Parmi les nombreuses évolutions suggérées par la proposition de règlement européen “Vie privée et communications électroniques” du 10 janvier 2017 (ou proposition de règlement “e-Privacy“), la reprise des règles relatives à la prospection directe n’a dans un premier temps pas justifié un grand émoi. Et pour cause : sur ce point, l’article 16 de la proposition de règlement se contentait, en substance, de reformuler les dispositions correspondantes de l’actuelle directive homonyme.
Resterait ainsi interdit l’envoi de communications commerciales aux personnes physiques n’ayant pas préalablement donné leur consentement à cet effet, sauf dans le cas (exception de clientèle antérieure) où ces personnes physiques auraient précédemment acheté des biens ou des services analogues à ceux faisant l’objet de la communication, auprès de l’expéditeur de cette communication lui-même – et sous réserve, toujours, d’offrir à ces personnes un moyen facile de se désinscrire à tout moment de la liste de diffusion.
Hormis une extension de la règle à l’ensemble des “services de communications électroniques“, permettant de saisir, par exemple, la prospection commerciale par SMS (là où la directive, adoptée en 2002, ne visait encore que l’usage “de systèmes automatisés d’appel sans intervention humaine (automates d’appel), de télécopieurs ou de courrier électronique“), extension de toute façon anticipée, au niveau national, par la pratique de certaines autorités de contrôle, le nouveau texte pouvait donc passer pour peu remarquable, si ce n’est tout à fait insignifiant.
C’était sans compter sur l’intervention du Groupe de travail de l’article 29 (G29), réunissant l’ensemble des autorités de contrôle de la protection des données à caractère personnel des différents Etats membres. Dans son avis du 4 avril 2017 sur la proposition de règlement, ce dernier proposait en effet, à notre grande surprise, un amendement visant à étendre le champ de ces dispositions à l’affichage de communications commerciales personnalisées sur site Internet – autrement dit, à l’affichage de publicités ciblées en ligne :
“The Article and recital should be amended to include all advertising sent, directed or presented to one or more identified or identifiable end-users.” (P. 21 : “L’Article et le considérant devraient être modifiées pour couvrir toute forme de publicité envoyée, adressée ou présentée à un ou plusieurs utilisateurs finaux identifiés ou identifiables.”)
Cette extension imposerait ainsi aux acteurs de la publicité ciblée en ligne de récolter un consentement spécifique de l’internaute préalablement au simple affichage des annonces publicitaires. Outre qu’une telle exigence pourrait s’avérer difficile à mettre en pratique (les régies publicitaires, qui déclenchent cet affichage sur les sites visités, n’étant quasiment jamais en contact direct avec l’internaute), elle nous paraît tout à la fois inutile et injustifiée.
Force est de constater, pourtant, à la lecture des derniers travaux en date au sein du Conseil de l’Union, que cet amendement a eu la faveur des institutions européennes. Si la version finale du texte peut encore sembler lointaine, il n’en importe donc pas moins de questionner : faut-il vraiment soumettre l’affichage des publicités ciblées au consentement préalable de l’internaute visé ?
Les pratiques nécessaires à l’affichage d’une publicité ciblée en ligne sont déjà strictement encadrées en amont
La mesure serait d’abord extrêmement redondante, en ce qu’elle viendrait se surajouter au double niveau d’encadrement visant déjà actuellement, d’une part, les cookies et autres dispositifs de traçage de l’internaute, et, d’autre part, les traitements de données à caractère personnel qui s’en suivent, dont notamment le profilage de ce même internaute.
L’actuelle directive “Vie privée et communications électroniques” d’une part (suivie à l’identique sur ce point par la proposition de règlement), et le Règlement général sur la protection des données (GDPR) d’autre part, subordonnent en effet la licéité de chacune de ces deux pratiques, incontournables pour l’affichage de publicités ciblées sur Internet, au recueil préalable du consentement de l’internaute concerné. Cet internaute est ainsi obligatoirement consulté à déjà deux reprises :
- La première, en application de l’article 6.3 de la directive “Vie privée et communications électroniques” (et demain, sans doute, de l’article 8 du règlement proposé), pour accepter ou refuser la mise en oeuvre à son égard de cookies ou d’autres méthodes de traçage de sa navigation, dès lors que ces derniers ont vocation à servir des fins de ciblage publicitaire ;
- La deuxième, en application de l’article 6 du GDPR, pour accepter ou refuser le traitement de ses données à caractère personnel (incluant notamment, bien sûr, ses préférences de consommation, récoltées ou “révélées” au moyen des cookies ou autres méthodes de traçage précités), dans la mesure où ce traitement vise aux mêmes fins publicitaires.
Dans les deux cas, la demande de recueil du consentement doit de plus avoir été précédée de la présentation d’une information claire et circonstanciée, relative notamment aux finalités poursuivies, de manière à ce que l’internaute consente (ou non) en pleine connaissance de cause.
Cette double exigence a d’ailleurs été affirmée sans ambiguïté par le G29 lui-même, dans son avis du 22 juin 2010 sur la publicité comportementale en ligne (WP 171), et jamais démentie depuis : il paraît impossible, en particulier, de se prévaloir en cette matière de l’exemption du consentement prévue pour certaines catégories de cookies jugées moins intrusives, de même que de la réalisation, via le traitement de données à caractère personnel, d’un “intérêt légitime” du responsable du traitement, justification prévue à titre d’alternative au consentement.
Au contraire, l’entrée en jeu du GDPR pousse à anticiper un vrai durcissement de ces exigences, puisque ce consentement, qu’il faudra recueillir conformément à sa nouvelle définition de “manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement” (article 4.11 du GDPR), devra aussi désormais pouvoir être retiré à tout moment par la personne concernée (article 7.3 du GDPR).
Face à l’internaute qui a déjà consenti, d’une part, au traçage de sa navigation, et d’autre part, au traitement de ses données à caractère personnel, le tout après avoir été chaque fois informé des finalités publicitaires poursuivies, quel peut donc être l’intérêt d’une troisième demande, concernant cette fois l’affichage des annonces lui-même ? Y a-t-il la moindre logique, en effet, à imaginer que cet internaute puisse, après avoir validé tout le processus de collecte et de traitement de données, refuser la réalisation de l’exact objectif de ce processus ?
Il nous semble au contraire que le consentement à l’affichage des annonces publicitaires ciblées est toujours nécessairement “inclus” dans les deux consentements précédents, dès lors que ces consentements (insistons une dernière fois) sont expressément et précisément donnés pour cette finalité d’affichage.
Dans ces conditions, la proposition du G29 d’ajouter une troisième “couche” de consentement apparaît au mieux comme un excès de zèle, somme toute inutile. Ses conséquences en termes de lisibilité et de sur-sollicitation de l’attention de l’internaute pourraient cependant s’avérer très négatives ; on ne peut d’ailleurs que s’étonner, de ce point de vue, que cette proposition vienne se juxtaposer à une autre évolution contenue dans la proposition de règlement, laquelle prévoit, dans un sens tout à fait contraire, de permettre la reconnaissance d’un consentement simplifié en matière de cookies, exprimé par les seuls réglages du navigateur de l’internaute (article 9.2 de la proposition de règlement).
Le législateur européen oeuvrerait plus utilement, à notre sens, en privilégiant toujours ainsi la simplicité, lorsqu’elle ne risque pas d’affaiblir la protection : il s’agirait en un mot, quant au sujet qui nous occupe, de ne pas poser à l’internaute trois fois la même question.
L’envoi de messages et l’affichage sur site soulèvent des problématiques de deux natures radicalement différentes
On pourra objecter que l’argument vaudrait aussi bien en matière de prospection directe par courrier électronique, ou par SMS : celle-ci repose en effet également sur des traitements de données à caractère personnel, pour lesquels le consentement de la personne visée est en principe pareillement requis. Faudrait-il donc remettre en cause le régime actuel lui-même ?
Il existe en réalité une différence fondamentale entre ces deux formes de communication commerciale, qui permet d’identifier la véritable raison d’être de ce régime actuel : c’est que la prospection directe par courrier électronique, SMS, automate d’appel, ou encore télécopieur, mobilise des moyens et services habituellement réservés à l’envoi et la réception de correspondances privées, ou que leur utilisateur conçoit du moins spontanément comme relevant de sa sphère privée, par opposition à un site Internet publiquement accessible.
Ce n’est pas un hasard, de ce point de vue, si la règle s’insère dans le cadre plus général d’un texte relatif à la protection de la vie privée dans les communications électroniques : il s’agit en somme, ici, de préserver l’utilisateur d’une saturation permanente de ses boîtes de réception ou de ses lignes téléphoniques privées par des messages ou des appels commerciaux non sollicités. L’intérêt en cause est ainsi bien distinct de celui visé par la protection des données à caractère personnel, justifiant par là même l’application d’une couche réglementaire complémentaire.
Par opposition, l’affichage d’annonces publicitaires sur des pages de sites Internet n’a rien d’inhabituel, d’inattendu ou d’inapproprié : il ne s’agit que du pendant numérique de l’affichage publicitaire quotidiennement rencontré dans l’espace public physique. La nuance tenant au caractère ciblé de ces annonces est du reste parfaitement indifférente à cet égard : l’internaute qui refuse le traitement permettant le ciblage se voit en effet tout de même confronté à des annonces publicitaires génériques, sur les mêmes espaces exactement. Si spécificité il y a, celle-ci tient donc uniquement à la mise en oeuvre d’un traitement de données à caractère personnel, et pour les besoins de ce traitement d’un traçage de l’internaute – mais les risques engendrés par ce traitement et ce traçage relèvent, ainsi que nous l’avons exposé ci-avant, d’autres couches de réglementation, suffisamment bien établies.
A vouloir confondre l’envoi de communications commerciales via des services de correspondance privée et le simple affichage d’annonces sur un site public, le G29 nous semble donc avoir perdu de vue la ratio legis de ce texte de droit spécial. Si l’intention, qui vise manifestement à rehausser encore le niveau de protection des internautes, est à l’évidence positive, force est d’admettre qu’elle joue au détriment de la cohérence des différents corps de règles ; gageons que le législateur européen saura finalement rendre à chacun sa fonction, dans un souci de bonne lisibilité d’une réglementation, décidément, bien souvent chamboulée.