« LA CRÉATIVITÉ SANS STRATÉGIE, CELA S'APPELLE DE L'ART. LA CRÉATIVITÉ AVEC DE LA STRATÉGIE, CELA S'APPELLE DE LA "PUBLICITÉ". »

DE JEF RICHARDS

« J'AI TOUJOURS RÊVÉ D'UN ORDINATEUR QUI SOIT AUSSI FACILE À UTILISER QU'UN TÉLÉPHONE. MON RÊVE S'EST RÉALISÉ : JE NE SAIS PLUS COMMENT UTILISER MON TÉLÉPHONE. »

DE BJARNE STROUSTRUP

REMERCIEMENTS

Ce mémoire de Master marque l'aboutissement d'un cycle de la vie, passage de la vie étudiante à la vie professionnelle. En préambule, je souhaite adresser tous mes remerciements aux personnes qui m'ont apporté leur aide et ont ainsi contribué à l'élaboration de ce mémoire.

Tout d'abord de grands remerciements à Monsieur Franck Franchin, directeur de recherche de ce mémoire, pour son aide précieuse et pour le temps qu'il a bien voulu me consacrer, mais également pour la bienveillance et la pédagogie dont il a su faire preuve.

Je remercie également les professeurs de l'Université de Versailles Saint-Quentin qui ont su me donner goût à la réflexion et l'analyse, et permis d'acquérir la rigueur nécessaire à l'entrée dans le monde du travail.

J'exprime toute ma gratitude à toutes les personnes rencontrées lors des recherches que j'ai effectuées et qui ont accepté de répondre à mes interrogations avec gentillesse, particulièrement Monsieur Jérôme Léger (co-directeur de la société Admoove).

Enfin, j'adresse mes plus sincères remerciements à mes parents, ma soeur, ma famille et tous mes proches, qui m'ont aidée et toujours soutenue et encouragée durant mon cursus universitaire et l'élaboration de ce mémoire.

TABLE DES MATIÈRES

DEFINITIONS 2

INTRODUCTION 7

CHAPITRE 1: LES ACTEURS ET LES ENJEUX EN PRESENCE 9

PARTIE 1 : LA NOTION DE PUBLICITE GEO-ADAPTEE 9

I. LES ACTEURS DE LA PUBLICITE GEO-ADAPTEE 9

A. LES COLLECTEURS DE DONNEES DE LOCALISATION 9

B. LES FOURNISSEURS DE RESEAU PUBLICITAIRE 10

C. LES AUTRES ACTEURS EN PRESENCE 11

II. LES DIFFERENTES TECHNIQUES DE REPERAGE ET LES METHODES DE PUBLICITE GEO-ADAPTEE ASSOCIEES 11

A. LES DIFFERENTES TECHNIQUES DE GEOLOCALISATION 11

1. LE REPERAGE GSM (DONNEES DES STATIONS DE BASE) 12

2. LE REPERAGE GPS (GLOBAL POSITIONING SYSTEM) 12

3. LE REPERAGE WIFI 12

B. LES METHODES DE DIFFUSION DE LA PUBLICITE GEO-ADAPTEE 13

C. LE PROFILAGE DANS LA PUBLICITE GEO-ADAPTEE 14

PARTIE 2 : LES ENJEUX ET LES PROBLEMATIQUES DE LA PUBLICITE GEO-ADAPTEE 15

I. LES ENJEUX POUR LES DIFFERENTS ACTEURS 15

A. LES ENJEUX POUR LES DIFFUSEURS ET LEURS INTERMEDIAIRES 15

B. LES ENJEUX POUR LES ENTREPRISES 16

C. LES LIMITES A L'EXPANSION DE LA GEOLOCALISATION 17

II. LA PROBLEMATIQUE DE LA PROTECTION DE LA VIE PRIVEE 18

A. LES RISQUES D'ATTEINTE A LA VIE PRIVEE DE L'UTILISATEUR DU TERMINAL MOBILE 18

B. LA PROTECTION DES DONNEES DE GEOLOCALISATION EN TANT QUE DONNEE A CARACTERE PERSONNEL 20

1. CADRE JURIDIQUE ET CHAMP D'APPLICATION DE LA PROTECTION 20

2. DONNEES DE LOCALISATION : DONNEES A CARACTERE PERSONNEL 21

3. LES COOKIES ASSIMILABLES A UN TRAITEMENT DE DONNEES A CARACTERE PERSONNEL 22

III. LES PROBLEMATIQUES RELATIVES A LA DETERMINATION DU RESPONSABLE DE TRAITEMENT 22

A. LA DESIGNATION DES RESPONSABLE DE TRAITEMENT 22

1. DEFINITION ET LOI APPLICABLE 23

2. LES ACTEURS CONCERNES 23

B. LA QUESTION DE LA TERITORIALITE DE LA LOI 24

CHAPITRE 2 : LA PROTECTION DES UTILISATEURS 25

PARTIE 1 : UNE COLLECTE, UNE UTILISATION ET UNE DETENTION DES DONNEES ENCADREES 25

I. LES OBLIGATIONS LIEES A LA COLLECTE 25

A. LA LOYAUTE, LA LICEITE ET LE RESPECT DE LA FINALITE 25

B. LA PROPORTIONNALITE ET LA QUALITE DES DONNEES 26

II. LA DECLARATION DES TRAITEMENTS 27

A. LE PRINCIPE DE LA DECLARATION PREALABLE 27

B. LE CONTENU DE LA DECLARATION 27

III. UNE CONSERVATION ADAPTEE 28

A. LA SECURITE DES FICHIERS 28

1. L'OBLIGATION DE SECURITE 28

2. L'ENCADREMENT PAR LES POUVOIRS REGLEMENTAIRES 29

3. LE CAS DE LA SOUS TRAITANCE 29

B. LA DUREE DE CONSERVATION 29

1. LE PRINCIPE 29

2. LES RECOMMANDATIONS 30

PARTIE 2 : UN CONSENTEMENT NECESSAIRE DES UTILISATEURS 31

I. L'INFORMATION PREALABLE AU CONSENTEMENT 31

A. LA DIVULGATION DE L'INFORMATION 31

B. LE CONTENU DE L'INFORMATION 32

1. L'INFORMATION RELATIVE A L'EXISTENCE DU TRAITEMENT 32

2. L'INFORMATION RELATIVE AUX DROITS DE LA PERSONNE CONCERNEE 32

C. LES ATTEINTES AU DROIT A L'INFORMATION 33

1. L'INSUFFISANCE DE L'INFORMATION 33

2. LES ATTEINTES PAR LES NAVIGATEURS ET SITES INTERNET : L'EXEMPLE DE GOOGLE 34

3. LES ATTEINTES PAR LES APPLICATIONS MOBILES 36

II. LE RECUEIL DU CONSENTEMENT 37

A. L'EXIGENCE D'UN CONSENTEMENT 37

B. LES MODALITES DE RECUEIL DU CONSENTEMENT 38

1. UNE TIMIDE CONSECRATION DE L'OPT-IN 38

2. LE DEBAT DES COOKIES 39

C. LES ATTEINTES AU RECUEIL DU CONSENTEMENT 40

1. LE PARAMETRAGE DU NAVIGATEUR : INSUFFISANT AU RECUEIL DU CONSENTEMENT 40

2. UNE ABSENCE DE CHOIX DANS LES APPLICATIONS MOBILES 41

3. LA VOLONTE DES GEANTS DU NET 42

III. LES SOLUTIONS ENVISAGEABLES 43

A. UNE AMELIORATION QUANT AUX DONNEES RECUEILLIES 43

1. UNE MEILLEURE INFORMATION DE L'UTILISATEUR 43

2. LA PROPORTIONNALITE ET LA MINIMISATION DES DONNEES COLLECTEES 45

3. LA REGLE DU « PRIVACY BY DESIGN » 45

B. UNE AMELIORATION QUANT AU RECUEIL DU CONSENTEMENT DE L'UTILISATEUR 46

1. LA NECESSITE D'UN CONSENTEMENT SPECIFIQUE 46

2. LES POSSIBILITES DE RECUEIL DU CONSENTEMENT 47

C. LA CONSECRATION D'UN DROIT A L'OUBLI 48

1. UNE DUREE DE VIE LIMITE DU CONSENTEMENT 48

2. UNE DUREE DE VIE LIMITEE DES INFORMATIONS RECUEILLIES 49

3. UNE SUPPRESSION POSSIBLE DU CONTENU PAR L'UTILISATEUR 49

CONCLUSION 51

BIBLIOGRAPHIE 52

DEFINITIONS

Géolocalisation : La géolocalisation ou géoréférencement est un procédé permettant de positionner un objet (une personne, etc.) sur un plan ou une carte à l'aide de ses coordonnées géographiques.

Terminal mobile : Un terminal mobile est un appareil portable permettant le traitement et l'échange de données. Cela inclut les Smartphones, les tablettes tactiles, ainsi que les appareils de communication avec un central de dispatching utilisés dans les véhicules professionnels (par exemple : les voitures de police, les taxis, les coursiers, les flottes de camion, les flottes de pêche, les services militaires de logistique, les services d'urgence, etc...).

SMS Push : Le SMS Push est généralement envoyé par l'annonceur à une base de données de clients/prospects opt-in pour alerter, informer, créer du trafic, et comporte par exemple des informations sur les produits, un bon de réduction, des infos exclusives...

Bannières publicitaires : Les bannières publicitaires sont là pour promouvoir tout service, en permettant à l'utilisateur qui clique dessus de se rendre directement sur l'espace du site concerné. Elles sont constituées d'une image ou animation flash renvoyant, grâce à un lien, l'utilisateur vers le site visé.

Cookies :un cookie est une information déposée sur le disque dur du terminal par le serveur du site visité ou de l'application utilisée.

INTRODUCTION

Après la révolution digitale, les individus sont à l'origine d'une nouvelle révolution : celle du mobile et de la mobilité. Il se vend 28 Smartphones chaque seconde dans le monde soit 875 millions de téléphones « intelligents » par an contre 720 millions en 2012^1(*). Il est à noter qu'à ce jour, il se vend plus de Smartphones et de tablettes mobiles que d'ordinateurs.

Les terminaux mobiles sont dans toutes les poches, dans tous les sacs, et font partis des rares objets que l'on garde à proximité de soi continuellement. Ce caractère bien particulier du terminal mobile a amené les entreprises et les annonceurs à se questionner sur de nouvelles pratiques marketings, et à placer les terminaux mobiles au coeur de leur stratégie commerciale. Non seulement les entreprises vont adapter leurs services aux terminaux mobiles par le biais d'applications ou de sites spécialement conçus mais elles vont également s'en servir comme unoutil de marketing afin de cibler au mieux le potentiel acheteur.

Connaitre la localisation à l'instant T d'un utilisateur devient un véritable atout pour les entreprises.Cette traçabilité offre de réels avantages permettant à l'entreprise de mieux cibler ses consommateurs pour adapter ses actions de marketings, de définir et dynamiser sa zone de chalandise par la mise en place de campagne publicitaire à proximité de ses enseignes, et enfin d'adapter son point de vente en fonction des comportements recueillis. Dans le cadre de notre étude nous étudierons plus particulièrement les avantages procurés par une campagne publicitaire géo-adaptée.

Grâce à la donnée de localisation, les annonceurs peuvent envoyer de la publicité géo-adaptée à un utilisateur passant à proximité d'un point de vente par exemple. Cette publicité peut prendre la forme de SMS géolocalisés directement envoyés sur le Smartphone de l'utilisateur ou de bannières publicitaires affichées sur les sites Web ou applications mobiles consultés. Mais la publicité géolocalisée peut aussi passer par l'incitation de l'utilisateur à se localiser dans un lieu afin d'obtenir des promotions ou des points de fidélités comme le proposent certains réseaux sociaux.

Néanmoins, la collecte et l'utilisation des données de localisation peuvent parfois présenter des risques d'atteinte à la vie privée, dès lors que les personnes utilisant les terminaux mobiles sont clairement identifiables et directement localisables. Il est donc important, notamment en matière de prospection commerciale, d'encadrer strictement le recueil de ces données afin que l'utilisateur ne se retrouve pas « pisté » à son insu tout au long de la journée. Les utilisateurs doivent donc être informés de la possible réutilisation de leurs données à des fins de prospections commerciales et doivent avoir donné leur consentement explicite pour recevoir de la publicité géo-adaptée.

La technologie avançant plus vite que le droit, force est de constater qu'il existe de nombreuses dérives en la matière et que les règles ne sont pas toujours respectées tant les enjeux économiques sont importants. L'utilisateur est souvent peu, voire mal, informé. De plus, il n'est, bien souvent, pas mis en mesure de donner son consentement en toute connaissance de cause. En effet, peu d'utilisateurs sont réellement conscients des données qu'ils partagent volontairement ou par mégarde et l'utilisation réelle de ces dernières. Reste à trouver des solutions pour que l'utilisateur soit véritablement protégé et qu'il puisse à tout moment refuser de divulguer sa position lors de l'utilisation de son terminal mobile.

Plusieurs questions se posent alors : quels sont les enjeux de la publicité géo-adaptée ? Quels sont les acteurs intervenant dans le processus de campagne publicitaire ? Quelles sont les règles de droit applicables ? Quelles sont les manquements constatés ? Et enfin quelles sont les solutions envisageables ?

En résumer la question qui se pose est celle de savoir dans quelles mesures est encadrée la géolocalisation à des fins publicitaires ?

Ceux sont ces questions passionnantes qu'il va falloir traiter tout au long de notre étude. Une précision d'importance, l'objet de cette étude ne s'intéressera qu'aux terminaux mobiles, et tout particulièrement aux Smartphones qui permettent à l'utilisateur de se localiser et/ou d'être localisé en temps réel. Sont donc exclus les ordinateurs, qui de par leur taille et leurs fonctions sont plus souvent situés à des points fixes, et les téléphones autres que Smartphones qui ne permettent pas la localisation. Quant aux tablettes elles ne seront que brièvement évoquées.

Afin de cerner l'étendu et la complexité du problème, il semble nécessaire d'étudier les acteurs et les enjeux en présence (chapitre 1) avant d'étudier qu'elle est la protection accordée aux utilisateurs et comment cette dernière pourrait être améliorée (chapitre 2).

CHAPITRE 1: LES ACTEURS ET LES ENJEUX EN PRESENCE

Pour pouvoir comprendre quelle protection peut être apportée aux utilisateurs de terminaux mobiles quant à la collecte de données de géolocalisation à des fins publicitaires il est essentiel de comprendre ce que recouvre la notion de publicité géo-adaptée (partie 1), ainsi que les enjeux que cela représente pour les différents acteurs et les problématiques associées (partie 2).

PARTIE 1 : LA NOTION DE PUBLICITE GEO-ADAPTEE

La publicité géo-adaptée repose sur plusieurs acteurs (I) qui doivent, par différents moyens, collecter les données de géolocalisation pour pouvoir afficher une publicité correspondante à la localisation du terminal mobile (II).

I. LES ACTEURS DE LA PUBLICITE GEO-ADAPTEE

Le paysage de la publicité géo-adaptée est composé de nombreux acteurs qu'ils soient collecteurs de données (A), fournisseurs de réseaux publicitaires (B) ou encore diffuseurs ou annonceurs (C), endossant bien souvent plusieurs rôles à la fois. La présente partie vise à définir leur rôle respectif, de la collecte des informations de géolocalisation à l'affichage de la publicité sur le terminal mobile de l'utilisateur.

A. LES COLLECTEURS DE DONNEES DE LOCALISATION

1. Les moteurs de recherche - Les moteurs de recherche disposent de système d'exploitation permettant la géolocalisation. En cas d'utilisation d'un service de localisation, ces derniers collectent les données relatives à la position exacte de l'utilisateur. Par le biais des cookies (voir point 24) ils recueillent également de nombreuses informations, relatives à l'utilisateur, dont les données de localisation peuvent faire partie. Il n'est donc pas nécessaire que l'utilisateur utilise un service de localisation pour que des données de localisation soient recueillies par le moteur de recherche.

2. Les opérateurs de télécommunications - Les opérateurs traitent continuellement des données de stations de base dans le cadre de la fourniture de services de communications électroniques publics ou de services à valeur ajoutée. A ce titre, ils sont en mesure de localiser un terminal mobile sur leurs réseaux dès que ce dernier est activé. Il est à noter qu'à ce jour, tous les opérateurs téléphoniques proposent, à des tiers, l'accès à ces données de localisation via une API (Application programming interface) dédiée. Ainsi bon nombre « d'application mobiles de géolocalisation » ne sont en fait que des services exploitant les API des opérateurs. De plus, les opérateurs possèdent généralement un registre comportant le nom, l'adresse et les coordonnées bancaires de chaque client, auxquels sont associés plusieurs numéros uniques tels que les numéros IMEI (identité internationale de l'équipement mobile) et IMSI (identité internationale de l'abonné mobile). Cela leur permet de recouper aisément les informations et d'utiliser les données à des fins publicitaires lorsqu'ils exécutent la fonction de régie publicitaire (voir point 6).

3. Les constructeurs de terminaux mobiles - Les constructeurs de terminaux mobiles recueillent des informations de géolocalisation telles que le signal GPS du terminal ou les informations relatives aux points d'accès Wifi et les antennes situées à proximité. Ils peuvent ensuite les divulguer à des tiers comme les opérateurs de télécommunications ou encore leurs partenaires commerciaux pour qu'ils fournissent de la publicité géo-adaptée.

4. Les développeurs d'applications - Ils développent tous types d'applications (services, jeux...) pour les terminaux mobiles. Force est de constater que nombreuses sont celles qui recueillent les données de localisation de l'utilisateur en plus de données d'identification. Actuellement, la manière la plus répandue d'exploiter la géolocalisation est de demander à l'utilisateur s'il autorise l'application à utiliser ses coordonnées : c'est ce que l'on appelle la géolocalisation active. L'utilisateur peut également choisir de communiquer sa position à un moment précis, comme c'est le cas lors de l'utilisation de l'application Foursquare. Mais il existe également des services comme « Google Latitute » ou encore « localiser mes amis » qui sont complètement passif. Il suffit par exemple d'activer l'application « Latitude » sur un terminal mobile pour que ce dernier enregistre en permanence les déplacements d'un usager, sans qu'il ait à interagir avec l'application. La géolocalisation peut aussi être active et passive, c'est ce que l'on appelle le « géofencing ». Cette solution hybride permet à l'utilisateur de choisir les zones autour desquelles il souhaite que sa position géographique soit localisée. Fin 2011, un projet de recherche et développement intitulé « Mobilitics »^2(*) a été initié par la CNIL. Il consiste à analyser en profondeur les données personnelles enregistrées, stockées et diffusées par les Smartphones. Cet outil a été installé sur 6 iPhones pendant 3 mois afin de permettre d'étudier dans le temps l'évolution des accès aux données personnelles. Sur ce laps de temps, 41 000 événements de géolocalisation ont été envoyés par les téléphones soit 76 évènements par jour et par téléphone. Sur 189 applications installées 58 d'entre elles accédaient aux données de localisation soit 31% des applications, il s'agit de la donnée la plus intensément consommée. Ces données sont par la suite transmises à de nombreux acteurs économiques de manière invisible pour les utilisateurs.

5. Les éditeurs de sites - Les éditeurs de sites peuvent, par le biais d'un formulaire d'inscription ou par l'utilisation des cookies, recueillir un nombre important d'informations sur l'utilisateur de l'appareil. Dans le cas des réseaux sociaux (Facebook, Twitter...), ou des cityguides (Foursquare, Dimoioù, Google Maps, Cityvox...) les utilisateurs sont parfois amenés à dévoiler eux-mêmes où ils se trouvent pour en informer leur communauté, ou encore pour donner leurs avis sur des lieux, obtenir des avantages en se localisant dans une enseigne...

B. LES FOURNISSEURS DE RESEAU PUBLICITAIRE

6. Les régies publicitaires - Les régies publicitaires permettent aux entreprises d'organiser leurs campagnes publicitaires grâce à la géolocalisation. L'entreprise va alors pouvoir choisir un périmètre de campagne publicitaire, le mode de publicité qu'elle souhaite mettre en place (SMS/ bannières publicitaires sur les sites ou sur les applications), mais encore déterminer les personnes qu'elles souhaitent cibler (hommes, femmes, étudiants, vacanciers...). Ces régies sont le lien entre les annonceurs d'une part, et les diffuseurs d'autre part (éditeurs de sites Internet, de plateformes de services mobiles et d'applications mobiles) puisqu'elles sont chargées de commercialiser les espaces publicitaires pour le compte de ces éditeurs. Elles mettent en oeuvre des solutions technologiques et des partenariats leur permettant de recueillir des informations relatives à la navigation et/ou à la localisation d'un même terminal mobile sur un ou sur plusieurs milliers de supports de diffusion de publicités dont elles peuvent être les intermédiaires directs ou indirects. Elles sont responsables de la diffusion de la publicité, de son contenu, des cookies et des bases de données utilisées qui sont sous leur contrôle. Plus le fournisseur de réseau publicitaire est important, plus il dispose de moyens pour suivre les utilisateurs et tracer leurs comportements. A noter que les régies publicitaires peuvent être des moteurs de recherche (ex : Google) ou des opérateurs de télécommunications (ex : SFR régie).

7. L'exemple d'Admoove - Admoove est une régie publicitaire spécialisée dans la publicité géo-adaptée par voie d'affichage de bannières publicitaires affichées sur les applications mobiles. Afin de permettre l'envoi de publicité géo-adaptée elle se sert des données collectées par les applications sur les terminaux mobiles des utilisateurs. L'exemple donné par Jérôme Léger^3(*)(co-fondateur d'Admoove) pour illustrer ce mode de fonctionnement est celui de l'application « Alociné ». Lorsque l'utilisateur va se connecter sur l'application « Alociné » et lui demander de localiser les salles de cinéma à proximité de sa position, l'application va demander au système d'exploitation du terminal où il se trouve. Admoove va se servir de la donnée recueillie pour pouvoir afficher dans la bannière publicitaire de l'application correspondante une publicité géo-adaptée.

8. Les autres fournisseurs de réseau publicitaire- Ceux sont les éditeurs de sites ou les développeurs d'applications qui vendent directement leurs espaces publicitaires aux annonceurs. La diffusion de la publicité, les bases de données nécessaires au ciblage de l'utilisateur et les données associés, ainsi que les éventuels cookies utilisés pour leur collecte sont sous leur contrôle. Mais cela peut également être les moteurs de recherche qui comme « Yahoo » et « Google » sont à la fois régie publicitaire et fournisseur direct de publicité puisqu'ils réalisent de la publicité sur site en tant qu'éditeur de site. L'annonceur contacte directement l'éditeur du site, ou le développeur de l'application pour lui indiquer le contenu publicitaire à afficher et la cible qu'il souhaite viser selon son sexe, son âge, son pays ou tout autre critère affiné. Ceux sont aussi les agences de publicité qui organisent les campagnes des annonceurs et diffusent leurs créations sur les espaces publicitaires qu'ils ont achetés.

C. LES AUTRES ACTEURS EN PRESENCE

9. Les diffuseurs - Les éditeurs de sites, les développeurs d'application mais également les moteurs de recherche disposent d'espaces publicitaires qu'ils cherchent à rémunérer dans les meilleures conditions financières possibles, notamment par l'insertion de contenus publicitaires. Il faut savoir que la location de ces espaces publicitaires permet de financer, en grande partie voire en totalité leurs activités, notamment l'édition de services et de contenus ou d'informations.

10. Les annonceurs - L'annonceur est défini comme « toute entreprise ou organisme qui recourt aux différentes techniques de communication pour promouvoir sa notoriété, son image, ses produits ou ses services ». Ceux sont eux qui vont investir dans la publicité géo-adaptée pour pouvoir mettre en oeuvre leur campagne publicitaire

Les acteurs ayant été définis, il faut à présent étudier comment les données de localisation sont recueillies par les collecteurs de données de localisation, et comment elles sont utilisées dans le cadre de la publicité géo-adaptée.

II. LES DIFFERENTES TECHNIQUES DE REPERAGE ET LES METHODES DE PUBLICITE GEO-ADAPTEE ASSOCIEES

Il existe plusieurs techniques qui permettent de recueillir les données de localisation d'un terminal mobile (A) afin de diffuser de la publicité géo-adaptée (B) mais également de dresser des profils d'utilisateurs (C).

A. LES DIFFERENTES TECHNIQUES DE GEOLOCALISATION

Les techniques de géolocalisation sont au nombre de trois, elles seront étudiées succinctement afin de permettre une meilleure étude et compréhension du sujet :

· Le repérage GSM

· Le repérage GPS

· Le repérage Wifi

1. LE REPERAGE GSM (DONNEES DES STATIONS DE BASE)

11. Fonctionnement - La zone de couverture des différents opérateurs de communications est divisée en ce que l'on appelle des « cellules ». Lorsqu'un utilisateur effectue un appel téléphonique ou se connecte à internet via le réseau 3G, le dispositif mobile se connecte à une antenne (autrement appelée station de base). Ces cellules sont de tailles différentes en fonction de la région sur lesquelles elles sont implantées. Tant que le terminal mobile de l'utilisateur est allumé, il est lié à la station de base de la cellule concernée, qui possède un identifiant unique appelée « cell ID », la reliant à une position donnée.

12. Utilisation des données - L'opérateur de télécommunications enregistre continuellement ces informations. Il est capable, ainsi qu'un grand nombre de dispositifs mobiles, d'utiliser ces données en les recoupant avec celles d'autres stations de base pour estimer la position exacte du terminal mobile. Cette technique est appelée triangulation. Les données des stations de base peuvent être utilisées pour suivre un terminal mobile, connaître les habitudes de son propriétaire, ses trajets... Ce procédé de positionnement n'offre toutefois par la précision des données GPS et Wi-Fi.

2. LE REPERAGE GPS (GLOBAL POSITIONING SYSTEM)

13. Fonctionnement - Les Smartphones et tablettes comportent tous un jeu de puces incorporé doté d'un récepteur GPS permettant de les localiser. La technologie GPS utilise les satellites pour déterminer la position exacte d'un terminal mobile grâce à la transmission d'un signal radio très précis.

14. Inconvénients - Bien que cette technologie permette une localisation très précise (entre 4 et 15 mètres), elle fonctionne mal voire pas du tout en intérieur. Elle est donc souvent utilisée en association avec les données de stations de bases et/ou des points d'accès Wi-Fi. De plus, en ce qui concerne la publicité géo-adaptée, elle n'est accessible que pour les bannières publicitaires installées sur des applications et pour les sites mobiles développés en HTML et nécessite donc des conditions particulières pour accéder au GPS.

3. LE REPERAGE WIFI

15. Points d'accès Wifi - Ils sont utilisés depuis seulement quelques années comme source d'informations de géolocalisation. La technologie utilisée est similaire à celle des stations de base. En effet, ces deux technologies se basent sur un identifiant unique pouvant être détecté par un terminal mobile et envoyé à un service l'associant à un identifiant unique. En ce qui concerne la technologie Wifi, cet identifiant unique correspond à l'adresse MAC (identifiant unique attribué à une interface réseau).

16. Fonctionnement - Les points d'accès Wifi signalent constamment leur existence et, sur la plupart d'entre eux, la connexion est « activée » par défaut et cela même si l'utilisateur est connecté à l'aide de câbles physiques. Le point d'accès Wifi transmet continuellement son propre nom réseau ainsi que son adresse MAC. Il est possible de calculer la position d'un point d'accès Wifi statiquement ou dynamiquement. La méthode statique s'opère en une seule fois, les responsables de traitements eux-mêmes recueillent ces informations en circulant dans des véhicules équipés d'une antenne leur permettant de capturer le signal et de calculer la position des points d'accès. La méthode dynamique s'opère en continu lorsque les utilisateurs de services de géolocalisation recueillent automatiquement les adresses IP captées par leurs appareils Wifi en utilisant, par exemple, une carte pour déterminer leur position. Le terminal mobile envoie alors toutes les informations disponibles au fournisseur de services de géolocalisation (adresse MAC, identifiants SSID, intensité du signal...).

17. Connexion non nécessaire - Il est à noter que les terminaux mobiles n'ont pas besoin d'être connectés au réseau Wifi pour transmettre les informations puisqu'ils détectent automatiquement la présence des points d'accès et recueillent les données le concernant. Il faut désactiver le Wifi d'un terminal mobile pour que celui-ci ne recherche plus les points d'accès Wifi environnants.

18. Intérêt - La géolocalisation utilisant les points d'accès Wifi procure une localisation rapide et de plus en plus précise grâce à l'établissement de cartographie spécialisée.

B. LES METHODES DE DIFFUSION DE LA PUBLICITE GEO-ADAPTEE

19. Les bannières publicitaires - Les bannières publicitaires sont les espaces disponibles sur les différents services (sites, applications...) que les développeurs et éditeurs cherchent à louer. Dans le cadre de la publicité géo-adaptée, l'annonceur va souhaiter diffuser sa campagne publicitaire dans un rayon de x mètres autour d'une ou plusieurs de ses enseignes. La régie publicitaire (dans la majorité des cas), recueillant les données de géolocalisation des utilisateurs va afficher dans les bannières publicitaires des développeurs et éditeurs la publicité de l'annonceur toutes les fois où un utilisateur sera connecté à un des sites ou une des applications mobiles et qu'il sera dans le rayon de diffusion de la publicité. Cette méthode peut être affinée par des critères de sexe, d'âge, de catégories sociales professionnelles, d'heure d'ouverture de l'enseigne...

20. Les SMS Push - Un annonceur va faire appel à une régie publicitaire pour mettre en place une campagne publicitaire dans un rayon de x mètres autour d'une ou plusieurs de ses enseignes, mais dans le cas présent il désire que la publicité arrive directement sous forme de SMS sur le téléphone de l'utilisateur. La régie publicitaire, qui dispose des données de géolocalisation de l'utilisateur ainsi que de son numéro de téléphone, enverra alors un SMS à l'utilisateur toutes les fois où il entrera dans le rayon de la publicité ciblée. En France, il existe deux bases de données de SMS permettant de recevoir des messages en fonction de la géolocalisation de l'utilisateur. La plus importante est détenue par SFR avec 3,5 millions d'adresses^4(*), suivie par Orange avec 1,5 millions d'adresses. Les utilisateurs ont donné leur consentement par un double opt-in : le premier sur la réception de messages de partenaires de l'opérateur, le second sur la réception de publicités ciblées. Cette technique semble plus performante que celle des bannières car il suffit que le mobile soit allumé dans la zone ciblée pour que l'utilisateur reçoive potentiellement un message mais elle touchera moins de personne puisqu'elle ne sera envoyée que sur les téléphones d'utilisateurs consentants. SFR offre même des possibilités de ciblage par sexe, âge, catégorie sociaux professionnelle, centres d'intérêts...

21. La détermination du périmètre de campagne publicitaire - Avant de lancer la campagne publicitaire, l'entreprise va devoir définir la zone de déclenchement de la publicité. Plus la zone est large, plus la cible touchée sera large, mais parfois trop éloignée et donc le taux de clic sera faible. A l'inverse plus la zone est petite, plus la cible touchée sera réduite et le taux de clic élevé. Admoove a donné les chiffres suivants issus d'une campagne de promotion d'un restaurant : de 0 à 50 mètres le taux de clic est de1,36%, alors qu'il n'est que de 0,85% lorsque la zone de diffusion est située entre 500 et 1000 mètres^5(*). La zone peut être définie sous forme de cercle mais également d'une succession de points.

22. Les avis des utilisateurs : l'exemple de Foursquare - L'annonceur à un rôle plus passif qu'avec les deux premières méthodes. Le city-guide va amener l'utilisateur à se rendre dans certains lieux pour gagner des sortes de points de fidélités. Plus l'utilisateur se rendra dans le lieu, ou fera venir des « amis » dans ce lieu, plus il gagnera de point. Le cumul des points permet aux utilisateurs d'obtenir des promotions ou des cadeaux dans le lieu en question. Les annonceurs rémunèrent alors Foursquare au nombre de personnes qui ont consulté leur enseigne, et au nombre de « check-in » (personnes qui se sont identifiées dans l'enseigne).

C. LE PROFILAGE DANS LA PUBLICITE GEO-ADAPTEE

23. La collecte d'informations : une nécessité - La publicité géo-adaptée va bien souvent au-delà du simple recueil de la localisation du terminal mobile de l'utilisateur et vient complémenter un véritable profil de ce dernier. La donnée de géolocalisation vient alors en complément pour proposer de la publicité ciblée. Que ce soit dans le cadre de la publicité sur site effectué directement par les sites, les applications ou les moteurs de recherches, ou de la publicité effectuée par un fournisseur de réseau publicitaire, dès lors qu'elle est ciblée elle implique nécessairement la collecte d'informations sur les utilisateurs. Dans le cas de la publicité sur site, la méthode de collecte résulte des informations collectées par les diffuseurs, notamment au travers des formulaires d'inscription. Dans le cas des régies publicitaires les choses se compliquent puisqu'elles n'ont pas un accès direct aux données personnelles des utilisateurs. Malgré tout, elles sont capables de constituer des profils d'utilisateurs et de proposer une publicité ciblée grâce à des méthodes de traçage. A noter que les méthodes employées par les régies publicitaires, le sont également en complément, par les éditeurs de sites ou les développeurs d'application.

24. L'utilisation de cookies - Afin de dresser des profils d'utilisateurs et ainsi de déterminer quelles publicités doivent apparaitre sur leur terminal les fournisseurs de réseau publicitaire mettent en place des cookies dit « cookies traceurs » ou encore « cookies tierces parties » ainsi que des pixels espions qui permettent un pistage de l'utilisateur. Les cookies sont des petits fichiers déposés sur le disque dur du terminal mobile et qui contiennent des informations (numéro identifiant le terminal, page Web consultées, mots clés saisis, contacts de l'appareil, localisation...). Une fois les données collectées, soit les éditeurs de site ou les développeurs d'applications les utilisent pour afficher eux-mêmes de la publicité ciblée au sein de leurs services, parfois en les croisant avec les données des profils communiquées par les utilisateurs, ou bien ils communiquent volontairement les données dont ils disposent aux régies publicitaires. Les régies publicitaires disposent alors des données communiquées par ces acteurs mais également des données qu'elles ont collectées elles-mêmes par le biais de cookies. En effet, lorsqu'une régie publicitaire affiche une publicité au sein d'une page ou d'une application elle peut par la même occasion placer des cookies lui permettant de collecter ses propres données.

25. Emploi du terme générique de cookies - Selon la CNIL, le terme de cookies est à prendre « au sens large » et couvre « l'ensemble des traceurs déposés et / ou lus, par exemple, lors de la consultation d'un site internet, de la lecture d'un courrier électronique, de l'installation ou de l'utilisation d'un logiciel ou d'une application mobile »^6(*). Cela comprend donc les balises Web, les pixels espions, les mouchards... La loi s'applique quel que soit le type de terminal utilisé et comprend donc les Smartphones et tablettes numériques.

26. Des profils complets - Cette collecte d'informations permet d'établir des profils d'utilisateurs complets comprenant leur âge, leur sexe, leurs centres d'intérêts, leurs passions, les articles par lesquels ils sont intéressés, leur localisation... Deux types de profils, plus ou moins précis, distingués par la CNIL^7(*), permettent un ciblage comportemental : le profil prédictif et le profil explicite. Les profils prédictifs sont établis par observation des comportements des internautes dans le temps (pages visitées, publicité ayant attiré l'attention...) tandis que les profils explicites sont établis à partir des données personnelles que l'utilisateur a lui-même fourni lors de l'accès au service proposé. Ces deux profils peuvent être combinés pour faire un profil plus complet. Le profil prédictif contient le plus souvent des données comme le sexe, la tranche d'âge, la localisation mais peut également contenir des informations comme les centres d'intérêts, les passions... C'est grâce à une analyse des pages visitées que l'utilisateur va être « rangé » dans certaines catégories. Par exemple, un utilisateur consultant régulièrement des produits cosmétiques sera classé dans la catégorie « femme ». En combinant plusieurs informations les profils peuvent s'affiner et être de plus en plus précis. De nombreuses sociétés sont à la fois fournisseurs de contenu et diffuseurs de publicité. C'est le cas de « Google », de « Yahoo » ou des réseaux sociaux par exemple. Elles peuvent aisément combiner les deux types de profils pour effectuer un ciblage avancé de leurs utilisateurs. Cette publicité ultra-ciblée explore de nouveaux horizons avec la géolocalisation des terminaux mobiles des utilisateurs.

La publicité géo-adaptée résulte donc d'une combinaison d'acteurs, de différentes méthodes de collectes et d'association avec d'autres données. Mais la question se pose de savoir quels sont les enjeux associés à ce type de publicité et quels sont les risques potentiels soulevés par l'emploi de telles méthodes.

PARTIE 2 : LES ENJEUX ET LES PROBLEMATIQUES DE LA PUBLICITE GEO-ADAPTEE

De nombreux enjeux, essentiellement financiers, poussent les différents acteurs à se saisir de l'opportunité qu'offre la publicité géo-adaptée (I) mais cela n'est pas sans risque quant à la protection de la vie privée (II) et pose de nombreuses problématiques quant à la détermination des obligations de protection pesant sur ces acteurs (III).

I. LES ENJEUX POUR LES DIFFERENTS ACTEURS

Les enjeux ne sont pas les mêmes que l'on se place du côté des diffuseurs et de leurs intermédiaires (A) ou du côté des entreprises (B). Mais malgré l'attractivité de la publicité géo-adaptée, l'expansion de cette dernière trouve ses limites (C).

A. LES ENJEUX POUR LES DIFFUSEURS ET LEURS INTERMEDIAIRES

27. La publicité ciblée, un média d'avenir - Nombreuses sont les entreprises à s'intéresser à la publicité géo-adaptée d'une part pour optimiser leurs résultats, et d'autre part pour réduire leurs coûts liés à une publicité inefficace. Mais ce modèle est aussi avantageux pour les sociétés développant des services et des contenus puisque cela leur permet de les fournir « gratuitement » ou à moindre coût en se rémunérant majoritairement, voire exclusivement sur la publicité proposée. La publicité est donc devenue un enjeu stratégique majeur, véritable « carburant »^8(*) et « facteur clé de la croissance et de l'expansion de l'économie numérique »^9(*), pour les entreprise qui cherchent à la rendre la plus efficace possible en passant par un ciblage de plus en plus affiné de l'utilisateur. La publicité géo-adaptée permettrait d'accroitre considérablement les financements de ces services et contenus.

28. La publicité géo-adaptée : un marché en forte croissance - En France comme aux Etats-Unis, cette ruée vers la géolocalisation a une explication simple : la perspective d'un business très lucratif. En effet, le marché de la publicité locale représenterait un marché de 10 milliard d'euros dans l'Hexagone. Selon une étude publiée par l'institut Berg Insight^10(*), le marché de la publicité géo-adaptée, qui représentait 1,2 milliard de dollars en 2013, devrait continuer à progresser rapidement. Les analystes prévoient une croissance annuelle de 54% permettant d'atteindre 10,7 milliards de dollars en 2018.

29. La publicité géo-adaptée : de nouvelles perspectives - Alors même que la publicité standard, voire même ciblée, n'est possible que pour les grosses entreprises qui ont les moyens financiers permettant de financer de telles campagnes publicitaires, la publicité géo-adaptée peut permettre de restreindre une zone de diffusion à une région, une ville... Les entreprises locales, qui n'avaient jusqu'alors que peu de moyens pour faire leur publicité, peuvent grâce à la publicité géo-adaptée se faire connaitre à moindre coût, c'est donc tout un marché qui s'ouvre pour les diffuseurs. Selon une étude menée par Werfi-Precepta, le marché publicitaire local aurait rapporté 2,6 milliards d'euros en 2012^11(*).

30. Le développement de partenariats commerciaux : l'exemple de Foursquare - L'application « Foursquare », qui permet à un utilisateur d'indiquer où il se trouve et de recommander l'endroit, attire l'attention des entreprises sur l'attractivité de la publicité ciblée qui passent des partenariats avec la société. Sur le site, un volet expose aux entreprises les avantages d'un partenariat commercial dont le succès repose sur la compétition entre amis. Compétition suscitée par un système ludique permettant aux utilisateurs de gagner des points et d'accumuler des « badges » pour obtenir des offres promotionnelles. En janvier 2010, Foursquare a signé un partenariat avec la chaine de télévision Bravo TV, qui a donné lieu à la mise en place de badges exclusifs et d'avantages pour les utilisateurs qui se connecteraient aux lieux indiqués par la chaine. Ce même effet aspirationnel a été utilisé par le réseau de transport américain BART qui, en s'associant avec Foursquare, a proposé à ses usagers, s'ils s'enregistraient aux arrêts, plusieurs avantages comme des tickets gratuits ou autres facilités.

B. LES ENJEUX POUR LES ENTREPRISES

31. Un gain financier - Dans le modèle classique, la publicité est diffusée sans tenir compte de l'utilisateur qui la reçoit. Sur l'ensemble du public touché, il est fort probable que peu de personnes soient concernées par la publicité. Envoyer une publicité de déodorant pour homme sur le terminal mobile d'une femme semble peu pertinent. Dans le modèle de la publicité ciblée, cette dernière n'est envoyée que sur les terminaux mobiles des utilisateurs dont le profil correspond. Ainsi dans l'exemple précédemment cité, la publicité de déodorant pour homme sera envoyée sur des terminaux mobiles détenus par des hommes touchant ainsi le public concerné. La publicité géo-adaptée quant à elle permettrait encore d'affiner la cible à viser, par exemple en ne ciblant que les potentiels acheteurs dans un rayon de quelques mètres ou kilomètres autour d'une enseigne qui sont plus à même de se déplacer pour acheter le produit. Même si la publicité ciblée coûte plus cher en nombre d'affichages (coût pour mille ou CPM) que la publicité « normale »^12(*) elle ne sera affichée que sur le public ciblé, ce qui implique un meilleur taux de transformation et donc une optimisation des coûts. Le CPM n'est pas le seul mode de rémunération de la publicité ciblée qui peut se faire au clic (coût au clic ou CPC) et plus rarement à l'action d'achat (coût par action d'achat ou CPA). Les entreprises ne rémunèrent plus l'affichage même de la publicité mais le fait que l'utilisateur ait cliqué sur l'annonce ou acheté le produit de l'annonce. Ce qui représente un avantage financier indéniable.

32. La possibilité d'une publicité locale - Grâce à la publicité géo-adaptée, les petites entreprises vont également pouvoir faire de la publicité. De telles opportunités offrent des horizons inespérés dans la mesure où elles permettent de se développer sur des petites surfaces. La géolocalisation permet la rencontre d'une offre de petite taille, comme celle d'un bar ou d'un restaurant, avec un client repéré et hyper ciblé. De ce fait, la publicité n'a pas besoin d'un gros volume de diffusion et est sensiblement moins coûteuse en permettant d'élaborer des campagnes publicitaires à moindre frais.

33. La force des avis de consommateurs - La géolocalisation et les incitations ludiques des réseaux sociaux socialisés ou des cityguides permettent de mettre en oeuvre un ciblage fin des consommateurs. Il devient très simple de recommander de se rendre dans un lieu via les amis d'un utilisateur ou encore de valoriser n'importe quel événement. Le développement de la publicité au travers des avis de consommateurs a d'autant plus de potentiel commercial que ces derniers intègrent dans leur processus d'achat une recherche d'information s'éloignant de la simple relation entre la marque et le consommateur. Les sondages publiés par Forrester^13(*) révèlent que 70% des consommateurs indiquent se fier à l'avis de leurs amis, tandis que 46% font confiance aux avis et commentaires publiés sur Internet. En France, une étude menée conjointement par l'agence de communication Internet Spintank et l'institut de sondage Opinion Way^14(*) révélait que 87% des français considéraient les avis des consommateurs comme des sources très utiles ou utiles. La force des avis de consommateurs a donc été couplée à la géolocalisation pour élaborer de véritables cityguides sociaux.

C. LES LIMITES A L'EXPANSION DE LA GEOLOCALISATION

34. La publicité géo-adaptée : un marché embryonnaire - A ce jour, tous les acteurs s'accordent à dire que le marché est encore naissant. Ce point a été spécifiquement soulevé par la Mobile Marketing Association France (MMAF), en 2011, au sein de sa charte relative à la publicité géo-adaptée et aux droits des personnes^15(*). La technologie est en avance sur les besoins des annonceurs qui ne sont pas encore tout à fait à l'aise avec la publicité en ligne. Une conversion est nécessaire à la géolocalisation car les annonceurs sont tout de même loin d'avoir fait leur révolution culturelle. La principale difficulté est de séduire les commerçants et artisans des petites villes (moins de 50.000 habitants) qui représentent 80% de la publicité locale selon Solocal Group^16(*) afin de les convertir à la publicité sur mobile à la place de l'encart publicitaire dans le quotidien local par exemple.

35. Les limites à la bannière publicitaire - Il faut trouver le bon format pour s'adresser aux utilisateurs de terminaux mobiles. Ils ne doivent pas se sentir agressés mais l'annonceur doit s'assurer qu'ils verront le message. Entre pop-up recouvrant l'intégralité de la page de navigation, bannière de quelques pixels dans un coin de page, etc... il faut trouver le bon compromis. L'étude publiée par Forrester (évoquée ci-dessus) démontre que seulement 10% des personnes s'estiment réceptives à la communication de la publicité dans l'endroit où elle est marquée. De plus, le système trouve sa limite dans le fait que pour voir la publicité, il faut encore que l'application ou la page du site web affichant la bannière soit ouverte. Mais pour éviter cet écueil, certaines entreprises comme SFR régie préfèrent miser sur les classiques SMS Push qui arrivent directement sur le mobile, sans que l'utilisateur n'ait à consulter une page Web ou se servir d'une application.

36. Des volumes assez faibles pour les campagnes géo-adaptées - La publicité géo-adaptée touche peu de cibles. Cela s'explique en grande partie par le fait que s'adresser à une population localisée dans un rayon de 500 mètres ET surfant sur son terminal mobile ou ayant accepté le démarchage publicitaire par SMS Push réduit considérablement la possibilité d'identification. Les campagnes sont donc de petites envergures et génèrent peu de volume par jour.

37. La frilosité des utilisateurs - Selon une enquête réalisée en 2012 par le Credoc^17(*), 86% des individus souhaiteraient avoir la possibilité d'interdire la transmission de leur localisation par téléphone mobile à des entreprises commerciales. Une enquête plus ancienne de l'atelier BNP Paribas-Ifop de décembre 2010^18(*) soulignait que plus de 70% des personnes interrogées considéraient que la diffusion sur Internet de la localisation en temps réel présentait un risque. Cette même étude met en avant que 80% des utilisateurs n'accepteraient pas de recevoir des publicités généralistes pour des marques géographiquement proches d'eux^19(*).

Même si elle suscite l'engouement des annonceurs et des diffuseurs, l'expansion de la publicité géo-adaptée est limitée par des facteurs humains et techniques. Son utilisation pose tout de même des problématiques quant à la protection de la vie privée des utilisateurs de terminaux mobiles.

II. LA PROBLEMATIQUE DE LA PROTECTION DE LA VIE PRIVEE

Le recueil des données de localisation suppose un risque inhérent d'atteinte à la vie privée de l'utilisation du terminal mobile (A) qui nécessite que ces données soient protégées (B).

A. LES RISQUES D'ATTEINTE A LA VIE PRIVEE DE L'UTILISATEUR DU TERMINAL MOBILE

38. Le caractère intime et privé du terminal mobile - La plupart des utilisateurs conservent précieusement leurs terminaux mobiles avec eux ou à proximité immédiate (sac, poche, table de chevet) et le prête peu, voire pas du tout, tant il contient des informations intimes telles que leurs courriers électroniques, leurs photos, leurs contacts, leur historique de navigation... comme le relève à juste titre le G29^20(*). A ce titre, le considérant 24 de la directive n°2002/58/CE rappelle que les informations stockées sur le terminal mobile de l'utilisateur relèvent de la vie privée qui doit être protégée au titre de la convention européenne de sauvegarde des droits de l'Homme. Ce caractère bien particulier d'un terminal mobile est un atout qui permet aux fournisseurs de services, basés sur la géolocalisation, d'obtenir des données et des informations personnelles sur les habitudes de son utilisateur et ainsi de faire des profils détaillés. Le G29 retient à ce titre qu' « à partir d'un schéma d'inactivité la nuit, il est possible de déduire le lieu où dort le propriétaire, et à partir d'un schéma de trajets réguliers effectués le matin, de connaître la position d'un employeur »^21(*). Ce schéma peut même révéler des catégories spéciales de données comme les trajets vers un hôpital, un lieu de cultes, un meeting politique...

39. Vers une surveillance constante de l'utilisateur ? - Les terminaux mobiles peuvent recueillir des données de géolocalisation de manière constante en collectant les signaux GPS et/ou de points d'accès Wifi. Une telle surveillance peut se faire à l'insu de l'utilisateur ou bien par sa mégarde lorsqu'il ne désactive pas, dans ses paramètres, celui de la localisation, ou encore lorsqu'il n'est pas correctement informé qu'un service, une application ou un site se sert de la localisation de son terminal mobile. Dans d'autres domaines que la publicité, le problème de la géolocalisation a déjà été soulevé. Tel est le cas concernant la géolocalisation des salariés par leurs employeurs ou celui des individus par les services de police qui ont déjà fait couler beaucoup d'encre en ce qui concerne le fort risque d'atteinte à la vie privée. On retiendra qu'à partir du moment où une personne peut être géolocalisée à son insu, le risque est présent et doit être strictement encadré. Alors que la géolocalisation des véhicules des salariés doit être réalisée dans le respect de règles strictes après qu'ils en aient été préalablement informés, la géolocalisation lors des enquêtes judiciaires ne peut se faire que sous le contrôle d'un juge. Dans la même logique, la géolocalisation à des fins publicitaires, ne devrait aucunement permettre à une personne ou une entreprise de suivre un utilisateur sans que ce dernier ne soit informé et y ait consenti. Depuis les années 2010 les exemples de suspicions, voire de scandales, ont éclatés sur la collecte et le stockage des données de géolocalisation. On peut citer l'exemple d'Apple qui collectait et stockait de manière unilatérale et illégale les données relatives aux déplacements de ses utilisateurs grâce à l'Iphone pendant une durée d'un an après leur collecte. Dans le même temps, Google avec les téléphones Androïd faisait l'objet du même constat sur la collecte et l'envoi de données de géolocalisation qui pouvaient néanmoins être stoppées par l'utilisateur à travers la configuration de son téléphone.

40. Le risque de détournement d'usage - Le risque le plus important est celui du détournement d'usage qui consiste à modifier les finalités du traitement initialement prévu par la collecte des données. Ce détournement d'usage des données peut avoir lieu après une modification de la politique de confidentialité de l'entreprise mais également à l'insu de l'utilisateur. La tentation est grande pour les entreprises et les fournisseurs de réseaux publicitaires d'établir des profils de plus en plus poussés. Ce qui explique le risque de les voir se servir d'information recueillies à des fins toutes autres que celles initialement prévues et annoncées à l'utilisateur.

41. Le risque de diffusion incontrôlée - De plus en plus de tiers sont autorisés à collecter des données par le biais des sites ou des applications. Il est rare que ces « tiers autorisés » soient expressément nommés dans les politiques de confidentialité, ils sont donc difficilement identifiables par l'utilisateur. Ces tiers ont leur propre politique de confidentialité et donc des finalités qui peuvent diverger de la politique du site ou de l'application initiale. L'utilisateur ne peut donc pas avoir véritablement le contrôle des informations qui sont collectées, ni un regard sur la finalité de leur traitement par les tiers. Cette diffusion peut être préjudiciable à l'utilisateur qui en a rarement conscience.

42. Le risque de vol de données - Il existe également un risque de vol d'informations personnelles comme la localisation, les mails, les contacts, les pièces jointes, les données bancaires... si l'utilisateur installe des applications malveillantes qui accèdent aux données du téléphone. En 2009 une entreprise suisse a vu l'une de ses applications retirée de l'app store Iphone car elle transmettait les coordonnées téléphoniques des acheteurs de l'application qui étaient ensuite démarchés par téléphone.

43. Les risques de fuites de données - A ce jour, il existe un véritable marché noir permettant la revente d'informations des utilisateurs ce qui pousse les cybercriminels à se saisir de ces informations pour pouvoir par la suite les revendre. Les données de géolocalisation associées à des profils pourraient être ainsi revendues aisément sur la toile. Il suffit de taper la recherche « fuite de données personnelles » sur un moteur de recherche pour se rendre compte que nombreuses sont les entreprises ou les organismes à faire l'objet de piratages pour recueillir les données à caractères personnels de leurs clients. Mais ce n'est pas tout, la récente affaire des applications de Smartphones mises sur écoute par la National Security Agency (NSA), révélée par le journal le Guardian le 27 janvier 2014, démontre qu'une collecte massive est possible à l'insu des développeurs d'applications et des utilisateurs. En effet, la NSA et son équivalent britannique, le Government Communications Headquarters (GCHQ), ont tiré parti du fait que certaines applications pour téléphone mobile compilaient de nombreuses informations personnelles sur leurs utilisateurs pour alimenter leurs propres bases de données. Ces services de renseignement ont utilisé des données provenant notamment du jeu « Angry Birds » ou de l'application de cartographie « Google Maps » pour étayer les profils des individus.

44. Pleaserobme : une utilisation détournée des données - Le site Pleaserobme (cambriolez-moi s'il vous plait) a été conçu pour faire prendre conscience aux utilisateurs de terminaux mobiles du risque lié à la communication de leur position géographique sur les réseaux sociaux (Facebook, Twitter, Foursquare...). Ce site listait tous les profils indiquant l'absence d'une personne à son domicile, parfois même en affichant l'adresse de la personne quand celle-ci était disponible en ligne. La personne ainsi alertée de l'absence de l'occupant à son domicile avait tout le loisir d'aller commettre des actes malveillants. Dans ce cas les données étaient collectées par le biais des informations transmises par l'utilisateur lui-même mais les données de géolocalisation collectées à son insu pourraient être détournées pour aboutir aux mêmes fins.

B. LA PROTECTION DES DONNEES DE GEOLOCALISATION EN TANT QUE DONNEE A CARACTERE PERSONNEL

Il convient d'étudier sur ce point le cadre juridique et le champ d'application de la protection (1) afin de pouvoir déterminer si les données de localisation peuvent être considérées comme étant des données à caractère personnel (2) et si les cookies les recueillant peuvent être considérés comme de véritables moyens de traitement (3).

1. CADRE JURIDIQUE ET CHAMP D'APPLICATION DE LA PROTECTION

45. Cadre juridique de la protection des données à caractère personnel - Le cadre juridique est la directive européenne sur la protection des données n°95/46/CE du 24 octobre 1995 transposée en droit français par la loi n°2004-801 du 6 août 2004 modifiant la loi n°78-17 du 6 janvier 1978. Cette directive est applicable « aux traitements automatisés de données à caractère personnel » (article 2 de la loi n°78-17 du 6 janvier 1978). Mais également la directive n°2002/58/CE du 12 juillet 2002 relative au traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, modifiée par la directive n°2009/136/CE du 25 novembre 2009. Cette dernière directive a été transposée en droit interne par une ordonnance du 24 août 2011 (dite ordonnance « Paquet Telecom ») et modifie notamment l'article 32 II de la loi du 6 janvier 1978. Cette protection est également proclamée comme faisant partie des droits fondamentaux de la personne par l'article 8 de la Charte des droits fondamentaux de l'Union européenne qui dispose que « toute personne a droit à la protection des données à caractère personnel la concernant »^22(*).

46. Champ d'application de la protection - L'article 3 de la directive n°95/46/CE dispose que « la présente directive s'applique au traitement de données à caractère personnel, automatisé en tout ou en partie, ainsi qu'au traitement non automatisé de données à caractère personnel contenues ou appelées à figurer dans un fichier ». Le champ de la protection doit être interprété au sens large et englober toutes les techniques de traitement utilisées comme le souligne le considérant 27 de la directive n°95/46/CE : « le champ de cette protection ne doit pas en effet dépendre des techniques utilisées, sauf à créer de graves risques de détournement ». A ce titre, la commission européenne a noté, dans son commentaire de l'article 2 de ladite directive définissant les données à caractère personnel, que la définition de « données personnelles » devrait être aussi générale que possible, de manière à inclure tous les renseignements concernant un individu identifiable^23(*). Cette position a également été adoptée par le Conseil^24(*). La question se pose de savoir si le recueil des données de localisation peut être considéré comme étant un traitement de données à caractère personnel.

2. DONNEES DE LOCALISATION : DONNEES A CARACTERE PERSONNEL

47. Définition des données à caractère personnel de la loi n°78-17 du 6 janvier 1978 - L'article 2 de cette loi dispose que « constitue une donnée à caractère personnel toute information relative à une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d'identification ou à un ou plusieurs éléments qui lui sont propres ». Ce droit est consacré après le droit au respect de la vie privée et familiale comme un droit autonome ce qui laisse à penser qu'il va au-delà du simple respect à la vie privée.

48. Définition des données à caractère personnel comme étant « toute information »... - L'expression « toute information » contenu dans la définition des données à caractère personnel de la directive n°95/46/CE et celle de la loi n°78-17 manifeste clairement la volonté du législateur d'élaborer une conception large. En ce qui concerne la nature des informations, le concept englobe toutes formes de renseignements à propos d'une personne qu'ils soient relatifs à sa vie privée et familiale mais également relatifs à ses activités quelles qu'elles soient. La donnée de géolocalisation est bel et bien une information.

49. ... relative à une personne identifiée/identifiable - La notion de personne identifiée ne pose pas de problème, tel est le cas lorsque le nom d'une personne apparaît directement dans le fichier. Une personne est dite identifiable lorsqu'un fichier comporte des informations permettant indirectement son identification, tel est le cas du numéro d'immatriculation, de l'adresse IP, du numéro de téléphone... Mais une personne peut également être identifiable lorsque le recoupement des informations disponibles permettent son identification (une date de naissance associée à une commune de résidence...). Ainsi il ressort des travaux préparatoires de la directive n°95/46/CE que l'identification d'une personne ne passe pas nécessairement par la connaissance d'éléments d'identité avérés tels que le nom ou le prénom mais peut ressortir d'un faisceau d'autres éléments tels que le métier, l'âge, le numéro de téléphone... Ce point est expressément relevé dans l'avis rendu par le groupe dit de l'article 29^25(*). L'identification indirecte peut également s'obtenir par l'intermédiaire de la combinaison du ou des numéros uniques tel que l'adresse MAC ou encore un numéro d'identification ajouté par les développeurs et éditeurs. En d'autres termes, la possibilité d'identifier une personne n'implique pas nécessairement la faculté de connaître son identité mais de repérer un utilisateur et de l'« isoler » même si son véritable nom n'est pas connu. Le considérant de l'article 26 de la directive n°95/46/CE énonce à ce sujet que « pour déterminer si une personne est identifiable, il convient de considérer l'ensemble des moyens susceptibles d'être raisonnablement mis en oeuvre, soit par le responsable du traitement, soit par une autre personne, pour identifier ladite personne »^26(*). En ce sens, les données de géolocalisation sont de véritables données à caractère personnel. D'autant plus, que la mise en oeuvre du traitement est, en règle générale, relativement aisée pour les responsables de traitement. Elle peut être rattachée facilement à un numéro de client, à l'identifiant du téléphone, au profil d'un réseau social avec lequel l'utilisateur s'est « logué » sur le site ou l'application mobile, au numéro de téléphone, aux autres données collectées en même temps que la localisation par les applications ou les sites, aux données divulguées par les utilisateurs eux-mêmes...

3. LES COOKIES ASSIMILABLES A UN TRAITEMENT DE DONNEES A CARACTERE PERSONNEL

50. Définition du traitement de données à caractère personnel par la loi n°78-17 - L'article 2 de la loi pose une définition très large de ce qu'est un traitement de données à caractère personnel en disposant que « constitue un traitement de données à caractère personnel toute opération ou tout ensemble d'opérations portant sur de telles données, quel que soit le procédé utilisé, et notamment la collecte, l'enregistrement, l'organisation, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la communication par transmission, diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, ainsi que le verrouillage, l'effacement ou la destruction ». Le champ de la protection est d'autant plus vaste que le législateur a fait le choix d'une législation « technologiquement neutre » puisque l'appréciation du moyen de traitement employé ne doit pas dépendre des techniques utilisées. La CNIL^27(*) retient que même si un cookie ne constitue pas en lui-même un traitement, la lecture et l'écriture sur le terminal de l'utilisateur s'effectuent par l'intermédiaire de ce dernier dans le but de collecter des informations. En ce sens, les cookies, ou autres outils similaires, constituent bel et bien un traitement au visa de cet article.

51. Un raisonnement confirmé - Sur son site, la CNIL énonce les obligations des responsables traitement. Dans l'un de ses articles^28(*) elle dispose que « les moyens de traitement peuvent être automatisés ou non. Ils permettent de réaliser toutes les opérations de traitements telles que définies par la loi et la directive européenne. Cette notion doit s'entendre de manière large. Elle regroupe, par exemple, les logiciels de collecte, les formulaires, les serveurs informatiques, les cookies, les bannières Javascript, etc. ».

52. Les cookies : des données à caractère personnel - De plus, le cookie peut lui-même être considéré comme étant une donnée à caractère personnel comme l'énonce le G29^29(*). Dans son avis, du 4 avril 2008, il énonce que « dans la plupart des cas, les cookies doivent être considérés comme des données à caractère personnel », en effet, « lorsqu'un "cookie" contient un identifiant d'utilisateur unique, celui-ci est clairement une donnée à caractère personnel ».

Les cookies recueillant les données de géolocalisation sont bel et bien des traitements de données à caractère personnel au sens de la directive et de la loi n°78-17 mais pour que la législation soit applicable encore faut-il déterminer quels acteurs peuvent être qualifiés de « responsable de traitement » et si la loi leur est applicable.

III. LES PROBLEMATIQUES RELATIVES A LA DETERMINATION DU RESPONSABLE DE TRAITEMENT

Deux problématiques sont liées à la détermination du responsable de traitement : il faut déterminer quels sont les acteurs concernés par cette qualification (A) et s'ils entrent dans le champ d'application territorial de la loi (B).

A. LA DESIGNATION DES RESPONSABLE DE TRAITEMENT

Il s'agit de savoir quelle définition a été retenue par les textes pour qualifier le responsable de traitement (1) et quels acteurs sont concernés par cette qualification (2).

1. DEFINITION ET LOI APPLICABLE

53. Définition du responsable de traitement - La directive n°95/46/CE^30(*)et la loi n°78-17^31(*) énoncent toutes deux que le responsable de traitement de données à caractère personnel est « la personne, l'autorité publique, le service ou l'organisme qui détermine ses finalités et ses moyens ».

54. Applicabilité de la loi française aux responsables de traitement - L'article 4 point c de la directive n°95/46/CE, repris par l'article 5 de la loi n°78-17 énonce que sont soumis aux lois de chaque Etats membres les traitements de données à caractère personnel lorsque le responsable du traitement est établi sur le territoire de l'Etat et même lorsqu'il n'est pas établi sur le territoire de l'Etat en question et qu'il recourt « à des fins de traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire dudit État membre, sauf si ces moyens ne sont utilisés qu'à des fins de transit sur le territoire de la Communauté ». Dès lors qu'un utilisateur fait l'objet d'un traitement de sa localisation alors qu'il est situé sur le territoire français, la loi française est applicable au responsable de traitement qui, pour le localiser, a forcément utilisé un dispositif situé sur le territoire tel que les cookies.

2. LES ACTEURS CONCERNES

55. Qui sont-ils ? - Le G29 propose, dans son avis du relatif aux services de géolocalisation des dispositifs mobiles intelligents^32(*), de distinguer trois catégories d'acteurs traitant des données de géolocalisation : le responsable d'une infrastructure de géolocalisation, le fournisseur d'application ou de service de géolocalisation, le développeur du système d'exploitation d'un dispositif mobile intelligent. En pratique les sociétés endossent plusieurs rôles en même temps. Tel est par exemple le cas de « SFR régie » qui combine les fonctions d'exploitation d'un système traitant la position d'un dispositif spécifique à l'aide de leurs stations de base et celles d'une plateforme publicitaire.

56. Le responsable d'infrastructure de géolocalisation - Deux types d'acteurs exploitent des infrastructures de géolocalisation : les opérateurs de télécommunications lorsqu'ils traitent la position d'un terminal mobile à l'aide de leurs stations de bases et les propriétaires de bases de données comprenant des points d'accès Wifi mappés. Les opérateurs et les propriétaires des bases de données déterminent leurs finalités et leurs moyens et sont considérés comme étant des responsables de traitement au sens de la directive et sont soumis à la loi n°78-17 dès lors qu'ils utilisent un dispositif sur le territoire.

57. Les fournisseurs d'applications et de services de géolocalisation - Les logiciels tiers installés sur les terminaux mobiles et appelés « applications » peuvent être amenés à traiter des données de localisation ainsi que d'autres données du terminal. Ils peuvent être amenés à traiter de telles données indépendamment du développeur du système d'exploitation ou des responsables d'infrastructure de géolocalisation. Ils recueillent ces données de localisation pour le fonctionnement de leur logiciel et/ou dans le but de constituer des bases de données qui seront communiquées à des tiers ou exploitées par euxpour faire de la publicité géo-adaptée notamment. Le fournisseur qui est capable de traiter lui-même des données de géolocalisation est considéré comme étant un responsable de traitement.

58. Les développeurs du système d'exploitation - Ils sont considérés comme étant des responsables de traitement dans trois cas. Premièrement, les développeurs du système d'exploitation du terminal mobile peuvent être des responsables de traitement de données de géolocalisation lorsqu'ils sont directement en interaction avec l'utilisateur et qu'ils recueillent des données à caractère personnel (initiales de l'utilisateur, localisation...). Deuxièmement, ils sont considérés comme étant des responsables de traitement dès lors qu'ils mettent en place des fonctionnalités telles que la mise à jour automatique du fuseau horaire en fonction de l'emplacement du terminal. Troisièmement, les développeurs sont des responsables de traitement lorsqu'ils offrent une plateforme publicitaire et/ou un environnement pour la vente d'applications et qu'ils sont en mesure de traiter les données à caractère personnel résultat des applications de géolocalisation, indépendamment des fournisseurs d'applications. Dans les trois cas les développeurs peuvent être amenés à traiter des données de localisation et sont à ce titre considérés comme étant des responsables de traitement.

59. Les fournisseurs de réseau publicitaire - Aux trois groupes d'acteurs peuvent être ajoutés les fournisseurs de réseau publicitaire qui peuvent, dans certains cas, être qualifiés de responsable de traitement de données de géolocalisation. Tel est le cas lorsqu'ils placent des cookies et/ou récupèrent des informations de géolocalisation, à partir des cookies stockés, sur le terminal mobile de l'utilisateur. Mais tel est aussi le cas lorsque la publicité comportementale implique le traitement de données à caractère personnel. La question pourrait se poser de savoir s'ils déterminent leurs finalités et leurs moyens au sens de l'article 3 de la loi n°78-17. Dans la mesure où ils louent des espaces sur les sites des diffuseurs pour y afficher leurs annonces, et qu'ils peuvent lire ou placer les cookies déposés sur le terminal de l'utilisateur et ainsi collecter des données à caractère personnel, ils peuvent être considérés comme étant des responsables de traitement.

60. Les autres acteurs - Ceux sont toutes les autres parties qui peuvent traiter des données de localisation telles que les navigateurs, les réseaux sociaux, les supports de communication qui permettent le géomarquage (ex : Foursquare) par exemple. Lorsque ces acteurs intègrent des fonctions de géolocalisation dans leur plateforme ils ont une grande part de responsabilité dans la définition du paramétrage par défaut concernant l'activation ou la désactivation de cette fonction. Néanmoins, ils ne sont considérés comme étant des responsables de traitement que dans la mesure où ils traitent eux-mêmes et de manière active les données à caractère personnel.

B. LA QUESTION DE LA TERITORIALITE DE LA LOI

61. Le raisonnement de la CNIL à propos de la société Google - En retenant que la notion de moyen de traitement doit être entendue de manière large à la lumière du considérant 18 de la directive n°95/46/CE qui énonce « que l'établissement, dans un pays tiers, du responsable du traitement de données ne doit pas faire obstacle à la protection des personnes prévue par la présente directive; que, dans ce cas, il convient de soumettre les traitements de données effectués à la loi de l'État membre dans lequel des moyens utilisés pour le traitement de données en cause sont localisés et de prendre des garanties pour que les droits et obligations prévus par la présente directive soient effectivement respectés », la CNIL en déduit que la volonté du législateur communautaire est celle d'éviter le contournement de la protection accordée aux résidents européens du fait de l'établissement du responsable de traitement hors de l'Union européenne. Elle a alors considéré que les moyens de traitement pouvaient être des cookies déposés sur les terminaux mobiles des utilisateurs français pour faire tomber la société californienne Google Inc. sous le coup de la loi n°78-17.

62. Le raisonnement de la CNIL appliqué aux applications - Le développeur d'une application pouvant être considéré comme étant un responsable de traitement en ce sens qu'il détermine ses finalités et ses moyens (voir point 57) toute la question est de savoir s'il recourt à « des moyens de traitement » situés sur le territoire français. A ce titre, le G29, dans son avis^33(*) sur les applications des appareils intelligents, en s'appuyant sur l'article 4.1 c qui dispose que le moyens utilisés peuvent être automatisés ou non en déduit que dès lors qu'il y a une utilisation d'un équipement situé sur le territoire d'un Etat membre (ex : cookies) le critère est rempli. Pour collecter les données à caractère personnel des utilisateurs, les développeurs d'applications sont obligés de recourir à des cookies ou autres traceurs. Il est également possible d'appliquer le même raisonnement que celui de la CNIL à propos de la société Google, les cookies doivent être assimilés à des moyens de traitement et de ce fait les développeurs d'applications sont donc soumis à la loi française dès lors qu'ils en utilisent.

Une multitude d'acteurs intervient dans le cadre de la publicité géo-adaptée. Ces données de localisation associées avec d'autres données comme celle de l'identifiant de l'appareil constituent de véritables données à caractère personnel qui doivent être protégées pour ne pas que leur collecte porte atteinte à la vie privée de l'utilisateur du terminal mobile. Afin que les citoyens européens puissent obtenir la protection de leurs pays, il a paru nécessaire de qualifier ces différents acteurs de responsables de traitement employant des moyens de traitement sur le territoire. Cette protection se veut très respectueuse de la vie privée de l'utilisateur mais n'est pas forcément mise en oeuvre et respectée par tous.

CHAPITRE 2 : LA PROTECTION DES UTILISATEURS

Afin que la protection soit effective, il est nécessaire que la collecte, l'utilisation et la détention des données de géolocalisation à des fins publicitaires soient encadrées (partie 1) mais surtout que l'utilisateur ait donné son consentement au recueil de telles données (partie 2).

PARTIE 1 : UNE COLLECTE, UNE UTILISATION ET UNE DETENTION DES DONNEES ENCADREES

De nombreuses obligations liées à la collecte sont énoncées par la directive n°95/46/CE transposée au sein de la loi n°78-17 (I) mais cette collecte doit également faire l'objet d'une déclaration auprès de la CNIL (II).

I. LES OBLIGATIONS LIEES A LA COLLECTE

63. Lois applicables - L'article 6 de la directive n°95/46/CE transposé au sein de la loi n°78-17 traite des obligations relatives à la collecte, la détention et l'utilisation des données. Elles constituent les conditions préalables au traitement de données à caractère personnel. Ces principes sont souvent utilisés par les juridictions pour condamner les comportements fautifs des responsables de traitements. En substance, la loi impose cinq grands principes qui devront être respectés lors de la création du traitement mais également pendant son exploitation opérationnelle.

A. LA LOYAUTE, LA LICEITE ET LE RESPECT DE LA FINALITE

64. Le principe de loyauté et de licéité - La loi n°78-17 impose que « les données [soient] collectées et traitées de manière loyale et licite » (article 6 alinéa 1). Le responsable de traitement doit appliquer un principe de transparence lors de son traitement non seulement à l'occasion de l'information des personnes lors de la collecte des données mais également lors de l'exercice potentiel du droit d'opposition des personnes sur les données qui les concernent. Cette règle de droit trouve son versant pénal dans l'article 226-18 du Code pénal qui dispose que : « Le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d'emprisonnement et de 300.000 € d'amende » (1.500.000 euros lorsque l'auteur de l'infraction est une personne morale). Le responsable de traitement de données de localisation devra donc se conformer à ce principe en informant avec la plus grande précision l'utilisateur du terminal mobile des modalités de la collecte, et en lui permettant une opposition aisée sur les données qui le concernent.

65. Le principe de finalité - Le second principe tient à ce que les données personnelles doivent être « collectées pour des finalités déterminées, explicites et légitimes et ne sont pas traitées ultérieurement de manière incompatible avec ces finalités » (article 6 alinéa 2). Cela impose deux obligations au responsable de traitement : déterminer de manière précise la finalité pour laquelle le traitement des données (exemple : la géolocalisation) va être réalisé mais également, de ne pas détourner le traitement de ses finalités initiales. La seule exception prévue étant celle des traitements réalisés à des fins statistiques, historiques ou scientifiques sous certaines conditions. Ainsi, un responsable de traitement qui collecteraient des données de géolocalisation aux fins « d'analyser le trafic sur son site en fonction de la localisation des utilisateurs » ne pourrait pas les utiliser par la suite aux fins de « fournir un contenu basé sur la localisation des utilisateurs ». Le non-respect de cette obligation fait également l'objet de sanctions pénales prévues à l'article 226-21 du Code pénal disposant que « le fait, par toute personne détentrice de données à caractère personnel à l'occasion de leur enregistrement, de leur classement, de leur transmission ou de toute autre forme de traitement, de détourner ces informations de leur finalité [initiale], est puni de cinq ans d'emprisonnement et de 300 000 € d'amende » (1.500.000 euros d'amende lorsque l'auteur de l'infraction est une personne morale). Le responsable de traitement aura tout intérêt à déclarer précisément la finalité initiale de son traitement puisque c'est elle qui déterminera l'existence d'un détournement de finalité.

B. LA PROPORTIONNALITE ET LA QUALITE DES DONNEES

66. Le principe de proportionnalité - Le troisième principe posé par l'article 6 (alinéa 3) impose que les données soient « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs ». La détermination de la proportionnalité des données collectées nécessite une appréciation peu aisée ni pour le responsable de traitement, ni même pour la CNIL. Toute la question est de savoir quelles sont les données qui peuvent être collectées dans le cadre du marketing géo-adapté. Il n'y a guère de réponse à cette question mais le fait de collecter des données de localisation, des informations liées au terminal mobile, des informations liées au compte de l'utilisateur (nom, âge, adresse mail, numéro de téléphone...), les contacts contenus dans l'appareil mobile avec pour finalité de « personnaliser et améliorer les services et fournir des publicités [...] qui répondent à des profils ou des intérêts des utilisateurs »^34(*) paraît quelque peu disproportionné.

67. Exactitude et qualité des données - Le quatrième principe est que les données collectées doivent être « exactes, complètes et, si nécessaire, mises à jour ; le responsable du traitement doit également prendre les mesures appropriées afin que des données inexactes ou incomplètes au regard des finalités pour lesquelles elles sont collectées ou traitées soient effacées ou rectifiées » (article 6 alinéa 4). Dans la pratique ce n'est pas le point qui pose le plus de problème puisque bien souvent les applications permettent aux utilisateurs de modifier eux-mêmes les données qu'ils saisissent. Cela permet aux responsables de traitement de s'assurer à moindre frais du respect de cette obligation. En ce qui concerne les données de localisation à proprement parlé, les procédés techniques de collectes (repérage GSM, GPS ou Wifi) sont relativement fiables et ne laissent que peu de place à l'erreur. Au visa de l'article R.625-12 du Code pénal l'inexécution de cette obligation est punie d'une peine d'amende de 1.500 euros qui peut être augmentée en cas de récidive ou dans le cas où le responsable de traitement est une personne morale.

Non seulement le responsable de traitement qui voudrait collecter des données de localisation à des fins publicitaires doit respecter ces grands principes, mais lorsqu'il collecte les données de l'appareil d'un utilisateur français, il se doit également de déclarer le traitement effectué auprès de la CNIL.

II. LA DECLARATION DES TRAITEMENTS

Pour comprendre ce que doit déclarer le responsable de traitement, il convient d'analyser le principe de déclaration préalable (A) avant d'en étudier le contenu dans le cadre d'un traitement de données à des fins publicitaires (B).

A. LE PRINCIPEDE LA DECLARATION PREALABLE

68. Principe - Tous les responsables de traitement qui collectent des données personnelles par des dispositifs basés sur le territoire français doivent se conformer à l'article 22 de la loi n°78-17 et doivent préalablement à la mise en oeuvre d'un traitement de données à caractère personnel faire une déclaration auprès de la CNIL. Lorsque le traitement est un traitement courant, la CNIL a généralement édicté une norme simplifiée pour faciliter la déclaration. Si le traitement est plus spécifique, le responsable de traitement devra faire une déclaration normale, plus lourde et circonstanciée. En matière de traitements mis en place pour effectuer des opérations relatives à la prospection et collectant des « données relatives à la sélection de personnes pour réaliser des actions de fidélisation, de prospection, de sondage, de test produit et de promotion »^35(*)c'est la norme simplifiée n°48 qui doit être remplie.

69. La dérogation : l'existence d'un CIL au sein de l'organisme - Lorsqu'un Correspondant à la protection des données à caractère personnel (autrement appelé Correspondant informatique et libertés - CIL) au sein d'un organisme, ce dernier est dispensé des déclarations normales et simplifiées à la CNIL. En effet, il appartient au CIL de tenir les registres de tous les traitements réalisés par l'organisme comme en dispose l'article 22 de la loi n°78-17.

B. LE CONTENUDE LA DECLARATION

70. Contenu de la déclaration - L'article 30 de la loi n°78-17 dispose que les traitements soumis à déclaration préalable doivent comporter les éléments suivants :

· identité et adresse du responsable du traitement ;

· finalité(s) du traitement ;

· interconnexion ou mise en relation avec d'autres traitements (le cas échéant) ;

· données à caractère personnel traitées ;

· catégories de personnes concernées par le traitement ;

· durée de conservation des informations traitées ;

· service(s) chargé(s) de la mise en oeuvre du traitement ;

· destinataires des données ;

· personne ou service auprès duquel s'exerce le droit d'accès ;

· mesures prises pour l'exercice de ce droit ;

· dispositions prises pour assurer la sécurité des traitements et des données.

71. Contenu de la déclaration simplifiée - Dans le cadre de la déclaration simplifiée n°48, le responsable de traitement doit déclarer les éléments suivants :

· Organisme déclarant (n° SIREN, code NAF/APE, nom/raison sociale, adresse, téléphone, adresse e-mail)

· Finalité du traitement (jusqu'à 5 choix dans une liste de finalité prédéfinie)

· Contact (personne à contacter pour obtenir des informations complémentaires)

· Identification du responsable (personne responsable de l'organisme déclarant)

Une fois les données collectées dans le respect des grands principes étudiés au point A et la déclaration effectuée auprès de la CNIL, les obligations du responsable de traitement ne s'arrêtent pas là puisqu'il se doit de respecter les règles en matière de conservation des données.

III. UNE CONSERVATION ADAPTEE

La conservation des données doit être adaptée au fait que ces données sont des données à caractère personnel. A ce titre, pèse sur le responsable de traitement une obligation de sécurité des fichiers (A) et une obligation de conservation limitée dans le temps (B).

A. LA SECURITE DES FICHIERS

Le responsable de traitement est tenu à une obligation de sécurité (1) encadrée par les pouvoirs règlementaires (2) et pouvant être étendue aux données traitées par ses sous-traitants (3).

1. L'OBLIGATION DE SECURITE

72. L'obligation de sécurité - L'article 34 de la loi n°78-17 prévoit que « le responsable du traitement est tenu de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ». Le responsable de traitement doit donc prendre, de manière opérationnelle, toutes les précautions utiles pour assurer la sécurité des données personnelles sous peine de voir sa responsabilité pénale engagée en vertu de l'article 226-17 du Code pénal (5 ans d'emprisonnement et 300.000 euros d'amende).

73. Moyens mis en oeuvre - Pour se faire il appartient au responsable de traitement de mener les études et les analyses techniques nécessaires. Une fois les risques délimités et analysés par ses soins il pourra définir l'ensemble des précautions utiles pour assurer la protection des données. Les mesures de sécurité adoptées doivent être tant des mesures de sécurité physique relatives à la sécurité des locaux que des mesures de sécurité logiques relatives à la sécurité des systèmes d'informations. Elles doivent être adaptées à la nature des données et aux risques présentés par le traitement. Au visa de cet article, les mesures doivent tendre a minima à ce que les données ne puissent pas être déformées, altérées ou que des tiers non autorisés y aient accès. Le responsable de traitement doit non seulement mettre en place ces mesures au moment de la création du traitement mais également durant toute sa durée de vie, ce qui lui impose de faire des audits de sécurité réguliers.

74. Une obligation de moyen - Cette obligation de sécurité est une obligation de moyen et non de résultat. En cas de manquement à son obligation de sécurité, le responsable de traitement devra prouver qu'il a pris « toutes les mesures utiles » pour sécuriser son système. La jurisprudence en la matière^36(*) révèle que ce qui importe pour déterminer la responsabilité pénale du responsable de traitement est de savoir s'il a accompli les diligences normales compte tenu de sa fonction, sa mission, ses compétences et les moyens dont il disposait.

2. L'ENCADREMENT PAR LES POUVOIRS REGLEMENTAIRES

75. Les décrets de sécurité - Pour encadrer encore plus cette obligation de sécurité, le législateur a prévu la possibilité de préciser les exigences en matière de sécurité par décret. Mais ces décrets ne concernent que des cas particulièrement à risque qui n'intéressent pas l'objet de notre étude.

76. Le pouvoir règlementaire de la CNIL - Au-delà des règles de sécurité imposées par l'article 34 de la loi n°78-17, la loi autorise également la CNIL a édicter des règlement types de sécurité en son article 11 qui dispose que la CNIL « établit et publie (...) des règlements types en vue d'assurer la sécurité des systèmes » et « propose au Gouvernement les mesures législatives ou réglementaires d'adaptation de la protection des libertés à l'évolution des procédés et techniques informatiques ». A ce jour, la CNIL n'a exercé qu'à une seule reprise ce droit dans le cadre de la délibération n°81-094 du 21 juillet 1981. Dans cette délibération la CNIL recommande aux responsables de traitement de réaliser une évaluation des risques systématique et récurrente, de mettre en oeuvre des mesures de sensibilisation, de formaliser les mesures de sécurité mises en oeuvre dans un document, de définir les responsabilités du personnel et de préciser les garanties de sécurité.

3. LE CAS DE LA SOUS TRAITANCE

77. Cas particulier de la sous-traitance - L'article 35 de la loi n°78-17 régit également les rapports entre le responsable de traitement et ses potentiels sous-traitants en imposant plusieurs obligations. Ainsi, un sous-traitant ne doit pouvoir intervenir sur les données à caractère personnel que sur instruction du responsable de traitement et il doit présenter « des garanties suffisantes pour assurer la mise en oeuvre des règles des mesures de sécurité et de confidentialité ». Ces garanties sont les mêmes que celles édictées pour le responsable de traitement. L'article impose que le respect de ces obligations doit être formalisé dans un contrat liant le sous-traitant au responsable de traitement.

Bien que le responsable de traitement conserve les données de manière sécurisée, il ne peut pas les conserver pendant une durée indéterminée. En effet, la durée de conservation doit être limitée dans le temps.

B. LA DUREE DE CONSERVATION

La durée de conservation doit être limitée dans le temps (1) mais il est parfois difficile de savoir combien de temps les données peuvent être conservées, les recommandations respectives du G29 et de la CNIL apportent certaines réponses en matière de données de localisation recueillies à des fins publicitaires (2).

1. LE PRINCIPE

78. Le principe de temporalité - La loi impose également un principe de temporalité, plus connu sous le nom de « droit à l'oubli » qui signifie que les données doivent être conservées dans une durée limitée au-delà de laquelle elles doivent être effacées. L'article 6 alinéa 5 dispose que les données « sont conservées sous une forme permettant l'identification des personnes concernées pendant une durée qui n'excède pas la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées ». En pratique cette durée est fixée par le responsable de traitement lui-même au regard de la finalité de son traitement. Ces règles doivent pouvoir être portées à la connaissance des utilisateurs en faisant la demande.

79. La sanction pénale - Le fait de ne pas respecter les délais de conservation est sanctionné par l'article 226-20 du Code pénal qui dispose que « le fait de conserver des données à caractère personnel au-delà de la durée prévue [initialement], est puni de cinq ans d'emprisonnement et de 300.000 € d'amende, sauf si cette conservation est effectuée à des fins historiques, statistiques ou scientifiques dans les conditions prévues par la loi (...) ». L'infraction de l'article 226-20 est extrêmement simple dans sa formulation et constitue un véritable risque pour les organisations, puisque le seul fait de conserver une donnée au-delà des délais indiqués matérialise le délit pénal.

80. Les problèmes inhérents - Tout cela pose de nombreux problèmes concernant la vérification de la proportionnalité. En effet, comment estimer si le délai est véritablement proportionné, d'autant plus que les entreprises commerciales ont tendance à indiquer des durées très longues.

2. LES RECOMMANDATIONS

81. Une réponse apportée par une délibération de la CNIL - Dans le cadre de sa délibération 2005-112 du 7 juin 2005 portant création d'une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion des fichiers de clients et de prospects (ci-dessus nommée norme 48) la CNIL énonce^37(*) que les données des clients utilisées à des fins de prospection commerciale peuvent être conservées pendant un délai de trois ans à compter de la fin de la relation commerciale. Quant aux données relatives à un prospect non client, elles peuvent être conservées pendant un délai de trois ans à compter de leur collecte par le responsable de traitement ou du dernier contact émanant du prospect. La CNIL dispose qu'au-delà de ce délai de trois ans, le responsable de traitement devra recueillir de nouveau le consentement de la personne concernée pour continuer à lui envoyer des sollicitations commerciales. Si la personne ne répond pas explicitement, les données devront alors être supprimées ou archivées.

82. Les recommandations du G29 - Lorsque les données de géolocalisation sont collectées par un responsable de traitement et qu'il est apporté la preuve qu'il est nécessaire d'en conserver l'historique dans le but de mettre à jour où d'améliorer le service, ces derniers doivent anonymiser les données avec soin pour qu'elles ne soient plus identifiables, même indirectement. L'identifiant unique UDID du téléphone ne doit être stocké que pour une période maximale de 24 heures. En ce qui concerne les données relatives aux points d'accès Wifi, une fois que l'adresses MAC d'un point d'accès Wifi est associée à une nouvelle position, la position précédente doit être immédiatement supprimée pour éviter une utilisation ultérieure des données à des fins inappropriées comme les démarches commerciales des personnes ayant modifié leur position. Malgré tout, l'anonymisation est rendue très difficile par le fait que la combinaison des données avec celles de localisation peut tout de même aboutir à une identification indirecte.

Les conditions de collecte et de détention de données de localisation ont été posées mais préalablement à une telle collecte, il est primordial que l'utilisateur du terminal mobile y ait consenti.

PARTIE 2 : UN CONSENTEMENT NECESSAIRE DES UTILISATEURS

L'utilisateur du terminal doit être mis en mesure de donner son consentement et, pour se faire, doit être correctement informé (I) pour pouvoir donner un consentement éclairé (II). Mais ce droit à l'information et au recueil expresse du consentement est parfois mal appliqué ce qui nécessite une réelle réflexion sur les solutions envisageables face aux divers problèmes rencontrés (III).

I. L'INFORMATION PREALABLE AU CONSENTEMENT

Il est nécessaire d'étudier quels sont les acteurs débiteurs de l'obligation d'information mais également à qui doit être adressée cette information (A) avant d'étudier quel doit être le contenu de l'information (B) et quelles sont les atteintes à ce droit à l'information de l'utilisateur (C).

A. LA DIVULGATION DE L'INFORMATION

83. Qui doit informer la personne concernée ? - L'article 32 de la loi n°78-17 dispose qu'il appartient au responsable de traitement, mettant en oeuvre les dispositifs de collecte des données de localisation, d'informer la personne concernée. Mais il est possible de prévoir qu'un tiers désigné par le responsable de traitement le fasse à sa place. Dans le cas où la publicité géo-adaptée est insérée par un tiers tel qu'une régie publicitaire, l'information et le consentement de l'utilisateur n'ont pas à être recueillis deux fois. Ainsi, si la régie publicitaire fournit l'information et recueille le consentement, le site ou l'application sur lequel/laquelle apparaît la publicité n'a pas à répéter l'opération. Le G29 pointait déjà le problème en 2010^38(*) et recommandait aux diffuseurs de la publicité et aux fournisseurs de réseau publicitaire de coopérer afin de décider conjointement de qui fournira l'information et par quel biais, notant à ce sujet que les fournisseurs de réseau publicitaire sont souvent invisibles à l'utilisateur et qu'ils ne sont donc pas mis en mesure d'informer correctement la personne concernée. La CNIL^39(*)considère que dans la mesure où les éditeurs de sites ou les développeurs d'applications mobiles sont bien souvent l'unique point de contact entre les différents acteurs c'est à eux qu'appartient de procéder à l'information préalable et au recueil du consentement.

84. La notion de personne concernée - La notion de personne concernée ne fait pas partie des définitions posées par la directive n°95/46/CE, mais a été définie par la loi n°78-17. Ainsi, au visa de l'article 2, « la personne concernée par un traitement de données à caractère personnel est celle à laquelle se rapportent les données qui font l'objet du traitement ». La personne concernée par le traitement des données de géolocalisation effectué par les responsables de traitement est le propriétaire du terminal mobile dont les données sont collectées.

85. Cas particulier : le consentement des enfants - Dans certains cas, le consentement des enfants doit être donné par les parents ou les représentants légaux. Tel est le cas lors de la collecte des données de géolocalisation, les parents ou représentants légaux devraient pouvoir donner leur autorisation à la collecte et l'utilisation de ces données. Mais cela pose plusieurs problèmes pour le responsable de traitement dont le fait de savoir que l'utilisateur est un enfant mineur. Il faut donc trouver un équilibre entre la protection de l'intimité et de la vie privée des enfants ainsi que leur sécurité et la responsabilité des parents quant à cette protection. En pratique ce fragile équilibre est quasiment impossible à trouver. On pourrait envisager un dispositif installé sur les terminaux mobiles permettant aux parents de paramétrer une seule fois l'acceptation ou le refus de l'installation de certains types de cookies comme ceux tendant à recueillir des données de localisation à des fins publicitaires.

B. LE CONTENU DE L'INFORMATION

L'information divulguée aux utilisateurs doit non seulement les informer de l'existence du traitement (1) mais également des droits dont ils disposent à l'égard des données recueillies (2).

1. L'INFORMATION RELATIVE A L'EXISTENCE DU TRAITEMENT

86. Information de l'existence du traitement - Les obligations d'information ont été définies plus précisément que dans la directive n°95/46/CE par la loi n°78-17 modifiée. Tout d'abord, le responsable de traitement doit communiquer aux personnes concernées son identité, c'est à dire l'entité qui fait procéder au traitement et plus précisément son représentant légal. Mais il doit également porter à sa connaissance les finalités poursuivies par la collecte d'informations ainsi que les destinataires ou les catégories de destinataires. Dans la mesure où les données sont recueillies au travers un formulaire renseigné par la personne concernée, cette dernière doit être informée du caractère facultatif ou obligatoire de la réponse, ainsi que des conséquences d'un défaut de réponse. Dans le cas de la publicité géo-adaptée, le responsable de traitement doit donc informer explicitement l'utilisateur que les données de localisation de son terminal mobile pourront être recueillies afin de lui proposer de la publicité adaptée à sa localisation.

2. L'INFORMATION RELATIVE AUX DROITS DE LA PERSONNE CONCERNEE

87. Informations par la responsable de traitement - En plus des informations étudiées dans le point 1, le responsable de traitement doit informer la personne concernée des droits dont elle dispose à l'égard de ses données à caractère personnel comme en dispose l'article 32 de la loi n°78-17. Ces droits sont au nombre de quatre : le droit d'accès, le droit d'opposition, le droit de rectification et de suppression.

88. Droit d'accès - L'article 39 de la loi n°78-17 dispose que la personne concernée a le droit « de vérifier les informations que l'organisme détient à son sujet ». Les personnes concernées par le traitement de données de géolocalisation, obtenues à partir de leur terminal mobile, ont le droit d'accéder aux données de localisation détenues par le responsable de traitement. Les informations fournies doivent être lisibles, les responsables de traitement ne peuvent pas se contenter de fournir les données brutes qui sont la suite de numéros abstraits mais doivent fournir les positions géographiques obtenues à partir de ces données^40(*). Mais ce droit ne se limite pas seulement aux données en elles-mêmes, la personne concernée a également un droit d'accès aux informations relatives aux finalités du traitement ou aux destinataires et catégories de destinataires à qui les données ont été divulguées. Elles ont aussi le droit de consulter tout profil les concernant, créé à partir de ces données de géolocalisation.

89. Droit d'opposition - Il est régi par l'article 38 de la loi n°78-17 qui dispose que la personne concernée à le « droit de s'opposer, pour des motifs légitimes, à la mise en oeuvre d'un traitement la concernant ». Ce droit s'exerce avant la collecte des données, mais peut également s'exercer pendant. La nécessité d'un motif légitime, et donc d'une justification, peut paraitre un peu lourde à mettre en oeuvre, surtout dans la mesure où il appartient au responsable de traitement de juger si le motif est légitime ou non. Néanmoins, lorsque les données collectées le sont à des fins de prospection commerciale, la personne concernée n'a pas besoin d'évoquer un motif légitime comme en dispose l'alinéa 2 du même article : « Elle [la personne concernée] a le droit de s'opposer, sans frais, à ce que les données la concernant soient utilisées à des fins de prospection, notamment commerciale, par le responsable actuel du traitement ou celui d'un traitement ultérieur ». Dans le cas de données de géolocalisation recueillies à des fins de prospection commerciale (et potentiellement des autres données), la simple manifestation de l'opposition suffit à ce que le responsable de traitement ne traite pas ou cesse des traiter les données pour cette finalité sous peine d'encourir les sanctions pénales de l'article 226-18-1 à savoir cinq ans d'emprisonnement et 300.000 euros d'amende. Lorsque le droit d'opposition est mis en oeuvre durant le traitement de données à caractère personnel il va au-delà d'une simple interdiction pour l'avenir puisque la personne concernée peut demander la non cession de ces informations à des tiers tels que des partenaires commerciaux ou encore la radiation des informations contenues dans les fichiers commerciaux.

90. Droit de rectification et de suppression - Ces droits se retrouvent à l'article 40 de la loi n°78-17 qui prévoit que la personne concernée a le droit, concernant ses données à caractère personnel « de les faire rectifier en cas d'inexactitude ou supprimer ». Ils sont la conséquence du droit d'accès aux données à caractère personnel. Dans le cadre de notre étude, le droit de suppression s'applique notamment lorsque les données ont été conservées au-delà de la durée nécessaire aux finalités poursuivies. Quant au droit de rectification, qui ne s'applique que dans le cas où les données sont erronées, il ne s'appliquera que très peu voire pas du tout en matière de données de localisation dont la collecte est rendue relativement fiable par les dispositifs de repérage. Il trouvera essentiellement son application dans les données associées aux données de localisation, notamment pour l'établissement de profil.

91. Modalités pratiques - L'information ne doit pas se limiter à l'énoncé de ces droits mais doit permettre à la personne concernée de les mettre véritablement en oeuvre. Ainsi le responsable de traitement devra indiquer toutes sortes d'informations complémentaires comme l'adresse du lieu d'accès, les services mis à la disposition de la personne, un numéro de téléphone ou une adresse courriel où il peut être joint... En résumé, toutes les informations nécessaires à l'exercice plein et entier de ces droits.

C. LES ATTEINTES AU DROIT A L'INFORMATION

Malheureusement, ce droit à l'information des utilisateurs est souvent mis à mal par l'insuffisance voire l'inexistence de l'information (1), les atteintes ne sont pas forcément les mêmes que l'on se situe face à un responsable de traitement qui édite des sites ou gère un moteur de recherche (2) ou face à un responsable de traitement qui développe des applications mobiles (3).

1. L'INSUFFISANCE DE L'INFORMATION

92. Des mentions trop larges - Dans le cadre de la publicité ciblée ou géo-adaptée les informations fournies quant à l'installation des cookies permettant le traçage sont clairement insuffisantes et sont bien souvent contenues dans des mentions telles que «les annonceurs et d'autres tiers peuvent également utiliser leurs propres cookies ou balises», ou encore « ces fournisseurs tiers peuvent aussi utiliser des cookies, des balises Web ou des technologies similaires sur votre appareil pour recueillir des données sur le parcours de navigation. L'utilisation des cookies, des balises Web ou de technologies similaires par ces tiers est soumise à leurs propres politiques de confidentialité. Veuillez les contacter directement pour obtenir des informations sur leurs pratiques de confidentialité »^41(*). Dans le premier cas l'information est insuffisante de par son contenu dans le deuxième elle est insuffisante de par la dilution de l'information (tiers non identifiés ayant chacun une politique de confidentialité différente).

93. Des informations difficilement accessibles - L'accès à ces informations ne se trouvent pas directement sur l'écran du site ou dans l'application mais sont bien souvent cachées dans les conditions générales ou les politiques de confidentialité que l'utilisateur doit parfois rechercher lui-même lorsque les liens ne sont pas directement mis à sa disposition. De plus, lorsque l'information est directement accessible, personne, ou presque, ne lit les conditions d'utilisation et les règles de confidentialités d'un site Web ou d'une application mobile cliquant machinalement sur le « j'accepte » en bas de page. Pour prouver l'inefficacité du système actuel, l'entreprise PC Pitstop avait écrit en 2005^42(*) dans ses conditions d'utilisation qu'elle donnerait 1.000 dollars au premier qui les lirait. Il a fallu 4 mois pour qu'un utilisateur s'en rende compte.

94. Des informations se faisant oublier - Une fois acceptées à l'aveuglette, ces informations tombent aux oubliettes alors même qu'elles régissent la collecte, l'exploitation et la dissémination de données personnelles en permanence. En effet, une fois le cookie mis en place, il devient invisible auprès de l'utilisateur. Ce dernier n'est pas informé régulièrement qu'un cookie permettant sa géolocalisation est en place et recueille de telles données. Au bout d'un certain laps de temps il est inévitable que l'utilisateur n'ait plus conscience du traitement.

2. LES ATTEINTES PAR LES NAVIGATEURS ET SITES INTERNET : L'EXEMPLE DE GOOGLE

95. Le navigateur Google - La société Google est le leader mondial sur le marché, son navigateur, le plus utilisé en Europe^43(*), est installé par défaut sur un bon nombre d'appareils mobiles. Plusieurs millions de personnes sont concernées en France par les traitements de données à caractère personnel effectués par la société Google. Elle est la propriétaire de nombreux services comme Google Search, Youtube, Gmail, Picasa, Google Drive, Google Docs, Google Maps... Pour tous ces services la société a mis en place un seul document intitulé « règles de confidentialité » alors même que le G29 lui avait demandé, le 2 février 2012, de suspendre ce projet de fusion des règles de confidentialités dans l'attente de ses conclusions.

96. L'activité de publicité en ligne de Google - L'activité de publicité en ligne constitue la contrepartie nécessaire à la mise à disposition gratuite par la société de ses services aux utilisateurs et génère la majeure partie de ses revenus. C'est grâce à la quantité considérable de données dont elle dispose que la société peut garantir aux annonceurs des prestations de ciblage publicitaire d'une grande précision et notamment du géo-ciblage.

97. Les données recueillies - La société Google a accès, dans le cas des utilisateurs ayant un compte utilisateur (par exemples comptes Gmail, Google +, Google Play ou Google Docs), à l'ensemble des données contenues dans le compte comme le nom, le prénom, le pseudonyme, la date de naissance, le sexe, le pays et éventuellement l'adresse électronique, le numéro de téléphone, la photo de profil, les numéros de carte de crédit... Elle a également accès à la liste des applications installées sur un terminal Androïd, la boite mail et l'ensemble des messages associés, les photos (service Picasa) et les documents (service Google Docs) détenus par l'utilisateur ainsi que les données de localisation du terminal mobile, les paramètres du terminal et du navigateur, les identifiants uniques comme le numéro IMEI, les visites des sites tiers... C'est dire le nombre considérable d'informations que Google peut avoir en sa possession. Lorsque les utilisateurs n'ont pas de compte mais qu'ils ont recours à un service de Google (Google Maps, Youtube, Google Search...), ils sont alors dit non authentifiés, Google collecte les termes de la recherche, l'adresse IP de l'utilisateur, ses préférences, les informations reçues par les cookies, ainsi que les données de localisation dans les services Youtube et Google Maps. Cela lui permet de créer des profils d'utilisateurs en combinant les données de leur première recherche et des suivantes. Il suffira que l'utilisateur laisse apparaître son identité une seule fois pour que celle-ci soit définitivement associée aux données collectées. Le système va encore plus loin puisque des données sont recueillies même lorsque l'utilisateur n'utilise aucun service Google, il est alors dit passif. En effet, lorsque les utilisateurs naviguent sur des sites sur lesquels la régie publicitaire de Google est présente, la société va collecter leurs adresses IP, les sites sur lesquels ils se trouvent ainsi que les identifiants uniques présents dans les cookies dénommées « Double Click ». Cette collecte a également lieu lorsqu'un utilisateur adresse un courrier électronique à un utilisateur du service Gmail pour permettre à la société d'afficher de la publicité ciblée voire géo-adaptée aux côtés des messages qu'il recevra du correspondant titulaire d'un compte Gmail. Les développeurs de sites Web peuvent également inclure un bouton +1 sur leurs sites pour permettre aux utilisateurs de recommander certains articles ou publications ce qui permet à la société Google de recueillir des informations sur ces sites par le biais de cookies, même lorsque l'utilisateur n'a pas cliqué sur le bouton +1. Ces données permettant directement ou indirectement à l'identification de l'utilisateur sont des données à caractère personnel en vertu de l'interprétation large consacrée par le législateur européen et français. En effet, le fait de pouvoir identifier un appareil mobile permet de cerner le comportement de l'appareil et donc de son utilisateur.

98. L'information insuffisante des utilisateurs - Lors de la consultation des règles de confidentialité Google^44(*),force est de constater que les finalités n'y sont pas explicitement mentionnées, et qu'elles ne sont pas distinguées en fonction des services fournis par Google. L'utilisateur n'est donc pas mis en mesure de prendre conscience des finalités réelles des traitements. C'est ce que relève la CNIL dans sa délibération condamnant Google à une sanction pécuniaire en considérant que « faute de définir des finalités déterminées et explicites pour l'ensemble des traitements qu'elle met en oeuvre au sens de l'article 6-1°), la société ne respecte pas l'obligation qui lui incombe d'informer ses utilisateurs des finalités des traitements opérés sur leurs données » et que « les informations fournies aux utilisateurs de ces services ne sont donc pas diffusées de manière suffisamment claire pour satisfaire aux exigences de l'article 32-I de la loi »^45(*).

99. Les limites au droit de suppression - Google permet un accès simplifié aux données personnelles de la personne concernée (service Google Dashboard) mais dans ses règles de confidentialité est prévu explicitement qu'en cas d'erreur « nous faisons en sorte que vous puissiez les mettre à jour rapidement ou les supprimer, sauf si nous devons les conserver à des fins commerciales légitimes ou si la loi nous l'impose » Cette notion d'exception dans le cas où les données doivent être conservées « à des fins commerciales légitimes » est vague et non encadrée spécifiquement ce qui porte atteinte au droit de modification et de suppression de l'utilisateur.

100. Limites à la durée de conservation - Sur le support de Google^46(*) est stipulé la chose suivante concernant la durée de conservation des données « nous pensons que vous devez rester maître de vos données. Google conserve plusieurs copies de sauvegarde du contenu des comptes utilisateur afin de pouvoir récupérer des données et restaurer des comptes en cas d'erreur ou de défaillance du système. Lorsque vous nous demandez de supprimer des messages et du contenu, nous nous efforçons d'effacer ces informations de nos systèmes dans un délai commercialement raisonnable ». En l'absence de toute autre information il semble légitime de penser que les données sont conservées tant que l'utilisateur n'a pas fait de demande de suppression. Cela contrevient à l'article 6 de la loi n°78-17 qui dispose que les données doivent être conservées pendant une durée qui n'excède par la durée nécessaire aux finalités pour lesquelles elles sont collectées et traitées. Aucune durée précise n'étant prévue cela peut porter atteinte à la vie privée. Il en est de même dans les politiques de confidentialité des applications mobiles qui pour la plupart ne disposent d'aucune durée de conservation des données à caractère personnel.

101. Le non-respect des finalités - Les données collectées ne peuvent l'être qu'à des fins spécifiques et légitimes. La question pourrait se poser de savoir si Google ne recueillent que des données qui lui sont nécessaires pour le fonctionnement de ses fonctionnalités, au vue du nombre colossal d'informations recueillies il est légitime de penser que ce n'est pas forcément le cas. Par exemple, il ne semble pas pertinent que la fonctionnalité Youtube puisse recueillir des données de géolocalisation. Tel n'est pas le cas non plus, dans la plupart des applications mobiles qui collectent d'abondantes données sans aucune relation avec les fonctionnalités de l'application^47(*). En plus de cela, les données collectées sont distribuées très largement à des tierces personnes à des fins telles que la « recherche de marché ».

3. LES ATTEINTES PAR LES APPLICATIONS MOBILES

102. Les applications étudiées - Il existe des centaines de milliers d'applications disponibles pour chaque terminal mobile. Plus de 1600 nouvelles applications sont ajoutées à des apps stores quotidiennement. Ces applications sont en mesure de recueillir de grandes quantités de données du terminal mobile telles que les données stockées ainsi que la géolocalisation. Ces sources de données peuvent être utilisées pour l'application elle-même, ou ultérieurement pour fournir un flux de revenu d'une manière, qui peut être inconnue ou non désirée par l'utilisateur.

103. Multiplicité d'acteurs - Dans le paysage du développement des applications se trouve une multiplicité d'acteurs ce qui augmente le risque d'atteinte à la protection des données. Les acteurs sont les développeurs d'application, les propriétaires de ces applications mais aussi les boutiques d'applications (apps stores), le propriétaire du système d'exploitation, les fabricants des terminaux mobiles, et d'autres tiers impliqués dans la collecte et le traitement des données personnelles tels que les analystes et les fournisseurs de publicité. Le système d'exploitation des terminaux mobiles est conçu pour permettre l'installation des applications et leur permettre d'avoir accès à un certain nombre d'éléments disponibles grâce à des interfaces de programmation d'applications (API). La tâche d'informer l'utilisateur appartient aux développeurs d'applicationsqui ont le plus de contrôle en matière de traitement entrepris et d'information à faire figurer dans l'apps store.

104. La maximisation des données recueillies - Il suffit de consulter les données auxquelles accèdent les applications sur nos propres terminaux mobiles pour se rendre compte qu'elles accèdent à de grandes quantités de données comme les données de localisation et les données stockées sur le terminal mobile^48(*). Une étude menée en 2010 démontre que bon nombre de données recueillies n'ont d'ailleurs aucune relation significative avec la fonctionnalité de l'application^49(*). Des applications qui semblent pourtant anodines tel que « Angry Birds » ou la « lampe torche » recueillent des données de localisations à des fins publicitaires. Les développeurs d'applications ne sont pas ou peu au courant des exigences de protection des données, d'autant plus que n'importe quelle startup peut développer une application. Dans le même temps les services tels que la publicité se développent rapidement et, s'ils sont intégrés par le développeur sans tenir compte des spécificités relatives aux données personnelles, peuvent divulguer des quantités importante de données.

105. Le manque de transparence - Les développeurs d'applications sont limités par les caractéristiques mises à leur disposition par les fabricants du système d'exploitation et les apps stores pour assurer une information complète. Nombreux sont les développeurs à ne pas avoir une politique de confidentialité ou à ne pas informer suffisamment les utilisateurs sur le type de données à caractère personnel que l'application peut traiter et les finalités du traitement. De plus, même lorsque des politiques de confidentialité sont disponibles, il n'est pas rare qu'elles ne le soient qu'en anglais, empêchant ainsi certains utilisateurs d'en prendre connaissance. Ce manque d'information ne se limite pas aux applications gratuites où celles développées par des personnes inexpérimentées. Une étude récente^50(*) a révélé que seulement 61,3% des 150 meilleures applications fournissent une politique de confidentialité.

106. Le non-respect de la territorialité de la loi - De nombreuses politiques de confidentialité des applications mobiles disposent que c'est la loi de leur pays qui s'applique et non celle du pays de l'utilisateur. Les politiques de confidentialité de l'application Snapchat ou encore des applications de Supercell (applications de jeux) qui disposent pour l'une que « Snapchat est basé aux Etats-Unis et les informations que nous recueillons sont régies par la loi des États-Unis »^51(*), et pour l'autre que « si vous résidez dans l'Union européenne ou d'autres régions, les lois régissant la collecte de données et leur utilisation peuvent être différentes de la loi des États-Unis, veuillez noter que vous transférez des informations, y compris des renseignements personnels, dans un pays qui n'a pas la même protection des données que votre pays, et que vous consentez au transfert de l'information aux États-Unis, à l'utilisation et la divulgation des informations vous concernant, y compris les renseignements personnels, tels que décrits dans la présente politique » en sont de parfaits exemples.

Bien qu'elle ne soit pas toujours des plus explicites, la nécessité d'une information découle du fait que l'utilisateur doit consentir en connaissance de cause au traitement de ses données de localisation lorsqu'elles sont utilisées à des fins de prospection commerciale.

II. LE RECUEIL DU CONSENTEMENT

La loi impose que le consentement de l'utilisateur soit recueilli par le responsable de traitement qui recueille des données à caractère personnel (A), les modalités du recueil du consentement qui n'étaient pas forcément des plus claires ont été explicitées par le G29 ou encore la CNIL (B). Néanmoins, tout comme le droit à l'information, le droit de consentir explicitement à un tel traitement n'est pas forcément laissé à l'utilisateur (C).

A. L'EXIGENCE D'UN CONSENTEMENT

107. La nécessité d'un consentement - La loi impose le recueil préalable du consentement des personnes concernées par le traitement à son article 7. Elle dispose qu'« un traitement de données à caractère personnel doit avoir reçu le consentement de la personne concernée » mais énonce cinq tempéraments :

« 1° Le respect d'une obligation légale incombant au responsable du traitement ;

2° La sauvegarde de la vie de la personne concernée ;

3° L'exécution d'une mission de service public dont est investie le responsable ou le destinataire du traitement ;

4° L'exécution, soit d'un contrat auquel la personne concernée est partie, soit de mesures précontractuelles prises à la demande de celle-ci ;

5° La réalisation de l'intérêt légitime poursuivi par le responsable du traitement ou par le destinataire, sous réserve de ne pas méconnaître l'intérêt ou les droits et libertés fondamentaux de la personne concernée ».

108. Le recueil du consentement - Néanmoins, l'interprétation de ces exceptions doit être réalisée de manière très stricte, en particulier concernant l'interprétation du point 5. Il est regrettable que la loi soit restée muette quant à la manière de prouver l'acquisition de l'autorisation du traitement qui recouvre de nombreuses réalités : écrit, cases à cocher, e-mail de validation. Toutefois, au sein de sa délibération^52(*) portant création d'une norme simplifiée concernant les traitements automatisés de données à caractère personnel, relatifs à la gestion de clients et de prospects, la CNIL dispose que l'acceptation des conditions générales d'utilisation n'est pas une modalité suffisante au recueil du consentement des personnes.

109. Les caractéristiques du consentement - La directive n°95/46/CE dispose que le consentement doit être « libre, spécifique, et informé » cette définition n'a pas été reprise dans la loi n°78-17 mais a été de nombreuses fois reprise par la CNIL dans ses recommandations. Cela signifie que le consentement doit résulter d'un libre choix de l'utilisation, qu'il doit porter sur un dispositif précis associé à une finalité déterminée, que l'information doit être préalablement énoncée et que la finalité doit être précisée ainsi que la possibilité de s'y opposer ultérieurement.

110. La validité du consentement - La validité du consentement est liée à la qualité de l'information reçue, elle doit être rédigée en des termes simples et compréhensibles du grand public tout en étant suffisamment précise. Par exemple, si le dispositif mis en place a pour finalité de créer des profils d'utilisateurs afin d'adresser des publicités ciblées, l'information devra reprendre l'ensemble de ces termes et non se limiter au simple terme de « publicité ». Si l'information est insuffisante, alors le consentement ne sera pas valable.

111. L'encadrement de la prospection - Le Code pénal au sein de l'article 226-18-1 dispose que « le fait de procéder à un traitement de données à caractère personnel concernant une personne physique malgré l'opposition de cette personne, lorsque ce traitement répond à des fins de prospection, notamment commerciale, ou lorsque cette opposition est fondée sur des motifs légitimes, est puni de cinq ans d'emprisonnement et de 300.000 € d'amende». Dans le cadre de la publicité géo-adaptée le consentement libre et éclairé de la personne concernée est donc particulièrement de mise. L'utilisateur du terminal mobile doit avoir expressément accepté que ses données de géolocalisation soient recueillies à des fins de démarchage publicitaire, sans quoi le traitement est illicite.

B. LES MODALITES DE RECUEIL DU CONSENTEMENT

C'est vers la consécration d'un système d'opt-in que la législation européenne a opté (1), ce qui n'a pas été sans poser de problèmes notamment par rapport au dépôt de cookies sur le terminal mobile de l'utilisateur (2). C'est pour ces raisons que la CNIL a jugé bon de faire plusieurs recommandations à ce sujet (3).

1. UNE TIMIDE CONSECRATION DE L'OPT-IN

112. La timide consécration de l'opt-in - La directive n°2009/136/CE du 25 novembre 2009 est venue modifier la rédaction de l'article 5 point 3 de la directive n°2002/58/CE, venant ainsi consacrer à demi-mots le principe du recueil de consentement par un système d'opt-in. Tandis que l'ancienne version prévoyait que les États membres devaient garantir « que l'utilisation des réseaux de communications électroniques en vue de stocker des informations ou d'accéder à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur ne soit permise qu'à condition [...] que l'abonné ou l'utilisateur ait le droit de refuser un tel traitement par le responsable du traitement des données », la version modifiée dispose que les Etats membres doivent garantir « que le stockage d'informations, ou l'obtention de l'accès à des informations déjà stockées, dans l'équipement terminal d'un abonné ou d'un utilisateur n'est permis qu'à condition que l'abonné ou l'utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive n°95/46/CE, une information claire et complète, entre autres sur les finalités du traitement. ». Cette nouvelle rédaction laisse entrevoir la volonté timide du législateur de consacrer un système d'opt-in en parlant d'« acceptation » après avoir reçu les informations nécessaires et non plus d'un simple « refus ». En matière de recueil des données de localisation la directive n°2002/58/CE avait déjà évoqué partiellement ce système de recueil de consentement à son article 9 puisque cette dernière prévoit que lorsque des données de localisation, n'étant pas des données relatives au trafic, sont traitées, elles ne le seront « qu'après avoir été rendues anonymes ou moyennant le consentement de l'utilisateur » informé « avant d'obtenir » son consentement. Dans tous les cas, le législateur n'est pas allé jusqu'à prononcer la nécessité d'un consentement préalable de l'utilisateur. Ainsi les modalités pratiques de mise en oeuvre ne sont pas définies par les textes laissant toute latitude aux Etats membres pour les fixer. En son considérant 17 la directive 2009/138/CE énonce que « le consentement peut être donné selon toute modalité appropriée permettant à l'utilisateur d'indiquer ses souhaits librement, de manière spécifique et informée, y compris en cochant une case lorsqu'il visite un site Internet ». Mais la question se pose de savoir si le consentement donné doit nécessairement l'être par un système d'opt-in notamment en matière de publicité géo-adaptée.

113. Le cas des SMS Push - C'est le cas le plus simple, l'article 22 de la LCEN^53(*) prévoit que la « prospection directe au moyen d'un automate d'appel, d'un télécopieur, et d'un courrier électronique, de toute personne physique qui n'a pas exprimé son consentement préalable à recevoir des prospections directs par ce moyen » est interdite. Les SMS peuvent être inclut dans cette disposition notamment au regard du considérant 40 de la directive n°2002/58/CE qui inclut expressément ce mode de démarchage en énonçant qu'il « importe de protéger les abonnés contre toute violation de leur vie privée par des communications non sollicitées effectuées à des fins de prospection directe, en particulier au moyen d'automates d'appel, de télécopies et de courriers électroniques, y compris les messages courts (SMS) ». Le principe de l'opt-in est pleinement consacré puisque seuls les messages publicitaires consentis expressément et préalablement par la personne concernée sont autorisés. De plus, la loi dispose que le SMS envoyé doit contenir une mention informant l'utilisateur de la possibilité d'exercer son droit d'opposition à ne plus recevoir ce type de message comme par le renvoi d'un mot clé par réponse (ex : STOP) permettant d'identifier qu'il souhaite se désabonner.

2. LE DEBAT DES COOKIES

114. L'objet du débat - Il y a eu de nombreux débats sur cette question que ce soit à la suite de la publication de la direction n°2009/136/CE que dans le cadre de la proposition de loi visant à mieux garantir le droit à la vie privée à l'heure du numérique adoptée par le Sénat le 23 mars 2010. En effet, mettre en place un système d'opt-in pour chaque cookie amené à être installé dans le cadre de l'utilisation d'un navigateur pourrait porter grandement atteinte à la fluidité de la navigation. Cela pourrait engendrer des inconvénients disproportionnés tant pour les utilisateurs que pour les opérateurs Internet. La loi française a suivi la proposition exposée au considérant 66 de la directive en précisant à l'article 32 II que le consentement de l'utilisateur « peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle ». Mais, comme le soulignait déjà le G29 dans son avis^54(*) sur la publicité comportementale en ligne , une telle acceptation ne devrait être effective que dans un nombre limité de cas du fait, notamment, que le consentement implique que les utilisateurs accepteront tout traitement futur de données sans en avoir le contrôle ou la connaissance des finalités. Le G29 relevait^55(*) que le système d'opt-out ne se prêtait pas au recueil du consentement puisque n'impliquant pas une action positive de l'utilisateur et y préférait le consentement par le système d'opt-in. Jusqu'alors il n'y avait pas eu plus de précisions notamment sur de possibles exceptions.

115. La fin du débat : délibération de la CNIL n°2013-378 du 5 décembre 2013 - La délibération de la CNIL portant adoption d'une recommandation relative aux cookies et aux autres traceurs^56(*) visés par l'article 32-II de la loi du 6 janvier 1978 vient mettre fin au débat en encadrant plus précisément les modalités de mise en oeuvre de l'article 32. Elle vient par la même encadrer les cookies, mis en place dans le cadre des applications des terminaux mobiles, ce qui n'est pas pour nous déplaire dans le cadre de notre étude. La CNIL prévoit des exceptions nécessitant une information et un consentement préalable de l'utilisateur, en dehors du paramétrage du navigateur, compte tenu des risques que représentent certains traitements à l'égard de la vie privée. Parmi ces exceptions sont visés « les cookies liés aux opérations relatives à la publicité ciblée », mais également les « cookies traceurs de réseaux sociaux générés par les boutons de partage de réseaux sociaux ». Ces exceptions sont applicables aussi bien aux cookies déposés et lus lors de la consultation d'un site Internet ou la consultation d'un message électronique qu'à ceux déposés et lus lors de l'installation ou l'utilisation d'un logiciel ou d'une application mobile, et cela quelque que soit le navigateur ou le terminal utilisé (ordinateur, tablette, Smartphone...). Concernant ces cookies, la CNIL considère que le consentement « doit se manifester par le biais d'une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l'exercer ». Il est également prévu que l'utilisateur doit être en mesure d'exercer son choix sans être exposé à des conséquences négatives. De ce fait, le refus d'installation d'un cookie lié à des opérations de publicité ciblée ou géo-adaptée ne doit pas empêcher l'utilisateur d'avoir accès au site ou à l'application. Les cookies permettant de faire apparaître de la publicité géo-adaptée doivent donc, peu importe leur support, avoir été acceptés préalablement et expressément par l'utilisateur.

C. LES ATTEINTES AU RECUEIL DU CONSENTEMENT

En matière de cookies, le paramétrage du navigateur, envisagé comme solution possible par la loi, est insuffisant au recueil du consentement (1), dans les applications mobiles il est même inexistant (2) cela s'explique en partie par la volonté des géants du Net de ne pas se conformer au système d'opt-in (3).

1. LE PARAMETRAGE DU NAVIGATEUR : INSUFFISANT AU RECUEIL DU CONSENTEMENT

116. Le paramétrage du navigateur - Le paramétrage du navigateur avait été vu comme une solution possible au recueil du consentement par la directive n°2009/136/CE et par la loi n°78-17 modifiée. En effet, le considérant 66 de la directive mentionne que le consentement de l'utilisateur peut être exprimé par l'utilisation des paramètres appropriés d'un navigateur ou d'une autre application «lorsque cela est techniquement possible et effectif, conformément aux dispositions pertinentes de la directive 95/46/CE» tandis que l'article 32-II de la loi dispose que le recueil ou l'accès à des données à caractère personnel « ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle ». La question se pose de savoir s'il permet réellement à l'utilisateur de donner son consentement par un système d'opt-in comme le préconise le législateur.

117. Le paramétrage des cookies du navigateur - Avant tout dépôt de cookie la loi prévoit que l'utilisateur doit avoir reçu une information claire et complète sur les finalités de ce dernier, ainsi que des moyens dont il dispose pour s'y opposer et que son consentement préalableest requis. Les principaux navigateurs permettent, au travers de leurs paramétrages, de refuser ou accepter les cookies de navigation. Mais il est à noter que le paramétrage par défaut accepte l'intégralité des cookies. Sur les terminaux mobiles, l'utilisateur ne peut qu'accepter ou refuser la présence de cookies, tandis qu'il peut gérer des exceptions sur un ordinateur. Le système d'opt-in n'est pas respecté comme il devrait l'être en matière de cookies recueillant des données à caractère personnel et il est regrettable de noter que l'utilisateur ne peut pas autoriser les cookies ayant une certaine finalité tout en refusant d'autres cookies ayant des finalités de publicité par exemple. De plus, lorsque l'utilisateur a donné son acceptation il l'a donné pour tous les cookies qui seront dans le futur installés sur son terminal. La solution du paramétrage évoqué par la loi ne semble applicable que dans un nombre très restreint de cas comme le relevait déjà le G29^57(*). De plus, l'information relative aux finalités des différents cookies est inexistante, l'utilisateur n'est donc pas mis en mesure d'exprimer valablement son accord préalable comme le relève la CNIL dans sa délibération 2013-420^58(*). Enfin, le refus d'acceptation des cookies ne devrait pas avoir de répercussion négative sur l'utilisation des services pour que l'utilisateur puisse donner un consentement libre mais Google dispose dans ces règles de confidentialité^59(*) qu'« il convient toutefois de rappeler que bon nombre de nos services sont susceptibles de ne pas fonctionner correctement si vous désactivez les cookies ». Dès lors, l'utilisateur peut se voir pénalisé par le refus des cookies ce qui peut le contraindre à les accepter en portant atteinte à la liberté de son consentement.

118. La navigation privée sur le navigateur - La plupart des navigateurs offrent la possibilité de navigation « privée », ces sessions permettent de détruire automatiquement tous les cookies créés lorsque la fenêtre de navigation se ferme. Certains fournisseurs de réseau publicitaire ont trouvé la parade en remplaçant ou complétant leurs cookies traceurs par des « flash cookies ». Ces « flash cookies » sont utilisés pour rétablir les cookies traditionnels qui ont été refusés ou effacés par l'utilisateur. Cette pratique, appelée respawning (résurrection), démontre bien que le paramétrage même du navigateur n'est pas suffisant pour assurer le recueil du consentement de l'utilisateur.

119. La combinaison des données- Les règles de confidentialité de Google prévoient que « les informations personnelles que vous fournissez pour l'un de nos services sont susceptibles d'être recoupées avec celles issues d'autres services Google (y compris des informations personnelles), par exemple pour faciliter le partage de vos informations avec des personnes que vous connaissez. Le recoupement d'informations en provenance de cookies DoubleClick avec des informations permettant de vous identifier n'est possible qu'avec votre accord explicite ». Cette disposition autorise la société Google à procéder à la combinaison de l'intégralité des données qu'elle collecte sur les utilisateurs à travers l'ensemble de ses services. Une telle combinaison de données à caractère personnel est soumise à l'article 7 de la loi n°78-17 qui dispose que de tels traitements doivent avoir reçu le consentement de la personne concernée. La CNIL relève^60(*) que la validation des règles de confidentialité, qui ne prévoient pas la nature de la combinaison que la société Google opère, ne peut constituer un consentement valable.

2. UNE ABSENCE DE CHOIX DANS LES APPLICATIONS MOBILES

120. L'absence de choix au sein même des applications - Sur de nombreuses applications le choix se réduit à l'acceptation de l'installation ou le refus. L'utilisateur a uniquement le choix de prendre ou de laisser et une fois l'application installée, rares sont celles à proposer un paramétrage permettant d'empêcher la localisation du terminal mobile. Dans d'autres cas, le choix relève du simple consentement « des termes et des conditions » pour poursuivre l'installation mais là encore l'utilisateur n'a pas d'autre choix que d'accepter s'il souhaite installer l'application. Tout ceci empêche l'utilisateur de donner un consentement libre, spécifique et éclairé sur les données collectées et les finalités de traitement.

121. Le paramétrage sur les terminaux mobiles - Sur les terminaux mobiles l'utilisation des données de localisation est autorisée par défaut dans les paramètres du navigateur. Ici encore le système d'opt-in n'est pas respecté car ces données peuvent être recueillies pour l'affichage de publicité géo-adaptée alors que l'utilisateur du terminal n'y a pas donné son consentement explicite. Si l'on prend l'exemple des téléphones Androïd, le paramétrage permet de désactiver l'accès aux données de localisation du terminal par les applications. La question se pose de savoir si ce choix de paramétrage s'applique également aux applications utilisées sur le terminal. La réponse apportée par Google sur son support d'aide dispose que « ce paramètre n'a d'incidence que sur les applications Google. Si vous le désactivez, les services Google proposés en dehors des applications et les applications autres que Google pourront déterminer votre position via votre appareil »^61(*). L'utilisateur se retrouve bien souvent dépourvu de recours lorsqu'il souhaite qu'une application n'accède pas à ses données de géolocalisation.

3. LA VOLONTE DES GEANTS DU NET

122. L'obstacle de la volonté des géants du Net - Il faut ajouter à cela que les géants du net ne souhaitent pas se conformer au système d'opt-in. Google, Facebook, Microsoft, Amazon et Ebay ont unanimement demandé aux députés européens de retirer de la directive la notion de « consentement explicite ». Leur principal argument est de dire que rechercher systématiquement le consentement de l'utilisateur nuirait à la qualité et la rapidité des services utilisés. En effet, si lors de sa navigation sur diverses pages Internet son consentement explicite est demandé pour l'installation de cookies par une fenêtre contextuelle ou un bandeau en haut de page, la fluidité des recherches pourraient en pâtir et l'utilisateur pourrait être amené à cliquer sur « accepter » à chaque fois par habitude. Dans les recommandations contre le consentement explicite par les géants de l'Internet^62(*)ou les documents envoyés par les lobbies^63(*) aux députés européens leur volonté est claire, pour eux les utilisateurs « veulent des services Internet qui soient rapides, simples d'accès et efficaces », rechercher systématiquement leur consentement explicite les conduiraient « à le donner automatiquement par habitude » car ils seront « surchargés de demandes de consentement ». Mais dès lors que rechercher un consentement explicite de l'utilisateur est le seul moyen de garantir qu'il aura consenti au traitement de ses données à caractère personnel, ces demandes ne peuvent être considérées comme négatives pour l'utilisateur. Quand bien même un utilisateur accepterait par défaut toutes les demandes d'acceptation, il serait au moins averti des traitements ce qui est rarement le cas aujourd'hui. Même si le raisonnement des géants du Net est compréhensible, il est regrettable qu'ils ne recherchent pas de solutions conviviales et pratiques pour recueillir le consentement des utilisateurs sans pour autant demander une autorisation à chacune des pages visitées.

123. Le non-respect de la territorialité- (voir point 61)

L'obligation du responsable de traitement d'informer l'utilisateur lorsqu'il collecte des données de localisation à des fins de prospections commerciales et de recueillir son consentement préalable n'est pas respectée comme il se doit. Pourtant certaines solutions sont envisageables pour pallier à ces manquements.

III. LES SOLUTIONS ENVISAGEABLES

Des améliorations peuvent être mises en oeuvre quant à l'information et aux données recueillies (A) mais également quant au recueil du consentement de l'utilisateur pour que ce dernier puisse donner son accord pas un système d'opt-in qui ne gênerait pas l'utilisation de son terminal mobile (B). La consécration d'un véritable droit à l'oubli permettrait également d'éviter une durée de détention trop longue de ces données à caractère personnel (C).

A. UNE AMELIORATION QUANT AUX DONNEES RECUEILLIES

L'amélioration quant aux données recueillies passe nécessairement par une meilleure information de l'utilisateur (A) mais aussi par une véritable proportionnalité dans le recueil des données afin de minimiser la collecte (B) et enfin au respect de la règle du « privacy by design » (C).

1. UNE MEILLEURE INFORMATION DE L'UTILISATEUR

124. Une information complète et détaillée par finalité - Dans la quasi-totalité des politiques de confidentialité, les données recueillies et les finalités de traitement sont traitées dans deux paragraphes distincts. L'utilisateur ne peut donc pas savoir avec certitude quelles données sont collectées pour quelles finalités. Dans le cas du recueil des données relatives à la localisation du terminal mobile, il est bien souvent impossible de savoir si elles sont collectées pour « améliorer la qualité des services proposés » et/ou pour « proposer de la publicité ciblée » par exemple. L'utilisateur pourrait très bien accepter la collecte de données dans le premier cas et vouloir la refuser dans l'autre mais, par manque d'information, il ne peut considérer la question. Afin de remédier à l'insuffisance d'information sur les traitements réalisés par les différents responsables de traitements, ces derniers devraient fournir des informations complètes sur les traitements qu'ils réalisent en détaillant pour chaque traitement les finalités exactes et les données collectées. Chaque finalité devrait être reliée aux catégories de données traitées de la manière la plus claire et précise possible. En matière de publicité ciblée ou géo-adaptée les responsables de traitement devraient informer l'utilisateur des différentes formes d'adaptation des contenus publicitaires (contextuelle, comportementale, géo-adaptée ou personnalisée), des procédés techniques utilisés (géolocalisation, cookies, adresse IP...), du type d'informations traitées, des acteurs intervenant dans la chaine de traitement, de la possibilité d'accepter ou de refuser l'utilisation des procédés techniques ou leur rapprochement avec des données personnelles.

125. Une information claire par service utilisé - Il faut ajouter au premier problème le fait que bien souvent les entreprises développent une politique de confidentialité pour l'ensemble des services (sites Web, applications...) fournis. L'utilisateur n'est pas mis en mesure de connaître avec exactitude quelles sont les données collectées par tel site Web ou telle application. Lors de l'installation des applications mobiles, un encart annonçant quelles sont les données collectées apparaît mais les informations sont maigres et il est difficile de connaître l'étendue exacte des données recueillies lors de l'utilisation de l'application. Dans le cas où un même responsable de traitement mettrait à dispositions plusieurs services tels qu'un service de jeux, un service permettant de localiser les restaurants à proximité, un service permettant d'échanger avec d'autres utilisateurs par exemple, les informations collectées pour les besoins de l'application ne sont pas nécessairement les mêmes et les finalités non plus. L'utilisateur devrait pouvoir prendre connaissance des données recueillies par chacun de ces services, les finalités attenantes, les destinataires potentiels et la manière dont ils peuvent accéder aux données recueillies pour ce service.

126. Une information relative aux modifications - L'information de l'utilisateur ne doit pas s'arrêter à la première visite du site, ou la première installation du service. Ainsi, toute modification apportée aux données recueillies ou aux finalités de traitement devrait être notifiée à l'utilisateur. Le G29, dans les recommandations adressées à Google, recommande que les modifications soient traçables et donc que l'utilisateur soit mis en mesure de savoir qu'elles sont les points qui ont été modifiés et qu'elle était la précédente rédaction à laquelle ils avaient consentis. L'utilisateur qui avait préalablement consenti aux données collectées et aux finalités associées doit être mis en mesure de refuser le nouveau recueil de données et/ou la nouvelle finalité associée.

127. Une information simple - Même s'il s'agit de détailler pour chacun des services les données recueillies, les finalités de traitements, les destinataires, et les droits des utilisateurs, il ne s'agit pas non plus de noyer l'utilisateur sous un flot d'informations contenues dans de longs documents linéaires. Les informations devraient suivre une architecture commune pour faciliter la compréhension des utilisateurs et les présentations devraient être interactives et concises. Les informations devraient également être rédigées de manières à être comprises par un public non initié.

128. Une information spécifique à la combinaison de données - Il n'est pas rare que les responsables de traitement opèrent des combinaisons de données entre les différents services qu'ils proposent afin de constituer de véritables profils d'utilisateurs. La combinaison des données devrait faire l'objet d'une information spécifique informant l'utilisateur sur les données pouvant être combinées d'un service à l'autre.

129. Les informations additionnelles - Le G29 dans les recommandations faites à Google préconise que des informations additionnelles soient réalisées pour certains types de données pouvant avoir un impact important sur la vie privée des utilisateurs. Tel est le cas notamment des données de localisation ou des identifiants uniques de terminaux pour lesquels l'utilisateur devrait être particulièrement averti des modalités et des finalités de collecte. Pour les services souhaitant utiliser des données de localisation, le G29^64(*) recommande qu'ils recueillent le consentement non équivoque des utilisateurs pour chacune des finalités liées à la localisation, ce consentement devant pouvoir être différent de l'une à l'autre. De plus, lorsque le service utilisé recueille des données de localisation de manière active une icône devrait être visible en permanence sur l'écran pour en informer l'utilisateur et lui permettre de désactiver le recueil.

130. Une information récurrente - L'utilisateur peut être amené à oublier qu'il a autorisé l'installation d'un cookie permettant de recueillir des informations comme sa géolocalisation. Le G29 se dit favorable à la création d'un symbole^65(*) qui serait affiché sur les sites ou applications concernés pour indiquer que le comportement de l'utilisateur est suivi afin de leur diffuser de la publicité géo-adaptée. Ce symbole serait également très utile pour informer l'utilisateur, vérifié s'il souhaite maintenir son consentement et lui permettre de le révoquer.

131. Cas particulier : les utilisateurs de Smartphone - Les écrans des Smartphones ne sont pas suffisamment grands pour permettre au responsable de traitement de faire apparaître sur le même écran l'ensemble des fonctionnalités et en particulier les politiques de confidentialité. Il appartient aux différents responsables de traitement de proposer une information adaptée à ces terminaux au moyen d'outils spécifiques ou de réglages mobiles particuliers.

2. LA PROPORTIONNALITE ET LA MINIMISATION DES DONNEES COLLECTEES

132. La question de la proportionnalité - Afin de déterminer si le recueil d'une donnée est proportionné, les responsables de traitements devront prendre en compte la source de la donnée, sa nature et sa finalité. Pour savoir si elle se justifie, il faut analyser en délai les caractéristiques spécifiques de chaque donnée en fonction de la finalité poursuivie. Il est important de maintenir un juste équilibre entre les droits fondamentaux de la personne concernée et les intérêts des différents acteurs en présence, ce qui suppose que la quantité de données à caractère personnel traitées soit la plus limitée possible.

133. Minimiser les données collectées - Ainsi, les responsables de traitement ne devraient collecter que les données nécessaires au bon fonctionnement des services et non tout un tas de données annexes. Force est de constater que de nombreuses applications recueillent des données de localisation alors que ce n'est pas nécessaire à leur fonctionnement (voir point 4). Pourtant, les responsables de traitement ne devraient, au regard de l'article 6 de la directive n°95/46/CE, collecter uniquement les données nécessaires et pertinentes.

134. L'interdiction de proposer de la publicité ciblée ou géo-adaptée aux enfants - Les fournisseurs de réseau publicitaire ne devraient pas proposer un ciblage par l'âge impliquant des enfants mineurs afin de ne pas les exposer à une publicité comportementale pouvant les influencer. De plus, aucun profil d'utilisateur ne devrait être constitué dès lors que l'utilisateur est un enfant mineur.

3. LA REGLE DU « PRIVACY BY DESIGN »

135. Définition - La règle du « privacy by design » est le principe selon lequel le respect de la vie privée doit être pris en compte dès la conception d'un service. Cela permettrait également de responsabiliser les divers acteurs professionnels concernés.

136. Une prise en compte dès le développement - Les développeurs de services devraient au moment même de la conception réfléchir à un dispositif valable pour recueillir le consentement de l'utilisateur, à un paramétrage facile d'accès et simple pour leur permettre de gérer leurs paramètres, de modifier leur choix, d'accéder aux données recueillies, de les modifier, de demander leur suppression... Pour les données de localisation, l'utilisateur, après avoir donné son consentement, doit pouvoir facilement accéder au paramétrage permettant d'en suspendre le recueil, mais également accéder aux données déjà recueillies, et à la possibilité d'effacer toute trace de ces données. Pour se faire les développeurs devront développer des outils, des icônes... etc. Il semble difficilement possible de développer un service et d'y ajouter par la suite de tels dispositifs, c'est pour cela qu'ils doivent être intégrés à la réflexion au moment même de la conception dudit service.

137. Les recommandations du G29 relatives au droit d'accès - Le groupe de travail, dans son avis relatif aux services de géolocalisation, recommande aux responsables de traitement de « chercher des moyens sécurisés permettant de fournir un accès direct en ligne aux données de localisations et aux profils possibles »^66(*). Pour le groupe de travail, il apparaît nécessaire et essentiel que ces données soient consultables par les personnes concernées à tout moment et sans qu'elles aient à en faire la demande explicite. Un tel dispositif impliquerait pour les responsables de traitement des développements considérables pour mettre en place ce genre de plateforme, tout en sécurisant l'accès aux données aux seules personnes concernées.

138. L'anonymisation automatique des données - Les développeurs devront également réfléchir à la mise en place d'un système d'anonymisation des données automatiques. La donnée une fois consomméepar l'application devra automatiquement être anonymisée au bout d'un laps de temps plus ou moins long selon la finalité de la donnée collectée.

139. L'interopérabilité des applications et des systèmes - Afin de rendre effectif les dispositifs mis en place par les développeurs, il est nécessaire que ces derniers soit opérationnels une fois installés sur les terminaux mobiles où disponibles sur les différents navigateurs. C'est en cela que l'interopérabilité des applications et des systèmes est un point essentiel et doit faire l'objet d'une réflexion globale entre les différents acteurs en amont de la conception.

B. UNE AMELIORATION QUANT AU RECUEIL DU CONSENTEMENT DE L'UTILISATEUR

Pour améliorer le recueil du consentement il est nécessaire que ce dernier puisse être spécifique à chaque finalité de traitement (1), pour se faire plusieurs méthodes de recueil de consentement peuvent être mises en place (2).

1. LA NECESSITE D'UN CONSENTEMENT SPECIFIQUE

140. Un consentement spécifique - Il est regrettable de noter que dans la plupart des cas, l'utilisateur accepte toute une série de clauses et de conditions par le biais d'un simple clic. Par ce clic il accepte non seulement les conditions générales, mais également les données recueillies et les finalités associées. Il semble nécessaire que le consentement au traitement de données à caractère personnel face l'objet d'un document simple et distinct pour qu'il puisse être valable. Ainsi, l'acceptation pourrait être mise en forme différemment en avertissant les utilisateurs par des notifications courtes et ponctuelles au moment où sont collectées des données personnelles par l'application. Pour exemple, tel est le cas aujourd'hui avec la géolocalisation de l'iPhone.

141. Le paramétrage du navigateur - Les navigateurs devraient avoir pour paramétrage par défaut la non acceptation et la non transmission de cookies tiers. Afin d'informer plus amplement l'utilisateur sur la gestion des cookies, le G29 recommande^67(*) aux navigateurs d'imposer aux utilisateurs de recourir à un « assistant de protection de la confidentialité » lorsqu'ils installent pour la première fois leur navigateur ou lorsqu'ils le mettent à jour.

142. Le niveau de granularité de géolocalisation - Le G29 va même au-delà de ce consentement spécifique en recommandant que l'utilisateur puisse choisir activement le niveau de granularité de géolocalisation^68(*). En d'autres termes, l'utilisateur doit avoir le choix d'être géolocalisé au niveau d'un pays, d'une ville, d'un code postal ou de sa position exacte.

143. La combinaison de données - De la même manière, le fait que les données recueillies puissent être combinées avec d'autres données devraient faire l'objet d'une acceptation particulière. L'utilisateur devrait pouvoir s'opposer à la combinaison de données sans pour autant s'opposer au recueil de ces informations dans un service ou dans un autre. Il pourrait très bien accepter que ces données de localisation soient recueillies dans le cas d'un service permettant la recherche des restaurants à proximité de sa position mais refuser que celles-ci soient combiner avec son compte client ouvert sur un service d'achat de musique par exemple.

144. La charte de déontologie « publicité ciblée et protection des internautes » - Sous l'impulsion de Nathalie Kosciusko-Morizet, secrétaire d'Etat chargée de la Prospective et du Développement de l'économie numérique, dix associations professionnelles (annonceurs, régies publicitaires, agences de publicité, moteurs de recherches, opérateurs de téléphonie mobile, éditeurs de service en ligne...) ont signé une charte de déontologie « Publicité ciblée et protection des internautes »^69(*) le 30 septembre 2010. Cette charte contient des recommandations qui proposent des mécanismes pour informer les utilisateurs, recueillir leur consentement et exercer leurs droits en matière de publicité ciblée. Néanmoins, il est regrettable de noter que les géants du Net Google et Facebook soient absents de la signature de cette Charte. Un guide de bonnes pratiques concernant l'usage des cookies publicitaires a également été mis en place, le 12 avril 2012, à destination des professionnels souhaitant mettre en place ce type de cookies^70(*).

2. LES POSSIBILITES DE RECUEIL DU CONSENTEMENT

145. La recommandation de la CNIL relative au recueil du consentement des cookies - Dans sa délibération la CNIL^71(*) recommande une procédure de recueil de consentement en deux étapes. La première doit intervenir lorsque l'utilisateur se rend sur le site par la présence d'un bandeau mentionnant les finalités précises des cookies utilisés, de la possibilité de s'opposer à ce traitement en cliquant sur un lien présent sur le bandeau et du fait que la poursuite de sa navigation vaut accord au dépôt des cookies sur son terminal ce qui ne porterait pas d'atteinte à la fluidité de la navigation. Ce mécanisme permettrait de pallier aux réticences des géants de l'Internet (voir point 122). L'utilisateur doit ensuite être informé de manière « simple et intelligible » des moyens à sa disposition pour accepter ou refuser, partiellement ou dans sa globalité les cookies en cause mais aussi de sa possibilité de revenir à tout moment sur son autorisation ou son refus. En ce qui concerne les applications mobiles, ces modalités devraient être mises en oeuvre avant toute installation sur le terminal mobile de l'utilisateur.

146. Une évolution de certains sites - Certains sites se sont déjà saisis du problème en suivant les recommandations de la CNIL et en affichant une pop-up ou un bandeau informant l'utilisateur des cookies qui peuvent être installés sur le terminal mobile, leurs finalités avec parfois la possibilité de les accepter ou les refuser. On peut prendre pour exemple Motorola^72(*) qui a adopté cette méthode de recueil du consentement. Même si dans ce cas les cases acceptant les cookies sont cochées par défaut, ce qui n'est pas encore tout à fait un système d'opt-in, l'information est claire, les finalités explicites, la fenêtre ergonomique, et cela permet à l'utilisateur de réellement prendre conscience des données qui pourront être recueillies. Il est a noté que ce mécanisme n'est pas repris sur le site mobile ce qui est regrettable, et qu'il semblerait qu'il ne soit pas possible de gérer l'installation des cookies sur son Smartphone comme c'est le cas sur le site.

147. La recommandation de la MMAF pour les applications mobiles - Au sein de sa charte sur la publicité géo-adaptée et les droits des personnes, les membres de la MMAF recommandent au développeur d'une application mobile comportant la fonction de localisation d'informer l'utilisateur que l'application peut « s'il le souhaite, permettre de localiser son terminal mobile et recueillir son consentement explicite et préalable (exemple : « oui » ou « accepter ») ou son refus (exemple : « non » ou « refuser ») sur la localisation de son terminal par le biais de l'application concernée »^73(*). Mais également d'informer l'utilisateur, via une rubrique dédiée, sur la façon dont il peut retirer son consentement à la localisation de son terminal mobile. Le retrait du consentement doit pouvoir se faire « au sein de l'application concernée, ou des réglages [du] terminal mobile, ou via un site Internet mobile, ou via SMS ».

148. Publicité ciblée - L'utilisateur doit être mis en mesure, par un consentement particulier mis en place à cet effet, d'accepter ou de refuser l'affichage de publicité ciblée ou géo-adaptée sur son terminal mobile. Pour faciliter la mise en place d'un tel dispositif, cet accord devrait faire l'objet d'un paramétrage dans le navigateur ou sur le terminal mobile de l'internaute.

149. Le paramétrage sur le terminal mobile - Les acteurs qui développent les dispositifs de localisation des terminaux mobiles sont les mieux placés pour mettre en place un paramétrage permettant qu'aucune des applications installées ne surveillent en secret l'emplacement du terminal mobile. Ils doivent donc permettre aux utilisateurs d'accepter ou de refuser la localisation sur le terminal en question en fonction de l'application et des finalités. Pour exemple, l'Iphone permet de désactiver la localisation en fonction des applications installées. La localisation peut donc être activée pour l'une et désactivée pour l'autre même si le système ne permet pas encore un paramétrage en fonction des finalités.

150. Recueil de données nécessaires à l'utilisation du service - Lorsque le recueil d'une donnée ou le rapprochement de cette donnée avec d'autres est nécessaire pour le fonctionnement même de l'application, l'utilisateur ne peut pas retirer son consentement. Mais le retrait du consentement doit être possible dans tous les autres cas, c'est-à-dire dès lors qu'une donnée n'est pas nécessaire au fonctionnement du service ou qu'elle est utilisée dans une finalité autre que le fonctionnement du service.

151. La centralisation des fonctions d'opt-out - Des fonctions simples d'opt-out doivent être mises en place par les développeurs afin que l'utilisateur puisse à tout moment retirer son consentement sur la collecte de certaines données pour des finalités particulières. Au sein d'un même service, ou de services associés, les possibilités d'opt-out devraient être centralisées au même endroit afin de faciliter la tâche de l'utilisateur.

C. LA CONSECRATION D'UN DROIT A L'OUBLI

Le droit à l'oubli peut avoir plusieurs applications en matière de publicité géo-adaptée. Tout d'abord la durée de vie du consentement de l'utilisateur doit être limitée (1), tout comme la durée de conservation des informations recueillies (2). Mais l'utilisateur doit également être mis en mesure de supprimer le contenu de son profil et notamment les données de localisation recueillies (3).

1. UNE DUREE DE VIE LIMITE DU CONSENTEMENT

152. Les raisons d'une limitation - L'utilisateur peut être amené à accepter bon nombre de cookies lors de l'installation d'applications ou la visite de sites. Il est fort probable qu'au bout de quelques mois d'utilisation de son terminal mobile il ne sache plus exactement quels sont les cookies dont il a accepté l'installation sur son terminal. Il apparait donc nécessaire que le consentement ne soit pas un consentement donné pour toute la durée d'utilisation du terminal mobile et qu'il ait une date de fin. Une fois la date atteinte, le responsable de traitement devrait proposer de nouveau le choix à l'utilisateur de donner son accord ou non à l'utilisation de ces cookies.

153. La durée de vie du consentement -La CNIL prévoit une sorte de date de péremption à l'accord donné par l'utilisateur. Ainsi, le consentement de l'utilisateur vaut pour treize mois à compter du premier dépôt des cookies et devra être renouvelé au-delà. Dans le développement de leurs sites ou applications, les éditeurs devront mettre en place les mesures techniques permettant de gérer cette durée de vie.

154. La recommandation du G29 - A ce sujet, le G29 énonce que le consentement de l'utilisateur à l'installation d'un cookie à des fins de publicité comportementale ne devrait pas être valable « une fois pour toute »^74(*) et avoir une durée de vie limitée. Le G29 considère que la durée de vie devrait être d'un an non prolongeable, date à laquelle le responsable de traitement devrait obtenir de nouveau l'accord de l'utilisateur.

2. UNE DUREE DE VIE LIMITEE DES INFORMATIONS RECUEILLIES

155. Une date de péremption des informations - Les données personnelles recueillies à des fins publicitaires ne devraient pas pouvoir être conservées au-delà d'un certain délai pour ne pas permettre un profil complet et sur le long terme des habitudes et des déplacements de l'utilisateur. Afin de respecter la proportionnalité du recueil ces informations devraient, passé un certain délai, être tout bonnement supprimées des fichiers des responsables de traitement. Une information sur la géolocalisation de l'utilisateur afin de lui envoyer de la publicité géo-adaptée devrait être effacée ou anonymisée dès lors qu'elle n'est plus « utile », c'est-à-dire dès lors que l'utilisateur a quitté le site ou l'application permettant d'afficher ladite publicité. L'anonymisation consiste à ce que la donnée ne puisse plus être reliée à une personne identifiée ou identifiable. En d'autres termes, la donnée ne doit plus pouvoir être reliée à un numéro unique d'appareil, à un profil utilisateur, à un numéro de téléphone... L'anonymisation des données va de pair avec la minimisation des données recueillies et conservées à propos d'un utilisateur. En effet, si le but du recueil de la localisation de l'utilisateur est de lui envoyer un message publicitaire lorsqu'il passe dans un rayon de x mètres autour d'un point de vente d'une enseigne, une fois le SMS Push envoyé ou la publicité affichée dans une bannière publicitaire, il n'y a pas lieu de conserver l'information relative à la géolocalisation puisque la finalité de traitement aura été atteinte.

156. L'avis des associations professionnelles - Les associations professionnelles recommandent une durée de 60 jours^75(*) en se basant sur la durée souvent employée par les opérateurs publicitaire. Cette durée doit être entendue comme étant une durée par défaut qui pourrait être plus courte ou plus longue pour être proportionnée à la durée du cycle d'achat des produits ou des services promus par le biais des publicités comportementales par exemple.

157. Le cas des réseaux sociaux - La situation se complique lorsque la donnée de géolocalisation a été partagée par l'utilisateur lui-même. En effet, si l'on prend l'exemple de Foursquare, le principe même est que les autres utilisateurs puissent voir que l'utilisateur est allé dans tel ou tel lieu voire à donner son avis sur le lieu. La durée de conservation pourrait alors être étendue. Néanmoins, lorsque la donnée de localisation est accessible à tous, elle devrait être anonymisée rapidement, lorsqu'elle n'est accessible qu'à un réseau « fermé » appelé souvent « amis » elle peut être conservée tant que l'utilisateur n'a pas supprimé lui-même la donnée, ou qu'il n'a pas supprimé son compte.

3. UNE SUPPRESSION POSSIBLE DU CONTENU PAR L'UTILISATEUR

158. Suppression par demande - L'utilisateur qui en fait la demande doit pouvoir faire supprimer toutes les données (notamment celles relatives à la géolocalisation) qui ont été recueillies à son sujet comme en dispose l'article 40 de la loi n°78-17. Il est nécessaire que cette demande de suppression puisse être faite par un moyen simple tel que le renvoi à un formulaire disponible sur le site ou sur l'application concernée. Il serait également souhaitable que cette demande de suppression soit transmise non seulement au responsable de traitement mais également à tous les tiers autorisés à recueillir des informations par le biais du site ou de l'application sans que l'utilisateur n'ait besoin de faire la demande à chacun d'entre eux.

159. L'initiative de Google - Le 29 mai 2014 Google a mis en place un formulaire de droit à l'oubli permettant de supprimer certains liens de résultats de recherche qui seraient devenus obsolètes, hors de propos ou inappropriés. Cette création fait suite à un arrêt de la CJUE rendu le 13 mai 2014 consacrant un véritable droit à l'oubli devant être mis en oeuvre par les moteurs de recherche. Le même système pourrait être mis en place pour les données recueillies à des fins publicitaires sans que l'utilisateur n'ait besoin de justifier sa demande.

160. Les applications mobiles - Lorsqu'un utilisateur désinstalle une application de son terminal mobile, il devrait lui être proposé de supprimer les données à caractère personnel qui ont été recueillies lors de l'utilisation de l'application. En effet, une fois l'application désinstallée l'utilisateur ne sera plus en mesure de prendre conscience que l'une des applications qu'il a supprimé a permis de recueillir des informations personnelles à son sujet.

CONCLUSION

La géolocalisation des utilisateurs de terminaux mobiles est un problème d'actualité. Constituant une véritable donnée à caractère personnel, des règles strictes l'encadrent. Ainsi, les responsables de traitement doivent prendre toutes les mesures utiles pour recueillir le consentement de la personne concernée par un système d'opt-in, pour l'informer des données collectées et des finalités associées, pour lui permettre d'exercer ses droits et pour sécuriser lesdites données.

Mais malgré une législation européenne et française très protectrice en matière de traitement de données à caractère personnel, force est de constater que les manquements ou les insuffisances sont nombreux. Sur les ordinateurs, des évolutions notables voient peu à peu le jour pour informer l'utilisateur et recueillir son consentement, notamment par le biais de bandeaux ou de pop-up sur les pages Web ou encore d'un paramétrage approprié. Tel n'est pas le cas sur les terminaux mobiles, tout particulièrement les Smartphones, qui accusent d'un retard en matière de conception et de développement de solutions. Cela dit, le nombre d'acteurs constituant les maillons permettant de collecter des données à des fins publicitairesn'aide pas.

Les collecteurs de données vont également devoir se conformer aux règles deproportionnalité de la collecteet au respect des finalités des traitements. Pour se faire il semble nécessaire que ces derniers ne collectent que les données nécessaires au fonctionnement de l'application ou du site. Mais dans un système économique où la publicité est, presque exclusivement, le seul moyen de rémunération des éditeurs et des développeurs, leur permettant de fournir des applications et des sites gratuits, il semble presque impossible de restreindre autant la collecte d'informations. Nous avons à ce titre pu étudier les enjeux de la géolocalisation publicitaire, en particulier l'enjeu financier qui en découle. Néanmoins, dans tous les cas, l'utilisateur doit avoir été mis en mesure de connaitre l'existence des traitements et leurs finalités pour qu'il soit mis en mesure de décider, en toute connaissance de cause, de continuer la navigation sur le site ou d'installer l'application.

Des solutions techniques doivent être envisagées par les différents acteurs de la publicité ciblée et géo-adaptée pour informer et recueillir le consentement des utilisateurs. Quant aux utilisateurs, il semble nécessaire de les sensibiliser à ces recueils de données dont ils ne connaissent pas forcément l'ampleur et/ou les conséquences. Il appartient aux associations de professionnels de dialoguer entre elles pour édicter des règles de bonnes conduites et établir des modes de fonctionnement commun. La MMAF, la CNIL, le gouvernement, ou encore le G29 s'attèlent à établir des recommandations à destinations des professionnels. Restera à voir si et comment ces dernières seront mises en place dans les années à venir.

BIBLIOGRAPHIE

DIRECTIVES

Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données

Directive 2002/58/CE du Parlement européen et du Conseil, du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)

Directive 2009/136/CE du Parlement européen et du Conseil, du 25 novembre 2009, modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement (CE) no 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l'application de la législation en matière de protection des consommateurs

LOIS

Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Loi n° 2004-801 du 6 août 2004 relative à la protection des personnes physiques à l'égard des traitements de données à caractère personnel et modifiant la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés

Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique

CHARTES

Charte des droits fondamentaux de l'Union européenne 2010/C 83/02, du 30 mars 2010

Charte de déontologie "Publicité ciblée et protection des internautes", de l'UFMD, du 30 septembre 2010

Charte sur la publicité géoadaptée et les droits des personnes de la Mobile Marketing Association France, de novembre 2011

AVIS

Avis 4/2007 sur le concept de données à caractère personnel, du groupe de travail « article 29 » sur la protection des données, du 20 juin 2007

Avis 1/2008 sur les aspects de la protection des données liés aux moteurs de recherche, du groupe de travail « article 29 » sur la protection des données, du 4 avril 2008

Avis 2/2010 sur la publicité comportementale en ligne, du groupe de travail « article 29 » sur la protection des données, du 22 juin 2010

Avis 13/2011 sur les services de géolocalisation des dispositifs mobiles intelligents, du groupe de travail « article 29 » sur la protection des données, du 16 mai 2011

Avis 02/2013 sur les applications des appareils intelligents, du groupe de travail « article 29 » sur la protection des données, du 27 février 2013

___________________________

Communication présentée en séance plénière de la CNIL relative à la publicité en ligne, du 5 février 2009

Délibération de la CNIL n° 2012-209 du 21 juin 2012 portant création d'une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects, du 21 juin 2012

Délibération de la CNIL n°2013-420 de la formation restreinte prononçant une sanction pécuniaire à l'encontre de la société Google Inc.

Délibération de la CNIL n° 2013-378 portant adoption d'une recommandation relative aux Cookies et aux autres traceurs visés par l'article 32-II de la loi du 6 janvier 1978, du 5 décembre 2013

___________________________

Recommandation CM/Rec(2010)13 du Comité des Ministres aux Etats membres sur la protection des personnes à l'égard du traitement automatisé des données à caractère personnel dans le cadre du profilage, du 23 novembre 2010

OUVRAGES

V.-L. Benabou - Vie privée sur Internet, le traçage électronique. Les libertés individuelles à l'épreuve des NTIC, PUL, 2001

E.-A. Caprioli - Anonymat et commerce électronique. Les premières journées internationales du droit du commerce électronique : Litec, 2002

M.-P. Fenoll-Trousseau et G. Hass - Protection des données à caractère personnel. Vie privée et communication électronique : JurisClasseur Communication, Fasc. 4735

M.-P. Fenoll-Trousseau et G. Hass - Protection des données à caractère personnel. Circulation de l'information : JurisClasseur Communication, Fasc. 4736

M.-L. Laffaire - Protection des données à caractère personnel : Éditions d'Organisations, 2005

E. Barbry - Le droit du commerce électronique, de la protection à la confiance : Revue Droit de l'Informatique et télécoms, 1998/2

E. Drouard - La loi "économie numérique" et débat "opt-in"/"opt-out" : Expertises 2004, p. 16

F. Mattatia - Internet face à la loi Informatique et libertés : l'adresse IP est-elle une donnée à caractère personnel ? : Gaz. Pal. 13-15 janv. 2008, p. 9

ARTICLES

Fiche pratique de la CNIL - « Cookies et traceurs : ce que dit la loi ? » : version à la date du 28 mai 2014

Fiche pratique de la CNIL - « Ce que le Paquet Télécom change pour les cookies » : 26 avril 2012

Fiche pratique de la CNIL - « Site web, cookies et autres traceurs » : version à la date du 28 mai 2014

Enquête de la CNIL - « Smartphones et vie privée » : novembre 2011

Enquête de la CNIL - « Le suivi des consommateurs » : mars 2014

Enquête de la CNIL - « Voyage au coeur des Smartphones et des applications mobiles avec la CNIL et Inria » : 9 avril 2013

Enquête IFOP - « Les français et la géolocalisation », novembre 2010

A. BEM - « Google condamné pour traitement illégal de données personnelles collectées à l'insu des internautes » : LegaVox, article publié le 11 février 2014

M.-P. Fenoll-Trousseau - « Marketing comportemental à l'épreuve de la loi informatique et libertés » : Expertises des systèmes d'information, août-septembre, n° 339

M.-P. Fenoll-Trousseau -« Les moteurs de recherche : un piège pour les données à caractère personnel » : Communication commerce électronique, janvier

Groupe Pages Jaunes - « Le Marketing par géolocalisation simplifié : guide pratique » : Page Jaunes Solution 360, avril 2013

V. Reding - « Privacy Alert #1 : Le consentement explicite » : La Quadrature du Net, 27 mai 2013

V. Tessier - « La révolution mobile, vers le shopping 3.0 ? » : Thèse professionnelle, MBA Marketing et commerce sur Internet 2010 - 2011, avril 2012

C. Avignon - « Utilisation à des fins marketings de données de localisation : principes et limites » : emarketing n°143, 1^er décembre 2010

« La légalité des publicités géolocalisées » : SedLex, Cas pratique, 16 octobre 2013

A. Léchenet - « Que faire avec les données de géolocalisation glanées par les opérateurs de téléphonie ? » : Le Monde Blogs, 10 mai 2013

C. Lagane - « La Cnil et l'Inria se penchent sur nos données mobiles » : Silicon, 10 avril 2013

L. Cuzin - « La mise en place de services géolocalisés destinés aux particuliers face à la protection des données personnelles » : Mémoire de DESS, juin 2004

Le Monde - « Ce que vos applications mobiles savent sur vous » : Le Monde technologies, 28 janvier 2014

B. Florence - « Le marketing géolocalisé : buzz ou réalité ? Matinée sur la géolocalisation avec la MMA » : Pignon sur mail, 27 avril 2012

S. Thurm - « Your apps are watching you » : The Wall Street Journal, 17 décembre 2010

Challenges - « Liriez-vous cet article s'il fallait cliquer sur « j'accepte les conditions... » ? » : Challenges.fr, 25 mars 2014

* ¹ Chiffre tirée de l'étude du Planetoscope 

* ² Etude de la CNIL « Mobilitics » menée en 2011

* ³Interview de Jérôme Léger du 3 juin 2014

* ⁴ Chiffre annoncé par SFR régie

* ⁵ Etude menée par Admoove en 2011

* ⁶ Article de la CNIL « Sites web, cookies et autres traceurs

* ⁷ Communication de la CNIL présentée en séance plénière le 5 février 2009 sur la publicité ciblée en ligne p.14

* ⁸ Expression employée par la CNIL dans sa communication présentée en séance plénière le 5 février 2009 sur la publicité ciblée en ligne p.4

* ⁹ Expression employée par le G29 dans son avis 2/2010 sur la publicité comportemental en ligne du 22 juin 2010 p.5

* ¹⁰ Étude menée par l'institut Berginsight

* ¹¹ Etude Xerfi-Precepta de décembre 2013

* ¹² Un CPM de 10$ pour une publicité ciblée contre un CPM de 2.5$ normalement, selon un article présenté dans Adweek

* ¹³ Sondage réalisé en Amérique du Nord et en Europe en 2012-2013

* ¹⁴ Chiffre tiré de l'étude menée par Opinion Way de septembre 2009 à janvier 2011, p.28

* ¹⁵ Charte de la MMAF sur la publicité géo-adaptée et les droits des personnes de novembre 2011, p.5

* ¹⁶ Etude menée par Solocal group

* ¹⁷ Etude menée par Credoc en 2012

* ¹⁸ Résultat de l'étude menée par Ifop, novembre 2010, p. 14

* ¹⁹ Résultat de l'étude menée par Ifop, novembre 2010, p.12

* ²⁰ Avis du G29 13/2011 sur les services de géolocalisation des dispositifs mobiles intelligents du 16 mai 2011 p. 7

* ²¹ Voir référence 20

* ²² Charte des droits fondamentaux de l'Union européenne du 30 mars 2010, article 8, p. 5

* ²³COM(92) 422 final, 28/10/1992 p.10

* ²⁴Position commune (CE) n° 1/95 arrêtée par le Conseil le 20 février 1995, JO C 93 du 13.4.1995, p. 20

* ²⁵ Avis 4/2007 du G29 sur le concept de données à caractère personnel, 20 juin2007, p.6

* ²⁶ Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, article 26

* ²⁷ Délibération 2013-420 de la formation restreinte prononçant une sanction pécuniaire à l'encontre de la société Google Inc., 3 janvier 2014

* ²⁸ Article de la CNIL, « Vous êtes établis hors de France », version de juin 2014

* ²⁹ Avis du G29 1/2008 sur les aspects de la protection des données liés aux moteurs de recherche, 4 avril 2008 p. 7

* ³⁰ Directive 95/46/CE du Parlement européen et du Conseil, du 24 octobre 1995, relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, 24 octobre 1995, article 2

* ³¹ Loi n° 78-17 relative à l'informatique, aux fichiers et aux libertés, 6 janvier 1978, article 3

* ³² Avis 13/2011 du G29 sur les services de géolocalisation des dispositifs mobiles intelligents, 16 mai 2011, p.12

* ³³ Avis 02/2013 du G29 relative aux applications des appareils intelligents,27 février 2013

* ³⁴ Voir la policy privacy de Snapchat à ce sujet, applicable en juin 2014

* ³⁵ Norme simplifiée n° 48 : Délibération n° 2012-209 portant création d'une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects, 21 juin 2012

* ³⁶TGI de Versailles, 4 mars 2002 et Cassation, chambre criminelle, 19 déc. 1995, n°94-81.431

* ³⁷ Voir le point « durée de conservation » de la norme simplifiée n°48

* ³⁸ Avis du G29 2/2010 sur la publicité comportementale en ligne, 22 juin 2010, p. 22

* ³⁹ Délibération de la CNIL n° 2013-378 portant adoption d'une recommandation relative aux Cookies et aux autres traceurs visés par l'article 32-II de la loi du 6 janvier 1978, 5 décembre 2013, article 3

* ⁴⁰ Avis du G29 13/2011 sur les services de géolocalisation des dispositifs mobiles intelligents, 16 mai 2011, p. 18

* ⁴¹ Politique de confidentialité de Vidéologie applicable en juin 2014

* ⁴² Voir article de Challenges « Liriez-vous cet article s'il fallait cliquer sur « j'accepte les conditions... » ?

* ⁴³ Etude menée par At Internet en 2013

* ⁴⁴ Politique relative à la protection de la vie privée de Google, applicable en mars 2014

* ⁴⁵ Délibération n°2013-420 de la formation restreinte prononçant une sanction pécuniaire à l'encontre de la société Google Inc. du 3 janvier 2014

* ⁴⁶ Voir support d'aide Google sujet « votre sécurité et votre vie privée », applicable en juin 2014

* ⁴⁷ Article du Wall Street Journal, « Your apps are watching you », 17 décembre 2010

* ⁴⁸ Voir étude Mobilitics menée par la CNIL et l'Inria en 2011

* ⁴⁹ Voir référence 47

* ⁵⁰ Voir étude menée par Future of privacy

* ⁵¹ Politique de confidentialité Snapchat point « utilisation de l'information », version applicable à partir 1^er mai 2014

* ⁵² Délibération n° 2012-209 portant création d'une norme simplifiée concernant les traitements automatisés de données à caractère personnel relatifs à la gestion de clients et de prospects, 21 juin 2012

* ⁵³ Loi n° 2004-575 pour la confiance dans l'économie numérique, 21 juin 2004

* ⁵⁴ Avis du G29 2/2010 sur la publicité comportementale en ligne, 22 juin 2010, p.15

* ⁵⁵ Avis du G29 2/2010 sur la publicité comportementale en ligne, 22 juin 2020, p.18

* ⁵⁶ Délibération de la CNIL n°2013-378 portant adoption d'une recommandation relative aux Cookies et aux autres traceurs visés par l'article 32-II de la loi du 6 janvier 1978, 5 décembre 2013

* ⁵⁷ Avis du G29 13/2011 sur les services de géolocalisation des dispositifs mobiles intelligents p.14

* ⁵⁸ Délibération de la CNIL n°2013-420 prononçant une sanction pécuniaire à l'encontre de la société Google Inc

* ⁵⁹ Politique de confidentialité de Google, applicable au 31 mars 2014, point « Transparence et liberté de choix »

* ⁶⁰ Voir référence 58

* ⁶¹ Extrait du support Google sur « les données de localisation dans l'application, paramètre Google sous Androïd », version applicable en juin 2014

* ⁶² Données issues de l'article de la Quadrature du net, « Date protection issus IT Giants recomandations to MEPs »,18 octobre 2013

* ⁶³ Données issues de l'article de la Quadrature du net, « Lobbies on dataprotection », 12 mars 2014

* ⁶⁴ Avis du G29 13/2011 sur les services de géolocalisation des dispositifs mobiles intelligents, 16 mai 2011, p.17

* ⁶⁵ Avis du G29 2/2010 sur la publicité comportementale en ligne, 22 juin 2010, p. 22

* ⁶⁶ Avis du G29 13/2011 sur les services de géolocalisation des dispositifs mobiles intelligents, 16 mai 2011, p.18

* ⁶⁷ Avis du G29 2/2010 sur la publicité comportementale en ligne p. 18

* ⁶⁸ Avis du G29 13/2011 sur les services de géolocalisation des dispositifs mobiles intelligents p. 16

* ⁶⁹ Charte sur la publicité ciblée et la protection des internautes, 30 septembre 2010

* ⁷⁰ Guide de bonnes pratiques concernant l'usage des cookies publicitaires, 10 avril 2012

* ⁷¹ Délibération n° 2013-378 portant adoption d'une recommandation relative aux Cookies et aux autres traceurs visés par l'article 32-II de la loi du 6 janvier 1978, 5 décembre 2013, article 2

* ⁷² Voir le site de Motorola

* ⁷³ Charte de la MMAF sur la publicité géo-adaptée et les droits des personnes p. 20 

* ⁷⁴ Avis du G29 2/2010 sur la publicité comportementale en ligne, 22 juin 2010, p.20

* ⁷⁵ Charte sur la publicité ciblée et la protection des internautes, 30 septembre 2010, p. 21