Privacy : un tour du monde des actualités de décembre
Les dernières semaines de l'année ont été décisives en Europe pour le respect de la vie privée. En France, au Royaume-Uni, en Allemagne et en Espagne, les autorités de protection des données précisent leurs attentes à l'égard des nouvelles technologies et des solutions de ciblage publicitaire alternatives aux cookies tiers. Des avis, des interprétations et des directives que les entreprises en général, et l'adtech en particulier, ont tout intérêt à connaître, comprendre et observer.
En France, la CNIL donne son orientation sur les alternatives aux cookies
La CNIL a émis un avis semblable à son homologue britannique (l’ICO) au sujet des solutions de ciblage alternatives aux cookies basées sur des identifiants. Selon l’autorité française, l’accès à l’équipement de l’utilisateur pour stocker ou enregistrer des informations à des fins non strictement nécessaires nécessite un consentement écrit préalable, et ce indépendamment du fait que des données personnelles soient traitées.
Dans ses lignes directrices au sujet des alternatives aux cookies tiers, publiées fin novembre, la CNIL rappelle que de telles innovations en matière de ciblage publicitaire doivent « toujours être conformes au cadre juridique de la protection des données, en particulier les règles de consentement et les droits des personnes concernées ». Cela signifie que la suppression des cookies tiers ou même des données personnelles du ciblage publicitaire n’élimine pas les obligations d’une entreprise à l’égard du Règlement général sur la protection des données (RGPD), de l’ePrivacy et d’autres lois sur le respect de la vie privée.
Les directives de la CNIL passent en revue les concepts de cookies propriétaires, d’empreinte digitale, d’authentification unique (SSO), d’identifiant unique et de ciblage publicitaire par cohorte. Elles soulignent l’importance de permettre aux utilisateurs de garder le contrôle sur leurs données, d’éviter le traitement de données sensibles et de rester responsable.
Fermeté et pédagogie en France
Dès la mi-décembre, la CNIL a annoncé avoir mis en demeure une trentaine d’institutions publiques et entreprises ne respectant pas ses exigences en matière de cookies. Ces enquêtes concernent le dépôt de cookies sans consentement préalable, des bannières d’information ne permettant pas à l’utilisateur de refuser le dépôt de cookies aussi facilement que de l’accepter et des cookies déposés malgré le refus exprimé par l’utilisateur. Les organisations disposaient d’un mois pour modifier leurs pratiques.
La veille de cette annonce, l’autorité française avait publié la mise à jour de son guide RGPD à destination des développeurs. Conçu pour être pédagogique et pratique, ce guide répertorie les types de traceurs couverts et non couverts par l’obligation d’obtenir le consentement préalable à leur utilisation et précise les démarches que les développeurs doivent entreprendre si des traceurs couverts par les obligations sont utilisés. Il comprend une liste d’éléments à inclure dans l’interface de consentement, des exemples d’interfaces acceptables et un guide étape par étape des étapes à suivre sur le back-end.
Au Royaume-Uni : le souhait d’une adtech en mode privacy par défaut
L’Information Commissioner’s Office (ICO), autorité britannique chargée de la protection des données, a communiqué sur ses attentes à l’égard du secteur de l‘adtech pour les mois et l’année à venir. L’avis publié fin novembre est très clair : l’industrie de la publicité digitale « doit reconnaître le besoin de changement ».
L’ICO indique que toutes les nouvelles initiatives, qu’elles soient de Google ou d’autres acteurs du marché, devraient être conçues selon des exigences de protection des données par défaut, offrant aux utilisateurs le choix de recevoir des publicités sans suivi, profilage ou ciblage basés sur des données personnelles.
La transparence sur la manière et les raisons du traitement des données doit également être au cœur de toute initiative. De même, l’utilisateur doit pouvoir savoir qui dans l’écosystème est responsable pour le traitement de ses données. L’ICO soutient que l’industrie doit démontrer en quoi ce traitement est juste, licite et transparent, tout comme prévenir et traiter tout risque portant atteinte à la protection des données personnelles.
Le ciblage basé sur les identifiants dans le viseur de l’ICO
Les solutions de ciblage basées sur des identifiants ne répondent pas suffisamment à ce stade aux exigences de transparence, contrôle, consentement et responsabilité suivis par l’ICO au Royaume-Uni. L’organisme britannique soutient que le Règlement sur la confidentialité et les communications électroniques (PECR) en vigueur s’applique si les informations sur les équipements sont traitées, qu’il s’agisse ou non de données personnelles. De même les solutions d’identifiants basées sur l’e-mail d’origine peuvent ne pas entraîner une pseudonymisation efficace.
L’ICO a également émis son avis sur certaines initiatives de l’industrie, comme le Transparency and Consent Framework (TCF), qui n’aurait selon l’organisme pas répondu de manière significative à ses préoccupations en la matière. De même, le Global Privacy Control (GPC) n’offrirait pas aux utilisateurs un moyen d’exprimer leurs préférences qui soit totalement conforme aux exigences britanniques de protection des données.
Privacy Sandbox au Royaume-Uni : Google s’engage auprès de l’Autorité de la concurrence
L’Autorité britannique de la concurrence et des marchés (CMA) a révélé huit nouveaux engagements proposés par Google pour répondre aux préoccupations de la CMA concernant la Google Privacy Sandbox. Entre autres engagements, Google a accepté de clarifier les limites que l’entreprise s’impose en interne à l’utilisation des données. Google accepte également de fournir de plus amples garanties aux tiers développant des technologies alternatives et de rendre compte régulièrement à la CMA la façon dont il prend en compte les opinions des tiers. Google devra maintenir ses engagements pendant six ans à compter de l’acceptation par la CMA.
En Espagne, les clés publiques de cryptographie assimilées aux données personnelles
L’agence espagnole de protection des données a publié début décembre un article de blog précisant qu’une clé publique (utilisée dans la cryptographie à clé publique) correspondant à une personne physique peut constituer une donnée personnelle au sens du RGPD. Cela est le cas lorsqu’il est possible d’associer à la clé publique des informations supplémentaires permettant l’identification de la personne.
À titre d'exemple, le billet de blog explique que les clés publiques sont souvent intimement liées à d’autres types d’identifiants, tels que les adresses IP, les identifiants de session, les cookies, les signatures d’appareils et les adresses e-mail. Ces dernières, lorsqu’elles sont combinées, permettent d’associer des activités effectuées à partir de différentes adresses ou appareils, de profiler des individus et de les ré-identifier. Elles permettent également d’établir des liens avec des contenus et des métadonnées. En conséquence, dans de tels contextes, la clé publique, bien que pseudonymisée, devrait être traitée comme une donnée personnelle.
On voit bien que, à l’instar de ses homologues français et britannique, l’agence espagnole applique au domaine de la cryptographie à clé publique le même principe de fond consistant à rappeler aux entreprises que les nouvelles solutions et l’évolution de la technologie n’échappent pas nécessairement aux obligations de respect de la vie privée.
En Allemagne, les marges de l’intérêt légitime rétrécies pour les télécom
Les organisations allemandes ne pourront plus se fonder sur l’intérêt légitime comme base légale pour l’utilisation de certains cookies non strictement nécessaires, et cela même dans les cas où l’intérêt légitime aurait été une base légale acceptable au vu du RGPD. La raison est que la loi allemande sur la protection des données sur les télécommunications et les télémédias (TTDSG), entrée en vigueur le 1er décembre dernier, met notamment en œuvre l’article 5, paragraphe 3 de la directive ePrivacy. Cette dernière prévoit que les cookies et les technologies comparables ne peuvent être utilisés que si l’utilisateur y consent, que si le cookie facilite la transmission d’une communication sur un réseau public ou s’il s’avère strictement nécessaire. Les entreprises et organismes allemands devront obtenir le consentement pour l’utilisation de cookies et autres « stockages d’informations de l’équipement terminal d’un utilisateur final » même si aucune information personnelle n’est traitée au sens du RGPD.
Les Émirats Arabes Unis adoptent une loi de protection des données
Selon des sources locales, le président des Émirats arabes unis a approuvé une loi complète sur la protection des données dans le cadre d’un ensemble législatif plus vaste. Il s’agit de la toute première loi portant sur la protection des données au niveau fédéral.
Ce texte interdit le traitement des données personnelles sans consentement, impose certaines obligations en matière de sécurité et de transfert de données et étend les droits des utilisateurs à corriger, restreindre et refuser le traitement des données personnelles. Le président aurait également approuvé une loi portant sur la création de l’UAE Data Office, dédié à la protection des données personnelles.
Les leçons à tirer des cas Google au Nouveau Mexique et OpenX/FTC
Google a accepté un règlement de 5,5 millions de dollars en résolution de deux actions du procureur général de l’État du Nouveau Mexique concernant la collecte d’informations sur les enfants. Le règlement comprend également une injonction obligeant Google à mettre en œuvre de nouvelles politiques et mesures pour empêcher la collecte d’informations personnelles auprès d’enfants de moins de 13 ans par les applications disponibles via Google Play.
Dans le même temps, en décembre, la plateforme publicitaire OpenX a conclu un accord de 2 millions de dollars avec la Federal Trade Commission (FTC), aux États-Unis, dans le cadre d’une enquête sur la collecte d’informations personnelles auprès d’enfants de moins de 13 ans sans leur consentement et d’informations de géolocalisation auprès d’utilisateurs qui ont demandé à ne pas être suivis. OpenX fait désormais l’objet d’une injonction permanente de la part du FTC.
Ces deux affaires soulignent la nécessité pour les plateformes publicitaires de procéder à un examen actif et continu non seulement des pratiques internes de protection de la vie privée mais également de l’inventaire accepté dans leurs places de marché publicitaires. Par ailleurs, l’adtech étant de plus en plus soumise à un microscope réglementaire, même de petits oublis peuvent avoir un coût.