Online Behavioural Marketing et vie privée

Romain ROBERT

Avocat (De Wolf & Partners – Osborne Clarke Alliance)Chercheur Senior au CRIDS (Centre de Recherche Information Droit et Société - FUNDP)

I. OBA (online behavioural advertising)

• Types de publicité en ligne (CNIL « publicité en ligne », 2009)

1. Publicité personnalisée classique2. Publicité contextuelle3. Publicité comportementale en ligne

I. OBA (online behavioural advertising)

• Publicité personnalisée classique (« publicité segmentée »)

choisie en fonction des caractéristiques connues de l’internaute (âge, sexe, localisation, etc.) et qu’il a lui même renseignées, par exemple en s’inscrivant à un service.

Revival sur facebook et réseaux sociaux (centres d’intrêt)

I. OBA (online behavioural advertising)

• Publicité contextuelle

choisie en fonction du contenu immédiat fourni à l’internaute. le produit ou le service vanté dans la publicité contextuelle est choisi en fonction du contenu textuel de la page dans laquelle la publicité s’insère ou, s’il s’agit d’un moteur de recherche, en fonction du mot clé quel’internaute a saisi pour sa recherche.

Cette donnée est parfois complétée par des informations de géolocalisation déduites de l’adresse IP de l’internaute, ou par la précédente requête dans le cas particulier d’un moteur de recherche

Centres d’intérêt sport/ article de sport

I. OBA (online behavioural advertising)

• Publicité comportementale

choisie en observant le comportement de l’internaute à travers le temps. Ainsi, la publicité comportementale vise à étudier les caractéristiques de l’internaute à travers ses actions (visite successives de sites, interactions, mots clés, production de contenu en ligne, etc.) pour en déduire son profil et lui proposer des publicités adaptées.

II. Acteurs

• Annonceurs

• Veulent promouvoir un produit ou service

• Diffuseurs

• Diffusent la publicité transmise par la

• Régie publicitaire

• Place les annonces sur les supports appropriés

FUSION DES RÔLES

III. Méthodes de traçage

• Affichage des publicités en ligne par les régies

• Inclusion de page, du contenu d’une page ou dans une page d’applets

• Capacité de collecte de l’information

• Le fournisseur peut communiquer les données• Accès à l’adresse IP directement par la régie

• Capacité de suivi de l’internaute

• Enjeux: • Compléter les informations sur l’internaute• Proposer une publicité adaptée à son profil

III. Méthodes de traçage

• Cookies

• De session• Rémanent• Cookie de tiers

• « Flash cookies » • « Evercookie »

IV. Constitution de profils

• Profils prédictifs

• Traçage dans le temps, espace, web• Pages visitées, etc..

• Profils explicites

• Données fournies par l’internaute lui-même• Sexe, localisation,..

Anonymat ? Segmentation

V. Cadre juridique

1. « Cookie rule » 2. Traitement de données3. Interception des communications4. Interdiction des communications commerciales non sollicitées5. Données de trafic et de localisation

Directive 2002/CE/CE dite « vie privée et communications électronique »

LCE du 23 juin 2005Directive 95/46/CE vie privéeLVP du 8 décembre 1992AR du 4 avril 2003 sur l’envoi de publicité par courrier électronique

V. Cadre juridique

1.1. « Cookie rule »« Cookie rule »

• Directive 2002/CE/CE. Article 5.3 nouveau Directive 2002/CE/CE. Article 5.3 nouveau

Les États membres garantissent que le stockage d'informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur.

V. Cadre juridique

• Directive 2002/CE/CE. Article 5.3 nouveau

Les États membres garantissent que le stockage d'informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur.

V. Cadre juridique

V. Cadre juridique

• Champ d’application matériel

• Données personnelles mais aussi « toute information »• Considérant 24 de la directive

• Champ d ’application territorial

• Article 3.1 Directive 2002/58: La présente directive s'applique au traitement des données à caractère personnel dans le cadre de la fourniture de services de communications électroniques accessibles au public sur les réseaux publics de communications dans la Communauté.

V. Cadre juridique

• Directive 2002/CE/CE. Article 5.3 nouveau

• Implémentation avant mai 2011

• UK, Danemark et Suède

• Discussions sur l’implémentation de cette obligation : voir document article 29

• Explicit consent of not ?

• Opt-in ou opt-out ?

V. Cadre juridique

Third parties may wish to store information on the equipment of a user, or gain access to information already stored, for a number of purposes, ranging from the legitimate (such as certain types of cookies) to those involving unwarranted intrusion into the private sphere (such as spyware or viruses). It is therefore of paramount importance that users be provided with clear and comprehensive information when engaging in any activity which could result in such storage or gaining of access. The methods of providing information and offering the right to refuse should be as user-friendly as possible. Exceptions to the obligation to provide information and offer the right to refuse should be limited to those situations where the technical storage or access is strictly necessary for the legitimate purpose of enabling the use of a specific service explicitly requested by the subscriber or user. Where it is technically possible and effective, in accordance with the relevant provisions of Directive 95/46/EC, the user’s consent to processing may be expressed by using the appropriate settings of a browser or other application. The enforcement of these requirements should be made more effective by way of enhanced powers granted to the relevant national authorities.

V. Cadre juridique

• Grandes lignes :

• Cookies nécessaires : information sur l'existence, les données collectées et pourquoi elles sont nécessaires (ex : e-banking)

• Autres cookies : consentement.

• Pas préalable (voir déclaration des 10 Etats membres)

• Implémentation technique conviviale :

• configuration des navigateur

• limitation dans le temps

• renouvellement du consentement

• labellisation, autorégulation, IBA notice

Transparence

Consentement

Implémentation

V. Cadre juridique

1. « Cookie rule »2. Traitement de données

• Directive 95/46

• Tout traitement de données à caractère personnel• Domaine d'application territorial

• Etablissement dans l'UE

• Utilisation de moyens dans l'UE• Champ d’application matériel

• Données à caractère personnel: • « toute information» • «concernant», • «une personne physique», • «identifiée ou identifiable»

V. Cadre juridique

Concernant• Gr 29 avis 4/2007:«les données concernent une personne si elles ont trait à

l'identité, aux caractéristiques ou au comportement d'une personne ou si cette information est utilisée pour déterminer ou influencer la façon dont cette personne est traitée ou évaluée »

Identifiée ou identifiable• Même avis: Sans même s'enquérir du nom et de l'adresse de la personne, on

peut la caractériser en fonction de critères socio-économiques, psychologiques, philosophiques ou autres et lui attribuer certaines décisions dans la mesure où le point de contact de la personne (l'ordinateur) ne nécessite plus nécessairement la révélation de son identité au sens étroit du terme. En d'autres termes, la possibilité d'identifier une personne n'implique plus nécessairement la faculté de connaître son identité

Cookies Adresses IP, Géolocalisation

V. Cadre juridique

• Cookie = donnée à caractère personnel

• Données sensibles

• Géolocalisation, données mineurs, données de trafic

• Responsables de traitement

V. Cadre juridique

1. « Cookie rule »2. Traitement de données3. Interception des communications

• Interdiction de l'interception (article 5 Directive 2002/58 et 124 LCE)

• Interdiction d'utiliser les données sans consentement

• Ex : Gmail et publicité contextuelle

• Interception par un robot

V. Cadre juridique

1. « Cookie rule »2. Traitement de données3. Interception des communications4. Communications commerciales non sollicitées

• Interdiction de communications commerciales sans consentement préalable et informé (Directive 2002/58 article 13, LSSI article 14, AR 4 avril 2003)

• Ex : Amazon qui envoie des emails proposant les produits consultés

• Pop-up ? Voy. Réponse Commission européenne

V. Cadre juridique

1. « Cookie rule »2. Traitement de données3. Interception des communications4. Communications commerciales non sollicitées5. Données de trafic et géolocalisation

• Données « sensibles » de communication

• Ex : « Location-based services » • Directive 2002/58, articles 6 et 9• LCE, article 122 : données de trafic• LCE, article 123 : données de localisation

V. Cadre juridiqueArticle 122§ 3. Par dérogation au § 1er et dans le seul but d'assurer le marketing des services de

communications électroniques propres ou des services à données de trafic ou de localisation, les opérateurs ne peuvent traiter les données visées au § 1er qu'aux conditions suivantes :

1° L'opérateur informe l'abonné ou, le cas échéant, l'utilisateur final auquel se rapportent les données, avant d'obtenir le consentement de celui-ci en vue du traitement :

a) des types de données de trafic traitées; b) des objectifs précis du traitement; c) de la durée du traitement. 2° L'abonné ou, le cas échéant, l'utilisateur final, a, préalablement au traitement, donné son

consentement pour le traitement. Par consentement pour le traitement au sens du présent article, on entend la manifestation de

volonté libre, spécifique et basée sur des informations par laquelle l'intéressé ou son représentant légal accepte que des données relatives au trafic se rapportant à lui soient traitées.

3° L'opérateur concerné offre gratuitement à ses abonnés ou ses utilisateurs finals la possibilité de retirer le consentement donné de manière simple.

4° Le traitement des données en question se limite aux actes et à la durée nécessaires pour fournir le service à données de trafic ou de localisation en question ou pour l'action de marketing en question.

Ces conditions sont d'application sous réserve des conditions complémentaires découlant de l'application de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel.

V. Cadre juridiqueArticle 123

§ 1er. Sans préjudice de l'application de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel, les opérateurs de réseaux mobiles ne peuvent traiter de données de localisation se rapportant à un abonné ou un utilisateur final que lorsqu'elles ont été rendues anonymes ou que le traitement s'inscrit dans le cadre de la fourniture d'un service à données de trafic ou de localisation.

§ 2. Le traitement dans le cadre de la fourniture d'un service à données de trafic ou de localisation est soumis aux conditions suivantes :

1° L'opérateur informe l'abonné ou, le cas échéant, l'utilisateur final auquel se rapportent les données, avant d'obtenir le consentement de celui-ci pour ie traitement :

a) des types de données de localisation traites;

b) des objectifs précis du traitement;

c) de la durée du traitement;

d) des tiers éventuels auxquels ces données seront transmises;

e) de la possibilité de retirer à tout moment, définitivement ou temporairement, le consentement donné pour le traitement.

2° L'abonné ou, le cas échéant, l'utilisateur final, a préalablement au traitement, donné son consentement pour le traitement.

Par consentement pour le traitement au sens du présent article, on entend la manifestation de volonté libre, spécifique et basée sur des informations par laquelle l'intéressé ou son représentant légal accepte que des données de localisation se rapportant à lui soient traitées.

3° Le traitement des données en question se limite aux actes et à la durée nécessaires pour fournir le service à données de trafic ou de localisation en question.

4° L'operateur concerné offre gratuitement à ses abonnés ou à ses utilisateurs finals la possibilité de retirer le consentement donné, facilement et à tout moment, définitivement ou temporairement.

§ 4. Les données visées au présent article ne peuvent être traitées que par des personnes qui travaillent sous l'autorité de l'opérateur ou du tiers qui fournit les données de trafic et de localisation au service.

Le traitement est limité à ce qui est strictement nécessaire pour pouvoir fournir au service concerné les données de trafic ou de localisation.

V. Cadre juridique

• Documents intéressants

• Article 29 Working Party Opinion on OBA• CNIL “Publicité comportementale en ligne”• ICO's Personal Information Online Code of Conduct• ICO: "Changes to the rules on using cookies and similar technologies for

storing information"

• IAB Europe "European Self-Regulation for Online Behavioural Advertising“• WFA “Implementing the EU ‘cookies rule’ Guidance for National

Implementation of the e-Privacy Directive”

“Commercial privacy bill of rights” in the US

V. Cadre juridique

DAA's "Advertising Options Icon"

Large colation (IAB, WFA, EASA, DMA)

37 parties

Conclusion

transparence

consentement

convivialité Best practices

Romain Robert

romain.robert@dewolf-law.be

De Wolf & Partners – Osborne Clarke Alliance

www.dewolf-law.be