**English version below**

Deuxième partie : les services financés par la publicité ciblée 

Un moteur de recherche performant, un service de messagerie électronique doté d’un généreux espace de stockage, un réseau social permettant d’interagir instantanément avec des photos et vidéos issues du monde entier : autant de services dont les internautes sont accoutumés à profiter sans bourse délier. Que derrière les interfaces épurées des géants de la Silicon Valley se cachent des batteries de serveurs, alignés les uns contre les autres à perte de vue, et des armées d’ingénieurs, ils en ont confusément conscience. Il faut bien quelqu’un pour payer tout cela, et ils le savent. « There ain’t no such thing as a free lunch » et « si c’est gratuit, c’est vous le produit », ils l’ont entendu dire. Mais après tout, les stations de radio et la plupart des chaînes de télévision sont financées par la publicité depuis longtemps. Il est facile d’imaginer qu’en ligne, les mêmes logiques supposément inoffensives sont à l’œuvre, dans une version certes un peu plus moderne, un peu plus performante.

Mais les médias traditionnels n’avaient recours qu’à de la publicité « contextuelle » : les annonceurs tenaient compte de l’émission au sein de laquelle leur contenu promotionnel prenait place. Le public du football du samedi soir n’est pas celui des dessins animés du dimanche matin, et les produits qu’on peut espérer lui vendre doivent être adaptés en conséquence. En ligne, ce schéma existe, mais il est minoritaire. Le modèle de publicité dominant est, de très loin, la publicité personnalisée, celle qui se fonde sur une connaissance intime de chaque internaute, de son âge, de sa catégorie socioprofessionnelle, de sa situation familiale, de ses centres d’intérêt. Cette publicité-là est plus efficace et bien plus lucrative. En France, la télévision est en train de s’y convertir : les box internet et les écrans connectés lui en donnent les moyens techniques. Une nouvelle fenêtre va s’ouvrir sur le monde enchanté du marketing sur-mesure.

Le modèle d’affaires « service gratuit contre publicité ciblée » apparaît ainsi au faîte de sa gloire. Il est possible toutefois qu’il ne s’agisse que d’une illusion. Les traitements de données personnelles très puissants qu’il requière se heurtent au Règlement général sur la protection des données (RGPD) ainsi qu’à la Directive sur les communication électroniques (dite « e-privacy »). Simple contretemps ou véritable menace ? La question doit être posée.

En janvier 2019, dans une affaire « Android », la Commission nationale de l’informatique et des libertés (CNIL) inflige à Google une amende administrative de 50 millions d’euros (Emmanuel Netter,  Sanction à 50 millions d’euros : au-delà de Google, la CNIL s’attaque aux politiques de confidentialité obscures et aux consentements creux, 2019). Deux reproches sont principalement adressés à la société. Le premier est l’insuffisante clarté de sa politique de confidentialité. Pour Google, la blessure est superficielle : un tel document peut toujours être amélioré. Le second reproche, c’est d’avoir fondé les traitements de données relatifs à la publicité ciblée sur le « consentement » des utilisateurs. Lorsqu’un internaute crée un compte, Google postule qu’il accepte le tracking publicitaire par l’intermédiaire d’une case pré-cochée, à charge pour l’utilisateur de signaler d’un clic son éventuel refus : c’est un système d’opt-out. Solidement appuyée sur la définition du consentement, dans le RGPD, comme « un acte positif clair », la CNIL exige un opt-in. Le géant de Moutain View est supposé laisser la case vide. Dès lors, si l’internaute, par désintérêt ou par choix véritable, fait défiler les phases du processus d’inscription sans demander à ce qu’on surveille ses centres d’intérêt, adieu les recettes liées à la publicité ciblée. Le coup est terrible. Dans ce dossier, la société n’a échappé à de nouvelles condamnations que parce qu’elle est parvenue à se réfugier en Irlande, comme bien d’autres grandes sociétés américaines (Emmanuel Netter, Pourquoi la CNIL était impuissante contre Facebook et pourquoi cela va changer, 2021).

En décembre 2020, la CNIL repart à l’attaque. Dans le domaine spécifique des cookies, elle se fonde principalement sur la directive e-privacy et non sur le RGPD. Ici, elle n’a pas besoin de coopérer avec l’autorité irlandaise et peut agir en franc-tireur. Elle inflige à Google une amende de 100 millions d’euros. Lors d’une visite sur Google Search, plusieurs manquements sont observés : le bandeau cookies est obscur, et l’on cherche en vain un bouton permettant de refuser simplement le dépôt des fichiers sur le terminal ; avant même que l’utilisateur n’exprime son choix, certains cookies ont déjà été déposés ; quand bien même l’internaute parviendrait à opter pour le refus, il n’en est pas correctement tenu compte. Ce comportement ne doit vraisemblablement rien au hasard : ici encore, la société ne cherche pas à recueillir sincèrement l’avis des internautes mais à défendre son modèle d’affaires.

À ce stade, une posture moralement confortable consiste à décrire ces décisions comme une victoire du bien contre le mal. Mais est-il véritablement cohérent d’avoir laissé se développer le modèle d’affaires « service gratuit contre publicité ciblée », puis d’affirmer tout à coup que l’exposition à la publicité doit relever du libre arbitre individuel de chaque utilisateur ? Proposer au client de ne régler le prix d’un service commercial que si « tel est son choix » a quelque chose d’absurde. Celui qui posera la question « voulez-vous bien me payer ? » se bouchera immanquablement les oreilles si on essaie de lui dire « non » : de là naissent les interfaces alambiquées, les bandeaux cookies labyrinthiques, les dark patterns.

Certains ont alors imaginé fonder le traitement non pas sur le « consentement » de la personne mais sur « la nécessité pour l’exécution du contrat ». L’idée, controversée, est la suivante : l’internaute s’engage bel et bien dans les liens d’un contrat synallagmatique. Le service lui est fourni contre une exposition à des publicités ciblées. L’argument semble avoir été soulevé par Facebook dans l’affaire qui l’oppose à l’association None of Your Business de Max Schrems.

Le lecteur intéressé par cet argument, et plus généralement par les questions abordées dans le présent billet pourra se reporter à l’article en libre accès : Emmanuel Netter, « Service en ligne « gratuit » contre publicité ciblée : le modèle d’affaires aux pieds d’argile », 2021.

Personal data: the storm rumbles

Part two: Services funded by targeted advertising

A powerful search engine, an email service with generous storage space, a social network that allows instant interaction with photos and videos from around the world: these are all kinds of services that Internet users have grown accustomed to enjoying without spending a cent. Behind the sleek interfaces offered by the Silicon Valley giants are hidden batteries of servers, lined up as far as the eye can see, and armies of engineers: consumers are confusedly aware of that. Someone has to pay for all this, and they know it. « There ain’t no such thing as a free lunch, » and « if it’s free, you’re the product, » they’ve heard it said. But after all, radio stations and most television channels have been financed by advertising for a long time. It’s easy to imagine that online, the same supposedly harmless mechanisms are at work, in a version that is just a little more modern, a little more efficient.

But traditional media have only been using « contextual » advertising: advertisers take into account the program in which their promotional content takes place. The Saturday night soccer audience is not the same as the Sunday morning cartoon audience, and the products that can be expected to sell to them must be tailored accordingly. The same mechanism does exist online, but it is in the minority. The dominant advertising model is, by far, personalized advertising, which is based on an intimate knowledge of each and every Internet user: their age, their socio-professional category, their family situation, their interests. This type of advertising is more effective and much more lucrative. In France, the television industry is in the process of converting to it: Internet boxes and connected screens now offer the technical means to do so. A new window will open on the enchanted world of personalized marketing.

The « free service vs. targeted advertising » business model thus appears at the height of its glory. However, it is possible that this is only an illusion. The very powerful processing of personal data that this business model requires is in conflict with the General Data Protection Regulations and the Electronic Communications Directive (e-privacy). Simple setback or real threat? The question must be asked.

In January 2019, in the « Android » case, the French National Commission on Informatics and Liberty (CNIL) imposed on Google an administrative fine of 50 million euros (our comment here). Two reproaches were mainly addressed to the company. The first was the insufficient clarity of its privacy policy. For Google, the injury was superficial: such a document can always be improved. The second criticism was that it had based its data processing for targeted advertising on the « consent » of users. When an Internet user would create an account, Google would postulate that the user had accepted the advertising tracking through a pre-ticked box, and it was the user’s responsibility to indicate his or her possible refusal with a click: this was an opt-out system. Heavily relying on the notion of consent defined in the GDPR as « a clear positive act », the CNIL required an opt-in system be put in place. The giant of Moutain View was now supposed to leave the box empty. Therefore, if the Internet user, out of disinterest or out of genuine choice, would scroll through the phases of the registration process without asking to be watched, goodbye revenue from targeted advertising. This was a terrible blow. In this case, the company escaped further condemnation only because it managed to take refuge in Ireland, like many other large American corporations, as explained here.

In December 2020, the CNIL went back at it again. In the specific field of cookies, the CNIL mostly relied on the e-privacy directive rather than the GDPR. In this case, the CNIL did not need to cooperate with the Irish authorities and was able to act as a maverick. It imposed a fine of 100 million euros on Google. During a visit to Google Search, several shortcomings had been observed: the cookie banner was obscure, and one would search in vain for a button that would simply refuse to download files on the terminal. Even before the user had expressed his or her choice, some cookies had already been downloaded. Even if the user had managed to opt for refusal, it was not properly taken into account. This behavior probably owed nothing to chance: here again, the company did not seek to sincerely collect the opinion of Internet users, but to defend its business model.

At this point, a morally comfortable posture is to describe these decisions as a victory of good over evil. But is it really consistent to have allowed the « free service vs. targeted advertising » business model to develop, and then to suddenly assert that exposure to advertising must be a matter for the individual free will of each user? It is absurd to propose to customers to pay the price of a commercial service only if « this is their choice ». Whoever asks the question « will you pay me? » will inevitably cover their ears if someone tries to say « no »: hence the convoluted interfaces, the labyrinthine cookie strips, and the « dark patterns ».

Some then imagined basing the treatment not on the « consent » of the person but on the « necessity for the performance of the contract« . The idea, while controversial, is the following: a web user is indeed bound by a synallagmatic contract. The service is provided to the user in exchange for his or her exposure to targeted advertisements. The argument seems to have been raised by Facebook in its case against Max Schrems’ association None of Your Business.

Readers interested in this argument, and more generally in the issues discussed in this post, may wish to refer to the open access article « Free online service versus targeted advertising: the business model with feet of clay » (only in French for the time being).

Auteur(s) de cette contribution :

Emmanuel Netter
Page Web | Autres publications

Professeur de droit privé à l‘Université d‘Avignon et directeur du Laboratoire Biens, Normes, Contrats (EA3788)