Après Google Analytics, la Cnil va-t-elle s'attaquer à toute la chaîne publicitaire ?
C'est peu dire que la rentrée des éditeurs premium français est agitée. D'après nos informations, entre le 27 juillet et le 8 août, plusieurs d'entre eux ont été mis en demeure par la Cnil de rendre leur utilisation de Google Analytics conforme au Règlement général sur la protection de données (RGPD). Ces décisions sont les premières que la Cnil aurait communiquées en réponse aux plaintes déposées le 23 juin auprès de l'autorité française par le développeur français David Libeau contre 42 médias français pour utilisation de Google Analytics. Interrogée par le JDN pour savoir si des éditeurs ont été mis en demeure, la Cnil déclare ne pas pouvoir communiquer sur ces plaintes à ce stade, dans la mesure où ces dernières sont toujours en cours d'instruction.
Les éditeurs sont perplexes : on leur prie de prendre les mesures nécessaires dans un délai d'un mois, mais ces mêmes mesures entraîneraient des conséquences jugées néfastes pour leur économie et intenables à long terme. La raison évoquée est simple : qu'il s'agisse d'adapter l'usage de Google Analytics à travers notamment de la proxyfication, ou d'adopter un outil tiers jugé conforme, le lien existant entre les informations issues de l'analytics et les outils publicitaires disparaîtra.
Réunion informelle entre éditeurs et Cnil
Un exemple concret de l'impact de cette rupture concerne le coût de l'acquisition de trafic : "Il arrive souvent aux éditeurs de devoir faire du SEA pour attirer les audiences sur leur site : l'absence d'information d'analytics entraîne une augmentation de l'ordre de 40% du prix des enchères sur le search", nous explique un responsable technique d'un grand média français. Et les coûts des solutions alternatives seraient quant à eux bien plus élevés. Des consultations sont en cours entre les différents organismes représentatifs des éditeurs et de leurs régies et une réunion informelle devrait avoir lieu prochainement avec l'autorité française pour que des précisions supplémentaires puissent être obtenues sur la faisabilité des solutions préconisées.
Mais cela n'est que la pointe visible de l'iceberg. Beaucoup d'acteurs de l'industrie de la publicité digitale reconnaissent que le raisonnement utilisé par la Cnil pour un outil d'analytics américain pourrait théoriquement s'appliquer à quasiment toute la chaîne publicitaire : ad servers, plateformes supply side (SSP), demand side (DSP), plateformes de gestion de données… On ne le dit quasiment jamais publiquement, mais on ne le pense pas moins. La raison est que toute impression publicitaire pour laquelle a été obtenu le consentement de l'utilisateur à la dépose de traceurs à de fins de mesure ou de ciblage transite à travers ces outils avec des données personnelles, dont la plus courante est l'IP, et cela dans un contexte où une part écrasante de ces technologies sont américaines, à commencer par Google lui-même.
"Je suis persuadé que Subscribe with Google sera le prochain de la liste"
Et cela ne s'arrête pas là. Des outils qui permettent aux éditeurs de faciliter la connexion de leurs lecteurs, comme Google Connect ou Facebook Connect (des plaintes ont déjà été déposées auprès de la Cnil, contre le Huffington Post notamment), ou la prise de décision d'abonnement comme Subscribe with Google, très en vogue chez de grandes marques médias, pourraient être tout aussi concernés. "Je suis persuadé que Subscribe with Google sera le prochain de la liste", nous confie le responsable technique d'un grand média français, information qui nous a été confirmée par un organisme professionnel bien placé pour le savoir. "J'espère que nous n'en arriverons quand même pas là et que les instances qui nous dirigent nous aideront à opérer nos métiers au quotidien avec un peu plus de sérénité et d'équité", déclarait cet été au JDN la patronne d'une importante régie audiovisuelle française. Elle faisait alors allusion au déséquilibre d'un marché publicitaire dominé par les plateformes internationales et évoquait la tant attendue perspective d'une nouvelle règlementation pour encadrer ces transferts grâce à l'accord de principe annoncé le 25 mars par les Etats-Unis et l'Union européenne, resté pour l'instant au stade du projet politique
Interrogée par le JDN sur la probabilité que de telles technologies puissent de manière fondée faire l'objet de plaintes et plus tard de mises en demeure, la Cnil répond au JDN : "Nous ne pouvons pas répondre sur les organismes listés car la Cnil, en tant qu'organisme régulateur pouvant prononcer des sanctions, est tenue de suivre un processus juridique encadré par la loi et respectant les droits de la défense, avant de se prononcer sur un dossier. D'autre part, s'il s'agissait de dossiers en cours d'instruction, toute communication d'éléments serait exclue. Si la Cnil venait à être saisis de plaintes, nous examinerions les outils dont il s'agit et interrogerions les parties prenantes. En fonction des constatations et échanges, la Cnil disposerait toujours de la possibilité de mettre en œuvre la chaîne répressive."
"En fonction des constatations et échanges, la Cnil disposerait toujours de la possibilité de mettre en œuvre la chaîne répressive."
Rappelons-nous la base du raisonnement qui a amené la Cnil, en concertation avec ses homologues européens, à mettre en demeure le 10 février dernier plusieurs organismes utilisant Google Analytics en raison de transferts illégaux de données vers les Etats-Unis. "Il s'agit notamment de tirer collectivement les conséquences de l'arrêt Schrems II de la Cour de Justice de l'Union européenne (CJUE) du 16 juillet 2020, qui a invalidé le Privacy Shield. La CJUE avait mis en avant le risque que les services de renseignement américains accèdent aux données personnelles transférées aux Etats-Unis, si les transferts n'étaient pas correctement encadrés", indiquait la Cnil pour expliquer sa décision. Et comme le précisait au JDN Alexandra Iteanu, avocate responsable du pôle RGPD et data du cabinet Iteanu Avocats, même les clauses contractuelles type, prévues par le RGPD, qui pourraient encadrer et sécuriser ces types de transferts, ne s'appliquent pas dans le cas des Etats-Unis parce que la législation fédérale en vigueur aux US n'offre pas le même niveau d'exigence et de protection que le RGPD. Pire encore, cette même législation donne aux autorités américaines la possibilité d'accéder aux données hébergées dans les serveurs informatiques de toute filiale d'entreprise américaine située dans d'autres pays. Pour résumer, d'après cette interprétation, travailler aujourd'hui en France avec des technologies américaines pour gérer des données personnelles, c'est s'exposer à de futures plaintes et conséquentes mises en demeure de la Cnil. Affaire à suivre.