Publicité et internet

Analyses d’Arthur Messaud

Juriste à La Quadrature Du Net

Bio et vidéo

Arthur Messaud est juriste à La Quadrature Du Net. Après s’être battu au Parlement européen, en 2013, pour repousser le lobbying sans précédent des GAFAM dans le cadre de l’élaboration du Règlement général sur la protection des données (RGPD), Arthur coordonne cinq ans plus tard les actions de groupe qui visent aujourd’hui à appliquer ce même texte contre ces mêmes GAFAM.

En synthèse

La question politique de la publicité en ligne peut être abordée par l’angle du droit des données personnelles, qui démarre véritablement avec la directive de 1995,1 alors assez visionnaire dans ses principes.

Son principe de base est qu’il est interdit de traiter des données personnelles (toute information sur, ou rattachée à, une personne), alors considérées bien au-delà des (seules) données numériques. Les fondements idéologique et juridique motivant l’encadrement du traitement des données personnelles relèvent d’une part de la protection de la vie des personnes, et d’autre part de la liberté de conscience et de se définir. Cette dernière vie à éviter qu’un déséquilibre ne s’installe entre les capacités technologiques (notamment détenues par les entreprises), et les capacités de humains.2

Face à ce principe une série d’exceptions sont prévues, dont certaines sont liées à des cas tout à fait précis.3

Ensuite, il est prévu que les données personnelles pourront être traitées s’il y a un « intérêt légitime », qui sera déterminé collectivement comme quelque chose d’utile pour la société. Il s’agit d’un mécanisme de contrôle a posteriori qui renvoie au futur (au législateur, au juge et à la CNIL) le soin de déterminer si une situation de traitement des données bénéficie d’un intérêt légitime, ou bien porte atteinte aux intérêts des personnes surveillées et doit alors être sanctionnée.

Enfin, deux autres cas de figures autorisent le traitement des données. D’abord simplement, dans le cadre d’un contrat qui l’exige.4 Ensuite, lors qu’aucune de toutes ces autres situations ne se présente (cas précis, contrat ou qu’il n’y a pas d’intérêt légitime), alors seule la personne susceptible d’être surveillée est celle qui donne son consentement.

En 2002, la directive Eprivacy vient préciser celle de 1995 pour ce qui relève du secteur numérique, et aborde l’enjeu de la « prospection par email », donc de la publicité. Elle indique que par défaut, la prospection par mail est interdite sans le consentement, mais que le dépôt de cookie sur les ordinateurs des gens ne nécessite pas leur consentement préalable.5 Elle refuse donc l’intérêt légitime à la prospection par mail, mais pas au dépôt de cookie. Les technologies des cookies étaient alors nouvelles, et la surveillance s’est ensuite fortement développée. Conscient de ces évolutions, le législateur européen retire en 2009 le bénéfice de l’intérêt légitime aux activités de dépôt de cookie, dès lors associées au profilage à des fins de publicité ciblée, donc interdites sans l’obtention du consentement des personnes concernées.

“La directive RGPD reprend les principes du droit préexistant, mais les montants maximaux des amendes sont élevés à 4 % du chiffres d’affaire mondial. Les CNIL européennes, jusqu’à lors impuissantes, ayant montré leur volonté de procéder à des condamnations, nous défendons actuellement un certain enthousiasme”

Les raisons pour lesquelles on a depuis observé les industries se développer, est que le consentement exigé pour ces activités a été constamment violé. De fait, les autorités chargées de protéger nos données, comme la CNIL,6 avaient des pouvoirs extrêmement faibles.

Puis le règlement européen sur la protection des données (RGPD), objet d’intenses batailles d’influence au niveau européen depuis 2013,7 est entré en vigueur le 24 mai 2018. Il reprend pour l’essentiel les principes du droit préexistant, mais les montants maximaux des amendes sont élevés à 4 % du chiffres d’affaire mondial, et il est précisé que le consentement ne peut pas être arraché ou deviné.8

Dans ce nouveau cadre, LQDN s’appuie sur la logique juridique et politique ancienne des décideurs qui, depuis ses débuts est en faveur de ses valeurs,9 pour porter plainte avec 12000 personnes contre chacun des GAFAM et Linkedin (pour toucher Microsoft).10 Au delà de la publicité, l’objectif est de repousser l’analyse comportementale de masse. Compte tenu du fait que les CNIL européennes, bien qu’impuissantes jusqu’à lors, avaient montré la volonté de procéder à des condamnations, nous défendons actuellement un certain enthousiasme. C’est important pour faire face au sentiment que « c’est déjà trop tard, ils sont trop gros en face » qui est venu remplacer le « j’ai rien à cacher » d’hier pour ne pas aborder ces débats. Si ça ne marche pas cette fois, nous changerons probablement radicalement de stratégie, mais la population est très encourageante dans la prise de conscience longue, qui vient de loin et est en train de gagner toutes les personnes.11

Concernant l’enjeu de l’effet pervers selon lequel en situation d’oligopole (Facebook et Google sur le marché de la publicité ciblée), les règles RGPD pourraient ne faire que renforcer les situations dominantes, celui-ci est réel si seulement si la loi n’est pas correctement appliquée.12

Concernant les enjeux des capteurs d’audience dans l’espace public, les stratégies individuelles d’invisibilisation et de contournement sont probablement la pire approche d’un point de vue politique, menant à la désorganisation avec des réactions individuelles face à des enjeux bien trop grands.13 Il ne faut pas se cacher, ce sont les pratiques des entreprises qui doivent changer. Il est aussi important de contester la légalité de ces dispositifs (peut être en parlant de dispositifs « tolérés » plutôt que « légaux ») indépendamment des avis et doctrines de la CNIL qui peuvent être contestées dans leur conformité aux directives européennes. Savoir si c’est là un combat ou si c’est licite, est un débat précis en cours entre les Etats membres dans le cadre du règlement Eprivacy.14 Face au matériel existant dans la rue, il faudrait en avoir une liste bien précise, et adopter des logiques de destruction quand on est certain qu’ils sont contraires aux règles.

Notes

1 Si en France la CNIL voit le jour en 1978, c’est vraiment à l’échelle européenne en 1995 que la réflexion sur ce sujet, engageant les entreprises et l’économie en lien avec internet, va être initiée.

2 La protection de la vie des personnes relève de l’idée que si les gens ont le sentiment d’être surveillés, ils vont s’autocensurer (par exemple, ne plus oser rencontrer certaines personnes ou aller dans les manifestations, etc.). La liberté de conscience et de se définir est liée au fait que les machines ont des capacités uniques pour comprendre certaines choses sur les individus et de manière générale, parfois de manière bien plus efficace que les humains. Il s’agit donc d’éviter qu’un déséquilibre ne s’installe entre ce que les entreprises peuvent faire avec leurs moyens financiers et technologiques, par rapport aux humains.

3 Par exemple en matière médicale ou de sécurité sociale, la loi décide démocratiquement de faire telle opération avec des données personnelles. L e XXX prévoit que ce peut être également pour sauver la vie de quelqu’un.

4 Typiquement, quand vous commandez un produits sur Amazon, il parait normal qu’Amazon et ses intermédiaires puissent utiliser votre adresse de livraison.

5 Il suffit qu’ils en soient informés et qu’ils aient un droit de s’opposer.

6 En France, les limites de la CNIL étaient avant tout sur le papier : celle-ci n’avait d’abord aucun pouvoir de sanction jusqu’en 2004, puis jusqu’en 2016 ses amendes maximales étaient de 150 000 euros. Elle a effectivement mis en œuvre des sanctions, mais sans aucun effet sur les entreprises comme Facebook ou Google.

7 Le développement de la directive RGPD a été influencé par d’un coté les acteurs de la Silicon valley et ses alliés européens et leurs clients, et de l’autre par des associations qui étaient portées par un débat public qui les dépassaient.

8 En principe, le consentement n’est valide que s’il est donnée de façon libre, c’est à dire désintéressée (les données personnelles relevant du champs des libertés fondamentales, elles ne peuvent, en démocratie, être abandonnées en échange d’un service, car ce serait permettre leur marchandisation), et ni sous la menace ni sous la contrainte de subir une conséquence négative. Le fait que le consentement ne puisse pas être « arraché ou deviné » empêche de le déduire du fait qu’on a oublié de cocher une case au fond d’un formulaire, astuce qu’avaient toutes les entreprises pour prétendre respecter la loi.

9 La constance de cette idéologie des décideurs politiques contre la surveillance de masse peut presque paraître inattendue, même si clairement leurs lois n’ont pas été appliquées. Leur raisonnement peut néanmoins être résumé ainsi : en 2009 les cookies ont été interdits au nom de l’illégitimité de l’analyse comportementale à des fins de publicité, et en 2002, la prospection par mail avait déjà été interdite. Nous considérons qu’aujourd’hui ces interdictions doivent être généralisées à toute forme d’analyse comportementale à des fins de ciblage publicitaire qui ne peuvent se fonder sur un intérêt légitime, et ne sont acceptables qu’avec le consentement de la personne.

10 Pour appliquer la loi à des acteurs situés sur le territoire, il est possible de leur faire fermer boutique, leur interdire d’exercer, c’est à dire toute la panoplie classique. Si ce sont des acteurs situés à l’étranger, la stratégie la plus simple est de leur faire payer un milliard de dollars tous les ans, jusqu’à ce qu’ils décident d’arrêter de faire commerce en Europe. Il y a aussi des sanctions pénales envisageables : un juge peut interdire à Facebook d’exercer pendant 5 ans en France, et s’il continue de le faire, Facebook va être censuré en France. C’est un peu problématique d’en arriver à la censure, mais on imagine que Facebook ne va pas ouvertement violer une décision pénale interdisant d’exercer en France. D’autant que ces acteurs géants ont des relations diplomatiques importantes avec les autres États et ne vont pas violer le droit n’importe comment.

11 Il est vrai qu’en 1995 le débat public était très faible. En 2013, il y en avait un peu plus, avec des associations etc. En 2018, les débats restent insuffisants mais on parle néanmoins de ce sujet dans les grands médias, des journalistes ont un discours plutôt à jour d’un point de vue juridique et politique, le sujet devient un débat politique normal petit à petit. Il y a 5 ans, quand on parlait de ce sujet au gens, on les dérangeait, ils disaient « on a rien à cacher » car ils ne voulaient pas avoir cette discussion ennuyeuse. Ce n’est plus le cas maintenant, et dans 5 ans, on devrait peut être enfin avoir de vrais débats publics.

12 Par exemple en effet, Google a commencé à bloquer sur Chrome par défaut toutes les publicités qui ne correspondent pas à ses chartes, ce qui est une façon d’utiliser le prétexte de la protection des utilisateurs pour être privilégié par les annonceurs, et renforcer encore sa situation dominante. Ce système fonctionne en effet si l’on considère que ce que fait Google est légal, mais ce n’est pas du tout le cas à de nombreux égards. L’aura de Google le favorise encore pour l’instant, mais lorsque la loi sera appliquée, sa stratégie ne tiendra plus du tout.

13 Cela pourrait mener par exemple à ce que les gens s’entendent dire au final « si vous avez un look trop queer, n’allez pas dans tel quartier parce que là vous allez être détectés ».

14 Le débat tourne autour de savoir s’il est autorisé de surveiller les gens dans l’espace public en mettant un petit panneau pour les prévenir, ou si rien ne peut être fait tant que les gens ne sont pas allés sur une site internet pour indiquer qu’ils veulent être tracés dans la rue.

Même enjeu, autres analyses
NIKOS SMYRNAIOS
Maître de conférences en sciences de l’information à l’Université de Toulouse

Accéder aux vidéos & synthèses
KEVIN MELLET
Chercheur au département de sciences sociales d’Orange Labs

Accéder aux vidéos & synthèses
THOMAS BOURGENOT
Chargé d’études et plaidoyer pour l’association Résistance à l’agression publicitaire

Accéder aux vidéos & synthèses

ARTHUR MESSAUD
Juriste pour l’association La Quadrature Du Net

Accéder aux vidéos & synthèses