Big data, ultra-ciblage : quels sont les freins à cette course aux données ? Comment la réglementation peut-elle encadrer un environnement dont les évolutions technologiques sont si rapides?

Le 20 novembre 2013, Vint Cerf, une des personnes les plus influentes d’Internet, engagé par Google en 2005 comme « Chef évangéliste de l’Internet »  a lancé au cours d’une présentation : «La vie privée pourrait bien être une anomalie ».

Une phrase qui n’est pas passée inaperçue. Pour Vint Cerf, la vie privée n’est qu’un concept qui n’existe que par « la révolution industrielle et la croissance des concentrations urbaines ». Il estime également qu’avec le développement des réseaux sociaux, il sera « de plus en plus difficile » d’assurer le respect de la vie privée.

En publicité digitale, le ciblage devient aussi de plus en plus pointu grâce à de nouvelles techniques de traçage comme le fingerprinting destiné au Mobile et qui se développe sur les autres supports fixes. Cette technique permet d’identifier une « empreinte unique » pour la plupart des matériels, à partir du croisement d’un certain nombre de données comme les plugins et les logiciels installés, la taille de l’écran, les paramètres.

En savoir plus sur l’Expansion « Vie privée sur internet: avaler des cookies, oui mais pas n’importe comment« 

De bonne augure donc pour les marques qui cherchent à cibler de plus en plus finement leur audience. Pour cela, elles s’appuient sur des outils de collecte de données (Big Data) toujours plus performants,. Comment la loi régule cette nouvelle évolution ? Quelles sont les limites imposées par le cadre légal en matière de données personnelles ? Les consommateurs n’ont pas toujours conscience de l’exploitation que font les entreprises de leurs données personnelles. Cette tendance est-elle en train de changer ? Quel pouvoir ont les associations de consommateurs en France ? Les sanctions données par la CNIL sont-elles réellement suffisantes ?

Big data

Armand-Gabriel de Paz avocat au cabinet Alyanakian*, en charge des questions liées au Digital, en conseil et contentieux donne à Webloyalty quelques éléments de réponses.

1 : Les moyens technologiques pour collecter et exploiter les données personnelles des consommateurs sont toujours plus performants, grâce au Big Data. Mais peut-on tout savoir sur les consommateurs ? Quelles sont les limites imposées par le cadre légal en matière de données personnelles ?

Nous disposons d’une réglementation vieille de plus de 30 ans sur les données à caractère personnel qui a servi de base aux réglementations des pays de l’Union Européenne. Cette loi prévoit des conditions strictes à toutes étapes d’un traitement, la collecte, la conservation mais aussi l’exploitation de ces données.

S’agissant de la collecte elle doit être transparente. La réglementation impose d’informer clairement le consommateur avant toute collecte, notamment sur l’existence de cette collecte, ou encore sa finalité. La Cnil a ainsi prononcé un avertissement public à l’encontre de Pages Jaunes pour collecte déloyale de données, par aspiration d’informations recueillies sur divers sites comme Facebook ou Copains d’Avant…

Le préjudice d’image subi par cette société est important, ses pratiques étant portées à la connaissance du public de façon détaillées.

S’agissant de la collecte via des cookies, la France intégrant une directive européenne, a imposé aux responsables de sites internet d’informer les utilisateurs sur l’usage des cookies et de permettre à ces utilisateurs de refuser leur installation. La Cnil a émis des recommandations sur leur exploitation le 16 décembre 2013.

S’agissant du volume de données collectées, la Cnil veille à ce qu’il soit proportionné à la finalité du traitement. Les données recueillies auprès de personnes mineures sont ainsi encadrées. Un webmestre ne devrait ainsi pouvoir récupérer que l’adresse email et l’âge de l’utilisateur excluant toute données sur l’entourage familial par exemple.

Cette restriction est à rapprocher du potentiel informationnel dont dispose Facebook qui détient un grand nombre d’informations sur le quotidien de millions de personnes et sur plusieurs années, offrant un potentiel de ciblage toujours plus fin et donc mieux valorisable, mais pouvant porter atteinte de façon excessive à la vie privée des utilisateurs.

2. Le mobile est le nouvel eldorado pour les annonceurs puisqu’il offre la possibilité de collecter des données personnelles comme le numéro de téléphone ou encore l’endroit où se situe la personne en temps réel. La loi est-elle à jour pour répondre à cette nouvelle évolution ?

« Le mobile a la particularité d’être propre à un individu, à la différence d’un PC familial et de permettre sa géolocalisation. A court terme, il sera également un moyen de paiement. De ce fait, le mobile comportera des détails extrêmement fins sur la personne, sur ses habitudes, ses horaires d’achat.

La réglementation actuelle répond à beaucoup de ces nouveaux défis. Toutefois son application est encore timide, ce qui n’est pas anormal. Bien souvent un délai est nécessaire pour appréhender les spécificités d’une technologie nouvelle et y adapter la réglementation, si nécessaire. Or précisément, la Cnil vient de publier un rapport mitigé sur la protection des données recueillies via des mobiles. Elle présente d’ailleurs les mobiles comme des « boites noires » constatant, entre autre, que les paramètres et réglages des OS sont largement insuffisants. Dans ce rapport on apprend que sur le panel des utilisateurs s’étant prêté à l’expérimentation, 1/3 des applications ont accédé à la géolocalisation et 9/10 à internet, sans information claire de l’utilisateur.

Le sujet est donc actuellement étudié par la Cnil et on peut s’attendre à ce qu’elle émette prochainement une série de recommandations. Attendons nous également à des contrôles multipliés dans ce domaine. »

3. Les consommateurs n’ont pas toujours conscience de l’exploitation que font les entreprises de leurs données personnelles. Cette tendance est-elle en train de changer ? Existe-t-il des actions pour éduquer d’avantage le consommateur ? Existe-t-il un relai des lobbies ?

« La Cnil a un rôle d’éducation des consommateurs, ignorant l’utilisation faites de leurs données voir même n’ayant pas conscience de leur collecte. Beaucoup d’utilisateurs de Google ou Facebook ignorent parfaitement les traitements du nombre incroyable de big data auxquelles ils donnent accès à ces champions du profiling.

NB : Concernant l’utilisation des cookies, la CNIL propose désormais aux internautes des outils pour leur permettre de maîtriser l’usage de ces cookies et ainsi limiter la traçabilité de leur navigation sur le web.  La CNIL met également à disposition un logiciel, Cookieviz, permettant de visualiser en temps réel le dépôt et le contenu des cookies lors de sa navigation.

Le gouvernement a lui aussi conscience de l’importance de la question et a introduit la protection de la vie privée dans le programme d’éducation civique par une loi du 22 mars 2011.

Les associations de consommateurs jouent également un rôle important, notamment en portant des contentieux à l’encontre de grands groupes. C’est d’ailleurs le cas de l’UFC Que Choisir qui a mis en demeure Twitter, Facebook et Google+ en leur demandant de modifier leurs conditions générales jugées « abusives » concernant les données personnelles. Toutefois, les professionnels de la publicité agissent également. C’est ainsi que   l’UFMD (union française du marketing direct & digital) dispose d’un guide de bonnes pratiques concernant l’usage des cookies publicitaires. »

4. La réglementation sur les données personnelles ne semble pas rigoureusement respectée et en tous cas rarement de sanctionnée efficacement. Qu’en est-il réellement?

« Les sociétés constituant des bases de données consommateurs grâce au Big Data doivent être vigilantes. En 2012, la Cnil a enregistré plus de 6000 plaintes, effectué plus de 450 contrôles d’entreprises, ce nombre de contrôle ayant quasiment doublé depuis 2009. En outre, des sanctions lourdes existent. Outre la publicité de condamnations évoqués précédemment, elles sont pénales (300 000 euros d’amende et 5 ans d’emprisonnement pour les dirigeants), mais aussi commerciales (la Cour de cassation a considéré qu’une base de données portant sur des traitements non déclarés à la Cnil est hors du commerce, ce qui implique qu’elle ne peut donc pas être valorisée et ne bénéficie d’aucune protection légale !).  De ce fait, une société exploitant un traitement de données non déclaré est toujours en risque. La limite de cette réglementation demeure l’efficacité de ces sanctions face à des géants du marché du digital. Ainsi, les autorités nationales des pays européens ont du mal à contraindre Google au respect de la réglementation européenne sur les données personnelles. Bien que la France ait récemment lancé une procédure de sanctions, il y a peu de chance de voir une évolution significative de la politique de Google sur les données personnelles. Seule une action concertée du G29 (le groupe de travail rassemblant les représentants de chaque autorité des pays de l’Union européenne) pourrait prospérer. Malheureusement, ce groupe ne dispose d’aucun pouvoir de sanction. »

Le cabinet Alyanakian Avocats, créé en 2004, est un cabinet d’avocats indépendant qui accompagne quotidiennement les sociétés digitales soucieuses d’optimiser leurs contrats techniques, leur conformité à la réglementation, l’organisation de leur capital et, plus généralement, les leviers de leur croissance. Le cabinet conseille et défend personnellement leurs dirigeants et salariés lorsque leurs intérêts fondamentaux sont en jeu.

Pour aller plus loin, regardez cette campagne de pub de la CNIL « Réfléchissez avant de cliquer »