Mo­bile : géo­lo­ca­li­sa­tion pu­bli­ci­taire et consen­te­ment

Avec quatre mises en de­meure pu­bliées entre juin et no­vembre sur la géo­lo­ca­li­sa­tion pu­bli­ci­taire, la Com­mis­sion na­tio­nale de l'in­for­ma­tique et des li­ber­tés ( Cnil) « feuille­tonne » sa doc­trine en la ma­tière. Or le RGPD eu­ro­péen n'exige pas tou­jours le con

Edition Multimé[email protected] - - La Une - Etienne Drouard, avo­cat as­so­cié, et Lu­cile Ro­li­net, ju­riste, ca­bi­net K& L Gates

La Cnil a d’abord pu­blié deux mises en de­meure à l’en­contre des so­cié­tés Fid­zup et Tee­mo pour dé­faut de re­cueil du consen­te­ment à la col­lecte et au trai­te­ment de don­nées de géo­lo­ca­li­sa­tion à des fins pu­bli­ci­taires. Dès le 3 oc­tobre ce­pen­dant, elle met­tait fin à la mise en de­meure de la so­cié­té Tee­mo ( 1) en dé­cri­vant pré­ci­sé­ment les me­sures nou­velles prises par cette der­nière pour se confor­mer à ses in­jonc­tions pu­bliques ( 2). Sans dis­cus­sion.

Ré­gu­ler par les mé­dias ou par le droit ?

Puis le 23 oc­tobre, Sin­gles­pot ( 3) su­bis­sait à son tour la même mise au pi­lo­ri de la part de la Cnil ( 4), et le 9 no­vembre 2018 ( 5), la so­cié­té Vec­tau­ry était elle aus­si épin­glée ( 6) pour non re­cueil du consen­te­ment à la géo­lo­ca­li­sa­tion pu­bli­ci­taire. Jus­qu’à pré­sent, la Cnil pu­bliait ra­re­ment ses mises en de­meure – de quatre à quinze par an au cours des six der­nières an­nées – mais la sé­rie de pu­bli­ca­tions qui s’est ou­verte de­puis l’en­trée en vi­gueur du rè­gle­ment gé­né­ral sur la pro­tec­tion des don­nées per­son­nelles ( RGPD) le 25 mai 2018 semble mar­quer une nou­velle mé­thode de ré­gu­la­tion. Celle- ci re­pose da­van­tage sur la vin­dicte mé­dia­tique que sur le dé­bat contra­dic­toire, pour­tant es­sen­tiel à un pro­cès équi­table. Elle in­carne le sou­hait de la Cnil de mon­trer l’exemple ( et les dents), tout en lais­sant aux so­cié­tés in­ti­mées la pos­si­bi­li­té de se confor­mer dans le dé­lai qui leur est im­par­ti, sans en­cou­rir d’autre sanc­tion que mé­dia­tique. Il faut dire qu’une simple mise en de­meure suf­fit pour la Cnil ob­tienne tout ce qu’elle dé­sire…, tant le ni­veau des amendes que peut dé­sor­mais pro­non­cer la Cnil de­puis la date d’en­trée en ap­pli­ca­tion du RGPD est ef­frayant ( jus­qu’à 4 % du chiffre d’af­faires mon­dial conso­li­dé). Au risque d’an­crer une doc­trine sans le moindre dé­bat ju­ri­dique et avec des rai­son­ne­ments dis­cu­tables sur le fond. Dis­cu­tons- en, donc. • A chaque fi­na­li­té son consen­te­ment ? La Cnil me­nace de sanc­tion­ner l’ab­sence de consen­te­ment des per­sonnes concer­nées au trai­te­ment de leurs don­nées per­son­nelles pour re­ce­voir de la pu­bli­ci­té ci­blée sur leur té­lé­phone mo­bile. Pour ce faire, elle se fonde sur un élé­ment de doc­trine non ex­pli­qué, qui pour­rait se ré­su­mer à la for­mule très simple – et très fausse : « Une fi­na­li­té, un consen­te­ment » . Se­lon cette doc­trine, toute per­sonne ayant consen­ti à la géo­lo­ca­li­sa­tion de­vrait par ailleurs avoir la pos­si­bi­li­té de consen­tir – ou de ne pas consen­tir – sé­pa­ré­ment et pour chaque fi­na­li­té dis­tincte, à cha­cune des uti­li­sa­tions de sa géo­lo­ca­li­sa­tion : contrac­tuelle, pu­bli­ci­taire, etc. La dé­fi­ni­tion du consen­te­ment sta­bi­li­sée par la di­rec­tive eu­ro­péenne « Pro­tec­tion des don­nées per­son­nelles » de 1995 ( 95/ 46) n’a pas été mo­di­fiée par les quatre an­nées d’éla­bo­ra­tion du RGPD. Le consen­te­ment se dé­fi­nit comme toute ma­ni­fes­ta­tion de vo­lon­té uni­voque, libre, ex­pli­cite, in­for­mée et spé­ci­fique, par la­quelle une per­sonne concer­née peut ac­cep­ter par une dé­cla­ra­tion ou un acte po­si­tif clair le trai­te­ment de ses don­nées per­son­nelles ( 7), no­tam­ment le pre­mier d’entre eux : la col­lecte de don­nées. Se­lon les ré­centes lignes di­rec­trices des ré­gu­la­teurs eu­ro­péens ( 8), le consen­te­ment est ab­so­lu­ment dis­cré­tion­naire. Lors­qu’il est re­quis, il doit être spé­ci­fique à chaque fi­na­li­té. Il ne peut être sou­mis à au­cune condi­tion, avan­tage ou dé­tri­ment. Il est ré­trac­table à l’en­vi ; il est d’une du­rée de va­li­di­té li­mi­tée et il doit être re­nou­ve­lé. Il est in­dé­pen­dant de l’ac­cès à un ser­vice, quel que soit le mo­dèle éco­no­mique en jeu. Ain­si, lorsque le consen­te­ment est re­quis, le trai­te­ment d’une don­née est in­ter­dit tant qu’un consen­te­ment va­lable n’a pas été ex­pri­mé sur la base d’une in­for­ma­tion com­plète fournie aux per­sonnes, dé­nuée de toute ma­ni­pu­la­tion ou omis­sion sus­cep­tible de les in­fluen­cer dans leur libre choix.

Des coo­kies à la géo­lo­ca­li­sa­tion pu­bli­ci­taire

Le consen­te­ment est donc un ré­gime d’in­ter­dic­tion a prio­ri, qui dé­place l’ac­tion de ré­gu­ler sur les per­sonnes. Ce vé­ri­table « droit au ca­price » , qui place la vo­lon­té libre de l’in­di­vi­du au- des­sus de toute autre consi­dé­ra­tion, ne peut consti­tuer le fon­de­ment d’au­cun ser­vice ( le consen­te­ment se dis­tingue de l’adhé­sion à un contrat) ni d’au­cun mo­dèle éco­no­mique. En ef­fet, quel­qu’un at- il dé­jà don­né pa­reil consen­te­ment à l’usage pu­bli­ci­taire de la géo­lo­ca­li­sa­tion, sans contre­par­tie, à un tiers qui

ne lui pro­met rien ? Créé en France en 1978 pour in­ter­dire le trai­te­ment des don­nées sen­sibles re­la­tives aux opi­nions po­li­tiques, phi­lo­so­phiques, re­li­gieuses ou syn­di­cales, ce consen­te­ment- là, ab­so­lu et sanc­ti­fié, n’a ja­mais été « lâ­ché seul » dans la sphère éco­no­mique sans co­exis­ter avec des al­ter­na­tives tout au­tant pro­tec­trices de l’in­di­vi­du ( et mal­gré lui) et éco­no­mi­que­ment com­pa­tibles. • Géo­lo­ca­li­sa­tion, consen­te­ment et in­for­ma­tion. Le consen­te­ment à la col­lecte de don­nées de géo­lo­ca­li­sa­tion est exi­gé par la di­rec­tive eu­ro­péenne « epri­va­cy » ( 9) de 2002 ( 2002/ 58), trans­po­sée en droit fran­çais dans le code des postes et des té­lé­com­mu­ni­ca­tions élec­tro­niques ( 10). Il est d’une na­ture si­mi­laire à l’exi­gence du consen­te­ment à la col­lecte des don­nées sen­sibles ( 11) ou du consen­te­ment au dé­pôt ou à la lec­ture de « coo­kies » ou de tra­ceurs en ligne ( 12).

Des rac­cour­cis trom­peurs et dan­ge­reux ?

La Cnil a mis en de­meure les en­tre­prises concer­nées au mo­tif du dé­faut d’in­for­ma­tion préa­lable re­la­tif à l’usage des don­nées de géo­lo­ca­li­sa­tion à des fins pu­bli­ci­taires. Cette in­for­ma­tion est re­quise, quelle que soit la base lé­gale sur la­quelle re­pose la ou les fi­na­li­té( s) de col­lecte ou d’uti­li­sa­tion des don­nées. Elle peut, ju­ri­di­que­ment, être conco­mi­tante à la col­lecte de la don­née de géo­lo­ca­li­sa­tion, mais elle doit en tout état de cause être préa­lable à l’usage pu­bli­ci­taire d’une don­née de géo­lo­ca­li­sa­tion ( 13). Le RGPD n’exige pas tou­jours le consen­te­ment ; il exige une base lé­gale. C’est la fa­cul­té de col­lec­ter la don­née – de géo­lo­ca­li­sa­tion, ou sen­sible ou de l’iden­ti­fiant d’un ter­mi­nal – qui est sou­mise au consen­te­ment et non pas l’usage ul­té­rieur qui se­ra fait de cette don­née. Cet usage ul­té­rieur peut être jus­ti­fié par une né­ces­si­té tech­nique, ser­vi­cielle ou contrac­tuelle, ou une fa­cul­té pu­bli­ci­taire ou une obli­ga­tion lé­gale. Cet usage ul­té­rieur doit donc faire l’ob­jet d’une in­for­ma­tion des per­sonnes – dans tous les cas. Tou­te­fois, cha­cun de ces usages pos­té­rieurs n’est pas for­cé­ment sou­mis au consen­te­ment des per­sonnes. Tout dé­pen­dra de la base lé­gale qui fonde cha­cun de ces usages ul­té­rieurs. En ef­fet, la règle po­sée par le RGPD n’est pas « une fi­na­li­té = un consen­te­ment » , mais « une fi­na­li­té = une base lé­gale » . Or, le consen­te­ment n’est qu’une des six bases lé­gales re­te­nues par le RGPD et il n’a pas de rang prio­ri­taire sur les autres. Tout dé­pend de la fi­na­li­té d’uti­li­sa­tion concer­née. La Cnil ne jus­ti­fie pas en quoi l’uti­li­sa­tion pu­bli­ci­taire des don­nées de géo­lo­ca­li­sa­tion col­lec­tées avec le consen­te­ment des per­sonnes ( 14), se­rait- elle- même sou­mise à un consen­te­ment spé­ci­fique. En ef­fet, lorsque la fi­na­li­té d’uti­li­sa­tion d’une don­née est une géo­lo­ca­li­sa­tion ser­vi­cielle, c’est- à- dire stric­te­ment né­ces­saire à la four­ni­ture d’un ser­vice ou sous­crit par la per­sonne, le consen­te­ment dis­cré­tion­naire des per­sonnes s’ef­fa­ce­ra au pro­fit de la né­ces­si­té pour l’en­tre­prise d’exé­cu­ter un contrat d’adhé­sion sous­crit par les per­sonnes et qui im­plique l’uti­li­sa­tion « ser­vi­cielle » – contrac­tuelle – de la don­née de géo­lo­ca­li­sa­tion ( 15). Tel est le cas pour l’uti­li­sa­teur d’une ap­pli­ca­tion de car­to­gra­phie rou­tière de type Waze, Plans, Map­py ou Google Maps. Lorsque la col­lecte des don­nées de géo­lo­ca­li­sa­tion est né­ces­saire à la sau­ve­garde de la vie hu­maine ( 16), le consen­te­ment se­ra éca r t é e t l’uti­li­sa­tion d’une don­née de géo­lo­ca­li­sa­tion par les ser­vices d’ur­gence ( Po­lice Se­cours, SAMU, Pom­piers) leur per­met d’ob­te­nir des opé­ra­teurs té­lé­coms la géo­lo­ca­li­sa­tion de l’ap­pel d’une per­sonne en dé­tresse. En­fin, lorsque la géo­lo­ca­li­sa­tion est né­ces­saire à l’exé­cu­tion d’une mis­sion de ser­vice pu­blic, telle la col­lecte des points et ho­raires d’en­trée et de sor­tie d’une sec­tion d’au­to­route à péage, l’ab­sence du re­cueil du consen­te­ment, ma­té­riel­le­ment im­pos­sible, n’em­pê­che­ra pas les so­cié­tés d’ex­ploi­ta­tion d’au­to­route de re­cueillir les don­nées de géo­lo­ca­li­sa­tion de leurs usa­gers. Concer­nant la géo­lo­ca­li­sa­tion des­ti­née à dé­clen­cher l’af­fi­chage pu­bli­ci­taire sur mo­bile, la base lé­gale ne pour­ra être que l’in­té­rêt lé­gi­time pré­vu par le RGPD et ex­pli­ci­te­ment dé­crit à son con­si­dé­rant 47. D’ailleurs, quel uti­li­sa­teur aver­ti se­rait- il as­sez « ori­gi­nal » pour dé­si­rer li­bre­ment et sans la moindre in­ci­ta­tion faire l’ob­jet de pu­bli­ci­tés géo­ci­blées ? Si l’usage pu­bli­ci­taire d’une don­née n’est pos­sible qu’à l’égard des per­sonnes qui y consentent li­bre­ment, ce­la si­gni­fie en droit et en pra­tique que l’usage pu­bli­ci­taire est in­ter­dit a prio­ri par le RGPD. Or, c’est tout le contraire qui a été ar­bi­tré dans le RGPD, mal­gré la ré­ti­cence à cet égard des ré­gu­la­teurs na­tio­naux tels que la Cnil. En effe t , le RGPD re­quiert la dé­mons­tra­tion d’un équi­libre entre les ga­ran­ties of­fertes aux per­sonnes en contre­par­tie de l’in­té­rêt com­mer­cial pour l’en­tre­prise ex­ploi­tant les don­nées ( 17). La per­sonne ayant té­lé­char­gé une ap­pli­ca­tion et ayant ex­pres­sé­ment consen­ti à la col­lecte de ses don­nées de géo­lo­ca­li­sa­tion, doit être in­for­mée que ses don­nées peuvent être uti­li­sées à des fins de pu­bli­ci­té et elle doit pou­voir… s’y op­po­ser, dès lors que cette fa­cul­té d’op­po­si­tion lui est of­ferte ai­sé­ment et à tout mo­ment.

Le RGPD n’est pas un texte « à la carte »

Il se­rait dan­ge­reux que le RGPD de­vienne un texte « à la carte » pour les ré­gu­la­teurs. Il ne l’est pas pour les jus­ti­ciables. Ne rom­pons pas la belle pro­messe de sé­cu­ri­té ju­ri­dique et d’har­mo­ni­sa­tion eu­ro­péenne que l’union eu­ro­péenne bran­dit à la face du monde avec le RGPD. Si nous ne te­nions pas cette pro­messe, nous en se­rions, nous Eu­ro­péens, les prin­ci­pales vic­times. @

Newspapers in French

Newspapers from France

© PressReader. All rights reserved.