Guillaume Tollet (fifty-five) "La Cnil a un train de retard sur l'e-mail et les algorithmes"
Pour Guillaume Tollet, directeur exécutif de fifty-five, cabinet de conseil en data marketing accompagnant des marques telles qu'Auchan, LVMH, SNCF, Total, etc., la Cnil devrait donner plus d'importance aux algorithmes et aux données CRM dans ses contrôles du respect de la vie privée des internautes.
JDN. Selon vous, la Cnil axe la majorité de ses contrôles et mises en demeure sur les cookies qui sont des données très peu sensibles. Pensez-vous que les internautes sont de votre avis ?
Guillaume Tollet. La Cnil a raison de s'intéresser aux cookies. Mais l'importance qu'elle accorde à cette question est disproportionnée vis-à-vis d'autres sujets à mon sens beaucoup plus urgents que sont les données CRM et les algorithmes. Les cookies sont des traceurs liés aux terminaux et aux navigateurs. Ce sont des données indirectement identifiantes, et par conséquent beaucoup moins sensibles que les nombreuses données nominatives qui circulent et qui permettent d'identifier une personne directement, comme l'e-mail, l'adresse postale ou le numéro de téléphone. Je m'interroge donc sur l'importance que l'autorité française de protection de données accorde au seul sujet des cookies aussi bien en nombre de contrôles qu'en effort de communication (la Cnil a récemment publié son rapport d'activités : sur 135 mises en demeure, 89 ont porté sur les cookies, ndlr).
En reconnaissant les terminaux et les navigateurs, les cookies permettent à l'industrie de dresser les profils des internautes à partir de leur comportement en ligne. Cela peut poser problème, non ?
Il y a eu bien sûr des dérives, la preuve en est que les acteurs du digital eux-mêmes ont mis des barrières au dépôt de cookies, comme Apple avec Safari, Firefox et demain Google. Mais ce qui m'interroge, c'est surtout la prise de position de la Cnil au sujet de la publicité ciblée, qu'elle souhaite clairement limiter. Ce faisant, elle sort de ses prérogatives, qui sont de garantir que les données personnelles soient collectées et traitées de manière licite.
Est-ce pour cette raison que vous déclarez que "les décisions de la Cnil sont souvent analysées par le marché comme dogmatiques, difficilement applicables et peu compatibles avec la réalité des entreprises" ?
Le rôle de la Cnil n'est pas de légiférer sur le modèle économique d'Internet. Ce n'est pas non plus de limiter le ciblage publicitaire. Pourtant, son parti pris sur ce sujet est trop fort. Regardez l'exemple des cookies walls : la Cnil a dû faire marche arrière face à la décision du Conseil d'Etat, qui a annulé la disposition de ses lignes directrices qui interdisait cette pratique.
Quelles devraient être les priorités de la Cnil en matière de contrôle du respect des données personnelles en ligne ?
La Cnil devrait se concentrer davantage sur l'utilisation qui est faite des données nominatives des clients à des fins de marketing plutôt que de s'acharner contre les cookies tiers, qui dès le milieu de l'année prochaine n'existeront plus. Un autre sujet prioritaire, ce sont les algorithmes. Nous sommes beaucoup plus traqués par les algorithmes que par les cookies ! Les cookies, c'est l'ancien monde, alors que les algorithmes sont le big bang de demain. Or, la Cnil reste fixée sur le premier. Tout l'enjeu, c'est de réussir à contrôler la masse des données qui alimentent ces algorithmes pour s'assurer qu'elles sont représentatives de la population concernée et surtout de disposer des garde-fous de vérification des modèles. Les algorithmes ne doivent pas être discriminants, c'est un enjeu de société. A ce sujet, le projet de règlement européen sur l'IA, l'AI Act, pose de façon très intéressante le principe de la sensibilité des secteurs exposés à l'utilisation des algorithmes. Il y a une hiérarchisation selon qu'il s'agit d'un domaine peu sensible comme le marketing), très sensible comme la santé ou clairement interdit comme la surveillance de masse.
Vous dites que les cookies, c'est bientôt fini, mais est à l'essai l'alternative des ID qui se basent sur les e-mails des internautes opt-in comme clé de conversion… N'est-ce pas un peu passer du pareil au même avec moins de reach ?
C'est encore pire ! Le cookie avait au moins le mérite d'être une donnée indirectement identifiante alors que l'e-mail est beaucoup plus intrusif. Le reach est bien plus faible en effet : l'ID ne résout ni le problème de la privacy ni de la fin des cookies. L'adresse e-mail devient la nouvelle monnaie d'échange sur le digital. La Cnil a donc un train de retard.
Selon vous, d'autres autorités européennes de protection des données ont une approche plus pragmatique de l'application des règles sur les données personnelles. Vous faites référence à quelles autorités et qu'entendez-vous par pragmatique ?
Nous accompagnons des entreprises qui opèrent partout dans le monde et en Europe. Dès qu'il s'agit d'opérer en France, elles font beaucoup plus attention à adopter une interprétation stricte pour éviter toute source de confusion. Or, on nous relate qu'en Belgique, par exemple, l'autorité locale de protection de données a une attitude beaucoup plus pédagogique. Se pose donc la question de l'uniformisation de la réglementation sur les données personnelles pour le marché de la publicité en ligne. Cela fait quatre ans que le règlement ePrivacy est attendu pour qu'enfin les mêmes règles de collecte du consentement et de traitement des données puissent s'appliquer partout.
Comment analysez-vous la décision récente de la Cnil de mettre en demeure des sites utilisant Google Analytics ?
Il n'est écrit nulle part qu'il est interdit de transférer des données de l'Union européenne vers les Etats-Unis. En revanche, ce qui pose problème, c'est le niveau de protection de données personnelles offert par la loi aux Etats-Unis, considéré comme n'étant pas équivalent à celui offert en Europe. On nous explique qu'il faut dans ce cas prendre des mesures techniques, organisationnelles et sécuritaires supplémentaires. Mais personne ne précise quelles mesures il faut adopter. Le seul moyen de sortir de cette impasse sera l'adoption d'un nouvel accord politique dont on s'attend qu'il soit validé, dans le meilleur des cas, en début d'année prochaine. C'est du moins le souhait du marché.
La Cnil a publié mardi 7 juin plus de détails et d'explications sur cette décision. Ces informations vous semblent-elles suffisantes ?
Cette FAQ de la Cnil explique plus sa décision qu'elle ne donne de solutions.