Le modèle économique de nombreuses sociétés phares d’Internet comme Google ou Facebook est basé sur la fourniture de services apparemment « gratuits » à l’internaute, mais financés majoritairement sinon exclusivement par la publicité. Ce modèle de fourniture de services adossés à de la publicité est quasiment devenu la norme, si bien que l’internaute, demandeur de ces services gratuits, reçoit une quantité croissante de publicité.
Récemment, deux textes ont été adoptés par le Parlement européen sur la problématique des données personnelles et leur traitement : Le Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données mettant en place un cadre général sur le traitement des données personnelles au sein de l’Union européenne.
La Directive (UE) 2016/680 du 27 avril 2016 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données.
Nous nous pencherons plus sur le Règlement du 27 avril 2016. Ce dernier vise à uniformiser les règles à travers l’Union européenne en renforçant la confiance et fournissant un niveau élevé de protection pour tous les citoyens.
Les règles en vigueur avant la réforme
La directive européenne 95/46/CE définissait le concept de données à caractère personnel d’une manière très large : « toute information concernant une personne physique identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui peut être identifiée, directement ou indirectement, notamment par référence à un numéro d’identification ou à un ou plusieurs éléments spécifiques, propres à son identité physique, physiologique, psychique, économique, culturelle ou sociale ».
Le G29 dans son avis 4/2007 du 20 juin 2007 avait donné des orientations sur la manière d’interpréter la notion de données à caractère personnel dans la directive 95/46/CE. Il rappelle également que les finalités ultimes des règles posées dans les directives sur la protection des données sont de protéger les libertés et droits fondamentaux des personnes physiques, notamment leur vie privée, à l’égard du traitement des données à caractère personnel.
Selon cet avis, la définition des « données à caractère personnel » reposait sur quatre éléments : «toute information», «concernant», «une personne physique», «identifiée ou identifiable». Ces éléments étaient dépendants les uns des autres, mais identifiaient les éléments d’information à considérer comme « données à caractère personnel ».
Cette interprétation permettait de faire rentrer dans la catégorie des données à caractère personnel, les données relatives au comportement de l’internaute comme les cookies traceurs ou les profils préétablis de consommateur.
Ainsi, « dès lors que la publicité ciblée en ligne repose par exemple sur des goûts et comportements qui peuvent être rattachés à un individu identifié ou identifiable, elle doit être opérée encore aujourd’hui dans le respect des principes de la protection des données » selon le rapport de la CNIL relatif à la publicité en ligne. Ce rapport visait à affirmer l’applicabilité du droit européen à la publicité ciblée et à promouvoir une information renforcée de l’internaute.
Les apports du Règlement du 27 avril 2016 et ses conséquences pratiques
La Réforme introduit divers mécanismes qui reprennent en partie la directive de 1995, certaines sont à rattacher à la publicité ciblée et permettent d’assurer une protection effective pour un internaute profane.
Avec le RGPD, on migre vers une logique de responsabilisation. (accountability). Il appartient à l’entreprise traitant des données personnelles de prendre toutes les mesures pour garantir la conformité desdits traitements. L’entreprise a également l’obligation de tenir un registre à jour de l’ensemble de ses traitements afin de prouver qu’elle s’inscrit dans cette logique. Ainsi cet aspect conduira les entreprises à respecter les dispositions relatives au traitement des données personnelles, applicable à la publicité ciblée. Cela aura pour effet de réduire le panel des contrôles effectués par la CNIL, d’assurer à l’internaute un traitement conforme de ses données ce qui aboutit à éviter une publicité ciblée agressive voire non désirée comme nous allons le constater par la suite.
Le Règlement introduit un autre principe cardinal : le « privacy by design ». En clair le responsable du traitement des données personnelles doit intégrer la protection de la vie privée dès la conception d’un service ou d’un produit et, ce, tout au long du cycle de vie des données, de leur collecte à leur suppression. Non seulement les mesures de protection de l’internaute sont intégrées nativement dans le service ou l’application mais le responsable du traitement assure par défaut le plus haut niveau de confidentialité.
Enfin, là est le principal apport quant à la publicité ciblée, les personnes dont les données sont collectées doivent en effet donner un consentement clair et explicite au traitement des données privées. Par ailleurs, la personne concernée doit donner son consentement de manière active. On voit ici la reprise du principe de consentement opt-in déjà suggéré par la CNIL dans son rapport. Le silence, les cases cochées par défaut ou l’inactivité ne constituent pas un consentement puisqu’il ne s’agit pas d’un consentement donné de manière active.
Ainsi la publicité ciblée pourrait être considérablement réduite quant à son impact en cas de consentement préalable obligatoire de l’internaute. En comparaison, la protection juridique de l’internaute semble avoir de beaux jours devant elle puisque le RGPD agit dans une optique d’extension de ladite protection.