La géolocalisation à des fins publicitaires( Télécharger le fichier original )par Alice Chaussebourg Université Versailles Saint-Quentin - Master 2 - NTIC 2014 |
C. LES ATTEINTES AU RECUEIL DU CONSENTEMENTEn matière de cookies, le paramétrage du navigateur, envisagé comme solution possible par la loi, est insuffisant au recueil du consentement (1), dans les applications mobiles il est même inexistant (2) cela s'explique en partie par la volonté des géants du Net de ne pas se conformer au système d'opt-in (3). 1. LE PARAMETRAGE DU NAVIGATEUR : INSUFFISANT AU RECUEIL DU CONSENTEMENT116. Le paramétrage du navigateur - Le paramétrage du navigateur avait été vu comme une solution possible au recueil du consentement par la directive n°2009/136/CE et par la loi n°78-17 modifiée. En effet, le considérant 66 de la directive mentionne que le consentement de l'utilisateur peut être exprimé par l'utilisation des paramètres appropriés d'un navigateur ou d'une autre application «lorsque cela est techniquement possible et effectif, conformément aux dispositions pertinentes de la directive 95/46/CE» tandis que l'article 32-II de la loi dispose que le recueil ou l'accès à des données à caractère personnel « ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle ». La question se pose de savoir s'il permet réellement à l'utilisateur de donner son consentement par un système d'opt-in comme le préconise le législateur. 117. Le paramétrage des cookies du navigateur - Avant tout dépôt de cookie la loi prévoit que l'utilisateur doit avoir reçu une information claire et complète sur les finalités de ce dernier, ainsi que des moyens dont il dispose pour s'y opposer et que son consentement préalableest requis. Les principaux navigateurs permettent, au travers de leurs paramétrages, de refuser ou accepter les cookies de navigation. Mais il est à noter que le paramétrage par défaut accepte l'intégralité des cookies. Sur les terminaux mobiles, l'utilisateur ne peut qu'accepter ou refuser la présence de cookies, tandis qu'il peut gérer des exceptions sur un ordinateur. Le système d'opt-in n'est pas respecté comme il devrait l'être en matière de cookies recueillant des données à caractère personnel et il est regrettable de noter que l'utilisateur ne peut pas autoriser les cookies ayant une certaine finalité tout en refusant d'autres cookies ayant des finalités de publicité par exemple. De plus, lorsque l'utilisateur a donné son acceptation il l'a donné pour tous les cookies qui seront dans le futur installés sur son terminal. La solution du paramétrage évoqué par la loi ne semble applicable que dans un nombre très restreint de cas comme le relevait déjà le G2957(*). De plus, l'information relative aux finalités des différents cookies est inexistante, l'utilisateur n'est donc pas mis en mesure d'exprimer valablement son accord préalable comme le relève la CNIL dans sa délibération 2013-42058(*). Enfin, le refus d'acceptation des cookies ne devrait pas avoir de répercussion négative sur l'utilisation des services pour que l'utilisateur puisse donner un consentement libre mais Google dispose dans ces règles de confidentialité59(*) qu'« il convient toutefois de rappeler que bon nombre de nos services sont susceptibles de ne pas fonctionner correctement si vous désactivez les cookies ». Dès lors, l'utilisateur peut se voir pénalisé par le refus des cookies ce qui peut le contraindre à les accepter en portant atteinte à la liberté de son consentement. 118. La navigation privée sur le navigateur - La plupart des navigateurs offrent la possibilité de navigation « privée », ces sessions permettent de détruire automatiquement tous les cookies créés lorsque la fenêtre de navigation se ferme. Certains fournisseurs de réseau publicitaire ont trouvé la parade en remplaçant ou complétant leurs cookies traceurs par des « flash cookies ». Ces « flash cookies » sont utilisés pour rétablir les cookies traditionnels qui ont été refusés ou effacés par l'utilisateur. Cette pratique, appelée respawning (résurrection), démontre bien que le paramétrage même du navigateur n'est pas suffisant pour assurer le recueil du consentement de l'utilisateur. 119. La combinaison des données- Les règles de confidentialité de Google prévoient que « les informations personnelles que vous fournissez pour l'un de nos services sont susceptibles d'être recoupées avec celles issues d'autres services Google (y compris des informations personnelles), par exemple pour faciliter le partage de vos informations avec des personnes que vous connaissez. Le recoupement d'informations en provenance de cookies DoubleClick avec des informations permettant de vous identifier n'est possible qu'avec votre accord explicite ». Cette disposition autorise la société Google à procéder à la combinaison de l'intégralité des données qu'elle collecte sur les utilisateurs à travers l'ensemble de ses services. Une telle combinaison de données à caractère personnel est soumise à l'article 7 de la loi n°78-17 qui dispose que de tels traitements doivent avoir reçu le consentement de la personne concernée. La CNIL relève60(*) que la validation des règles de confidentialité, qui ne prévoient pas la nature de la combinaison que la société Google opère, ne peut constituer un consentement valable. * 57 Avis du G29 13/2011 sur les services de géolocalisation des dispositifs mobiles intelligents p.14 * 58 Délibération de la CNIL n°2013-420 prononçant une sanction pécuniaire à l'encontre de la société Google Inc * 59 Politique de confidentialité de Google, applicable au 31 mars 2014, point « Transparence et liberté de choix » * 60 Voir référence 58 |
|