RGPD : le consentement internaute en questions

A partir de mai 2018, le RGPD viendra renforcer un principe en vigueur selon lequel les responsables de la collecte de données personnelles en ligne doivent informer les utilisateurs de la finalité de cette collecte et obtenir leur consentement préalable. En pratique, cette tâche incombera aux éditeurs, qui sont au contact direct des utilisateurs, et aux annonceurs lorsqu’il s’agira de leurs propres sites ou applications. Ils devront informer les utilisateurs de la finalité précise de la collecte de leurs données personnelles, mentionner tout prestataire susceptible de le faire en leur nom, et obtenir leur accord explicite avant de mettre en place l’outil servant à la collecte, comme le cookie ou toute autre forme d’identification numérique. Mais que se passera-t-il lorsque ces données seront utilisées par les différents acteurs de la complexe chaîne de la publicité en ligne (SSP, data providers, DSP, trading desks…) ?

Le rôle des éditeurs et des régies au sein de la chaîne publicitaire

“Tout le monde est responsable, explique Me Merav Griguer, avocate associée au sein du cabinet Bird & Bird. Il faut que chaque acteur s’assure que toutes les données utilisées dans le processus de ciblage ou en leur possession soient qualitatives au sens légal”. Pour l’avocate, cette coresponsabilité n’empêche pas une part de bon sens : “il faut que celui qui a le contact direct avec l’utilisateur soit désigné comme collecteur de cet opt-in, en tant qu’intervenant de cette chaîne en mesure de le faire pour son compte ou pour le compte d’autrui.”

Pour Irène Grenet, directrice administrative et financière de France TV Publicité, la régie de France Télévisions, si les éditeurs doivent en effet organiser la collecte du consentement, ils ne sont pas les seuls : les régies publicitaires étant elles-mêmes chargées du traitement de ces données, elles ont une coresponsabilité pour s’assurer que toute la chaîne publicitaire est conforme aux obligations imposées par le règlement. “Nous faisons partie d’une chaîne d’acteurs et même si le point d’entrée est l’éditeur, nous sommes obligés de travailler ensemble”, explique-t-elle. Concrètement, cela signifie pour la régie de s’assurer que tous les partenaires – incluant les annonceurs – sont eux aussi en conformité avec la législation, y compris en matière de stockage et de sécurisation des données. La position des groupes Les Échos et Le Parisien est identique : “Les éditeurs sont en première ligne mais il va falloir que chaque acteur de la chaîne de la publicité en ligne (SSP, DSP, DMP) prenne ses responsabilités. A nous de choisir les acteurs qui offriront les meilleures garanties”, explique Xavier Genovesi, son directeur juridique.

Comme l’a remarqué Digiday début janvier, les acteurs du retargeting (en particulier Criteo et AdRoll), qui n’ont pas de contact direct avec l’audience, se pressent d’ailleurs de recueillir le consentement via les pages des éditeurs qui les hébergent. Leur méthode n’est pas toujours habile, puisque les internautes sont parfois invités à fermer la fenêtre ou à cliquer n’importe où sur la page pour accepter le ciblage.

Les recommandation de l’IAB Europe

Les institutions professionnelles font des recommandations sur les bonnes pratiques. L’IAB Europe a ainsi publié le 8 mars la version préliminaire de ses spécifications techniques en matière de transmission du consentement entre éditeurs, fournisseurs de technologies publicitaires, agences et annonceurs. L’organisation vise ainsi à mettre en place un standard open source sur la manière dont le consentement des internautes à l’usage de leurs données sera recueilli par les éditeurs et les services en ligne qui seront à leur contact, puis comment ce consentement sera signalé aux autres acteurs de la publicité en ligne. Cela impliquera notamment de mettre en place un registre des contrôleurs de données tierces, baptisé Global Vendor List (GVL), pour lesquels les éditeurs et les services en ligne devront recueillir le consentement. Les éditeurs pourront choisir, parmi cette liste, les fournisseurs avec lesquels ils souhaitent travailler. De même, les internautes pourront sélectionner les fournisseurs avec lesquels ils acceptent de partager leurs données et la finalité du traitement (voir graphique et une présentation détaillée ici).

Début février, ces directives étaient soutenues par une vingtaine de sociétés adtech, dont AppNexus, Adform, Rubicon Project, Outbrain et Taboola. La version finale des spécifications techniques doit être publiée mi-avril, après la fin des consultations. Reste à savoir si les éditeurs seront prêts à jouer le jeu, car leur décision de suivre ou non ces directives aura un impact non négligeable sur l’activité des acteurs de la publicité en ligne. Les éditeurs premium voient-ils dans le RGPD l’opportunité de jouer leur propre carte contre les sociétés adtech ? Selon Anthony Spinasse, le directeur général du trading desk Gamned!, l’entrée en vigueur du RGPD favorisera l’offre de segments de ciblage proposés directement par des éditeurs premium, dont la conformité devrait être beaucoup plus simple à vérifier. Gamned! affiche ainsi sa volonté de prendre ses distances vis-à-vis des segments de données third party fournis par les data providers, et dans ce cas de ne garder “que les données qui seront accompagnées d’une forte preuve de la licéité du consentement des utilisateurs”. Sollicités par mind Media, les éditeurs rassemblés au sein du SRI et du Geste n’étaient pas en mesure de donner leur position sur la proposition de l’IAB vendredi 23 mars.

Quoiqu’il en soit, la démarche l’IAB a déjà suscité quelques critiques, dont celles de Johnny Ryan, directeur de l’écosystème de PageFair, société spécialisée dans l’analyse de l’adblocking, dans un post LinkedIn publié mardi 20 mars. Selon lui, adopter l’opt-in global proposé par l’IAB compromettrait par exemple la capacité des éditeurs à recueillir le consentement pour leurs propres usages (blocs de commentaires, players vidéo) et la méthode est en contradiction avec plusieurs points du RGPD.

La gestion du consentement entre plusieurs éditeurs

La situation risque de se compliquer encore lorsqu’il s’agira de segments de données agrégés par des tiers à partir d’informations envoyées par différents éditeurs, comme dans le cas de l’alliance média et data Gravity, qui réunit une trentaine d’entre de sociétés : au total, ce sont ici plus d’une centaine de sites membres de l’alliance qui doivent déposer le cookie de Mediarithmics – la DMP partenaire de Gravity – sur le navigateur d’un internaute, pour que le tracking soit efficace, que le consentement soit obtenu et finalement que l’expérience globale réussisse. Comment organiser la collecte du consentement lorsque les données sont issues de plusieurs éditeurs et que l’on trouve le même cookie ou profil d’internaute chez différentes sources ? Chaque éditeur devra-t-il le faire à chaque passage, ou bien la réponse fournie par l’internaute à l’éditeur A vaudra aussi pour l’éditeur B ? “Le consentement ne vaudra pas pour chaque site de l’alliance. Un site ne récolte le consentement que pour son propre périmètre. Un utilisateur qui aurait donné son consentement sur le site A, s’il s’y opposait sur le site B, alors les données collectées par le site B ne seraient pas transmises à Gravity”, répond Fabien Magalon, le directeur général de l’alliance Gravity. La société a mis en ligne une “Convention Privacy” détaillant les obligations de ses membres sur le sujet, dont le fait d’informer les internautes “des finalités publicitaires et de partage des cookies et autres technologies de traçage déposés ou utilisés par Alliance Gravity”.

La mise en place d’un identifiant unique, commun à de grands éditeurs, est évoquée comme une alternative qui pourrait faciliter la gestion du consentement. Une réflexion sur ce sujet est d’ailleurs menée par une partie des éditeurs médias réunis au sein du Geste, qui fédère les professionnels éditeurs de contenus et de services en ligne. Elle l’a annoncé dans un communiqué en décembre 2017. Mais même dans ce cas, chaque éditeur devra agir à son niveau. “Il appartiendra à France Televisions de collecter les consentements spécifiques de l’utilisateur et d’en être le garant”, précise ainsi Valentin Vivier, responsable de projets data à France Télévisons Éditions Numériques.

Le rôle des acheteurs

Comme les éditeurs, les annonceurs sont aussi dans l’obligation d’obtenir le consentement des visiteurs de leurs sites pour collecter leurs données. Ce sont souvent des prestataires qui s’en chargent pour leur compte, tels que Gamned!, trading desk opérant dans l’achat et la mise en place de campagnes programmatiques pour des marques telles que SeLoger, L’Occitane, Allianz, Monoprix, EDF, BMW et SNCF. “L’annonceur est responsable de la collecte du consentement sur son site, mais c’est notre rôle de l’accompagner pour nous assurer que tout est fait correctement”, explique le directeur général de Gamned! Anthony Spinasse. C’est ainsi que le trading desk conseille ses clients sur différents aspects, comme les bandeaux cookies à mettre en place, la politique d’accès ou les mesures de conservation et de sécurité, pour “s’assurer de la licéité du consentement attaché aux données exploitées, de la conservation des données et de la possibilité pour les utilisateurs d’exercer leurs droits”. Sylvain Deffay, directeur du programmatique d’OMD, estime que cela implique de “travailler au plus près de ses régies et partenaires technologiques pour s’assurer de leur mise en conformité face aux challenges que pose le RGPD, car ce sont eux qui sont responsables de la bonne gestion des consentements des utilisateurs”.

Consentement et expérience utilisateur

Quel impact le RGPD aura-t-il sur l’expérience utilisateur ? Le règlement spécifie que l’internaute doit consentir au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques (art.5 du RGPD). Pour Ghita Taoujni (France Télévisions), cette demande ne doit pas se renouveler à chaque connexion afin de ne pas impacter négativement la navigation : “une fois le consentement accordé et tant que la finalité restera la même, il servira lors des prochaines visites de l’internaute qui pourra à tout moment changer d’avis.” Xavier Genovesi (Groupes Les Échos et Le Parisien) estime pour sa part que pour ne pas nuire à l’expérience utilisateur, une alternative consistera à collecter moins de données tout en mettant en place une information contextuelle adaptée. Certains éditeurs s’engagent également à ne pas bloquer l’expérience utilisateur si ce dernier n’accepte pas de partager ses données ou s’il ne se prononce pas – c’est le concept du cookie wall -, alors que cette option ne leur est pas imposée par le règlement. C’est l’ePrivacy, un texte encore en discussion, qui le prévoit dans sa version actuelle.

Le login est par ailleurs considéré par des éditeurs comme une solution de consentement favorisant la fluidité de l’expérience utilisateur. Sur France.tv, l’un des sites du groupe France Télévisions, la plateforme qui diffuse le replay de l’ensemble des chaînes, la création d’un compte deviendra ainsi à nouveau un passage obligé dans les prochaines semaines pour tous les utilisateurs, qui se verront proposer en échange des fonctionnalités “à valeur ajoutée”, comme des recommandations de contenus personnalisés, la gestion de favoris ou la reprise de la lecture sur différents devices.