Données personnelles : l’orage gronde

Deuxième partie : les services financés par la publicité ciblée 

Un moteur de recherche performant, un service de messagerie électronique doté d’un généreux espace de stockage, un réseau social permettant d’interagir instantanément avec des photos et vidéos issues du monde entier : autant de services dont les internautes sont accoutumés à profiter sans bourse délier. Que derrière les interfaces épurées des géants de la Silicon Valley se cachent des batteries de serveurs, alignés les uns contre les autres à perte de vue, et des armées d’ingénieurs, ils en ont confusément conscience. Il faut bien quelqu’un pour payer tout cela, et ils le savent. « There ain’t no such thing as a free lunch » et « si c’est gratuit, c’est vous le produit », ils l’ont entendu dire. Mais après tout, les stations de radio et la plupart des chaînes de télévision sont financées par la publicité depuis longtemps. Il est facile d’imaginer qu’en ligne, les mêmes logiques supposément inoffensives sont à l’œuvre, dans une version certes un peu plus moderne, un peu plus performante.

Mais les médias traditionnels n’avaient recours qu’à de la publicité « contextuelle » : les annonceurs tenaient compte de l’émission au sein de laquelle leur contenu promotionnel prenait place. Le public du football du samedi soir n’est pas celui des dessins animés du dimanche matin, et les produits qu’on peut espérer lui vendre doivent être adaptés en conséquence. En ligne, ce schéma existe, mais il est minoritaire. Le modèle de publicité dominant est, de très loin, la publicité personnalisée, celle qui se fonde sur une connaissance intime de chaque internaute, de son âge, de sa catégorie socioprofessionnelle, de sa situation familiale, de ses centres d’intérêt. Cette publicité-là est plus efficace et bien plus lucrative. En France, la télévision est en train de s’y convertir : les box internet et les écrans connectés lui en donnent les moyens techniques. Une nouvelle fenêtre va s’ouvrir sur le monde enchanté du marketing sur-mesure.

Le modèle d’affaires « service gratuit contre publicité ciblée » apparaît ainsi au faîte de sa gloire. Il est possible toutefois qu’il ne s’agisse que d’une illusion. Les traitements de données personnelles très puissants qu’il requière se heurtent au Règlement général sur la protection des données (RGPD) ainsi qu’à la Directive sur les communication électroniques (dite « e-privacy »). Simple contretemps ou véritable menace ? La question doit être posée.

En janvier 2019, dans une affaire « Android », la Commission nationale de l’informatique et des libertés (CNIL) inflige à Google une amende administrative de 50 millions d’euros (Emmanuel Netter,  Sanction à 50 millions d’euros : au-delà de Google, la CNIL s’attaque aux politiques de confidentialité obscures et aux consentements creux, 2019). Deux reproches sont principalement adressés à la société. Le premier est l’insuffisante clarté de sa politique de confidentialité. Pour Google, la blessure est superficielle : un tel document peut toujours être amélioré. Le second reproche, c’est d’avoir fondé les traitements de données relatifs à la publicité ciblée sur le « consentement » des utilisateurs. Lorsqu’un internaute crée un compte, Google postule qu’il accepte le tracking publicitaire par l’intermédiaire d’une case pré-cochée, à charge pour l’utilisateur de signaler d’un clic son éventuel refus : c’est un système d’opt-out. Solidement appuyée sur la définition du consentement, dans le RGPD, comme « un acte positif clair », la CNIL exige un opt-in. Le géant de Moutain View est supposé laisser la case vide. Dès lors, si l’internaute, par désintérêt ou par choix véritable, fait défiler les phases du processus d’inscription sans demander à ce qu’on surveille ses centres d’intérêt, adieu les recettes liées à la publicité ciblée. Le coup est terrible. Dans ce dossier, la société n’a échappé à de nouvelles condamnations que parce qu’elle est parvenue à se réfugier en Irlande, comme bien d’autres grandes sociétés américaines (Emmanuel Netter, Pourquoi la CNIL était impuissante contre Facebook et pourquoi cela va changer, 2021).

En décembre 2020, la CNIL repart à l’attaque. Dans le domaine spécifique des cookies, elle se fonde principalement sur la directive e-privacy et non sur le RGPD. Ici, elle n’a pas besoin de coopérer avec l’autorité irlandaise et peut agir en franc-tireur. Elle inflige à Google une amende de 100 millions d’euros. Lors d’une visite sur Google Search, plusieurs manquements sont observés : le bandeau cookies est obscur, et l’on cherche en vain un bouton permettant de refuser simplement le dépôt des fichiers sur le terminal ; avant même que l’utilisateur n’exprime son choix, certains cookies ont déjà été déposés ; quand bien même l’internaute parviendrait à opter pour le refus, il n’en est pas correctement tenu compte. Ce comportement ne doit vraisemblablement rien au hasard : ici encore, la société ne cherche pas à recueillir sincèrement l’avis des internautes mais à défendre son modèle d’affaires.

À ce stade, une posture moralement confortable consiste à décrire ces décisions comme une victoire du bien contre le mal. Mais est-il véritablement cohérent d’avoir laissé se développer le modèle d’affaires « service gratuit contre publicité ciblée », puis d’affirmer tout à coup que l’exposition à la publicité doit relever du libre arbitre individuel de chaque utilisateur ? Proposer au client de ne régler le prix d’un service commercial que si « tel est son choix » a quelque chose d’absurde. Celui qui posera la question « voulez-vous bien me payer ? » se bouchera immanquablement les oreilles si on essaie de lui dire « non » : de là naissent les interfaces alambiquées, les bandeaux cookies labyrinthiques, les dark patterns.

Certains ont alors imaginé fonder le traitement non pas sur le « consentement » de la personne mais sur « la nécessité pour l’exécution du contrat ». L’idée, controversée, est la suivante : l’internaute s’engage bel et bien dans les liens d’un contrat synallagmatique. Le service lui est fourni contre une exposition à des publicités ciblées. L’argument semble avoir été soulevé par Facebook dans l’affaire qui l’oppose à l’association None of Your Business de Max Schrems.

Le lecteur intéressé par cet argument, et plus généralement par les questions abordées dans le présent billet pourra se reporter à l’article en libre accès : Emmanuel Netter, « Service en ligne « gratuit » contre publicité ciblée : le modèle d’affaires aux pieds d’argile », 2021.