Ninon Vagner (IAB Europe) et Pierre Devoize (Alliance Digitale) "La monétisation des médias sera fortement impactée par les lignes directrices du CEPD"

L'industrie publicitaire européenne réagit à la manière dont le CEPD (la Cnil européenne) interprète l'article 5 de la directive ePrivacy. Si ces lignes directrices passent, la publicité contextuelle et la protection contre la fraude seront très fortement concernées.

JDN. L'IAB Europe, l'Alliance Digitale et six autres organisations représentatives de l'industrie publicitaire européenne viennent de remettre au Comité européen de la protection des données (CEPD) leurs commentaires aux lignes directrices visant à clarifier le champ d'application des dispositions sur le traçage de la directive ePrivacy. Que reprochez-vous à ces lignes directrices ?

Ninon Vagner, directrice privacy à l’IAB Europe et Pierre Devoize, DGA en charge des affaires publiques chez Alliance Digitale. © DR

Pierre Devoize. Nous faisons état de plusieurs inquiétudes. La directive ePrivacy date de 2002 et a été transposée de manière tout à fait différente au sein de chaque Etat-membre mais également aux autorités en charge de son application (autorités de protection de données, autorités des télécoms, etc.). Or au sein du CEPD se réunissent uniquement les autorités de protection des données dont la Cnil en France. De plus, le CEPD impose à travers ces lignes directrices une interprétation très vaste du champ d'application des dispositions exigeant le consentement de l'utilisateur. Le risque au final est que nous nous retrouvions avec des interprétations différentes et potentiellement divergentes au sein de l'Union européenne qui pourront créer des disparités économiques, un pays venant à être mieux loti qu'un autre eu égard à l'intransigeance des règles. Si par exemple demain en France nous avons besoin de consentement pour l'ensemble des traitements visés par ces lignes directrices et que ce n'est pas le cas en Finlande ou au Danemark, une disparité très nette va se créer. Or la mission du CEPD est bien d'harmoniser les règles.

Ninon Vagner. A noter également que ces lignes directrices contredisent les interprétations en vigueur en Allemagne et en France notamment.

Quel est le point qui pose problème dans cet article ?

N.V. L'article 5 paragraphe 3 de la directive ePrivacy (équivalent de l'article 82 de la Loi Informatique et Libertés en France, ndlr.), qui est le seul objet de ces guidelines, traite des situations et actions où un opérateur quel qu'il soit entre en contact avec le terminal d'un utilisateur. Ces nouvelles lignes directrices en donnent une interprétation très large alors qu'historiquement seuls les accès actifs au terminal de l'utilisateur, notamment par le biais de cookies et du local et shared storage, étaient soumis au consentement. Désormais, le CEPD considère que toute réception passive d'information issue du terminal entre également dans le périmètre technique de la directive ePrivacy. Concrètement cela signifie que toute information qui passe par le biais de requêtes http du navigateur vers le serveur, comme l'adresse IP, sera soumise à consentement. Cela aura des implications très larges pour nos membres, le consentement devant être demandé pour un nombre très élargi d'opérations qui n'impliquent pas le traçage ou le suivi des utilisateurs, comme la publicité contextuelle, le comptage des impressions (qui permet de facturer l'annonceur) ou la prévention contre la fraude.

"Un point structurant est l'impossibilité pour l'éditeur de compter les impressions exposées à la publicité et par conséquent l'impossibilité pour lui de facturer ses clients"

P.D. Cette interprétation crée d'importantes contraintes pour les entreprises du digital. Un exemple flagrant est la mesure d'audiences. En France, les acteurs de la mesure d'audience aujourd'hui sont exemptés du consentement, mais demain, si ces lignes sont maintenues en l'état, ils devront demander le consentement pour exercer leur métier. On traite par conséquent désormais de nombreuses opérations techniques et la publicité contextuelle, qui n'impliquent pas le suivi des utilisateurs, de la même manière que les actions qui entraînent véritablement le suivi de l'utilisateur et pour lesquelles le consentement était déjà requis, comme le dépôt d'un tracker par un éditeur sur le terminal de l'utilisateur. Pour l'ensemble des opérations le consentement sera requis.

Concrètement quelles seront d'après vous les conséquences de cette absence de distinction ?

P.D. Une partie importante des activités de monétisation des médias sera impactée par cette interprétation, notamment la publicité contextuelle qui n'a pas recours à la personnalisation. Un autre point structurant est l'impossibilité pour l'éditeur de compter les impressions exposées à la publicité et par conséquent l'impossibilité pour lui de facturer ses clients. La conséquence directe sera le développement de paywalls, ce qui est évidemment une mauvaise nouvelle pour les utilisateurs qui pouvaient jusque-là accéder librement à ces contenus. Par ailleurs, quel sera l'intérêt pour un acteur de développer un outil moins intrusif et qui n'utilise pas de données personnelles s'il est soumis lui aussi au consentement comme s'il se basait sur un traceur ?

N.V. Rappelons par ailleurs que la détection de la fraude se base fortement sur le traitement à la volée des adresses IP pour identifier des comportements suspects, venant de robots. Ce sera donc impossible de le faire face à l'exigence d'obtention de consentement.

Ces guidelines sont-elles contraignantes ?

N.V. Techniquement non, mais elles sont censées représenter une vision commune des autorités de protection de données européennes et de ce fait elles seront considérées comme étant plus à jour que l'interprétation donnée par les différentes autorités nationales.

P.D. Un exemple fort est celui de la Cnil. Jusque-là l'autorité française ne considérait pas la récupération de l'adresse IP comme constituant "une action tendant à accéder" au terminal de l'utilisateur. La Cnil faisant partie du groupe de travail de rédaction de ces lignes directrices, sa position va potentiellement évoluer générant ainsi des répercussions dans sa manière d'instruire les procédures de contrôle et de sanction. Notons par ailleurs qu'en ce moment même nous participons à une consultation publique mise en place par la Cnil pour réfléchir à des exemptions pour certaines finalités utilisant des pixels de tracking des emails sur la base de ces lignes directrices. Cela devient très confus en pratique.

Qu'attendez-vous ou que proposez-vous au CEPD et quelles sont les prochaines étapes ?

N.V. Nous espérons que la nature de ce document changera afin de mieux refléter la diversité d'interprétations des Etats-membres et des autorités en charge de ces sujets, certaines n'ayant pas de droit de vote au sein du CEPD. Nous souhaitons qu'une interprétation plus restreinte soit donnée à la notion de "action tendant à accéder au terminal de l'utilisateur" afin qu'elle revienne à l'esprit de la directive ePrivacy qui est de protéger la vie privée des utilisateurs. Enfin, nous pensons que le CEPD doit mentionner explicitement les opérations qui peuvent être exemptées de consentement au niveau européen, ce qui n'est pas fait aujourd'hui. En France par exemple, la Cnil n'accepte pas d'exemption pour la gestion des inventaires publicitaires comme le capping (régulation de la fréquence de l'exposition publicitaire, ndlr.) alors que cela est possible en Espagne et en Finlande. Il nous faut désormais attendre quelques mois avant que le CEPD ne nous livre une version finale de ce texte pour savoir s'il intègrera les retours qui lui ont été faits.