Nos données personnelles ont de la valeur
Comment une organisation ou une société fait-elle pour gagner de l’argent par son site Internet ?
Seul un tiers des français déclarent savoir comment Internet est financé, selon une étude réalisée par l’institut d’études de marché Appinio en avril 2020 pour The Trade Desk.
Les modèles économiques sur Internet sont basés principalement sur l’un des cinq types de monétisation suivants :
- Marchand: site vendant en ligne des produits, services ou contenus
- Publicité: monétisation de l’audience par la publicité
- Freemium: (free + premium) service de base gratuit puis options payantes
- Place de marché: prélèvement d’une commission sur les transactions organisées par le site
- Don: Wikipédia étant l’exemple le plus connu avec ses collectes de fonds régulières
Près de deux français sur trois ne réalisent donc pas que la publicité est une source de revenu sur Internet. Pourtant selon Magna Global (IPG Mediabrands) en 2021 en France le numérique devrait peser pour 60% des recettes publicitaires (brutes : avant prix négocié) tous médias confondus, donc loin devant la télévision.
Une publicité bien ciblée rapportant plus qu’une publicité mal ciblée, cette dernière s’adressant à une population en partie non appropriée. Il est donc nécessaire pour un site de connaitre au mieux le profil de ses visiteurs. L’exploitation des données personnelles des visiteurs, qui permettront d’afficher des publicités ciblées, est donc un élément prépondérant au financement d’un site ou d’une application.
Depuis de nombreuses années, en boutiques, les clients sont habitués à être sollicités par des publicités ciblées dont les informations proviennent de leurs cartes de fidélité ou de l’analyse de leurs tickets de caisse et aboutissent à des offres promotionnelles personnalisées. Nos données personnelles sont des contreparties à un avantage, à un service. Ce modèle a donc simplement été transposé sur Internet.
De nombreux acteurs interviennent dans cette économie virtuelle, souvent appelée AdTech (advertising technologies ou technologies publicitaires). Cette économie est légale et est possible sous certaines conditions encadrées par le Code de la consommation et les règles relatives à la protection des données (en France, le RGPD et la loi Informatique et Libertés). Ces règles ont pour objectifs de garantir aux personnes la maîtrise de leurs données et d’être informées de l’utilisation qui en est faite suite à leur accord.
Age, sexe, lieu de résidence, centres d’intérêts, habitudes de consommations,… de nombreuses informations sont donc recueillies de façon directe ou indirecte, très souvent en toute légalité, par les sites que nous visitons.
Comment nos données personnelles sont-elles recueillies sur Internet ?
Lorsque l’on se connecte à un site Internet, un cookie est généralement déposé sur notre ordinateur ou notre téléphone.
Ce cookie, lorsqu’il est seulement utilisé par le site qui l’a déposé est dit cookie natif. Ce cookie sert à reconnaitre le visiteur lors de ses prochaines venues.
Les cookies natifs ont pour but de :
- Faciliter la navigation : par exemple en reconnaissant le choix de la langue
- Améliorer les services proposés en analysant la navigation des visiteurs
- Proposer des publicités ciblées
Nos informations recueillies par les cookies peuvent également avoir d’autres finalités que des utilisations uniquement liées au site. Elles peuvent servir à de la prospection d’autres sites à travers les cookies tiers.
Contrairement à un cookie natif, un cookie tiers n’est pas intégré par le site web que l’on a visité. Il est souvent généré et utilisé par un partenaire du site. Les informations collectées et stockées dans le cookie ne concernent plus celles relatives au site visité, mais celles relatives au comportement de l’internaute : à ses habitudes, aux liens cliqués, aux chemins parcourus,…
L’illustration la plus simple et à laquelle nous avons surement déjà tous été confronté, est l’affichage sur un site de bannières proposant des articles que nous avons consultés précédemment sur un autre site.
Plus un cookie tiers est présent sur de nombreux sites, plus il sera efficace. C’est pourquoi généralement les annonceurs publicitaires établissent des partenariats avec de nombres sites. Une fois ces données recueillies, l’annonceur pourra connaître le profil de ses visiteurs, profil qu’il enrichira à chaque nouvelle visite pour réaliser des ciblages commerciaux plus pertinents.
Les cookies tiers sont logiquement très présents sur les sites marchands et les réseaux sociaux.
Nouvelles règles en France sur les cookies
Depuis le 31 mars 2021, la navigation sur les sites Internet en France ne peut plus se faire sans une action de la part du visiteur concernant les cookies.
Ce changement est consécutif aux règles sur les cookies publiés par la CNIL en octobre 2020, avec des sanctions à partir d’avril 2021, sur l’obligation pour les utilisateurs de cookies et d’outils de traçage d’informer de manière claire les visiteurs sur les finalités et les conséquences d’acceptation ou de refus des cookies. Acceptation et refus qui doivent pouvoir se faire de façon aussi simplement l’un que l’autre. S’il existe le choix de « tout accepter » il doit donc également y avoir le choix de « tout refuser ». La grande majorité des sites se sont bien mis en conformité avec ces règles, à un élément près bien souvent : le choix « Accepter » étant mis plus en avant visuellement que le choix « Refuser ». Cette technique dont le but est d’influencer le choix des utilisateurs est une des illustrations du dark patterns (ou design trompeur) et n’est pas conforme au règlement européen.
De plus la CNIL recommande que le consentement soit conservé pendant un certain temps à adapter en fonction du type de site et de son audience et que la demande soit renouvelée régulièrement. Sauf cas particuliers, 6 mois de conservation des choix lui paraissent être une bonne pratique.
Les visiteurs doivent donc avoir la possibilité de refuser certains voire tous les cookies. Or ceux-ci contribuant fortement au financement des sites Internet, la réaction d’un certain nombre de sites a été la mise en place d‘un cookie wall (ou mur de traceurs).
Ce terme désigne le fait de conditionner l’accès au contenu des pages d’un site Internet à l’expression du consentement du visiteur à la pose de cookies et à leurs utilisations à des fins commerciales. En cas de refus du visiteur, il se voit refuser l’accès au contenu du site dont la page est largement masquée par la fenêtre de consentement.
Si le visiteur refuse les cookies, il peut parfois payer directement son accès au site ou se créer un compte où il doit accepter les Conditions Générales d’Utilisations, on parle dans ce cas-là de login wall.
Les cookies wall sont-ils licites ?
Pour la CNIL, l’accès à un site Internet ne doit jamais être conditionné à l’acceptation de cookies ou autres traceurs. Dès les premières apparitions des cookies walls, l’autorité administrative indépendante française y a donc été hostile et plus généralement, leur licéité a très vite fait surface.
Mais par la décision du 19 juin 2020, le conseil d’Etat a jugé que la CNIL n’avait pas compétence pour interdire catégoriquement ces murs.
Suite à cette décision, la CNIL a pris position sur le fait que « la licéité du recours à un cookie wall doit être appréciée au cas par cas ». La commission incite donc les sites à notifier explicitement les conséquences comme « l’impossibilité d’accéder au contenu ou au service en l’absence de consentement ». L’autorité écrit également qu’« elle sera, dans ce cadre, très attentive à l’existence d’alternatives réelles et suffisantes, notamment fournies par le même éditeur, lorsque le refus des traceurs non nécessaires bloque l’accès au service proposé ».
Actuellement, il existe donc une période d’incertitude sur la licéité des cookies walls. Incertitude renforcée par le fait que la décision rendue par le Conseil d’État l’a été « sans se prononcer sur le fond de la question ». Ce dossier ne peut donc pas être considéré comme clos. Ce sentiment est renforcé par le fait que le CEPD, Comité Européen de Protection des Données personnelles, dont est membre la CNIL, est en faveur d’une interdiction explicite des cookies walls dans le futur règlement ePrivacy prévu cette année. Certains sites semblent donc pouvoir encore un peu profiter de cette période de tergiversation.
Google rebat les cartes des cookies tiers !
Fin 2023, via Chrome son navigateur Internet, Google n’utilisera plus de cookies tiers. Cette évolution, s’inscrivant dans un contexte de renforcement des mesures de protection des données individuelles, est une décision importante, de la filiale d’Alphabet, dans son choix de faire évoluer le secteur AdTech dans le sens du consentement et dans sa communication sur l’équilibre entre la publicité en ligne et la protection des données.
L’annonce du géant américain se fait à un moment où l’efficacité des cookies tiers est remise en question depuis plusieurs années. En effet les données first-party permettent de faire des ciblages plus précis sur les visiteurs qui sont aussi clients. On parle ici des données propriétaires issues des bases de données du CRM, données qui peuvent être enrichies par des informations sur des accès à des contenus, des services, des achats sur Internet ou encore des données de navigation collectées par le site. Ces données enrichies servent à réaliser des profils puis des ciblages pour des actions commerciales personnalisées.
En parallèle de son annonce sur les cookies tiers, Google travaille sur des solutions de remplacement ! Ceci à travers son initiative : Privacy Sandbox.
Une des idées de cette initiative est de remplacer le ciblage individuel par un ciblage collectif via l’API FLoC et son apprentissage fédéré par cohortes (Federated Learning of Cohorts). Son fonctionnement est de fixer aux sites Internet de nouveaux attributs leur assignant diverses catégories qui permettront de dresser le profil des visiteurs. La finalité est de mettre à disposition des annonceurs des cohortes agrégeant des milliers de visiteurs. On ne cible donc plus un utilisateur mais des segments de populations. Les annonceurs ne recevront donc plus que des segments et non plus des individus. FLoC est-il compatible avec le RGPD ? La question reste ouverte, d’autant que Google n’a mis aucun pays européen dans son test actuellement en phase terminale.
Une autre idée, complémentaire de la précédente, afin de permettre aux annonceurs de continuer à faire du reciblage publicitaire en exploitant leurs bases de données first party et sans utiliser de cookies tiers, est FLEDGE. Cette solution introduit un serveur tiers de confiance dans le processus, afin de stocker des informations sur les enchères et les budgets d’une campagne.
A l’heure où la confidentialité des données est devenue un sujet central, la firme américaine travaille donc sur le sujet du respect des nouvelles règlementations tout en ne perdant pas de vue les besoins des éditeurs et annonceurs. La disparition des cookies tiers devrait redessiner le marché de la publicité en ligne, mais certainement pas signer son arrêt.
Si mes données personnelles ont tant de valeur, puis-je les vendre ?
Si nos données personnelles ont tant de valeur, certaines personnes peuvent être tentées de vouloir les vendre ou les licencier à des entreprises, de façon directe ou via des intermédiaires, pour en tirer profits. Cela s’appelle de la monétisation des données.
Mais pour la CNIL cela « est contraire au droit actuel et à la conception de la protection des données personnelles comme un droit attaché à la personne, qui prolonge le droit au respect de la vie privée ».
Néanmoins, l‘impossibilité de monétiser ses données personnelles n’exclut en rien pour certains traitements la possibilité de contreparties. Mais ces contreparties ne peuvent être assimilées à « un bien immatériel, appropriable par des tiers et susceptible d’un commerce autonome ». En France comme dans d’autres pays en Europe, certaines décisions de justice ou des autorités de régulation reconnaissent bien la fourniture de données personnelles comme contrepartie à un service, on peut citer par exemple :
- Le tribunal de grande instance de Paris qui a jugé que les données collectées gratuitement par Twitter constituent la contrepartie contractuelle au service que le réseau social propose
- L’autorité de la concurrence a estimé que Facebook ne pouvait pas présenter son service comme gratuit. La gratuité était une mention trompeuse car dès lors que, l’entreprise utilise les données de ses utilisateurs à des fins commerciales, son service a bien une finalité financière
Aujourd’hui en France, le RGPD et la loi Informatique et Libertés permettent pour les données personnelles de contrôler leurs utilisations et leurs rectifications. Vendre ces données personnelles est impossible actuellement car cela suppose de renoncer aux droits y afférents. Comme le précise la CNIL, « les droits des responsables de traitement sur les données personnelles qu’ils possèdent ne sont ainsi ni absolus, ni exclusifs ».
Des questions éthiques et juridiques sont donc continuellement au centre du fonctionnement d’Internet pour les utilisateurs et l’ensemble des acteurs dont font partie les métiers de la Data.
Référence :
Et avec vos cookies, où en êtes-vous ?
Télécharger gratuitement depuis le compte Github de la CNIL, Le logiciel Cookievi2 pour analyser les interactions entre votre ordinateur, votre navigateur et des sites et serveurs distants. En l’installant vous pourrez savoir à quels autres acteurs le site que vous visitez envoie des informations.
Cookieviz, une dataviz en temps réel du tracking de votre navigation | LINC (cnil.fr)