Romain Gauthier (Didomi) Digital Omnibus : "Tout reste à faire pour construire le nouveau standard de consentement"
Pour le co-fondateur de Didomi, le paquet de mesures de la Commission européenne présente de bonnes intentions pour simplifier la gestion du consentement mais reste beaucoup trop complexe, avec plusieurs questions en suspens.
JDN. Digital Omnibus a été annoncé par la Commission européenne (CE) et vient toucher à votre cœur de métier chez Didomi : le consentement. Comment analysez-vous ce paquet de mesures ?
Romain Gauthier. Il est tout à fait légitime et nécessaire de tenter de régler le problème de la fatigue du consentement. La simplification de la législation en fusionnant ePrivacy et le RGPD afin que les obligations relatives aux cookies et aux traceurs soient correctement encadrées par le RGPD avec pour objectif in fine de réduire le nombre de notices de consentement que les internautes se voient afficher durant leur navigation va dans le bon sens. L’intention de ce paquet de mesures est par conséquent bonne même si le résultat est un texte très complexe.
Ce texte présente deux grandes évolutions. La première est le "one click consent", c’est-à-dire la possibilité pour les internautes de refuser des requêtes de consentement de manière facile et intelligible. Mais le diable se cache dans les détails de la manière de le déployer : la CE parle d’un "single quick button or equivalent means" pour faciliter le consentement (ou refus de). En pratique, chaque autorité de la protection de données nationale devra établir une directive locale pour interpréter cette mesure, ce qui ne va pas dans le sens de la simplification.
La deuxième évolution intéressante concerne le capping de la fréquence du consentement : en cas de refus du dépôt de cookies, le site ne pourra plus demander l’avis de l’internaute avant un délai de six mois ; en revanche, en cas d’acceptation par l’internaute, le délai n’est pas clairement précisé. Or, les éditeurs de sites web ou applications mobiles sont amenés à devoir re-solliciter les internautes parce que les navigateurs ou les OS ne permettent pas techniquement de stocker un consentement de façon persistante. Tout cela reste à clarifier.
A vous entendre on comprend que les publishers pourront continuer de gérer le consentement. Or, d’après certains analystes, exception faite aux médias, avec ces mesures la CE confiera les clés du consentement aux navigateurs et OS des devices… N’est-ce pas votre avis ?
La CE souhaite pousser le marché à adopter un standard de consentement pour Internet qui permette à l’utilisateur d’établir sur son device sa liste de choix relatives à ses données personnelles et que cette dernière soit automatiquement comprise et reconnue par les machines tout au long de sa navigation. Ce standard devra être le fruit d’une discussion entre toutes les parties prenantes de l’industrie. Une fois qu’il sera défini, la CE le rendra obligatoire. Cela signifie que les clés du consentement ne seront pas données aux navigateurs et OS des devices : ces derniers devront appliquer et respecter le standard que nous allons définir tous ensemble.
Mais cela signifie que le choix par l’utilisateur entre le consentement et le refus se fera au niveau du navigateur et des OS, non ?
Si le digital omnibus est approuvé, ce qui n’est pas acquis, deux sortes d’acteurs seront dans l’obligation de mettre en œuvre ce standard. Du côté des internautes, les navigateurs et les OS ; du côté des éditeurs de sites web ou applications mobiles, les CMP seront chargées de lire les choix opérés par les internautes sur leurs devices et de les traduire dans leur expérience au sein du site. Mais le standard sera bel et bien construit par l’industrie et la société civile. Ces dernières définiront les options que les navigateurs et OS devront proposer aux internautes.
Par ailleurs, chaque éditeur de site ou application devra décider ce qu’il fera face au choix de l’internaute. Et sur ce point le texte est très flou. Or, l’éditeur de site ou application est bien responsable du traitement de ces signaux et il y aura peut-être une marge de transaction possible à son niveau, que le standard devra définir. Il est également possible que les utilisateurs veuillent avoir la possibilité de donner automatiquement leur consentement à toute une catégorie de sites qui leur tiennent à cœur de soutenir. Tout cela doit être prévu : tout le travail qui consistera à définir les contours de cette nouvelle méthode de consentement reste à faire. Il est très important que ce standard soit solidement défini : un éditeur de site ou application, qui engage sa responsabilité vis-à-vis du RGPD, ne cessera pas de collecter le consentement à son niveau, s’il estime qu’il ne peut pas faire confiance aux navigateurs et aux OS.
Un calendrier est-il fixé pour la définition de ce standard, des parties prenantes sont-elles choisies ?
Rien n’est pour l’instant défini. L’industrie et la société civile doivent se mettre autour de la table. La CE fera très certainement appel à des instances de normalisation connues, telles que l’IAB Europe, qui a déjà un précédent important avec le TCF, seul standard de consentement existant. Le TCF, corrigé de ses défauts, peut servir de très bonne base de travail pour bâtir ce nouveau standard.
Rappelons que les éditeurs médias sont exclus de cette nouvelle obligation de collecte simplifiée du consentement…
Cette mesure est la reconnaissance du fait que les médias ont besoin de maîtriser le consentement dès la première page car leur modèle économique en dépend. Et cela est crucial pour le maintien d’une information de qualité accessible sur l’open web. Ce faisant, la CE reconnaît la légitimité du modèle pay or consent.
Mais il n’y a pas que les médias : toute une série d’autres types d’éditeurs de sites ou applications, comme les retailers et le secteur financier, qui monétisent la data de leurs clients, bénéficiera des exemptions de consentement, qui restent encore floues dans le digital omnibus, donnant marge à des interprétations.
A noter que ce texte favorise le recours aux PET (privacy enhanced technologies), comme les mécanismes de cryptographie, qui permettent de dépersonnaliser la donnée et qui libèrent les acteurs de la contrainte du consentement. C’est là encore une opportunité intéressante que ce projet de simplification de la législation apporte au marché.
Votre CMP équipe la majorité des sites médias français. Moins d’un tiers de votre chiffre d’affaires de plusieurs dizaines de millions d’euros vient de cette catégorie de clients. Où se trouvent vos leviers de croissance ?
Didomi est en forte croissance, à deux chiffres, et la société est rentable. Nous avons acquis cette année Sourcepoint, parmi le top 5 des CMP aux Etats-Unis, qui équipe également les plus gros publishers allemands et est bien présente sur le marché britannique. Au-delà des médias, nous sommes présents et reconnus dans la banque assurances, les télécoms, l’e-commerce et le retail. La France compte encore pour 40% de nos revenus, mais les Etats-Unis deviennent déjà notre deuxième principal, suivi de l’Espagne. Didomi est présente dans une dizaine de pays et a des clients dans 27 pays.