Proposition de règlement sur la protection des données : Ne pas
1
Paris, le 26 septembre 2014
Proposition de règlement sur la protection des données :
Ne pas hypothéquer la croissance de l’économie de demain
Les débats sur la proposition de règlement sur la protection des données entrent dans une phase
décisive suite au vote en plénière du Parlement européen qui a eu lieu le 13 mars dernier et en vue
de la prochaine réunion du Conseil de l’UE des prochains 9 et 10 Octobre ceci dans le but d’obtenir
un accord afin de commencer les trilogues avec le Parlement européen.
L’IAB et le SRI qui ont pris position le 22 mai 2014 encouragent les différents acteurs du débat à se
dégager de toute position idéologique et à privilégier la mise en place de propositions pragmatiques
et négociées en vue de préserver le potentiel de croissance de la France dans le secteur du
numérique.
I. L’IAB France et le SRI sont deux associations particulièrement représentatives de l’économie
numérique française
• L'IAB France (Interactive Advertising Bureau) est une association indépendante
créée en 1998 dont la mission est triple: structurer en France le marché de la
communication digitale, favoriser son usage et optimiser son efficacité.
• Elle compte à ce jour près de 130 sociétés membres dont une grande partie sont
des PME innovantes et représente l’ensemble des acteurs de la chaîne de la
communication interactive (éditeurs, régies, agences, annonceurs, instituts
d’études, fournisseurs de technologies, etc.).
• Le Syndicat des Régies Internet (SRI) a été créé en 2003 à l'initiative des
principales régies publicitaires afin de valoriser les spécificités et la compétitivité
du média online mais aussi de faciliter son accès par une simplification, une
organisation et une professionnalisation de son offre publicitaire.
2
• Aujourd'hui, les 27 régies membres du SRI, avec une audience dédupliquée de
plus de 42,8 millions de VU sur l’internet fixe, soit plus de 92 % des internautes et
de 28 millions de VU sur l’internet mobile (plus de 87% des mobinautes)
1
contribuent chaque jour à faire de la publicité un moteur de la croissance du
numérique en France puisqu’elle finance une partie importante des contenus.
• Le numérique ne concerne pas uniquement les acteurs du web mais la grande
majorité des acteurs de l’économie française : le rapport sur la fiscalité du
numérique du Conseil National du Numérique rendu le 10 septembre 2013
reconnaît la nécessité de la France de faire de l’économie numérique un levier de
croissance durable Le libre accès à internet financé par la publicité en ligne
permet aux internautes d’économiser 69 milliards d’euros (Septembre 2012,
McKinsey).
II. La protection des données est une préoccupation constante pour l’IAB France et le SRI qui
n’ont pas attendu les initiatives du législateur pour agir :
• La plateforme YOC « Your Online Choices »
http://www.youronlinechoices.com/fr
. Elle
permet aux internautes d’avoir une information complète et transparente sur
l’usage qui est fait de leurs données et de contrôler par eux même le paramétrage
de leurs cookies. Le succès de cette approche pédagogique est réel puisque seule
une minorité d’internautes décide d’en bloquer l’accès après avoir été
préalablement informé : 6,82% en septembre 2013.
2
• Les éléments de langage sur la protection des données sont largement diffusés
par le réseau des IAB en Europe et au sein des membres du SRI.
• Le Guide des bonnes pratiques du 10 avril 2012 de l’Union française du
Marketing direct (UFMD) dont l’IAB France et le SRI sont cosignataires impose un
usage des cookies ciblé et respectueux des intérêts des internautes
III. Dans le cadre de l’examen de la proposition de règlement européen sur la protection des
données, l’IAB France et le SRI soutiennent une solution respectueuse des intérêts des
internautes tout en préservant le potentiel de croissance de l’économie numérique.
1
Source : Médiamétrie – 1
er
semestre 2014
2
Statistiques « Your Online choices » - IAB Europe 2013
3
Sous leur forme actuelle, certaines propositions de la commission LIBE ont été accueillies très
favorablement. Néanmoins, d’autres dispositions du texte risquent d’impacter de manière négative
le dynamisme de la filière :
• L’élargissement de la définition des données personnelles risque d’entraver
l’activité d’un grand nombre d’acteurs du numérique, qu’il s’agisse de l’analyse
de la fréquentation des sites, du web analytics
3
, du ciblage et de diffusion de la
publicité ou de la facturation en ligne. Le texte en l’état prévoit de l’étendre à
toute donnée qui contient de l’information sur une personne physique identifiée
ou identifiable. Une personne identifiable est celle qui peut être identifiée
directement ou indirectement, notamment par référence à un identifiant tel
qu’un nom, un numéro, la géolocalisation, ou par référence à un identifiant
spécifique lié à une caractéristique physique, physiologique, génétique,
économique, culturelle, sociale ou fondée sur le sexe de cette personne.
Ainsi, la définition des données personnelles retenue s’efforce de couvrir tous
les moyens permettant de distinguer une personne déterminée.
Bien que l’élargissement du champ des données traditionnellement couvertes
par le Règlement inquiète les acteurs de notre secteur, ceux-ci saluent
l’approche des données pseudonymes adoptée par le Parlement européen. En
retenant une définition fonctionnelle pour cette sous-catégorie de données
personnelles, le Parlement européen a posé les jalons d’un traitement différencié
des identifiants numériques habituellement utilisés au soutien des pratiques
commerciales de notre secteur. Le Parlement européen reconnait ainsi aux
données pseudonymes un statut particulier.
Le Conseil de l’UE est en train d’évoluer vers une conception de la
pseudonymisation en tant que processus tout en reconnaissant que les travaux
au niveau technique doivent poursuivre. L’IAB France et le SRI, appellent les
autorités nationales et européennes à soutenir la nécessité d’une définition
claire des données sous pseudonymes tel qu’envisagé initialement pour des
raisons de sécurité juridique. Un traitement différencié des données sous
pseudonymes découlant d’une définition explicite est parfaitement justifié dans
la mesure où la nature même des données pseudonymes garantit une protection
renforcée de la vie privée.
Cette approche permet la protection, non seulement de la vie privée mais aussi
des entreprises du numérique qui peuvent continuer à développer des services
3
Le web analytics (ou web analytique) a pour objet de quantifier la fréquentation d'un site en fonction
d'indicateurs tels que le nombre de visiteurs uniques, les pages vues, les visites, la durée moyenne des visites.
Il regroupe la mesure, la collecte, l'analyse et la présentation de données provenant d'Internet utilisées afin de
comprendre et d'optimiser l'utilisation du Web.
4
innovants et personnalisés sans avoir à identifier des consommateurs et des
citoyens en particulier
• Un point positif du texte réside dans les règles relatives au profilage (suivi
anonyme ou sous pseudonyme des habitudes de consommation) qui ont été
assouplies dans l’hypothèse où les données traitées sont sous pseudonyme, à
l’instar de la législation allemande dont l’efficacité a été prouvée. Cette mesure
qui est la seule dans le texte à pouvoir préserver l’activité des différents acteurs
de la publicité en ligne, mais également des filières du marketing et du web
analytics doit absolument être préservée, mais nécessiterait d’être incluse dans
le corps du texte plutôt que dans les considérants.
• Les règles relatives au consentement des internautes sont durcies : il doit
désormais systématiquement être précédé d’une action positive et les sociétés
qui le sollicitent doivent désormais prouver ce caractère explicite. Le
consentement est ainsi donné au cas par cas, ce qui pose un sérieux problème aux
entreprises de BtoB dont les opérations sont multiples. Les aménagements de la
directive e-privacy qui laissaient une place au consentement implicite (opt-out)
sont ainsi supprimés pour privilégier un consentement explicite strict (opt-in). La
mise en place de ces changements portera préjudice à l’ensemble de l’économie
numérique en ralentissant le flux de la bande passante et en imposant à tous les
acteurs, dont la majorité sont des PME, des coûts de transformation additionnels.
Cette approche risquerait également d’engendrer un effet pervers en procurant
un avantage compétitif aux entreprises qui conditionnent l’accès à leurs sites à
une inscription préalable ou à une connexion de l’utilisateur à son compte ; ceci
par rapport à celles dont les sites ne nécessitent pas une telle action de la part de
l’utilisateur. .
• Les PME risquent d’être impactées : selon une récente étude
4
, l’application du
texte pourrait engendrer une hausse des coûts fixes pour les entreprises avec un
impact négatif sur l’emploi et les créations d’entreprises. Le BtoB risque d’être
particulièrement impacté par des pertes d’emploi oscillant entre 0,2 et 0,6% et
une disparition des entreprises variant entre 3 et 5%.
• La mise en place d’un droit systématique à l’effacement des données dans une
société qui se digitalise risque de porter préjudice à l’archivage et à la mémoire
collective. L’arrêt de la CJUE du 13 mai 2014 a eu le mérite de lancer de débat sur
4
L. Christensen (Analysis group Denver), A. Colciago (Université de Milan), F. Etro (Université de Venise) « The
impact of Data regulation in the EU », 13 février 2013
5
ce sujet, tout en faisant part de sa complexité. Il serait prudent que le Conseil ne
prenne pas une décision précipitée à l’égard du droit à l’oubli au moment où les
CNIL européennes ainsi que les acteurs privés concernés cherchent à apporter
une solution technique sur ce point. Néanmoins, toute solution retenue devra
assurer le juste équilibre entre le droit à la vie privée et d’autres droits
fondamentaux, notamment celui de la liberté d’expression, ainsi que son
application par les autorités publiques compétentes.
• Le niveau des sanctions administratives a été plus que doublé par le Parlement
européen par rapport à la proposition initiale de la Commission, passant de 2% à
5% du chiffre d’affaire global des entreprises. Sans remettre nécessairement en
cause le principe des sanctions, leur niveau trop élevé risque de pénaliser
l’économie numérique européenne en affectant son attractivité par rapport à
celle des autres pays. L’approche des sanctions retenue apparaît comme un
emprunt inapproprié aux principes du droit de la concurrence. Il conviendrait
davantage d’aménager des solutions spécifiques telles que des injonctions, bien
plus appropriées au regard des droits de l’Homme et des règles de protection des
consommateurs. A ces égards, même la proposition initiale des 2% semble
disproportionnée. .
3.1. L’IAB France et le SRI recommandent ainsi un certain nombre d’aménagements à la
version actuelle du texte afin de concilier la préservation du potentiel de la filière
numérique tout en tenant compte de la protection légitime des intérêts du
consommateur.
• La définition des données personnelles (art. 4) :
L’IAB France et le SRI proposent de limiter la définition aux données qui
permettent d’identifier directement une personne déterminée.
• Les données anonymes (art. 4)
Ces données échappent par définition au régime imposé aux données
personnelles. L’IAB France et le SRI expriment leur attachement à ce qu’elles
soient définies clairement et à ce qu’elles intègrent sans ambiguïté les données
qui ne sont pas personnelles afin de dissiper toute ambigüité juridique.
• Les données sous pseudonyme (art.4)
6
7
8
9
10
1
/
10
100%
