Nicolas Rieul (MMA) "Le règlement eprivacy ne sera pas appliqué avant fin 2019"

En charge des sujets privacy pour le compte de la Mobile Marketing Association France, Nicolas Rieul fait le point sur les préconisations que l'organisation a formulées auprès de la Commission européenne.

JDN. Vous avez présenté les points de vue de la Mobile Marketing Association France sur le projet de règlement ePrivacy auprès de deux représentants de la Commission européenne fin décembre dernier. Quel était l'objet de cette rencontre ?

Nicolas Rieul. Alors que les discussions de concertation restaient centrées sur les cookies et le navigateur web, nous sommes venus intégrer le mobile aux débats. Au-delà de sa domination en termes d'audience, ce device a deux particularités essentielles : l'existence d'un univers applicatif  dépourvu de cookie et celle des données de géolocalisation. Car les applications iOS, Android ou Windows Phone introduisent la notion d'identifiant publicitaire à la place du cookie.

Nous avons rencontré des représentants de la Commission européenne à l'initiative de Marc Lolivier, chargé des affaires publiques pour Ecommerce Europe et patron de la Fevad en France dans le cadre d'une coalition interprofessionnelle entre l'UFMD et le Geste. ll était important que le législateur recentre son texte sur un canal qui capte désormais la majorité des investissements publicitaires.

Sur le fond, quels messages avez-vous voulu faire passer ?

D'abord que l'identifiant publicitaire que l'industrie du marketing mobile utilise est différent d'un cookie, notamment en termes de privacy. Quand j'efface un cookie sur Chrome, je me déconnecte de mes services. Ce n'est pas le cas de l'identifiant publicitaire - qui comme son nom l'indique n'est utilisé que pour la publicité - et que je peux réinitialiser ou limiter sans impact sur les autres services.

"Inquiétant si le recueil du consentement s'opère via l'OS, soit le duopole Android et Apple"

L'autre sujet, c'est le recueil du consentement. Le projet de règlement e-privacy évoque une récolte du consentement au niveau du navigateur. Dans le monde applicatif, cela devrait donc s'opérer via l'OS, à savoir le duopole Android et Apple. C'est forcément inquiétant dans la mesure où il s'agit d'entreprises privées qui pourraient être tentées de privilégier leur intérêt… On l'a vu récemment avec le changement de politique d'Apple sur iOS11. Google et Facebook ont cette même capacité à modifier les règles du jeu via leurs algorithmes. Le plus souvent sans concertation avec l'industrie ni même les pouvoirs publics. Il est donc important de sensibiliser ces derniers au bon contrôle du pouvoir des plateformes sur l'industrie.

Quelle solution préconisez-vous ?

Il n'y a pas de solution miracle. Il nous semble que le modèle actuel, lié au RGPD, et qui consiste à responsabiliser chaque acteur dans la collecte du consentement préalable est bon. Maintenant que les sanctions sont dissuasives, cela devrait être totalement respecté, il y a peu de doute. Nous souhaitons tout d'abord un alignement entre le RGPD et le futur règlement ePrivacy. Si les cookies et autres traceurs sont bien considérés comme des données personnelles, il n'y a plus de raison de faire une différence de traitement pour les cookies. En ce qui concerne le consentement nous pensons qu'il devrait être recueilli par le responsable du traitement, c'est-à-dire celui qui collecte les données et décide de leur usage, comme c'est le cas dans le RGPD et non pas laissé principalement entre les mains des navigateurs qui ne disposent pas nécessairement de toutes les informations permettant d'éclairer les personnes sur ses choix.

"Généralisons l'existence de l'identifiant publicitaire des applications en le transposant au Web et donc au PC"

C'est sans doute le bon moment pour généraliser l'existence de l'identifiant publicitaire des applications en le transposant au Web et donc au PC. Cet identifiant publicitaire a été conçu et pensé pour le marketing, contrairement au cookie dont l'usage a été détourné à des fins publicitaires. Nous souhaiterions que les navigateurs Web (Safari, Firefox,  Chrome, Internet Explorer) partagent des identifiants publicitaires réinitialisables proposés par les systèmes d'exploitation (Mac OS, Windows), exactement comme sur l'univers application aujourd'hui.  Le rapport de Jacques Serris, déposé le 8 décembre dernier et commandé par le pouvoir exécutif français, en a fait une solution à explorer.

Quels seraient les bénéfices d'un tel identifiant publicitaire multi-canal ?

Cela mettrait fin au silo du Web (chaque navigateur à ses identifiants avec le cookie) et permettrait de lier le  Web fixe avec l'univers mobile (ciblage "cross-devices"). Cela ne résout pas à 100% le problème de concurrence mais si la chose est bien encadrée par le législateur, cela institutionnalisera l'identifiant publicitaire et protégera l'industrie du bon vouloir des plateformes, tout en offrant aux utilisateurs un meilleur contrôle de leur donnée. Car nous pensons qu'une voie de retour est indispensable et qu'il est important que chaque éditeur puisse demander à être intégré à une whitelist d'acteurs qui peuvent utiliser l'identifiant publicitaire de l'appareil. C'est une solution qui existe pour la donnée de géolocalisation, pourquoi ne pas le faire pour l'identifiant publicitaire également ?

Quand pensez-vous que ce règlement eprivacy sera finalement mis en application ?

Il a d'abord été question du 25 mai 2018, en même temps que la mise en application du RGPD. Mais il s'avère que la mise en conformité avec ce dernier est plus lourde que prévu. Je pense donc que les membres de l'UE et notamment la France ne vont pas vouloir précipiter l'arrivée d'e-privacy dont on ne connaît pas encore tous les contours. La situation politique de l'Allemagne et le Brexit rendent d'ailleurs la France plus audible.

On parle d'une application fin 2019, voire 2020. Je pense que, selon l'avancée des discussions, le trilogue (méthode qui associe le Conseil des ministres, le Parlement et la Commission, permet d'obtenir des compromis au sein de l'UE, ndlr) aura lieu cet été puis que le Parlement revotera de façon solennelle dans la foulée. Il faudra ensuite tabler sur un délai de mise en application. Nous recommandons un délai d'application significatif - 12 à 18 mois - car il aura un impact important pour les acteurs du secteur. Ce délai semble essentiel quand on sait que 80% des sociétés ne seront pas prête pour le RGPD le 25 mai prochain selon Forrester. 

Nicolas Rieul est VP Strategy Emea de la plateforme de publicité mobile S4M. Il a avant cela occupé les fonctions de VP marketing et research de Teemo, head of mobile au sein de Dentsu Aegis Network ou encore head of operations chez Mozoo. Il est par ailleurs administrateur de la Mobile Marketing Association (MMA) France, spécialisé dans les sujets de privacy, et membre de la commission Affaires publiques de l'IAB France.