ligne utilisés sur des sites internet connus, d'Amazon à Phorm, en passant par Google, Facebook et Linked-in.

 

Derrière le paysage dessiné par la CNIL dans son rapport, se profile le risque suivant pour l'internaute : l'atteinte à la protection de ses données personnelles.

 

Dans la section IV de son rapport, la CNIL s'interroge sur l'applicabilité de la Loi informatique et libertés aux traitements mis en oeuvre dans le cadre de la réalisation de publicité ciblée en ligne, ainsi que sur les modalités de son application.

 

La CNIL, s'appuyant sur les avis rendus par le Groupe de l'article 29, entreprend de démontrer en quoi les informations permettant de constituer un profil en vue des publicités en ligne, rentrent dans la définition de données à caractère personnel. La CNIL rappelle ainsi que la notion de donnée à caractère personnel doit être interprétée de manière large. Elle reprend la définition donnée par la directive 95/46/CE du 24 octobre 1995, selon laquelle une donnée personnelle est "toute information, concernant une personne physique identifiée ou identifiable (personne concernée) ; est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale".

 

En précisant les différentes notions composant cette définition et notamment celle de "personne physique identifiée ou identifiable", la CNIL aboutit à considérer que "les données qui sont dans les profils comme l'âge, le sexe ou la localisation sont des données à caractère personnel".

 

L'applicabilité de la loi informatique et libertés aux traitements permettant le profilage des internautes dans le cadre de la publicité en ligne implique à la charge du responsable du traitement un certain nombre d'obligations parmi lesquelles, l'obligation de déclaration et surtout l'obligation d'information de la personne dont les données sont collectées.

 

En effet, les systèmes de publicité ciblée en ligne reposent pour l'essentiel sur l'utilisation de cookies, qui permettent aux fournisseurs de service de communications électroniques de collecter des données à caractère personnel, sans que les personnes concernées n'en aient véritablement conscience.

 

C'est cette absence de réelle conscience chez l'internaute de la collecte ses données personnelles par les sites internet visités qui soulève une difficulté majeure au regard de la protection des données à caractère personnel.

 

D'une part, les personnes concernées ne sont pas informées de la collecte et du traitement ultérieur de leurs données personnelles et, d'autre part, elles ne sont pas consultées préalablement pour donner leur consentement à cette collecte.

 

La CNIL préconise sur ce point "qu'une information claire et complète devrait être prévue dans tous les cas de figure afin d'assurer une parfaite transparence sur l'utilisation de ce type de dispositif".

 

 

Il reste, et le rapport de la CNIL n'en fait aucun cas, que, dans certains cas, compte tenu notamment des limites à l'application territoriale de la Loi informatique et libertés, la protection dont bénéficie l'internaute risque d'être inopérante.


Par Grégoire Goussu et Claudia Oudey, Avocats à la Cour, équipe IP-IT, Cabinet Proskauer Rose LLP.