|
Publicité ciblée sur Internet |
Téléchargement |
|
|
Publié par :
Droits
|
|||
|
|
|
|
RECOMMANDATION
Publicité ciblée sur internet
8 mars 2010
Le Forum des droits sur l’internet
www.foruminternet.org
6, rue Déodat de Séverac 75017 PARIS
Publicité ciblée sur internet
8 mars 2010
INTRODUCTION
4
I – LA PUBLICITÉ CIBLÉE : DONNÉES TECHNIQUES ET
PROBLÉMATIQUES JURIDIQUES
7
A. – Les données techniques : les formes de publicité ciblée et les
acteurs de la publicité ciblée
7
1. – Les formes de publicité ciblée
7
a. Les définitions des trois formes de publicité ciblée
7
b. Les éléments constitutifs des publicités personnalisées et
comportementales
8
2. – Les acteurs de la publicité ciblée : la chaîne de valeur
11
B. – Les problématiques juridiques
13
1. – La qualification des éléments d’informations recueillis à des fins de
publicité ciblée : des données à caractère personnel ?
13
a. La définition de la donnée à caractère personnel
14
b. Le cas spécifique de l’adresse IP et des cookies
16
c. Le débat au sein du groupe de travail sur la qualification des
informations recueillies à des fins de publicité comportementale
21
2. – La question de l’applicabilité de la loi française
22
II. – LA CO-RÉGULATION DE LA PUBLICITÉ CIBLÉE : VERS DES
PRATIQUES RESPONSABLES ET TRANSPARENTES
25
A. – La mise en place d’un élément visuel ou d’une zone cliquable,
depuis l’objet publicitaire, mentionnant la régie publicitaire et
renvoyant vers une page dédiée à la publicité ciblée
26
1. – Un élément visuel ou une zone cliquable depuis l’objet publicitaire
(publicité comportementale)
26
2. – Une page dédiée aux publicités personnalisées et comportementales
27
B. – La maîtrise par l’internaute des informations recueillies
28
1. – La généralisation de l’opt-out en matière de publicité
comportementale
29
2. – La mise en place d’un Network Advertising Initiative (NAI) à la
française
31
3. – Le cas particulier du rapprochement de données à caractère personnel
et des informations comportementales liées à la navigation
32
C. – La protection accrue de l’internaute
33
1. – L’exclusion des données et informations sensibles
33
2. – La question de la publicité ciblée à partir du contenu des courriers
électroniques
34
2
Publicité ciblée sur internet
8 mars 2010
3. – La durée d’utilisation des informations recueillies à des fins de publicité
comportementale.
36
4. – L’anonymisation des informations recueillies à des fins de publicité
comportementale
38
D. – La protection du jeune public
39
E. – L’information et la pédagogie pour les utilisateurs
40
1. – Relayer l’information sur les sites des représentants des utilisateurs et
sur le site du Forum des droits sur l’internet
40
2. – Mettre en œuvre des actions pédagogiques
41
POSITION MINORITAIRE DE LA CNAFC SUR LE PROJET DE
RECOMMANDATION DU FDI SUR LA PUBLICITÉ CIBLÉE
43
POSITION DIVERGENTE DE L’AFA SUR LA DURÉE D’UTILISATION DES
INFORMATIONS RECUEILLIES À DES FINS DE PUBLICITÉ
COMPORTEMENTALE
46
ANNEXES
ANNEXE 1 – GLOSSAIRE
49
ANNEXE 2 - CHIFFRES CLÉS DE LA PUBLICITÉ EN 2009
51
ANNEXE 3 – LES PRINCIPAUX MODES DE TARIFICATION
PUBLICITAIRE SUR INTERNET
52
ANNEXE 4 – LES RÉFLEXIONS ET PUBLICATIONS EXISTANTES EN
MATIÈRE DE PUBLICITÉ CIBLÉE
54
ANNEXE 5 - LES CIBLAGES PUBLICITAIRES DE YAHOO ! FRANCE,
GOOGLE FRANCE ET MICROSOFT FRANCE
55
ANNEXE 6 – ENQUÊTE UNAF/CNAFC
57
ANNEXE 7 - COMPOSITION DU GROUPE DE TRAVAIL
59
ANNEXE 8 – LISTE DES PERSONNES AUDITIONNÉES et CONSULTÉES
62
3
Publicité ciblée sur internet
8 mars 2010
INTRODUCTION
Le contexte
Les chiffres de la publicité en France
En 2008, en France, les entreprises ont consacré 32,4 milliards d’euros à leurs
investissements en communication médias et hors-médias, soit 1,4 % de moins qu’en
20071.
Si les investissements sur la majorité des supports de communication baissent en 2008,
le média internet poursuit son développement et constitue un média toujours recherché
par les annonceurs. En effet, en 2008, les investissements ont progressé de 12,1 %2
pour le « display3 » et il y a eu une évolution de 28 % pour les liens sponsorisés4.
La publicité : un mode de financement de l’internet
La publicité est un mode de financement essentiel de l’internet. Les acteurs économiques
soulignent le rôle de la publicité à l’heure où l’on débat des difficultés, notamment
financières, rencontrées par la presse.
Le modèle économique de nombreuses sociétés, présentes sur internet, repose, pour tout
ou partie, sur celle-ci. Elle permet de financer majoritairement, voire totalement, ces
sociétés qui peuvent de ce fait proposer aux internautes des services gratuits ou
compléter leurs ressources financières.
La publicité « ciblée » a pour objectif la diffusion de messages adaptés aux goûts et
centres d’intérêt des internautes. Elle apparaît ainsi plus pertinente. Une publicité mieux
ciblée est, le plus souvent, vendue plus chère aux annonceurs. Cette nouvelle forme de
publicité, en expansion sur internet, contribue donc au financement des contenus et des
applications.
La publicité ciblée : des interrogations
La publicité ciblée reste source d’interrogations, voire d’inquiétudes du côté d’autres
internautes, compte tenu des atteintes qu’ils craignent pour leur vie privée. Une récente
étude a d’ailleurs été réalisée afin de connaître leurs perceptions et leurs souhaits en
matière de publicité ciblée5.
En effet, l’Union Nationale des Associations Familiales (UNAF) et la Confédération
Nationale des Associations Familiales Catholiques (CNAFC), dans le cadre des réflexions
menées par le groupe de travail du Forum, ont mené une enquête aux mois de mai et de
juin 2009. Bien que cette consultation ne présente pas de garantie en termes de
1.
Source : Chiffres clés de l’UDA :
http://www.uda.fr/fileadmin/documents_pdf/publications_etudes/Chiffres_cles__2009_1.pdf
2.
Source : Chiffres clés France Pub 2008.
3.
Le
display
est
la
« publicité
graphique
sur
internet »,
selon
la
terminologie
CESP
(http://www.terminologietim.org/).
4.
Le lien sponsorisé ou lien commercial est un lien publicitaire correspondant à un achat de mot clé au coût
par clic, selon la terminologie CESP (http://www.terminologietim.org/). En tapant le mot clé dans le
moteur de recherche, ce lien acheté apparaîtra en position préférentielle par rapport aux liens naturels
d'autres sites référencés.
5. Dans le cadre des réflexions du groupe de travail, l’UNAF et la CNAFC ont réalisé une enquête afin
d’interroger
les
internautes
sur
la
publicité
comportementale.
Cf.
annexe
4
(http://www.unaf.fr/spip.php?article8928).
4
Publicité ciblée sur internet
8 mars 2010
représentativité, elle apporte un éclairage intéressant. Il apparaît que 60 % des
internautes ayant été exposés à de la publicité comportementale affirment ne pas y avoir
trouvé d’intérêt. Par ailleurs, 82,5 % des personnes qui ont répondu ne seraient pas
favorables à la publicité comportementale ; enfin, il y a également une méconnaissance
de cette forme de publicité pour 80 % des sondés. Et 92,9 % soulignent l’importance
d’un encadrement de cette forme de publicité.
L’enquête de l’UNAF et de la CNAFC montre que la publicité ciblée n’est pas forcément
bien appréhendée par les internautes. Ces derniers apparaissent méfiants. Les
internautes ne se rendent pas toujours compte que, dans certains cas, leurs données
personnelles peuvent être utilisées à des fins commerciales, notamment de ciblage ; et
ils ne sont pas toujours informés, ou conscients, de l’existence de ce type de publicité.
La publicité ciblée soulève donc de nombreuses questions, en particulier celles liées à la
protection des données à caractère personnel.
Elle fait d’ailleurs l’objet de nombreuses discussions actuellement, du côté des pouvoirs
publics, d’une part, et des acteurs économiques de l’internet et de la publicité, d’autre
part, et ce, tant en France6 qu’à l’étranger7.
Aux États-Unis, la Federal Trade Commission (FTC) s’est prononcée récemment sur la
publicité ciblée dans son rapport du 7 février 2009, faisant suite au code de bonne
conduite mis en place par l’ensemble des acteurs de la publicité au sein du Network
Advertising Initiative (NAI).
En France, l’autorité en charge de la protection des données à caractère personnel, la
Commission nationale de l’informatique et des libertés (CNIL), s’est également emparée
du sujet via un rapport en date du 5 février 2009. Elle a notamment indiqué que le
« marketing en ligne ciblé » se pratiquait de plus en plus et était un enjeu important,
tant pour les professionnels de la publicité que pour les internautes. Elle a mis en
exergue les interrogations liées à cette pratique publicitaire nouvelle et la nécessité de
l’encadrer au mieux.
Le périmètre du groupe de travail
Le groupe de travail du Forum des droits sur l’internet a cherché à répondre à la question
suivante : quelle régulation pour la publicité ciblée en France ?
Il s’est appuyé sur une typologie des formes de publicité ciblée (contextuelle,
personnalisée, comportementale) pour s’intéresser aux seules formes de publicités
soulevant, de façon plus ou moins directe, la question de la protection des données
personnelles de l’internaute.
La publicité contextuelle a, de ce fait, été exclue du champ de la présente
Recommandation, sauf exception relative à la publicité contextuelle via les courriers
électroniques8.
Par ailleurs, ne sont pas abordés, dans le présent document, les techniques de marketing
direct en ligne9 et l’e-mailing qui ne sont pas des formes de publicité ciblée, telles que
définies dans la présente Recommandation.
6.
Cf. annexe 4 – p.53.
7.
Cf. annexe 4 – p.53.
8.
Cette publicité contextuelle suscite des nombreux questionnements au sein du groupe de travail et soulève
des interrogations quant au respect de la vie privée. Cf. infra p. 34 à 35.
9.
Le marketing direct est l’ensemble des techniques marketing qui permettent d'identifier les
consommateurs d'un produit, de leur adresser directement une proposition commerciale, afin d'obtenir une
5
Publicité ciblée sur internet
8 mars 2010
La méthode adoptée par le Forum
Le Forum des droits sur l’internet a mis en place un groupe de travail en novembre 2008
afin de réfléchir sur la question de la publicité ciblée10.
Un dialogue approfondi entre les acteurs économiques (annonceurs, régies publicitaires,
etc.), les représentants des internautes et les pouvoirs publics s’est révélé nécessaire
pour trouver un juste équilibre entre l’intérêt de cette nouvelle pratique publicitaire et le
respect de la vie privée des internautes.
Des auditions ont été menées afin que le groupe puisse parfaire sa connaissance du sujet
et identifier au mieux les interrogations liées à la pratique de la publicité ciblée.
Le Forum des droits sur l’internet a travaillé à partir des travaux déjà menés dans les
enceintes professionnelles ou publiques. Il a voulu dégager des recommandations à partir
de ceux-ci et des réflexions du groupe de travail afin de mettre en place une co-
régulation de la publicité ciblée qui pourra servir de base à une charte multi-acteurs.
La présente recommandation11 a fait l’objet d’une consultation auprès de l’ensemble des
membres du Forum des droits sur l’internet du 4 février au 18 février 2010. Elle a été
définitivement adoptée par le Conseil d’orientation du Forum 8 mars 2010.
La publicité ciblée est une notion complexe à plusieurs facettes et faisant intervenir une
chaîne d’acteurs au rôle bien précis. Il est donc important de prendre pleinement
conscience des données techniques de cette forme de publicité pour appréhender au
mieux les enjeux juridiques (I). Une fois cet état des lieux effectué, des bonnes pratiques
des professionnels pour une co-régulation de cette publicité pourront être ainsi dégagées
(II).
réponse directe, à laquelle l'entreprise répondra tout aussi directement. Le marketing direct utilise
notamment le mailing, comme moyen de communication avec les prospects et clients.
10. Le Forum des droits sur l’internet a mis en place un groupe de travail sur la publicité en ligne. Son premier
volet de réflexion a été la publicité en ligne des boissons alcooliques et a conduit à une Recommandation
en date du 16 décembre 2008. La publicité ciblée constitue le deuxième volet de cette réflexion.
11. La Confédération nationale des associations familiales catholiques (CNAFC) a souhaité émettre une position
minoritaire le 2 février 2010 sur le présent projet de recommandation du Forum sur la publicité ciblée. La
position minoritaire de la CNAFC est reproduite en annexe du présent document. Cf. page 42.
6
Publicité ciblée sur internet
8 mars 2010
I – LA PUBLICITÉ CIBLÉE : DONNÉES TECHNIQUES ET
PROBLÉMATIQUES JURIDIQUES
A. – Les données techniques : les formes de publicité ciblée et les acteurs de la
publicité ciblée
1. – Les formes de publicité ciblée
a. Les définitions des trois formes de publicité ciblée
La publicité ciblée revêt plusieurs formes qu’il est nécessaire de définir pour appréhender
au mieux, ensuite, les enjeux juridiques qui en découlent.
La Commission nationale de l’informatique et des libertés (CNIL) définit trois formes de
publicité ciblée, dans son rapport du 5 février 200912.
La publicité est contextuelle lorsque le contenu d’une page internet est analysé, afin
qu’il soit proposé automatiquement, à l’internaute, des publicités (sous forme de liens, de
bandeaux ou de vidéos) en rapport avec le contenu de cette page ou de la rubrique du
site. La publicité contextuelle est donc liée au contenu de la page visitée et non à la
personne qui la consulte. Elle n’utilise pas d’informations sur cette personne ni sur le
matériel qu’elle utilise. Elle est utilisée par les annonceurs qui veulent cibler une
thématique.
Ainsi, à titre d’exemple, un homme de 35 ans supporter d’une équipe de football et
habitant le sud de la France recevra sur une page d’un site internet la même publicité
contextuelle que celle qui sera délivrée à une femme de 52 ans habitant dans l’est de la
France et consultant la même page. La publicité est fonction du sujet de la page et ne
varie pas quel que soit le lecteur.
Ce type de publicité n’appelle pas, dans le cadre du présent document, de précisions
supplémentaires, la publicité n’étant pas corrélée à la personne qui la visualise ou à un
historique de navigation. Une exception sera toutefois faite en ce qui concerne la
publicité contextuelle via les courriers électroniques qui soulève, elle, des interrogations
quant à la protection de la vie privée13.
Pour plus de facilité, et sauf mention contraire, le terme de « publicité ciblée »
sera utilisé, dans la suite du texte, pour désigner la publicité personnalisée ou
la publicité comportementale, à l’exclusion de la publicité contextuelle.
La publicité ciblée (personnalisée et comportementale) se fonde sur la collecte
d’informations relatives à l’internaute. Ces deux types de publicités sont utilisés par les
annonceurs qui veulent cibler une audience.
La publicité personnalisée est une publicité diffusée « en fonction des caractéristiques
connues de l’internaute […] et qu’il a lui-même renseignées […] »14.
La publicité comportementale, quant à elle, consiste à proposer aux internautes des
offres en fonction de leurs comportements de navigation correspondant à leurs centres
d'intérêts sur internet.
12. « La publicité ciblée en ligne », communication de la CNIL du 5 février 2009 :
http://www.cnil.fr/fileadmin/documents/La_CNIL/actualite/Publicite_Ciblee_rapport_VD.pdf
13. Cf. infra p. 34 et 35.
14. « La publicité ciblée en ligne », communication de la CNIL du 5 février 2009, page 5.
7
Publicité ciblée sur internet
8 mars 2010
b. Les éléments constitutifs des publicités personnalisées et
comportementales
Les formes de publicités personnalisées et comportementales nécessitent, pour
être délivrées au destinataire, de s’appuyer sur des éléments d’informations
déclarés par l’internaute ou sur des éléments de navigation.
Ces deux catégories d’éléments reposent sur des informations différentes qui peuvent
ou non être agrégées.
(a)
Les informations utilisées pour la publicité personnalisée
Les informations déclarées par l’internaute, utilisées pour la publicité
personnalisée, sont collectées dans le cadre de l’ouverture d’un compte à un
service et de l’utilisation de ce service par ce dernier.
Ces éléments de nature personnelle sont le plus souvent liés au sexe, à l’âge, au
lieu de connexion ou au lieu d’habitation et aux centres d’intérêt de l’internaute.
Le ciblage publicitaire peut être démographique, c’est-à-dire qu’il est fonction de l’âge et
du sexe de l’internaute. Il peut également être géographique, c’est-à-dire lié au lieu
d’habitation déclaré par l’internaute ou lié à son adresse IP. Selon le rapport du 5 février
2009 de la CNIL, l’utilisateur du service peut s’identifier lui-même au travers d’un couple
identifiant/mot de passe et ces éléments d’identification peuvent être couplés avec
l’adresse IP15 qui permet de savoir si l’internaute est basé en France, par exemple.
Lorsque l’internaute s’identifiera au service auquel il s’est inscrit, il pourra recevoir de la
publicité en fonction de ses informations.
(b)
Les informations utilisées pour la publicité comportementale
Les informations, utilisées pour la publicité comportementale, sont liées au
comportement de navigation. Ces informations résultent des habitudes du ou des
utilisateurs du poste informatique dont l’un d’entre eux peut être l’abonné ayant souscrit
le contrat d’accès à l’internet. Elle peut se coupler avec l’adresse IP.
(i)
Le cookie traceur, un outil indispensable pour la publicité
comportementale
La publicité comportementale repose sur le dépôt et l'analyse de cookies placés sur les
navigateurs des postes des utilisateurs16. Les informations de navigation sont, en effet,
collectées et écrites dans un cookie traceur. Mais qu’est-ce qu’un cookie ?
Les serveurs http ou serveurs Web envoient aux « postes clients » de petits fichiers
textes appelés « témoins de navigation » ou « cookies » et qui, enregistrés sur le ou
les navigateurs du poste de l’utilisateur, conservent la mémoire d’un certain nombre
15. L’adresse IP (Internet Protocol) se compose d’une série de chiffres qui permettent d’individualiser un
poste informatique sur le réseau (mais parfois seulement un groupe de postes informatiques, par exemple,
en cas d’utilisation d’un routeur) et partant l’utilisateur ou les utilisateurs de ce poste ou de ces postes sur
le réseau. L’’adresse IP peut varier ; elle peut être dynamique ou fixe ou devoir être périodiquement
rafraîchie et donc changée.
16. Il est à noter que derrière les cookies, il ne s’agit pas uniquement d’une question de publicité. Concernant
l’utilisation des cookies, le Forum des droits sur l’internet s’est déjà prononcé sur ces questions dans une
Recommandation
du
26
juillet
2006
« Publiciels
et
espiogiciels
»
(http://www.foruminternet.org/telechargement/documents/reco-publiciels-20060711.pdf).
Il
était
notamment recommandé aux éditeurs de publiciels qu’ils informent les utilisateurs et se placent en
conformité avec la loi Godfrain du 5 janvier 1988 (aucun logiciel, et a fortiori publiciel, ne peut être installé
sur un poste informatique de manière frauduleuse). Les publicités devaient être clairement identifiées
comme telles et ne pas contrevenir aux recommandations de l’Autorité de régulation professionnelle de la
publicité (« Enfant » et « Support Internet »), au droit des marques ou provoquer de concurrence
déloyale.
8
Publicité ciblée sur internet
8 mars 2010
d’opérations effectuées sur ce(s) navigateur(s)17. Ces opérations n’auront pas été
nécessairement réalisées par un seul utilisateur puisqu’un même ordinateur peut être
utilisé par plusieurs personnes d’une même famille ou par plusieurs personnes dans un
cybercafé, par exemple.
Certains membres du groupe de travail soulignent que le cookie répond à une nécessité
fonctionnelle et technique. Il a, en effet, une utilité pratique en apportant une aide à
l’internaute au cours de sa navigation. Le navigateur est reconnu par le cookie et
l’utilisateur peut ainsi accéder rapidement à des conseils ou à des services qu’il sollicite,
voire à des contenus accessibles qu’à lui seul. À titre d’exemple, dans le cadre d’une
activité de commerce électronique, il permet de stocker des marchandises dans un panier
de commande ; il peut, dans le cadre d’une campagne publicitaire, régler le capping,
c’est-à-dire la détermination du nombre de fois où un contenu publicitaire est servi à un
même navigateur au cours d’une visite.
Il existe plusieurs types de cookies18. Les cookies traceurs, comme le précise
l’Interactive Advertising Bureau (IAB) France et le Syndicat national de la communication
directe (SNCD) dans leur livre blanc d’octobre 200919 « Ciblage publicitaire et respect de
l’internaute », permettent « de connaître l’historique de navigation d’un utilisateur (liste
des pages visitées, identifiées par leur URL, et ordre de visite) ».
Le cookie traceur, outil indispensable de la publicité comportementale
Cookie de publicité comportementale se trouvant dans un répertoire
sur l’ordinateur et dépendant du navigateur utilisé. À chaque
navigateur, des cookies de publicité ciblée différents.
Ordinateur
Régie
publicitaire
-
Les
informations du profil sur le
comportement de navigation sont
recueillies
par
le
cookie
et
transmises à la régie publicité qui
-
Site 1
va pouvoir afficher les publicités
comportementales sur l’ordinateur.
-
Sit
e 2
-
Site A
-
Site B
-
Site XX
-
Site TT
-
Site ZZ
-
…
Profil ou liste de centres d’intérêt résultant de la navigation via
l’ordinateur
-
…
-
…
17. Les cookies sont attachés à un navigateur donné.
18. Il existe plusieurs types de cookies, comme le précise l’IAB France et le SNCD, dans leur livre blanc du 20
octobre 2009 (http://www.iabfrance.com/getfile.php?id=971) :
Les cookies de session permettent « le stockage d’informations liées à la session de navigation de
l’internaute (paramètres de connexion à un service, contenu d’un panier d’achat, etc.) ».
Les cookies de personnalisation permettent de « conserver des informations sur l’utilisateur et de les
réutiliser lors de ses visites futures (préférences d’affichage, information de connexion à un service,
etc.) ».
Enfin, les cookies de tracking ou cookies traceurs permettent « de connaître l’historique de navigation
d’un utilisateur (liste des pages visitées, identifiées par leur URL, et ordre de visite) ».
Un même cookie peut être à la fois de session, de personnalisation ou traceur.
19. « Ciblage publicitaire et respect de l’internaute », SNCD et IAB France, 20 octobre 2009 -
http://www.iabfrance.com/getfile.php?id=971).
9
Publicité ciblée sur internet
8 mars 2010
Parmi ces cookies traceurs, on distingue deux types de cookies : les cookies
« primaires » (ou First party cookies) qui sont envoyés par le « domaine principal sur
lequel l’internaute navigue » (c’est-à-dire par l’éditeur du site visité par l’internaute) ) et
les cookies tiers (ou Third party cookies) « qui proviennent des domaines sur lesquels
sont stockés des éléments de la page, mais avec lesquels l’internaute n’a pas de relation
directe et consentie » (c’est-à-dire qu’ils proviennent d’une régie publicitaire externe ou
encore d’une agence média externe au site sur lequel l’internaute se trouve)20.
Les cookies traceurs offrent à leurs créateurs une fonctionnalité intéressante puisqu’ils
suivent le parcours effectué via le navigateur du poste informatique sur lequel ils ont été
installés. Ainsi, un cookie traceur posé à l’occasion de la visite d’un site A pourra être
exploité par son propriétaire lors de la visite d’un site B. Ce cookie va donc suivre la
navigation d’un poste informatique et contribuer à alimenter un profil ou une liste de
centres d’intérêt. Et en suivant l’internaute par un cookie dans la durée, des informations
de plus en plus précises vont être collectées sur celui-ci. Dans l’hypothèse où les
informations recueillies révèlent une certaine cohérence, ce qui n’est pas toujours le cas,
une publicité de mieux en mieux ciblée pourra alors être adressée.
(ii)
Le cookie traceur, un créateur de profils pour la publicité
comportementale
Le cookie, en collectant un certain nombre d’informations, crée ainsi un profil d’utilisateur
ou une liste de centres d’intérêt qui sera utilisé pour cibler la publicité.
Le profil ou la liste de centres d’intérêt attaché(e) à un cookie sur le navigateur de
l’utilisateur résulte de son comportement de navigation. Un utilisateur qui navigue sur
des sites de sport, d’automobile, de magazines masculins sera plus probablement un
homme qu’une femme. En réponse à cette présomption, le positionnement publicitaire
sera alors axé sur le sexe présumé. Il existe des profils qui reposent uniquement sur les
centres d’intérêt de l’internaute qui s’est rendu sur tel ou tel site. Le ciblage se fera alors
uniquement à partir desdits centres d’intérêt de l’internaute.
Concernant les cookies et l’établissement des profils d’utilisateur, il n’y a pas de politique
homogène entre les acteurs. En effet, les situations qui peuvent se rencontrer varient de
façon importante sans que cela soit nécessairement visible pour l’internaute. Les
informations recueillies ne sont pas toutes les mêmes, selon les professionnels de la
publicité. Un professionnel utilisera uniquement les pages visitées dans le temps via
l’ordinateur pour constituer le profil et faire ensuite son ciblage comportemental. Un
autre professionnel utilisera les pages visitées mais également l’historique des requêtes
entrées dans le moteur de recherche et l’adresse IP pour établir le profil.
L’intégration et l’agrégation plus ou moins poussées des informations recueillies via les
cookies dépendent donc pour partie des politiques propres à chaque acteur. Ainsi,
certains, qui assument des fonctions de fournisseur de contenus (portail d’information)
ou de services (fournisseur d’adresse de courriel) et de régie publicitaire, pourront définir
des stratégies commerciales différentes et cloisonner ou non leurs activités et les
informations qui peuvent en résulter.
Il n’existe dès lors pas de typologie des stratégies des acteurs de la publicité pouvant
être établie simplement pour déterminer de façon invariable les informations exploitées
par les professionnels de la publicité à quelque niveau qu’ils se trouvent21.
20. Pour une définition des acteurs de la publicité, cf. p. 11 du présent document « 2. Les acteurs de la
publicité ».
21. La CNIL, dans le rapport précité, s’est attachée à présenter des exemples significatifs des pratiques de
plusieurs
acteurs
majeurs
-
Pages
14
et
suivantes :
http://www.cnil.fr/fileadmin/documents/La_CNIL/actualite/Publicite_Ciblee_rapport_VD.pdf
10
Publicité ciblée sur internet
8 mars 2010
(iii)
La pratique des professionnels de la publicité : un droit
d’opposition de l’internaute en cas d’installation d’un cookie traceur
via le navigateur de l’ordinateur
Concernant la collecte des informations par les cookies traceurs pour la publicité
comportementale, l’installation du cookie se fait, conformément à l’article 32 II de la loi
du 6 janvier 197822, via le navigateur du poste informatique, sans systématiquement
demander le consentement préalable de l’internaute. En amont ou à tout moment,
l'internaute peut soit paramétrer son navigateur pour refuser l’installation des cookies,
soit en demander la désinstallation via des pages dédiées à l’opt-out, mises en place
volontairement par les régies publicitaires afin d’offrir à l’internaute un moyen
d’opposition supplémentaire. Une démarche volontaire et éclairée de l’internaute qui ne
souhaite plus recevoir de la publicité comportementale23 est donc nécessaire pour
accéder aux pages de paramétrage du navigateur ou aux pages dédiées à l’opt-out des
régies publicitaires et ensuite désinstaller le cookie traceur.
2. – Les acteurs de la publicité ciblée : la chaîne de valeur
Les acteurs de la publicité ciblée font partie d’une chaîne complexe qui fait intervenir
plusieurs parties prenantes : les annonceurs, les agences conseil en communication, les
agences médias, les régies publicitaires et les sites internet diffuseurs.
Les différents acteurs de la publicité ciblée
Annonceur (qui souhai te valoriser son produit ou son entreprise grâce à de la publicité ciblée).
Agence conseil en
Agence média (établit un plan média et identifie les bons
communication ou
supports publicitaires en rapport avec l’objectif de la campagne).
agence de création (définit
L’annonceur fait parfois directement appel à l’agence média sans
un cahier des charges avec
passer par une agence conseil en communication.
l’annonceur).
Régies publicitaires (commercialisent l’espace publicitaire).
Site internet éditeur sur
lequel est diffusée la publicité
ciblée.
22. Conformément à l’article 32 II de la loi du 6 janvier 1978 dont l’application est discutée concernant
l’absence de données à caractère personnel contenues dans le cookie.
Article 32 II de la loi du 6 janvier 1978 : « Toute personne utilisatrice des réseaux de communications
électroniques doit être informée de manière claire et complète par le responsable du traitement ou son
représentant :
- de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations
stockées dans son équipement terminal de connexion, ou à inscrire, par la même voie, des informations
dans son équipement terminal de connexion ;
- des moyens dont elle dispose pour s’y opposer.
Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de
l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :
- soit a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
- soit est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande
expresse
de l’utilisateur ».
23. Cf. p. 19 et suivantes.
11
Publicité ciblée sur internet
8 mars 2010
Les annonceurs sont les entreprises qui investissent dans la communication publicitaire
afin de faire connaître leur existence, leur activité ou leurs produits.
Les agences conseil en communication travaillent pour le compte des annonceurs
les conseillent et réalisent des dispositifs de communication. L’agence conseil en
communication assure généralement la partie créative d’une campagne publicitaire avant
de déléguer à une agence média, le conseil et l’achat d’espaces pour le compte de
l’annonceur. L’agence média est en charge d’optimiser l’investissement média de
l’annonceur par rapport aux objectifs définis avec ce dernier.
La régie publicitaire est définie comme « étant l’entreprise gestionnaire de l'espace
publicitaire d'un ou de plusieurs supports, qu'elle commercialise auprès des annonceurs,
des agences conseils en communication et des agences médias. Elle peut dans certains
cas être intégrée au support »24.
Deux types de régies publicitaires doivent être distingués :
- La régie publicitaire interne : le site visité par l’internaute est également régie
publicitaire. Ce qui signifie que les données à caractère personnel ou les
informations recueillies sont utilisées exclusivement pour le site sur lequel
l’internaute s’est inscrit.
- La régie publicitaire externe : il s’agit d’une régie qui a des relations
contractuelles avec plusieurs sites internet diffuseurs de publicités. Elle gère la
diffusion de publicité ciblée sur plusieurs sites et les informations recueillies par
les cookies sont utilisées de manière plus large.
Selon les cas, une régie interne ou externe interviendra dans la fourniture de la publicité.
Les deux types de régies sont parfois associés et peuvent, selon les pratiques, partager
ou exploiter des informations communes par recoupement.
La sélection et la diffusion de la publicité ciblée
Serveur de publicités, géré par l’agence
média ou un autre prestataire, sélectionne la
publicité en fonction du profil établi à partir
des informations collectées par le cookie
traceur de la régie publicitaire.
Serveur de publicités, géré par
la régie publicitaire, envoie la
publicité ciblée sélectionnée par le
serveur de publicités géré par
l’agence média, pour qu’elle soit
diffusée sur le(s) site(s) internet
éditeur.
Siteediteur1.fr
Siteediteur2.fr
Pub2
Pub1
24. Définition issue du glossaire marketing, business et MD.
12
Publicité ciblée sur internet
8 mars 2010
Les annonceurs, éventuellement via leur agence média, vont « acheter » l’affichage
de messages publicitaires ciblés vers des profils d’internautes susceptibles d’être
intéressés par leur marque, leur activité ou leurs produits.
Ainsi, à titre d’exemple, les informations recueillies par le cookie25 vont être utilisées pour
diffuser de la publicité ciblée. Sur un plan technique, généralement, un premier ad-
server ou « serveur de publicités » géré par l’agence média ou par un autre
prestataire qui sélectionne la publicité en fonction du profil établi à partir des
informations collectées par le cookie pour qu’elle soit ensuite diffusée sur le site
internet éditeur visité par l’internaute, via un autre « ad-server » géré lui par la régie.
Dans les cas qui intéressent le présent document, en effet, lorsque l’internaute se trouve
sur une page internet, son navigateur établit un contact avec la régie publicitaire du site
et est en contact avec le serveur de publicités de l’agence média qui affiche alors la
publicité. Cette publicité sera ciblée en fonction des informations collectées par le cookie,
installé sur la machine de l’internaute et développé par le serveur de bannières (publicité
comportementale) et/ou des informations fournies par l’internaute lors de son inscription
à un service (publicité personnalisée) ou les deux26.
Pour diffuser de la publicité ciblée (personnalisée ou comportementale), la régie
publicitaire va utiliser toutes les informations recueillies afin de proposer une
publicité correspondant au profil réel ou supposé de l’internaute. Ainsi, à titre d’exemple,
si le cookie installé sur un poste regroupe les informations suivantes (internaute visitant
souvent les sites d’astrologie et de vente en ligne de chaussures et appréciant consulter
la météo tous les jours), celles-ci seront utilisées afin d’envoyer un message publicitaire
adapté.
Parfois, certains acteurs peuvent conjuguer au sein d’une entreprise plusieurs
fonctions décrites précédemment, c'est-à-dire être à la fois annonceur, régie publicitaire
et site internet éditeur.
Ces acteurs peuvent avoir alors accès à plusieurs informations : l’identité de
l’internaute qui se connecte à son site internet et son comportement de navigation. Le
fait d’avoir accès à toutes ces informations sur l’internaute lui permet alors de diffuser
une publicité encore plus ciblée.
L’internaute, qui ne connaît pas toujours les différents acteurs de la publicité, ne sait
pas forcément que les informations recueillies via son ordinateur peuvent être
ainsi recoupées entre elles.
B. – Les problématiques juridiques
1. – La qualification des éléments d’informations recueillis à des fins
de publicité ciblée : des données à caractère personnel ?
La principale question qui retient l’attention est celle de la qualification des éléments
d’informations recueillis par les professionnels de la publicité, au regard de la ou des
législations applicables sur les données à caractère personnel. Il convient de définir ce
25. Cookie de personnalisation pour la publicité personnalisée et cookie traceur pour la publicité
comportementale (cf. note de bas de page n° 16).
26. La diffusion de la publicité ciblée sur le site internet éditeur est rendu possible par les technologies
hypertexte du protocole HTML (et ses diverses déclinaisons) notamment à travers :
-
L’inclusion dans une page d’une image en provenance d’un autre site.
-
L’inclusion du contenu d’une page (externe) à l’intérieur d’une page autre.
-
L’inclusion dans une page d’applets (Une applet est un logiciel qui s'exécute dans la fenêtre d'un
navigateur web. Elle permet, sans installation d'un logiciel dédié d’exécuter une application
ergonomique et réactive car elle est animée en grande partie par le navigateur plutôt que par le
serveur distant) exécutées par le navigateur (Source : La publicité ciblée en ligne, communication
CNIL du 5 février 2009).
13
Publicité ciblée sur internet
8 mars 2010
que sont les données à caractère personnel en France, en Europe et aux États-Unis
également avant d’aborder la loi applicable.
a. La définition de la donnée à caractère personnel
(a) Le droit américain
Aux États-Unis, la notion retenue n’est pas celle de « données à caractère personnel ».
Les données relatives à une personne sont appelées des « informations
personnellement identifiables ».
Dans le « Children Privacy Protection Act » de 1998, l’information personnellement
identifiable est définie comme : « une information individuellement identifiable à propos
d’une personne collectée en ligne, y compris ses nom et prénom ; son domicile ou une
adresse physique, y compris le nom d’une rue et d’une ville ou village ; une adresse de
courrier électronique ; un numéro de téléphone, un numéro de sécurité sociale ; tout
autre identifiant que la Federal Trade Commission estime susceptible de permettre un
contact physique ou virtuel avec une personne spécifique ; ou une information relative à
un enfant ou aux parents de cet enfant que le site internet collecte en ligne qui sont
combinées à un identifiant mentionné ci-dessus ».
La Federal Trade Commission (FTC) s’est prononcée récemment sur l’information
personnellement identifiable en matière de publicité ciblée, dans son rapport du 7 février
200927. Cela suit le projet de code de bonne conduite sur la publicité comportementale
en ligne « Self-Regulatory Principles For Online Behavioural Advertising » qui avait été
initié par les acteurs économiques en décembre 2007 et qui a été actualisé en juillet
200928.
La FTC indique que les principes définis par le code de bonne conduite doivent s’appliquer
à toute donnée, qu’elle soit « personnellement identifiable » ou non, dès lors qu’elle est
« collectée à des fins de publicité comportementale en ligne qui pourrait raisonnablement
être associée à un consommateur en particulier ou un ordinateur ou un autre appareil en
particulier ».
Ainsi, en matière de publicité comportementale, la collecte des informations, qui peuvent
raisonnablement être rapprochées d’un internaute précis ou d’un ordinateur déterminé,
relève du droit à la vie privée. L’internaute doit donc être protégé et informé.
Pour la FTC, les principes d’auto-régulation en matière de publicité comportementale
s’appliquent donc autant aux données personnelles qu’aux données non personnelles qui
sont collectées. Si les données permettent d’identifier un internaute spécifique, la
protection de celui-ci doit être renforcée.
(b) Le droit communautaire
Au sens de l’Union européenne, dans la directive n°95/46/CE29, la donnée à caractère
personnel s’entend comme « toute information concernant une personne physique
identifiée ou identifiable (personne concernée); est réputée identifiable une personne qui
peut être identifiée, directement ou indirectement, notamment par référence à un
numéro d'identification ou à un ou plusieurs éléments spécifiques, propres à son identité
physique, physiologique, psychique, économique, culturelle ou sociale. » (article 2).
Le Groupe de travail « Article 29 » (ci-après « Groupe Article 29 »), groupe de travail
établi en application de l’article 29 de la Directive 95/49/CE30 et organe consultatif
27. http://www.ftc.gov/os/2009/02/P085400behavadreport.pdf
28. http://www.iab.net/media/file/ven-principles-07-01-09.pdf
29. http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:fr:HTML
30. Article 29 de la Directive 95/46/CE : « Groupe de protection des personnes à l'égard du traitement des
données à caractère personnel :
14
Publicité ciblée sur internet
8 mars 2010
indépendant de l’Union européenne sur la protection des données et de la vie privée qui
rassemble les représentants de chaque autorité de protection des données des pays
membres de l'Union européenne31, est venu éclairer la notion de « donnée à caractère
personnel » dans son Avis n° 4/2007 du 20 juin 200732.Il explicite tout d’abord la
notion d’ « information » telle que définie par la Directive n° 95/46/CE :
« L'expression « toute information » que l'on retrouve dans la définition de la directive
manifeste clairement la volonté du législateur d'élaborer un concept large des données à
caractère personnel. Ce libellé appelle une interprétation large.
Du point de vue de la nature des informations, le concept de données à caractère
personnel englobe toutes sortes de renseignements à propos d'une personne. Il peut
s'agir d'informations « objectives » telles qu'une particularité sanguine de la personne
concernée, comme il peut aussi s'agir d'informations « subjectives » sous forme d'avis ou
d'appréciations. »
Par ailleurs, pour le Groupe Article 29, une personne est identifiée « lorsque, au sein
d'un groupe de personnes, elle se « distingue » de tous les autres membres de ce
groupe. La personne physique est donc « identifiable » lorsque, même sans avoir encore
été identifiée, il est possible de le faire a posteriori (comme l'exprime le suffixe «-able»).
L'identification se fait normalement au moyen d'informations spécifiques que l'on peut
appeler « identifiants » et qui présentent une relation particulièrement privilégiée et
étroite avec la personne physique concernée. […] »
Il est précisé qu’« une personne peut être identifiée soit directement par un nom soit
indirectement par un numéro de téléphone, de voiture, de sécurité sociale, de passeport
ou par un croisement de critères significatifs, permettant de la reconnaître à l'intérieur
d'un petit groupe par exemple (âge, fonction occupée, adresse, etc.) ».
1. Il est institué un groupe de protection des personnes à l'égard du traitement des données à caractère
personnel, ci-après dénommé « groupe ».
Le groupe a un caractère consultatif et indépendant.
2. Le groupe se compose d'un représentant de l'autorité ou des autorités de contrôle désignées par chaque
État membre, d'un représentant de l'autorité ou des autorités créées pour les institutions et organismes
communautaires et d'un représentant de la Commission.
Chaque membre du groupe est désigné par l'institution, l'autorité ou les autorités qu'il représente.
Lorsqu'un État membre a désigné plusieurs autorités de contrôle, celles-ci procèdent à la nomination d'un
représentant commun. Il en va de même pour les autorités créées pour les institutions et organismes
communautaires.
3. Le groupe prend ses décisions à la majorité simple des représentants des autorités de contrôle.
4. Le groupe élit son président. La durée du mandat du président est de deux ans. Le mandat est
renouvelable.
5. Le secrétariat du groupe est assuré par la Commission.
6. Le groupe établit son règlement intérieur.
7. Le groupe examine les questions mises à l'ordre du jour par son président, soit à l'initiative de celui-ci,
soit à la demande d'un représentant des autorités de contrôle ou de la Commission. »
31. Le Groupe Article 29 a les missions suivantes:
-
Examiner toute question quant à la mise en œuvre des dispositions nationales prises en
application de la directive 95/46/CE, en vue de contribuer à leur mise en œuvre homogène;
-
Donner à la Commission européenne un avis sur le niveau de protection des données dans la
Communauté européenne et dans les pays en dehors de l'UE;
-
Conseiller la Commission européenne sur tout projet de modification de la directive 95/46/CE, sur
tout projet de mesures additionnelles ou spécifiques à prendre pour sauvegarder les droits et
libertés des personnes physiques à l'égard du traitement des données, ainsi que sur tout autre
projet de mesures communautaires ayant une incidence sur ces droits et libertés;
-
Donner un avis sur les codes de conduite élaborés au niveau communautaire par les organes
représentatifs des responsables du traitement.
-
Informer la Commission européenne des divergences s'établissant entre les législations et
pratiques des États membres, et susceptibles de porter atteinte à l'équivalence de la protection
des personnes à l'égard du traitement des données à caractère personnel dans la Communauté
européenne.
-
Émettre des recommandations sur toute question concernant la protection des personnes à l'égard
du traitement de données à caractère personnel dans la Communauté européenne.
32. Avis n° 4/2007 du 20 juin 2007 du Groupe Article 29 :
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2007/wp136_fr.pdf
15
Publicité ciblée sur internet
8 mars 2010
Cette rédaction montre clairement que le cas d'espèce déterminera si certains identifiants
sont suffisants pour permettre l'identification.
Pour le moment, l’Union européenne ne s’est pas encore prononcée directement sur le
point de savoir si toutes les informations collectées dans le cadre de la mise en œuvre de
la publicité comportementale constituaient des données à caractère personnel au sens de
la directive précitée.
Toutefois, à l’heure actuelle, ces données à caractère personnel revêtent une définition
large pour l’Union européenne. Le Groupe Article 29 précise, en effet, que
« l'intention du législateur européen était d'adopter une notion large de
données à caractère personnel, bien qu'il existe certaines limites à cette notion.
Il ne faut jamais perdre de vue que l'objectif des règles contenues dans la directive est
d'assurer la protection des libertés et des droits fondamentaux des personnes physiques,
notamment de la vie privée, à l'égard du traitement des données à caractère
personnel. »
(c)
Le droit français
En France, la notion de donnée à caractère personnel est définie à l’article 2 de la
loi n° 78-17 du 6 Janvier 1978 relative à l'informatique, aux fichiers et aux libertés :
« constitue une donnée à caractère personnel toute information relative à une personne
physique identifiée ou qui peut être identifiée, directement ou indirectement, par
référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
Pour déterminer si une personne est identifiable, il convient de considérer l’ensemble des
moyens en vue de permettre son identification dont dispose ou auxquels peut avoir accès
le responsable du traitement ou toute autre personne. ».
Pour la publicité personnalisée qui fait appel à des données telles que le nom ou
l’adresse électronique des internautes, il est indéniable que cette publicité implique des
traitements de données à caractère personnel. Il n’y a pas de discussion sur ce point.
Il en est autrement lorsque les informations sont relatives au comportement de
navigation via un ordinateur. La question fait, en effet, débat au sein du groupe de travail
du Forum des droits sur l’internet, à l’aune de la position de la CNIL dans son rapport du
5 février 2009, en ce qui concerne les informations de navigation qui peuvent être plus
ou moins précises et peuvent constituer un profil distinct des autres profils pour diffuser
ensuite de la publicité comportementale. Comme le souligne le Sénat dans son rapport
en date de mai 2009 « La vie privée à l’heure des mémoires numériques »33,
« cet aspect du traçage sur internet doit être distingué de celui précédemment examiné
en ce que, dans la grande majorité des cas, ce traçage demeure anonyme : le
comportement de l’internaute sur internet importe davantage que les informations
relatives à son identité réelle ».
Un débat a eu lieu au sein du groupe de travail sur la qualification des informations
recueillies à des fins de publicité comportementale.
b. Le cas spécifique de l’adresse IP et des cookies
(a) L’adresse IP : une donnée à caractère personnel ?
Pour les acteurs de la publicité, il est important de savoir si l'adresse IP constitue
une donnée à caractère personnel, car de ce caractère dépend la soumission de son
traitement aux dispositions de la loi n° 78-17 du 6 janvier 1978 relative à
l’informatique, aux fichiers et aux libertés34
33. http://www.senat.fr/rap/r08-441/r08-441-syn.pdf
34. http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=LEGITEXT000006068624&dateTexte=20090527 16
Publicité ciblée sur internet
8 mars 2010
Comme cela a été dit plus haut, l’adresse IP est souvent utilisée pour la publicité
personnalisée ou comportementale, seule ou en combinaison avec d’autres informations.
Or, cette donnée permet d’être rattachée à un navigateur, dont le poste informatique est
rattaché à une personne titulaire d’un abonnement à internet. Via une procédure
judiciaire, il est alors possible grâce à l’adresse IP, associée à une heure et une date
précises, d’identifier un ordinateur déterminé et de remonter à l’identité de l’abonné du
fournisseur d’accès à l’internet. Mais cet abonné n’est peut-être pas la personne qui a
effectivement utilisé l’ordinateur à un instant T.
La Cour de justice des communautés européennes, avec son arrêt du 29 janvier
2008 Promusicae c/ SAU Telefonica35, a répondu à une question préjudicielle du tribunal
espagnol sur la nature de l'adresse IP, dans un conflit entre une association de gestion
de droits d'auteur et un fournisseur d'accès.
Le juge communautaire a rappelé que les noms et les adresses des personnes dont les
adresses IP avaient été identifiées par le fournisseur d’accès à internet étaient des
données à caractère personnel36.
En France, la jurisprudence est hésitante.
Tantôt, elle considère que l’adresse IP n’est pas une donnée à caractère
personnel. Dans des arrêts du 27 avril 200737 et du 15 mai 200738, la Cour d’appel de
Paris a indiqué que le simple procès-verbal probatoire d’un agent assermenté de la
Société civile de producteurs de phonogrammes ne constitue pas un traitement de
données personnelles et ne doit donc pas être autorisé par la CNIL. Dans le constat, il est
indiqué que l’agent s’est connecté à Internet, puis a accédé par un logiciel à des fichiers
partagés et a recueilli l’adresse IP de l’ordinateur. La Cour, dans la décision du 27 avril,
estime que « l’adresse IP ne permet pas d’identifier la ou les personnes qui ont utilisé cet
ordinateur puisque seule l’autorité légitime pour poursuivre l’enquête (police ou
gendarmerie) peut obtenir du fournisseur d’accès l’identité de l’utilisateur ». Elle précise
le 15 mai que « cette série de chiffres en effet ne constitue en rien une donnée
indirectement nominative relative à la personne dans la mesure où elle ne se rapporte
qu’à une machine, et non à l’individu qui utilise l’ordinateur pour se livrer à la
contrefaçon ». La Cour d’appel prend ainsi le contre-pied de la position de la CNIL qui
estime, au contraire, qu’une adresse IP est une donnée indirectement personnelle, au
même titre qu’un numéro de téléphone qui correspond à un abonné ou qu’un numéro
d’immatriculation d’une voiture qui se rapporte à son propriétaire.
Dans le même sens, le juge des référés du Tribunal de grande instance de Paris,
dans une ordonnance du 29 octobre 200739 a estimé que l'adresse IP n'était pas une
donnée qui permettait d'identifier une personne40.
35. http://www.foruminternet.org/specialistes/veille-juridique/jurisprudence/cour-de-justice-des-communaut-
s-europ-ennes-29-janvier-2008-2532.html
36. Ensuite, selon lui, le cadre juridique communautaire « n'impose pas aux États membres de prévoir [...]
l’obligation de communiquer des données à caractère personnel en vue d’assurer la protection effective du
droit d’auteur dans le cadre d’une procédure civile. Toutefois, le droit communautaire exige desdits États
[...] d’assurer un juste équilibre entre les différents droits fondamentaux protégés par l’ordre juridique
communautaire, [...] mais de ne pas faire naître un conflit entre lesdits droits fondamentaux ou avec les
autres principes généraux du droit communautaire, tels que le principe de proportionnalité ».
37. http://www.foruminternet.org/specialistes/veille-juridique/jurisprudence/cour-d-appel-de-paris-13e-
chambre-section-b-27-avril-2007.html
38. http://www.foruminternet.org/specialistes/veille-juridique/jurisprudence/cour-d-appel-de-paris-13e-
chambre-section-a-15-mai-2007.html
39. http://www.foruminternet.org/specialistes/veille-juridique/jurisprudence/tribunal-de-grande-instance-de-
paris-ordonnance-de-refere-29-octobre-2007.html
40. Plus particulièrement, le juge des référés devait, plus particulièrement, se prononcer sur la qualification
juridique de la société «Wikimedia Foundation», et ensuite déterminer ses obligations juridiques. Après
avoir qualifié la société «Wikimedia Foundation» d’«hébergeur» au sens de l'article 6 de la loi n°2004-575
du 21 juin 2004 pour la confiance en l`économie numérique40 (LCEN), le juge des référés a estimé que les
données des internautes qui contribuaient au contenu du site Internet participatif www.wikipedia.fr (site
17
Publicité ciblée sur internet
8 mars 2010
Les cours d’appel de Paris et de Lyon se sont également prononcées dans le même
sens en date, respectivement, des 29 janvier 2008 et 28 mai 2008 et du 17 mars 200941.
Cependant, la jurisprudence s’est aussi prononcée dans le sens contraire,
affirmant que l’adresse IP était une donnée à caractère personnel. Dans la
décision de la Cour d’appel de Rennes du 22 mai 200842, les juges ont indiqué que :
« Il n’est pas contestable […] que l’ensemble des opérations mises en œuvre par l’agent,
dont l’utilisation de deux logiciels spécifiques, « Visual Route » et le pare-feu « Kerio
Personnal Firewall », pour déterminer exactement le fournisseur d’accès correspondant à
l’adresse IP, constituent un traitement automatisé de données à caractère personnel,
entrant dans les prévisions des articles 2 et 25 de la loi du 6 janvier 1978 modifiée, sans
qu’il y ait lieu d’opérer une distinction, comme le prétendent les parties civiles, selon la
nature des procédés et moyens, auxquels l’agent a eu recours pour collecter ces
informations ».
Cette décision a été cassée par la Cour de cassation dans un arrêt du 13 janvier 2009.
Mais, comme dans un arrêt postérieur du 16 juin 2009, la Cour s’est uniquement
attachée à se prononcer sur la notion de traitement des données : « Mais attendu qu’en
se déterminant ainsi, alors que les constatations visuelles effectuées sur internet et les
renseignements recueillis en exécution de l’article L. 331-2 du Code de la propriété
intellectuelle43 par un agent assermenté qui, sans recourir à un traitement préalable de
surveillance automatisé, utilise un appareillage informatique et un logiciel de pair à pair,
pour accéder manuellement, aux fins de téléchargement, à la liste des œuvres protégées
irrégulièrement proposées sur la toile par un internaute dont il se contente de relever
l’adresse IP pour pouvoir localiser son fournisseur d’accès en vue de la découverte
ultérieure de l’auteur des contrefaçons, rentrent dans les pouvoirs conférés à cet agent
par la disposition précitée et ne constituent pas un traitement de données à caractère
personnel relatives à ces infractions, au sens des articles 2, 9 et 25 de la loi susvisée, la
cour d’appel, qui n’a pas tiré les conséquences légales de ses propres constatations, a
méconnu le sens et la portée des textes susvisés ».
Elle n’a donc pas tranché la question du statut de l’adresse IP.
Le Conseil constitutionnel a enfin rendu une décision N° 2009-580 DC le 10 juin
2009 et s’est prononcé sur le traitement automatisé de données à caractère personnel.
En effet, dans le considérant 27, le Conseil constitutionnel précise que « l’autorisation
donnée à des personnes privées de collecter les données permettant indirectement
d’identifier les titulaires de l’accès à des services de communication au public en ligne
conduit à la mise en œuvre, par ces personnes privées, d’un traitement de données à
caractère personnel relatives à des infractions » 44.
L’adresse IP apparaît, comme une donnée personnelle pour certains, comme
une donnée non personnelle, pour d’autres. Tout dépend de l’usage qui en est fait.
Dans un cas, l’adresse IP, utilisée sur réquisition du juge pénal, permet d’identifier
l’auteur prouvé d’un délit alors que dans le cas de la publicité ciblée, le traitement opéré
ne vise, au dire des acteurs, qu’à individualiser un profil. Par ailleurs, les professionnels
insistent sur le fait qu’ils n’ont pas les moyens raisonnables pour associer le numéro IP
créé par la société mentionnée ci-dessus), n'étaient que leurs adresses IP. Indirectement, cette décision
semble prendre position sur la qualification juridique de l’adresse IP.
41. CA Paris, 29 janvier 2008 (Jurisdata n°2008-355.382), CA Paris, 28 mai 2008 et CA Lyon, 17 mars 2009.
42. http://www.foruminternet.org/specialistes/veille-juridique/jurisprudence/cour-d-appel-de-rennes-3e-
chambre-22-mai-2008-2730.html
43. http://www.legifrance.gouv.fr/affichCodeArticle.do;jsessionid=DD1F21D12767CD51605B0FED01ED98FB.t
pdjo04v_3?cidTexte=LEGITEXT000006069414&idArticle=LEGIARTI000020905801&dateTexte=
44. La question de l’adresse IP a été abordée de manière indirecte dans les considérants 25, 26, 27, 29 et 31
de la décision n°2009-580 DC du Conseil constitutionnel du 10 juin 2009 sur la loi Hadopi :
http://www.conseil-constitutionnel.fr/conseil-constitutionnel/francais/les-decisions/2009/decisions-par-
date/2009/2009-580-dc/decision-n-2009-580-dc-du-10-juin-2009.42666.html
18
Publicité ciblée sur internet
8 mars 2010
au nom d’une personne déterminée. Ces moyens leur sont inaccessibles. Ils ne peuvent
pas s’appuyer sur l’article L 34-1 du Code des postes et des communications
électroniques45 (ou le 6-II de la loi du 21 juin 2004) pour faire acquérir à la donnée brute
qu’est l’adresse IP un lien avec l’identité civile de la personne. Par ailleurs, ils estiment
que quand bien même les moyens raisonnables seraient mis en œuvre, l’adresse IP ne
permet pas toujours d’identifier une personne déterminée. Un ordinateur familial ou
encore un terminal dans un cybercafé sera utilisé par plusieurs personnes, par exemple.
En conclusion, à ce jour, la question de la nature juridique de l’adresse IP n’est
pas tranchée et le contentieux relatif à cette question est presque
exclusivement lié à celui de la contrefaçon.
Toutefois, une proposition de loi « visant à mieux garantir le droit à la vie privée
à l’heure du numérique » déposée au Sénat le 6 novembre 2009 par Yves
Détraigne et Anne-Marie Escoffier46 permettra peut-être de répondre
définitivement à cette question. En effet, ces deux sénateurs proposent de clarifier le
statut de l’adresse IP.
Il est indiqué dans l’exposé des motifs que « l’article 2 de la proposition de loi clarifie le
statut de l'adresse IP ». En effet, cette adresse constitue, pour le rapport d'information
précité, un moyen indiscutable d'identification, fût-elle indirecte, d'un internaute, au
même titre qu'une adresse postale ou un numéro de téléphone. La clarification opérée
par l'article 2 permet ainsi d'apporter aux données de connexion des internautes la
protection de la loi « informatique et libertés ». Cet article préciserait que : « Constitue
en particulier une donnée à caractère personnel toute adresse ou tout numéro identifiant
l’équipement terminal de connexion à un réseau de communication. »
(b) Le cookie : une donnée à caractère personnel ?
Jusqu'à présent, le débat qui a lieu en ce qui concerne la possibilité de qualifier de
donnée à caractère personnel l’adresse IP n’avait pas été étendu aux cookies. Cependant
les cookies sont des outils indispensables à la collecte d’informations qui constituent
ensuite un profil.
(i)
La qualification juridique du cookie
Le Groupe Article 29 a précisé dans son avis sur les moteurs de recherche47 du 4
avril 2008 que « lorsqu’un « cookie » contient un identifiant d’utilisateur unique, celui-ci
est clairement une donnée à caractère personnel. L’utilisation de « cookies » persistants
ou de dispositifs similaires comportant un identifiant d’utilisateur unique permet de pister
les utilisateurs d’un ordinateur donné, même en cas d’utilisation d’adresses IP
dynamiques. Les données relatives au comportement qui sont générées par le recours à
ces dispositifs permettent d'affiner encore les caractéristiques personnelles de la
personne concernée. »
Par conséquent, selon le Groupe Article 29, il est possible de considérer que les
informations recueillies dans les cookies comme l’âge, le sexe ou la localisation sont des
données à caractère personnel dans la mesure où elles sont liées à cet identifiant.
Pour la CNIL, dans le cas de la publicité comportementale qui fait appel à la technique
du cookie traceur installé sur un ordinateur, l’ensemble des données collectées par cet
outil constitue le profil d’une personne identifiable.
La CNIL estime que l'association de différentes informations collectées conduit à pouvoir
adresser une publicité propre à une personne suffisamment « ciblée » pour qu’elle se
45. http://www.legifrance.gouv.fr/affichCodeArticle.do;jsessionid=304E38388D7CD74CD007796415C6E6F7.tp
djo11v_1?idArticle=LEGIARTI000020740388&cidTexte=LEGITEXT000006070987&dateTexte=20090827
46. http://www.senat.fr/leg/ppl09-093.html
47. http://www.cnil.fr/fileadmin/documents/approfondir/dossier/internet/wp148_fr.pdf
19
Publicité ciblée sur internet
8 mars 2010
différencie d’une publicité qui serait adressée à un autre profil. La CNIL précise ses
propos en insistant sur le fait qu’il n’y a pas automatiquement exploitation de données
personnelles en matière de publicité ciblée. Il y en a uniquement « dès lors que la
publicité ciblée repose par exemple sur des goûts et des comportements qui peuvent être
rattachés à des individus identifiés ou identifiables, elle doit être opérée dans le respect
des principes de protection des données » puisqu’elles constituent des données à
caractère personnel. Il en ira donc ainsi dans le cas des profils effectués à partir de
comptes créés par les internautes et utilisés dans le cas d’une publicité personnalisée. »48
Dans son communiqué de presse, la CNIL précise également que les systèmes de
publicité ciblée sur internet sont uniquement « soumis aux règles de protection des
données à caractère personnel dans la mesure où ils traitent de données à caractère
personnel »49.
Si le cookie traite de données à caractère personnel, il pourra alors être lui-même
considéré comme une donnée à caractère personnel. Se pose alors corollairement la
question du recueil du consentement de l’internaute lorsqu’un cookie s’installe sur son
ordinateur.
(ii)
L’opportunité de recueillir l’accord des internautes au ciblage
abordée par l’Union européenne
La publication de la directive 2009/136/CE du 25 novembre 2009 qui complète la
directive « vie privée et communications électroniques » 2002/58/CE du 12
juillet 200250 risque d’avoir un impact sur l’installation du cookie et notamment du
cookie traceur sur le navigateur du poste informatique et le consentement préalable
demandé à l’internaute.
En effet, le nouvel article 5.3 est le suivant :
« Les États membres garantissent que le stockage d’informations, ou l’obtention de
l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un
utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord,
après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et
complète, entre autres sur les finalités du traitement. Cette disposition ne fait pas
obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer la
transmission d'une communication par la voie d'un réseau de communications
électroniques, ou strictement nécessaires au fournisseur pour la fourniture d'un service
de la société de l'information expressément demandé par l'abonné ou l'utilisateur. ».
Cet article est complété par le nouveau considérant 66 : « Il se peut que des tiers
souhaitent stocker des informations sur l'équipement d'un utilisateur, ou obtenir l'accès à
des informations déjà stockées, à des fins diverses, qu'elles soient légitimes (certains
types de cookies, par exemple) ou qu'elles impliquent une intrusion non autorisée dans la
sphère privée (logiciels espions ou virus, par exemple). Il est donc extrêmement
important que les utilisateurs disposent d'informations claires et complètes lorsqu'ils
entreprennent une démarche susceptible de déboucher sur un stockage ou un accès de
ce type. Les méthodes retenues pour fournir des informations et offrir le droit de refus
devraient être les plus conviviales possibles. Les dérogations à l'obligation de fournir des
48. « La
publicité
ciblée
en
ligne »,
communication
CNIL
du
5
février
2009,
http://www.cnil.fr/fileadmin/documents/La_CNIL/actualite/Publicite_Ciblee_rapport_VD.pdf
49. Communiqué de presse du 26 mars 2009 relatif à la communication de la CNIL sur la publicité ciblée en
ligne : http://www.cnil.fr/la-cnil/actu-cnil/article/article//marketing-cible-sur-internet-vos-donnees-ont-de-
la-valeur/
50.
Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des
données à caractère personnel et la protection de la vie privée dans le secteur des communications
électroniques
(directive
vie
privée
et
communications
électroniques) :
http://eur-
lex.europa.eu/smartapi/cgi/sga_doc?smartapi!celexplus!prod!DocNumber&lg=fr&type_doc=Directive&an_d
oc=2002&nu_doc=58
20
Publicité ciblée sur internet
8 mars 2010
informations et de donner le droit de refus devraient être limitées aux situations dans
lesquelles le stockage technique ou l'accès est strictement nécessaire afin d'autoriser
légitimement l'utilisation d'un service spécifique explicitement demandé par l'abonné ou
l'utilisateur. Lorsque cela est techniquement possible et effectif, conformément aux
dispositions pertinentes de la directive 95/46/CE, l'accord de l'utilisateur en ce qui
concerne le traitement peut être exprimé par l'utilisation des paramètres appropriés d'un
navigateur ou d'une autre application. La mise en œuvre de ces exigences devrait être
rendue plus efficace en renforçant les pouvoirs conférés aux autorités nationales
compétentes en la matière. »
La pratique actuelle des professionnels de la publicité est l’opt-out, comme cela a été
évoqué précédemment51. Ce nouvel article 5.3 complété du considérant 66 impose aux
professionnels une transparence accrue de leurs pratiques vis-à-vis de
l’internaute, ainsi qu’une maîtrise renforcée par celui-ci. Le considérant 66 parle
de droit de refus, c’est-à-dire d’un droit d’opposition offert à l’internaute. Les
bonnes pratiques émises par le Forum des droits sur l’internet, développées
ultérieurement vont également dans ce sens52.
c. Le débat au sein du groupe de travail sur la qualification des
informations recueillies à des fins de publicité comportementale
Les membres du groupe de travail s’accordent pour dire qu’en général, la publicité
personnalisée met en jeu des traitements de données à caractère personnel, et
ce, dès lors qu’il s’agit de données effectivement identifiantes (telles que celles
fournies par un internaute lors de la création d’un profil abonné sur un site).
Toutefois, pour les informations utilisées pour la publicité comportementale et pour
certaines informations utilisées pour la publicité personnalisée (notamment
l’adresse IP), certains membres de ce groupe refusent d’aller aussi loin que la
CNIL, en étendant cette qualification à toutes les informations utilisées dans le cadre de
la publicité ciblée, en particulier à l’adresse IP et à toutes les données collectées grâce
aux cookies traceurs. Cette position leur paraît en effet exagérément extensive et est
même qualifiée par certains de contraire à la loi.
En particulier, les acteurs économiques mettent en avant le fait que ni l’adresse IP ni le
cookie traceur ne permettent d’identifier précisément une personne mais plutôt de
caractériser le profil d’un e-consommateur potentiel ou d’un groupe de consommateurs
utilisateurs d’un ordinateur.
Dans sa communication de juin 2009, l’UDA indique « qu’en pratique, les
informations utilisées en matière de publicité ciblée ne permettent pas d’identifier ou de
rendre identifiable l’internaute dont les goûts et les comportements ont été recueillis
(publicité comportementale) ou encore celui qui a fourni volontairement des informations
(publicité personnalisée). Elles ne peuvent donc être qualifiées de données personnelles
». 53
Aussi, pour les acteurs économiques, dès lors que l’identité de la personne n’est
pas connue ou ne peut pas être connue, les informations collectées ne peuvent pas
constituer des données à caractère personnel et cette publicité comportementale ne
51. Cf. p. 8 et suivantes du présent document.
52. Cf. p. 25 et suivantes du présent document.
53. Communication UDA de juin 2009 sur la publicité ciblée : « Au regard des objectifs visés par la publicité
ciblée, l’identification d’individus donnés n’est d’ailleurs pas nécessaire. Au lieu d’adresser des publicités
identiques à l’ensemble des internautes, il s’agit d’adresser des publicités spécifiques vers des navigateurs
internet dont on suppose qu’ils sont utilisés par des internautes tournés vers tel ou tel centre d’intérêt, et
ce durant une période limitée dans le temps. Il ne s’agit pas de s’adresser à tel ou tel individu.
Lorsqu’un annonceur souhaite s’adresser à un individu en particulier, il a alors recours à des opérations de
marketing direct qui, elles, impliquent l’identification des individus. La publicité ciblée constitue un mode
de communication dont les objectifs diffèrent de ceux du marketing direct. »
21
Publicité ciblée sur internet
8 mars 2010
présente aucun danger en termes de protection de la vie privée et des libertés
individuelles. L’objectif de la publicité comportementale n’est pas d’identifier l’internaute
mais seulement de connaître les centres d’intérêts de la ou des personnes qui utilisent
l’ordinateur étudié, afin d’envoyer des publicités spécifiques adaptées et pertinentes. Il
ne s’agit pas de s’adresser à tel ou tel individu mais uniquement à un groupe spécifique
d’individus, ayant des préoccupations, des centres d’intérêts et des goûts communs.
L’identité des personnes n’a dès lors aucun intérêt, ni aucune valeur.
Les acteurs économiques précisent que la question des données à caractère
personnel pourrait se poser quand les informations collectées pour les besoins de la
publicité se rattachent directement à un individu en particulier. Si la publicité
comportementale repose sur des goûts et des comportements qui ne peuvent être
rattachés à une personne déterminée, elle ne pose pas de problème en termes de
protection des libertés individuelles (évidemment liées à l’individu) et de respect de la vie
privée des individus.
À cet égard, les acteurs économiques rappellent que les technologies employées
permettent seulement l’individualisation d’un navigateur d’un ordinateur derrière lequel
l’internaute n’est ni identifié, ni identifiable. En effet, un même navigateur peut être
utilisé par plusieurs personnes au sein d’un même foyer et peut être à tout moment
partagé par des tiers54.
Les représentants des internautes indiquent, quant à eux, que cette interprétation
large de la « donnée à caractère personnel » permet une meilleure protection de
l’internaute lorsqu’il y a collecte de ses informations à des fins publicitaires. La loi
française a ainsi vocation à s’appliquer. Ils craignent que les publicités comportementales
ne soient trop intrusives notamment lorsqu’elles ont pour vocation d’influer sur le
comportement d’achat de l’internaute.
2. – La question de l’applicabilité de la loi française
Les prestataires de la publicité ont le plus souvent leurs serveurs basés à
l’étranger, hors Union européenne, et estiment que le droit européen ou la loi
française ne leur est pas applicable en ce qui concerne les données à caractère
personnel.
Le droit communautaire, transposé en France, a établi des critères afin de déterminer la
loi applicable. Ces critères sont recensés dans la directive de 1995.
Il s’agit alors de déterminer, dans un premier temps, le responsable du traitement
puis le lieu de réalisation du traitement. La question du lieu est importante car elle
est un critère de rattachement. De plus en plus de sociétés internationales effectuent, à
l’étranger, le traitement de données collectées en France.
L’article 4 de la directive de 199555 indique les cas dans lesquels la législation des États
membres, en conformité avec le droit communautaire, est applicable :
54. Cf. les débats juridiques p. 21 et suivantes du présent document.
55. Article 4 de la directive 95/46/CE : Droit national applicable
« 1. Chaque État membre applique les dispositions nationales qu'il arrête en vertu de la présente directive
aux traitements de données à caractère personnel lorsque:
a) le traitement est effectué dans le cadre des activités d'un établissement du responsable du traitement
sur le territoire de l'État membre; si un même responsable du traitement est établi sur le territoire de
plusieurs États membres, il doit prendre les mesures nécessaires pour assurer le respect, par chacun de
ses établissements, des obligations prévues par le droit national applicable;
b) le responsable du traitement n'est pas établi sur le territoire de l'État membre mais en un lieu où sa loi
nationale s'applique en vertu du droit international public;
c) le responsable du traitement n'est pas établi sur le territoire de la Communauté et recourt, à des fins de
traitement de données à caractère personnel, à des moyens, automatisés ou non, situés sur le territoire
dudit État membre, sauf si ces moyens ne sont utilisés qu'à des fins de transit sur le territoire de la
Communauté.
22
Publicité ciblée sur internet
8 mars 2010
le traitement effectué par un établissement situé sur le territoire d’un État
membre56,
le traitement qui n’est pas effectué par un État membre de la Communauté mais
par un État tiers dans lequel sa loi nationale s’applique en vertu du droit
international public,
le traitement qui n’est pas effectué par un responsable appartenant à la
Communauté européenne mais il existe toutefois un traitement de données intra-
communautaire.
Ainsi, en présence d’un traitement de données mis en œuvre au moyen d’équipements
implantés sur plusieurs États membres, le responsable d’un traitement de données devra
désigner un représentant dans chacun des États où des équipements sont utilisés.57
Qui est le responsable du traitement ?
La directive 95/46/CE définit le responsable d’un traitement de données personnelles en
son article 2d comme étant « la personne physique ou morale, l'autorité publique, le
service ou tout autre organisme qui, seul ou conjointement avec d'autres, détermine les
finalités et les moyens du traitement de données à caractère personnel; lorsque les
finalités et les moyens du traitement sont déterminés par des dispositions législatives ou
réglementaires nationales ou communautaires, le responsable du traitement ou les
critères spécifiques pour le désigner peuvent être fixés par le droit national ou
communautaire ».
Que revêt la notion d’établissement ?
La directive précitée utilise la notion d’établissement pour déterminer la loi applicable à
un traitement de données. Le lieu d’établissement implique un exercice réel et
effectif d’une activité « au moyen d’implantations stables » sur le territoire
d’un État membre. La notion d’ « implantations stables » n’est pas sans poser des
questions. L’emplacement des équipements permettant le traitement des données peut
avoir un rôle à jouer sur la détermination de la loi applicable.
Les équipements doivent être utilisés par le responsable du traitement qui en dispose et
les utilise comme il le souhaite. L’utilisation des équipements respecte deux points : la
2. Dans le cas visé au paragraphe 1 point c), le responsable du traitement doit désigner un représentant
établi sur le territoire dudit État membre, sans préjudice d'actions qui pourraient être introduites contre le
responsable du traitement lui-même. »
56. Le Groupe Article 29, dans un document de travail intitulé « Application internationale du droit de l’UE en
matière de protection des données au traitement des données à caractère personnel sur Internet par des
sites web établis en dehors de l’UE » du 30 mai 200256,prononce de la sorte : « Lorsque le traitement est
effectué dans le cadre des activités d'un établissement du responsable sur le territoire d’un État membre,
les dispositions nationales de cet État membre en matière de protection des données s’appliquent au
traitement. Lorsque le même responsable du traitement est établi sur le territoire de plusieurs États
membres, chacun des établissements doit respecter les obligations stipulées par les lois respectives des
États membres concernés pour le traitement des données effectué dans le cadre de leurs activités. Ce
n’est pas là une exception au principe du pays d’origine. Il s’agit simplement de son application la plus
stricte : lorsque le responsable choisit d’avoir non un mais plusieurs établissements, il ne bénéficie pas de
l’avantage selon lequel respecter une seule loi suffit pour toutes les activités exercées sur l’ensemble du
marché intérieur. Ce responsable doit donc appliquer en parallèle les lois nationales correspondant à
chacun des établissements. Le groupe de travail pourrait éventuellement traiter cet aspect
ultérieurement. »
L’avis 1/2008 du Groupe Article 29 sur les aspects de la protection des données liés aux moteurs de
recherche du 4 avril 200856 précise que : « L'une des principales conclusions de l’avis est que la directive
sur la protection des données s’applique généralement au traitement des données à caractère personnel
par les moteurs de recherche, même lorsque le siège de ces derniers se trouve en dehors de l’EEE, et qu’il
incombe aux fournisseurs de moteurs de recherche qui se trouvent dans cette situation de clarifier leur
rôle dans l’EEE ainsi que l’étendue de leurs responsabilités en vertu de la directive ».
57. La Directive 2002/58/CE du 12 juillet 2002 concernant le traitement des données à caractère personnel et
la protection de la vie privée dans le secteur des communications électroniques57 fait également référence
à la notion de responsable du traitement et renvoie notamment vers la Directive 95/46/CE.
23
Publicité ciblée sur internet
8 mars 2010
réalisation d’un traitement et la volonté de le réaliser par le responsable.
L’utilisation ne doit pas être confondue avec la propriété des équipements qui est sans
influence sur la détermination de la loi applicable.
Le critère de rattachement à l’ordre juridique communautaire est normalement le
lieu d’établissement. Si ce dernier n’est pas situé sur le territoire de la communauté, ce
sont les lieux dans lesquels les équipements sont situés qui détermineront la loi
applicable.
Donc, pour que les grands acteurs étrangers se voient appliquer la loi française, par
exemple, il faut que le lieu d’établissement soit implanté en France.
Les sénateurs Anne-Marie Escoffier et Yves Détraigne, auteurs d’une
proposition de loi tendant à mieux garantir le droit à la vie privée à l’heure du
numérique58, proposent, parallèlement que la loi Informatique et Libertés de
1978 s’applique aux grands acteurs de l’internet étrangers. Ils préconisent ainsi
de faire évoluer la directive du 24 octobre 1995, sans remettre en cause le haut niveau
de protection qu'elle accorde, afin de soumettre ces acteurs aux juridictions et au droit
français dès lors qu'ils visent bien un public français.
Cette proposition pourrait venir éclaircir les questions afférentes à l’applicabilité de la loi
française.
En tout état de cause et au-delà des discussions au sein du groupe, les membres
du groupe de travail mettent en avant la nécessité de mettre en place de bonnes
pratiques qui devront transcender le débat juridique.
Au-delà des problématiques juridiques soulevées, les membres du groupe de
travail s’accordent sur le besoin de mettre en place des bonnes pratiques qui
seront respectées par les acteurs économiques en matière de publicité ciblée et
sur le rôle que l’internaute doit jouer en complément de ces bonnes pratiques.
58. Proposition de loi du 6 novembre 2009 : http://www.senat.fr/leg/ppl09-093.html
24
Publicité ciblée sur internet
8 mars 2010
II. – LA CO-RÉGULATION DE LA PUBLICITÉ CIBLÉE :
VERS
DES
PRATIQUES
RESPONSABLES
ET
TRANSPARENTES
Il apparaît avec évidence à l’ensemble des membres du groupe de travail qu’il existe à la
fois un déficit d’information des internautes sur la publicité ciblée et,
corollairement ou non, une crainte de ceux-ci vis-à-vis de techniques
publicitaires qu’ils connaissent mal ou peu mais qui sont à tout le moins suspectées
d’être opérées à leur insu.
Le ciblage publicitaire a pour objectif, pour les professionnels de la publicité, de fournir
une publicité pertinente à l’internaute. Elle peut correspondre aux caractéristiques
déclarées par un individu (un homme ou une femme, de tel âge, etc.) et/ou à ses centres
d’intérêts du moment. Aussi, pour être efficace, la publicité ciblée doit pouvoir s’appuyer
sur des informations qui concernent au plus près l’internaute. Ces informations sont
d’ailleurs parfois des données à caractère personnel. Tout ceci a un impact en termes de
respect de la vie privée de l’utilisateur qui, avec plus ou moins de précision, est ciblé
dans ses goûts et préférences. Une juste mesure entre les moyens mis en œuvre
pour fournir le contenu publicitaire ciblé et la protection de l’internaute doit
être trouvée.
En accord avec l’une des conclusions de la CNIL, dans son rapport du 5 février
200959, visant à « encourager l’adoption de code de bonnes pratiques par les
professionnels et coordonner son action avec les travaux conduits par le Forum des droits
sur l’internet », les membres du groupe de travail, malgré des lectures divergentes sur
certains points, estiment possible de promouvoir des bonnes pratiques permettant
une diffusion plus transparente de la publicité ciblée et plus particulièrement de
la publicité comportementale.
Ces bonnes pratiques supposent, d’une part, un effort des professionnels quant à leurs
pratiques et engagements vis-à-vis des internautes, et d’autre part, une amélioration de
la compréhension par l’internaute de l’environnement numérique dans lequel il évolue et
dans lequel la publicité lui est adressée.
Elles s’inscrivent dans une perspective responsable des professionnels de la publicité qui
souhaitent offrir une transparence accrue de leurs pratiques au bénéfice des internautes
et proposer des informations et solutions pragmatiques pour faire face aux interrogations
des utilisateurs. Elles s’articulent autour de trois problématiques : celle de l’accès à
l’information par l’internaute ; celle de la maîtrise, par celui-ci, du contenu des
informations recueillies à des fins publicitaires ; et celle de la gestion, par le professionnel
de la publicité tel que la régie publicitaire, desdites informations.
Elles pourront constituer une base pour des engagements professionnels de nature à
lever des ambiguïtés, améliorer l’accessibilité des informations à destination des
internautes, faciliter l’exercice de leurs droits ou l’usage de services proposés par les
professionnels aux internautes. Elles pourront faire l’objet d’une charte multi-acteurs
signée par, notamment, les membres du groupe de travail. Les acteurs pourront
présenter dans ce cadre les résultats de la mise en œuvre des bonnes pratiques inscrites
dans la présente recommandation (contenu, visibilité de l’information, système d’opt-
out…).
Les professionnels concernés par ces bonnes pratiques sont, principalement, les régies
publicitaires et les agences média, qui, comme nous l’avons vu précédemment,
59. La publicité ciblée en ligne – Rapport de la CNIL du 5 février
2009 : http://www.cnil.fr/fileadmin/documents/La_CNIL/actualite/Publicite_Ciblee_rapport_VD.pdf
25
Publicité ciblée sur internet
8 mars 2010
organisent et gèrent la diffusion sur les sites internet éditeur de publicités personnalisée
et comportementale60.
A. – La mise en place d’un élément visuel ou d’une zone cliquable, depuis
l’objet publicitaire, mentionnant la régie publicitaire et renvoyant vers une
page dédiée à la publicité ciblée
1. – Un élément visuel ou une zone cliquable depuis l’objet publicitaire
(publicité comportementale)
Lorsqu’un internaute navigue sur un site internet et se trouve face à des publicités, il ne
sait pas forcément s’il s’agit d’une publicité ciblée ou non. Il ne connaît pas, par ailleurs,
le nom de la régie publicitaire qui diffuse cette publicité. Il ne sait pas forcément
également que des cookies publicitaires s’installent sur son ordinateur pour générer cette
publicité personnalisée et comportementale, ni quelles sont les informations utilisées à
des fins publicitaires et où vont lesdites informations.
L’identification de la publicité ciblée (comportementale) apparaît comme un préalable
indispensable dans l’émission des bonnes pratiques. Il est, par ailleurs, utile que
l’internaute sache à quelle régie publicitaire il a affaire pour être informé sur le devenir
des informations recueillies et sur la possibilité de demander la suppression, à l’avenir,
de ces publicités ciblées.
Une fois la publicité ciblée et le professionnel identifiés, pour délivrer l’information à
l’internaute, il faut l’organiser. Cette identification pourrait se matérialiser par un élément
visuel ou une zone cliquable indiquant, à la fois, l’existence de la publicité ciblée et
l’identité de la régie publicitaire. Certains acteurs de l’internet spécialisés en publicité
comportementale pratiquent déjà cette identification visuelle. Elle pourrait se généraliser
pour une meilleure transparence des pratiques des professionnels.
Au fil des discussions au sein du groupe de travail, il est apparu que, pour permettre à
l’internaute d’accéder le plus facilement possible aux informations délivrées par le
professionnel sur la publicité ciblée, il était nécessaire que cette information soit
directement accessible depuis ladite publicité.
L’élément visuel ou la zone cliquable présent directement sur la publicité ou sur les
contours de la publicité (bandeau publicitaire, etc.) permettra ainsi une identification
rapide de la publicité ciblée par l’internaute, si celui-ci a été suffisamment informé en
amont de la signification de cet élément visuel cliquable.
Le fait de pouvoir cliquer sur un élément visuel ou une zone qui se trouve sur la publicité
pour arriver sur le site de la régie publicitaire externe ou sur une page interne du site
visité par l’internaute si ce dernier est une régie interne est un système simple qui
présente une efficacité réelle au bénéfice de l’internaute.
Il gagnera à être mieux connu des internautes pour que ceux-ci identifient rapidement
l’élément visuel ou la zone.
Les modalités de la mise en place d’un élément visuel ou d’une zone sur ou sur les
contours de la publicité ciblée pourront être déterminées avec les professionnels de la
publicité. Certains professionnels utilisent déjà un logo. D’autres mentionnent
directement leur nom.
À défaut de ce dispositif, un lien en bas de page du site internet qui est le support de la
publicité ciblée pourra être prévu afin de permettre à l’internaute d’être informé au
mieux. Ce lien existe déjà sur certains sites. Il n’est toutefois pas toujours visible et
facilement accessible par l’internaute.
60. Les acteurs de la publicité - Cf. p.12 et suivantes du présent document.
26
Publicité ciblée sur internet
8 mars 2010
Le lien en bas de page consacré à la publicité ciblée pourrait être développé pour une
meilleure transparence. Il renverrait directement sur une page dédiée à la publicité ciblée
et pourrait même renvoyer directement à la page dédiée de la régie publicitaire.61
Le Forum des droits sur l’internet recommande que la publicité ciblée ainsi que le nom de
la régie publicitaire qui permet la diffusion de la publicité – qu’elle soit interne ou
externe – soient clairement indiqués, dans un souci de transparence et de visibilité par
l’internaute. À cette fin, il préconise que soit mis en place un élément visuel cliquable
depuis l’objet publicitaire. L’élément visuel ou la zone cliquable doit être visible,
facilement accessible et compréhensible par l’internaute.
À défaut, un lien en bas de page consacré à la publicité ciblée sur le site qui diffuse la
publicité est recommandé afin d’informer au mieux l’internaute.
2.
– Une
page
dédiée
aux
publicités
personnalisées
et
comportementales
L’enquête précitée menée aux mois de mai et juin 2009 par l’UNAF et la CNAFC auprès
de 240 personnes62 montre que les internautes ne sont pas toujours conscients de
l’existence de cette publicité. Il s’agit donc de renforcer la transparence des pratiques
des professionnels de la publicité pour permettre la confiance des utilisateurs.
L’instauration d’une plus grande transparence par les professionnels passe donc
notamment par la mise en place d’une page entièrement dédiée à la publicité ciblée. Une
fois que l’internaute aura cliqué sur l’élément visuel ou la zone cliquable depuis la
publicité63, il pourra accéder à cette page d’information entièrement consacrée à la
publicité personnalisée et comportementale.
Certains sites, supports de la publicité, ont déjà mis en place une page consacrée à la
publicité ciblée en explicitant, notamment, ce qu’est un cookie et comment faire pour le
supprimer. Cette pratique déjà existante devrait pouvoir se coupler avec la mise en place
d’une page dédiée sur le site des régies publicitaires.
Le Forum des droits sur l’internet recommande la mise en place, par les régies
publicitaires, d’une page dédiée à la publicité ciblée (personnalisée et comportementale)
regroupant toutes les informations nécessaires à la compréhension de ces pratiques par
l’internaute.
Cette page doit être facilement accessible à partir de l’élément visuel cliquable sur la
publicité ou sur les contours de la publicité ciblée et, le cas échéant, à partir du site
internet où est diffusée la publicité et facilement compréhensible et exploitable. Elle sera
gérée par la régie publicitaire, qu’elle soit interne ou externe.
Certains membres du groupe de travail, en particulier les représentants des utilisateurs,
indiquent qu’à l’heure actuelle les informations relatives à la publicité ciblée sont souvent
disparates, longues et peu accessibles pour l’internaute.
61. Dans le cadre des réflexions menées par le Forum des droits sur l’internet sur la publicité ciblée, le
Syndicat des Régies Internet (SRI) a été consulté. En l’espèce, Le SRI émet un avis favorable sur la mise
en place d’un élément visuel ou d’une zone cliquable sur la publicité comportementale ou à défaut d’un lien
en bas de page du site éditeur, mentionnant la régie publicitaire, et renvoyant vers une page dédiée à la
publicité ciblée. Le SRI préfère cependant favoriser le lien en bas de page, beaucoup plus aisé à mettre en
place.
62. Cf. annexe 6 p.56 et suivantes du présent document.
63. Cf. infra.
27
Publicité ciblée sur internet
8 mars 2010
Par conséquent, la page dédiée doit être un tableau de bord, facilement accessible et
utilisant des termes compréhensibles, recensant toutes les informations utiles à la
compréhension de l’internaute pour mieux appréhender cette forme de publicité.
De plus, pour en faciliter la lecture, cette page explicative et récapitulative doit
comporter les mêmes informations pour toutes les régies publicitaires. L’indication des
données à caractère personnel utilisées ou des informations collectées sur son
comportement de navigation et à quelles fins est primordiale pour l’internaute. La
connaissance de l’internaute sur l’utilisation de ses informations peut parfois être diffuse.
L’ensemble des membres du groupe de travail réaffirme la volonté de développer les
informations suivantes en matière de publicité ciblée dans la page dédiée à cet effet :
La régie publicitaire et ses coordonnées ;
La présence des cookies publicitaires et du système mis en œuvre par le
professionnel en matière de publicité ciblée, ses modalités de fonctionnement ;
Les informations utilisées à des fins publicitaires : le classement par centres
d’intérêts64, indication des données communiquées par l’internaute lors de son
inscription à un service (âge, sexe, localité, etc.) et qui sont utilisées à des fins
de publicité personnalisée, etc. ;
La réaffirmation de l’exclusion des informations dites « sensibles »
(notamment : informations relatives à l’origine ethnique ou raciale, la
nationalité, l’orientation et les pratiques sexuelles, l’état de santé, les
convictions religieuses, politiques et/ou syndicales, etc.) et de l’absence de
création de catégories sensibles relatives à des comportements ou centres
d’intérêt spécifiques aux enfants de moins de 13 ans.
Le Forum des droits sur l’internet recommande que soient mentionnées a minima les
informations suivantes dans la page d’information dédiée à la publicité ciblée
(personnalisée et comportementale) : identification de la publicité ciblée, nature et
fonctionnement des cookies installés à des fins de publicité personnalisée et
comportementale, indication du système d’opposition utilisé par la régie publicitaire
(système d’opt-out, etc.), indication des informations exploitées , indication de
l’exclusion des informations dites « sensibles ».
B. – La maîtrise par l’internaute des informations recueillies
Outre le renforcement de l’information de l’internaute via l’élément visuel renvoyant vers
une page consacrée à la publicité personnalisée et comportementale, les membres du
groupe de travail retiennent le principe selon lequel l’internaute doit être maître de
l’utilisation de ses données à caractère personnel et des informations relatives à son
comportement de navigation qui pourraient être utilisées à des fins de publicité ciblée.
L’internaute doit pouvoir maîtriser l’utilisation de ses données à caractère personnel et de
ses informations de navigation.
Cette maîtrise par l’internaute de toutes les données et informations recueillies à des fins
de publicité ciblée s’effectue :
via la possibilité de refuser cette publicité ciblée (l’opt-out doit ainsi être
encadré et généralisé) ;
via la mise en place d’une mutualisation des cookies d’opt-out (pour permettre
à l’internaute d’exercer son droit d’opposition plus facilement) ;
et via la mise en place d’une possibilité pour l’internaute d’accepter ou refuser
l’exploitation d’informations issues d’un rapprochement entre des données à
64. Certains acteurs de la publicité ont déjà mis en place un système de cochage/décochage des centres
d’intérêt révélés par leur navigation.
28
Publicité ciblée sur internet
8 mars 2010
caractère personnel et des informations comportementales liées à la
navigation (pour lui permettre de prendre conscience pleinement et de
manière spécifique qu’il y a un rapprochement de ses données à caractère
personnel et des informations liées au comportement de navigation issues de
l’ordinateur qu’il utilise).
1. – La généralisation de l’opt-out en matière de publicité
comportementale
La question du consentement lié à l’utilisation des informations recueillies à des fins de
publicité ciblée a été centrale dans les discussions du groupe de travail. Il s’agit, en effet,
ici de savoir si les informations recueillies à des fins de publicité doivent faire l’objet d’un
consentement spécifique par l’internaute.
Les membres du groupe de travail ont ainsi abordé la question de l’opt-in65 et de l’opt-
out66 en matière de publicité ciblée.
C’est la publicité comportementale qui soulève le plus d’interrogations en
matière de consentement.
En effet, pour la publicité personnalisée, le consentement est le plus souvent
intégré dans les conditions générales d’abonnement et valider ces conditions vaut
acceptation de l’utilisation des données à caractère personnel collectées lors dudit
abonnement. Le refus d’une des conditions générales d’abonnement ne permet pas de
s’abonner. Il n’y a pas de consentement préalable spécifique pour la publicité
personnalisée. La finalité de l’utilisation des données à caractère personnel à des fins
publicitaires peut être mentionnée parmi les autres finalités. Elle est souvent indiquée
dans une page dédiée aux données à caractère personnel.
Pour la publicité comportementale, lorsqu’il y a installation d’un cookie traceur,
conformément à l’article 32 II de la loi du 6 janvier 1978, la solution retenue est
l’opt-out67.
La question soulevée par le groupe de travail a été la suivante : l’opt-out est-il
suffisant en matière de publicité comportementale ?
La CNIL, dans son rapport du 5 février 2009, met en avant le fait que : « Seul un «
opt-in » portant à la fois sur la collecte de données et l’affichage de publicités
comportementales pourrait réellement donner un contrôle aux utilisateurs. Il est
cependant peu probable que les industriels du domaine suivent cette approche
qui réduirait considérablement le nombre d’internautes pouvant être tracés et
pouvant recevoir de la publicité ciblée. »
Les professionnels de la publicité estiment qu’en l’absence d’exploitation de données
à caractère personnel en matière de publicité comportementale, l’utilisation de l’opt-in
serait disproportionnée par rapport aux risques encourus par l’internaute, à
savoir être exposé à une publicité plus « ciblée » qu’habituellement. Par ailleurs, l’opt-in
serait de nature à modifier la navigation de l’internaute en la rendant moins
65. On parle d’opt-in lorsqu’il est demandé à l’internaute de donner son consentement préalablement à toute
collecte d’information. L'opt-in peut être actif : l'internaute doit volontairement cocher une case ou faire
défiler un menu déroulant pour que les informations le concernant soient utilisées ultérieurement à des
fins publicitaires. L'opt-in peut-être passif : une case est déjà précochée ou un menu déroulant déjà
positionné sur oui.
66. On parle d’opt-out lorsqu’il est laissé à l’internaute la possibilité de s’opposer a posteriori à la collecte
d’informations. L'opt-out est actif lorsqu’il faut cocher une case ou sélectionner un menu déroulant pour
ne pas recevoir de message ultérieurement. On considère l'accord de l'internaute comme acquis par
défaut, comme implicite. L'opt-out est passif lorsqu’en s'inscrivant à un service, l'internaute est
automatiquement inscrit sur une liste de diffusion sans qu'il ait la possibilité de changer cela au moment
de l'inscription. La désinscription ne peut se faire qu'après l'inscription. L'opposition de l'internaute est
exprimée a posteriori.
67. Cf. p. 12 du présent document.
29
Publicité ciblée sur internet
8 mars 2010
fluide, du fait de demandes répétées d’autorisation de recueil des informations
notamment de navigation. Enfin, les acteurs économiques du groupe de travail rappellent
que la publicité, et notamment la publicité comportementale dont les espaces sont
vendus plus chers aux annonceurs, soutient le modèle économique de l’internet.
L’opt-out leur semble être une solution acceptable et efficace pour permettre
une publicité ciblée si les internautes le souhaitent68.
Les représentants des utilisateurs, quant à eux, indiquent que la solution de l’opt-
in serait évidemment la solution la plus pertinente : en effet, la demande de recueil
de données à caractère personnel et d’informations sur le comportement de navigation
provient des acteurs économiques et le consentement de l’internaute devrait par
conséquent toujours être requis au préalable (publicité comportementale y compris).
Les représentants des utilisateurs ajoutent cependant qu’il est nécessaire d’être
réaliste avec les pratiques actuelles et que la question du modèle économique
de l’internet doit aussi être prise en compte. Aussi, si un système généralisé
d’opt-out peut être acceptable, il doit, toutefois, impérativement s’accompagner
au préalable d’une information facilement accessible et compréhensible des
internautes.
Il existe différents systèmes d’opt-out. L’opt-out peut être simple (une purge
régulière des cookies traceurs doit être alors effectuée par l’internaute sinon un autre
cookie s’installera lors d’une nouvelle navigation et il recevra de nouveau de la publicité
comportementale) ou persistant (l’information selon laquelle l’internaute ne souhaite
plus recevoir de publicité comportementale est conservée par l’ordinateur ou le
navigateur et évite ainsi l’internaute a régulièrement « opt-outer »).
Concernant l’opt-out simple, si l’internaute supprime les cookies ou s’il les efface, cela
supprimera dans le même temps le choix de l’internaute d’user de son droit d’opt-out.
Par ailleurs, qu’il s’agisse de la suppression des cookies publicitaires ou de l’activation de
l’opt-out, l’opération devra être effectuée à chaque fois par l’internaute et sur tous les
navigateurs qu’il utilise. L’internaute devra donc être vigilant et vérifier régulièrement si
le cookie de publicité ciblée reste effacé. En effet, pour que le refus de recevoir de la
publicité ciblée soit permanent, il est nécessaire que l’opt-out soit persistant.
Il apparaît primordial, pour les membres du groupe de travail du Forum des droits sur
l’internet que l’opt-out soit un opt-out persistant lié au navigateur.
Activer la fonction opt-out ne supprime pas tous les messages publicitaires mais
uniquement ceux relevant de la publicité comportementale.
Par ailleurs, l’exercice de cet opt-out doit garantir une navigation normale en
cas de mise en pratique.
En effet, la navigation sur internet n’est pas aisée lorsque les cookies sont vidés, elle
devient plus difficile, voire impossible si tous les cookies sont rejetés. L’accès à certains
services du site est alors impossible. Il s’agit de bien distinguer les différents cookies qui
s’installent sur l’ordinateur et de bien identifier celui qui est dédié au suivi et à l’analyse
de la navigation de l’internaute.
Les régies publicitaires qui développent les cookies publicitaires doivent donc garder cet
objectif : permettre une navigation lorsque les cookies traceurs sont désinstallés de
l’ordinateur.
Le Forum des droits sur l’internet recommande que l’ensemble des acteurs souhaitant
recueillir des informations de navigation à des fins de publicité comportementale mette
en place un système permettant à l’internaute de s’opposer à cette finalité.
68. Dans le cadre des réflexions menées par le Forum des droits sur l’internet sur la publicité ciblée, le
Syndicat des Régies Internet (SRI) a été consulté. En l’espèce, le SRI se prononce en faveur du principe de
l’opt-out.
30
Publicité ciblée sur internet
8 mars 2010
Le Forum des droits sur l’internet recommande, qu’en cas d’utilisation d’un système
d’opt-out, le dispositif de l’opt-out persistant lié à l’ordinateur, au navigateur ou tout
moyen comparable soit privilégié. Cela permettra ainsi que ladite fonction ne soit pas à
ré-activer à chaque nouvelle navigation.
2. – La mise en place d’un Network Advertising Initiative (NAI) à la
française
Comme cela a été indiqué précédemment, la publicité comportementale est rendue
possible grâce à l’installation sur l’ordinateur de l’internaute d’un cookie traceur. Ce
cookie traceur s’installe par défaut sur l’ordinateur.
Dans le cadre d’une initiative américaine dite « Network advertising initiative » (NAI)69,
certains grands acteurs70 se sont regroupés et ont mis en place un système commun
permettant de réaliser une opération commune dite d’opt-out sur les cookies utilisés pour
adresser ce type de publicité.
Ainsi, l’internaute qui consulte le site du NAI accède à une page du site qui recense tous
les cookies de publicité qui sont installés sur son ordinateur. Il peut choisir de faire un
opt-out général en sélectionnant tous les cookies ou de faire un opt-out partiel en ne
cochant que certains cookies.
Cette page mise en place par le NAI et établissant la liste des cookies des sociétés qui
sont adhérentes au NAI est un véritable tableau de bord pour l’internaute qui sélectionne
ou désélectionne tel ou tel cookie.
Il convient de préciser que, suivant le choix de l’internaute, cette procédure peut être
réalisée sur chaque site ou globalement et qu’en fonction des choix de l’internaute, celui-
ci pourra ou devra répéter périodiquement cette opération selon qu’il aura ou non purgé
ses cookies71.
Cette possibilité d’opt-out ne concerne pas tous les prestataires de services internet mais
les seuls adhérents de la « Network advertising initiative » qui sont anglo-saxon.
À l’heure actuelle, un internaute français peut utiliser le NAI américain mais les pages
sont toutes en anglais, ce qui n’en facilite pas la compréhension.
Par ailleurs, tous les acteurs de la publicité comportementale qui pratiquent cette forme
de publicité auprès des internautes français ne font pas partie du NAI. Enfin, il existe des
acteurs français importants en France qu’il convient de prendre en compte.
Tout ceci incite à la mise en place d’un NAI à la française72.
Dans un premier temps, les grands acteurs américains de la publicité comportementale,
qui sont adhérents au NAI américain et qui font de la publicité comportementale pour des
internautes français, pourraient mettre en ligne une traduction des pages existantes sur
le site du NAI américain.
Le NAI à la française susceptible de voir le jour prochainement pourrait reprendre cette
traduction et inclure des adhérents français spécialistes également de la publicité
comportementale.
69. http://www.networkadvertising.org/
70. Pour voir les cookies installés dans un répertoire de son ordinateur et les acteurs adhérents du NAI, il est
nécessaire de se rendre sur cette page : http://www.networkadvertising.org/managing/opt_out.asp
71. http://www.networkadvertising.org/managing/opt_out.asp#
72. Dans le cadre des réflexions menées par le Forum des droits sur l’internet sur la publicité ciblée, le
Syndicat des Régies Internet (SRI) a été consulté. En l’espèce, le SRI est favorable à cette
recommandation. Il précise que des initiatives sont en cours au niveau européen (IAB Europe). Un lien
vers le site développé par l’IAB pourrait être mis en place. L’idée est de conserver un système unique,
dupliqué dans les différentes langues (tous les acteurs depuis la même page proposent leur opt-out). 31
Publicité ciblée sur internet
8 mars 2010
Le Forum des droits sur l’internet recommande que, dans un premier temps, une
traduction des pages du Network advertising initiative (NAI) américain soit effectuée afin
de permettre aux internautes français de l’utiliser.
Le Forum des droits sur l’internet recommande que soit mis en place, par les
professionnels de la publicité comportementale, un service équivalent au NAI américain
et qui permette aux internautes français de recourir aux fonctionnalités d’opt-out
proposées.
Une réflexion sur la standardisation de l’élément visuel ou la zone cliquable pourra être
menée, dans le cadre de la mise en place de ce NAI, et pour assurer une visibilité
immédiate de la part de l’internaute.
En tout état de cause, le Forum des droits sur l’internet souligne la nécessité de
communiquer sur l’existence de ce service (existant et à venir) auprès des internautes
afin que ceux-ci l’utilisent.
3. – Le cas particulier du rapprochement de données à caractère
personnel et des informations comportementales liées à la
navigation
Le groupe de travail s’est interrogé sur le cas du rapprochement des données à caractère
personnel et des informations liées au comportement de navigation.
Au départ, l’utilisation des données à caractère personnel et leur finalité sont consenties
par l’internaute qui en est informé.
Mais la question du consentement de l’internaute se repose lorsque les informations sur
le comportement de navigation sont agrégées aux données à caractère personnel pour
être utilisées à des fins de publicité.
L’UDA73, dans sa communication du mois de juin 2009, a mis en exergue la question du
recoupement des données et a réaffirmé le respect de la loi de 1978 en cas de
recoupement des données personnelles : « en cas de recoupement des informations
recueillies à des fins de publicité ciblée avec des traitements de données personnelles, ou
en cas d’accès à des informations recoupées, toutes les obligations de la loi Informatique
et Libertés de 1978, et le cas échéant, celles de la loi pour la confiance dans l’économie
numérique de 2004, trouvent application (information de l’internaute de la création du
nouveau traitement et de la finalité de sa constitution, droit d’accès, de rectification et
d’opposition à l’exploitation de ses données personnelles, consentement sollicité avant
tout envoi de prospection commerciale par courrier électronique, télécopie ou automate
d’appel). »
Il ressort des discussions du groupe de travail que deux cas doivent être pris en compte
concernant le rapprochement des données à caractère personnel et des informations
liées à la navigation :
Au moment où l’internaute s’inscrit à un service, le rapprochement est prévu.
Au moment où l’internaute s’inscrit à un service, le rapprochement n’est pas
prévu. Mais par la suite, il y a rapprochement.
Concernant le premier cas, le fait de prévoir et d’indiquer à l’internaute, dans les
conditions générales d’utilisation du site, qu’un rapprochement entre ses données à
caractère personnel et les informations comportementales liées à sa navigation pourra
être effectué, est suffisant. Il serait souhaitable qu’un paragraphe soit spécialement
73. « Publicité ciblée sur internet : l’Union des annonceurs fait le point », juin 2009 :
http://www.uda.fr/fileadmin/documents_pdf/Droit_fiscalite/Actualites_juridiques/UDA_publicite_ciblee_jui
n2009.pdf
32
Publicité ciblée sur internet
8 mars 2010
prévu afin de mettre en exergue cette pratique et que l’internaute en soit pleinement
informé. La condition du consentement préalable peut alors être considérée comme
respectée.
Concernant le deuxième cas, les informations liées à la navigation « deviennent » des
données à caractère personnel si elles sont rapprochées d’informations
comportementales liées à la navigation. L’internaute n’a pas conscience, au départ,
lorsqu’il s’inscrit à un service, que les informations liées à la navigation vont revêtir ce
caractère personnel si elles sont rapprochées des données à caractère personnel qu’il a
lui-même indiqué lors de son abonnement au site. Le consentement de l’internaute doit
alors être spécifique et préalable à tout croisement de données pour lui permettre de
savoir qu’il y aura potentiellement un rapprochement74.
Le Forum des droits sur l’internet recommande que le professionnel susceptible d’opérer
un rapprochement entre des données à caractère personnel et des informations
comportementales liées à la navigation :
informe au préalable l’internaute de ce rapprochement et de sa finalité ;
offre simultanément à l’internaute le droit d’accepter ou de refuser l’exploitation des
données et informations rapprochées, et de l’informer des éventuelles conséquences
de sa décision sur l’accès au service en ligne qu’il souscrit.
C. – La protection accrue de l’internaute
1. – L’exclusion des données et informations sensibles
Selon l’article 8 de la loi du 6 janvier 1978, « il est interdit de collecter ou de traiter
des données à caractère personnel qui font apparaître, directement ou indirectement, les
origines raciales ou ethniques, les opinions politiques, philosophiques ou religieuses ou
l'appartenance syndicale des personnes, ou qui sont relatives à la santé ou à la vie
sexuelle de celles-ci. », exception faite du consentement exprès de la personne.75
Le principe posé par la loi de 1978 est donc que ces données à caractère personnel,
considérées comme « sensibles » ne peuvent être collectées, quelle que soit la
finalité de la collecte76.
Les membres du groupe de travail réaffirment donc, pour la publicité personnalisée,
leur volonté de se conformer au cadre légal et d’exclure ces données de celles utilisables.
Pour la publicité comportementale, aucune catégorie relative aux origines raciales ou
ethniques, aux opinions politiques, religieuses, à l’orientation sexuelle, etc. pouvant
résulter du comportement de navigation, ne devrait être créée.
Une autre catégorie d’information à exclure obtient le consensus auprès des membres du
groupe de travail. Il s’agit des informations qui relèvent du comportement et des
centres d’intérêt spécifiques des enfants de moins de 13 ans, c’est-à-dire des
74. Dans le cadre des réflexions menées par le Forum des droits sur l’internet sur la publicité ciblée, le
Syndicat des Régies Internet (SRI) a été consulté. En l’espèce, le SRI préconise une généralisation de
l’opt-out plutôt que l’opt-in. Le SRI suit en cela la position de l’IAB.
75. L’alinéa 2 de l’article 8 de la loi du 6 janvier 1978 complète l’alinéa 1 en précisant que : « Dans la mesure
où la finalité du traitement l’exige pour certaines catégories de données, ne sont pas soumis à l’interdiction
prévue au I :
1° Les traitements pour lesquels la personne concernée a donné son consentement exprès, sauf dans le
cas où la loi prévoit que l’interdiction visée au I ne peut être levée par le consentement de la personne
concernée […] ».
76. Dans le cadre des réflexions menées par le Forum des droits sur l’internet sur la publicité ciblée, le
Syndicat des Régies Internet (SRI) a été consulté. En l’espèce, le SRI est favorable à l’exclusion des
données sensibles et à la protection des internautes de moins de 13 ans. Il souligne que les données
collectées via les cookies qui correspondent à des centres d’intérêts ou des comportements d’internautes
de moins de 13 ans.
33
Publicité ciblée sur internet
8 mars 2010
jeunes pouvant pour certains ne pas avoir l’esprit critique, la maturité et le recul
suffisants pour juger du caractère promotionnel personnalisé d’une information.
Aucune catégorie relative à ces informations ne doit être créée pour le ciblage
comportemental. Certains professionnels de la publicité ont d’ores et déjà décidé de ne
pas les utiliser pour diffuser de la publicité comportementale. Cette pratique devrait être
généralisée auprès des professionnels.
Le Forum des droits sur l’internet recommande aux régies publicitaires de mettre en
avant, pour plus de transparence auprès de l’internaute, le fait que les données
« sensibles », telles que prévues par la loi du 6 janvier 1978, ne sont pas utilisées à des
fins de publicité ciblée.
Le Forum des droits sur l’internet recommande aux acteurs de la publicité qu’il ne soit
pas créé de catégories spécifiques relatives au comportement et aux centres d’intérêt des
enfants de moins de 13 ans. À ce titre, ces dernières ne devront donc alors pas être
utilisées à des fins de publicité ciblée.
2. – La question de la publicité ciblée à partir du contenu des courriers
électroniques
Le groupe de travail s’est interrogé sur la pratique qui consiste à utiliser le contenu des
messages électroniques des internautes pour leur adresser de la publicité ciblée77.
Lorsque l’internaute affiche un courriel (qu’il a reçu ou qu’il a envoyé), le contenu du
courrier électronique est scanné puis analysé par un robot et des publicités contextuelles
s’affichent ensuite, en lien avec certains des termes utilisés dans ledit courrier.
Cette pratique est dénoncée par certains acteurs économiques, par les représentants des
utilisateurs et de l’administration. Elle a fait l’objet d’un débat au sein du groupe de
travail.
Les membres du groupe de travail rappellent qu’il s’agit d’un courrier électronique, au
sens de la loi du 21 juin 2004 pour la confiance dans l’économie numérique (LCEN) 78. En
effet, lorsque que ce courrier électronique est adressé à une personne identifiée, ce qui
est le cas en l’espèce, il est assimilé à de la correspondance privée protégée par la loi,
sous peine de sanctions79.
77. La publicité contextuelle a été exclue du champ de réflexion du présent document. Toutefois, comme cela
a été indiqué précédemment, une exception est toutefois faite en ce qui concerne la publicité contextuelle
via les courriers électroniques car elle soulève des interrogations quant à la protection de la vie privée.
78. Loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique -
http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000801164
L’article 1 de la LCEN : « On entend par communication au public par voie électronique toute mise à
disposition du public ou de catégories de public, par un procédé de communication électronique, de signes
de signaux, d'écrits, d'images, de sons ou de messages de toute nature qui n'ont pas le caractère d'une
correspondance privée.
On entend par communication au public en ligne toute transmission, sur demande individuelle, de données
numériques n'ayant pas un caractère de correspondance privée, par un procédé de communication
électronique permettant un échange réciproque d'informations entre l'émetteur et le récepteur.
On entend par courrier électronique tout message, sous forme de texte, de voix, de son ou d'image,
envoyé par un réseau public de communication, stocké sur un serveur du réseau ou dans l'équipement
terminal du destinataire, jusqu'à ce que ce dernier le récupère. »
79. Article 226-15 du Code pénal : « Le fait, commis de mauvaise foi, d'ouvrir, de supprimer, de retarder ou
de détourner des correspondances arrivées ou non à destination et adressées à des tiers, ou d'en prendre
frauduleusement connaissance, est puni d'un an d'emprisonnement et de 45000 euros d'amende.
Est puni des mêmes peines le fait, commis de mauvaise foi, d'intercepter, de détourner, d'utiliser ou de
divulguer des correspondances émises, transmises ou reçues par la voie des télécommunications ou de
procéder à l'installation d'appareils conçus pour réaliser de telles interceptions. »
34
Publicité ciblée sur internet
8 mars 2010
La loi n° 91-646 du 10 juillet 1991 relative au secret des correspondances émises par la
voie des communications électroniques80 a vocation à garantir le secret des
correspondances privées émises par voies de télécommunication.
Par ailleurs, la circulaire du 17 janvier 198881 prise en application de l'article 43 de la loi
n° 86-1067 du 30 septembre 198682 relative à la liberté de communication, concernant le
régime déclaratif applicable à certains services de communication audiovisuelle aborde la
notion de correspondance privée protégée par la loi. Les tribunaux judiciaires sont
intervenus dans plusieurs affaires sur cette notion83.
Dans le même sens, la convention européenne de sauvegarde des Droits de l’Homme et
des Libertés Fondamentales, en son article 8, énonce qu’il y a un « droit au respect de sa
vie privée et familiale, de son domicile et de sa correspondance. ».
Dans la pratique, la technique employée pour afficher la publicité ciblée est identique à
celle utilisée pour les filtres anti-SPAM. Il s’agit d’un robot qui analyse le contenu du
courrier électronique.
Toutefois, une distinction doit être faite dans les finalités de cette technique. D’un côté, le
filtre anti-SPAM permet de veiller au bon fonctionnement du réseau internet, d’en éviter
la pollution et la saturation par la réception de messages non sollicités et, de l’autre côté,
il s’agit de vendre des publicités contextuelles.
D’une manière générale, même si elle ne s’est pas encore prononcée sur de telles
pratiques, la Cour européenne des Droits de l’Homme, dans d’autres affaires
d’interception de correspondances privées, recherche systématiquement la finalité et la
nécessité de l’ingérence qui porte atteinte au respect de cette correspondance et
s’interroge sur la légitimité du but poursuivi.
Cette publicité ciblée n’est pas comportementale ou personnalisée mais uniquement
contextuelle, puisque relative aux mots employés. Certains membres du groupe de
travail mettent en avant le fait qu’il s’agit d’un robot qui analyse le contenu du message,
sans intervention humaine, pour en déduire qu’aucune atteinte n’est portée à la
confidentialité des correspondances privées. Par ailleurs, les informations recueillies par
ce procédé ne sont pas conservées. Il s’agit d’un affichage en temps réel lorsque
l’internaute reçoit le message.
En outre, l’internaute, lorsqu’il crée son compte, est averti qu’une analyse automatique
de ses messages sera effectuée à des fins de publicité.
Une majorité de membres du groupe de travail insiste sur le fait que la publicité ciblée ne
doit pas porter atteinte à la confidentialité de la correspondance privée et s’interroge sur
la qualification juridique d’une telle pratique. Si une telle pratique peut être admise, elle
insiste alors pour que les publicités soient très encadrées. Elle regrette, en outre, le
manque de transparence et estime que l’internaute n’a pas pleinement conscience de
l’utilisation du contenu de ses messages à des fins de publicité contextuelle, la demande
préalable de consentement étant noyée parmi d’autres informations dans les conditions
générales d’abonnement. Cela ne lui permet pas d’opérer un choix éclairé.
80.
http://www.legifrance.gouv.fr/affichTexte.do;jsessionid=01E14C7B6B36598379693A3F1EDE9565.tpdjo08
v_2?cidTexte=LEGITEXT000006077781&dateTexte=20091216
81. Circulaire du 17 janvier 1988 prise en application de l'article 43 de la loi 86-1067 du 30 septembre 1986
relative à la liberté de communication, concernant le régime déclaratif applicable à certains services de
communication audiovisuelle
82. Article 43 de la loi du 30 septembre 1986 : « Toute forme de publicité accessible par un service de
communication audiovisuelle doit être clairement identifiée comme telle. Elle doit également permettre
d'identifier la personne pour le compte de laquelle elle est réalisée ».
83. TI Puteaux, 28 sept. 1999 et TGI Paris, 2 novembre 2000
(http://www.foruminternet.org/specialistes/veille-juridique/jurisprudence/tribunal-correctionnel-de-paris-
17e-chambre-2-novembre-2000.html).
35
Publicité ciblée sur internet
8 mars 2010
Ainsi, si elles devaient être admises, seules les publicités ne faisant l’objet d’aucune
restriction devraient pouvoir être adressées aux internautes dans ce cadre. En effet, à
titre de précaution et compte tenu de l’impossibilité de vérifier l’âge de l’envoyeur et celui
du destinataire d’un courrier électronique, les publicités prohibées pour les mineurs ou
soumises à restriction (boissons alcooliques, tabac, jeux d’argent et de hasard…) ne
devraient pas être adressées dans ce cadre. Il appartiendra aux régies publicitaires et
autres acteurs économiques concernés de faire preuve d’une grande vigilance.
L’internaute doit être pleinement conscient, lorsqu’il s’inscrit au service en ligne de
courrier électronique que le contenu de ses messages sera analysé à des fins de publicité
contextuelle. Le consentement de l’internaute doit être préalable et express lors de
l’inscription. Un consentement éclairé en la matière ainsi qu’une information claire et
aisément accessible sont indispensables. L’analyse automatique doit pouvoir être
explicitée à l’internaute par le biais d’un paragraphe spécifique ou de vidéos.
Le Forum des droits sur l’internet réaffirme le principe du respect du secret des
correspondances privées.
Le Forum des droits sur l’internet, sans se prononcer sur la légalité de la pratique de la
publicité contextuelle à partir des contenus des courriers électroniques, recommande que
l’internaute soit clairement informé de l’analyse automatique de ses courriers
électroniques à des fins de publicité contextuelle afin de donner un consentement éclairé
lorsqu’il s’inscrit à un service.
3. – La durée d’utilisation des informations recueillies à des fins de
publicité comportementale.
Tout d’abord, il faut distinguer la durée de conservation du cookie et la durée
d’utilisation des informations recueillies pour la publicité comportementale. Ces deux
notions ne sont pas identiques.
La durée de conservation du cookie est une notion plus large que la durée d’utilisation :
elle est relative au cookie d’une manière générale, qu’il collecte des informations à des
fins de publicité ciblée ou non ; elle est variable selon les acteurs économiques et fait
déjà l’objet de débats84. La Recommandation du Forum des droits sur l’internet n’a
pas vocation à se prononcer sur ce point.
Ce qui intéresse plus particulièrement les membres du groupe de travail est la
durée d’utilisation des informations recueillies à des fins de publicité
comportementale.
Les informations permettant la délivrance d’une publicité comportementale, de par leur
nature, doivent être actualisées régulièrement. Une information relative à un
comportement de navigation ancienne n’a pas de pertinence car les centres d’intérêt des
internautes évoluent.
Plus l’information est « fraîche », plus la publicité a des chances d’intéresser l’internaute.
La pratique n’est, pour le moment, pas homogène entre les acteurs. Aujourd’hui, le délai
d’utilisation des informations collectées à des fins de publicité comportementale
s’échelonne de 30 jours à près de 13 mois, en fonction des types de données.
Cette variabilité est liée au type de produit et au moment de la décision d’achat pour le
consommateur. En effet, différents facteurs, tels que le coût d’acquisition (immobilier,
automobiles…), la saisonnalité du produit (chocolats de pâques, Saint Valentin), la
84. À titre d'exemple, on notera la variabilité de la durée de conservation des informations de recherches,
dites « search logs », collectées par les principaux moteurs de recherche. Ainsi Microsoft conserve-t-il
pour une durée de 18 mois à l’heure actuelle et de 6 mois prochainement, Google pendant 9 mois et
Yahoo ! pendant 13 mois et bientôt 3 mois.
36
Publicité ciblée sur internet
8 mars 2010
période de l’année (Noël, vacances, soldes périodiques), sont autant d’éléments
déterminants pour la fixation d’une durée pertinente d’utilisation. De plus, il y a de
multiples méthodes employées pour cibler la publicité de manière comportementale, les
données utilisées, le niveau de granularité, l'architecture du système.
Si l’on peut expliquer la diversité des pratiques, cette situation n’est pas sans poser de
questions en termes de lisibilité de celles-ci et de confiance de l’utilisateur. Les
représentants des internautes s’interrogent notamment sur les garanties existantes
quant à l’effectivité de la suppression des informations recueillies, notamment si celles-ci
ne sont pas considérées comme des données à caractère personnel, relevant de la loi
Informatique et Libertés du 6 janvier 1978.
Certes, la recherche d’une pratique commune en matière de durée d’utilisation
nécessiterait une étude détaillée prenant un compte les facteurs multiples mentionnés ci-
dessus. Néanmoins, la recherche d’une homogénéisation en matière de durée d’utilisation
paraît souhaitable tant au regard des intérêts commerciaux de pertinence du ciblage que
du point de vue de la protection des internautes.
À ce titre, l’UDA, dans son état des lieux de juin 2009 sur la publicité ciblée85, constate
que, pour des raisons de sécurité, la durée de « conservation des données recueillies est
limitée à 60 jours, sauf exception ».
La FTC et l’IAB UK86, dans leur document sur la publicité comportementale ont également
abordé cette question, et sans imposer de délai spécifique, ils parlent de « délai
raisonnable ».
Compte tenu de ces différents éléments, le Forum des droits sur l’internet recommande
que les informations recueillies à des fins de publicité comportementale soient utilisées
pendant une période limitée et raisonnable.
En pratique, le Forum des droits sur l’internet estime que les acteurs pourraient observer
un délai de 60 jours87, sauf exceptions liées au cycle d’achat d’un produit88 ou à
une activité de l’internaute qui ne permettrait pas la mise à jour de la liste des centres
d’intérêt.
À défaut ou de manière complémentaire, il estime que les acteurs pourraient favoriser la
clarification de leurs pratiques en rendant publiques les durées relatives aux différentes
données utilisées à des fins de publicité comportementale.
Eu égard à l’importance stratégique et aux multiples discussions, tant nationales
qu’internationales, qui entourent la détermination des durées d’utilisation et de
conservation des données de tous types intéressant les internautes, la recommandation
mentionnée ci- dessus du Forum des droits sur l’internet doit être strictement entendue
comme visant les seules informations utilisées pour une finalité de publicité
comportementale, à l’exclusion de toute autre finalité.
85. Précité. p. 32 « Publicité ciblée sur internet : l’UDA fait le point » – juin 2009 :
http://www.uda.fr/fileadmin/documents_pdf/Droit_fiscalite/Actualites_juridiques/UDA_publicite_ciblee_jui
n2009.pdf
86. Précités p. 14 - La Federal Trade Commission (FTC) en février 2009 « Self-Regulatory Principles for online
behavorial advertising » (http://www.ftc.gov/os/2009/02/P085400behavadreport.pdf ),
L’IAB UK en juillet 2009 http://www.iab.net/media/file/ven-principles-07-01-09.pdf
87. L’AFA a souhaité émettre une position divergente sur cette recommandation relative à la durée d’utilisation
des informations recueillies à des fins de publicité comportementale (cf. p. 46 et 47).
88. Des produits, tels que les automobiles, ont des cycles d’achats plus longs.
37
Publicité ciblée sur internet
8 mars 2010
4. – L’anonymisation des informations recueillies à des fins de
publicité comportementale
L’anonymisation peut concerner les données à caractère personnel recueillies à des fins
de publicité personnalisée mais également des données spécifiques, comme par exemple,
l’adresse IP, utilisée également pour la publicité comportementale.
Pour l’anonymisation, il convient également de distinguer le périmètre des informations
liées à la navigation recueillies à des fins de publicité comportementale. En particulier,
pour les moteurs de recherche intégrant une régie publicitaire, certains utilisent les
informations d’utilisation de leur moteur de recherche pour associer des centres d’intérêt
aux cookies, tandis que d’autres ne le font pas.
Certains acteurs mettent en avant une anonymisation irréversible et totale. D’autres
n’utilisent pas les données de navigation pour faire de la publicité comportementale ; la
question de l’anonymisation ne se pose alors pas.
Il a pu être constaté une pratique différente entre les acteurs économiques : les données
ne sont pas toutes anonymisées.
En avril 2008, le G29 dans son rapport sur les moteurs de recherche plaidait pour la mise
en œuvre d’un anonymat irréversible89 :
« Anonymisation - S’il n’existe aucune raison légitime de traiter les données à caractère
personnel, ou de les utiliser au-delà des finalités légitimes bien déterminées, les
fournisseurs de moteurs de recherche doivent les effacer. Au lieu de les effacer, les
moteurs de recherche peuvent également rendre les données anonymes, mais cette
anonymisation doit être totalement irréversible. ».
Même lorsque l’adresse IP et le « cookie » sont remplacés par un identifiant unique, la
corrélation des requêtes de recherche stockées peut permettre d’identifier les individus.
C’est la raison pour laquelle, lorsque l’anonymisation est préférée à la suppression des
données, les méthodes utilisées devraient être étudiées soigneusement et exécutées
jusqu’au bout. Cela peut impliquer la suppression de portions de l’historique de
recherche, afin d’éviter la possibilité d’identification indirecte de l’utilisateur qui a effectué
les recherches en question.
L’anonymisation des données devrait exclure toute possibilité d’identifier les individus,
même en combinant les informations rendues anonymes détenues par la société de
moteur de recherche avec les informations détenues par une autre partie concernée (par
exemple, un fournisseur de services internet). À l’heure actuelle, certains fournisseurs de
moteurs de recherche tronquent les adresses IPv4 en supprimant l’octet final, conservant
ainsi effectivement des informations sur le fournisseur de services internet, ou le sous
réseau de l’utilisateur, mais sans identifier directement l’individu. L’activité pourrait ainsi
provenir de n’importe laquelle des 254 adresses IP. Cela pourrait ne pas toujours être
suffisant pour garantir l’anonymat. »
Plus récemment, le 23 octobre 2009, Alex Türk, en tant que Président du Groupe de
l’article 29, indiquait dans une lettre rendue publique adressée à des moteurs de
recherche que l’anonymisation devait être irréversible (« anonymisation must be done in
a completly irreversible way »)90.
Il apparaît qu’un système d’anonymisation totale et irréversible permettrait une meilleure
protection de l’internaute lorsqu’il s’agit d’informations à des fins de publicité ciblée.
89. Avis 1/2008 sur les aspects de la protection des données liés aux moteurs de recherche du 4 avril 2008 du
Groupe Article 29 : p. 19 du présent document :
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2008/wp148_fr.pdf
90. Lettre en date du 23 octobre 2009 adressée à Yahoo !, Google et Microsoft : ex :
http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/others/2009_10_23_letter_wp_microsoft.pdf
38
Publicité ciblée sur internet
8 mars 2010
Cependant, les processus d’anonymisation ne doivent pas empêcher les annonceurs de
procéder à l’ensemble des vérifications statistiques permettant de contrôler le respect
des engagements contractuels des prestataires de publicité ciblée auxquels ils font appel.
Le Forum des droits sur l’internet recommande que les informations recueillies à des fins
de publicité comportementale, c’est-à-dire les données relatives au comportement de
navigation, soient anonymisées, totalement et de manière irréversible, afin de permettre
une protection effective de la vie privée l’internaute.
Les processus d’anonymisation ne doivent pas empêcher les annonceurs de procéder à
l’ensemble des vérifications statistiques leur permettant de contrôler le respect des
engagements contractuels des prestataires de publicité ciblée auxquels ils font appel.
Le Forum invite les internautes à vérifier si les informations recueillies à des fins de
publicité ciblée (les requêtes effectuées via les moteurs de recherche) sont anonymisées.
D. – La protection du jeune public
En tant qu’utilisateur de l’ordinateur familial, le parent peut, au gré de sa navigation ou
encore des données à caractère personnel qu’il a renseignées lors de l’inscription à un
service en ligne, se voir adresser des publicités ciblées comportant des messages
inappropriés pour un mineur.
Pour éviter que l’enfant ne soit confronté à des publicités ciblées
(comportementale et personnalisée) qui ne lui sont pas destinées, le parent a
plusieurs solutions.
Pour la publicité comportementale, en tant que parent, il importe de savoir qu’un
cookie traceur est installé dans un répertoire du navigateur, la publicité comportementale
se fera en fonction de la navigation effectuée via le navigateur, sans distinction de la
personne (adulte ou enfant) qui se trouve effectivement derrière l’ordinateur. L’enfant
sera alors confronté à un ciblage publicitaire en rapport avec le comportement de
navigation de ses parents, y compris si ceux-ci visitent des sites destinés à un public
majeur.
Aussi, le parent peut supprimer régulièrement les cookies traceurs pour qu’il n’y ait
plus de publicité comportementale. Un cookie n'est pas « implémenté » sur l'ordinateur
d'un utilisateur, mais stocké dans un répertoire, et indissociable du navigateur91 qui a été
utilisé lorsqu'il a été créé. Il faudra donc supprimer régulièrement les cookies de chaque
navigateur car ces derniers se réinstallent régulièrement à chaque visite.
Pour éviter de devoir penser à supprimer régulièrement les cookies de publicité
comportementale, le parent peut utiliser un logiciel qui purge régulièrement les cookies
traceurs. Par ailleurs, il a la possibilité d’activer le système d’opt-out persistant92 mis
en place par certains professionnels de la publicité. Il sera nécessaire, par la suite, de
faire attention à ne pas supprimer le cookie d’opt-out.
Concernant la publicité personnalisée, délivrée en fonction des données à caractère
personnel du parent qui est connecté à un service internet, ce dernier ne doit pas oublier,
après chaque utilisation, de se déconnecter des services sur lesquels il est
identifié.
En tout état de cause, qu’il s’agisse de publicité personnalisée ou
comportementale, le parent devra créer des sessions différentes sur
l’ordinateur93.
91. Exemples de navigateurs : Internet explorer, Mozilla Firefox, Safari, etc.
92. Cf. p. 31 et suivantes du présent document.
93. Mise en place de sessions distinctes liées au système d’exploitation de l’ordinateur (ex. : windows XP, mac
OS X…).
39
Publicité ciblée sur internet
8 mars 2010
La mise en place de sessions distinctes (session parent/session enfant) sur le système
d’exploitation créé une frontière étanche puisque chaque session fait apparaître ses
propres cookies selon la navigation de l'utilisateur. Le cookie d’une session ne sera pas
utilisé pour une autre session.
La mise en place d’un logiciel de contrôle parental pourra venir compléter la
création de sessions distinctes sur le système d’exploitation de l’ordinateur.
Ces logiciels permettent, au sein d’un même navigateur, de créer plusieurs profils
distincts (enfant/adolescent/adulte) adaptés à l’âge de l’utilisateur. L’enfant ne pourra
pas avoir alors accès au contenu de la publicité ciblée inappropriée.
Pour une sécurité maximale, l’installation d’un logiciel de contrôle parental doit être
couplée à la mise en place de sessions distinctes sur le système d’exploitation de
l’ordinateur afin qu’il n’y ait aucun risque que les enfants soient confrontés à l’affichage
de publicités ciblées inappropriées liées au cookie d’un parent.
L’utilisation de ces différentes solutions, qui, comme tout outil, ont des limites dans leur
efficacité, ne dispense bien entendu pas les parents de leur rôle d’accompagnement et
d’éducation lors de la navigation de leurs enfants.
Le Forum des droits sur l’internet recommande aux parents d’être vigilants quant à
l’usage de l’ordinateur familial, par eux-mêmes et/ou par leurs enfants. Il les invite à
prendre en considération la possibilité qu’une publicité ciblée inappropriée aux mineurs
puisse être fournie en fonction de l’usage fait de l’ordinateur par les parents.
Le Forum recommande, en tout état de cause, la création de sessions distinctes (session
parent/session enfant) sur le système d’exploitation de l’ordinateur couplées à un logiciel
de contrôle parental. Les parents doivent, par ailleurs, se déconnecter systématiquement
de leur session pour permettre à l’enfant de naviguer sur internet avec sa propre session.
Si des sessions distinctes sur le système d’exploitation de l’ordinateur ne sont pas créées,
dans le cas précis de la publicité comportementale émanant de sites au contenu
inapproprié pour les mineurs, le Forum recommande aux parents la suppression régulière
des cookies de publicité comportementale ou l’activation des systèmes d’opt-out et, le
cas échéant, de système d’opt-out persistant.
Dans le cas précis de la publicité personnalisée, le Forum recommande aux parents de se
déconnecter des services qu’ils utilisent.
Lorsqu’un logiciel de contrôle parental est installé sur l’ordinateur, même si cela
n’empêche pas de voir s’afficher toute la publicité ciblée inappropriée, l’enfant ne pourra
toutefois pas avoir accès à son contenu en cliquant dessus. Il sera ainsi protégé.
E. – L’information et la pédagogie pour les utilisateurs
1. – Relayer l’information sur les sites des représentants des
utilisateurs et sur le site du Forum des droits sur l’internet
Les membres du groupe de travail reconnaissent que peu d’internautes disposent d’une
connaissance suffisante des techniques publicitaires et des outils qui en sont la base et
qui permettent le ciblage publicitaire pour avoir une position éclairée.
Ainsi, il paraît nécessaire que les internautes améliorent leur connaissance des
mécanismes de la publicité personnalisée afin qu’ils puissent choisir, en toute
connaissance de cause, de recevoir ou non ce type de publicité. À cet effet, il convient de
concevoir des outils pédagogiques destinés à lui apporter cette connaissance.
Les internautes indiquent que beaucoup de sites internet ne délivrent pas encore ces
informations, et que lorsqu’ils le font, ce n’est parfois ni suffisant, ni compréhensible.
40
Publicité ciblée sur internet
8 mars 2010
Certains internautes reconnaissent qu’ils n’ont pas toujours le réflexe de chercher sur le
site lesdites pages.
En tout état de cause, l’intervention de l’utilisateur sur la publicité ciblée au moyen des
outils qui peuvent lui être proposés restera sans réelle incidence sur la présence ou non
de publicités sur tel ou tel site mais influera sur la nature et le degré de
personnalisation des publicités présentes sur ces sites.
Il importe que les internautes puissent mieux appréhender ces questions. Cette
démarche suppose à la fois un engagement de transparence et de pédagogie à la charge
des prestataires de service internet et une démarche volontaire de l’internaute.
Cette démarche rendue possible par l’engagement du professionnel devra conduire
l’internaute à mieux appréhender la gestion des données à caractère personnel collectées
lors de l’ouverture d’un compte sur l’un ou l’autre service mais aussi sur les informations
autres qui peuvent être exploitées sans qu’il soit ici nécessaire de discuter, à nouveau, de
leur qualification juridique.
À titre d’exemple si le terme de cookie est probablement connu par une part importante
de la population, il ne semble pas que cette connaissance dépasse celle du terme et que
les applications, services ou fonctionnalités liées à l’utilisation des cookies restent
largement méconnues. Il n’est certes pas indispensable de comprendre ce qu’est un
cookie pour naviguer sur internet mais cette compréhension facilite largement l’utilisation
des fonctionnalités offertes par les services fournissant de la publicité. Il en va bien
évidemment de même pour l’adresse IP, des possibilités de suivi ou de géolocalisation
induites par l’exploitation d’une telle information.
Le Forum des droits sur l’internet recommande aux internautes d’entreprendre une
démarche responsable visant à s’informer sur les politiques de gestion des données
personnelles des services internet qu’ils utilisent et sur l’utilisation faite par ces services
des informations de toutes natures collectées lors de l’utilisation des services.
Le Forum des droits sur l’internet recommande aux associations d’utilisateurs et aux
représentants des consommateurs et des familles, à l’Institut national de la
consommation (INC) de sensibiliser l’ensemble des internautes à entreprendre la
démarche précitée et s’engage lui-même à participer à cette sensibilisation.
Le Forum des droits sur l’internet recommande aux acteurs du secteur de la publicité,
aux représentants des utilisateurs et aux pouvoirs publics d’élaborer en commun le
dispositif d’informations permettant la sensibilisation des internautes mentionnée à
l’aliéna précédent.
Au-delà de cette souhaitable implication de l’utilisateur dans la compréhension des
mécanismes de publicité, l’utilisation des fonctionnalités d’ores et déjà disponibles peut
faciliter la gestion des données détenues et utilisées par certains gestionnaires de
services.
À l’heure actuelle, certains acteurs économiques ont d’ailleurs mis en place des pages
explicatives à destination des internautes concernant les cookies à des fins publicitaires
ou encore des vidéos afin de les sensibiliser à cette pratique publicitaire.
2. – Mettre en œuvre des actions pédagogiques
Une pédagogie à l’initiative des pouvoirs publics et en collaboration avec l’ensemble des
acteurs concernés (représentants des utilisateurs et acteurs de la chaîne publicitaire)
pourrait voir le jour afin de sensibiliser les internautes, qu’ils soient adultes ou mineurs à
cette forme de publicité.
Ces outils pédagogiques pourraient être développés, par exemple, dans le cadre du
Centre de Liaison de l’Enseignement et des Médias d’Information (CLEMI)
41
Publicité ciblée sur internet
8 mars 2010
(http://www.clemi.org/). Le CLEMI est chargé de l’éducation aux médias dans l’ensemble
du système éducatif français depuis 1983. Il a pour mission d’apprendre aux élèves une
pratique citoyenne des médias. Cet objectif s’appuie sur des partenariats entre
enseignants et professionnels de l’information.
De leur côté, les associations représentant les utilisateurs proposent déjà depuis de
nombreuses années des formations et des actions de vulgarisation en direction des
familles, qui pourraient être renforcées et développées.
Le Forum des droits sur l’internet recommande qu’une réflexion soit conduite entre les
acteurs du secteur de la publicité, les représentants des utilisateurs et les pouvoirs
publics afin de créer des outils pédagogiques visant à éduquer et sensibiliser les parents
et les enfants à la publicité ciblée.
42
Publicité ciblée sur internet
8 mars 2010
POSITION MINORITAIRE DE LA CNAFC SUR LE PROJET
DE RECOMMANDATION DU FDI SUR LA PUBLICITÉ
CIBLÉE
Le 2 février 2010, la CNAFC (Confédération nationale des associations familiales
catholiques) a transmis sa position minoritaire sur le projet de recommandation
« Publicité ciblée ».
43
Publicité ciblée sur internet
8 mars 2010
44
Publicité ciblée sur internet
8 mars 2010
45
Publicité ciblée sur internet
8 mars 2010
POSITION DIVERGENTE DE L’AFA SUR LA DURÉE
D’UTILISATION DES INFORMATIONS RECUEILLIES À DES
FINS DE PUBLICITÉ COMPORTEMENTALE
L’Association des Fournisseurs d’Accès et de Services Internet (AFA), ainsi que le
Syndicat des Régies Internet (SRI) et l’Interactive Advertising Bureau (IAB France) sont
favorables à la recommandation du Forum des Droits sur l’Internet préconisant que les
acteurs de l’Internet utilisent les informations recueillies à des fins de publicité
comportementale pendant une période limitée et raisonnable. Cependant, l’AFA, le SRI et
l’IAB France s’inquiètent de la mention d’un chiffre précis lorsque le Forum estime que,
en pratique, « les acteurs pourraient observer un délai de 60 jours ».
L’AFA, le SRI et l’IAB France considèrent que cette recommandation ne correspond pas à
la réalité du marché en ce qu’elle ne reflète pas la diversité des pratiques marketings et
des technologies mises en œuvre par les différents acteurs de la publicité en ligne pour la
gestion des outils de publicité comportementale :
Le choix d’une durée spécifique fixée à 60 jours résulte uniquement « d’un
état des lieux » réalisé à la seule initiative de l’UDA. Il convient de relever que
dans le rapport de l’UDA,94 cette information est intégrée dans le paragraphe
relatif aux mesures de sécurité devant être mises place par le responsable de
traitement sans relation particulière avec les règles de protection de la vie
privée des internautes sur le réseau. Surtout, l’exhaustivité des recherches qui
auraient été conduites de même que la fiabilité et la pertinence du chiffre fixé
à 60 jours restent contestables et à tout le moins non certifiées. Par
conséquent, cette durée ne semble pas pouvoir être valablement considérée
comme une pratique professionnelle répandue et avérée, telle que la
recommandation du FDI semble le décrire.
Les pratiques d’utilisation des données sont aujourd’hui modulables en
fonction de la nature et des catégories de données de navigation qui sont
utilisées par les supports et les régies publicitaires, notamment dans le cadre
de l’étude des cycles d’achat. Ceci est la raison pour laquelle la
recommandation reconnaît des exceptions notamment liées au cycle d’achat
d’un produit ou à une activité de l’internaute qui ne permettrait pas la mise à
jour de la liste des centres d’intérêt. Or, le contenu et la portée de ces
exceptions ne sont pas définis ce qui risque de soulever de nombreuses
difficultés d’interprétation quant à l’effectivité du principe même d’une durée
d’utilisation limitée. Nous considérons alors qu’il n’est pas approprié de
mentionner un chiffre spécifique mais choisi arbitrairement et nécessitant de
prévoir des exceptions (entièrement justifiées) qui en limitent l’effectivité.
Enfin, il n’est pas démontré dans quelle mesure une durée d’utilisation limitée
à 60 jours assurerait une protection plus efficace des données des internautes.
En tout état de cause, cette durée de 60 jours ne résulte d’aucune disposition légale
spécifique.
Au regard de ce qui précède, l’AFA, le SRI et l’IAB France pensent que la
recommandation du Forum des Droits sur l’Internet préconisant que les acteurs de
l’internet pourraient observer une durée d’utilisation des informations recueillies à des
fins de publicité comportementale à une période de 60 jours ne correspond (i) ni aux
94. Rapport de l’UDA,
http://www.uda.fr/fileadmin/documents_pdf/Droit_fiscalite/Actualites_juridiques/UDA_publicite_ciblee_jui
n2009.pdf
46
Publicité ciblée sur internet
8 mars 2010
pratiques du marché de la publicité en ligne, (ii) ni à l’esprit des textes relatifs à la
protection des données personnelles des internautes.
Par conséquent l’AFA, le SRI et l’IAB France considèrent que cette durée de 60 jours ne
devrait pas être choisie comme référent dans la présente recommandation du Forum des
Droits de l’Internet et pointe les écueils d’interprétation qui pourraient résulter de cette
publication.
Dans ce contexte, l’AFA, le SRI et l’IAB France souhaitent privilégier le principe
d'une période d’utilisation limitée, raisonnable et proportionnée pour maintenir
une flexibilité sur les durées d’utilisation qui seront déterminées par les acteurs
de la publicité en ligne selon les pratiques liées à leurs activités propres.
A ce titre l’AFA, le SRI et l’IAB France suggèrent qu’au lieu de fixer une période
d’utilisation arbitraire, il soit procédé à la publication des pratiques en vigueur
afin de renforcer le niveau de transparence et d’information vis à vis des
internautes sur les outils de publicité comportementale mis en place par les
différents acteurs économiques. Dans ce contexte, l’AFA, le SRI et l’IAB France
soulignent et soutiennent la recommandation du Forum selon laquelle : « À
défaut ou de manière complémentaire, le Forum estime que les acteurs pourraient
favoriser la clarification de leurs pratiques en rendant publiques les durées relatives aux
différentes données utilisées à des fins de publicité comportementale. »
47
Publicité ciblée sur internet
8 mars 2010
ANNEXES
48
Publicité ciblée sur internet
8 mars 2010
ANNEXE 1 – GLOSSAIRE
Adresse IP (Internet Protocol)
Elle se compose d’une série de chiffres qui permettent d’individualiser un poste
informatique sur le réseau (mais parfois seulement un groupe de postes informatiques,
par exemple, en cas d’utilisation d’un routeur) et partant l’utilisateur ou les utilisateurs
de ce poste ou de ces postes sur le réseau. L’adresse IP peut varier ; elle peut être
dynamique ou fixe ou devoir être périodiquement rafraîchie et donc changée.
Contrôle parental
Le contrôle parental permet aux parents, grâce à un logiciel dédié, de restreindre l’accès
de leurs enfants à internet en le limitant à certaines catégories de contenus et en
bloquant l’accès à certains sites et services de l’internet. Certains logiciels permettent
également de paramétrer l’accès à internet (plages horaires, durée, applications…).
Display (Terminologie CESP95)
Publicité graphique sur internet.
Lien sponsorisé (ou lien commercial – Terminologie CESP)
Lien publicitaire correspondant à un achat de mot clé au coût par clic.
En tapant le mot clé dans le moteur de recherche, ce lien acheté apparaîtra en position
préférentielle par rapport aux liens naturels d'autres sites référencés.
Navigateur (définition France Terme96)
Dans un environnement de type internet, logiciel qui permet à l'utilisateur de rechercher
et de consulter des documents et d'exploiter les liens hypertextuels qu'ils comportent.
Publicité ciblée
Terme qui regroupe trois formes de publicité : contextuelle, personnalisée,
comportementale.
Publicité contextuelle (définition CNIL97)
La publicité contextuelle est une publicité qui est choisie en fonction du contenu immédiat
fourni à l’internaute. Ainsi, le produit ou le service vanté dans la publicité contextuelle est
choisi en fonction du contenu textuel de la page dans laquelle la publicité s’insère ou, s’il
s’agit d’un moteur de recherche, en fonction du mot clé que l’internaute a saisi pour sa
recherche. Cette donnée est parfois complétée par des informations de géo-localisation
déduites de l’adresse IP de l’internaute ou par la précédente requête dans le cas
particulier d’un moteur de recherche.
Publicité personnalisée (définition CNIL)
La publicité personnalisée est une publicité qui est choisie en fonction des
caractéristiques connues de l’internaute (âge, sexe, localisation, etc.) qu’il a lui-même
renseignées, par exemple en s’inscrivant à un service.
95. http://www.cesp.org / http://www.terminologietim.org/
96. France Terme : tous les termes publiés au Journal officiel par la Commission générale de terminologie et
de néologie : http://franceterme.culture.fr/FranceTerme/
97. http://www.cnil.fr/fileadmin/documents/La_CNIL/actualite/Publicite_Ciblee_rapport_VD.pdf
49
Publicité ciblée sur internet
8 mars 2010
Publicité comportementale (définition CNIL)
La publicité comportementale est une publicité qui est choisie en observant le
comportement de l’internaute à travers le temps. Ainsi, la publicité comportementale vise
à étudier les caractéristiques de l’internaute à travers ses actions (visites successives de
sites, interactions, mots clés, production de contenu en ligne, etc.) pour en déduire son
profil et lui proposer des publicités adaptées.
Système d’exploitation (définition France Terme)
Logiciel gérant un ordinateur, indépendant des programmes d'application mais
indispensable à leur mise en œuvre.
50
Publicité ciblée sur internet
8 mars 2010
ANNEXE 2 - CHIFFRES CLÉS DE LA PUBLICITÉ EN 2009
(Source France Pub Sept. 200998)
Évolutions du marché publicitaire français en 2009 (en Mds d’€)
98. http://www.francepub.fr/images/stories/File/Septembre%202009/OK/OK%20OK/OK%20OK%20OK/Franc
e%20pub%20Note%20Conjoncture%2009%202009%20Synthese.pdf et
http://www.francepub.fr/images/stories/File/PDF_Annonceurs_Consommateurs_2009/FrancePub_Annonce
urs_Mars_2009.pdf
51
Publicité ciblée sur internet
8 mars 2010
ANNEXE 3 – LES PRINCIPAUX MODES DE TARIFICATION
PUBLICITAIRE SUR INTERNET
La publicité sur internet peut être commercialisée selon différents modes de tarification.
Ces différents modes de tarification permettent de constituer une rémunération pour
l’administrateur du site internet et de mettre ainsi à disposition gratuitement des services
pour les internautes. La publicité est, en effet, le principal mode de financement de
l’internet.
Le CPM (coût pour mille)
La tarification dominante sur le marché de la publicité display est le tarif au CPM ou coût
pour mille. Le coût pour mille désigne le prix pour l’annonceur correspondant à 1 000
affichages sur les sites ou pages supports choisis. La publicité internet se distingue des
médias presse, TV et radio dans la mesure où la diffusion réelle correspond
théoriquement à l’unité prête à la quantité d’affichage achetée et souhaitée par
l’annonceur. Sur les autres médias l’achat ne peut se faire que sur la totalité de
l’audience du support et ne correspond qu’à une audience théorique qui peut varier
légèrement au moment où la publicité est diffusée.
L’achat au CPM peut se faire sur un réseau, un site ou une rubrique. Lorsque la publicité
tourne sur l’ensemble d’un site ou d’un réseau, on parle d’achat en rotation générale. La
publicité achetée au CPM ne s’affiche sur les supports choisis qu’en fonction des quantités
et des critères de ciblage retenus.
Selon l’étude annuelle SRI/Capgemini, l’achat au CPM représentait environ 80 % du
marché du display au premier semestre 2009.
Le CPC (coût par clic)
La tarification au CPC ou coût par clic consiste à vendre un espace publicitaire au clic
obtenu. Le prix du clic est fixé par la régie en fonction du type de campagne, des espaces
utilisés et des volumes achetés.
La tarification au CPC est le mode de tarification principal de ce qu’on appelle la
tarification à la performance.
Au premier semestre 2009, elle représentait 17 % des investissements display et était en
croissance contrairement à la facturation CPM.
Le CPA (coût par action) ou CPL (cost per lead)
La tarification au coût par action ou cost per lead est un autre mode de tarification à la
performance. La publicité est alors vendue sous formes d’actions constatées chez
l’annonceur (achats ou formulaire complétés). Elle représente pour l’instant une faible
part des investissements, car elle ne correspond pas à toutes les problématiques
publicitaires et pose pour le vendeur d’espaces publicitaires un problème de dépendance
et de contrôle de la capacité à transformer de l’annonceur sur son site.
La vente au forfait
Certains espaces sont parfois vendus au forfait jour. Il s’agit généralement de formats
nécessitant une mise en place technique spécifique et/ou de formats intrusifs. Les
formats commercialisés à la journée les plus courants sont les habillages de page, les
flash transparents et les interstitiels. Dans le cadre de ces forfaits, la création s’affiche au
moins une fois pour tous les visiteurs.
Certains sites commercialisent également des formats classiques en page d’accueil selon
un forfait jour.
52
Publicité ciblée sur internet
8 mars 2010
Les forfaits peuvent sur certains sites être vendus à la semaine ou au mois mais il s’agit
de pratiques rares qui concernent des sites à l’audience modeste et qui ont parfois été
établies dans les premiers temps pour ne pas désorienter les petits annonceurs habitués
aux achats sur les autres médias.
53
Publicité ciblée sur internet
8 mars 2010
ANNEXE 4
– LES
RÉFLEXIONS
ET
PUBLICATIONS
EXISTANTES EN MATIÈRE DE PUBLICITÉ CIBLÉE
À l’étranger
DG Sanco de la Commission européenne dans un document de travail de mars
2009 « Data collection, targeting and profiling of consumers for commercial
purposes
in
online
environments »
(http://europa.eu/rapid/pressReleasesAction.do?reference=SPEECH/09/156),
la Federal Trade Commission (FTC) en février 2009 « Self-Regulatory Principles
for
online
behavorial
advertising »
(http://www.ftc.gov/os/2009/02/P085400behavadreport.pdf ),
L’IAB UK en juillet 2009 http://www.iab.net/media/file/ven-principles-07-01-
09.pdf.
L’EACA (European association of communication agencies - Guidelines on targeted
online advertising and data protection 6 http://www.eaca.be/index.asp),
Le G29 qui a débuté une réflexion sur le sujet.
En France
La
CNIL
en
février
2009
« La
publicité
ciblée
en
ligne »
(http://www.cnil.fr/fileadmin/documents/La_CNIL/actualite/Publicite_Ciblee_rapp
ort_VD.pdf),
Le Sénat en mai 2009 dans un rapport intitulé « Respect de la vie privée à l’heure
des mémoires numériques » (http://www.senat.fr/rap/r08-441/r08-441-syn.pdf),
L’UDA en juin 2009 « Publicité ciblée sur internet – L’Union des annonceurs fait le
point »
(http://www.uda.fr/fileadmin/documents_pdf/Droit_fiscalite/Actualites_juridiques/
UDA_publicite_ciblee_juin2009.pdf),
Le CNC par le biais d’un groupe de travail sur les données personnelles
(http://www.minefi.gouv.fr/conseilnationalconsommation/docs/mandat_cnc_1711
08%20.pdf),
IAB
France
et
SNCD
-
Livre
blanc
du
19
octobre
2009
(http://www.iabfrance.com/?go=edito&eid=399),
L’UFMD : réflexions en cours menées par l’Union Française du marketing direct
(UFMD - http://www.ufmd.org/).
54
Publicité ciblée sur internet
8 mars 2010
ANNEXE 5 - LES CIBLAGES PUBLICITAIRES DE YAHOO !
FRANCE, GOOGLE FRANCE ET MICROSOFT FRANCE
Définitions CNIL des 3 formes de publicité ciblée
Publicité contextuelle
La publicité contextuelle est une publicité qui est choisie en fonction du contenu immédiat
fourni à l’internaute. Ainsi, le produit ou le service vanté dans la publicité contextuelle est
choisi en fonction du contenu textuel de la page dans laquelle la publicité s’insère ou, s’il
s’agit d’un moteur de recherche, en fonction du mot clé que l’internaute a saisi pour sa
recherche. Cette donnée est parfois complétée par des informations de géo-localisation
déduites de l’adresse IP de l’internaute ou par la précédente requête dans le cas
particulier d’un moteur de recherche.
Publicité personnalisée
La publicité personnalisée est une publicité qui est choisie en fonction des
caractéristiques connues de l’internaute (âge, sexe, localisation, etc.) qu’il a lui-même
renseignées, par exemple en s’inscrivant à un service.
Publicité comportementale
La publicité comportementale est une publicité qui est choisie en observant le
comportement de l’internaute à travers le temps. Ainsi, la publicité comportementale vise
à étudier les caractéristiques de l’internaute à travers ses actions (visites successives de
sites, interactions, mots clés, production de contenu en ligne, etc.) pour en déduire son
profil et lui proposer des publicités adaptées.
La publicité ciblée chez Yahoo ! France
Formes
de Publicité
Publicité
Publicité
publicité
contextuelle
personnalisée
comportementale
ciblée
Informations - Mots clés saisis -Informations
- Pages visitées.
utilisées
par
l’internaute entrées
par - Clics sur les liens et les
dans le moteur de l’internaute lors de publicités.
recherche.
l’inscription
au -
Historique
des
-
Thématique service : sexe et âge, requêtes.
des pages et localisation ou pays
des
rubriques indiqué
par - Adresse IP.
consultées
par l’utilisateur,
c’est-à-
l’internaute.
dire région, ville ou
adresse IP.
- Adresse IP.
NB : Autre forme de publicité -> la publicité en fonction de l’horaire (prise en compte
des heures de connexion liées aux pages visitées).
55
Publicité ciblée sur internet
8 mars 2010
La publicité ciblée chez Google France
Formes
de Publicité
Publicité
Publicité
publicité
contextuelle
personnalisée
comportementale
ciblée
Informations - Mots clés saisis - Non.
- Pages visitées Ex. :
utilisées
par
l’internaute
Interest based advertising.
dans le moteur de
- Adresse IP.
recherche.
Ex. :
Adwords, Gmail.
-
Thématique
des pages et
des
rubriques
consultées
par
l’internaute. Ex :
Adsense.
- Adresse IP.
La publicité ciblée chez Microsoft France
Formes
de Publicité
Publicité
Publicité
publicité
contextuelle
personnalisée
comportementale
ciblée
Informations - Mots clés saisis -
Informations - Pages visitées.
utilisées
par
l’internaute entrées
par -
Historique
des
dans le moteur de l’internaute lors de requêtes.
recherche.
son inscription aux - Adresse IP.
-
Thématique services
Microsoft :
des pages et sexe
et
âge,
des
rubriques localisation ou pays
consultées
par indiqué
par
l’internaute.
l’utilisateur,
c’est-à-
dire région, ville ou
- Adresse IP.
adresse IP.
Ex. : Live Messenger.
* Yahoo ! et Microsoft précisent que les informations demandées à l’internaute lors de
l’inscription à leurs services sont déclaratives et le plus souvent les internautes
communiquent de fausses informations, tant sur leur âge que sur leur nom. Ces
informations sont donc rarement pertinentes.
La publicité personnalisée est donc peu usitée.
56
Publicité ciblée sur internet
8 mars 2010
ANNEXE 6 – ENQUÊTE UNAF/CNAFC
L’UNAF et la CNAFC ont interrogé leurs internautes sur la publicité comportementale aux
mois de mai et juin 2009 (http://www.unaf.fr/spip.php?article8928).
240 personnes ont répondu (190 provenaient d’associations familiales/50 autres).
8 questions ont été posées.
Il ne s’agit pas d’un travail scientifique mais permet de faire remonter les interrogations
des internautes en matière de publicité comportementale.
La définition de la publicité comportementale fournie pour débuter le questionnaire était
la suivante :
« Le ciblage comportemental est une technique de publicité qui consiste à personnaliser
les contenus promotionnels, en fonction du comportement des internautes et de
l'identification de leurs centres d'intérêt. »
(Source : Wikipedia, Version du 23 avril 2009, 07h49)
1)
Avez-vous déjà été exposé à la publicité comportementale ? OUI NON
NSP (Ne se prononce pas)
•
Oui 60,83
•
Non 16,67
•
NSP 22,50
2)
Si oui, y avez-vous trouvé un intérêt ? Oui toujours, oui souvent, oui
rarement, non jamais
•
Oui, toujours
00,68
•
Oui, souvent
05,48
•
Oui, rarement
34,25
•
Non, jamais
59,59
3)
Etes-vous favorable à la publicité comportementale ? OUI NON NSP
•
Oui 07,50
•
Non
82,50
•
NSP
10,00
– Exposés
•
Oui 08,22
•
Non
83,56
•
NSP
08,22
4)
Selon vous, cette pratique doit-elle être encadrée ? OUI NON NSP
57
Publicité ciblée sur internet
8 mars 2010
•
Oui 92,92
•
Non 01,67
•
NSP 05,42
– Exposés
•
Oui 93,15
•
Non 02,74
•
NSP 04,11
5)
Si oui, de quelle manière ? Très souple, souple, stricte, très stricte ?
•
Très souple
00,00
•
Souple
13,00
•
Stricte
54,71
•
Très stricte 33,18
– Exposés
•
Très souple
00,00
•
Souple
13,97
•
Stricte
52,94
•
Très stricte
34,56
6)
Pensez-vous disposer de suffisamment d’informations sur la publicité
comportementale ? OUI NON NSP
•
Oui 12,92
•
Non 80,83
•
NSP 06,25
7)
Avez-vous des observations complémentaires concernant la publicité
comportementale ?
8)
Êtes-vous membre d’une association familiale ?
58
Publicité ciblée sur internet
8 mars 2010
ANNEXE 7 - COMPOSITION DU GROUPE DE TRAVAIL
Représentants des acteurs économiques :
Association des Agences-Conseils en Communication (AACC)
Laurence DUPONT
Responsable juridique
Association des fournisseurs d’accès et de services internet (AFA)
Carole GAY
Responsable des affaires juridiques et réglementaires
Cabinet Latournerie, Wolfrom & Associés
Marie-Hélène TONNELLIER
Avocat, associée
Charlotte BARRACO-DAVID
Avocat
Fédération du e-commerce et de la vente à distance (FEVAD)
Dominique DU CHÂTELIER
Secrétaire général
Google France
Olivier ESPER
Responsable des relations institutionnelles
Microsoft France
Jean GONIÉ
Responsable des Affaires Institutionnelles
59
Union des annonceurs (UDA)
Christine REICHENBACH
Directrice des affaires publiques et juridiques
Laura BOULET
Responsable juridique
Yahoo! France
Valérie CHAVANNE
Responsable juridique France
Thierry ROUZIÈS
Responsable juridique France
Représentants des utilisateurs :
Confédération nationale des associations familiales catholiques (CNAFC)
Pierre DE BERNIÈRES
Responsable mission Médias Enfance
Union nationale des associations familiales (UNAF)
Olivier GÉRARD
Coordonnateur Média-TIC-Université des Familles
Élizabeth BATON-HERVÉ
Chargée de mission
Experts :
Frédéric GRAS
Avocat
Marc-Antoine LEDIEU
Avocat et directeur associé, cabinet Vaughan
Observateurs des pouvoirs publics :
Institut national de la consommation (INC)
Patricia FOUCHER
Publicité ciblée sur internet
8 mars 2010
Juriste en charge des dossiers « commerce électronique » et « protection des
données personnelles »
Services du Premier ministre – Direction du Développement des Médias (DDM)
Corinne CREVOT
Chef du bureau du régime juridique de la presse écrite et des services
d'information
Ministère de l’Économie, des Finances et de l’Emploi
Annick CHASTANET-MARIE
Bureau Protection des consommateurs, Direction générale de la concurrence,
de la consommation et de la répression des fraudes (DGCCRF)
La coordination des travaux était assurée par Laure BAËTÉ, assistée de Laurent BAUP
et Stéphane GRÉGOIRE, juristes chargés de mission au Forum des droits sur l’internet.
61
Publicité ciblée sur internet
8 mars 2010
ANNEXE 8 – LISTE DES PERSONNES AUDITIONNÉES ET
CONSULTÉES
- Winston Maxwell (Avocat associé), Hogan & Harston.
- Jacques Henno (Journaliste).
- Gwendal Le Grand (chef de service de l’expertise informatique), Alain Pennetrat
(ingénieur expert), Leslie Basse (juriste) – CNIL.
- Lionel Thoumyre (Responsable des relations institutionnelles) – Myspace France.
- Valérie Chavanne (Responsable juridique) – Yahoo! France.
- Jean Gonié (Responsable des relations institutionnelles), Anne-Claude Poinso –
Microsoft France.
- Olivier Esper (Responsable des relations institutionnelles), Peter Fleisher
(Responsable de la protection des données personnelles) – Google France.
- Yan Claeyssen (Président) – ETO Digital.
- Marie Delamarche (Directrice déléguée) - Syndicat des Régies Internet (SRI).
62
Informations
Date : 01/02/2011
Langue : Français
Pages : 62
Consultations : 620
Commentaires : 0
Langue : Français
Pages : 62
Consultations : 620
Commentaires : 0
| Note : |
Résumé
Editeur : Le Forum des droits sur l'internet
Description : Publicité ciblée sur Internet. Document sous licence Creative Commons.
Tags : Publicité ciblée, internet
Sur le même thème
Vues : 519
De :
Julien37
Mise en oeuvre du droit de la concurrence
Pseudo : Julien37
Vues : 519
Date : 24/01/2011
Pages : 61
Langue : Français
Vues : 519
Date : 24/01/2011
Pages : 61
Langue : Français
Description :
Mise en uvre du droit de la concurrence.
Mise en uvre du droit de la concurrence.
Vues : 421
De :
Droits
Les responsabilités liées a l'activité des forums de discussion
Pseudo : Droits
Vues : 421
Date : 01/02/2011
Pages : 16
Langue : Français
Vues : 421
Date : 01/02/2011
Pages : 16
Langue : Français
Description :
Les responsabilites liees a l'activite des forums de discussion. Document sous licence Creative Commons.
Les responsabilites liees a l'activite des forums de discussion. Document sous licence Creative Commons.
Vues : 392
De :
Droits
Les Jeux en réseau massivement multi-joueurs
Pseudo : Droits
Vues : 392
Date : 01/02/2011
Pages : 34
Langue : Français
Vues : 392
Date : 01/02/2011
Pages : 34
Langue : Français
Description :
Les Jeux en réseau massivement multi-joueurs. Document sous licence Creative Commons.
Les Jeux en réseau massivement multi-joueurs. Document sous licence Creative Commons.
Vues : 300
De :
Droits
Publicité en ligne et Alcool
Pseudo : Droits
Vues : 300
Date : 01/02/2011
Pages : 26
Langue : Français
Vues : 300
Date : 01/02/2011
Pages : 26
Langue : Français
Description :
Publicité en ligne et Alcool. Document sous licence Creative Commons.
Publicité en ligne et Alcool. Document sous licence Creative Commons.
Vues : 247
De :
E-union
L’ABC du droit de l’Union européenne
Pseudo : E-union
Vues : 247
Date : 15/11/2010
Pages : 148
Langue : Français
Vues : 247
Date : 15/11/2010
Pages : 148
Langue : Français
Description :
L’ABC du droit de l’Union européenne. Ebook publié par la Commission européenne et disponible sur:...
L’ABC du droit de l’Union européenne. Ebook publié par la Commission européenne et disponible sur:...
Vues : 237
De :
Absolute
Voler des idées : Le plagiat
Pseudo : Absolute
Vues : 237
Date : 02/12/2010
Pages : 28
Langue : Français
Vues : 237
Date : 02/12/2010
Pages : 28
Langue : Français
Description :
Voler des idées : Le plagiat. Cours dispensé à Centrale Lille par Rémi Bachelet.
Voler des idées : Le plagiat. Cours dispensé à Centrale Lille par Rémi Bachelet.
Du même contributeur
Vues : 491
De :
Droits
Fiches pratiques Internet : Les droits des salariés
Pseudo : Droits
Vues : 491
Date : 01/02/2011
Pages : 8
Langue : Français
Vues : 491
Date : 01/02/2011
Pages : 8
Langue : Français
Description :
Fiches pratiques Internet : Les droits des salariés. Document sous licence Creative Commons.
Fiches pratiques Internet : Les droits des salariés. Document sous licence Creative Commons.
Vues : 421
De :
Droits
Les responsabilités liées a l'activité des forums de discussion
Pseudo : Droits
Vues : 421
Date : 01/02/2011
Pages : 16
Langue : Français
Vues : 421
Date : 01/02/2011
Pages : 16
Langue : Français
Description :
Les responsabilites liees a l'activite des forums de discussion. Document sous licence Creative Commons.
Les responsabilites liees a l'activite des forums de discussion. Document sous licence Creative Commons.
Vues : 392
De :
Droits
Les Jeux en réseau massivement multi-joueurs
Pseudo : Droits
Vues : 392
Date : 01/02/2011
Pages : 34
Langue : Français
Vues : 392
Date : 01/02/2011
Pages : 34
Langue : Français
Description :
Les Jeux en réseau massivement multi-joueurs. Document sous licence Creative Commons.
Les Jeux en réseau massivement multi-joueurs. Document sous licence Creative Commons.
Vues : 300
De :
Droits
Publicité en ligne et Alcool
Pseudo : Droits
Vues : 300
Date : 01/02/2011
Pages : 26
Langue : Français
Vues : 300
Date : 01/02/2011
Pages : 26
Langue : Français
Description :
Publicité en ligne et Alcool. Document sous licence Creative Commons.
Publicité en ligne et Alcool. Document sous licence Creative Commons.
Vues : 127
De :
Droits
Le guide des achats en ligne
Pseudo : Droits
Vues : 127
Date : 01/02/2011
Pages : 16
Langue : Français
Vues : 127
Date : 01/02/2011
Pages : 16
Langue : Français
Description :
Le guide des achats en ligne. Document sous licence Creative Commons.
Le guide des achats en ligne. Document sous licence Creative Commons.
Vues : 127
De :
Droits
Guide Internet pour les ados
Pseudo : Droits
Vues : 127
Date : 01/02/2011
Pages : 9
Langue : Français
Vues : 127
Date : 01/02/2011
Pages : 9
Langue : Français
Description :
Guide Internet pour les ados. Document sous licence Creative Commons.
Guide Internet pour les ados. Document sous licence Creative Commons.
Commentaires
| Aucun commentaire pour cette publication |
Ajouter un commentaire
Vous devez vous connecter ou vous inscrire pour ajouter un commentaire.
Cliquez ici pour vous inscrire.
 |
Vous devez vous connecter ou vous inscrire pour envoyer le document.
Cliquez ici pour vous inscrire.
|
Vous ne pouvez pas acheter de documents sur Needocs.
Vous pouvez vous référer aux conditions générales de vente et d'achat du portail pour connaître les modalités d'achat.
Vous pouvez vous référer aux conditions générales de vente et d'achat du portail pour connaître les modalités d'achat.
|