Protéger les données personnelles, accompagner l'innovation, préserver les libertés individuelles

Contenu

Publicité ciblée sur internet : vers un consentement préalable de l'internaute

23 novembre 2010

À quelques mois de la transposition de la directive "vie privée et communications électroniques", la CNIL fait un état des lieux des règles encadrant la publicité ciblée et des risques d'atteintes à la vie privée.

Vous réservez un billet d'avion pour New-York sur Internet. Plus tard, en lisant votre quotidien en ligne, une publicité vous propose une offre intéressante pour une location de voitures à New York. Ce n'est pas une simple coïncidence : il s'agit de la publicité ciblée, qui se développe actuellement de plus en plus sur Internet.

La publicité ciblée ou comportementale

Votre adresse IP, les mots clés que vous avez saisis pour trouver le site de réservation, les sites que vous avez visités, votre destination, toutes ces informations ont été analysées pour déterminer quelle publicité pourrait vous intéresser.

La technologie la plus répandue pour suivre le comportement des internautes est basée sur des "cookies traceurs" qui sont déposés sur l'ordinateur de l'internaute et constituent une sorte d'étiquette qui permet de le reconnaître dans le temps. Il s'agit le plus souvent de cookie dit "tiers", c'est-à-dire déposé par un tiers (comme par exemple une régie de publicité en ligne) qui est distinct de l'éditeur du site web que visite l'internaute. Parfois, d'autres mécanismes comme les cookies flash sont aussi utilisés et de manière plus générale, les futures évolutions de l'internet vont permettre aux éditeurs de site et aux régies de publicité en ligne de stocker et de lire de plus en plus d'informations sur l'ordinateur ou le téléphone mobile de l'internaute.

Le modèle économique de nombreuses sociétés comme Google ou Facebook est basé sur la fourniture de services apparemment "gratuits" pour l'internaute, mais financés majoritairement sinon exclusivement par la publicité.

La publicité est ainsi devenue la principale ressource financière de l'économie numérique, de plus en plus gourmande en données personnelles. Avec le développement de la géolocalisation, la publicité devient ciblée au plus près de l'internaute. Non seulement ses goûts sont connus, mais également sa localisation précise. Ainsi, certaines régies publicitaires proposent des publicités géolocalisées personnalisées en fonction de la localisation de l'individu ou des lieux qui l'intéressent.

L'avis du groupe des "CNIL" européennes du 22 juin 2010

Le G29, le groupe des CNIL européennes, a adopté le 22 juin 2010 un avis sur la publicité comportementale en ligne, notamment au regard des dispositions européennes, et, en particulier de la directive 2002/58/CE "vie privée et communications électroniques" révisée par la directive 2009/136/CE du 25 novembre 2009. Cet avis souligne que :

  • l'article 5-3 de la nouvelle directive "vie privée et communications électroniques"  impose un consentement explicite et préalable de la personne concernée. Celle-ci doit donc donner son accord pour l'envoi de cookies et le suivi ultérieur de son comportement de navigation pour lui adresser des annonces personnalisées.
  • les régies publicitaires (par exemples, celles des sociétés Google, Microsoft et Yahoo) sont responsables de traitement dans la mesure où ce sont elles qui déterminent les finalités et les moyens essentiels de ce traitement des données.
  • les éditeurs, c'est-à-dire les sites où sont affichés les bandeaux publicitaires, assument également une part de la responsabilité incombant au responsable du traitement.  En configurant leurs sites web, ils déclenchent le transfert de l'adresse IP de l'utilisateur vers les fournisseurs de réseaux publicitaires.
  • les régies publicitaires et les éditeurs sont donc tenus de donner aux internautes, préalablement à toute collecte de données sur leur comportement, une information claire et transparente sur les informations collectées et la constitution de profils, la diffusion d'annonces ciblées.
  • l'industrie de la publicité en ligne (régies et éditeurs) doit donc développer rapidement des outils faciles à utiliser pour les internautes, pour mettre en œuvre ces principes de protection de la vie privée.

L'avis du G29  reprend donc largement celui de la CNIL de février 2009 en décrivant les obligations découlant des modifications de la directive 2002/58/CE "vie privée et communications électroniques", qui doit être transposée dans notre droit national avant le 25 mai 2011.

La CNIL sera saisie prochainement pour avis d'un projet de loi de transposition de cette directive. Dans l'intervalle, le G29 organise une consultation avec les principaux acteurs de la publicité en ligne pour définir les modalités d'application de cet avis. Il demande aux fournisseurs de réseaux publicitaires d'adopter au plus tôt des mécanismes permettant de demander l 'accord expres de l'internaute («opt-in») et d'informer les personnes au préalable.

 

Chargement en cours...