Mathias Moulin (Cnil) "La Cnil n'a pas à être prescriptrice sur le sujet du RGPD mais à s'assurer du respect de la loi"

Le directeur de la protection des droits et des sanctions de la Cnil revient sur la vague de mises en demeure publiques envoyées au cours des derniers mois à l'encontre de 4 spécialistes de la géolocalisation.

JDN. Teemo, Fidzup, Singlespot et Vectaury… La Cnil a mis en demeure publiquement 4 spécialistes de la géolocalisation en l'espace de quatre mois, ce qui n'est pas dans ses habitudes (3 en 2017). Pourquoi une telle exposition ?

Mathias Moulin. Nous avons procédé à une vague de contrôles auprès de cette typologie d'acteurs qui nous a permis d'identifier des comportements problématiques qui étaient loin d'être des cas isolés. Et nous avons donc ressenti la nécessité de lancer une action avec le plus fort écho possible, pour alerter l'ensemble de l'écosystème et non pas uniquement les sociétés incriminées. D'où le recours aux mises en demeure publiques.

C'est vrai que nous y avons eu peu recours en 2017 mais nous avons déjà eu recours à cette stratégie par le passé. Il y a quelques années, nous avions mis en demeure publiquement 8 sites de rencontres pour leurs pratiques en matière de recueil du consentement et de traitement de données sensibles telles que l'orientation sexuelle. C'était là aussi un moyen de démultiplier la résonnance du message que nous voulions envoyer au marché.

Tant pis pour la réputation des sociétés visées…

Il est important de préciser qu'une mise en demeure n'est pas une sanction, elle se veut informative et pédagogique. Informative pour les millions de personnes dont les données sont collectées et traitées par le truchement d'un objet du quotidien, le smartphone, sans qu'elles en aient conscience. Pédagogique pour tout l'écosystème publicitaire, les acteurs, clients et partenaires auprès desquels il s'agit de cadrer des pratiques émergentes le plus en amont possible, pour couper court à tout ce qui pose problème. Je note d'ailleurs que le délai de mise en conformité s'est considérablement raccourci entre la première et la dernière mise en demeure, preuve que ça a eu un effet.

"Nous aurions pu décider de procéder à des sanctions... et n'excluons pas de le faire à l'avenir"

J'ajoute que nous aurions pu décider de procéder à des sanctions, sur décision de la présidente et d'une formation restreinte, mais nous avons préféré opter pour la pédagogie. Nous n'excluons pas pour autant de basculer vers cette éventualité si les mauvaises pratiques venaient à perdurer à moyen terme.

Selon certains acteurs du marché, une mise en demeure publique oblige les sociétés mises en cause à dire oui à tout pour sortir d'une situation qui met leur business à l'arrêt, quitte à accepter des requêtes qui condamnent leur activité sur le long terme. Que leur répondez-vous ?

La Cnil ne fait qu'appliquer le droit et je pense que vous serez d'accord pour dire que c'est problématique pour toute entreprise d'avoir un business model qui repose sur une pratique illicite. D'autant que la plupart de ces sociétés, et je ne dis pas que cela a eu une incidence sur notre décision, ont beaucoup communiqué sur le fait qu'elles étaient en conformité avec le RGPD, sans pour autant l'être. Au cours de chaque procédure de mise en demeure, l'entreprise ciblée a la possibilité de faire un recours devant le Conseil d'Etat si elle conteste la demande de mise en conformité et estime être dans son bon droit. Cela n'a pas été le cas ici.

Notre principal grief portait sur le défaut d'information de l'utilisateur dont la donnée de géolocalisation était traitée. Cette information préalable au recueil du consentement n'était pas assez complète et manquait de granularité. Le fait que certains se plaignent qu'une information mieux représentée puisse avoir une incidence sur leur activité est bien révélateur de l'opacité qui régnait jusque-là.

Peut-on s'attendre à d'autres mises en demeure publiques à l'avenir ?

Nous avons encore des investigations en cours. Impossible de vous en dire plus à ce stade.

Avec la récente mise en demeure de Vectaury par la Cnil, l'écosystème a découvert qu'un consentement ne peut pas se transmettre par contrat et qu' une entreprise qui traite de la donnée ne peut se contenter d'adopter le framework de l'IAB pour récolter un consentement d'internaute auprès des éditeurs. Elle doit s'assurer elle-même de la validité de ce consentement.

"La mise en demeure de Vectaury n'est pas un jugement sur le framework de l'IAB"

D'abord une précision. Contrairement à ce que j'ai lu, la Cnil ne s'est pas prononcé sur le framework de l'IAB mais sur l'implémentation du framework que Vectaury a adoptée. Il faut distinguer le cadre technique, le framework, et son implémentation par différentes sociétés. Ceci étant dit, le RGPD impose à chaque opérateur de données de s'assurer de la légitimité du consentement et de sa traçabilité. Le contrat est à ce titre insuffisant. C'est à l'acteur qui va retraiter des données de s'assurer que ce travail a été fait correctement en amont par le partenaire qui lui transmet ces données.

Cela risque d'être problématique pour beaucoup d'adtech qui n'ont pas de lien direct avec l'internaute. Que peuvent-elles faire ?

Plusieurs modalités techniques peuvent leur permettre de le faire, comme la preuve technique de chaînage du consentement ou le carottage des bases de données partenaires pour vérifier des échantillons. Charge aux opérateurs d'imaginer les modalités et de nous les soumettre. Ce n'est pas à la Cnil d'être prescriptrice sur ce genre de sujet, nous sommes là avant tout pour nous assurer du respect de la loi.

Vous l'avez pourtant été sur l'affichage de bandeaux d'information préalable à la dépose de cookies, avec des indications claires sur les pratiques à suivre. Rien de tel pour tout ce qui touche à la CMP ou les moyens de s'assurer de la validité d'un consentement obtenu par un partenaire. Pourquoi ?

Nous l'avons déjà fait dans le cadre de l'accompagnement que nous mettons en place lors des procédures de mises en demeure. Nous avons donné des instructions très claires sur la bonne mise en place d'une CMP et ce qui est nécessaire en matière de granularité du consentement et de preuve de ce consentement, aux acteurs mis en demeure.

Oui mais cela ne concerne que quelques sociétés, pas l'ensemble du marché…

Le délai entre l'instauration d'un nouveau cadre juridique et sa mise en place effective est souvent long. Quelques années se sont écoulées entre l'arrivée de la directive européenne qui concerne les cookies et la mise en place de guidelines par la Cnil. En ce qui concerne les pratiques que vous évoquez, rien n'est encore arrêté car nous ne voulons pas fermer le champ des possibles et laisser place à l'innovation. Je me répète mais c'est aux acteurs d'imaginer des solutions. Nous sommes pour l'instant dans la phase où nous pointons les insuffisances. Sans doute que la phase de co-construction est pour bientôt.

Avec qui s'opèrera cette co-construction ? Les associations interprofessionnelles ou les sociétés directement ?

Nous discutons avec tout le monde, les têtes des réseaux mais aussi les acteurs pris individuellement.

Pourquoi un tel écart entre ce que vous autorisez sur le desktop, où l'action positive comme le scroll après un bandeau d'information suffit pour recueillir valablement un consentement internaute, et sur le mobile, où vous êtes beaucoup plus stricts ?

Les traitements sont différents, tout simplement parce que les cadres juridiques le sont aussi. C'est le règlement européen sur la protection des données qui s'applique pour les acteurs qui collectent une donnée de géolocalisation très intrusive à des fins publicitaires via le SDK sur mobile. En ce qui concerne la collecte des cookies, on s'appuie sur la directive eprivacy. Mais tout cela pourrait changer si celle-ci évolue en 2019 voire 2020.