La publicité ciblée en ligne. Synthèse du rapport de la CNIL en date du 5 février 2009.

(article écrit le 8 février 2010)

La publicité ciblée en ligne est aujourd’hui devenue un élément indispensable au modèle économique de la majorité des sites web. Elle permet en effet le financement de services gratuits et cherche ainsi à être le plus efficace possible (générer un maximum de clics, affiner la pertinence des affichages…).

Derrière l’enjeu économique qu’elle représente, la publicité ciblée est une pratique qu’il faut encadrer. Il convient par ailleurs de sensibiliser les internautes qui ignorent pour la plupart que si la publicité ciblée se nourrit de données personnelles, ces dernières, une fois compilées, dévoilent la vie personnelle de la personne qu’elles concernent.

Si les moyens technologiques mis en œuvre témoignent d’un véritable souci de profilage optimum, ils sont également source de dérives et conduisent à s’interroger sur la meilleure façon de combiner leur utilisation avec le nécessaire respect de la vie privée et des libertés individuelles.

C’est dans cet esprit qu’est intervenue la CNIL et qu’elle a rendu, le 5 février 2009, un rapport sur la publicité en ligne. Elle y livre ses interrogations et les solutions qu’elle estime pouvoir apporter.

I – Les perspectives de la publicité ciblée en ligne

A – Présentation des techniques de ciblage

Il convient au préalable de présenter les différents types de publicité en ligne :

  • La publicité personnalisée classique

Il s’agit d’une publicité choisie en fonction des caractéristiques connues de l’internaute (âge, sexe, localisation), qu’il a lui-même renseignées sur différents réseaux sociaux.

  • La publicité contextuelle

Ce type de publicité est choisi en fonction du contenu immédiat fourni à l’internaute. Le produit ou le service proposé sera choisi en fonction du contenu textuel de la page dans laquelle la publicité s’insère ou en fonction du mot clé saisi. Il s’agit donc d’une publicité ciblée en fonction des intérêts présumés de l’internaute.

  • La publicité comportementale

Il s’agit d’une publicité choisie en observant le comportement de l’internaute à travers le temps.

Ce mode de publicité est organisé autour de deux procédés :

  • La publicité sur site, à travers laquelle le fournisseur de contenu prend techniquement en charge la diffusion des publicités sur son site.
  • La régie publicitaire, par laquelle le fournisseur de contenu délègue l’affichage et le choix à un tiers.

Les fournisseurs de service qui organisent la publicité sur leur site, n’ont aucun mal à avoir des informations précises sur les internautes (notamment à travers les formulaires d’inscription), et les régies sont également capables de constituer des profils et de proposer une publicité ciblée à travers les nombreuses possibilités de collecte et de traçage.

La régie publicitaire peut en effet collecter des données de trafic concernant l’utilisateur en se faisant communiquer des données par le fournisseur de contenu, en analysant le contenu d’une page sur laquelle il affiche une publicité ou encore en déposant un « cookie » sur l’ordinateur de l’internaute.

La captation d’informations par la régie est encore plus poussée, puisque cette dernière peut également suivre l’internaute et compléter les informations qu’elle possède à son égard, pour lui proposer une publicité adaptée à son profil supposé. Cette technologie de suivi est basée sur des « cookies traceurs » qui permettent de récupérer des informations et proposer de la publicité de mieux en mieux ciblée.

Il sera alors aisé de compléter les informations fournies par l’internaute lui-même (lors d’une inscription sur un site par exemple) en observant son comportement (les pages visitées et les publicités qui ont attiré son attention).

Si les régies affirment que ces profils restent anonymes et sont identifiés par un identifiant aléatoire qui ne peut être rapproché d’une identité réelle, cette anonymisation est plus délicate pour une société qui est à la fois fournisseur de contenu et régie publicitaire. (Sur ces interrogations et pour illustration, Microsoft prétend maintenir une étanchéité totale tandis que Yahoo affirme exploiter les données collectées pour fournir une publicité ciblée.)

La convergence entre fournisseur de publicité et fournisseur de contenu ainsi que les avancées technologiques en matière de ciblage publicitaire expose ce système de publicité à de vives critiques, compte tenu des menaces qu’il représente.

B – Les nouvelles perspectives de la publicité ciblée

a – Tendances et prospectives

La convergence mentionnée ci-dessus  implique la capacité de connaître des informations sur les internautes à travers ce qu’ils ont communiqué volontairement aux fournisseurs et par les observations que ces derniers peuvent réaliser sur leur comportement.

Cette collecte doit s’apprécier dans le contexte actuel, qui est celui de la concentration des acteurs de la publicité en ligne. Cette concentration a pour conséquence un élargissement des capacités de ces réseaux à suivre et collecter des données.

Le volume d’informations récoltées est tel qu’il est aujourd’hui question d’étendre le domaine d’application de ce mode de publicité. Des projets de publicité ciblée pour la télévision sur IP par ADSL sont aujourd’hui en cours de développement permettant par exemple de remplacer les écrans de publicité traditionnelle par des publicités ciblées en fonction du foyer qui la visualise. Comme le souligne la CNIL, rien n’interdit donc d’imaginer que des publicités télévisuelles soient bientôt adaptées au profil de l’internaute, ou réciproquement que les publicités proposées sur Internet soient en lien avec l’analyse des contenus télévisuels vus par l’internaute. Il ne paraît pas non plus impossible de concevoir que des sociétés proposent des publicités basées sur des mots clés détectées dans une conversation téléphonique sur IP.

Cette détection de mots se doublerait ainsi d’une détection physique avec un usage de plus en plus pointu de la géolocalisation.

b – Les interrogations suscitées par le ciblage

Plusieurs points sont identifiés par la CNIL.

  • L’éventuelle « monétisation » des profils

On peut très bien imaginer l’existence de transferts de données personnelles entre des fournisseurs de contenu ou de publicité et des annonceurs.

Les nouveaux modes de communication  simplifient les échanges entre les entreprises et les soustraient à tout contrôle ; pourquoi ne pas penser qu’une entreprise ne serait pas tentée de monétiser ces données ?

Les conséquences de ce transfert d’informations amènent à s’interroger sur  le sort des libertés individuelles dans différents domaines. En matière de crédit ou d’assurance, une estimation de la solvabilité ou de la santé d’un demandeur pourrait être faite à son insu ; il serait possible, via un site de recrutement, de sélectionner des personnes en fonction de leurs orientations sexuelle, leurs opinions politiques, etc.

  • Risques liés au stockage de données personnelles ou sensibles.

Comme tout élément stocké, il y a un risque de faille et de substitution frauduleuse de ces données.

  • Une mauvaise gestion des cookies

De nombreux systèmes de publicité proposent un mécanisme « d’opt-out » permettant de ne pas recevoir de publicité ciblée. Comme l’explique la CNIL, cet « opt-out » est paradoxalement souvent matérialisé par un cookie déposé sur le poste de l’internaute (si ce cookie « opt-out » est présent sur le poste de l’Internaute alors il ne recevra pas de publicité ciblée.

Comme expliqué précédemment, l’analyse de ces cookies permet à celui qui les étudie de retirer des informations sur le comportement de l’internaute. S’il est théoriquement possible de bloquer les cookies, les désagréments pratiques qui en résulteraient sont de nature à dissuader les internautes. En effet, si l’internaute bloque tous les cookies, il ne peut pratiquement utiliser aucun service aujourd’hui sur internet. Quant à la gestion individuelle des cookies, elle a pour conséquence d’assaillir l’internaute de messages de confirmation qui deviennent vite pénalisants pour la navigation.

Il faut tout de même observer que les toutes dernières versions des navigateurs permettent d’effectuer des sessions de navigation à l’issue desquelles tous les cookies installés lors de cette session sont automatiquement effacés. Cette nouvelle approche est techniquement intéressante mais il est encore trop tôt pour savoir si elle sera adoptée par les internautes.

II – Un balisage devenu indispensable

A – Un véritable enjeu pour les autorités de protection des données

a – L’applicabilité d’un cadre protecteur

Il convient avant tout de s’interroger sur l’applicabilité de la législation sur la protection des données.

En matière de publicité en ligne, il est difficile de déterminer si les traitements portent sur des données à caractère personnel ou s’ils sont anonymes.

La directive européenne 95/46/CE définit le concept de données à caractère personnel d’une manière très large. Le G29, dans son avis 4/2007 du 20 juin 2007 a donné des orientations sur la manière dont il convient d’interpréter le concept de données à caractère personnel. Selon cet avis, la définition des « données à caractère personnel » repose sur quatre éléments, à savoir « toute information », « concernant », « une personne physique », « identifiée ou identifiable »

Il convient de revenir plus particulièrement sur les notions de « concernant » et d’ « identifié ou d’identifiable » :

  • L’avis précise que d’ « une manière générale, on peut considérer que les informations « concernent » une personne physique, lorsqu’elles ont trait à cette personne physique ». Or il relève que les données concernent une personne si elles ont entre autres « trait au comportement d’une personne ou si cette information est utilisée pour déterminer ou influencer la façon dont cette personne est traitée ou évaluée ».

Selon cette analyse, dès lors que le contenu d’une publicité est ciblé en fonction d’un profil préalable établi, il conviendrait de faire application de la législation sur la protection des données.

  • Sur l’identification, l’avis précise que le « nom n’est pas toujours nécessaire pour identifier une personne » et que « sur l’internet, on reconstitue aisément la personnalité de l’individu pour lui attribuer certaines décisions ».

Il ressort de cette analyse que les identifiants utilisés dans les « cookies traceurs » conduisent à une forme d’identification d’un individu au sens de l’interprétation du G29.

En outre, il apparaît que la plupart des systèmes de publicité ciblée repose sur la collecte de l’adresse IP. Or, la CNIL a souvent souligné que l’adresse IP est une donnée à caractère personnel.

Il résulte de ce qui précède que la législation sur la protection des données aurait vocation à s’appliquer à la publicité ciblée en ligne. En conséquence, dès lors que la publicité ciblée repose sur des goûts et comportements qui peuvent être rattachés à un individu identifié ou identifiable elle doit être opérée dans le respect des principes de la protection des données.

b – Le développement d’un cadre informatif protecteur

Dès lors que la législation sur la protection des données est applicable, il convient de s’interroger sur les modalités d’information de la personne destinataire de la publicité. En effet, le respect des droits des personnes (information préalable, droits d’accès, de rectification et d’opposition) est parfois mis à mal dans le domaine de la publicité ciblée en ligne en raison de contraintes d’ordre tant techniques qu’économiques.

Il est cependant nécessaire de développer un cadre informatif protecteur : faire peser sur les acteurs de la publicité en ligne une obligation d’information, et informer le grand public sur les moyens de contrôler ses traces.

  • Il est crucial que les personnes concernées puissent être parfaitement informées de l’utilisation qui sera faite de leurs données, que celles-ci soient fournies de leur propre initiative ou collectées sans intervention de leur part.

De la même manière, la loi « informatique et libertés » du 6 janvier 1978 prévoit une disposition similaire en matière de « cookie ». Le principe posé par la loi est celui d’une information claire et complète des internautes qui doivent être informés de la finalité de l’utilisation des « cookies » et des moyens dont ils disposent pour s’opposer à ce procédé.

Par ailleurs, la CNIL rappelle que l’analyse des comportements d’achats dans le but de personnaliser la publicité adressée aux internautes, n’est possible que si l’internaute en a été préalablement informé, et mis en mesure de s’y opposer voire même d’y consentir si la publicité est adressée par voie électronique.

Le G29 considère que toutes ces « informations devraient être mises davantage en évidence et ne pas simplement figurer dans la politique de confidentialité du moteur de recherche, où elles ne sont peut être pas immédiatement apparentes ».

  • Une part du les cookies.

Comme vu précédemment, les navigateurs modernes disposent d’outils permettant de bloquer les cookies issus de sites « tiers », les navigateurs IE et Firefox permettent de créer des « listes noires » se sites pour lesquels il faut bloquer les cookies, et enfin Google a proposé un système permettant aux internautes de connaître et de modifier les centres d’intérêts qui leurs sont automatiquement affectés au cours de leur navigation.

B – Pistes de réflexions

La publicité en ligne soulève de nombreuses difficultés. Même si de nombreux acteurs se réfugient derrière le fait que le profilage des internautes serait réalisé de manière anonyme (et qu’il ne serait par conséquent pas soumis à la loi informatique et libertés), il ressort de l’analyse effectuée dans le rapport de la CNIL que tous les systèmes de publicités ciblée sur internet mettent en œuvre des traitements de données à caractère personnel.

Au vu des éléments soulevés dans ce rapport, la CNIL pourrait :

  • Réaffirmer l’applicabilité du droit européen dans ce contexte,
  • Encourager l’adoption de code de bonnes pratiques par les professionnels,
  • Soutenir l’application du principe de consentement préalable actif (principe dit « d’opt-in »),
  • Mener des missions de contrôle des régies publicitaires sur Internet,
  • Mettre en œuvre des procédures de labellisation des produits et des services protégeant les données personnelles des internautes, lorsque le cadre règlementaire le permettra,
  • Encourager la mise en place d’une réflexion commune, sur cette thématique, avec les autres autorités de protection des données européennes.

Le recours à la publicité ciblée fait débat. Elle est aujourd’hui un élément incontournable de l’économie du numérique, mais inquiète certaines personnes car elle se nourrit de nos données personnelles et peut paraître intrusive. L’adoption d’un cadre juridique apparaît dès lors adaptée comme étant la meilleure solution pour réguler son usage et établir les bases saines, de ce que la CNIL considèrera comme étant de la publicité consentie et acceptable.

Jérôme GIUSTI

Avocat au Barreau de Paris
Spécialiste en droit de la propriété intellectuelle

Avec la participation de Pierre Miriel

.