La publicité en ligne entre le marteau de la régulation et l'enclume... de la régulation !
La publicité en ligne est prise entre les injonctions contradictoires de la régulation des données personnelles et celle de la concurrence. L'heure d'une pause réglementaire est-elle venue ?
Le Rapport Draghi pointe l'excès de réglementation comme l’un des facteurs du décrochage européen en matière de compétitivité. Un constat qui fait écho dans le numérique et en particulier pour les acteurs de la publicité en ligne pris entre les injonctions contradictoires de la régulation des données personnelles et celle de la concurrence. Ce n’est pas le constat du rapport Draghi le plus commenté par les observateurs. Pourtant la critique de l’ancien président de la Banque centrale européenne (BCE) est sans ambiguïté : "la charge réglementaire pesant sur les entreprises européennes est élevée et continue de croître". Les chiffres eux-aussi sont explicites : entre 2019 et 2024, les États-Unis ont adopté environ 3 500 textes législatifs et 2 000 résolutions au niveau fédéral, tandis que l’Union européenne a promulgué environ 13 000 lois ! Parmi ces textes, plus d’une centaine vise directement les technologies. On dénombrerait également 270 régulateurs actifs dans le domaine numérique à travers les États membres...
Un constat qui résonne évidemment particulièrement dans le domaine numérique et qui fait particulièrement écho à ce que pointent les entreprises : un empilement de réglementations qui génèrent des coûts de conformité forcément pénalisants pour les entreprises européennes qui n'affrontent pas toujours leur concurrents internationaux sur un pied d’égalité. Certes ces réglementations concourent à créer un cadre de confiance, voire à l’instar du RGPD créent des standards internationaux de facto, en assumant toutefois une portée extra-territoriale. Mais cet empilement pose de façon croissante aux entreprises des soucis d’interprétation, de cohérence et même de contradictions entre les régulations. Et ce ne sont pas seulement les entreprises qui le disent comme en témoigne l’avis récent de l’Autorité française de concurrence sur le projet de recommandations de la CNIL à destination des développeurs d'applications mobiles. Une régulation peut avoir des effets délétères…sur une autre régulation. Or c’est précisément ces injonctions contradictoires auxquelles sont confrontés les acteurs de la publicité en ligne depuis quelques années.
La publicité en ligne prise entre régulation des données personnelles et de la concurrence
La publicité en ligne a été au centre des débats ces dernières années, car elle s’appuie sur les données de navigation des utilisateurs, dont certaines sont considérées selon le RGPD comme des données personnelles, à l’instar des adresses IP par exemple. Le traitement de ces données a donné naissance à des controverses juridiques, comme celle qui a opposé Meta à l'Autorité de la concurrence allemande en 2023 sur les conditions d'utilisation des données personnelles pour la publicité personnalisée. La Cour européenne de justice (CJUE) a jugé en juillet 2023 que les pratiques visées pouvaient violer les règles de concurrence en plus du RGPD, établissant ainsi un précédent inédit pour l’application concomitante de la réglementation de la vie privée et de la concurrence. Et c’est notamment sur la base de cette décision que l’Autorité française de concurrence (ADLC) a exprimé un avis qui souligne que la protection de la vie privée ne devrait pas créer des effets de bord anti-concurrentiels.
Cet avis, daté de décembre dernier et publié il y a quelques jours avec les recommandations de la CNIL à destination des développeurs d’applications mobiles en ligne est on ne peut plus explicite : “ L’Autorité observe que le projet accorde aux fournisseurs d’OS et aux magasins d’applications un rôle important en matière de protection de la vie privée qui ne découle pas directement d’obligations conférées par la réglementation en vigueur relative à la protection de la vie privée, et notamment par le RGPD.” On retiendra en premier lieu ce qui est dit en creux, à savoir la conception très extensive du RGPD de la part de la CNIL qui pèse pour beaucoup dans le climat d’incertitude réglementaire dont se plaignent les entreprises du numérique. De l’entrée en vigueur du texte lui-même en 2018 à l’interprétation de la CNIL qui n'est connue qu'au moment de la publication de lignes directrices, les entreprises se disent en effet souvent désemparées...
Pour ce qui concerne les acteurs de la publicité digitale, il s’agit ainsi de se conformer au RGPD en restreignant les possibilités de partage des données collectées à des fins publicitaires. Mais ce que pointe ici l'Autorité française de concurrence, c’est que ces dernières risquent dans le même temps de violer les lois sur la concurrence en restreignant, par souci de protection, cet accès vis-à-vis des entreprises tierces. Pour les acteurs de la publicité en ligne, il s’agit donc ni plus ni moins de répondre à des injonctions contradictoires ! Pour les régulateurs de la concurrence, cela reviendrait de la part des autorités de protection des données à imposer aux plateformes publicitaires d’endosser le rôle de “contrôleur d'accès” au sens du Digital Markets Act (DMA) !
Un RGPD à géométrie très variable…
Avec un agenda sous contraintes du fait que certaines associations comme NOYB déposent régulièrement des centaines de plaintes auprès des autorités nationales de protection des données, ces dernières, qui certes s’en plaignent, ont pour autant développé une interprétation de plus en plus extensive du RGPD. Cette interprétation s'incarne notamment dans le refus des autorités de considérer l'utilisateur comme un “individu rationnel” au sens de la théorie économique. Ainsi le fait que l’utilisateur privilégie la gratuité de l'accès au service ou à l’information, sur la protection de données qu'il n’estime pas sensibles, est considéré comme un “biais cognitif”. Pourtant toutes les études ayant interrogé les utilisateurs convergent sur le fait qu’il s’agit d’un choix rationnel qui n’est pas inconciliable avec le souci exprimé d’une meilleure protection de la vie privée, mais qui procède d’une évaluation des risques et d’une hiérarchisation des attentes. Laisser le choix à l’utilisateur n’est hélas plus vraiment une option selon cette conception. Seconde conséquence : l'évaluation du risque pour l’utilisateur qui est une approche pourtant retenue dans le cadre de la régulation de l’intelligence artificielle n’est pas envisagée par le RGPD dans sa version actuelle...Enfin, les entreprises se voient contraintes légitimement à des obligations croissantes de transparence, mais qu'elles peinent à mettre à oeuvre du fait également de cette interprétation du RGPD. C’est le cas notamment de la lutte contre la fraude au clic qui est empêchée par la non reconnaissance des “cookies anti-fraude” comme essentiels et donc exemptés de consentement…
Privacy Enhancing technologies : une voie très prometteuse pour la publicité en ligne
La publicité en ligne est au cœur de la gratuité de l’accès aux services et à l'information qu’offre l’univers numérique, sur le web ou à travers les applications mobiles. Pourtant ce modèle est fragilisé par cette interprétation particulière du RGPD qui fait tout reposer sur le consentement et dont on connaît les effets néfastes sur l’expérience utilisateur en termes de “fatigue du consentement”. Le dernier arrêt du 4 octobre 2024 de la CJUE dans une affaire opposant Meta à Max Schrems semble aller également dans cette voie en renforçant les exigences autour du consentement et de la minimisation des données. Pour les très nombreuses entreprises qui vivent de la publicité digitale, les Privacy enhancing technologies (PETs) sont désormais incontournables. Ces dispositifs, dont le plus connu est la pseudonymisation, constituent un ensemble de technologies et d'outils destinés à protéger la confidentialité des données personnelles tout en permettant leur utilisation. Des technologies qui se sont développées en réponse aux préoccupations croissantes concernant la protection des données dans des contextes variés, dont la publicité en ligne. Les PETs permettent en effet aux organisations de traiter, analyser et partager des données tout en minimisant les risques pour la vie privée, en s'assurant que les données personnelles restent protégées à toutes les étapes du traitement. Pseudonymisation, chiffrement homomorphique, Differential Privacy, Zero-Knowledge Proofs, Trusted Execution Environments : ces différentes technologies peuvent ainsi permettre de concilier les attentes. Celles du respect de la vie privée renforcé, de plus de transparence, d’un recueil du consentement assoupli et d’un partage de données sécurisées.
La nécessité d’une régulation plus équilibrée
Pour que l'Europe retrouve sa compétitivité, elle doit certainement investir davantage en recherche et développement (R&D). Le rapport Draghi met en lumière un écart significatif entre l'Europe, les États-Unis et la Chine dans ce domaine. En 2023, les investissements publics américains dans les technologies émergentes et la recherche en intelligence artificielle étaient estimés à 200 milliards de dollars, contre environ 20 milliards d’euros en Europe.
Mais elle doit aussi réévaluer sa stratégie réglementaire ! La protection des données personnelles est cruciale, mais elle ne doit pas nuire à la capacité des entreprises à innover et à se développer. Une pause dans la production législative est nécessaire, accompagnée d'une meilleure application et d’une meilleure coordination entre les différentes régulations. Les décideurs européens doivent comprendre que la régulation, bien que nécessaire, n'est pas une politique industrielle en soi. À long terme, seule une stratégie équilibrée permettra à l'Europe de devenir un leader dans le secteur numérique.