Mobile : géolocalisation publicitaire et consentement
Avec quatre mises en demeure publiées entre juin et novembre sur la géolocalisation publicitaire, la Commission nationale de l'informatique et des libertés ( Cnil) « feuilletonne » sa doctrine en la matière. Or le RGPD européen n'exige pas toujours le con
La Cnil a d’abord publié deux mises en demeure à l’encontre des sociétés Fidzup et Teemo pour défaut de recueil du consentement à la collecte et au traitement de données de géolocalisation à des fins publicitaires. Dès le 3 octobre cependant, elle mettait fin à la mise en demeure de la société Teemo ( 1) en décrivant précisément les mesures nouvelles prises par cette dernière pour se conformer à ses injonctions publiques ( 2). Sans discussion.
Réguler par les médias ou par le droit ?
Puis le 23 octobre, Singlespot ( 3) subissait à son tour la même mise au pilori de la part de la Cnil ( 4), et le 9 novembre 2018 ( 5), la société Vectaury était elle aussi épinglée ( 6) pour non recueil du consentement à la géolocalisation publicitaire. Jusqu’à présent, la Cnil publiait rarement ses mises en demeure – de quatre à quinze par an au cours des six dernières années – mais la série de publications qui s’est ouverte depuis l’entrée en vigueur du règlement général sur la protection des données personnelles ( RGPD) le 25 mai 2018 semble marquer une nouvelle méthode de régulation. Celle- ci repose davantage sur la vindicte médiatique que sur le débat contradictoire, pourtant essentiel à un procès équitable. Elle incarne le souhait de la Cnil de montrer l’exemple ( et les dents), tout en laissant aux sociétés intimées la possibilité de se conformer dans le délai qui leur est imparti, sans encourir d’autre sanction que médiatique. Il faut dire qu’une simple mise en demeure suffit pour la Cnil obtienne tout ce qu’elle désire…, tant le niveau des amendes que peut désormais prononcer la Cnil depuis la date d’entrée en application du RGPD est effrayant ( jusqu’à 4 % du chiffre d’affaires mondial consolidé). Au risque d’ancrer une doctrine sans le moindre débat juridique et avec des raisonnements discutables sur le fond. Discutons- en, donc. • A chaque finalité son consentement ? La Cnil menace de sanctionner l’absence de consentement des personnes concernées au traitement de leurs données personnelles pour recevoir de la publicité ciblée sur leur téléphone mobile. Pour ce faire, elle se fonde sur un élément de doctrine non expliqué, qui pourrait se résumer à la formule très simple – et très fausse : « Une finalité, un consentement » . Selon cette doctrine, toute personne ayant consenti à la géolocalisation devrait par ailleurs avoir la possibilité de consentir – ou de ne pas consentir – séparément et pour chaque finalité distincte, à chacune des utilisations de sa géolocalisation : contractuelle, publicitaire, etc. La définition du consentement stabilisée par la directive européenne « Protection des données personnelles » de 1995 ( 95/ 46) n’a pas été modifiée par les quatre années d’élaboration du RGPD. Le consentement se définit comme toute manifestation de volonté univoque, libre, explicite, informée et spécifique, par laquelle une personne concernée peut accepter par une déclaration ou un acte positif clair le traitement de ses données personnelles ( 7), notamment le premier d’entre eux : la collecte de données. Selon les récentes lignes directrices des régulateurs européens ( 8), le consentement est absolument discrétionnaire. Lorsqu’il est requis, il doit être spécifique à chaque finalité. Il ne peut être soumis à aucune condition, avantage ou détriment. Il est rétractable à l’envi ; il est d’une durée de validité limitée et il doit être renouvelé. Il est indépendant de l’accès à un service, quel que soit le modèle économique en jeu. Ainsi, lorsque le consentement est requis, le traitement d’une donnée est interdit tant qu’un consentement valable n’a pas été exprimé sur la base d’une information complète fournie aux personnes, dénuée de toute manipulation ou omission susceptible de les influencer dans leur libre choix.
Des cookies à la géolocalisation publicitaire
Le consentement est donc un régime d’interdiction a priori, qui déplace l’action de réguler sur les personnes. Ce véritable « droit au caprice » , qui place la volonté libre de l’individu au- dessus de toute autre considération, ne peut constituer le fondement d’aucun service ( le consentement se distingue de l’adhésion à un contrat) ni d’aucun modèle économique. En effet, quelqu’un at- il déjà donné pareil consentement à l’usage publicitaire de la géolocalisation, sans contrepartie, à un tiers qui
ne lui promet rien ? Créé en France en 1978 pour interdire le traitement des données sensibles relatives aux opinions politiques, philosophiques, religieuses ou syndicales, ce consentement- là, absolu et sanctifié, n’a jamais été « lâché seul » dans la sphère économique sans coexister avec des alternatives tout autant protectrices de l’individu ( et malgré lui) et économiquement compatibles. • Géolocalisation, consentement et information. Le consentement à la collecte de données de géolocalisation est exigé par la directive européenne « eprivacy » ( 9) de 2002 ( 2002/ 58), transposée en droit français dans le code des postes et des télécommunications électroniques ( 10). Il est d’une nature similaire à l’exigence du consentement à la collecte des données sensibles ( 11) ou du consentement au dépôt ou à la lecture de « cookies » ou de traceurs en ligne ( 12).
Des raccourcis trompeurs et dangereux ?
La Cnil a mis en demeure les entreprises concernées au motif du défaut d’information préalable relatif à l’usage des données de géolocalisation à des fins publicitaires. Cette information est requise, quelle que soit la base légale sur laquelle repose la ou les finalité( s) de collecte ou d’utilisation des données. Elle peut, juridiquement, être concomitante à la collecte de la donnée de géolocalisation, mais elle doit en tout état de cause être préalable à l’usage publicitaire d’une donnée de géolocalisation ( 13). Le RGPD n’exige pas toujours le consentement ; il exige une base légale. C’est la faculté de collecter la donnée – de géolocalisation, ou sensible ou de l’identifiant d’un terminal – qui est soumise au consentement et non pas l’usage ultérieur qui sera fait de cette donnée. Cet usage ultérieur peut être justifié par une nécessité technique, servicielle ou contractuelle, ou une faculté publicitaire ou une obligation légale. Cet usage ultérieur doit donc faire l’objet d’une information des personnes – dans tous les cas. Toutefois, chacun de ces usages postérieurs n’est pas forcément soumis au consentement des personnes. Tout dépendra de la base légale qui fonde chacun de ces usages ultérieurs. En effet, la règle posée par le RGPD n’est pas « une finalité = un consentement » , mais « une finalité = une base légale » . Or, le consentement n’est qu’une des six bases légales retenues par le RGPD et il n’a pas de rang prioritaire sur les autres. Tout dépend de la finalité d’utilisation concernée. La Cnil ne justifie pas en quoi l’utilisation publicitaire des données de géolocalisation collectées avec le consentement des personnes ( 14), serait- elle- même soumise à un consentement spécifique. En effet, lorsque la finalité d’utilisation d’une donnée est une géolocalisation servicielle, c’est- à- dire strictement nécessaire à la fourniture d’un service ou souscrit par la personne, le consentement discrétionnaire des personnes s’effacera au profit de la nécessité pour l’entreprise d’exécuter un contrat d’adhésion souscrit par les personnes et qui implique l’utilisation « servicielle » – contractuelle – de la donnée de géolocalisation ( 15). Tel est le cas pour l’utilisateur d’une application de cartographie routière de type Waze, Plans, Mappy ou Google Maps. Lorsque la collecte des données de géolocalisation est nécessaire à la sauvegarde de la vie humaine ( 16), le consentement sera éca r t é e t l’utilisation d’une donnée de géolocalisation par les services d’urgence ( Police Secours, SAMU, Pompiers) leur permet d’obtenir des opérateurs télécoms la géolocalisation de l’appel d’une personne en détresse. Enfin, lorsque la géolocalisation est nécessaire à l’exécution d’une mission de service public, telle la collecte des points et horaires d’entrée et de sortie d’une section d’autoroute à péage, l’absence du recueil du consentement, matériellement impossible, n’empêchera pas les sociétés d’exploitation d’autoroute de recueillir les données de géolocalisation de leurs usagers. Concernant la géolocalisation destinée à déclencher l’affichage publicitaire sur mobile, la base légale ne pourra être que l’intérêt légitime prévu par le RGPD et explicitement décrit à son considérant 47. D’ailleurs, quel utilisateur averti serait- il assez « original » pour désirer librement et sans la moindre incitation faire l’objet de publicités géociblées ? Si l’usage publicitaire d’une donnée n’est possible qu’à l’égard des personnes qui y consentent librement, cela signifie en droit et en pratique que l’usage publicitaire est interdit a priori par le RGPD. Or, c’est tout le contraire qui a été arbitré dans le RGPD, malgré la réticence à cet égard des régulateurs nationaux tels que la Cnil. En effe t , le RGPD requiert la démonstration d’un équilibre entre les garanties offertes aux personnes en contrepartie de l’intérêt commercial pour l’entreprise exploitant les données ( 17). La personne ayant téléchargé une application et ayant expressément consenti à la collecte de ses données de géolocalisation, doit être informée que ses données peuvent être utilisées à des fins de publicité et elle doit pouvoir… s’y opposer, dès lors que cette faculté d’opposition lui est offerte aisément et à tout moment.
Le RGPD n’est pas un texte « à la carte »
Il serait dangereux que le RGPD devienne un texte « à la carte » pour les régulateurs. Il ne l’est pas pour les justiciables. Ne rompons pas la belle promesse de sécurité juridique et d’harmonisation européenne que l’union européenne brandit à la face du monde avec le RGPD. Si nous ne tenions pas cette promesse, nous en serions, nous Européens, les principales victimes. @