Publicité Ciblée, Surveillance Généralisée

Instruments et Conséquences de la Domination Américaine sur la Vie Privée des Européens

-

Une analyse de Dimitri Nouveau pour le Groupe des Belles Feuilles

Octobre 2015

Lien vers l'article en format PDF

Un historique ainsi qu'une présentation de l'auteur se trouvent à la fin de cette étude.

 

                Entre la loi du gouvernement Valls sur le renseignement, le « trilogue » au sein duquel le Parlement, la Commission et le Conseil débattent du projet deréglementation européenne, la domination et les pratiques contestées des géants de la SiliconValley, les remous que continuent de susciter les révélationsd’Edward Snowden sur les programmes de surveillance massive de la NSA, et l’invalidation par la justice européenne de la « sphère de sécurité »  transatlantique, dans le cadre d’un procès intenté par un juriste autrichien de 27 ans à Facebook, l’année 2015 apparaît d’ores et déjà comme une année décisive pour la protection des données et de la vie privée.Bien qu’il s’agisse d’enjeux cruciaux pour les internautes, le débat est toutefois régulièrement confisqué par les représentants politiques, d’une part, et les acteurs de l’industrie numérique, de l’autre. Les polémiques ayant accompagné le projet de loi sur le renseignement ont particulièrement illustré cette tendance : dans le camp politique, le Ministre de l’Intérieur Bernard Cazeneuve esquivait ainsi les critiques décrivant les dispositifs prévus comme une « surveillance de masse » en accusant l’industrie numérique de pratiquer des formes de renseignement similaires, mais à des fins commerciales[1]. Renvoyée sur le banc des accusés, cette dernière s’empressait de pointer, par l’intermédiaire de l’Association des Services Internet Communautaires[2],l’existence de garde-fous protégeant la vie privée des consommateurs, au contraire des pratiques de renseignement[3]. Dans cette passe d’armes, qui vit chaque camp se poser face à l’autre comme le défenseur de l’intérêt public face aux intérêts particuliers, les premiers intéressés manquaient pourtant à l’appel, comme en témoigne l’absence de réaction de la société civile[4]. Certains y verront la marquede l’hésitation de nombreux Français, partagés entre la crainte de nouveaux attentats terroristes, et la réticence à s’exposer à une surveillance de masse[5]. Une autre hypothèse peut toutefois être avancée : à l’heure où les frontières entre vie en ligne et hors-ligne tendent à s’effacer, les internautes ne se font plus aucune illusion sur la protection de leur vie privée. Dans cette perspective,ces derniers reconnaîtraient les avancées permises par l’industrie numérique,tout en pointant sa responsabilité dans l’affaiblissement de leur droit à la vie privée. Selon un sondage BVA pour Syntec Numérique, un syndicat professionnel de l’écosystème numérique français, 80% des Français ne croientpas à la confidentialité de leurs données personnelles sur Internet. Pourtant, 72% d’entre eux n’envisagentpas non plus d’adapter leur utilisation des services collectant leurs données[6]. Il s’agit là d’un message aussi fort que paradoxal : la protection du droità la vie privée, inscrite comme un droit fondamental à l’article huit de la Convention Européenne des Droits de l’Homme, est massivement considérée comme défaillante, par ceux-là même qui alimentent les entreprises les dépossédant de ce droit.

Faut-il y voir la conséquence de la puissance de feu de la SiliconValley, berceau de l’industrie numérique, et dont les figures de proue se seraient rendues capables d’imposer leur loi à une Europe affaiblie par sa « dépendance technologique » ?L’esprit collaboratif qui animait les pionniers de l’Internet, développé dans les universités de la côte Ouest à des fins non lucratives[7], suffit à récuser cette grille de lecture.La supériorité technologique de ces entreprises n’est en réalité que la partie émergée de l’iceberg : si les géants du numérique ont atteint une position dominante, au point de s’immiscer ouvertement dans les débats autour du projet de règlement européen,c’est avant tout parce qu’ils ont développé un modèle économique hautement profitable, reposant entièrement sur la publicité, et qu’ils bénéficient d’un cadre juridique laxiste, la « sphère de sécurité » transatlantique (« Safe Harbor »)[8]. Or, c’est bien cette grille de lecture technologique qui suscite le pessimisme des internautes : ilsreconnaissentla supériorité de ces services, puisqu’ils les utilisent massivement, maisse retrouvent dans une position de faiblesse, puisqu’une majorité d’entre euxignore comment sont traitées leurs données personnelles[9].La partie immergée de l’iceberg, à savoir le modèle économique expliquant la structure oligopolistique de l’industrie numérique, reste, elle, peu visible. Un sondage OpinionWay, réalisé pour le Figaro en juin 2013[10], révèle que si 87% des Français identifient la publicité comme la contrepartie des services qu’ils utilisent, ils ne sont que 58% à assimiler cette utilisation à celle de leurs données, alors qu’elles constituent précisément le cœur de la publicité en ligne. Ce pessimisme fonctionne ainsi comme une prophétie auto-réalisatrice : en considérant leurs droitsmis à mal par la puissance technologique des acteurs de l’industrie numérique, les internautes renforcent ces derniers dans la conviction qu’ils peuvent opérer sans être remis en question par leurs utilisateurs. Renverser cette perspective, etassimiler les internautes, non plus à des consommateurs soumis au bon vouloir des prestataires de services qu’ils consomment, mais au produit d’une industrie qui ne pourrait exister sans les données qu’ils génèrent, permet de confisquer le pouvoir que s’est arrogé injustement l’industrie numérique, afin de le rendre à ceux dont la vie privée est mise à prix.

C’est donc à travers le prisme économique, celui de la publicité en ligne, et de la protection juridique dont jouissent les entreprises américaines qui la pratiquent, qu’il faut tenter d’appréhender le pessimisme des internautes. Seule une déconstruction méticuleuse de cet écosystème, et des liens tissés entre ses différents acteurs, permet de comprendre l’état désolant de la protection de la vie privée en Europe, et de suggérer des pistes de réformes. Précisément, cette note défend l’idée qu’au sein de cet écosystème, les tierces parties gravitant autour de son noyau dur, plus que les géants du numérique, cristallisent les asymétries d’information qui invalident le consentement des internautes, et expliquent leur défiance à l’égard du cadre juridique européen. Elle justifie, dans un premier temps, le choix de cet objet d’étude, à travers l’introduction du concept d’asymétrie d’information, puis se propose d’analyser en profondeur le modèle économique de la publicité ciblée, et de ces tierces parties, afin d’en tirer des enseignements sur le contraste entre les ambitions européennes en matière de protection de la vie privée, et les risques encourus par les internautes. A l’aune de ces réflexions, elle se risque, enfin, à suggérer des pistes de réforme, afin de réconcilier les intérêts des internautes avec ceux de l’industrie numérique, et appelle à une prise de conscience du trilogue européen, afin que l’on ne se souvienne pas de l’année 2015 comme celle des rendez-vous manqués.

Les asymétries d’information, fossoyeurs du consentement des internautes.

Avec l’émergence, dans les années 2000,de nouvelles technologies d’information et de la communication, les projecteurs se sont naturellement braqués sur les entreprises ayant établi, en l’espace de quelques années, une domination sans partage de l’industrie numérique. Souvent désignées sous l’acronyme de «GAFA»[11], ces géants technologiques font l’objet de critiques qui ne sont pas sans rappeler les griefs formulés à l’encontre des grandes banques d’investissement après la crise financière de 2008. Là où Wall Street s’était vu accuser de structurer d’obscurs produits dérivés à partir de créances hypothécaires, on reproche à la SiliconValley de traiter les données des internautes à des fins qui leur échappent entièrement. Là où les critiques du système financier américain mettaient en exergue le peu de cas qui était fait des intérêts de ménages endettés, les détracteurs de l’industrie numérique dénoncent une absence de considération pour le respect de la vie privée des citoyens. Enfin, là où la collusion entre politiques et financiers fut pointée du doigt dans la dérégulation ayant permisl’émergence de conglomérats mêlant banque de détail et d’investissement, la position de quasi-monopole dont les firmes technologiques jouissent aujourd’hui est perçue comme la marque d’un laissez-faire à géométrie variable,où les conditions de collecte et de traitement de données restent à la discrétion des responsables de traitement,mais où ces données servent les intérêts des services de renseignement américains[12].

Dans l’Union Européenne, où la directive 95/46/CE[13] impose des normes strictes en matière de protection des données et de respect de la vie privée, les litiges les plus médiatisés concernent donc naturellementles entreprises dont les services sont aujourd’hui utilisés par une immense majorité des citoyens. En mai 2014, par exemple, un arrêt de la Cour de Justice de l’Union Européenne(CJUE)consacrait le « droit à l’oubli », ou « droit au déréférencement », en imposant à Google de supprimer les liens vers des sites contenant des informations préjudiciables aux internautes, à la demande de ces derniers.Ici, l’interface directe entre le service de moteur de recherche de Google et ses utilisateurs permet d’expliquer que la CJUE se soit saisie du cas : il s’agit d’un champ d’application évident des principes introduits par la directive de 95, dans la mesure où cette dernière accorde aux citoyens européens un droit d’opposition aux informations les concernant[14]. Toutefois, à l’image des algorithmes utilisés pour classer les résultats d’une recherche, ce champ d’application est évident parce que visible : reléguée en page 2 des résultats, une information préjudiciablesera beaucoup moins susceptibled’être identifiée comme telle, bien que son contenu soit exactement le même. En d’autres termes, sans interface directe entre les internautes et les services pouvant porter atteinte à leur vie privée, l’application du droit devient très incertaine, puisque les effets de pratiques non-conformes ne se font plus immédiatement sentir par les individus concernés.

Or, les services avec lesquels les internautes interagissent quotidiennement, tels que le moteur de recherche de Google, ou le réseau social Facebook, ne génèrent aucun revenus, du moins pas directement : si leur gratuité explique en grande partie leur popularité, elle masque le véritable marché qui finance l’industrie numérique, à savoir la publicité. Dans ce marché, l’objet des transactions n’est pas le service proposé aux utilisateurs, mais les espaces publicitaires intégrés à ce service, et dont le prix se fixe à travers la rencontre entre les éditeurs, qui offrent ces espaces à la vente, et les annonceurs, qui cherchent à diffuser leurs messages aux internautes.En 2014, 92% des revenus de Facebook, et 90% des revenus de Google, provenaient ainsi de la publicité[15]. Malgré la croissance astronomique des revenus publicitaires, on aurait tort de croire que les efforts de création de valeur soient concentrés auprès des annonceurs : pour continuer à générer ces revenus, Google, comme Facebook, doivent être capables de démontrer que la supériorité de leurs services attire une population suffisamment large et diverse pour garantir le succès d’une campagne publicitaire. Ils doivent ainsi innover constamment pour se maintenir à la tête de leur industrie[16]. Il existe donc un décalage entre la création de valeur, c’est-à-dire la prestation de services aux internautes, et la production de revenus, c’est-à-dire la vente d’espaces publicitaires. Ce décalageillustre le problème d’application du droit précédemment identifié : dans la mesure où les internautes sont utilisateurs, mais pas clients, ils sont moins susceptibles de faire valoir leurs droits, puisque la collection et le traitement de leurs données sert à faciliter des transactions auxquelles ils ne sont pas directement associés. En Europe, le droit au déréférencement fait l’objet d’un immense engouement de la part des citoyens, avec près d’un million de requêtes émises dans l’année suivant l’arrêt de la CJUE[17], précisément parce qu’il s’agit d’un enjeu touchant directement les internautes : l’existence de liens vers des contenus préjudiciables à leur réputation constitue une forte incitation à faire valoir leurs droits. En revanche, les normes relatives aux transferts de données à des fins publicitaires sont largement ignorées par les consommateurs : aux Etats-Unis, où la vente de données  à des tierces parties est autorisée, une majorité d’entre eux croit savoir, à tort, que de telles transactions ne peuvent s’effectuer sans leur consentement[18]. Il s’agit là du « premier niveau » d’asymétrie d’information, que mettait déjà en lumière le sondage OpinionWay pour le Figaro mentionné précédemment : les internautes ont certes compris qu’il existait, malgré la gratuité, une contrepartie au service proposé, mais une grande partie ignore qu’il s’agit du traitement de leurs données.Dans la mesure où la prestation du service est « décorrélée » du traitement ultérieur des données, les internautes sont moins enclins à s’informer sur l’utilisation de leurs données personnelles, et donc à faire valoir leurs droits.

Même si les internautes ignorent généralement la manière dont sont utilisées leurs données, l’existence de pratiques de traitement à des fins publicitaires est, elle, connue. Les chartes de confidentialité soumises à la signature des utilisateurs sont rédigées pour permettre la plus large utilisation des données collectées, y compris des transferts vers des tierces parties[19] : l’introduction d’asymétries d’information dans la relation entre utilisateurs et prestataires de services est ainsi actée, puisque le signataire consent de facto à abandonner son droit de regard sur le traitement de ses données.Le contrôle exercé par les Agences de Protection des Données (APD) européennes joue également un rôle d’information :Google n’a certes été condamné par la CNIL qu’à payer une amende de 150 000 euros pour avoir imposé à ses utilisateurs une charte de confidentialité non-conforme à la directive de 95[20], mais la mise en demeure de l’APD française a eu au moins le mérite de confirmer que la formulation trop vague d’une charte de confidentialité revenait à introduire une asymétrie d’information entre les deux parties.Or, autour des entreprises qui constituent le cœur de la publicité en ligne, gravitent des acteurs moins connus, car n’interagissant jamais directement avec les internautes : ces entreprises, dont les noms ne seront familiers qu’aux professionnels de l’industrie,ne participent pas à l’achat et à la vente d’espaces publicitaires, mais proposent des « solutions » destinées aux annonceurs ou aux éditeurs, par exemple des services d’optimisation de campagnes marketing. A la pointe de la technologie en matière de collecte et d’analyse de données, ces tierces parties cristallisent une partie des critiques régulièrement formulées à l’encontre des GAFA, à une différence près : les clients auxquels elles rendent compte ne sont pas les détenteurs des données qu’elles collectent. Il existe donc un décalage encore plus large entre la prestation du service et le traitement ultérieur des données collectées, puisque ces données ne sont parfois même plus traitées par l’entreprise les ayant initialement collectées. Le responsable de traitement ultérieur sait toujours d’où les données proviennent, mais l’individu qui en a confié la responsabilité à un prestataire de service ignore l’existence du transfert. Il s’agit du « deuxième niveau » d’asymétrie d’information, qui s’inscrit en réalité dans la continuité du premier : l’internaute ignore non seulement la finalité du traitement, ce à quoi il consent à travers la signature d’une charte de confidentialité, mais également la destination de ses données,dans le cas de transferts prévus par la charte en question.Dans ces conditions, les internautes sont exposés à de sérieux risques : plus le lien entre le détenteur d’une donnée et son responsable de traitement se distend, et plus ce dernier sera susceptible de profiter de cette asymétrie d’information pour utiliser les données collectées à des fins illégitimes.

Si ces pratiques font apparaître la nécessité de réformer le cadre juridique européen, elles renforcent surtout l’urgence qu’il y a à replacer la voix des consommateurs au centre du débat. Leur consentement, qui constitue la pierre angulaire de la directive de 95, est floué non seulement par les géants de la SiliconValley, mais également – et c’est sans doute plus grave – par des entreprises dont ils ignorent l’existence. Leur pessimisme est, à cet égard, légitime : comment se convaincre d’être efficacement protégé lorsque des entreprises recevant la responsabilité de données personnelles opèrent dans une zone de flou juridique annihilant le consentement des utilisateurs ?Il est donc crucial d’opérer une piqûre de rappel : les risques d’exploitation débridée de leurs donnéessont réels, et particulièrement exacerbés par les pratiques d’entreprise exploitant des données personnelles sans jamais rendre de compte aux personnes concernés. Avant de s’intéresser à ces tierces parties, il est nécessaire de présenter les évolutions technologiques à partir desquelles elles ont construit leur modèle économique.

La « mise en données » des internautes, terreau fertile à la publicité comportementale

Si la directive européenne de 95 définit la protection de la vie privée dans le cadre d’une relation entre un détenteur et un responsable de traitement de données[21], cette dichotomie apparaît aujourd’hui comme une grille de lecture obsolète, au regard des évolutions technologiques de ces dernières années. En effet, le changement de natureet de vitesse de production des données esquisse une toute autre relation, qu’il sera davantage pertinent de qualifier d’écosystème.

D’une part, le changement de nature des données générées par les activités en ligne se traduit par une dilution du concept de « donnée personnelle ». En effet, une donnée ne représente plus seulement une information inhérente à un individu (son nom, âge, adresse), mais peut également refléter un comportement, ou une préférence (un « j’aime » sur Facebook, un historique de navigation, etc.). On parle ainsi de « mise en données »[22] pour caractériser l’élargissement progressif du champ des informations pouvant être capturé par des données. Le développement du GPS (Global Positioning System) dans les années soixante-dix est un exemple probant : son développement a rendu possible la représentation d’un type d’information qui relevait auparavant d’une activité privée, à savoir les déplacements d’un individu. Plus ce champ s’élargit, et plus le lien de paternité entre une donnée et son détenteur s’affaiblit, c’est-à-dire qu’un seul point de donnée ne revient plus qu’à constituer une infime fraction del’identité de l’individu en question. Par exemple, un numéro de sécurité sociale correspondrait pleinement à la définition d’une donnée « personnelle », au sens de la directive de 95[23], puisqu’elle permet l’identification de son détenteur, mais la localisation dans l’espace et dans le temps d’un individu, à un instant précis, n’offrirait que peu de renseignement sur son identité. Pour cette raison, on parle aujourd’hui de métadonnées pour décrire les données qui contiennent des informations sur d’autres données : à l’inverse d’une donnée traditionnelle, qui capture un fragment de l’identité d’un individu, une métadonnée ne capture qu’un fragment de l’identité d’une donnée à laquelle elle se rapporte. Elle est donc limitée dans le format qu’elle peut prendre. La géolocalisation d’un individu au moment de l’envoi d’un message électronique (email, SMS) constituerait par exemple une métadonnée, puisqu’elle identifie en partie le message auquel elle se rapporte, et ne peut prendre que le format de coordonnées GPS. En revanche, le contenu du message lui-même n’en serait pas une, puisqu’il capture un fragment de l’identité de son destinateur, et peut apparaître sous différents formats (longueur, langue, police d’écriture, etc).S’il est toujours adéquat de parler de « détenteur » dans le cas d’une donnée « primaire » comme le contenu d’un message, il est donc parfois plus pertinentd’utiliser le terme « d’émetteur » dans le cas de métadonnées, car ces dernières sont générées automatiquement, c’est-à-dire sans le concours de l’individu auquel elles se rapportent.Ce changement de nature affecte profondément l’acception de « données personnelles », qui, de prime abord, ne pourraient être associées à des métadonnées : l’innovation technologique se traduit par un élargissement du « champ des possibles » en matière de capture d’information, mais également par un rétrécissement du « champ de pertinence » des données collectées, dès lors que le lien se distend avec leur émetteur.

Toutefois, un deuxième changement technologique majeur, à savoir l’augmentationexponentielle du volume de données générées[24],exerce une force contraire au premier :prise individuellement, une métadonnée ne révèle certes que peu d’information, mais, agrégée avec un grand nombre de données similaires, elle pourra contribuer à « ré-identifier » un individu. Là où la multiplication des types de données capturant des informations relevant jusque-là de la vie privéeréduisait leur « champ de pertinence », le changement d’échelle dans leur collecte, ainsi que leur traitement, l’élargit de nouveau.En effet, s’il est impossible d’identifier un individu sur la base de sa géolocalisation à un instant précis, la connaissance de l’ensemble de ses déplacements, sur une longue durée, rend la tâche beaucoup plus simple. Une étude publiée par des chercheurs du MIT, réalisée à partir des données téléphoniques d’un million et demi d’individus, concluait ainsi qu’il était possible d’identifier 95% des participants à partir de seulement quatre points de données[25].De nombreux outils, utilisés quotidiennement, pratiquent ces recoupements : le système d’exploitation mobile d’Apple, iOS, qui traite un grand nombre de données de géolocalisation, est par exemple capable de différencier le lieu de travail du domicile d’un utilisateur, en croisant simplement la fréquence de visite d’un lieu avec d’autres données, telles que les horaires typiques d’une journée de travail[26]. Cette évolution justifie la définition de « donnée personnelle » donnée par la directive de 95 (cf. note 19) : une donnée est personnelle si elle concerne une personne non seulement identifiée, mais également identifiable. Cette distinction est évidemment cruciale pour comprendre l’utilisation massive des métadonnées à des fins commerciales : contrairement au contenu d’un message, qui est intrinsèquement polymorphe, une métadonnée se caractérise par un format standardisé. Qu’il s’agisse de coordonnées GPS ou d’adressesIP, la même structure estpartagée par tous les points de données collectés : naturellement, il est beaucoup plus simple de comparer des métadonnées, que les données auxquelles elles se réfèrent. Comme l’explique l’informaticien Daniel Weitzner, « on peut faire valoir que les métadonnées sont plus révélatrices [que le contenu] parce qu’il est en réalité beaucoup plus facile d’établir des corrélations avec des événements du monde réel en analysant les constantes dans un vaste univers de métadonnées qu’en effectuant une analyse sémantique de tous les courriels et de tous les appels téléphoniques d’un individu. »[27] La croissance exponentielle du volume de données explique ainsi la transition d’un modèle de « causalité » vers un modèle de « corrélation » en matière de données personnelles : un individu n’est plus seulement identifiable sur la base de critères explicites, telle que son numéro de sécurité sociale (causalité), mais à travers l'agrégation et le recoupement d’un grand nombre de données permettant sa « ré-identification » (corrélation).

Ensemble, les changements de nature et de vitesse de production des données impliquent de repenser la relation entre détenteurs et responsables de traitement de données : les données ne sont plus des éléments d’information nécessaires à la réalisation d’une transaction, comme elles l’étaient avant l’apparition d’Internet, mais des marqueurs d’identité, à fort potentiel commercial. L’utilisation de métadonnées, hautement prédictives, et davantage adaptées à la pratique du recoupement, a introduit un potentiel commercial jusqu’alors inexistant :l’analyse massive de données (Big Data) permet aujourd’hui de segmenter la population en groupes de consommateurs, et de réaliser des profils d’internautes uniques,rendant ainsi possible l’avènement de la publicité dite « comportementale ». Il s’agit donc maintenant de se pencher sur ces pratiques.

« Come to the dark side, we have third-party cookies »

Pour comprendre les risques auxquels les consommateurs sont aujourd’hui exposés, il est utile de commencer par la description d’un outil ayant largement contribué à l’accélération des flux de données entre responsables de traitement, à savoir les cookies. Initialement conçu dans le but d’améliorer l’expérience utilisateur, un cookie, ou témoin de connexion, est un morceau de code informatique envoyé par un serveur web au navigateur d’un internaute lorsque ce dernier accède à une page Internet, et qui est renvoyé au serveur à chaque fois que l’internaute visite une autre page. Les cookies enregistrent des données telles que le nom d’identifiant de connexion de l’utilisateur, les articles placés dans un panier d’achat, dans le cas de site de commerce en ligne, ou bien des préférences de navigation (langue, format, etc.). Ils permettent ainsi aux internautes de surfer plus rapidement sur un site, et rendent leur expérience plus agréable.

Leur utilisation devient plus problématique lorsqu’ils sont envoyés non pas par l’hébergeur du site, mais par des tierces parties, le plus souvent des serveurs de publicité, c’est-à-dire des serveurs qui hébergent des contenus publicitaires et les diffusent automatiquement sur les sites de fournisseurs de contenu, c’est-à-dire d’éditeurs[28]. Le fonctionnement est le même, sauf que les cookies sont placés dans des objets ou images qui résident dans un serveur différent de celui hébergeant la page : on parle donc de « cookies tierce partie », ou « cookies traceurs ». En d’autres termes, lorsqu’un utilisateur visite une page, par exemple sur un site d’information, il télécharge tous les objets contenus dans cette page, y compris les espaces publicitaires où sont placés des cookies, qui envoient les données de connexion non pas à l’éditeur, mais à la tierce partie. Cette dernière ne fait pas directement face aux internautes, qui n’interagissent qu’avec les éditeurs et les annonceurs, mais sont en dialogue constant avec un grand nombre de pages, avec lesquelles elles partagent l’espace visuel. C’est ce dialogue qui leur permet, in fine, de pratiquer le traçage en ligne des internautes[29] : lorsqu’ils sont placés sur un grand nombre de sites, les cookies tierce partie permettent en effet d’agréger des données de connexion afin de reconstituer des historiques de connexion, voire d’établir des profils d’utilisateurs. L’utilisation de cookies tierce partie s’inscrit donc directement dans la tendance évoquée précédemment : il s’agit de métadonnées, donc dotées d’une structure standardisée, permettant de recouper des informations sur un grand nombre d’individus.

Pour se convaincre de l’utilisation de cookies tierce partie dans ces procédés de profilage, et de leurs conséquences sur la protection des internautes, il est utile de se pencher sur les différents rapports publiés sur le sujet par le G29[30], la CNIL ou encore l’APD néerlandaise[31]. Le plus récent, qui date de février 2015, est un rapport sur une opération de « cookie sweep »[32], c’est-à-dire l’inspection d’un grand nombre de cookies par une procédure automatisée (en utilisant du code informatique) ou manuelle (en émettant des requêtes auprès de sites Internet ciblés). L’une des conclusions les plus édifiantes est la confirmation de la présence massive de cookies tierce-partie sur les sites inspectés : plus de 70%, contre 30% de cookies placés par l’hébergeur du site (cookies primaires). Ce pourcentage monte à 75% en France (deuxième, derrière le Danemark), et à 78% pour les sites d’information, qui doivent monétiser leurs contenus pour rester compétitifs. En France, la durée de vie de ces cookies tierce-partie est d’ailleurs très élevée : parmi les cinq sites dont les cookies ont la durée de vie moyenne la plus longue, quatre sont Français. Les deux premiers sites – Français – contiennent des cookies dont la durée de vie est techniquement infinie (2738 et 7895 ans). Dans la mesure où ces cookies tierce partie sont majoritairement placés à des fins publicitaires, il apparaît évident que leur fonction initiale, à savoir de faciliter la connexion à un site en conservant certaines données sur le navigateur, est aujourd’hui reléguée au second plan. Une simple recherche sur le site cookiepedia, avec pour objet le site d’information leMonde.fr, répertorie ainsi 633 cookies, dont 577 tierce-parties, et 566 permanents (ces deux catégories n’étant pas mutuellement exclusives, mais, au contraire, fortement corrélées). Au moins 311 d’entre eux, soit 93% des cookies catégorisés, sont placés à des fins de publicité ciblée (targeting/advertising). Si des cookies de performance ou de fonctionnalité sont bien présents afin d’assurer la qualité de l’expérience utilisateur (par exemple le cookie « typekit », qui correspond à une bibliothèque de polices d’écriture), la plupart des cookies assurent donc en réalité une fonction de publicité ciblée.

Parmi les différentes pratiques de publicité ciblée, il convient de distinguer publicité contextuelle, qui est simplement déterminée en fonction du contenu de la page, et publicité comportementale, qui s’appuie sur le traçage des internautes pour réaliser des profils détaillés de consommateurs. Un fournisseur de contenu cherchant à placer des messages publicitaires contextuels sur son site fera appel à une régie publicitaire telle que Google AdSense : ce logiciel de régie publicitaire choisit des messages à diffuser en fonction du contenu proposé par l’éditeur, mais collecte peu de cookies tierce partie, puisque le message est relié au serveur de l’annonceur. On ne voit donc aucun cookie déposé par AdSense sur le site leMonde.fr, mais une multitude de cookies déposés par des annonceurs, tels que Boursorama ou Club Med. En revanche, ces cookies sont indispensables pour des serveurs de publicité tels queDoubleClick[33], qui doivent pouvoir tracer un internaute sur un grand nombre de sites afin d’être capable de lui proposer des contenus adaptés à son « profil » de consommateur.[34] Lorsque le site leMonde.fr vend ses espaces publicitaires à travers un serveur tel que DoubleClick plutôt qu’une régie publicitaire, les cookies sont donc déposés par le serveur, et non l’annonceur. Cette publicité comportementale présente des avantages incontestables, puisqu’elle permet aux internautes de visualiser des annonces pertinentes, mais soulève de nombreuses questions en matière de protection des données : puisque le responsable de traitement est capable de collecter des données sur les internautes, sans jamais leur faire face, comment garantir leur conformité avec le cadre juridique communautaire ?

La convergence entredonnées personnelles et commerciales,cauchemardes APD européennes

Malgré l’adoption de la directive « Vie privée et communications électroniques » de 2002, et sa modification en 2009 (désignées en anglais sous le terme de directives « ePrivacy »)[35], le conditionnement de l’utilisation de cookies au consentement des utilisateurs demeure très diversement appliqué dans l’Union Européenne, surtout lorsque les cookies sont placés par des tierces parties. Or, ce sont précisément les lacunes du cadre juridique européen en matière de cookies qui ouvrent la porte à une convergence entre les données personnelles collectées par les annonceurs sur leurs clients, d’une part, et les données commercialescollectées par les fournisseurs de publicitéà l’aide de cookies, de l’autre. Cette convergence suscite, à juste titre, l’inquiétude des Agences de Protection de Données : elle crée les conditions d’une « ré-identification » d’internautes jusque-là identifiés sous forme de pseudonymes (par exemple leur adresse IP), et donc à une « monétisation » de leurs profils.

Les différentes enquêtes menées par les APD européennes et le G29 confirment la généralisation de pratiques non-conformes en matière de cookies : parmi les sites inspectés par le G29 lors de l’opération de cookie sweep, 43% ne transmettent pas suffisamment d’information sur l’utilisation de cookies pour être en conformité avec la réglementation européenne[36], et seulement 16% des sites donnent de véritables moyens de contrôle aux utilisateurs[37]. La CNIL, elle, a annoncé le 30 juin 2015 la mise en demeure d’une vingtaine d’éditeurs de sites Internet, qu’elle accuse de n’avoir pas suffisamment informé les internautes sur l’utilisation de cookies, ni recherché leur consentement préalable (les deux dispositions principales des directives ePrivacy)[38]. Elle a d’ailleurs précisé poursuivre son enquête sur d’autres acteurs de la publicité ciblée, dont des régies publicitaire. De ce point de vue-là, son homologue néerlandais, le CBP[39], est en avance, puisqu’il a enquêté en 2014 sur les pratiques de plusieurs fournisseurs de réseaux publicitaires, et mis en demeure deux d’entre eux, Yieldr et NPO (Dutch Public Broadcasters)[40]. Le premier est accusé d’avoir collecté des données d’utilisateurs à des fins de profilage sans obtenir leur consentement préalable. La possibilité de refuser le traçage (opt out) était certes offerte aux internautes, mais dans la mesure où ces derniers n’ont aucune interaction directe avec Yieldr, cette option fut considérée comme insuffisante. Le second fait l’objet d’accusations similaires, mais il lui est en outre reproché d’avoir fourni des informations incomplètes, voire incorrectes, sur le type de cookies placés, ainsi que sur la finalité de leur utilisation. Même si ces enquêtes sont récentes, ces enjeux ont en réalité été identifiés très tôt par les APD européennes : dès 2009, la CNIL s’inquiétait de la mise en conformité imparfaite des acteurs de la publicité ciblée à travers la généralisation de politiques d’opt-out[41]. En effet, ces mécanismes ne garantissent pas le consentement préalable qu’impose l’article 5(3) de la directive de 2002[42] pour trois raisons : le manque d’information (« L’internaute est rarement informé ou même conscient de cette possibilité car les régies publicitaires sont « invisibles » à ses yeux. »),  l’inopérance de ces mécanismes (« L’utilisation d’un cookie signifie que l’internaute est obligé de recommencer systématiquement un « opt-out » à chaque fois qu’il efface l’ensemble de ses cookies »), et enfin, la poursuite de la collection de données (« L’opt-out ne porte pas sur la collecte des données, mais uniquement sur la distribution de publicité ciblée. Les données des internautes continuent d’être collectées par ces réseaux de publicité ciblée. »). Malgré ces recommandations, dont le G29 s’est fait l’écho dans une opinion publiée en 2010 sur la publicité comportementale[43], la seule protection dont disposent les internautes est d’ordre technique, à travers les fonctionnalités de certains navigateurs et logiciels permettant de refuser le traçage[44]. Dans un aveu d’impuissance, la CNIL concluait ainsi en 2009 que « Seul un « opt-in » portant à la fois sur la collecte de données et l’affichage de publicités comportementales pourrait réellement donner un contrôle aux utilisateurs. Il est cependant peu probable que les industriels du domaine suivent cette approche qui réduirait considérablement le nombre d’internautes pouvant être tracés et pouvant recevoir de la publicité ciblée. » Tant que l’on se situe dans le domaine de la publicité ciblée, les conséquences de pratiques non-conformes sont à la fois bénignes et visibles. Elles se font immédiatement sentir par les internautes, sous la forme de messages publicitaires non-sollicités, qui suscitent des interrogations sur les moyens utilisés pour parvenir à un tel degré de précision dans le choix du message. Ce ne sont pourtant pas les infractions aux directives ePrivacy qui posent problème ici : lorsqu’un fournisseur de réseaux publicitaires croise des données collectées à partir de cookies tierce partie avec des données personnelles, il devient capable de réaliser des profils non plus seulement de consommateurs, mais d’individus. Par exemple, en associant une adresse IP, qui est une donnée unique, et donc personnelle, à un profil descriptif, qui se définit par des critères connus, tels que les données de connexion (historique de navigation, géolocalisation), ou déduits (âge, sexe), on obtient un profil propre à un individu, même s’il n’est identifié que par son adresse IP. Comme le rappelle le G29 dans son opinion de 2010, dès lors que des données personnelles sont collectées, ces entreprises sont considérées non plus comme des sous-traitants, mais bien comme des responsables de traitement, et c’est la directive de 95 qui doit s’appliquer[45].

Ce dialogue entre les différentes directives européennes est, au fond, symptomatique des évolutions de l’industrie de la publicité ciblée : la concentration horizontale entre fournisseurs de contenus et de réseaux publicitaires parmi les géants de la SiliconValley, d’une part, et le degré de sophistication atteint par des acteurs gravitant à la périphérie de cet écosystème, de l’autre, abolit les frontières entre données personnelles et commerciales. Pour revenir à l’exemple des cookies identifiés sur leMonde.fr, les différents acteurs hébergeant ces cookies illustrent cette double tendance. D’un côté, le site TripAdvisor, qui propose aux internautes un service de réservation de voyage, achète des espaces publicitaires pour augmenter le trafic sur son site, soit directement, soit à travers des régies publicitaires telles qu’AdSense. De l’autre, Eulerian Technologies, un éditeur de solutions logicielles à destination d’annonceurs, pratique l’analyse de données dans le but d’optimiser des campagnes publicitaires, mais ne gère opérationnellement aucun canal marketing[46]. En d’autres termes, Tripadvisor se comporte comme un annonceur, tandis qu’Eulerian joue un rôle de tierce partie, puisqu’il n’est pas directement impliqué dans le commerce d’espaces publicitaires. Tous deux se rémunèrent grâce à la publicité ciblée, mais leurs pratiques sont différentes : quand l’un cherche à maximiser les réservations sur son propre site, l’autre cherche à produire des outils optimisant la réussite d’une campagne marketing, quelle que soit l’industrie de l’annonceur. Cette distinction est cruciale, car la position de tierce partie d’Eulerian constitue une incitation significative pour développer des modes de collection de données extrêmement fins, quel que soit le support informatique (ordinateur, mobile, tablette) et le type d’exposition (en ligne et hors-ligne). Puisqu’Eulerian ne maîtrise pas le contenu du message publicitaire, et donc la segmentation désirée, il lui serait difficile de s’appuyer sur des profils prédictifs préexistants pour diffuser ce message, à moins de posséder une quantité immense de données. En effet, une segmentation sur la base du sexe serait vraisemblablement efficace pour promouvoir une marque de lingerie féminine ou une chaîne de vêtements pour femmes enceintes, mais beaucoup moins dans le cas d’un site de rencontres, où la présence d’utilisateurs de chaque sexe est nécessaire[47]. Et si une segmentation sur la base de la géolocalisation serait efficace pour promouvoir ce même site de rencontres, du fait du plus grand nombre de célibataires dans les grandes villes, elle le serait beaucoup moins dans le cas d’un site de réservation de billets de train, où ce sont les préférences en matière de destination qui permettent de cibler les contenus. L’entreprise prône ainsi une approche dite « people-based », qui se fonde précisément sur la convergence entre données personnelles, concernant les clients existants et répertoriés dans un logiciel CRM[48], et données comportementales, obtenues à travers le suivi du parcours des internautes.

Cette approche est détaillée dans une étude de cas publiée sur le site d’Eulerian, concernant le site de vente en ligne de vêtements masculins Menlook[49]. D’un côté, les solutions Eulerian Technologies sont décrites comme permettant la reconstitution du « parcours d’achat global des utilisateurs », ce qui implique la pose de cookies sur un grand nombre de sites affiliés, le tracking de session[50], et la collecte de « 100% des données ». Il est d’ailleurs intéressant de noter qu’un des engagements de l’entreprise est de « ne pas utiliser de cookies tierce partie, intrusifs et non-identifiables par l’internaute »[51], alors que l’utilisation d’un logiciel de détection de cookies sur la page d’accueil du site Menlook révèle la présence d’un cookie tierce partie hébergé par Eulerian[52].De l’autre, Menlook dispose d’une grande quantité de données personnelles concernant ses clients, puisque celles-ci doivent être renseignées dans le cadre d’un achat en ligne, et sont ensuite conservées dans un logiciel CRM. A travers le croisement de ces données, Eulerianest donc en mesure de ségréger des données de connexion, telles que la provenance des internautes au moment de se rendre sur le site, sur la base de critères tels que le genre, ou le type de client (ancien/nouveau). C’est précisément dans cette convergence que réside la valeur ajoutée d’une entreprise comme Eulerian : dans un contexte où les internautes disposent de plus en plus d’outils pour naviguer sur le web (téléphone, tablette, ordinateur), la réconciliation des données personnelles, hébergées par un annonceur, avec les données collectées par un prestataire de solutions d’analyse, est l’un des seuls moyens de suivre les internautes sur de multiples supports, à travers la création de profils d’utilisateur uniques. Comme l’explique Eulerian dans une autre étude de cas[53], réalisée dans le cadre d’une mission pour Skiset, une entreprise de location de skis, « Un internaute qui entre sur le site avec son smartphone en flashant le QR-code [imprimé sur un support publicitaire physique comme un panneau d’affichage], puis analyse l’offre sur son ordinateur et finalise sa commande sur la route des pistes [de ski] via une tablette est reconnu comme un unique internaute. » Cette tendance soulève de sérieuses questions juridiques : quelles données sont transférées entre un annonceur et un prestataire de solutions d’analyse ? Comment les directives européennes s’appliquent-elles à des éditeurs de solutions logicielles ? Si Eulerian collecte des données pour le compte d’annonceurs à travers des cookies, et se voit transmettre des données personnelles lui permettant de suivre des internautes sur de multiples supports, l’entreprise se considère comme un sous-traitant, et non comme un responsable de traitement, dans la mesure où les données collectées « demeurent la propriété exclusive de [ses] clients »[54]. A cet effet, elle n’est donc pas soumise aux mêmes obligations qu’un responsable de traitement, notamment celle de garantir les droits d’accès et d’opposition des internautes. Toutefois, l’absence d’information quant à la pose de cookies tierce partie, ou d’utilisation de solutions logicielles, sur le site Menlook[55] ne satisfont ni les exigences des directives de e-Privacy (transparence sur l’utilisation et la finalité de ces cookies), ni celles de la directive de 95 (nécessité d’obtenir le consentement du détenteur des données avant de les transmettre). Cette insuffisance béante a de quoi surprendre, lorsque l’on peut lire sur le site d’Eulerian que l’entreprise appelle ses clients à faire preuve d’une « d’une totale transparence sur le mode de collecte utilisé »[56]. L’entreprise n’en est toutefois pas à sa première contradiction, puisqu’elle affirme considérer la fonctionnalité « Do Not Track » (DNT)[57]comme le moyen de renforcer cette transparence, alors qu’elle est membre d’une association, l’Interactive Advertising Bureau[58], interprétant le DNT non pas comme une limite à la collecte de données, mais seulement à la diffusion de messages publicitaires ciblés. Avec la Digital Advertising Alliance, elle rassemble près de 90% des acteurs de l’industrie publicitaire, ce qui explique pourquoi le DNT n’est aujourd’hui qu’une fonctionnalité cosmétique, et non un gage de transparence[59]. Si de nombreuses entreprises comme Eulerian Technologies déclarent s’engager à respecter des bonnes pratiques en matière de protection des données et de la vie privée, il est ainsi difficile de ne pas voir les mots de la CNIL en 2009 comme une annonce prophétique : « Si aujourd’hui, les transferts de données personnelles entre les « fournisseurs » de contenus ou de publicité et les annonceurs sont inexistants ou limités, rien n’indique que cette frontière ne sera pas un jour franchie.[60] » Si cette prédiction venait à se confirmer, les conséquences pour les internautes pourraient être bien plus sérieuses qu’un message publicitaire non-sollicité : la « dés-anonymisation » de leurs données personnelles, concentrées entre les mains d’annonceurs ou d’acteurs invisibles comme Eulerian, ouvrirait la porte à une exploitation de leur identité à des fins discriminatoires.

L’exemple de TripAdvisor illustre, lui, la deuxième tendance de l’industrie publicitaire évoquée précédemment, à savoir la concentration horizontale entre fournisseurs de contenus ou réseaux publicitaires, et annonceurs. En effet, TripAdvisor joue à la fois le rôle de fournisseur de contenu et d’annonceur : d’une part, ses services de réservation en ligne constituent un fournisseur de contenu, où les nombreux avis publiés par ses membres sur les restaurants ou hôtels visités, constituent un très fort argument pour attirer les annonceurs de l’industrie du tourisme, et de l’autre, les messages publicitaires qu’il diffuse auprès de fournisseurs de contenu tel que leMonde.fr le positionnent comme un annonceur. Comme le précise la charte de confidentialité du site, les données collectées sont donc à la fois des données personnelles, volontairement transmises lors de réservations, ou de publication d’avis (nom, adresse, numéro de carte bancaire), et des données collectées automatiquement par des cookies (adresse IP, géolocalisation, historique de navigation). De plus, les utilisateurs se connectant à travers Facebook acceptent de transmettre des données spécifiques au réseau social, telles que leur photo de profil, ou leur liste d’amis. TripAdvisor dispose donc de suffisamment d’information sur ses utilisateurs pour les identifier précisément, et leur proposer des contenus hautement personnalisés : encore une fois, la frontière entre données personnelles et données collectées est donc franchie. S’il est difficile d’envisager les menaces que la concentration de ces données chez un site tel que TripAdvisor laisserait courir, d’autres exemples laissent imaginer des conséquences plus sérieuses. En effet, depuis les différentes acquisitions réalisées par les géants de l’industrie numérique, de nombreuses entreprises se voient désormais combiner ces différentes fonctions, et collectent ainsi massivement des données de nature à la fois personnelles et commerciales. Google se trouve notamment dans cette position, depuis son rachat de DoubleClick en 2008: son service de messagerie Gmail constitue un gisement de données personnelles, qu’il serait inutile de détailler, et son serveur de publicité DoubleClick est probablement le premier utilisateur de cookies tierce-partie, dont les données qu’il collecte peuvent être agrégées à celles de son moteur de recherche, voire de son navigateur Google Chrome.

Cette concentration est inquiétante au même titre que le développement de techniques de traitementde données de plus en plus sophistiquées, car la levée de l’anonymat des utilisateurs les expose à des conséquences bien plus graves que des messages publicitaires inopportuns. Comme le relevait déjà la CNIL en 2009[61], ces données pourraient être exploitées par certains types d’annonceurs comme des établissements de crédit, des compagnies d’assurances, ou bien des entreprises de recrutement, pour écarter certains groupes de population de leurs services, ou pratiquer une discrimination par les prix. Enfin, et c’est sans doute le point le plus important, cette capacité à identifier précisément des individus introduit une incitation pour les éditeurs de solutions logicielles à recycler l’information collectée dans d’autres offres de produits, n’ayant parfois plus aucun rapport avec la publicité ciblée. Dès lors que ces éditeurs collectent leurs propres données, et deviennent des responsables de traitement, rien ne peut les empêcher à franchir ce cap.

Data brokers et profilage : ces bases de données dont vous êtes le héros

Dans le cas d’une tierce-partie telle qu’Eulerian Technologies[62], la relation contractuelle la soumettant aux instructions de ses clients permet de la qualifier de sous-traitant, c’est-à-dire d’une entreprise ne collectant pas de données personnelles de sa propre initiative. Il existe cependant des entreprises proposant des solutions similaires, à la différence qu’elles sont dotées d’un statut de responsable de traitement : elles ne se contentent plus seulement de proposer des solutions d’optimisation de campagnes marketing à leurs clients, mais s’appuient également sur leurs propres bases de données personnelles, qu’elles construisent à partir d’informations transmises par des partenaires commerciaux, des questionnaires papier ou en ligne, ou toute autre base de données publique ou payante. On parle donc ici de « fournisseurs de données », puisque la valeur ajoutée de ces entreprises réside dans la diversité et le volume de données dont elles disposent. Aux Etats-Unis, où ces entreprises sont nées, elles sont toutefois qualifiées différemment : en l’absence de toute régulation, hormis dans certains cas précis[63], elles sont en effet en mesure d’acheter et de vendre des données personnelles avec leurs compétiteurs, ainsi que leurs partenaires. On ne parle ici plus de « fournisseurs », mais bel et bien de « courtiers » en données,  « data brokers » en anglais. Parce qu’elle catalyse l’émergence d’un modèle « patrimonialiste » de traitement des données, cette industrie laisse courir de sérieux risques en matière de protection de la vie privée.

Ces courtiers en données se rémunèrent à travers la mise à disposition de leurs clients de profils de consommateurs très détaillés, réalisés à partir de millions de points de données collectés. En effet, l’agrégation de données « hors ligne » et « en ligne » (cf. annexe) à partir de multiples canaux, puis leur traitement à l’aide de techniques d’analyse statistique, permet à ces entreprises de constituer des profils non seulement sur des segments de population, mais également sur des ménages identifiés par des données personnelles. Pour se convaincre de l’ampleur d’une telle collecte, il suffit d’explorer leur offre de produits. Aux Etats-Unis, le géant Acxiom[64] propose ainsi deux types de services. Le premier s’oriente autour d’outils d’intelligence commerciale, et d’optimisation de campagnes marketing. Grâce aux données collectées, Acxiom établit des profils de ménages couvrant toute la population (par exemple, « célibataires branchés »[65]) auxquels sont associés de nombreuses caractéristiques (« données sociodémographiques, style de vie, centres d’intérêt, équipement, données marchés et autres »[66]). D’une grande valeur pour les annonceurs, la combinaison entre données commerciales et personnelles leur permet de diffuser un message publicitaire uniquement à la clientèle ciblée. Le second type de service n’a en revanche rien à voir avec la publicité, puisqu’il s’agit d’une offre de « gestion des risques », permettant à toute entreprise de vérifier l’identité d’un individu, et donc de limiter certains risques de fraude. Si Acxiom est en mesure de confirmer une identité, c’est donc que l’entreprise dispose de profils extrêmement précis sur un grand nombre d’individus, allant bien au-delà des données de connexion collectées par des cookies. Cette intuition est confirmée par le directeur marketing d’Acxiom Europe, Jed Mole, qui affirme ainsi que l’entreprise possède un maximum de 1500 points de données sur environ 200 millions d’Américains[67]. Même si les solutions de gestion des risques ne sont pas disponibles en Europe, celle-ci n’est pas en reste, loin de là : le site Internet d’Acxiom France indique par exemple avoir segmenté 24 millions de foyers Français[68] sur la base de plus de 600 critères, dont leur adresse postale, afin de permettre à n’importe quelle campagne publicitaire papier d’atteindre sa cible commerciale. L’entreprise dispose également de 15 millions de numéros de téléphone, et de 46 millions d’adresses mail, toutes associées à une adresse postale. Ici, plus de problématique de flou entre les données dont disposent les annonceurs et les données anonymes collectées par les serveurs de publicité ou tierce parties : d’emblée, la proposition qui est faite est celle d’une composition de profils de ménages, segmentés et identifiés.

Ces pratiques soulèvent de nombreuses questions en matière de conformité. Pour être licite, chaque collection de données doit recevoir le consentement des internautes : en d’autres termes, chaque partenaire commercial transmettant des données à Acxiom doit intégrer une clause en matière de transfert de données dans sa charte de confidentialité, que tout individu devra accepter pour utiliser le service en question. Par exemple, les conditions générales de vente de Belambra, le leader français de l’hébergement de loisir ayant fait appel aux services d’Acxiom[69], précisent que l’entreprise peut « être amené[e] à transmettre les informations collectées à des tiers à des fins de marketing ou de promotion »[70]. Dans le cadre de cette prestation de service, Acxiom a permis à Belambra d’accéder à sa base de données PersonicX afin d’identifier des clients prospectifs parmi leur cœur de cible, par exemple des familles avec enfants de la classe moyenne. Comme l’explique le directeur marketing ventes de Belambra, « La mégabase d’Acxiom nous offre des possibilités supplémentaires en matière de ciblage. Elle est pour nous une source précieuse et représente un volume colossal de foyers sur lequel nous pouvons projeter des critères d’une extrême précision. »[71] Toutefois, il est également envisageable qu’Acxiom ait collecté au cours de la prestation les informations dont disposaient déjà Belambra sur ses 700.000 clients, afin d’enrichir sa propre base de données : cette collecte serait licite, puisque les détenteurs de ces données y ont préalablement consenti. 

Au-delà du caractère licite de ces pratiques, c’est la validité du consentement des utilisateurs qui se trouve ici remise en question. Lorsqu’une charte de confidentialité prévoit que des données puissent être transférées vers des tierces parties, on imagine en effet des transferts se polarisant autour de chaque responsable de traitement, agrégeant les données de multiples internautes, soumis au même contrat, et les redistribuant à des tierces parties. En ce sens, le lieu de la collecte initiale constitue le « centre de gravité » de ces flux de données. Du point de vue des internautes, chaque contrat revient à consentir à la collecte d’une quantité limitée de données, qui sera effectuée de la même manière auprès de chaque utilisateur. Collectivement, ils autorisent donc un responsable de traitement à agréger leurs données, et éventuellement à les redistribuer. Toutefois, si l’on adopte un point de vue plus large, l’existence de multiples responsables de traitement, dont les données collectées convergent vers un nombre limité de « méga-bases », à l’instar d’Acxiom, bouscule profondément cette analyse. Les transferts de données se polarisent non plus autour de leur point de départ, c’est-à-dire le responsable de traitement auquel font face les internautes, mais bien de leur point d’arrivée, c’est-à-dire la « mégabase » qui concentreainsi une quantité de données bien supérieure à celle des sources auprès desquelles elle s’alimente. Dans cette perspective, le « centre de gravité » de ces flux de données est donc le destinataire des transferts, et non le lieu de la collecte initiale. Du point de vue des internautes, chaque individu consent, en réalité, à ce que ses données soient collectées par les multiples responsables de traitement avec lesquels il a signé une charte de confidentialité, puis agrégées dans une « mégabase » de données unique. Pour résumer, la première perspective décrit un dispositif dans lequel les utilisateurs d’un service signent, collectivement, un contrat avec un responsable de traitement unique, qui transfère ensuite les données vers de multiples tierces parties. La seconde perspective, plus large, décrit un dispositif dans lequel chaque internaute signe une multitude de contrats avec les responsables de traitement dont il utilise les services, qui transfèrent ensuit les données, collectivement, vers une unique tierce partie[72]. L’analogie avec le domaine de la physique n’est donc pas fortuite : si, depuis la Terre, il semble que notre planète constitue le centre de gravité d’un système dans lequel le Soleil n’est qu’un objet céleste parmi d’autres, soumis à notre attraction, une perspective plus large révèle que c’est en réalité la Terre qui gravite autour du Soleil. On peut ici parler de « consentement fragmenté » pour décrire les implications de ce changement de perspective sur la validité du consentement internautes. Pris individuellement, chaque contrat permet bien de recueillir leur consentement, mais collectivement, ils masquent le véritable bénéficiaire des données collectées, et reviennent donc à invalider ce consentement. Dans ces conditions, il est impossible de considérer ces transferts comme conformes aux principes introduits par la directive de 95. La proportionnalité du traitement est biaisée par la fragmentation de la collecte, sa transparence est rompue par l’absence d’interaction entre le détenteur des données et leur destinataire final, et sa finalitéest substituée par celle de traitements ultérieurs.

Outre les questions qu’elles soulèvent en matière de validité du consentement des détenteurs de ces données, ces pratiques appellent donc à être très strictement contrôlées du fait du préjudice que les personnes concernées pourraient subir. Puisque les « segments de population » compilés par les courtiers en données prennent la forme de groupes d’individus nommément identifiés, les critères utilisés pour définir ces ménages pourront être utilisés comme un mode de discrimination. Dans les exemples évoqués précédemment, les prestations de service décrites correspondaient essentiellement à des opérations de « ciblage » publicitaire, c’est-à-dire à l’identification de ménages susceptibles d’acheter le produit proposé. Pour simplifier, il s’agissait de distinguer les clients potentiels des autres, et de concentrer les efforts publicitaires sur les premiers. On peut donc parler de la publicité ciblée comme une forme de discrimination, même s’il s’agit de discrimination « inclusive », puisque la diffusion de messages publicitaires vers des clients potentiels constitue une incitation supplémentaire à acheter un produit, et non un moyen d’en limiter la consommation à un segment de la population[73]. Toutefois, lorsqu’une entreprise comme Acxiom dispose d’une telle quantité de données, la frontière entre publicité ciblée et discrimination au sens légal du terme peut être aisément franchie. En d’autres termes, il ne s’agit plus ici de recevoir par la poste un message publicitaire un peu trop ciblé[74], mais bien d’exclure des individus d’un marché. Pas besoin d’aller loin pour trouver des exemples : parmi les « 10 exemples d’application de PersonicX »[75] décrits par Acxiom figure notamment « l’enrichissement des scores de risque (crédit) et sinistres (assurances). ». Or, cet exemple correspond mot pour mot au risque identifié par la CNIL, dans son rapport sur la publicité ciblée de 2009, en matière de crédit et d’assurance : « Estimation de la solvabilité ou de la santé du demandeur a son insu. »[76]. En effet, s’il est indispensable pour un établissement de crédit ou une compagnie d’assurance d’apprécier le risque dans le cadre d’un contrat, la collection de données de solvabilité ou de santé est strictement limitée aux personnes parties ou intéressées au contrat. La CNIL rappelle ainsi dans son « pack conformité assurance » que les opérations de prospection « ne doivent pas conduire à l’établissement de profils susceptibles de faire apparaître des données sensibles. »[77], et encore moins sans le consentement des consommateurs. Ces pratiques risquent donc de contrevenir frontalement à la directive de 95, et de confirmer les craintes de la CNIL : lorsque l’on sait que plus de 500.000 foyers français y sont catégorisés comme « PrimaryNeeds »[78], on peut imaginer qu’une utilisation de la segmentation PersonicX dans le domaine du crédit et de l’assurance aboutisse à une discrimination pure et simple de ménages auxquels on refuserait l’accès au produit, sans même étudier leur candidature, sur la base d’informations potentiellement imprécises, et obtenues de manière illicite.

Si, en Europe, la directive de 95 impose de nombreux contrôles, et exclut certaines catégories de données de toute collecte et traitement, ce n’est en revanche pas le cas aux Etats-Unis, où toute entreprise est en mesure de profiler les internautes, notamment sur la base de données hautement sensibles. A cet égard, les développements observés récemment aux Etats-Unis sont troublants, tant ils semblent confirmer le risque de dérives liberticides évoqué précédemment : en décembre 2013, un comité sénatorial a publié un rapport accablant, dans lequel les courtiers en données sont décrits comme des entreprises « opérant sans aucune transparence envers les consommateurs. » Ses auteurs ajoutent que,« puisque [les courtiers en données] collectent des informations sans le consentement des consommateurs, ceux-ci n’ont que des moyens limités de savoir comment ces compagnies ont collecté l’information, si elle est exacte, et comment elle est utilisée. »[79] . Selon le président du comité, le sénateur Jay Rockefeller, les pratiques de ces entreprises seraient même « plus inquiétantes que celles de la NSA[80]. » Jon Leibowitz, le président de la Federal Trade Commission (FTC), qualifie, lui, ces entreprises de « cyberazzi », à la suite d’un autre rapport appelant à contrôler ces pratiques[81]. Au-delà des principes fondamentaux établis dans la directive de 95 et les cadres législatifs nationaux (loi « Informatique et Libertés » en France), l’article 8 interdisant la collecte de « types particuliers de données » est également bafoué par certaines pratiques de segmentation. Aux Etats-Unis, où le profilage ethnique, politique ou religieux est ainsi autorisé, les courtiers en données ne se privent pas d’établir des listes d’individus sur la base de leur ethnicité. Jennifer Barrett Glasgow, la Chief PrivacyOfficerd’Acxiom, confirme ces pratiques, et explique que les statistiques ethniques réalisées sont « utilisées pour cibler des efforts marketing sur ces populations »[82]. Acxiom, toutefois, n’est qu’un courtier en données : l’utilisation de sa base dépend donc entièrement des besoins de ses consommateurs. Or, qu’est-ce qui empêcherait une entreprise de recrutement de faire appel aux servicesd’Acxiom, en apparence pour cibler un segment de la population, mais en réalité pour discriminer sur la base de l’origine ethnique des candidats ? La discrimination raciale n’est que l’envers du marketing ethnique : là où certaines entreprises verront dans ce type de segmentation une opportunité commerciale, d’autres y verront un moyen de discriminer librement une population jugée indésirable.

Enfin, les conséquences de ces pratiques discriminatoires ne relèvent pas seulement du préjudice moral : aux Etats-Unis, les enjeux de protection des données sont étroitement liés à la production de crédits, dont l’étendue et la variété ont très tôt introduit le besoin de s’informer sur les candidats à l’emprunt[83]. Toute personne disposant d’un numéro de sécurité sociale fait ainsi l’objet, en permanence, d’une collection de données[84] de la part d’agences spécialisées, qui leur assignent un « score de crédit », allant de 300 à 850. Ce score est ensuite utilisé par les établissements de crédit pour décider d’octroyer, ou non, un crédit, et d’en définir le taux d’intérêt.  Du fait de la nature sensible de ces transactions, le FairCreditReportingAct fut adopté très tôt, en 1970, pour protéger les consommateurs : il définit comme une Consumer Reporting Agency (CRA)[85] toute entreprise procédant à la collection, transmission ou divulgation de données financières, dans le but de déterminer l’éligibilité d’un individu (octroi de crédit, d’assurance, signature de bail ou contrat professionnel). Ces restrictions, bien qu’assorties d’un contrôle de la FTC et de droits de recours pour les consommateurs, connaissent toutefois les mêmes limites que le cadre juridique européen : la détention d’informations sensibles par des courtiers en données qui proposent à la fois des produits régulés par le FairCreditReportingAct, et des produits non-régulés (marketing, gestion des risques) laisse courir un risque de mélange des genres extrêmement préjudiciable pour les citoyens américains. Quelques mois après la publication de ce rapport, la FTC a par exemple déposé une plainte contre un courtier en données, LeapLab, qu’elle accuse d’avoir vendu des numéros de sécurité sociale et de comptes bancaires à des entreprises ayant utilisé ces informations à des fins illégitimes, telles que du marketing, spamming, ou pire, des fraudeurs[86]. Parmi elles, Financial Ideal Solutions, aurait procédé à plus de quatre millions de dollars de retraits frauduleux sur les comptes d’individus dont elle aurait obtenu les informations auprès de LeapLab, et près de quarante millions de dollars de retraits au total[87]. Si LeapLab est dans son droit lorsqu’il fournit ces données à des établissements de crédit (activité régulée par le FCRA), il est apparu que dans 95% des cas, les données avaient été transmises à des entreprises n’ayant aucune légitimité pour y accéder[88].

Face à de telles dérives, et l’expansion inéluctable des courtiers en données sur le Vieux Continent, le projet de réglementation européen devra apporter des réponses claires aux nombreuses interrogations qui restent en suspens. Malgré les déclarations de conformité d’Acxiom Europe, l’introduction d’un organe interne de contrôle, et de moyens de recours pour les consommateurs[89], le problème de validité du consentement des internautes reste entier, et la menace d’utilisations préjudiciables des données collectées pèsent plus que jamais sur les citoyens européens.

Le « grand soir » de la protection des données et de la vie privée en Europe

Dans le sombre tableau que semble peindre cette note, des touches d’optimisme nuancent toutefoisl’impression que la vie privée est en passe de disparaître: si les internautes ne se bercent pas d’illusions quant au niveau de protection dont ils jouissent actuellement, ils sont de plus en plus nombreux à s’intéresser à cette problématique. Selon le sondage OpinionWay réalisé pour le Figaro, déjà cité en introduction, 98% des personnes interrogées estiment que la protection des données et de la vie privée sont des enjeux importants[90]. Mieux encore, 77% souhaitent que l’Union Européenne réglemente davantage les pratiques d’entreprises comme Google. Au pessimisme des internautes, il convient donc d’opposer leurs attentes en matière de législation, ce qui est à souligner au regard de la progression des courants eurosceptiques[91].Prendre la mesure de ces attentes ne fait toutefois que renforcer la pression qui s’exerce sur le « trilogue européen », qui débat actuellement d’un projet de réglementationgénérale de la protection des données et de la vie privée.

Alors qu’une ébauche de compromis est attendue d’ici la fin de l’année, il est utile de commencer par faire le point sur le contenu des différentes versions du règlement proposées par la Commission, le Parlement et le Conseil. Le projet de réforme consiste en réalité en deux textes : le premier, qui prend la forme d’un règlement, vise à mettre à jour la directive de 95 pour adapter la protection des données et de la vie privée auxrécentes évolutions technologiques, et harmoniser les différentes législations européennes en la matière. Le second, qui consiste cette fois en une directive, concerneles traitements transfrontaliers de données réalisés dans le cadre du Troisième Pilier de l’Union européenne (« Coopération judiciaire et policière en matière pénale »), soumis à la méthode intergouvernementale. Dans le cadre de la publicité ciblée, c’est donc le règlement qui s’appliquera : s’il n’est pas évident de repérer les différences avec la directive de 95, les pratiques de traitement de données à des fins commerciales semblent, de prime abord, faire l’objet d’un contrôle renforcé. Le « consentement explicite » des internautes est plus précisément défini à l’article 4.8, où il est assimilé à « toute manifestation de volonté, libre, spécifique, informée et explicite par laquelle la personne concernée accepte, par une déclaration ou par un acte positif univoque »[92]. L’article 7, qui détaille les conditions du consentement, précise d’ailleurs que « Le consentement ne constitue pas un fondement juridique valable pour le traitement lorsqu'il existe un déséquilibre significatif entre la personne concernée et le responsable du traitement. »[93]. Associé à la « responsabilisation » des entreprises, qui devront prendre en compte les impératifs de protection de la vie privée dès la conception des services proposés aux internautes (« protection par défaut »[94]), cette précision permettrait d’éliminer les asymétries d’information identifiées précédemment, si elle se traduisait par une simplification des chartes de confidentialité, et la vérification systématique, par les responsables de traitement,de la validité du consentement des utilisateurs[95].En effet, comme l’explique la Quadrature du Net, une association de défense des droits et libertés des citoyens sur Internet,

« Le « silence informé » ne serait plus considéré comme un consentement valide. Les entreprises devraient alors activement rechercher le consentement de leurs utilisateurs, assurant ainsi qu'aucune donnée personnelle ne puisse plus être traitée sans que les utilisateurs n'en aient été véritablement et directement informés. Adoptée, cette proposition assurerait que rien ne se passe hors de vue ou de contrôle des utilisateurs. » [96]

Une définition élargie ne permet pas seulement de garantir la validité du consentement des internautes : elle constitue la clé de voûte de nombreux dispositifs prévus par le règlement. Par exemple, la proposition de la Commission, à l’article 20, introduitun « droit à l’opposition au profilage »[97] qui reprend certes la formulation de la directive de 95 (article 15), mais qui intègre cette fois le consentement explicite des internautes comme base légale. Le profilage est expressément nommé, ce qui permet de lever l’ambiguïté sur le champ d’application de cette disposition, puisque le précédent texte concernait des « décisions individuelles automatisées », dont la définition est sujette à interprétation. Le traitement de « catégories particulières » de données personnelles (origine ethnique, confession religieuse, orientation sexuelle ou politique) fait l’objet de limitations similaires, et bénéficie donc du niveau de protection accru que permet l’élargissement de la définition du consentement.

D’autres avancées majeures sont introduites par le texte, telles que le « droit à l’oubli numérique et à l’effacement » (article 17), ou encore le « droit à la portabilité des données » (article 18), mais celles-ci ne concernent pas directement la publicité ciblée, tout comme les problématiques de territorialité ou de gouvernance[98].

La vie privée sacrifiée sur l’autel des intérêts économiques de la SiliconValley ?

L’introduction, dans le projet de règlement, d’une multitude de dispositions visant à renforcer les principes de 95, et à accorder de nouveaux droits aux internautes, serait convaincante, si elle ne masquait pas l’emprise de groupes d’influence sur la procédurelégislative, et les velléités du Conseil des Ministresde privilégier le volet économique du « Marché Unique Numérique »[99].A l’aune des amendements proposés par le Conseil et le Parlement, et de l’incertitude qui persiste quant à la question des transferts de données, il y alieu de craindre que les attentes des citoyens européens soient largement déçues.

D’emblée, il est intéressant de remarquer que les parties prenantes au trilogue inscrivent la légitimité du projet de règlement dans un impératif technologique. Le cinquième paragraphe[100] du préambule de la proposition de la Commission est ainsi formulé :

La rapide évolution des technologies et la mondialisation ont créé de nouveaux enjeux pour la protection des données à caractère personnel. La collecte et le partage de données ont connu une augmentation spectaculaire. Les nouvelles technologies permettent tant aux entreprises privées qu’aux pouvoirs publics d’utiliser les données à caractère personnel comme jamais auparavant dans le cadre de leurs activités. De plus en plus de personnes physiques rendent des informations les concernant accessibles à tout un chacun, où qu’il se trouve dans le monde. Les nouvelles technologies ont ainsi transformé l’économie et les rapports sociaux, et elles exigent de faciliter davantage la libre circulation des données au sein de l’Union et leur transfert vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel.[101]

Au-delà du fait que l’exigence de protection des données ne soit citée qu’après la libre circulation des données, c’est bien l’identification du progrès technologique comme l’enjeu du projet de règlement qui interpelle.En effet,le progrès technologique, souvent désigné comme responsable de la déliquescence du cadre juridique européen, n’est que le produit de la domination commerciale d’entreprises alimentées par les revenus de la publicité ciblée. Si Google s’est restructuré en août pour devenir une simple filiale d’une holding, Alphabet, c’est pour signifier aux investisseurs que l’entreprise consentait à davantage de transparence dans la description du fonctionnement de ses différentes activités : Google demeurera la source majoritaire de revenus, qui serviront à financer des projets développés en parallèle, aujourd’hui déficitaires, mais qui constituent la vitrine de ses efforts en matière de recherche technologique[102]. Ni ses filiales Nest (domotique et objets connectés), ou X (laboratoire multi-projets), et les produits qu’elles visent à commercialiser, ne justifient de réformer la protection des données et de la vie privée en Europe : c’est la puissance financière de Google qui lui permetde développer des projets pouvant s’accompagner de pratiques non-conformes. Par conséquent, c’est également cette grille de lecture qui permet de mesurer la longueur duchemin qu’il reste à parcourir au trilogue avant de produire un texte garantissant une protection efficacedes citoyens européens. En effet, c’est la manne publicitaire qui permet aux géants de la SiliconValley, comme aux tierce-parties qui en dépendent, de financer d’intenses campagnes de lobbying visant à influencer le travail législatif.Dès janvier 2012, alors que la proposition initiale de la Commission venait d’être formulée,ces groupesse sont mis en marche pour tenter de défendre leurs intérêts : Viviane Reding, la Commissaire Européenne à la Justice à l’époque, et à l’origine de la proposition, faisait part de son désarroi face à une campagne de lobbying d’une intensité sans précédent.[103] Au cours des deux années de débats parlementaires ayant suivi la proposition de la Commission, les députés européens auraient ainsi vu passer pas moins de 2500 notes de lobbying émanant de divers groupes, d’après les documents recensés par la Quadrature du Net[104]. A l’origine de ces notes, on trouve des entreprises de la SiliconValley, telles que Google ou Facebook, des syndicats ouassociations professionnelles, telles que la Fédération Bancaire de l’Union Européenne ou la Chambre de Commerce Franco-Americaine (« Amcham »), ou bien des groupes de défense des libertés civiles, tels que l’associationEuropean Digital Rights.Lors des différents travaux en commissions, plus de 3000 amendements ont été déposés : le site LobbyPlag[105] s’est intéressé au contenu de ces amendements, afin d’évaluer leur orientation en matière de protection de la vie privée, et d’en tirer des conséquences sur les rapports de force ayant structuré les débats. Un amendement est considéré comme « positif », lorsqu’il cherche à renforcer la protection de la vie privée par rapport à la proposition de la Commission, « négatif » dans le cas inverse, ou bien « neutre » s’il s’agit d’une précision technique. Si le caractère dichotomique d’une telle expérience peut être critiqué, ce travail permet néanmoinsde faire état d’une tendance à l’affaiblissement du cadre juridique en matière de protection des données et de la vie privée. En effet, sur la totalité des amendements « non-neutres », près de 60% visaient à réduire le niveau de protection des internautes.Plus intéressant encore, LobbyPlag a cherché à comparer les recommandations de groupes d’influence avec ces amendements, afin d’identifier les alignements entre les intérêts des entreprises ou organisations représentées, et ceux des groupes parlementaires. Les résultats montrent qu’en grande majorité, les partis de droite et du centre se sont fait l’écho des revendications de l’industrie numérique, tandis que les partis écologiques et de gauche se sont alignés avec les associations de défense des libertés civiles. Ainsi, le PPE est associé à 416 amendements négatifs, contre 121 positifs, tandis que S&D est associé à 240 amendements positifs, contre 87 négatifs[106]. S’il est parfaitement recevable que les parlementaires européens soient attentifs aux revendications des différents acteurs concernés par un projet de réforme aussi ambitieux, il est en revanche plus problématique de constater que, dans de nombreux cas, les amendementsproposés se contentent de relayer mot pour mot les recommandations de lobbies.De nombreux députés ont ainsi été confondus pour ces pratiques, qui remettent sérieusement en cause l’intégrité de la procédure législative : près du quart des amendements déposés par trois conservateurs britanniques, proches de l’industrie numérique, ont ainsi été identifiés comme des copies conformes de notes émises par des lobbies[107].

Si ces efforts ont été en majorité défaits par l’action du rapporteur du projet, Jan Philip Albrecht (Verts, Allemagne), ils auront eu néanmoins des conséquences sur la rédaction de certains articles-clés. L’article 6.1, par exemple, définit les contours de la licéité du traitement de données : sur la proposition de nombreux lobbies[108], le point f, qui définit « l’intérêt légitime » d’un responsable de traitement comme une base légale pour procéder à un traitement de données (en-dehors du consentement de la personne concernée) a été élargi pour revenir à la formulation de la directive de 95, et inclure les « tierce-parties auxquelles sont communiquées les données ». Pourquoi un tel amendement serait-il problématique, s’il se contentait de s’aligner sur un article de la précédente directive ? La raison est à chercher dans un paragraphe du préambule, définissant le concept d’intérêt légitime. D’un côté, la directive de 95 laisse la possibilité aux Etats membres de « préciser les conditions dans lesquelles des données à caractère personnel peuvent être utilisées et communiquées à des tiers dans le cadre d'activités légitimes de gestion courante des entreprises »[109]. En d’autres termes, l’intérêt légitime d’un responsable de traitement est conçu, au mieux, comme un régime d’exception. De l’autre, la proposition de la Commission affirme que « Les intérêts légitimes du responsable du traitement peuvent constituer un fondement juridique au traitement, à moins que ne prévalent les intérêts ou les libertés et droits fondamentaux de la personne concernée. »[110] Ici, plus question d’exception : l’intérêt légitime est clairement défini comme une base légale au traitement des données, au même titre que le consentement des personnes concernées. Dès lors, la mention de « tierce-parties »à l’article 6.1 constitue un véritable chèque en blanc à l’attention des courtiers en données, puisque ceux-ci pourront, au même titre que les responsables de traitement, se passer du consentement des personnes concernées, au nom de leur « intérêt légitime ». Sans surprise, un des groupes ayant suggéré l’amendement, l’ACCIS[111], compte parmi ses membres des entreprises telles qu’Experian ou Equifax, à savoir des concurrents d’Acxiom, très présents sur le marché des données financières.

Si le texte adopté par le Parlement a finalement peu suivi les revendications des acteurs de l’industrie numérique, la proposition du Conseil constitue, en revanche, un grand pas en arrière. Plusieurs amendements ont suscité une vive inquiétude parmi les organes consultatifs que sont le G29 et le Contrôleur Européen de la Protection des Données[112]. Comme au Parlement, c’est la rédaction de l’article 6, sur la licéité du traitement, qui cristallisel’opposition entre l’industrie numérique et les partisans d’une protection renforcée :proposé par la Commission, l’article 6.4 tranche avec les principes de la directive de 95, en ce qu’il ouvre la porte à des traitements ultérieurs de données, dans la mesure où leur finalité n’est pas incompatible avec celle du traitement initial :

Lorsque la finalité du traitement ultérieur n'est pas compatible avec celle pour laquelle les données à caractère personnel ont été collectées le traitement doit trouver sa base juridique au moins dans l'un des motifs mentionnés au paragraphe 1, points a) à e). Ceci s'applique en particulier à toute modification des clauses et des conditions générales d'un contrat.

Bien qu’il soit rédigé comme une limitation des traitements de données ultérieurs, en imposant que des traitements « incompatibles » trouvent un fondement légal distinct de celui du traitement initial, il accorde, in fine, un fondement légal aux traitementsqui seraient jugés, eux,« compatibles ». Or, comme l’a pointé le G29 dans une opinion publiée à la suite de la décision du Conseil[113], compatibilité n’est pas légitimité : sans fondement légal distinct de celui du traitement initial, un transfert de donnée vers des tierce-parties échapperait totalement au cadre prévu par la loi, et n’offrirait aux personnes concernées aucune garantie de finalité légitime. Dans le cadre de la publicité ciblée, la compatibilité entre une collecte de données auprès des utilisateurs d’un service, et le transfert ultérieur vers un courtier en données, à des fins de profilage, est sujette à interprétation, et pourrait ainsi être licite, sans toutefois que sa légitimité ait été établie. Les députés européens ne s’y étaient pas trompés, puisqu’ils avaient éliminé cet article dans leur version du règlement. Or, ce dernier a non seulement été réintégré par le Conseil, mais il a également été assorti d’une disposition supplémentaire, permettant un traitement ultérieur dans le cas où « l’intérêt supérieur » du responsable de traitement, ou de tierce-parties, est supérieur à l’intérêt de la personne concernée. Même si la formulation est différente, cet amendement fait directement écho à une suggestion de l’AmCham, qui consistait à éliminer la mention « points a) à e) » de l’article 6.4, afin de l’élargir de facto au point f, c’est-à-dire lalicéité du traitement sur la base de l’intérêt légitime du responsable de traitement, ou de tierce-parties. Si elle était adoptée, une telle norme se traduirait assurément par une diminution significative du niveau de protection dont les internautes jouissent aujourd’hui : comme le précise LobbyPlag, qui a analysé les différents amendements proposés par le Conseil, ce dispositif permettrait n’importe quel transfert de données depuis les services quotidiennement utilisés par les internautes, tels que Gmail ou Facebook, vers des courtiers en données.[114] Après le G29, c’est le Contrôleur Européen de la Protection des Données, Giovanni Butarelli, qui a fait part de sa vive inquiétude : la version du texte qu’il a soumis au trilogue le 27 juin 2015 écarte de nouveau l’article 6.4, et rappelle que « le principe de finalité légitime est un des piliers de la protection partout dans le monde. Il ne peut être ni minimisé, ni altéré. »[115]

Ce n’est pourtant pas le seul reproche adressé au texte du Conseil, qui semble, par endroits, chercher à balayer des pans entiers du projet de la Commission, et de la directive de 95. A l’article 4, le terme « explicite » est retiré de la définition du consentement : en vidant de sa substance une des pièces maîtresse du projet de règlement, c’est l’équilibre du texte tout entier que le Conseil remet en question. Les conditions du consentement sont également largement revisitées, puisque l’article 7.4, qui invalide le consentement lorsqu’il existe des déséquilibres entre responsable de traitement et personne concernée, est rayé du texte. Comment ne pas y voir le fruit d’intenses efforts de lobbying, de la part de groupesayant suscité pas moins de 16 amendements visant à supprimer le qualificatif « explicite », ou qui étaient parvenus à contraindre la commission MIPCd’éliminer l’article 6.4 [116] ?A l’article 20, le Conseil revient à la formulation de la directive de 95, en remplaçant le terme de « profilage » par celui de « décision individuelle automatisée »[117] : en plus d’une aberration technologique (pourquoi préférer un terme datant d’une époque à laquelle la publicité ciblée n’existait pas, à celui universellement employé aujourd’hui ?), cette formulation est bien trop vague pour garantir une protection efficace des internautes.L’amendementadopté dans le préambule du texte, paragraphe 39, achève de convaincre de l’influence sans précédent exercée par ces groupes de pression sur le Conseil: alors qu’aucun amendement n’avait été proposé par les députés européens, qui ignoraient là une suggestion de l’AmCham, la version du Conseil intègre, voire dépasse, ces revendications. A la findu paragraphe, quis’attache à définir les impératifs de sécurité du réseau et des informations d’une entreprise comme un intérêt légitime, le Conseil ajoute :

Le traitement de données à caractère personnel strictement nécessaire à des fins de prévention de la fraude constitue également un intérêt légitime du responsable du traitement concerné. Le traitement de données à caractère personnel à des fins de marketing direct peut être considéré comme répondant à un intérêt légitime.[118]

Alors que la suggestion de l’AmCham ne concernait que le traitement de données à des fins de prévention de la fraude, ce qui n’avait déjà pas grand-chose à voir avec une problématique de sécurité informatique, le Conseil intègre donc une caractérisation supplémentaire de « l’intérêt légitime », en l’espèce du marketing direct. Cet amendement est une illustration puissante de l’influence grandissante des tierce-parties dans la publicité. En effet, c’est tout sauf un hasard si la prévention de la fraude et le marketing direct sont ici superposés : ils constituent les deux volets de l’offre de produit des courtiers en données, et font écho à la dualité, longuement analysée dans cette note,de la définition de donnée personnelle, c’est-à-dire « toute information concernant une personne identifiée ou identifiable ».D’un côté, les services de prévention de la fraude sont conçus comme le moyen de vérifier l’identité d’individus, à partir de données personnelles (personne « identifiée »), et de l’autre, le marketing direct repose sur la constitution de profils de consommateurs, à partir de larges échantillons de métadonnées, qui conduisent, in fine, à la « ré-identification » de ces individus (personne « identifiable »).

                Les données « pseudonymisées », cheval de Troie des courtiers en données

Cet amendement introduit en filigrane la question la plus cruciale qu’il incombe au trilogue de trancher, et qui sert de fil conducteur à cette note : comment réconcilier l’apparition de techniquesqui permettent la ré-identification des internautes, et se heurtentainsi au paradigme inscrivant depuis 1995 la dualité des données personnelles au cœur de la protection de la vie privée, avec l’impératif de consentement explicite ?

En affirmant que la prévention de la fraude et le marketing direct constituent un intérêt légitime, le Conseil semble trancher en faveur des responsables de traitement, puisque l’article 6, point 1.f, leur permet d’invoquer la prestation de tels services afin de se soustraire au consentement des personnes concernées. Même s’il s’agit là d’une première tentative de subversion du principe de consentement, il y a pourtant lieu d’espérer qu’elle ne résiste pas aux révisions de la Commission et du Parlement dans le cadre du trilogue, tant elle réduirait la protection de la vie privée des citoyens européens.Ainsi, ni la définition de données personnelles, ni celle de licéité du traitement, ne constituent la pierre d’achoppement de ce débat : puisque le texte conserve la définition de donnée personnelle de 1995, tout traitement de données pouvant aboutir à l’identification de la personne concernée restera soumis au « consentement explicite » des internautes, sauf exception – par exemple celles introduites par le Conseil. La proposition du Parlement, au paragraphe 23 du préambule, apporte d’ailleurs des précisions bienvenues sur ce qui constitue des données anonymes, puisque celles-ci sont exemptes des dispositions prévues par le règlement[119]. Au contraire, le Parlement se propose de résoudre l’antagonisme entre « préoccupations légitimes relatives aux modèles commerciaux particuliers », et « droits fondamentaux des personnes »[120]à travers l’introduction d’une « sous-catégorie »  de données personnelles, les données « pseudonymisées ».Concept ne figurant pas dans la directive de 1995,  unpseudonyme est « un identifiant unique spécifique à un contexte donné qui ne permet pas l'identification directe d'une personne physique, mais qui permet d'isoler une personne concernée. »[121] Une donnée pseudonymisée, qui concerne une personne non-identifiée, mais identifiable, se trouve donc à mi-chemin entre une donnée personnelle, qui concerne une personne identifiée ou identifiable, et une donnée anonyme, qui concerne une personne ni identifiée, ni identifiable.Cette définition est assortie d’un régime d’exception aux conditions du consentement, à l’article 7 :

Si la personne concernée doit donner son consentement dans le contexte de services de la société de l'information où les données à caractère personnel ne sont traitées que sous la forme de pseudonymes, le consentement peut être donné au moyen de procédés automatisés répondant à une norme technique européenne généralement reconnue dans l'Union conformément au paragraphe 4 quater, permettant ainsi à la personne concernée de clairement exprimer sa volonté, sans collecte de données d'identification.[122]

Les conditions du consentement ne sont donc pas aussi strictes pour des données « pseudonymisées » que pour des données personnelles : un internaute sera par exemple en mesure d’accorder, ou non, son consentement à travers l’utilisation « Do Not Track » (Ne pas pister), qui indique aux sites visités le refus de voir ses données collectées sous une forme identifiée. Si l’intention du Rapporteur est ici de concilier les intérêts des responsables de traitement avec ceux des personnes concernées, il s’agit pourtantd’une seconde tentative de subversion du principe de consentement, plus grave encore. En effet, la pseudonymisation est déjà largement pratiquée par les acteurs de l’industrie numérique, et particulièrement les tierce-parties : à l’inverse d’entreprises comme Google ou Facebook, les courtiers en données ne collectent pas de données à travers les services qu’ils proposent, puisqu’ils n’interagissent jamais directement avec les internautes. Par conséquent, ils reposent davantage sur des techniques de collections automatisées, qui ne peuvent fonctionner sans pseudonymisation : pour être capable d’agréger une grande quantité de données, un responsable de traitement devra identifierles personnes concernées en utilisant des données comparables. Or, dans la mesure où les données personnelles, telles que le prénom, se prêtent peu à cet exercice (différents nombres de caractères, alphabets, etc.), les internautes sont le plus souvent identifiés par des pseudonymes. Par exemple, dans le cas de données collectées par des cookies, l’adresse IP de l’internaute pourra être utilisée comme pseudonyme. Assouplir les conditions de consentement dans le cas de données « pseudonymisées » revient à légitimer des pratiques qui n’existaient jusque-là que grâce aux limites de la directive de 95, puisque les « procédés automatisés », qui doivent permettre aux internautes de donner leur consentement, sont aujourd’hui largement inopérants[123]. Il s’agit également d’un signal envoyé à l’industrie numérique, qui n’a pas tardé à voir dans ce dispositif un levier pour obtenir davantage d’exceptions. Comme le rappelle le G29, dès lors qu’une ré-identification des internautes est possible – ce qui est presque toujours le cas – distinguer données pseudonymisées et données personnelles revient à « introduire un cheval de Troie permettant des dérogations spécifiques illégitimes (par exemple la présomption de l’intérêt légitime du responsable de traitement). »[124] L’industrie numérique ne s’y est pas trompée, en tentant d’élargir la définition de « donnée anonyme » pour inclure les données pseudonymisées. En effet, l’article 10 du projet de règlement précise que « si les données traitées par un responsable du traitement ne lui permettent pas d'identifier une personne physique, le responsable de traitement n’est pas tenu d’obtenir d’informations supplémentaires pour identifier la personne concernée à la seule fin de respecter une disposition du présent règlement. »[125] Par conséquent, lorsque les données sont anonymes, le responsable de traitement estde facto exempt de toute obligation émanant du règlement, telle que la garantie du droit d’accès ou d’opposition,puisqu’il n’est pas en mesure d’identifier les individus disposant de ces droits. Les recommandations du Future Privacy Forum, un groupe de réflexion américain rassemblant divers acteurs de l’industrie numérique, visent précisémentà obtenir ce envers quoi le G29 met en garde: ajouter les données pseudonymisées à l’article 10 reviendrait à introduire un régime d’exception suffisamment large pour vider le règlement de sa substance. Sans surprise, les courtiers en données sont les premiers à militer pour obtenir un tel amendement : Acxiom fait partie des membres du Future Privacy Forum, et sa « Chief PrivacyOfficer », Jennifer Glasgow, siège au conseil consultatif du groupe.

La définition, si elle est maintenue, de donnée « pseudonymisée », aura un effet déterminant sur le projet de règlement : les techniques de « ré-identifications », qui permettent à ces courtiers en données de constituer des bases de données gigantesques, pourront continuer à s’opérer en-dehors du consentement des internautes. Les prédictions de la CNIL, qui dès 2009 mettait en garde contre une convergence des données « pseudonymisées », c’est-à-dire celles collectées par les fournisseurs de publicité ou les tierce parties qui en dépendent, et les données personnelles des annonceurs, se verraient confirmées[126] : la « monétisation » des profils des internautes serait grandement facilitée par l’assouplissement des conditions du consentement concernant dont ce type de données bénéficie. Tels que s’orientent les débats, les partisans d’une protection renforcée de la vie privée peuvent s’attendre à une sérieuse déconvenue : si « grand soir » il y a, ce sera celui de l’industrie numérique, et de la marchandisation des données. La gueule de bois, elle, sera pour les internautes.

                Boucler la boucle : la technologie au secours des internautes ?

                Le succès du projet de règlement européen semblant incertain, des solutions alternatives doivent être étudiées. L’orientation des débats au Parlement européen laisse envisager des pistes crédibles : si le travail de sape de groupes de pression représentant les intérêts de l’industrie numériquea en partie échoué, c’est parce qu’il s’est heurté aux efforts de lobbying d’une égale intensité de la part d’associations de protection des libertés civiles. L’une d’entre elles, l’EDRi[127], est notamment à l’origine de 122 recommandations, soit le nombre le plus élevé recensé par LobbyPlag, à égalité avec Facebook[128]. Plus de cent personnalités du monde académiques ont signé un texte se faisant l’écho des principales inquiétudes qui entourent le projet de règlement[129]. Le G29, ainsi que le Contrôleur Européen de la Protection des Données, ont également pesé dans le débat, en critiquant fermement certaines dispositions qu’ils accusent d’affaiblir les principes établis par la directive de 95. Même si ces acteurs divergent dans leurs prises de position, ils s’accordent sur un point crucial : la protection de la vie privée et des données n’est pas incompatible avec l’innovation technologique, et avec le succès des entreprises qui y contribuent. Au-delà des batailles de sémantique qui caractérisent les débats autour du règlement, c’est une transformation de la relation entre responsables de traitement et internautes qui doitdonc être encouragée. Dans ce cadre, le développement d’outils permettant aux internautes de reprendre le contrôle de leur vie privée, sans ralentir les flux de données, laisse envisager une réconciliation de ces intérêts.

                Si près de neuf internautes sur dix se disent inquietsdes dangers qui pèsent sur leur vie privée, comme l’indique un sondage BVA,déjà cité en introduction[130], seule une minorité d’entre eux est capable de mesurer ce danger, et une plus faible minorité encore est susceptible de prendre des mesures pour s’en prémunir. Une enquête réalisée en novembre 2012 par un cabinet de conseil, leBoston Consulting Group(BCG),tente d’y voir plus clair parmi ces différentes « étapes »  dans la prise de conscience, et d’analyser leur impact sur les flux de données.Elle confirme d’abord la faible appréciation du rôle des données personnelles dans l’industrie numérique : parmi les individus interrogés, 70% à 90% identifient au moins un secteur d’activité comme une source potentielle de risque, mais seuls 15% à 30% d’entre eux savent que plus de la moitié de ces secteurs collectent des données personnelles[131]. Il existe donc un décalage entre le climat de défiance qui règne parmi les internautes, et leur capacité à justifier ce scepticisme. Cette distinction est cruciale : selon l’enquête, les individus conscients du rôle des données personnelles sont 26% moins susceptibles de divulguer leurs données personnelles que ceux qui ne le sont pas[132]. Un tel résultat a de quoi inquiéter l’industrie numérique : au fur et à mesure que des fuites de données révèlent des pratiques de collection ou de traitement non-conformes, le niveau d’éducation des internautes ne peut que progresser, et ainsi conduire à une diminution du volume de données collectées. Parmi la minorité d’individus aujourd’hui consciente de ces risques, une plus faible part encore déclare utiliser des outils protégeant leur identité numérique. Ces outils peuvent aller du simple paramétrage du navigateur, par exemple le refus de cookies tierce-partie, à l’utilisation de logiciels sophistiqués, rendant les internautes complètement anonymes, par exemple le navigateur Tor. Intuitivement, on serait tenté de penser que ces internautes sont les plus réticents au partage de données, puisqu’ils limitent volontairement ce partage. Pourtant, l’enquête révèle qu’ils sont jusqu’à 52% plus favorables à l’idée de partager leurs données que ceux qui n’utilisent aucun outil[133].Il s’agit là d’un enseignement majeur, puisqu’il suggère que, dans un environnement où les internautes disposent de moyens de contrôle de leurs données, les effets de tels contrôles sur le volume de données collectées seraient plus que compensés par une plus grande tolérance des internautes au partage, si bien que les volumes augmenteraient. La conclusion de cette enquête est donc sans appel : les entreprises du numérique ont non seulement intérêt à procurer de tels outils à leurs consommateurs, si elles souhaitent accroître le volume de données collectées, elles se retrouveraient également exposées à une baisse de ce volume dans le cas où elles choisiraient de ne pas proposer ces outils. Le BCG, qui estime à 680 milliards d’euros le potentiel de croissance du marché lié à l’identité digitale d’ici 2020, quantifie d’ailleurs les effets d’un immobilisme de l’industrie numérique, en affirmant que près des deux-tiers de cette valeur pourraient être détruits si cette dernière ne parvenait pas à établir un lien de confiance avec les internautes[134]. Même s’il ne s’agit là que d’estimations, force est de constater qu’après des années de croissance astronomique, nourrie par l’ignorance des internautes, la multiplication de scandales révélant des pratiques illégitimes de collection de donnéesne peut que nuire à l’industrie numérique[135].

                Si des outils permettant aux internautes de contrôler leur identité numérique pourraient réconcilier leurs intérêts avec ceux des entreprises dont ils consomment les services, il reste à déterminer les formes que prendraient de tels outils, et le rôle que les institutions européennes devraient endosser. Au-delà des fonctionnalités faisant désormais partie intégrante de la majorité des navigateurs, il est impératif de réfléchir à des solutions qui ne se contentent pas de limiter la collecte des données, mais qui permettent aux internautes de mieux exprimer leur consentement, d’une part,et de contrôler les différentes utilisations de données les concernant, de l’autre. La technologie est en passe d’apporter une réponse au premier problème : les avancées réalisées en matière d’analyse programmatique de texte[136] ont permis l’émergence d’outils simplifiant la lecture des chartes de confidentialité imposées aux internautes. Le logiciel « Terms of Service – Didn’t Read », qui peut se traduire par « Je n’ai pas lu les conditions de service », vise à passer en revue le contenu d’une charte de confidentialité, afin d’en résumer les forces et faiblesses en matière de respect de la vie privée, et d’assigner une note au document. Les différentes Agences de Protection des Données (APD) européennes ont ici un rôle à jouer : dans la mesure où les entreprises sont très peu susceptibles de communiquer la note obtenue par leur charte aux internautes, lorsqu’elle est négative, le manque de visibilité d’un tel classement le condamnerait à l’échec. En instaurant un système de certification européenne, par exemple sur le mode de ce qui existe déjà en matière de cookies, et en investissant dans son développement, les APD pourraient transformer un programme encore limité en un outil réduisant le risque de consentir aveuglément à de larges pratiques de collection et de traitement de données. Dès lors que les internautes deviendront majoritairement susceptibles de refuser de consommer un service à cause d’une charte de confidentialité insatisfaisante, ce que personne n’imaginerait aujourd’hui, les entreprises du numérique seront fortement incitées à tenir compte des attentes de leurs utilisateurs. Or, intégrer les attentes des internautes au cœur de la chaîne de valeur de ces entreprises est précisément ce que le projet de règlement européen vise à atteindre, à travers l’introduction du concept de « protection par défaut » (« privacy by design »), et de responsabilisation des acteurs du numérique (« accountability »).

En matière de contrôle des données, l’Union européenne a égalementun rôle à jouer : au-delà de la formulation d’un cadre juridique, elle doit entretenir les conditions d’une transparence totale en matière de traitement de données en tirant profit du progrès technologique. Comme le rappelle le Contrôleur Européen de la Protection des Données dans sa recommandation à l’attention du trilogue, « le problème ne concerne pas la publicité ciblée ou la pratique du profilage, mais plutôt l'absence d'informations significatives concernant la logique algorithmique qui élabore ces profils et a un effet sur la personne concernée. »[137].Plutôt que de s’attaquer à la pratique du profilage elle-même, dont la transparence, plus que la licéité, est ici remise en question, les APD européennes ont l’occasion de poursuivre leur mission d’information à travers le développement d’outils réduisant les asymétries d’informations entre responsables de traitement et personnes concernées. Pour faire valoir leurs droits, les internautes devraient ainsi être capablesd’identifier, à travers une interface simple d’utilisation, les sources et destinataires desflux de données les concernant.Un tel projet posedes difficultés d’ordre non seulement technologique, mais également économique : pour que ce droit d’accès soit effectif, il devrait s’exercer à travers une plateforme commune aux Etats membres, ce qui nécessiterait une infrastructure suffisamment robuste, ainsi que la participation d’un grand nombre d’entreprises s’accordant sur un ensemble de protocoles.Il ne serait toutefois pas sans précédent : aux Pays-Bas, la fondation Qiy a lancé en janvier 2015 la première version de ce qu’elle qualifie de « Nouvel Internet », à savoir une infrastructure permettant aux internautes de visualiser, puis de contrôler les flux de données les concernant entre les entreprises participantes[138]. Bien que l’interface ne soit pas encore disponible aux internautes –la première phase consiste à recruter des participants – le développement d’un tel projet illustre les opportunités introduitespar l’innovation technologique. A l’aune des conclusions de l’enquêtes du BCG, il est permis de penser qu’une telle infrastructure bénéficierait à la fois aux internautes et aux participants, puisque le contrôle accru dont les premiers bénéficieraient pourraient se traduire en une hausse des volumes de données collectées par les seconds. Une solution technologique constituerait une réponse adéquate au besoin de flexibilité imposé par la multiplication des formes de données personnelles : là où l’introduction d’une nouvelle catégorie de données ne reviendrait qu’à entériner des pratiques de profilages déjà largement répandues, une infrastructure construite sur un principe de transparence totale permettrait aux internautes d’exprimer leurs préférences en matière de partage. Comme l’ont identifié les participants au trilogue, la multiplication des formes de données et de leur traitement se traduit par une hiérarchisation du consentement des internautes : ils sont ainsi plus réticents à partager des données bancaires que des informations sociodémographiques (hiérarchisation sur la base du type de donnée), et ils sont également plus réticents à les partager avec des réseaux sociaux qu’avec des sites de commerce (hiérarchisation sur la base du destinataire des données, et de leur utilisation présumée).Introduire de nouvelles formes de donnéespour adapter le cadre juridique à cette réalité kaléidoscopique[139] est toutefois voué à l’échec, puisque cela reviendraità laisser la hiérarchisation du consentement à la discrétion des responsables de traitement, qui pourront chercher à l’obtenir de manière explicite, dans le cas de données personnelles,ou  automatisé, dans le cas de données « pseudonymisées ».A l’inverse, conserver une définition suffisamment générale, pour imposer l’obtention d’un consentement explicite, quel que soit le type de donnée, à travers une infrastructure transparente, permettrait de déplacer la hiérarchisation du consentement, depuis les responsables de traitement, vers les personnes concernées. Dans le premier cas, la décision s’effectue sur la base d’un seul critère, le type de données, et présente, en théorie,deux possibilités – le consentement explicite ou automatisé – mais cette décision est en réalité fortement biaisée vers la seconde, qui est à la fois plus simple à mettre en place, et concerne une majorité des données collectées. Dans le second, en revanche, la décision s’effectue sur la base de deux, voire davantage, de critères – le type et destinataire des données – et ne présente aucun biais : il permet ainsi de garantir une adéquation totale entre les préférences des internautes, et l’utilisation de leurs données.Encore une fois, seule une impulsion européenne pourrait donner à un tel projet les moyens de ses ambitions. De prime abord, le plus grand défi à relever serait d’intégrer une telle infrastructure au cadre juridique européen : si elle permettrait à l’évidence d’assurer le consentement explicite des internautes, dans le cas de transferts réalisés au sein de l’infrastructure, faut-il conditionner pour autant le consentement des internautes à la participation du responsable de traitement à cette infrastructure ? Autrement, ne prendrait-on pas le risque qu’une protection de la vie privée à deux vitesses voit le jour en Europe, entre traitements de données effectués dans le cadre de cette infrastructure, et ceux qui resteront à la marge ?Le véritable enjeu n’est, encore une fois, pas d’ordre technologique, mais économique : l’ambition ultime de l’Union européenne doit être de créer les conditions d’une utilisation généralisée d’un « Nouvel Internet », et non d’en imposer l’utilisation. Investir massivement dans le développement de cette infrastructure permettrait d’en accélérer le développement, jusqu’à ce qu’elle soit rendue disponible à tous les citoyens européens[140]. Récompenser les entreprises qui participent à cette infrastructure, à travers des crédits d’impôts, inciterait fortement les acteurs du numérique à la rejoindre. Accorder une certification à ses participants ferait baisser le coût de mise en conformité pour les acteurs du numérique, qui n’auront plus à solliciter leurs utilisateurs pour vérifier le caractère explicite de leur consentement. Confier aux Agences de Protection des Données des Etats membres la mission d’éduquer les citoyens européens à l’utilisation de l’interface garantirait qu’elle soit le plus largement utilisé.Enfin, et c’est sans doute le plus important, l’émergence d’une interface donnant aux internautes le moyen de contrôler leurs données mettrait fin aux pratiques opaques des courtiers en données : une fois les acteurs principaux de la publicité ciblée intégrés à cette infrastructure, les tierce-parties qui en dépendent feront face à un choix décisif. Soit ils la rejoignent à leur tour, et acceptent de lever le voile sur les transferts qui leur permettent de constituer leurs bases de données, soit ils refusent, au risque de voir leurs sources de données se tarir, car le coût de ces transferts aura dépassé le bénéfice engrangé par les entreprises qui les alimentaient jusque-là.

                S’il appartient aux organes législatifs européens d’affirmer l’invariabilité du principe de consentement explicite, l’Union européenne ne peut se contenter d’imposer de larges restrictions à des entreprises qui n’ont jamais intégré le consentement des utilisateurs au fonctionnement de leurs services, et préfèrent exploiter les limites du cadre juridique, ou régler des amendes dérisoires, pourcontinuer à collecter librement des données. Pour inciter ces entreprises à se mettre en conformité, les Etats membres doivent en diminuer le coût, à travers le développement de solutions technologiques, jusqu’au point où obtenir le consentement des internautes devienne plus avantageux que de ne pas le faire.

L’avenir du numérique : crise de confiance,ménage à trois, et révolution numérique

                Adopter une grille de lecture économique, comme cette note le propose, permet ainsi non seulement de mieux comprendre les enjeux qui pèsent aujourd’hui sur la protection des données et de la vie privée en Europe, mais esquisse également des pistes de résolution. Si ce sont bien les revenus de la publicité ciblée, et non le progrès technologique, qui ont permis à une poignée d’entreprises de se rendre compétitives au point d’imposer une domination sans partage sur l’industrie numérique, et de se soustraire au consentement de leurs utilisateurs, ce sont également ces revenus qui feront émerger un modèle dans lequel le lien de confiance avec ces mêmes utilisateurs rebattra les cartes, en faisant l’objet d’une compétition tout aussi féroce. L’exemple des courtiers en données illustre cette trajectoire : symptomatiques des dérives liberticides de la publicité comportementale, et bénéficiaires principaux des limites du cadre juridique  actuel, ils sont appelés à se transformer significativement, ou à disparaître, dès lors que les internautes disposeront des moyens de contrôler leurs données.En effet, contrairement aux géants de la SiliconValley, ils ne prospèrent aujourd’hui que grâce à un enchevêtrement d’asymétries d’information leur permettant de construire, à l’abri du regard des internautes, des bases de données gigantesques, au point d’être en mesure d’exercer des fonctions régaliennes[141]. Rendre aux internautes le contrôle de leurs données signerait l’arrêt de mort de cette industrie, du moins telle qu’elle existe aujourd’hui : si l’enquête du BCG montre que l’introduction de moyens de contrôle augmente la tolérance des internautes au partage de leurs données, il est difficilement concevable que ces internautes consentent à divulguer leurs données à des entreprises qui les collecte à la seule fin de les revendre, après les avoir agrégées et traitées, à des clients indéterminés. L’Union européenne fait donc face à un choix décisif : elle peut se contenter de préserver le cadre juridique actuel, en réaffirmant l’impératif de consentement explicite, quel que soit le type de données collectées, et tenter de contraindre les acteurs du numérique à le respecter en imposant de lourdes amendes. Sans alternative crédible, il y a toutefois fort à parier que les géants de la SiliconValley préféreront continuer à payer ces amendes, tant que le coût de mise en conformité restera supérieur. Elle peut, comme les premières versions du texte semblent le suggérer, laisser aux acteurs du numérique la responsabilité de garantir le consentement des personnes concernées, à travers un renforcement des concepts d’intérêt légitime et de nombreux régimes d’exception. Il s’agit toutefois d’un vœu pieux : tant que ces entreprises auront intérêt économiquement à se soustraire au consentement de leurs utilisateurs, l’introduction de telles exceptions ne pourra se traduire que par une diminution de la protection des internautes. Elle peut, enfin – et c’est la solution suggérée ici – agir sur deux fronts : d’un côté, préserver les principes de la directive de 95, et imposer un coût de mise en conformité prohibitif[142], et de l’autre, investir massivement dans le développement de solutions technologiques permettant aux internautes de prendre le contrôle de leurs données, et aux responsables de se mettre en conformité à un moindre coût. Seule l’associationentre un texte univoque,donc dépourvu de faiblesse pouvant être exploitée contre les internautes, et des efforts ambitieux en matière d’innovation technologique, visant à proposer une alternative crédible de mise en conformité, permettront de faire basculer l’écosystème du numérique vers un modèle où le coût de l’opacité des traitements de données dépassera celui d’une transparence totale et d’une protection accrue des internautes.

Bien qu’encore difficile à concevoir, ce modèle est loin d’être fantaisiste : de nombreux produits misent déjà sur la confiance des internautes pour se rendre compétitifs. Les révélations d’Edward Snowden en 2013 ont ainsi conduit de nombreuses entreprises à développer de nouvelles solutions de chiffrement afin de protéger les communications de leurs utilisateurs.Le système d’exploitation mobile d’Apple introduit en septembre 2014, l’iOS8, fut par exemple le premier à proposer un chiffrement par défaut du contenu des téléphones équipés. Puisque les services de renseignement américains sont autorisés à accéder à n’importe quelle donnée collectée par un responsable de traitement, la firme de Cupertino a ainsientrepris de se « lier les mains », en mettant au point un système d’exploitation barrant tout accès aux donnés de ses utilisateurs : si Apple n’a pas accès à ces données, elle ne peut pas non plus les transmettre aux autorités[143]. Même si cette fonctionnalité n’empêche pas les services de police ou de renseignement d’écouter des appels ou d’accéder à des métadonnées de communication, qui sont collectées auprès des opérateurs, le fait qu’Apple place la protection de la vie privée des internautes au cœur de sa stratégie marketing constitue une avancée majeure[144].Pour transformer la relation entre responsables de traitement et personnes concernées, l’Union européenne devra s’immiscer dans le débat industriel autour de la cryptologie, afin de se poser comme l’alliée des entreprises défendant son modèle de protection des données.Il s’agit là d’une opportunité historique d’éliminer le deuxième obstacle, après la publicité ciblée, qui se dresse entre les internautes et un consentement explicite : l’alignement des intérêts des autorités américaines, qui délivrent la certification Safe Harbor, et des géants de la SiliconValley, qui bénéficient d’un cadre juridique facilitant les transferts de données transatlantiques, et permettent en retour aux services de police et de renseignement d’exploiter ces données. Si cet alignement explique en partie la domination des entreprises technologiques américaines, la relation entre l’Etat fédéral et l’industrie numérique est loin d’être idyllique : comme l’illustrent les critiques dont les initiatives d’Apple en matière de protection des données font l’objet, il serait davantage pertinent de parler aujourd’hui de « ménage à trois », mettant aux prises les Etats-Unis, la SiliconValley, et l’Union européenne. Plutôt que de s’attaquer frontalement aux deux premiers, au risque de se voir accuser de protectionnisme, cette dernière aurait donc tout intérêt à accompagner les entreprises cherchant à proposer des solutions de conformité, en investissant dans la recherche en cryptologie, et en développant des partenariats, qui permettraient à ces entreprises d’avancer en matière de protection des données. L’arrêt de la CJUE du 6 octobre 2015, invalidant l’accord Safe Harbor, et critiquant sévèrement la passivité de la Commission européenne face à l’exploitation massive des données des citoyens européens par les services de renseignement américains, pourrait marquer une amorce de reprise en main par l’Union européenne des enjeux liés à la protection de la vie privée : en l’absence de cadre juridique, les entreprises cherchant à réaliser des transferts de données transatlantiques devront négocier des clauses contractuelles type avec leurs partenaires européens, ce que nombre d’entre elles font déjà. Or, ces clauses doivent systématiquement être validées par les APD européennes, telles que la CNIL : jusqu’à ce qu’un nouvel accord soit conclu, ces dernières ont donc l’opportunité de reprendre en main le contrôle qui avait été abandonné en 2000 au Département du Commerce américain. Ainsi confortées dans leurs pouvoirs,elles pourraient devenir le bras armé d’une Union européenne cherchant à bousculer les rapports de force au sein de ce « ménage à trois », à travers la construction de relations bilatérales avec la SiliconValley, aussi bien en matière de contrôle que de développement de solutions de conformité innovantes.

Sans la formulation d’une stratégie ambitieuse de la part de l’Union européenne, et d’une réponse claire aux enjeux posés par la publicité ciblée et l’interventionnisme américain, l’industrie numérique ferait un pas de plus vers la crise de confiance anticipée par le BCG. En effet, l’idée qu’à long terme, une industrie profitant d’asymétries d’information pour créer de la valeur atteigne un tel déséquilibre qu’elle ne puisse continuer à croître qu’à travers une restructuration ou une crise, a de nombreux précédents. Le parallèle entre l’industrie financière et technologique, qui servait déjà à introduire le concept d’asymétrie d’information, permet ici d’envisager les difficultés auxquelles l’industrie numérique risque de se heurter. En 2008, c’est bien l’opacité des banques engagées dans la création de produits financiers complexes, sur la base de créances hypothécaires, qui a précipité l’effondrement du système financier mondial. Les asymétries d’information qui leur permettaient, avant la crise, decréer de tels produits, à l’abri du regard des détenteurs de ces créances et des régulateurs, se sont, depuis, largement résorbées : bien qu’imparfaite, la loi Dodd-Frank, entrée en vigueur en 2010, impose désormais de strictes contrôles sur ces activités. La multiplication, ces dernières années, de scandales liés à des utilisations illégitimes de données,laisse présager un tel sort pour l’industrie numérique : plus les conséquences de ces asymétries d’information se feront sentir, et plus il sera difficile d’ignorer la source du problème.Si les GAFA représentent ici les banques d’investissement ayant déclenché la crise, alors les courtiers en données en sont la face cachée, celle des traders qui structurent des produits si éloignés des actifs auxquels ils se rapportent, qu’ils sont les seuls à en connaître le contenu. Ils gravitent certes à la marge de l’écosystème bancaire, mais en dépendent entièrement : les dettes contractées par les ménages américains, comme les données collectées auprès des internautes, constituent la matière à partir de laquelle ils façonnent de nouveaux produits. Leurs montages financiers, comme les techniques statistiques employées par les courtiers en données, visent à augmenter la valeur initiale de cette matière : là où l’agrégation de créances doit en théorie permettre de diminuer les risques de défauts, le traitement des données doit permettre de constituer des profils individuels de consommateurs. Ces produits, toutefois, sont trop complexes pour en remonter à l’origine : par conséquent, il suffit d’un seul coup de vent, à l’instar de la panique suscitée par la chute des prix immobiliers, pour que tout le château de cartes s’effondre. Si celui de l’industrie numérique est toujours debout, il est permis d’envisager qu’un jour, un scandale suffisamment puissant lève à son tour le voile sur les pratiques des courtiers en données : au lieu d’actifs toxiques, c’est le commerce de données financières, religieuses, ethniques, ou médicales, qui feront la une des journaux. Le jour où des millions d’internautes, héros de ces bases de données, subiront de plein fouet les conséquences de la marchandisation de leur identité, l’industrie numérique devra se réinventer pour survivre à la crise de confiance qui ébranlera le fragile modèle économique, tel un colosse aux pieds d’argile, sur lequel elle se reposait jusque-là. Au lieu de courir après le progrès technologique, l’Union européenne a ici l’occasion d’anticiper un bouleversement majeur, et de se placer au cœur d’un nouvel ordre numérique. Il s’agit non seulement d’accompagner une transition vers un modèle où les responsables de traitement se disputent la confiance des internautes, mais également de faciliter l’émergence d’un nouveau secteur d’activité, spécialisé dans les solutions de mise en conformité. Parmi les 450 milliards d’euros qui seront à risque en 2020 si cette transition échoue, une partie pourra être capturée par les entreprises proposant de telles solutions, à l’instar de l’infrastructure développée par le néerlandais Qiy. A la table des GAFA, il y aura donc des places à prendre : en agissant vite, et ambitieusement, le Vieux Continent pourrait bien surprendre le Nouveau, et saisir avant lui le train de cette nouvelle révolution numérique.

 

Historique du papier :

A l’origine dédiée aux enjeux posés par Google en matière de protection de la vie privée, cette note s’est vite recentrée sur la problématique de la publicité ciblée et des courtiers en données, afin d’explorer ces enjeux à travers un prisme économique, et, dans une moindre mesure, géopolitique. La question qu’elle vise à résoudre, celle de la réconciliation entre nouvelles technologie et consentement des internautes, est en effet particulièrement saillante lorsque l’on s’intéresse à cette industrie, car elle constitue l’enfant terrible de la publicité ciblée : en suscitant l’émergence d’un modèle « patrimonialiste », où la marchandisation des données s’opère à l’abri du regard des personnes concernées, grâce au décalage entre le service proposé aux internautes, et la production de revenus, elle cristallise tous les maux que l’on peut attribuer à l’industrie numérique. Trouver une solution réglementaire et économique à ce problèmeimplique non seulement de parvenir à endiguer les dérives liberticides, voire discriminatoires, de ces entreprises, mais également de faire émerger un écosystème alternatif, dans lequel les acteurs du numérique se disputent la confiance des internautes,dont la tolérance au partage de données diminue avec l’éducation aux pratiques de l’industrie numérique, mais augmente avec le contrôle de ces données.

Malgré des conclusions sévères au sujet du projet de règlement européen, qui n’apporte non seulement aucune solution valableau problème identifié, mais menace également de dégrader le niveau de protection actuel, à travers l’introduction de nombreux régimes d’exception au consentement explicite, cette note considère que l’Union européenne a un rôle déterminant à jouer dans l’émergence d’un nouvel ordre numérique.Si le règlement devraimposer un coût de mise en conformité prohibitif pour les entreprises qui s’en soustraient aujourd’hui, et affirmer les principes de la directive de 95, l’Union européenne devra également proposer des alternatives crédibles à l’industrie numérique, à travers le développement de solutions technologiques rendant le contrôle de leurs données aux internautes, et inciter ces entreprises à adopter des objectifs de création de valeur en ligne avec les exigences européennes en matière de protection de la vie privée. Enfin, l’Union européenne devra s’immiscer dans les débats industriels qui divisent les géants de la SiliconValley et les autorités américaines, afin de s’aligner, sans toutefois faire preuve d’angélisme, avec les entreprises cherchant à intégrer cet écosystème alternatif. Cette intervention est non seulement désirable, mais également indispensable pour éviter une crise de confiance qui porterait un sérieux coup d’arrêt à la croissance d’une industrie dont l’Union européenne dépend chaque jour davantage.

Le Groupe des Belles Feuilles a soutenu le travail de Dimitri Nouveau, car de longue date, ce Groupe a entendu favoriser une meilleure compréhension des centres de pouvoir responsables des blocages et des échecs, et par lesquels, à l’inverse, de vrais progrès sont parfois réalisés. Il lui a semblé que cette étude, sur des sujets novateurs et cruciaux, était susceptible de contribuer à une initiative d’envergure, à la hauteur des responsabilités de l’Union européenne dans ce domaine. Le GBF est disponible pour participer, avec d’autres chercheurs et porteurs de projets, à des initiatives qui pourraient prolonger les réflexions de Dimitri Nouveau, notamment sur les enjeux industriels de l’Internet, sur le développement de serveurs européens, sur le rééquilibrage de la domination commerciale américaine, sur l’évaluation des enjeux financiers à long terme, ou encore sur l’évolution des règles de droit d’auteur. Ont particulièrement contribué aux réflexions autour de cette étude : Christophe Clarenc, Paul Jaeger, Chloé Perrot, Grégoire Schöller, Grégoire Postel-Vinay, Guillaume Loth-Demay. Dimitri Nouveau est diplômé de Sciences-Po Paris et de Columbia University. Il travaille dans le secteur financier aux Etats-Unis. Il a été membre de Terra Nova.

 


[1] « Aujourd'hui, les algorithmes sont massivement utilisés par les géants de l'internet pour des activités à caractère commercial sans susciter la moindre indignation ». Entretien accordé à Libération, le 10 avril 2015.

[2] Association de professionnels de l’industrie numérique, notamment co-présidée par Pierre Kosciuzko-Morizet.

[3]Communiqué publié par l’ASIC le 8 avril 2015. Le Troisième Pilier de l’Union Européenne, sécurité et défense, est exclu de la méthode communautaire, et donc du cadre juridique en matière de protection des données.

[4] Une manifestation tenue le 13 avril à Paris aurait rassemblé une centaine de participants, selon Libération, ou quelques dizaines, selon le Figaro. Bien loin des foules ayant manifesté contre le Mariage pour Tous en 2013.

[5] Un sondage mené par Odoxa pour le Parisien semble confirmer cette tendance : 69% des Français trouvent le texte utile, mais craignent, dans les mêmes proportions (68%) qu’il remette en cause leur vie privée.

[6] Baromètre Syntec Numérique BVA de septembre 2013, soit trois mois après les révélations d’Edward Snowden.

[7] Le concept de World Wide Web est profondément antithétique de toute forme de monopole.

[8] Le 27 juillet 2000, la Commission européenne a instauré, en concertation avec le Département du Commerce américain, un cadre juridique dénommé « Sphère de sécurité » (Safe Harbor) permettant de certifier qu’une entreprise américaine respecte la législation européenne (cf. note no 13), et donc de l’autoriser à transférer des données collectées auprès de citoyens européens vers les Etats-Unis (lien vers le texte). Longuement critiqué, car contrôlé par le Département du Commerce américain, ce dispositif de certification est au cœur du procès intenté en 2015 par l’Autrichien Max Schrems à Facebook, qu’il accuse de transférer des données vers les Etats-Unis, alors que ces données y bénéficient d’un niveau de protection inférieur à celui de l’Espace Economique Européen, puisqu’elles sont largement exploitées par les services de renseignement américains (cf. note no 12). La Cour de Justice de l’Union Européenne (CJUE) a invalidé cet accord dans un arrêt rendu le 6 octobre (lien vers le texte).

[9] Bruno Jeanbart, directeur général adjoint d'OpinionWay, explique dans un sondage réalisé pour le Figaro en juin 2013, que les internautes « n'ont pas conscience que la multiplicité des messages déposés permet aux opérateurs de dégager des profils extrêmement précis».

[10]Ibid

[11] Google, Amazon, Facebook, Apple.

[12]Un ancien consultant de la NSA, Edward Snowden, a révélé en 2013 que les principales agences de renseignement américaines exploitaient largement les données collectées par les entreprises du numérique sur leurs utilisateurs pour surveiller massivement les internautes. Or, certaines de ces entreprises sont soupçonnées d’avoir bénéficié de la mansuétude des régulateurs. Le Wall Street Journal est parvenu en mars 2013(lien vers l’article) à se procurer un rapport de 160 pages de la Federal Trade Commission accusant Google de pratiques contraires aux intérêts des consommateurs, sans toutefois prononcer de sanctions à son encontre : l’enquête s’est conclue par un règlement à l’amiable entre les deux parties.

[13] Largement inspirée de la loi « Informatiques et Libertés » de 1978, et d’autres textes similaires en Europe (par exemple en Allemagne), la directive 95/46/CE sur la protection des données personnelles introduit des principes fondateurs tels que le droit d’information, d’accès et d’opposition, et conditionne la collecte et le traitement de données personnelles au consentement de leur détenteur. Elle impose la création d’Agences de Protection des Données (APD) dans chaque Etat-Membre, et institue un organe consultatif, groupe de travail article 29 (G29), qui rassemble les représentants des différentes APD.

[14] Dès lors que l’on considère un moteur de recherche comme un responsable de traitement de données.

[15] Données extraites des rapports annuels de Facebook, Google par le site Statista ;

[16] Comme en témoigne la récente réorganisation de Google, qui devient une filiale d’Alphabet pour donner davantage d’indépendance aux projets les plus audacieux, appelés « moonshots » (tirs vers les étoiles) en raison de leur nature extrêmement risquée.

[17] Article publié sur le site leMonde.fr le 15/07/2015 : « Droit à l’oubli : la France en têtes des demandes », par Morgane Tual. Lien vers l’article

[18] 60% selon une enquête du professeur Joseph Turrow de la AnnenbergSchool for Communication, citée par  Chris Jay Hoofnagle et Jennifer King dans leur étude « Consumer Information Sharing: Where the Sun StillDon'tShine »

[19] Pratique qui est généralement l’apanage d’acteurs « secondaires » de l’industrie numérique : dans la mesure où les données collectées par Google ou Facebook constituent leur actif le plus précieux, ils auraient tort d’abandonner cet avantage à d’autres acteurs. Plutôt que des transferts, les leaders du marché donnent donc aux annonceurs un accès « indirect » à leurs données, en prenant à leur charge la diffusion et le ciblage d’espaces publicitaires, à travers leurs « serveurs de publicité », par exemple Double Click (Google).

[20]Communiqué de la CNIL du 8 janvier 2014. Elle justifie notamment sa décision par le fait que « La société n'informe pas suffisamment ses utilisateurs des conditions et finalités de traitement de leurs données personnelles. De ce fait, ils ne peuvent comprendre, ni les finalités de la collecte, celles-ci n'étant pas déterminées comme l'exige la loi, ni l'ampleur des données collectées à travers les différents services. Par conséquent, ils ne sont pas mis en mesure d'exercer leurs droits, notamment d'accès, d'opposition ou d'effacement. » 

[21] Le rôle prévu pour les sous-traitants est limité, puisqu’ils ne sont censés opérer que sur les instructions du responsable de traitement, et sont ainsi exonérés de toute responsabilité. Comme la suite de cette note l’explique, le fossé technologique qui peut exister entre une entreprise de commerce et un prestataire de service mandaté pour optimiser une campagne marketing remet en question la capacité du premier à superviser le traitement des données par le second.

[22] De l’anglais datafication.

[23] Donnée à caractère personnel: toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale».

[24] Le groupe IBM estime que le volume de données générées dans le monde est appelé à doubler tous les deux ans, d’ici à 2018. Source

[25] “Unique in the Crowd : the privacybounds of humanmobility”, publié par Yves-Alexandre de Montjoye, César A. Hidalgo, Michel Verleysen& Vincent D. Blondel, le 25 mars 2013.

[26] Exercice qui peut être simplement réalisé à partir du menu principal de l’iPhone.

[27] Traduit par la Commission à la protection et la vie privée du Canada, dans sa note Métadonnées et Vie privée – Un apercu juridique et technique

[28] A ne pas confondre avec une régie publicitaire, à laquelle un fournisseur de contenu (par exemple un site d’information) abandonne la responsabilité de vendre ses espaces publicitaires, contre une rémunération. Une entreprise proposant des serveurs de publicité ne travaille pas seulement pour le compte d’un fournisseur de contenu, mais également pour des annonceurs, et constitue davantage une agence de publicité.

[29] Le courtier en données Acxiom, pour sa part, a développé en 2013 un outil lui permettant de s’affranchir de l’utilisation de cookies, qui sont limités lorsque les internautes surfent sur le web sur des plateformes multiples (téléphone mobile, tablette, ordinateur portable). Cf article du Financial Times publié le 23 septembre 2013

[30] Comme mentionné dans la note 12, page 3, le G29, ou Groupe de travail article 29, est un organe consultatif institué par la directive de 95, et qui rassemble les dirigeants des Agences de Protection de Données des Etats-Membres. Il publie régulièrement des notes de réflexion sur des enjeux liés à la protection des données et de la vie privée, et conseille les organes législatifs européens. Isabelle Falque-Pierrotin, présidente de la CNIL, a été élue à sa tête en 2014 pour une durée de deux ans (mandat renouvelable une seule fois).

[31] Présidée par Jacob Kohnstamm, qui fut également à la tête du G29 de 2010 à 2014.

[33]DoubleClick est une filiale de Google, acquise en 2008, et qui se spécialise donc dans la publicité comportementale.

[34] Par exemple, un utilisateur ayant précédemment effectué une recherche sur un site de constructeur automobile sera exposé à des publicités d’autres constructeurs lors de navigations ultérieures, sur des sites sans rapport avec sa recherche originale.

[35] Directives 2002/58/CE et 2009/136/CE dite “ePrivacy Directive”. Transposée en France en 2011 à travers le « Paquet Telecom ».

[36] 75% de ces sites sont d’ailleurs hébergés en République Tchèque, ce qui illustre les disparités qui subsistent entre les différentes regulations nationales.

[39]CollegeBeschermingPersoonsgevens

[41]Rapport publié par la CNIL le 5 février 2009, « La Publicité Ciblée en Ligne », page 23.

[42] Modifiée par la directive de 2009.

[44] Par exemple, le logiciel Ghostery qui est compatible avec tous les principaux navigateurs.

[45] Article 10 de la directive 2002/58/CE.

[46] Site Internet de l’entreprise

[47] Exemples tirés du site Internet de l’entreprise Eulerian.

[48] CRM: Customer Relationship Management. Logiciel permettant la conservation et le traitement de données clients afin de mieux analyser cette clientèle, et améliorer les opérations de marketing.

[49] « Connaissance client : vers une attribution centrée sur l’utilisateur ? », site Internet de l’entreprise

[50] Le tracking de session indique à un site la provenance d’un internaute, c’est-à-dire le ou les sites visités avant d’arriver sur cette page. Il est évidemment très utilisé par les sites de commerce en ligne.

[51] « Sites e-commerce et opérations e-marketing : les 7 commandements d’une collecte de données réussie », disponible sur le site Internet de l’entreprise.

[52] Utilisation du logiciel Ghostery sur la page d’accueil du site.

[53] « Mesurer l’impact des campagnes offline sur la performance des campagnes digitales », site de l’entreprise

[55] A noter que cette politique prend seulement la forme d’une FAQ, dont une seule question évoque les cookies, ce qui ne correspond clairement pas au niveau de précision requis pour être en conformité avec la loi.

[56] « Sites e-commerce et opérations e-marketing : les 7 commandements d’une collecte de données réussie », disponible sur le site Internet de l’entreprise.

[57] Une fois activée, la fonctionnalité « Do Not Track », proposée par des navigateurs Internet tels que Google Chrome, indique aux sites visités par un internaute que celui-ci refuse de faire l’objet de traçage.

[59]Article publié par ZDNet le 21 septembre 2012, « Why Do Not TrackisWorsethan a MiserableFailure »

[60]Rapport publié par la CNIL le 5 février 2009, « La Publicité Ciblée en Ligne », page 21.

[61]Rapport publié par la CNIL le 5 février 2009, « La Publicité Ciblée en Ligne », page 21.

[62] Qui est par exemple en compétition avec Critéo en matière de reciblage publicitaire, c’est-à-dire la diffusion de messages publicitaires sur les pages qu’un internaute visite après avoir quitté un site marchand, afin de l’inciter à y revenir afin de conclure un achat.

[63] Le Federal Trade Commission Act et le HealthInsurancePortability and AccountabilityActencadrent respectivement la collection et les transferts de données bancaires et médicales.

[64] Entreprise listée au NASDAQ, se définissant comme un éditeur de solutions logicielles marketing et analytiques, au chiffre d’affaires d’un milliard de dollars (2014), et comptant plus de 7000 employés. Ses principaux compétiteurs sont Experian, Epsilon, CoreLogic ou encore Datalogix.

[65] Segments PersonicX d’Acxiom, consultables sur le site internet de l’entreprise.

[66]Ibid

[68] Soit 80% des ménages français, un chiffre qui ne cesse probablement d’augmenter.

[69] Etude de cas disponible sur le site d’Acxiom

[71] Etude de cas disponible sur le site d’Acxiom

[72] Il s’agit évidemment d’une simplification, puisqu’il existe plusieurs destinataires similaires à Acxiom, mais leur nombre n’en demeure pas moins très limité, ce qui confirme le raisonnement proposé ici.

[73] Il existe bien sûr des contre-exemples : si un produit, par exemple une carte de crédit destinée à la frange la plus aisée de la population, n’est disponible qu’en réponse à une telle incitation, il s’agira de facto de discrimination (toujours au sens économique, et non légal).

[74] Comme une jeune Américaine en a fait l’expérience, lorsque son père a découvert sa grossesse par l’intermédiaire de publicités envoyées par la poste à des consommatrices dont l’historique de recherche correspondait au profil d’une femme enceinte. Source

[75] Disponible sur le site d’Acxiom

[76]Rapport de la CNIL publié le 5 février 2009, « La publicité ciblée en ligne », page 22

[77]Pack de conformité assurance de la CNIL, édition juillet 2014, page 16

[78] Description du segment: « La pression financière est omniprésente. Leurs préoccupations sont matérielles et presque de première nécessité. Ils ont comme valeur fondamentale l’entraide. »

[82]ibid

[83] Le niveau d’endettement des ménages américains représentait près de 100% de leur revenu disponible brut en 2000, contre 50% pour les ménages français. Cet écart s’est néanmoins réduit avec la crise de 2007.

[84] Niveau d’endettement, historique de paiements, etc.

[85] Concept très proche de celui de responsable de traitement dans la directive 95/46/CE.

[88]Ibid

[89] Les consommateurs peuvent demander une copie des informations les concernant.

[90]Sondage réalisé pour le Figaropar OpinionWay en juin 2013.

[91] Comme en témoigne la poussée électorale du Front National en France, de UKIP au Royaume-Uni, ou de l’AfD en Allemagne, aux élections européennes de mai 2014.

[93]Ibid, article 7.4.

[94]Ibid, articles 23 (« Protection des données dès la conception et protection des données par défaut ») et 35, qui impose la désignation d’un délégué à la protection des données dans les entreprises de plus de 250 personnes.

[95] Puisqu’il incombe au responsable de traitement de prouver que la personne concernée a consenti au traitement de ses données personnelles (article 7.1).

[96] Note publiée sur le site de la Quadrature du Net le 28 mai 2013, « PrivacyAlert #1 : Le consentement explicite. » 

[98] Dont la principale avancée consiste en l’introduction d’un « guichet unique » à destination des entreprises dont les opérations ne sont pas limitées à un Etat membre (pour la plupart des entreprises américaines).

[99]Sous l’impulsion de son président Jean-Claude Juncker, la Commission européenne a fait du développement d’un « Marché Unique Numérique » une de ses priorités. La protection de la vie privée n’est que brièvement mentionnée, parmi le premier des trois domaines d’action identifiés (« Améliorer l’accès aux biens et services numériques », « Créer un environnement propice au développement des réseaux et services numériques », et « Le numérique : un moteur de la croissance »).

[100] Sur 139.

[102] Article publié sur le blog « Pixels » du Monde.fr le 11 août 2015, « Tout ce qu’il faut savoir sur Alphabet, la maison-mère de Google. » 

[103] « The lobbying from all sides has been fierce – absolutelyfierce – I have not seensuchaheavy lobbying operation. » Viviane Reding, dans un entretien accordé au Telegraph le 8 février 2012.

[104] Base de données réalisée par la Quadrature du Net à partir des notes de lobbying que l’association a pu se procurer, et accessible sur leur site Internet.

[105] Projet d’analyse de données publiques à l’initiative d’OpenDataCity et Europe-v-Facebook, l’organisation montée par MaximillianSchrems, le jeune avocat autrichien ayant intenté plusieurs procès à l’encontre du réseau social.

[106] Résultats consultables sur le site LobbyPlag.eu

[107]Rapport publié par Privacy International le 11 janvier 2013, « Amazon and eBay lobbyistsfound to bewriting EU data protection law in copy-pastelegislationscandal » 

[108] American Chamber of Commerce, Association of Consumer Credit Information Suppliers (qui rassemble des courtiers en données), Fédération Bancaire de l’Union européenne, eurofinas et eBay.

[111] Cf. note 106.

[112] Le Contrôleur Européen de la Protection des Données (CEPD), st une autorité de contrôle indépendante dont l'objectif est de protéger les données à caractère personnel et la vie privée et de promouvoir les bonnes pratiques dans les institutions et organes de l'UE. Ce rôle est aujourd’hui assuré par l’Italien Giovanni Buttarelli.

[113]“Core Topics in the View of the Trilogue”, note publiée le 17 juin 2015.

[114]Site LobbyPlag.eu, éléments d’explications des conséquences du projet du Conseil sur la protection des données

[115]Article publié sur Euractiv le 27 juillet 2015, « EU watchdoglaunchestransparencyapp for data privacytalks » 

[116] Marché Intérieur et Protection des Consommateurs, présidée par Malcolm Harbour, le député britannique détenant le record du nombre d’amendements directement soufflés par des groupes d’influence.

[118]Ibid, préambule, paragraphe 39.

[119] « Données qui ne peuvent être rattachées, directement ou indirectement, seules ou combinées à des données associées, à une personne physique, ou lorsque l'établissement d'un tel lien requerrait un temps, des dépenses et des efforts disproportionnés compte tenu de l'état de la technologie au moment du traitement et des possibilités de développement pendant la période où les données seront traitées. » 

[121]Ibid, article 4, point 2 bis

[122]Ibid, article 7, point 2 bis

[123] Pour rappel, la bannière « Do Not Track » est ignorée par l’immense majorité de l’industrie numérique.   

[124]“Core Topics in the View of the Trilogue”, note publiée le 17 juin 2015, page 5.

[126]Rapport publié par la CNIL le 5 février 2009, « La Publicité Ciblée en Ligne », page 21.

[127]European Digital Rights, dont plus de 50% du financement est assuré par deux associations, Open Society Foundations, elle-même financée par le philanthrope américain George Soros, et la AdessiumFoundation, elle-même financée par l’homme d’affaires néerlandais Rogier van Vliet. Rapport d’activité 2014 de EDRi.

[129] « La protection des données personnelles en Europe : plus de 100 personnalités du monde académique prennent position ». Lien vers la déclaration.

[130] Baromètre Syntec Numérique BVA de septembre 2013

[131] Rapport du Boston Consulting Group, « The Value of Our Digital Identity », novembre 2012, page 16

[132]Ibid, page 22

[133]Ibid, page 9

[134]Ibid, page 58

[135] L’utilisation de données collectées auprès des titulaires d’une carte de réduction de la chaîne de magasin Target pour identifier les femmes enceintes (clientèle tendant à acheter davantage, avec une faible sensibilité au prix) est un exemple notoire : en 2012, la médiatisation par le New York Times d’un conflit opposant l’entreprise à un père ayant appris la grossesse de sa fille à travers les promotions qu’il recevait du magasin a révélé ces pratiques.

[136] “Computer-AssistedTextAnalysis”

[138]Site Internet de la Fondation Qiy

[139] C’est-à-dire que la combinaison entre les différents types de données personnelles et  de leurs destinataires potentiels multiplie les niveaux de consentement au partage. Une donnée bancaire ne sera pas partagée de la même manière avec une institution financière qu’avec un réseau social (la légitimité du traitement est évaluée sous l’angle du besoin présumé : qui a le plus besoin de mes données bancaires ?). A l’inverse, une donnée de préférence (un « like ») ne sera pas partagée de la même manière qu’une donnée de géolocalisation lorsqu’il s’agit d’un réseau social (la légitimité du traitement est ici évaluée sous l’angle du type de donnée : est-il plus important pour moi de partager mes préférences musicales, où l’endroit où je me trouve ?). 

[140] Le coût d’un tel projet serait évidemment élevé, mais ne peut que diminuer : à titre d’exemple, le coût de stockage d’un gigabyte (GB) de données est passé de près d’un demi-million de dollars en 1980, à trois centimes aujourd’hui. Il a été divisé par trois, de neuf à trois centimes, rien qu’entre 2010 et 2014.

[141] Par exemple, selon la définition d’Adam Smith, « protéger tous les membres de la société contre l’injustice ou l’oppression causée par un autre membre », ce à quoi tendent leurs services de prévention de la fraude.

[142] Puisque les responsables de traitement devront activement rechercher le consentement des utilisateurs.

[143] Apple a expliqué en septembre 2015 au Département de la Justice qu’il ne pouvait se soumettre à des requêtes de services de renseignement ou de police demandant l’accès à ces données, puisque l’entreprise n’y a elle-même pas accès. Article publié dans le quotidien The Guardian le 8 septembre 2015, par Alex Hern.

[144]Ces efforts sont notamment salués par l’association Electronic Frontier Foundation dans son enquête annuelle, « Who has your back ? », qui vise à évaluer les efforts entrepris par les acteurs du numérique pour protéger leurs utilisateurs des services de police ou de renseignement. Apple reçoit la note de 5/5 (lien vers l’enquête).