Cookies, Publicité, Cyberattaques, AIPD/PIA, l’année 2021 sera-t-elle l’"annus horribilis" pour les entreprises françaises en matière de protection des données personnelles ? Alors que les GAFA triomphent avec des résultats financiers records, Apple a annoncé lundi 26 avril 2021 avoir commencé à déployer une mise à jour de son système d’exploitation iOS avec de nouveaux contrôles de confidentialité doivent-elles pour autant baisser les bras ?

Bien au contraire, même si, après la contrainte règlementaire des cookies du 31 mars, cette nouvelle contrainte d’Apple renforce la pression sur les entreprises, qui doivent en plus finaliser leurs Analyses d’Impact relatives à la Protection de Données (AIPD/PIA) avant le 25 mai 2021, d’autant plus indispensable suite à l’accélération des Cyberattaques et l’incendie de l’hébergeur OVH, il n’est pas trop tard pour prendre ces sujets à bras le corps et transformer les contraintes d’aujourd’hui en succès de demain.

Après la contrainte règlementaire des cookies du 31 mars, cette nouvelle contrainte opérationnelle alourdit la pression sur les entreprises, qui doivent en plus finaliser leurs Analyses d’Impact relatives à la Protection de Données (PIA/ AIPD) avant le 25 mai 2021.

Ce qu’il faut retenir :
 Les entreprises vont être confrontées à la mise à jour par Apple de son système d’exploitation iOS avec de nouveaux contrôles de confidentialité conçus pour limiter les annonceurs numériques dans le suivi des utilisateurs d’iPhones.
 Apple a introduit des « étiquettes nutritionnelles » de confidentialité dans son App Store pour montrer aux utilisateurs quelles applications de données collectent.
 Pour les plus d’un milliard d’utilisateurs d’iPhones d’Apple, ce changement se traduira par une nouvelle notification pop-up dans certaines applications demandant leur permission de recueillir des données qui, selon Apple, pourraient être utilisées pour suivre leurs habitudes de navigation sur des applications et des sites Web tiers.
 Pour les entreprises, les règles pourraient apporter des changements sismiques sur le marché de la publicité mobile de près de 100 milliards de dollars si la plupart des utilisateurs d’iPhone refusent de permettre la collecte de données, bien que l’impact exact reste une question, selon les experts de l’industrie.
 L’impact sur le modèle économique de la mise aux normes des bandeaux de certains sites a déjà amené les sites édités par les groupes Prisma et Webedia à conditionner l’accès aux contenus de leur site au paiement de 2 euros pendant 1 mois, une offre qui laisse interpelle les utilisateurs, qui comprennent un peu mieux cette fameuse phrase "quand c’est gratuit, c’est que vous êtes le produit".
 Ce 3ème printemps s’annonçait déjà difficile, entre les cyber-attaques et la chute du marché publicitaire, il faudra en plus à compter du 25 mai pour toutes les entreprises françaises tenir à la disposition de la CNIL, les Analyses d’Impact relatives à la Protection des Données (AIPD/PIA) sur leurs principaux traitements.

Que fait apple ?

Apple exige désormais des développeurs d’applications qui veulent collecter un identifiant publicitaire numérique auprès des utilisateurs d’iPhone de montrer un pop-up disant que l’application « aimerait la permission de vous suivre à travers les applications et les sites Web appartenant à d’autres entreprises, » avec une explication du développeur de l’application sur les raisons pour lesquelles la permission est demandée. Certains analystes de la publicité mobile estiment que moins d’un utilisateur sur trois est susceptible d’accorder l’autorisation.

Les propriétaires d’iPhone ont également un menu de « suivi » dans les paramètres de confidentialité de leur téléphone où ils peuvent refuser le suivi de toutes les applications sur leur téléphone avec un seul commutateur, ou choisir parmi les applications pour accorder la permission de suivi.

Qu’est-ce que cela signifie pour les développeurs et les annonceurs ?

Les annonceurs et les développeurs d’applications qui vendent l’inventaire des annonces disent que si de nombreux utilisateurs d’iPhone optent pour le suivi, cela rendra la publicité moins efficace. L’industrie de la publicité a longtemps recueilli des données sur le comportement de navigation web des gens afin de diffuser des annonces, comme pour les vêtements ou les voitures, qui pourraient intéresser les utilisateurs.
Un bassin réduit de données utilisateur pourrait entraîner une baisse des ventes pour les marques et une baisse des revenus publicitaires pour les applications mobiles et les éditeurs. La décision d’Apple a creusé une fracture avec Facebook Inc, qui a déclaré que le changement nuira aux petites entreprises, car il nuira à leur capacité à trouver de façon rentable les clients locaux à cibler avec des publicités.

Pourquoi apple a-t-il fait le changement ?

Apple a déclaré qu’il voulait donner à ses clients plus de contrôle sur la question de savoir si les données recueillies sur eux par des applications est partagée avec des tiers.

Les applications peuvent-elles encore collecter des données sur les utilisateurs d’iphone ?

Oui, la collecte de données est toujours autorisée si elle est énoncée dans la politique de confidentialité d’une application. Les modifications n’affectent que si les développeurs d’applications partagent les données qu’ils recueillent avec des tiers, ou mélangent leurs données avec des données externes de tiers, pour aider à cibler les annonces. Apple a introduit des « étiquettes nutritionnelles » de confidentialité dans son App Store pour montrer aux utilisateurs quelles applications de données collectent.

Les applications iphone auront-elles encore des annonces ?

Oui, les utilisateurs d’iPhone peuvent toujours voir des annonces, même s’ils refusent le nouveau pop-up, tant que ces annonces sont ciblées en utilisant les données que le développeur de l’application a recueillies par lui-même. Par exemple, un réseau social comme Facebook Inc. peut toujours cibler des annonces basées sur des données de première partie telles que les groupes auxquels les utilisateurs se joignent ou les publications qu’ils aiment. Mais si Facebook veut cibler les annonces en fonction des données à partir de laquelle les utilisateurs de sites Web tiers ont utilisé leurs informations d’identification Facebook pour se connecter, il devra demander la permission.

Vers un accès payant aux contenus ?

L’impact sur le modèle économique de la mise aux normes des bandeaux de certains sites est tellement important que les sites édités par les groupes Prisma et Webedia ont décidé de conditionner l’accès aux contenu de leur site au paiement de 2 euros pendant 1 mois.
Pas sûr que cette réaction ait les faveurs des utilisateurs, mais l’objectif des éditeurs est de sensibiliser leurs utilisateurs à leur possible disparition. En effet, faute de commercialisation des données personnelles de leurs utilisateurs, ceux-ci pourraient être amenés à cesser leurs activités.
Cette décision intervient après qu’ils aient mesuré l’impact négatif de la mise en place des nouveaux bandeaux correspondants aux recommandations de la CNIL, que ces sites se devaient de modifier, la plupart d’entre eux ayant reçu un courrier d’observation de la CNIL en janvier 2021, les faisant apparaître parmi les 100 mauvais élèves identifiés par le LINC, l’observatoire de la CNIL et les mettant en demeure de se mettre en conformité avant poursuite.
Sur les réseaux sociaux, les premières réactions des utilisateurs sont de manière générale négatives, certains s’interrogeant sur la licéité d’une telle pratique.
Souvenons-nous qu’en 2019, la CNIL s’était opposée à de telles pratiques, estimant que l’internaute ne devait pas subir d’inconvénients en cas d’absence ou de retrait du consentement. Mais que par sa décision du 19 juin 2020, le Conseil d’État avait jugé que la CNIL ne pouvait interdire de manière générale et absolue les cookie walls.
En réponse, la CNIL a publié le 2 avril 2021 un texte au titre plein de promesses : « Les murs de traceurs (« cookie walls ») : une pratique licite ? ». Nouvelles règles pour les cookies et autres traceurs : bilan de l’accompagnement de la CNIL et actions à venir | CNIL.
Dans cette communication, elle précise que : « La pratique des cookie walls revient à conditionner l’accès à un site à l’acceptation du dépôt de traceurs. Dans l’attente d’une clarification pérenne sur cette question par le législateur européen, la CNIL appliquera les textes en vigueur, tels qu’éclairés par la jurisprudence, pour déterminer au cas par cas si le consentement des personnes est libre et si un cookie wall est licite ou non. Elle sera, dans ce cadre, très attentive à l’existence d’alternatives réelles et satisfaisantes, notamment fournies par le même éditeur, lorsque le refus des traceurs non nécessaires bloque l’accès au service proposé. »

Sur Jeuxvideo.com et AlloCiné notamment, Webedia justifie son choix en expliquant que le modèle économique de son site repose sur l’affichage de publicités personnalisées, permises grâce aux cookies qui suivent les internautes, et que la nouvelle réglementation ne lui permet plus de s’appuyer sur cette seule source de revenus.

Pourquoi faut-il en profiter pour finaliser ses analyses d’impact (AIPD/PIA) ?

L’AIPD en français, plus communément désigné par son abréviation anglaise, PIA (Privacy Impact Assessment) est un outil important pour la responsabilisation des organismes : elle les aide non seulement à construire des traitements de données respectueux de la vie privée, mais aussi à démontrer leur conformité au Règlement général sur la protection des données (RGPD). Elle est obligatoire pour les traitements susceptibles d’engendrer des risques élevés.
Bon nombre d’organisations ont trop longtemps exprimé leur réticence à se lancer dans cette aventure et le délai de clémence accordé par la CNIL jusqu’au 25 mai 2021 pour la réalisation du PIA n’est pas suffisant pour expliquer cette posture. Bon nombre d’organisations se sont essouflées sur le sujet et il n’est pas rare lors d’un de nos diagnostics RGPD de découvrir un PIA laissé en plan depuis de nombreux mois.
La difficulté rencontrée par nos interlocuteurs réside à la fois dans l’identification des traitements pour lesquels la réalisation d’un PIA est obligatoire et la méthode à utiliser pour le réaliser.

La CNIL liste des critères d’évaluation précis permettant de déterminer les traitements devant faire l’objet d’un PIA :
 Évaluation/scoring (y compris le profilage) ;
 Décision automatique avec effet légal ou similaire ;
 Surveillance systématique ;
 Collecte de données sensibles ;
 Collecte de données personnelles à large échelle ;
 Croisement de données ;
 Personnes vulnérables (patients, personnes âgées, enfants, etc.) ;
 Usage innovant (utilisation d’une nouvelle technologie) ;
 Exclusion du bénéfice d’un droit/contrat.

Les traitements qui remplissent au moins deux des critères ci-dessus doivent faire l’objet d‘une analyse d’impact.
C’est ensuite la démarche proprement dite qui en décourage plus d’un.

Le PIA se décompose en trois parties :
 Une description détaillée du traitement mis en œuvre, comprenant tant les aspects techniques qu’opérationnels ;
 L’évaluation, de nature plus juridique, de la nécessité et de la proportionnalité concernant les principes et droits fondamentaux (finalité, données et durées de conservation, information et droits des personnes, etc.) non négociables, qui sont fixés par la loi et doivent être respectés, quels que soient les risques ;
 L’étude, de nature plus technique, des risques sur la sécurité des données (confidentialité, intégrité et disponibilité) ainsi que leurs impacts potentiels sur la vie privée, qui permet de déterminer les mesures techniques et organisationnelles nécessaires pour protéger les données.

C’est là aussi où le bât blesse. Le PIA impose de disposer d’expertises juridiques et techniques (Data, sécurité), compétences qui ne sont pas toujours disponibles en interne. Le recours à l’extérieur devient inévitable. La création d’une entité spécialisée dans le PIA au sein de notre cabinet RGPD a connu un succès qui ne se dément pas. L’utilisation de l’outil de la CNIL, l’intégration de DPO certifiés, d’experts IT et de spécialistes de la sécurité permettent de réaliser un PIA en quelques jours.

L’échéance du 31 mars a permis d’apprécier la détermination de la CNIL, à faire respecter le RGPD après cette période de 3 ans de clémence. Elle permet de peser les risques réels à ne pas se soumettre à cette nouvelle échéance du 25 mai.

Philippe Gabillault Expert en protection des données - certifié IAPP CIPP/E Ancien Directeur Juridique Co-Fondateur de Citizen Shield

Comentaires:

• 
  Refuser les cookies doit être aussi simple que de les accepter , Philippe Gabillault, 25 mai 2021

  Pour les 3 ans du RGPD, la CNIL a mis en demeure ce 25 mai 2021 une vingtaine d’organismes. La Présidente de la CNIL a adressé le 18 mai 2021 une vingtaine de mises en demeure à des organismes ne permettant pas aux internautes de refuser les cookies aussi facilement que de les accepter. Parmi eux figurent des acteurs internationaux de l’économie numérique et plusieurs organismes publics. Ils ont un mois pour se mettre en conformité. Comme elle l’avait annoncé en avril 2021, la CNIL a initié des vérifications en ligne pour constater d’éventuels manquements en matière de cookies. Ces vérifications ont permis de constater qu’un certain nombre d’organismes ne permettaient toujours pas aux internautes de refuser les cookies aussi facilement que de les accepter. En conséquence, la Présidente de la CNIL a décidé de mettre en demeure une vingtaine d’organismes ayant des pratiques contraires à la législation sur les cookies. Ces décisions s’inscrivent dans le cadre de la stratégie globale de mise en conformité initiée par la CNIL depuis 2 ans et qui s’est concrétisée, le 1er octobre 2020, par l’adoption des lignes directrices et d’une recommandation. Les organismes visés par ces mises en demeure sont principalement d’importantes sociétés de l’économie numérique. Elles ont un mois pour se mettre en conformité et encourent des sanctions pécuniaires pouvant aller jusqu’à 2% de leur chiffre d’affaires si ce délai n’est pas respecté. Parmi les organismes mis en demeure figurent également des acteurs publics. Il s’agit de la première campagne de vérifications et de mesures correctrices depuis l’expiration du délai accordé aux acteurs pour mettre en conformité leurs sites et applications mobiles aux nouvelles règles en matière de cookies. Des actions similaires seront conduites au cours des prochains mois, ce sujet étant l’une des thématiques prioritaires de contrôles de la CNIL en 2021. Pour rappel, en décembre 2020, la formation restreinte de la CNIL a infligé aux sociétés Google et Amazon des amendes de 100 millions d’euros et 35 millions d’euros pour leurs pratiques en matière de cookies. Dans le cadre de ces décisions, adoptées avant la fin de la période d’adaptation, la conformité des bandeaux d’information aux nouvelles règles en matière de cookies n’a pas été examinée. Pour autant, lors de l’instruction des injonctions prises par la formation restreinte, il a notamment été rappelé à ces sociétés la nécessité de rendre aussi facile le refus de cookies que leur acceptation, ce dont la CNIL s’assurera.