Out of Control: Immersion dans l’univers de la publicité en ligne et du partage des données des réseaux de rencontres

par Gabriel Avigdor

image_pdfimage_print

Le 14 january 2020, Forbrukerradet, le Conseil Norvegien des Consommateurs (“CNC”) a publié une étude de 186 pages sur sa page web intitulée “OUT OF CONTROL: How consumers are exploited by the online advertising industry“. Ce document s’appuye sur un rapport technique de 93 pages (technical report), lequel explique comment l’industrie de la publicité en ligne (“AdTech” en anglais) exploite les données des utilisateurs et consommateurs au travers des applications mobiles et réseaux sociaux de rencontres pour utiliser leurs données, les monayer et les transmettre à des « entreprises de l’ombre », pour leurs propres intérêts. On peut y lire que ces pratiques ne sont basées sur aucune, ou à tout le moins très peu, de transparence vis-à-vis des utilisateurs de ces plates-formes au travers desquelles les données sont collectées. Aucune indication que des données sensibles sont transmises à des tiers et sans demander leur autorisation ou consentement. L’unique solution pour les consommateurs de ces plates-formes est dès lors de ne pas les utiliser pour ne pas subir du profilage massif et subir de la publicité ciblée.

Un rapport prévisible, mais peu rassurant sur les pratiques des annonceurs et des entreprises actives dans la publicité en ligne qui échangent des données personnelles via les applications mobiles et réseaux sociaux de rencontres sous Google Android OS.

DE QUOI PARLE-T-ON?

Les acteurs de la publicité en ligne conduisent leurs activités en utilisant des techniques de traçage (tracking technologies) en analysant le comportement des utilisateurs et créant des profils très précis (publicité comportementale ciblée ou behavioral targeted advertising en anglais). Ces données communiquées automatiquement comprennent de nombreuses données techniques et personnelles et partagées avec un grand nombre de tierces parties.

Rien de nouveau sous le soleil dans ce rapport. Sauf qu’en le lisant, il devient plus clair de comprendre le préjudice que pourrait engendrer la transmission des catégories de données collectées et utilisées au travers de ces réseaux de rencontre à des entreprises, qui pourraient ne pas œuvrer pour le bien commun.

Les éditeurs de ces applications échangent constamment de nombreuses données et autorisent des tiers actifs dans la publicité en ligne et le marketing pour effectuer de la publicité comportementale ciblée grâce à des techniques d’enchères en temps réel (real-time bidding – voir la définition plus bas). Certains des éditeurs de ces applications mobiles (App) rendent les données personnelles sous forme anonyme ou agrégée, voire ne les échanges pas du tout. Ces données permettent de procéder à de la segmentation (comprendre les intérêts d’une certaine catégories de personne) pour ensuite faire de la publicité ciblée à des personnes précises. Mais de nombreuses autres entreprises se content de collecter et partager des données personnelles, qui peuvent être sensibles (données sur la santé, sur les pratiques et orientations sexuelles, opinions politiques, sur la religion, etc.) en « clair », soit de façon non-codée, sans que l’utilisateur final n’y consente ni n’en soit au courant.

Ce rapport montre que ces pratiques peuvent affecter les individus dont les données, souvent sensibles. Il faut probablement s’attendre à des actions en cascade, puisque ces applications touchent tous les utilisateurs, peu importe leur lieu de residence et dans de nombreux pays du monde, peut-être par des actions groupées. Plus de details sur les plaintes déposées par le NCN contre le réseau social Grindr et ses tierces parties ici :

A) Plainte n° 1 – Grindr, Twitter MoPub, AppNexus and OpenX

B) Plainte n° 2 – Grindr and AdColony

C) Plainte n° 3 – Grindr and Smaato

_______________________________

L’AUTORITE BRITANNIQUE (ICO UK) AVERTI L’INDUSTRIE: IL FAUT S’ATTENDRE A DE PROCHAINES MESURES

Depuis ce rapport, Simon MacDougall, Directeur exécutif pour la Technologie et l’innovation à l’autorité britannique (UK Information Commissioner’s Office), a publié un mémo sur son blog contenant un message clair à l’industrie de la publicité le 17 janvier 2020 :

“There is a significant lack of transparency due to the nature of the supply chain and the role different actors play. Our June 2019 report identified a range of issues. We are confident that any organisation that has not properly addressed these issues risks operating in breach of data protection law. […]We gave industry six months to work on the points we raised, and offered to continue to engage with stakeholders. If these measures are fully implemented they will result in real improvements to the handling of personal data within the adtech industry. […] We will continue to engage with industry where we think engagement will deliver the most effective outcome for data subjects. […] Those who have ignored the window of opportunity to engage and transform [the ICO gave 6 months from september 2019] must now prepare for the ICO to utilise its wider powers.”

Un très bon timing pour cet avertissement à l’industrie de la publicité en ligne. Suite au rapport de l’ICO UK datant de septembre 2019, un délai de 6 mois a été donnée aux entreprises pour suivre les lignes directrices et les pratiques basées sur la collecte de données personnelles. Ce délai échoit en mars 2020, date à partir de laquelle il faut s’attendre à une mise à jour des lignes directrices et des actions plus musclées contre des entreprises en l’absence de signes de l’industrie de modifier ses pratiques douteuses pour aller vers plus de protection des données des consommateurs.

L’autorité britannique – peut-être avec la CNIL en France – est l’une de autorité les plus suivies et est très productive pour fournir des guides et lignes directrices détaillées et pratiques. Des liens vers les dernières lignes directrices en France et Grande-Bretagne sont en référence à la fin de cet article.

_______________________________

MIEUX COMPRENDRE LE PREJUDICE CAUSE AUX UTILISATEURS ET L’ATTEINTE AUX DROITS FONDAMENTAUX

L’étude et son rapport technique offre une analyse détaillée et approfondie des pratiques de partages de données via les App mobiles. Dans ces cas, à moins que les fabricants d’Apps n’incluent des mécanismes et fonctionnalités natives pour faciliter le consentement (opt-in) ou le retrait des consentements (opt-out) avec des informations claires sur l’utilisation des données, ce qu’implique un tel partage, aucun utilisateur n’est réellement en mesure de comprendre quoi que ce soit à ce qu’il se passe avec leurs données. Cela est d’autant plus vrai lorsque les utilisateurs sont mineurs ou des enfants.

Out-of-control décrit comment les entreprises usent du traçage et du profilage pour de la persuasion basée sur les données (data-driven persuasion). Les modèles basés sur les données (data-driven business models) peuvent s’utiliser avec des dark patterns à des fins commerciales. Le but est d’influencer les utilisateurs pour les pousser à consommer, même s’ils n’en ont pas envie. Dans ce rapport, on lit que les algorithmes de persuasion peuvent aboutir, dans certains cas, notamment à:

  • discriminer
  • harceler
  • manipuler l’information et influencer les opinions
  • limiter la liberté d’expression suite au “chilling effect” (soit l’effet de ne plus pouvoir se sentir libre d’exprimer ses opinions à cause du sentiment d’être écouté, espionné ou surveillé
  • commettre des fraudes et actes illicites

Ces conséquences peuvent causer de sérieux préjudices aux individus si leurs données tombent entre de mauvaises mains, ou à plus grande échelle comme observé dans l’affaire Cambridge Analytica dont je parlais dans cet article.

Là réside le vrai danger.

L’utilisation de ces données par les entreprises de l’ombre contribue à déformer et corrompre la réalité. Cela réduit la confiance dans l’utilisation des outils numériques et peut fausser l’opinion et la perception qu’on les personnes de la société telle qu’ils croient la connaître. Cela se produit au travers d’information rapidement consommée qui nous parviennent et nous sont flanquées à la figure pour nourrir notre inconscient qui les stocke et mémorise grâce à des modèles sophistiqués de persuasion numérique. La réalité devient celle que d’autres souhaite que nous pensions. Dans une telle configuration, quelle liberté nous reste-t-il? Celle de nous forger notre propre opinion grâce aux medias indépendants, non orientés politiquement (cela existe-t-il?).

Selon une étude menée par Amnesty International (p. 43 du rapport out-of-control), la technologie que les entreprises actives dans la publicité ciblée peut fortement réduire les droits fondamentaux. Il mentionne ce qui suit:

These capabilities mean there is a high risk that the companies could directly harm the rights to freedom of thought, conscience and religion and freedom of opinion and expression through their use of algorithmic systems.  

Librement traduit : “ces technologies impliquent un plus grand risque que les sociétés puissent directement porter préjudice à la liberté de pensée, de conscience, de religion et à la liberté d’opinion et d’expression des individus lorsqu’elles utilisent des systèmes basés sur des algorithmes. Les réflexions et inquiétudes actuelles sur l’intelligence artificielle et sont utilisation vont dans le même sens.

Ainsi, cette étude démontre que certains Apps (comme Perfect 365) peuvent communiquer et échanger des données avec plus de 70 sociétés tierces et fournisseurs de services, dont les réseaux sociaux comme Facebook et Twitter. Cela prouve à quel point tout cette machine et industrie des données est vaste et complexe.

En lisant et comprenant les flux de données tels que décrits dans le rapport out-of-control, il devient clair que les consommateurs finaux perdent tout contrôle sur leur données personnelles et sphère privée.

_______________________________

APPLICATIONS MOBILES ANALYSÉES

L’étude a été menée par le CNC en collaboration avec 10 autres organisations à but non lucratif, dont la FRC, l Fédération Romande des Consommateurs. Elle se concentre sur les plateformes de rencontres en ligne, telles que Grindr (faisant l’objet de 3 plaintes officielles auprès de l’autorité norvégienne de protection des données), OkCupid et Tinder. En y regardant de près, des données de localisation, des adresses électroniques et d’autres données personnelles sensibles telles que les préférences sexuelles, des informations relatives à la santé, comme le statut VIH est traité, voire partagé sans le consentement des utilisateurs.

Mais d’autres Apps sont incluses dans l’étude.

Par exemple, elle analyse les App de Maquillage en ligne (comme Perfect365, basé sur la réalité augmentée), qui permettent d’éditer des photos en direct avant de les partager sur les médias sociaux (ces applications sont utilisées par les célébrités comme Kim Kardashian pour poster des photos sous leur meilleur jour). Mais aussi des calendrier d’ovulation et de mémorisation du cycle menstruel, comme MyDays  (qui pourrait être considéré comme un dispositif médical en tant que logiciel autonome), les Apps pour la religion, qui peuvent être utilisées pour recevoir des rappels d’événements liés à des questions religieuses (Muslim). Enfin, des App pour enfants (My Talking Tom 2) ou de loisirs. Pour la plupart de ces applications, les utilisateurs les ont téléchargées des millions de fois, ce qui implique une énorme communauté de consommateurs, y compris des mineurs sujets à la publicité en ligne ciblée.

_______________________________

ENTRONS DANS LES DÉTAILS : LES ACTEURS DE L’INDUSTRIE ADTECH

L’industrie de la publicité en ligne utilise différentes méthodes pour que les spécialistes du marketing publient leur contenu en ligne.

Une entreprise peut décider de payer pour un espace sur une page Internet ou une annonce dans une application mobile pour afficher sa publicité. Elle peut le faire seule ou via un courtier de données en ligne – « data broker ». Lorsqu’une entreprise affiche son annonce, elle paiera soit un prix fixe, soit un montant variable, en fonction de la valeur du placement de l’annonce, qui doit être affichée à un certain moment de la journée (midi, soir) et à un certain public segmenté (type de public, territoire, etc.).

L’annonceur peut décider de placer ses annonces selon la valeur du mot clé. La valeur de ce mot-clé est en constante évolution sur la base d’un algorithme qui calcule l’intérêt qu’ont les concurrents de ce mot-clé à utiliser le même mot-clé au même moment et pour les mêmes internautes ou consommateurs.

Par exemple: de tels algorithmes sont utilisés par Google sur les moteurs de recherche pour afficher les annonces sponsorisées. Les coûts peuvent aller jusqu’à un certain prix par clic. Si le mot-clé est très populaire, le coup peut être très haut ou très bas si peu de personnes veulent rechercher ce mot-clé (certains mots-clés ont beaucoup de valeur comme « Business services », « Casino » ou « Lawyer » qui peuvent atteindre des sommets à $58 par clic). De leurs côté, les internautes peuvent voir le contenu sponsorisé (contenu poussé au public à un certain endroit sur le site web, le moteur de recherche ou l’App) en relation avec le mot-clé entré dans le moteur de recherche, où l’annonceur paiera Google chaque clic.

Une entreprise peut également utiliser un système d’enchère en temps-réel al-time bidding (Real-time bidding ou « RTB » en anglais), qui consiste en une enchère en ligne instantanée.

L’enchère en temps réel signifie que les acheteurs de publicité enchérissent sur la base d’une impression (=nombre de fois qu’un contenu apparaît dans le flux de quelqu’un ; un internaute n’a pas besoin de cliquer sur la publication pour que cela compte comme une impression). Lorsque l’enchère est remportée par la société annonceuse, le contenu de l’annonce s’affichera instantanément sur le site, la page, le réseau ou l’application de l’éditeur aux yeux de l’utilisateur. C’est l’un des modèles commerciaux standard pour les entreprises qui sponsorisent leur contenu en ligne. L’annonce s’affichera et le spécialiste du marketing devra payer un montant en fonction de la valeur de l’offre gagnée et du budget alloué.

L’autorité de protection des données britannique a publié des directives à ce sujet pour les acteurs de la publicité en ligne. Voir les liens en bas de l’article pour plus d’informations.

Qui sont les acteurs de la publicité en ligne ?

  • Les éditeurs fournissent des informations et des services interactifs aux utilisateurs. L’éditeur est la société qui conçoit l’application mobile et offre des emplacements d’annonces dans l’application pour que les annonceurs puissent afficher leurs annonces aux utilisateurs. Ils sont payés au nombre de clics sur une annonce, mais ne peuvent pas savoir quelles annonces seront affichées car cela échappe à leur contrôle.
    –> Les éditeurs sont considérés comme responsables du traitement des données personnelles.
  • Les annonceurs et agences médias (« marketers ») sont des entités qui veulent acquérir et conserver des clients de valeur, trouver et influencer les utilisateurs à travers le monde numérique. Il peut s’agir de détaillants, d’épiceries, de marques de biens de consommation, de fabricants d’appareils, de vendeurs de voitures, de l’industrie du voyage et de l’accueil, de fournisseurs de services de télécommunications et de services financiers, et de nombreux autres fournisseurs de produits et services.
    –> Ces annonceurs impliqués dans l’achat de publicité ciblée peuvent être considérés comme des responsables conjoints (joint controllers) du traitement, même s’ils ne traitent pas eux-mêmes des données à caractère personnel. Cette qualification reste vraie pour autant qu’ils définissent au moins une partie des finalités du traitement pour leur propre compte et pour une finalité partagée avec les autres responsables conjoints.
  • Tous les autres vendeurs tels que les réseaux d’annonces, les fournisseurs d’analyses (Google Analytics) et les courtiers en données (data brokers). Ces tiers constituent une autre catégorie qui comprend un certain nombre d’acteurs du secteur du marketing en ligne et de la technologie publicitaire, qui est normalement caché aux consommateurs. Contrairement aux éditeurs et aux annonceurs, les vendeurs tiers n’ont généralement pas de relations directes avec les utilisateurs.
    –> les fournisseurs tiers qui reçoivent des données personnelles des applications se qualifient soit de sous-traitants (processors), soit des responsables indépendants (co-controllers or independent controllers), soit de responsables conjoints du traitement (joint controllers). Cette qualification juridique depend de la manière et des conditions dans lesquelles les “autres vendeurs” utilisent les données personnelles ;
  • Les grandes plateformes, telles que Google et Facebook, ont aussi un grand rôle à jour. Elles sont impliquées, pour la plupart, dans l’industrie de la technologie de la publicité, car elles offrent des services et jouent un rôle important, comme : a) la vente de publicité basée sur les données des utilisateurs (YouTube en tant qu’éditeur de publicités sur le contenu vidéo), ou b) la vente des messages sponsorisés sur leurs plateformes (Facebook, Twitter, LinkedIn). Ces grandes plateformes agissent également par l’intermédiaire de leurs autres entités et divisions ayant d’autres marques, noms commerciaux et opèrent sous d’autres noms.
    –> Comme les “autres fournisseurs”, les principales plateformes sont considérées soit des responsables, des sous-traitants ou des responsables conjoints du traitement. Cela dépend des catégories de services qu’elles offrent.
  • Les Consommateurs, dernier maillon de la chaîne de cette économie. Ils sont appelés personnes concernée sous le RGPD. Il s’agit des “personnes concernées” (data subjects), personnes dont les données sont traitées à des fins publicitaires.

_______________________________

SITES DE RENCONTRE: QUELLES DONNÉES TRAITÉES ET PARTAGÉES AVEC QUI

Le rapport technique est un document sur lequel se fonde les plaintes déposées auprès de l’autorité norvégienne de protection des données.

Il montre les flux de données et quels tiers sont impliqués dans cet énorme écosystème de partage de données. On y lit quelles catégories de données personnelles sont constamment collectées par les éditeurs et communiquées à leurs partenaires commerciaux ou accessibles par eux. En particulier, on parle des paramètres tels que: l’ID publicitaire d’un téléphone (Advertising ID, adresse IP, adresse MAC, données GPS, informations sur les appareils, configuration des appareils, réseaux Wifi, nom de l’application qui procède aux requêtes, informations sur le compte et données des utilisateurs, tels que l’âge et le sexe. Cela peut également inclure les adresses e-mail et des données personnelles sensibles.

L’exemple de l’ID publicitaire (Android Advertising ID)

Le rapport Out of Control et le document technique qui l’accompagne soulignent les identifiants utilisés pour suivre les informations des utilisateurs, en particulier l’Android Advertising ID (“AAID”).

Selon Google l’AAID fournit un identifiant spécifique à l’utilisateur, unique et que l’on peut réinitialiser. Il peut être utilisé pour la publicité et permet d’établir des liens, en ce sens qu’il offre aux annonceurs un moyen facile de relier les points entre plusieurs applications ou sources.

Cet AAID est intégré à n’importe quel appareil. En tant qu’ID dit ” anonyme “, il fournit aux sociétés de publicité un identifiant unique d’appareil pour la publicité et le suivi, qui peut être utilisé pour corréler des données provenant de sources multiples (rapport technique p. 12) et de services. Bien que les utilisateurs de smartphones sous Android puissent réinitialiser leur AAID, le rapport montre qu’en combinant d’autres identifiants uniques, la réinitialisation de l’AAID peut devenir inutile. En effet, des tiers seront souvent en mesure de ré-identifier les utilisateurs. Enfin, la partie intéressante liée aux paramètres de confidentialité est la suivante (p. 13) :

Il existe une option dans les paramètres du système Android pour se retirer de la publicité ciblée en fonction de l’ID publicitaire, mais ce mécanisme semble être largement fondé sur la confiance, car il exige que les développeurs d’applications vérifient activement et honorent un retrait, plutôt que de soutenir le retrait à l’origine dans la plateforme. En même temps, les utilisateurs finaux n’ont aucun moyen d’évaluer si une application donnée respecte les contrôles de confidentialité d’Android, et peuvent croire que le contrôle est efficace même s’ils ne le sont pas”.

La conclusion est claire : il n’y a aucun moyen pour un utilisateur Android d’avoir la garantie de Google que, même en désactivant l’AAID, les autres entreprises n’utiliseront pas l’ID pour les cibler avec du contenu publicitaire !

Un large éventail de données personnelles partagées avec un grand nombre de tiers

D’ordinaire, la plupart des données qui sont communiquées à des tiers concernent la localisation GPS, les noms et prénoms, les coordonnées et les préférences. Cependant, dans d’autres cas, le rapport montre que des données personnelles très sensibles sont collectées et communiquées à des tiers, comme le montre des questions intrusives posées aux utilisateurs que les tiers n’ont aucune raison valable de détenir.

Par exemple, il est expliqué que les réponses aux questions posées dans l’application OkCupid sont partagées avec Braze (agence marketing), comme :

  • Avez-vous des dettes d’études ?
  • Préférez-vous le hard ou le soft quand il s’agit de pornographie ?
  • Êtes-vous juif ?
  • Comment vous sentez-vous à l’idée d’être giflé en plein visage pendant l’acte sexuel ?
  • T’est-il facile d’atteindre l’orgasme ?
  • Aimez-vous l’exercice ?
  • En général, aimez-vous être ivre ?
  • Les changements climatiques sont-ils réels ?
  • Le système éducatif américain est-il conçu pour profiter aux riches ?
  • Sortiriez-vous avec quelqu’un de séropositif ?

Ces données sont extrêmement sensibles et peuvent entraîner un préjudice grave pour les personnes dont les données personnelles traitées pourraient tomber entre de mauvaises mains. Un scandale avait éclaté en 2018, lorsque l’on avait découvert que Grindr partageait des données avec deux autres applications sur le statut VIH des utilisateurs du réseaux. Ces autres sociétés étaient Apptimize et Localytics (p. 23 du rapport technique).

_______________________________

MODELES ECONOMIQUES INTRUSIFS ET NON-INTRUSIFS

Bien que certains secteurs soient réglementés et interdisent la publicité pour protéger les consommateurs (médecins, alcool, tabac, entreprises pharma et autres secteurs), les sociétés de publicité peuvent exercer leurs activités légalement dans la mesure où elles respectent la législation pertinente et au moins les règles de protection des données et des consommateurs. A cet égard, les lois sur la protection des données (y compris la directive “vie privée et communications électroniques” – ePrivacy Directive) et les lois sur la protection des consommateurs impliquent de s’adapter aux lois de chaque pays où les utilisateurs résident (à part que le RGPD s’applique peu importe où se trouve le responsable du traitement), ce qui peut devenir un défi d’un point de vue juridique.

Dans le secteur des technologies de la publicité, étant donné le caractère intrusif de l’activité de traitement, des codes de conduite (code de conduite de l’IAB, « Internet Advertising Bureau) et des principes éthique sont en train d’émerger (voir les Principles and practices for advertising ethics). Bien que ces textes ne soient pas considérés comme des lois, ils aident les entreprises à utiliser des pratiques publicitaires équitables et éthiques. L’éthique des données est un domaine en pleine croissance que toute entreprise, et non seulement le secteur des technologies de l’information, devrait étudier et intégrer dans sa culture d’entreprise. Dans un monde où les pratiques de collecte et de partage des données sont généralement effectuées sans transparence, l’éthique peut aider à rétablir la confiance auprès des consommateurs.

Une partie intéressante de l’étude explique que plusieurs modèles d’affaires sont disponibles, lesquels sont ou non basés sur le traitement des données personnelles des consommateurs. En réalité, plus le profil créé par les entreprises est personnel, plus le ciblage est précis avec des contenus qui peuvent intéresser l’utilisateur et potentiellement l’influencer. Il existe encore un grand nombre d’entreprises qui opèrent dans l’ombre d’utilisateurs. Ces sociétés profitent du suivi et du profilage de données commerciales dans un but (légitime) discutable pour détenir de telles informations (rapport out-of-control p. 5 et 45).

Lourdes conséquences sous le RGPD

Les conséquences pour une entreprise d’utiliser ou non des données personnelles sont massives si le RGPD s’applique ou non. Si aucune donnée personnelle n’est collectée, alors les lois sur la protection des données ne s’appliquent plus, ce qui simplifie tout. Tout tiers qui détient des données personnelles et qui décide les utiliser “pour son propre but“, est responsable du traitement. Ce responsable doit satisfaire à toutes les exigences des lois sur la protection données (LPD, RGPD, CCPA, LGPD, etc.). Vouloir tirer un profit des données peut être légal, mais peut ne pas l’être. Lorsque cette pratique peut se justifier légalement, le responsable doit informer l’utilisateur et lui expliquer clairement ce qu’il se passe. Le responsable du traitement le fera dans une politique de confidentialité (“privacy notice“) qui décrira notamment :

  • l’identité du responsable du traitement
  • une liste des données collectées
  • pourquoi ces données sont traitées (buts / finalités)
  • si des processus décisionnels automatisés de traitement sont effectués sans décision humaine
  • une justification du traitement = baser cette activité de traitement sur une justification légale valable (base légale), comme le consentement ou un intérêt légitime
  • les mesures de sécurité employées
  • la durée de conservation
  • avec qui les données sont partagées et où les données elles sont envoyées (attention aux transfers aux US et autres pays tiers)
  • les droits et moyens de contacter le responsable du traitement gratuitement

En outre, le responsable devra se conformer à toutes les autres obligations des lois sur la protection des données du pays dans lesquels les individus ont leur résidence habituelle. Il est peu probable que ces obligations soient respectées par les sociétés fantômes qui utilisent des données personnelles non anonymisées afin de les monnayer.

Sur les conséquences financières du RGPD, mes précédents articles sur les sanctions illustrent l’importance de l’évaluation des de non-conformité. Voir à ce sujet mon analyse sur l’affaire British Airways & Marriott, la première amende RGPD par Google, les failles de sécurités dans les hôpitaux, et les conséquences en cas de non-conformité.

Boutons like et affaire Fashion ID

Sur les réseaux sociaux, les « like » sont l’une des manières les plus faciles de profiler les utilisateurs (voir cette essai canadien dès la p. 75 : « les Facebook et les dispositifs de traçabilité vus sous l’angle du droit canadien »). Ainsi, Pour un site tiers à Facebook, « l’usage du bouton Like lui permet de se faire connaître par viralité, c’est-à-dire, par la communication au sein de réseaux sociaux. Un utilisateur signale qu’il aime une page, ses amis voient le lien, ils cliquent dessus à leur tour, le font connaître à d’autres amis et ainsi de suite. Il en résulte que le site bénéficie d’une plus grande visibilité et d’informations statistiques sur l’achalandage des visiteurs, ce qui lui permettra de véhiculer des annonces publicitaires mieux ciblées, rapides, efficaces et peu coûteuses vers des usagers, dont il connait déjà les centres d’intérêts » (essai p. 77).

Sur la protection des données, la Cour Européenne de Justice a jugé récemment une affaire intéressante : Fashion ID. Ainsi, celui qui utilise un bouton « like » sur son site est co-responsable des données transmises à Facebook. En effet, une responsable d’une page Internet collecte sur son site Internet les données personnelles des visiteurs. Il communique ces données à Facebook ou à tout autre réseau social. Avant cette transmission, le responsable d’un site internet a une influence sur la collecte et la communication des données. En effet, sans ce bouton “like”, de telles données ne seraient pas collectées pour transmission à Facebook. L’insertion de ce bouton permet à un responsable d’une page internet, ou d’un éditeur, d’optimiser sa publicité pour ses produits en les rendant mieux visibles sur Facebook. Il y a donc un avantage commercial, lequel constitue la contrepartie de la transmission des données à Facebook.

Modèles commerciaux alternatifs et triste réalité

Les 2 rapports out-of-control rappellent que les entreprises peuvent utiliser des modèles économiques intrusifs, comme non intrusifs, pour faire de la publicité sur les applications mobiles.

C’est le cas des services d’abonnement. Les modèles basés sur l’abonnement, souvent utilisés par les médias et les journaux en ligne, exigent des utilisateurs un paiement pour le travail effectué par les journalistes. Les donations – qui est le modèle d’affaires de Wikipédia et du journal TheGuardian.com – peut également fonctionner. Contrairement à la publicité ciblée comportementale, qui nécessite de créer des profils d’utilisateurs, les entreprises peuvent choisir la publicité contextuelle comme modèle d’affaires, où les publicités ciblées peuvent être basées sur le contenu que le consommateur regarde, plutôt que sur le profil du consommateur lui-même (publicité comportementale).

Le problème pour les acteurs du secteur des technologies de la publicité est que l’utilisation de technologies moins intrusives peut conduire à un “nivellement par le bas” avec pour effet secondaire de “diminuer la valeur des données, ce qui peut alimenter un partage encore plus important de données personnelles, entraînant des inefficacités du marché du point de vue de la concurrence” (p. 53 et 54 du rapport). De plus, utiliser un profil complet d’une personne pour s’adresser à elle et lui offrir des services a bien plus de valeur que des données non spécifiques qui requièrent d’une entreprise de cibler « à l’aveugle » des catégories d’individus sans connaître leurs préférences et intérêts. Par ailleurs, faire du marketing direct auprès de personnes inconnues, avec qui l’on n’a aucune relation commerciale préexistante, requiert la plupart du temps le consentement (opt-in consent).

Dans la pratique des applications mobiles et des réseaux sociaux, le partage des données personnelles est souvent la contrepartie de l’utilisation de la version gratuite d’une application. Dans l’industrie du jeu sur mobile, l’utilisation d’un jeu gratuit comprend presque toujours d’autres moyens de monétiser l’application : il suffit de penser au jeu sur smartphone « Candy Crush ». Les techniques pour faire payer l’utilisateur ou lui collecter des données peut consister à : (a) forcer l’utilisateur à regarder une vidéo, (b) partager avec des amis les résultats d’un jeu, ou (c) offrir l’achat direct d’articles, pour faire progresser l’utilisateur dans son parcours de jeu (gagner des vies supplémentaires ou passer au niveau suivant). Une version gratuite d’une application oblige généralement le consommateur à donner quelque chose en retour de son utilisation gratuite, ce qui fait que cette application n’est plus vraiment “gratuite“.

_______________________________

GRATUIT OU PAYANT: PRÉVISIBLE CELA RELEVE-T-IL D’UN HOLD-UP DE DONNÉES?

Le rapport out-of-control devrait-il être une surprise pour le grand public ? Absolument pas !

Le sujet n’est pas nouveau et ces modèles d’affaires sont déjà utilisés de longue date. Cependant, la technologie évolue et avec l’apprentissage machine (machine learning) et d’autres algorithmes plus intelligents, il deviendra moins facile de comprendre les conséquences sur la vie privée d’une personne qui utilise un service en ligne par le biais d’une application mobile.

Les consommateurs doivent-ils s’attendre à des publicités en version gratuite ou même payante ?

A mon avis oui, mais pas au prix de sa vie privée.

Les utilisateurs d’applications mobiles, en particulier les réseaux sociaux, doivent s’attendre à une différence de modèles commerciaux entre les applications gratuites et payantes. Pour qu’une application mobile intégrant un réseau social, il faut une connexion Internet, soit vers l’extérieur et des tiers. Ainsi, de par sa conception, il n’est pas possible d’utiliser un réseau social sans ouvrir son téléphone au monde extérieur. Pour les jeux, cela peut être différent, mais l’éditeur refusera souvent d’ouvrir le jeu ou de commencer une partie si la connexion internet n’est pas active. De plus, même lorsque la connexion n’est pas active, les données sont collectées une fois que l’utilisateur se connecte à nouveau à Internet.

Lorsqu’un utilisateur décide d’utiliser une version gratuite, par rapport à une version payante, les utilisateurs peuvent supposer et s’attendre à ce que, sans argent, l’application ne sera pas maintenue ou disparaîtra simplement du marché et des App stores si aucune forme de rémunération n’est proposée. Souvenons-nous du temps des consoles de jeux vidéo sans Internet il y a des décennies ; un paiement unique permettait à n’importe qui de posséder le jeu et de jouer à ad eternam sans aucune connexion Internet et sans communiquer avec l’extérieur. Ce modèle est partiellement dépassé pour être même remplacé par des jeux vidéos en ligne, en réseaux ou connectés ou l’on n’est qu’incité à partager nos informations.

Quand on pense aux modèles d’affaires actuels, Facebook est le meilleur exemple des modèles d’affaires de cette nouvelle génération. Selon une étude, les revenus de Facebook en 2018 étaient presque uniquement basés sur la publicité (98%). C’est dire combien il est lucratif lorsqu’un éditeur offre aux annonceurs une plateforme avec des millions de consommateurs, gagnant de l’argent avec un modèle de paiement au clic et dans lequel tous les acteurs y gagnent, sauf le consommateur. Dans le cas de Grindr, l’application a été téléchargée plus de 100 millions de fois.

Les consommateurs peuvent s’attendre à voir des publicités lorsqu’ils utilisent des versions gratuites d’une plateforme ou d’un service, car ce modèle est devenu courant. Par rapport aux versions dites « premium », « par abonnement » ou « payantes », les versions gratuites utilisent presque toujours des publicités. Les modèles commerciaux de publicité peuvent être basés sur des données personnelles ou non, mais ils nécessitent presque toujours une connexion à Internet ou la transmission d’informations via l’application. Nous avons vu avec ce rapport quel est le « prix à payer » pour une utiliser une application gratuite.

Peut-on s’inspirer du débat sur le cookies wall ?

Le consommateur doit-il accepter d’être ciblé par des publicités pour utiliser un service gratuit (ou même payant) et accepter d’être tracé et ciblé par des publicités et partager ses données? La réponse n’est pas claire d’un point de vue juridique, car chacun est libre d’utiliser le service qu’il souhaite. Personne n’est obligé d’utiliser Facebook, Candy Crush et de passer par Tinder ou Grindr.

Bien que la situation soit différente d’avec les seuls cookies, on peut comparer les applications gratuites et le choix avec les discussions sur les cookies et les technologies de suivi qui se tiennent dans l’UE (c’est-à-dire l’article 5(3) de la directive “vie privée et communications électroniques”). Pour rappel, les cookies wall (mur de cookies) consistent en l’octroi ou le refus d’accès à un internaute sur un site ou une plate-forme selon qu’il décide ou non d’accepter de placer des cookies sur son dispositif. Si l’utilisateur dit oui j’accepte les cookies, ce qui permet un suivi en ligne et éventuellement la création de profils, l’utilisateur peut passer le mur et accéder au site. Si l’utilisateur dit non, je ne veux pas être suivi sur votre site, alors l’utilisateur ne peut pas accéder au site. À mon avis, la situation est similaire avec les applications mobiles gratuites et les réseaux sociaux.

Le débat sur les cookies wall est toujours en cours et aucun tribunal n’a encore tranché la question de savoir si un site Web peut interdire l’accès à un utilisateur s’il n’accepte pas d’être suivi par des techniques de traçages. Dans le contexte des cookies au moins, nous savons maintenant que, suite aux récentes approches par la plupart des autorités de protection des données (CNIL et ICO UK), il n’y a pas d’exception au consentement, sauf lorsque la technologie de suivi est nécessaire pour la performance des services. Par conséquent, le consentement est presque toujours requis. Les cookies sont régis par les principes de la directive “vie privée et communications électroniques”, mais les règles relatives au consentement et aux obligations de transparence doivent suivre le GDPR (comme on l’a vu dans la récente affaire CJUE Planet49).

Pour ou contre ?

Lorsqu’un utilisateur sait à l’avance quelle entreprise va faire quoi, avec quelles données, et s’il peut facilement choisir ce qu’il veut faire et décider de continuer à utiliser le service ou non, je ne vois pas forcément d’inconvénient, puisque l’internaute reste libre de quitter le site, le jeu ou le réseau social (sous réserve de l’opinion qu’un cookie wall est illégal). Pour ceux qui soutienne cette l’approche selon laquelle les cookies wall sont admissibles, une personne n’est jamais forcée d’utiliser une application ou un service et peut décider de ne pas l’utiliser. Il est toujours possible de se tourner vers un autre site si l’utilisateur n’est pas satisfait.

Cela s’applique tant que le choix de l’utilisateur de quitter le site web ou l’application se fait avant que le cookie ne soit placé sur l’appareil. Au contraire, les personnes qui ne soutiennent pas le concept de mur de cookies, prétendent que ce mécanisme ne donne pas un véritable choix à l’utilisateur, car il devrait être possible pour lui d’utiliser le service sans porter préjudice à sa vie privée et lui permettre d’accéder au site internet tout en refusant le placement de cookies, qui n’est qu’une contrepartie de l’entrée sur le site web. Dans les cas où un fournisseur de services se trouverait en position dominante sur le marché (voir ci-dessous), cette position serait à mon sens discutable, voir inadmissible, puisque l’utilisateur serait forcé d’utiliser un service qu’il ne peut utiliser qu’en ayant

Le rapport out-of-control explique que Grindr et ses tierces parties vont bien au-delà de ces pratiques qui restent transparentes. Il s’agit du suivi, du profilage et de la transmission de données personnelles sensibles à des sociétés externes qui peuvent ne pas avoir de motif valable pour détenir ces données et qui n’informent pas les individus correctement. De plus, il est douteux que ces entreprises utilisent une base légale valable, puisque le consentement standard ou explicite sont les seules bases légales pouvant être utilisées. Dans tous les cas, lorsqu’un utilisateur n’a aucune information, ni choix, et utilise un service qui collecte des données personnelles, en les partageant avec tant d’autres entreprises, ce n’est plus seulement contraire à l’éthique, cela constitue une violation crasse et grave des règles sur la vie privée.

_______________________________

PLAINTES AUX AUTORITÉS: L’APPROCHE DE LA NORVÈGE VS CELLE DE LA SUISSE 

NORVÈGE – UN PAYS DU RGPD

La Norvège est un pays d’Europe. En tant que pays de l’UE, elle a mis en place un mécanisme de sanction basé sur le règlement 2016/679, mieux connu sous le nom de RGPD. Ce mécanisme prévoit la désignation d’une autorité de protection des données capable de prendre des mesures coercitives en cas de violation des lois sur la protection des données, ce qui est le cas de tous les pays de l’UE. Les amendes peuvent aller jusqu’à 2 % ou 4 % du chiffre d’affaires annuel mondial pour les entreprises privées.
Pour rappel, la RGPDs’applique quel que soit le lieu où se trouve le contrôleur des données, s’il utilise des données personnelles de personnes situées dans l’UE. Le responsable du traitement est l’entreprise qui décide de la finalité et des moyens du traitement des données personnelles. En ce sens, la RGPDest très puissante pour la plupart des entreprises (par rapport aux géants technologiques qui peuvent facilement survivre aux amendes) car les entreprises ne peuvent pas sortir de l’UE pour échapper à l’application de cette loi. En outre, grâce à ses mécanismes de sanction, il peut être utilisé comme un outil préventif et dissuasif.

Le CNC a déposé 3 plaintes auprès de l’Agence norvégienne de protection des données contre Grindr et les entreprises qui accèdent aux données personnelles des consommateurs par le biais de l’App. Le contenu des 3 plaintes est très similaire. L’accent principal est mis sur l’absence de consentement valide comme justification légale de l’utilisation des données. Il est également fait mention de la position dominante de Grindr sur le marché. Ceci est intéressant, car nous commençons à voir une interaction entre les lois sur la protection de la vie privée et les lois antitrust, où les contrôleurs de données peuvent abuser de leur position dominante.

Dans cet article, je parlais de l’amende de 50 millions d’euros infligée à Google par la CNIL. J’analysais aussi les premiers cas d’application du RGPD pour comprendre le niveau des amendes, où dans cet autre article , je comparais le régime juridique en vigueur avant l’application du RGPD, en mentionnant les cas d’Equifax et de Cambridge Analytica.

LA SUISSE : PAS UN PAYS DU RGPD

La situation est légèrement différente en Suisse.

En effet, la Fédération Romande des Consommateurs (FRC) a également demandé au Préposé fédéral à la protection des données de prendre des mesures. Cette demande sera très limitée étant donné que le Préposé fédéral ne peut qu’émettre une recommandation non contraignante, puis aller devant le Tribunal administratif fédéral pour avoir un jugement théorique si l’entreprise refuse de suivre les conseils et les recommandations du Préposé. Il n’existe donc toujours pas de pouvoir d’exécution directe, ni de pouvoir de sanction pour le Préposé.  Par conséquent, la plainte suisse conduira à une déclaration ou une recommandation, selon les moyens disponibles dans le cadre de la loi suisse sur la protection des données.

Par contre, la Suisse bénéficiera probablement des changements qui serait imposés par le RGPD. Si une entreprise doit modifier ses pratiques selon les exigences du RGPD et d’autres lois européennes, les utilisateurs d’App suisses en bénéficieront très probablement.

Suite à une violation massive des données de Swisscom, j’avais commenté la faiblesse du droit suisse en matière de protection des données (“LPD”) en termes d’exécution forcée et de sanctions. La Suisse bénéficie encore de sa décision d’adéquation par la Commission européenne. Bien que sa législation soit complète et solide, elle ne dispose pas, en comparaison à la législation européenne, d’un mécanisme d’exécution et de sanctions directes permettant de dissuader les mauvais joueurs d’exploiter des données. Devant un tribunal suisse il n’existe que très peu de conséquences pour les responsables du traitement. Actuellement, la LPD permet d’initier une procédure pénale qui pourrait aboutir à une amende maximale de 10 000 francs.

Le texte révisé de la LPD ne prévoit que peu de pouvoirs supplémentaires au Préposé et aucune sanction directe en cas de violation de la loi fédérale sur la protection des données. Par contre, elle augmente la responsabilité individuelle par des infractions pénales allant jusqu’à 250 000 francs.

La protection des données est un équilibre entre les droits fondamentaux des individus et les droits d’autrui d’utiliser ces informations pour leur propre usage.

Les politiciens suisses ont choisi leur camp.

Jusqu’à présent, le législateur accorde clairement plus d’importance aux droits des entreprises de traiter des données personnelles qu’à la protection des droits et libertés fondamentaux des citoyens suisses. Par conséquent, la revendication d’un contrôle accru en Suisse restera toujours faible si les entreprises décident de ne pas appliquer les règles de protection de la vie privée aux citoyens suisses afin de pouvoir revendiquer un contrôle accru sur leurs données personnelles.

Cela reste un choix politique.

_______________________________

TOP 5 DES RECOMMANDATIONS POUR L’INDUSTRIE  DE LA PUBLICITÉ EN LIGNE

Les recommandations suivantes peuvent s’appliquer aux acteurs Adtech, y compris les fabricants d’applications mobiles, mais aussi à toutes autres industries.

1. DETERMINER VOS ROLES ET RESPONSABILITÉS

Si vous êtes actifs dans la publicité en ligne, vous devez d’abord comprendre comment votre société se qualifie. En effet, elle peut agir en tant que responsable du traitement des données, sous-traitant ou co-responsable. Votre rôle est basé sur chaque activité de traitement. Cette première étape est absolument essentielle et déterminera le niveau de responsabilité de votre entreprise et votre manière d’interagir avec vos partenaires commerciaux et le respect d’autres obligations de conformité. Il peut s’agir de la mise en place des contrats conformes (art. 28 RGPD), la limitation de vos obligations de responsabilité et d’indemnisation et la détermination des rôles et responsabilités de vos homologues pour le traitement des données personnelles dans chaque situation.

2.  CONNAÎTRE LES DONNÉES TRAITÉES, DANS QUEL BUT ET LES REGLES DE PARTAGE

QUELLES DONNÉES SONT TRAITÉES. Les données des consommateurs (B2C) nécessitent le même soin que celles de professionnels B2B. Toutefois, lorsqu’il s’agit de la vie privée des enfants ou de données sensibles, il faut faire preuve de prudence avec des règles plus strictes. Sur les réseaux sociaux, il s’agira très souvent, voire toujours, de données personnelles sensibles. Sauf lorsque d’autres règles peuvent s’appliquer, comme la protection des consommateurs, la vérification de l’âge et l’autorisation des parents peuvent être importantes. Lorsque vous déterminez quelles informations votre entreprise collecte, vous pouvez alors appliquer le principe de minimisation des données (ne pas collecter plus que ce dont vous avez besoin pour ce que vous voulez réaliser = ne collecter que ce qui est strictement nécessaire).

Une fois que vous connaissez les catégories de données dont vous disposez sur qui, vous pouvez appliquer les mesures de sécurité appropriées, en évaluant le risque associé à ces données en cas de violation, et la minimisation des données.

DANS QUEL BUT LES DONNÉES SONT TRAITÉES. Vous avez besoin d’un objectif pour traiter les données personnelles et en informer les gens. Si vous ne recueillez des données personnelles que pour les conserver, les vendre ou les utiliser ultérieurement, cela pourrait aller à l’encontre du RGPD et, en général, de nombreuses autres lois sur la protection des données dans le monde entier. Le but doit être expliqué aux personnes concernées (utilisateurs/consommateurs) par le biais de notices d’information (politiques de confidentialité). Cette obligation s’applique à chaque activité de traitement et doit contenir les justifications légales appropriées (legal basis) pour chaque but.

AVEC QUI LES DONNÉES SONT PARTAGÉES. Assurez-vous que vous disposez de toutes les garanties et de tous les mécanismes juridiques appropriés pour partager des données personnelles avec d’autres personnes, notamment en sachant si l’autre partie agit en tant que responsable du traitement de vos données ou d’un autre contrôleur. La collecte et le partage de données avec d’autres fournisseurs font partie du monde connecté. De nos jours, les données et les données personnelles sont transférées à de nombreux tiers, y compris dans des pays où les normes de protection des données sont moins strictes, comme dans l’UE ou en Suisse, comme l’Inde ou les États-Unis.

Lorsque vous transférez des données personnelles, votre entreprise doit s’assurer d’avoir le droit de les transmettre à des tiers. Si vous devez vous fier à un consentement, vous ne pouvez pas transmettre et transférer le consentement à votre tiers si celui-ci devient un contrôleur. Dans ce cas, l’autre partie devra informer les consommateurs et recueillir le consentement ou le consentement explicite. Dans le cas contraire, une telle pratique enfreindra les lois sur la protection des données.

3. CHOISIR LA BONNE BASE LÉGALE ET S’Y CONFORMER

Vérifiez toujours si vous pouvez vous prévaloir d’une exemption ou d’une exception au consentement en vertu de l’art. 6 RGPD (parmi les 6 autres bases légales) et/ou de l’art. 9 RGPD (consentement explicite si vous détenez des données personnelles sensibles).

L’ICO UK a déclaré en juin 2019 que, dans le cas des annonceurs, il est peu probable d’utiliser une autre base juridique que le consentement. En outre, les technologies de traçage sont soumises à la directive “vie privée et communications électroniques” (ePrivacy). Elle exige désormais clairement le consentement chaque fois que la mise en place d’une technologie de suivi de comportement sur un appareil n’est pas strictement nécessaire pour l’exécution du service. L’ICO UK indique pour les données sensibles que : “les acteurs au marché doivent modifier les mécanismes de consentement existants pour recueillir un consentement explicite, ou ils ne doivent pas traiter du tout ces données “. Voir le guide juin 2019 à l’intention de l’industrie de la publicité en ligne, p. 16.

Il est donc préférable d’utiliser le mécanisme de consentement approprié (non groupé, mais libre, éclairé, non ambiguïté, avec une information claire et concise, etc.) si vous ne voulez pas que les autorités ou les personnes concernées déposent une plainte.

4. LA TRANSPARENCE: LE MEILLEUR OUTIL POUR GAGNER LA CONFIANCE

Les avis de confidentialité, non seulement soutiennent la conformité au consentement, mais sont faits pour informer les gens sur ce que vous détenez exactement à leur sujet. Elles expliquent ce que vous allez faire des données, comment vous les protégez et avec qui vous les partagez (entre autres). Les sociétés Adtech qui opèrent en tant que contrôleurs de données, doivent trouver des moyens créatifs pour rédiger (de manière concise, claire, etc.) et afficher leurs avis de confidentialité d’une manière facilement compréhensible qui ne découragera pas l’utilisateur de lire, ni de comprendre, ni … d’utiliser l’App ! L’embauche d’avocats pragmatiques, axés sur les affaires et créatifs en matière de protection de la vie privée pourrait valoir le prix, car la protection de la vie privée dans les applications mobiles est plus difficile à réaliser étant donné le petit écran des appareils. Démontrer un consentement valide est et restera un défi.

5. APPLY PRIVACY BY DESIGN AND BY DEFAULT 

L’architecture et les flux de données dans les applications mobiles et les réseaux sociaux peuvent devenir extrêmement complexes. La construction et la maintenance des logiciels, en tenant compte du cycle de vie des données (conservation et minimisation des données) avec consentement intégré, avis de confidentialité, mesures de sécurité appropriées, caractéristiques et technologie pour donner le contrôle aux utilisateurs et toujours appliquer le paramètre le moins intrusif (désactivé si ce n’est pas strictement nécessaire) pour commencer à utiliser le service.

6. ET … SUIVEZ LES CONSEILS SPÉCIFIQUES À L’INDUSTRIE (IBA, ISBA, ICO UK), N’OUBLIEZ PAS L’EPRIVACY ET PENSEZ À L’ÉTHIQUE DES DONNÉES !

L’avenir nous dira si les lois sur la vie privée influenceront les modèles commerciaux dans le domaine de la publicité en ligne …

Pour aller plus loin avec les conseils des autorités :

ICO UK

Other links

  • https://www.campaignlive.co.uk/article/ico-adtech-players-holding-personal-data/1666221
  • https://www.globalprivacyblog.com/privacy/adtech-and-real-time-bidding-in-the-regulatory-crosshairs/

CNIL

Par Gabriel Avigdor | Avocat

NTIC.ch | datalex.ch | penalex.ch