Village de la Justice www.village-justice.com

Peut-on concilier la protection de la vie privée et l’« analytics » ? Par Cody Olson, Juriste.
Parution : lundi 21 mars 2016
Adresse de l'article original :
https://www.village-justice.com/articles/Peut-concilier-protection-vie,21746.html
Reproduction interdite sans autorisation de l'auteur.

Le secteur de la publicité et du marketing, en constante évolution, est toujours en quête d’innovation pour améliorer sa connaissance des consommateurs afin de permettre à leurs clients de personnaliser leurs offres de produits et services, l’objectif étant de générer plus de ventes en s’assurant d’un retour sur investissement optimum.
Pour cela, les sociétés d’analytics suivent les comportements des personnes, en ligne et hors ligne, les ciblent, les profilent et vont jusqu’à les manipuler, parfois à leur insu.

Face aux risques de dérives, la protection de données personnelles offre un cadre juridique protecteur afin de garantir le respect de la vie privée, des droits et libertés fondamentaux des personnes concernées.
Ce difficile équilibre entre innovation, économie de marché et respect de la vie privée, ne saurait exister sans l’implication de l’ensemble des acteurs concernés.

L’inflation technologique des outils d’analyse et de publicité

Ces outils ne sont plus réservés aux grandes entreprises et aux régies publicitaires. Nous connaissons tous les cookies. Quasiment toutes les entreprises ayant un site internet, se servent de solutions d’analyse telles que Google Analytics pour mesurer l’audience de leur site et de leurs campagnes publicitaires.
Google propose désormais un logiciel [1] qui permet d’interconnecter les données afin de « mieux comprendre le parcours de l’utilisateur ». Un cas d’étude mis en avant par Google témoigne de la possibilité de comprendre le comportement d’un utilisateur dans les moindres détails afin d’améliorer le ciblage d’une campagne publicitaire en fonction de l’origine ethnique ou le sexe [2] de la personne.
Certains outils d’analyse vont plus loin dans la connaissance des utilisateurs. Inspectlet, par exemple, permet d’enregistrer une vidéo du parcours de l’utilisateur sur le site [3]. Les informations sont entrées par les utilisateurs dans des zones de texte sensible et non-sensible [4].

Ces outils ne sont d’ailleurs plus réservés aux entreprises commerciales. L’analytics des comportements humains est aussi en pleine expansion dans le secteur des ressources humaines afin de mieux comprendre les besoins, les attitudes et la productivité des employées [5]. Ted Cruz—candidat pour les primaires des républicains—a fait appel à Cambridge Analytica qui crée un profil psychographique de l’individu et utilise le Big Data pour collecter plus de 5 000 données pour chaque personne ciblée [6]. Cambridge Analytica vise à créer un avenir où chacun pourra avoir une relation intime et personnelle avec ses marques et causes préférées en permettant aux organisations de connaitre ce qui motive le comportement de chacune des personnes.

Un cadre juridique basé sur le consentement préalable des utilisateurs.

A la suite de la modification de l’article 5(3) de la directive européenne 2002/58/CE dite « E-Privacy Directive » par la directive 2009/136/CE, le législateur européen a rappelé aux entreprises utilisant les cookies, terme devant s’entendre dans une acception très large, que le consentement préalable de la personne concernée était un préalable essentiel à la protection de la vie privée. C’est aussi la position des autorités européennes de protection des donnée, la CNIL [7]. Le consentement se définit par une manifestation de volonté, il doit être libre, spécifique et informé.
Les modalités d’information de la personne sont libres. En pratique, sur les sites internet, l’information se matérialise sous la forme d’un bandeau [8]. En un mot, il faut que l’utilisateur sache et comprenne comment et pour quelles finalités son parcours sur un site pourra être utilisé et qu’il soit libre de décider d’y consentir.

Un cadre pour protéger les droits et libertés des personnes

Les cookies permettent de suivre et de profiler les personnes ; ces pratiques ne sont pas sans risques pour les personnes et notamment les plus vulnérables. Elles peuvent aussi donner lieu à des pratiques discriminatoires. Ainsi en 2012, le site de voyages Orbitz à ciblé les utilisateurs de Mac afin de leur proposer des prix plus élevés [9].
Le suivi en ligne des personnes à des fins de profilage peut indirectement aboutir au traitement de données sensibles. Ce type de traitement sera clairement interdit dès l’entrée en vigueur du Règlement général sur la protection des données [10].
Mais la question prend une importance nouvelle aujourd’hui avec le développement de solutions de « tracking » en tout genre, qui utilisent les divers capteurs présents dans le mobile de la personne ou qui accèdent aux éléments contenus dans le mobile de l’individu et permettant de le singulariser via la collecte d’un identifiant unique. SilverPush, une société indienne utilise par exemple le microphone du smartphone pour collecter les logs relatifs au programme TV regardé par la personne qui est devant son écran [11].

L’innovation doit être « User centric »

Est-ce que l’utilisateur est mieux informé depuis l’introduction des bandeaux cookies sur les sites internet ? Est-ce qu’il imagine l’existence et la capacité d’outils comme Inspectlet ou Analytics 360 ? Est-il d’accord avec le traitement qui est fait des données le concernant ?

L’utilisateur devrait être au cœur de la conception de ces solutions d’analyse afin que l’ « Opt-In » traduise une réelle volonté de sa part d’être suivi et profilé.
Par exemple, le bandeau d’information doit être ergonomique [12]. En un clic et en restant sur la même page sans bloquer le contenu, l’utilisateur peut décider de donner un consentement libre et éclairé pour s’engager dans un processus d’achat.
Les acteurs du marketing et de la publicité doivent intégrer les principes de protection des données dès la conception des solutions et par défaut et replacer l’utilisateur au centre du processus de décision.

Certains acteurs se sont lancés sur ce marché de la protection de la vie privée et ont vu leurs solutions d’analytics reconnues par la CNIL [13]. AT Internet (Xiti) et Piwik proposent des outils qui peuvent être paramétrés en amont afin d’informer l’utilisateur avant le dépôt des cookies, de lui permettre de s’y opposer, d’anonymiser l’adresse IP et de restreindre la durée de conservation à 13 mois [14].
Ce type de démarche visant à concilier l’analyse des données et la protection de la vie privée devrait se multiplier avec le nouveau Règlement européen qui imposera une « protection des données dès la conception » [15].

Cody Olson Juriste CIL Consulting

[1Analytics 360 Suite qui regroupe Attribution 360, Analytics 360 et Tag Manager 360.

[3Inspectlet, http://www.inspectlet.com/ .

[4Les zones de texte non-sensible peuvent comporter le nom, l’adresse, le téléphone, le texte libre, etc. Zones de texte sensible peuvent comporter le numéro de carte bancaire, les données biomédicales etc. Les informations sensibles sont « masquées » dans les enregistrements.

[5Clancy, Heather, « People analytics can capture rich feedback. Are managers ready ? », 14 mai 2015, Fortune, http://fortune.com/2015/05/14/culture-amp-people-analytics/

[6Kornwitz, Jason, “3Q’s : How politicians are using your data to influence your vote”, Mars 1 2016, http://www.northeastern.edu/news/2016/03/3qs-how-politicians-are-using-your-data-to-influence-your-vote/

[7G29, avis 15/2011 sur le consentement (WP187), Document de travail 02/2013 relatif aux lignes directrices sur l’obtention du consentement pour les cookies (WP208), avis 04/2012 relatif aux exemptions pour certains cookies (WP194) ; CNIL, Recommandation sur les cookies du 16 décembre 2013.

[8CNIL, Exemple de bandeau cookies, 30 décembre 2015, https://www.cnil.fr/fr/exemple-de-bandeau-cookie .

[9D. Mattioli, On Orbitz Mac Users Steered to Pricer Hotels. The Wall Street Journal, 2012.

[10Cf. Considérants 58 et 71 et l’article 20(3) du Règlement général sur al protection des données, n° 15321/15, suite à l’accord général en le Parlement européen et le Conseil.

[12Voir par exemple le bandeau du site www.kinder.fr .

[13CNIL, Solutions pour la mesure d’audience, https://www.cnil.fr/fr/solutions-pour-la-mesure-daudience .

[15Data Protection by Design ou Privacy ByDesign.