Pascal Vautrin (Axeptio) "Avec le paquet omnibus, la CE confie les clés du consentement aux big tech américaines"
Pascal Vautrin, privacy standard expert chez Axeptio, revient sur les mesures annoncées par la Commission européenne ce 19 novembre, en particulier la fin de la collecte du consentement aux cookies au niveau des sites, à l'exception des éditeurs.
JDN. La Commission européenne a dévoilé ce 19 novembre sa proposition Digital Omnibus, un paquet de mesures visant à simplifier la réglementation en vigueur dont entre autres le RGPD et ePrivacy. Quel est votre avis sur cette annonce ?
Pascal Vautrin. Cette proposition touche à un mécanisme clé qui est au cœur du Règlement général sur la protection des données (RGPD), à savoir la collecte du consentement aux traceurs publicitaires au niveau de chaque site, qu’elle vient supprimer. La CE souhaite confier cette tâche aux navigateurs. L’argument évoqué est le besoin d’harmoniser RGPD et ePrivacy et de pallier la fatigue du consentement. Si une telle mesure venait à être adoptée, elle serait catastrophique pour de très nombreux publishers qui dépendent de ces traceurs pour monétiser leurs sites, je pense à tous les sites e-commerce et aux retailers qui font du retail media. La perte de revenus publicitaires pour ces derniers sera considérable.
La gestion des consentements centralisée au sein des navigateurs aura pour effet de les faire chuter : afin que l’utilisateur donne son consentement, il lui faudra faire la démarche de cocher son opt-in au niveau des réglages, ce qu’il ne fera pas ou très peu. Et même si le navigateur venait à l’inviter à faire son choix, cette invitation n’aurait pas lieu à chaque site, mais une fois pour toutes.
Un autre point pose problème : le texte indique que des “organismes normalisateurs” vont définir des signaux de consentement standardisés que les navigateurs seront tenus d’appliquer. Cela pourra se faire via une extension ou plug-in ou bien dans les réglages au sein du navigateur. Il est à prévoir que les grands concepteurs de navigateurs seront partie prenante et influeront sur l’élaboration de ce protocole de consentement standardisé et pèseront de tout leur poids pour en tirer des avantages. En deux mots, à travers ces mesures, la CE confie les clés du consentement aux big tech américaines.
Vous n’évoquez pas les médias comme étant impactés par cette mesure. Pourquoi ?
Le texte prévoit une exception pour les médias, qui pourront vraisemblablement continuer de proposer les bannières de consentement aux utilisateurs sur leurs sites. Le texte n’est pas du tout clair en revanche pour ce qui est des applications mobiles. On se retrouverait avec une expérience de navigation totalement fragmentée et on ne donnerait pas les mêmes règles du jeu aux différents opérateurs de ce marché, entre les médias et les autres. Il se poserait sans doute un problème de concurrence. On peut aussi se questionner sur le traitement qui sera réservé à certaines applications, comme TikTok ou Meta, ou même à des acteurs tels que Leboncoin.
Quel impact une telle mesure aura pour Axeptio et tout le secteur des plateformes de gestion du consentement (CMP) comme la vôtre ?
Comme je vous disais, la Commission demande à ce que des "organismes normalisateurs" proposent un protocole standardisé de consentement, utilisable au niveau du navigateur, pour une durée de vie de six mois. Tant que ce protocole ne sera pas émis, rien ne changera pour nous. Nous serons probablement par la suite des "acteurs de l'ombre", en servant d’intermédiaires pour rendre les signaux envoyés par les navigateurs compréhensibles pour les acteurs du marché (publishers et vendors).
A noter que l'application de cette durée de six mois pour le consentement ne sera pas viable : la durée de vie de certains cookies étant inférieure à six mois, un nouveau consentement sera nécessaire.
Quelle autre mesure vous paraît problématique ?
Ce paquet de mesures vient préciser la définition des données personnelles en prenant en compte un jugement rendu récemment par la Cour de justice de l’Union européenne (CJUE), qui dit qu’une donnée pseudonomysée n’est pas forcément une donnée personnelle à partir du moment où l’opérateur qui la détient ne dispose pas de moyen raisonnable lui permettant de remonter jusqu’à la personne en question. Or, ce jugement a été livré dans un contexte très précis, où le responsable de traitement de données n’avait à faire qu’à un seul sous-traitant. Le problème se pose lorsqu’un deuxième intermédiaire accède à ces données alors même que le responsable de traitement de données n’est pas au courant et que cette donnée sera par conséquent sortie du champ du RGPD. Un acteur comme Meta dispose de tous les moyens pour remonter toutes les données anonymisées qu’il reçoit ou presque. On voit bien le danger que cela représente de généraliser un jugement qui était don