La publicité ciblée et l’exploitation des données en débat devant les institutions de l'Union européenne

 
 
 

Le sujet ne fait peut-être pas la une de l’actualité, mais deux texte absolument essentiels, et qui pourraient sans doute modifier considérablement le paysage numérique européen dans les prochaines années, sont actuellement en discussion devant le Parlement de l’Union européenne, dans le cadre de la procédure législative ordinaire : « Digital Markets Act » (ou « DMA »), et le « Digital Services Act » (ou « DSA »). L’examen de ce paquet législatif intervient, d’ailleurs, dans le cadre de la présidence française du Conseil de l’Union européenne, et à ce titre, M. Cédric O, secrétaire d'Etat chargé de la transition numérique et des communications électroniques, n’a pas manqué d’affirmer que ces deux textes étaient possiblement […] les plus importants de l’histoire de la régulation du numérique.

Le Parlement a approuvé une version du DMA le 15 décembre 2021, ainsi qu’une version du DSA le 20 janvier 2022. Cette dernière comprend d’ailleurs de nombreuse amendement quant aux règles en matière de publicité ciblée. Une phase de trilogue va maintenant s’ouvrir, impliquant le Parlement, la Commission, et le Conseil de l’Union européenne.

Bien que ne s’inscrivant pas exactement dans une logique de droit de la concurrence, notamment, du fait de son caractère asymétrique, le DMA vise néanmoins à faire évoluer le marché du numérique vers une structure plus équitable et contestable, en réduisant l’influence des « contrôleurs d’accès » (ou « Gatekeepers »,). Selon M. Thierry Breton, commissaire européen, l’objectif de ce texte est d’ailleurs, d’organiser la vie économique et favoriser un fonctionnement équitable dans l'espace numérique.

Le DSA poursuit, quant à lui, un objectif plus proche des intérêts de l’utilisateur, puisqu’il vise à renforcer la responsabilité des hébergeurs et des plateformes quant à leur contenu, en mettant en place des dispositifs efficaces de notification des contenus illicites. En effet, dans son état actuel, le droit de l’Union européenne n’impose aucune obligation de résultat à ces acteurs, quant à l’absence de contenu illicite. C’est aussi ce second texte, qui projette d’encadrer la publicité, notamment celle des très grandes plateformes. L’on sait, en effet,

C’est de ces deux législations qu’il va être question successivement, ainsi que de l’impact spécifique de celles-ci sur la publicité ciblée.

Le DMA : une tentative de rétablir un équilibre sur les marchés du numérique via des obligations asymétriques

La catégorie de contrôleur d’accès : la pierre angulaire du DMA

La catégorie de « contrôleur d’accès » (« gatekeeper »), constitue la pierre angulaire du projet de règlement relatif aux marchés contestables et équitables dans le secteur numérique (législation sur les marchés numériques) ou DMA (pour s’en référer à son acronyme anglo-saxon). L’article 3 du projet de règlement qualifie, notamment de telles, les entreprises offrant des services de plateforme dans les proportions les plus massives: plus de 45 millions d’utilisateurs enregistrés par mois, et plus de 10 000 entreprises utilisatrices, sur les trois derniers exercices, pour un chiffre d’affaires de 6,5 milliards d’euros ou plus réalisé dans l’EEE.

S’ensuit une série d’obligations spécifiques, qui ne s’appliquent qu’aux acteurs relevant de cette catégorie.

On le comprend, sont ainsi ciblés, bien qu’il ne soient jamais cités nommément, les géants d’internet: Facebook, Apple, Google, Amazon, Twitter, Uber, etc. Notons toutefois, à s’en référer à l’article 2 du même projet de règlement, que sont éligibles à une telle qualification, pourvu qu’elles vérifient les critères susmentionnés, les entreprises relevant des catégories suivantes: services d’intermédiation en ligne, moteurs de recherche en ligne, services de réseaux sociaux en ligne, services de plateformes de partage de vidéos, services de communications interpersonnelles non fondés sur la numérotation, systèmes d’exploitation, services d’informatique en nuage, etc.

L’obligation de déclaration

La première obligation qui s’applique à ces entreprises, qualifiées de « contrôleurs d’accès » est d’abord d’ordre déclaratif : celles-ci doivent se notifier à la Commission de l’Union européenne, dans les trois mois suivant la vérification des seuils.

Toutefois, le DMA prévoit encore la possibilité, pour la Commission de procéder à des enquêtes sur le marché dont l’objectif est d’identifier lesdits contrôleurs, et de procéder, le cas échéant, à leur désignation d’office, comme elle en a le droit. Le DMA accorde d’ailleurs à la Commission le droit de procéder à des enquêtes et des contrôles, aux fins de s’assurer du respect des obligations s’appliquant aux contrôleurs d’accès.

Les autres obligations découlant d’une telle qualification

Une cette déclaration dûment effectuée auprès de la Commission de l’Union européenne, ces entreprises devront souscrire à plusieurs séries d’obligations spécifiques, destinées à tempérer leur pouvoir exorbitant, sous le contrôle de cette même autorité. Ainsi, par exemple, les utilisateurs devront pouvoir désinstaller à tout moment des applications logicielles préinstallées, telles que des applications, sur un service de plateforme de base, les « contrôleurs d’accès » d’accès devront permettre l’installation et l’utilisation effective d’applications logicielles ou de boutiques d’applications logicielles de tiers, s’abstenir d’accorder, en matière de classement, un traitement plus favorable aux services et produits proposés par le contrôleur d’accès lui-même ou par tout tiers appartenant à la même entreprise etc.

Un autre aspect, qui a pu susciter l’intérêt de la presse, au sujet du DMA, est l’introduction d’un mécanisme de contrôle des concentrations dites prédatrices. Dans son état actuel, l’article 12 de ce texte impose seulement aux contrôleurs d’accès, de notifier à la Commission leurs projets de concentration, lorsque ceux-ci impliquent un fournisseur de services de plateforme essentiels ou de tous autres services fournis dans le secteur numérique, au-delà de certains seuils quantitatifs.

Toutefois la Commission économique et monétaire du Parlement de l’Union européenne — dite Commission ECON — souhaiterait augmenter le contrôle des acquisitions dites prédatrices, en soumettant, en outre, tout projet de concentration à une étude indépendante préalable.

En cas de méconnaissance de leurs obligations spécifiques, les contrôleurs d’accès pourront se voir infliger des sanctions par la Commission, dont le montant pourra s’élever jusqu’à 10% du chiffre d’affaires annuel.

Le DSA : vers un renforcement de la responsabilité des plateformes

Une gradation des obligations des plateformes quant à la prévention de la publication de contenu illicites

Le projet de règlement relatif aux marchés contestables et équitables dans le secteur numérique (législation sur les marchés numériques ou « Digital Services Act, DSA ») poursuit l’objectif de responsabiliser les acteurs du numérique quant à leur contenu. En effet, dans son état actuel, le droit de l’Union européenne interdit par principe, aux Etats membres d’astreindre les hébergeurs de sites internet et les administrateurs de plateformes à une obligation de résultat ou à un quelconque devoir de surveillance quant à leur responsabilité du fait des contenus illicites. C’est là le sens de de l’article 15 de la directive n°2000/31/CE du Parlement européen et du Conseil du 8 juin 2000, selon lequel les Etats membres ne peuvent imposer à ces acteurs une obligation générale de surveiller les informations qu'ils transmettent ou stockent, ou une obligation générale de rechercher activement des faits ou des circonstances révélant des activités illicites.

C’est en vertu d’un tel principe que la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l'économie numérique exclut d’engager la responsabilité, pénale ou civile, des plateformes et hébergeurs, lorsque ceux-ci n’ont pas été informés de l’existence d’un contenu illicite, ou bien lorsque, une fois informé, ils ont réagi promptement afin de faire supprimer un tel contenu, ou d’en rendre l’accès impossible (article 6, I°, alinéas 2 et 3). Il n’en va pas ainsi, évidemment, lorsque ces mêmes acteurs font l’objet d’une injonction, de la part de l’autorité judiciaire. Il est également à noter que l’article 6-4 de la même loi, issu de la loi n° 2021-1109 du 24 août 2021 impose aux plateformes de permettre un signalement efficace des contenus illicites.

Le projet de règlement, tel que validé par la Commission de l’Union européenne, s’il ne prévoit pas de bouleverser fondamentalement le principe de non-responsabilité, précédemment évoqué, renforce néanmoins les obligations relatives aux signalements de contenus abusifs, et à la prévention des risques associés à de tels contenus, avec une gradation des obligations, lesquelles viennent se superposer, en fonction du type d’acteurs: fournisseurs d’accès internet, hébergeurs, plateformes en ligne, et très grandes plateformes.

Si les principes régissant la responsabilité des fournisseurs d’accès demeurent plus ou moins les mêmes, les hébergeurs et les plateformes doivent être en mesure de garantir l’existence d’un système permettant aux utilisateurs de notifier efficacement les contenus illicites, par voie numérique. En ce qui concerne les plateformes, celles-ci doivent encore joindre à ce dispositif de notification électronique un autre dispositif permettant de contester, là encore électroniquement, les décisions qui en résultent: suppression du contenu, suspension de l’accès, suspension ou résiliation du compte d’utilisateur, etc.

coordinateurs pour les services numériques, comité européen pour les services numériques et Signaleurs de confiance

Le projet de règlement a également pour originalité la création de différentes fonctions et institutions de régulation, à l’image du RGPD.

Tout d’abord, celui-ci institue un coordinateur pour les services numériques, autorité de régulation compétente, dans chaque Etat membre de l’Union européenne. Cette autorité se verra confier des pouvoirs de contrôle, et de sanctions. Toutefois, seule la Commission de l’Union européenne demeurerait compétente pour sanctionner les très grandes plateformes. Les sanctions pourraient s’élever jusqu’à 6% du chiffre d’affaires annuel.

En France, il n’est pas certain néanmoins que la législation donne lieu à la création d’une autorité administrative indépendante ad hoc, les fonctions pouvant aisément être endossées par une autorité déjà existante, telle que la toute nouvelle ARCOM, née de la fusion entre le CSA et l’HADOPI.

Les coordinateurs pour les services numériques formeraient encore, au niveau européen, un Comité européen des services numériques (« Digital Services Board »), ainsi qu’au niveau Européen un Comité européen des services numériques, qui est un peu l’équivalent du Comité européen de la protection des données (CEPD). Cette institution aura une tâche essentiellement consultative.

Le DSA crée également une fonction de signaleur de confiance. Il s’agit d’une personne (physique ou morale), désignée par le coordinateur pour les services numériques de l’Etat membre concernée. Il doit présenter des garanties d’expertise quant à la détection et l’identification des contenus illicite, ainsi que des garanties d’indépendance par rapport aux plateformes, et s’acquitter des signalements de manière objective. Ces signalement auront fonction à être traités prioritairement. En sus de procéder, de sa propre initiative, et avec indépendance, à une épuration continue des contenus illicites, il est permis de supposes — du moins la rédaction des texte ne paraît pas l’interdire — que cet acteur pourra encore se voir adresser des demandes spécifiques par des tiers, et recevoir de leur part un mandat, en vue de certaines opérations de suppression de contenus illégaux.

La responsabilité des très grandes plateformes

La catégorie de très grande plateforme en ligne est extrêmement proche de celle de contrôleur d’accès, dont il a été précédemment question. D’ailleurs, le chiffre de 45 millions d’utilisateurs est également retenu.

En plus d’être soumises aux mêmes obligations que les fournisseurs d’accès internet, les hébergeurs et les plateformes simples, les très grandes plateformes doivent encore satisfaire des exigences spécifiques, qui viennent se superposer aux précédentes, non seulement en matière de prévention des contenus illicites, mais également en ce qui concerne la transparence de leur contenu, d’une manière plus générale. Celles-ci doivent ainsi élaborer, à titre préventif, de plans de prévention des risques tenant à la publication de tels contenus illicites, ainsi que prévoir a priori, des mesures d’atténuation raisonnables permettant de minimiser le risque tenant à l’émergence de tels contenus: procédures de modération des contenus efficaces, renforcement des procédures internes de surveillance, coopération avec d’autres plateformes, etc.

L’épineuse question de la publicité ciblée dans le DSA

L’enjeu de la publicité des algorithmes

L’un des apports potentiels du DSA qui suscite actuellement de nombreuses réactions dans les médias concerne sans doute la possibilité de contrôler la publicité ciblée. Dans son état actuel, le texte soumet toutes les plateformes à l’obligation de faire en sorte que l’utilisateur se rendre compte que les informations affichées sont de la publicité, qu’il puisse identifier la personne physique ou morale qui en est l’auteur, ainsi et surtout, qu’il puisse obtenir des informations utiles concernant les principaux paramètres utilisés pour déterminer le bénéficiaire auquel la publicité est présentée (article 24).

Cette dernière exigence est tout à fait importante, car elle entraînerait, de la part des plateformes, une obligation de rendre publique au moins une partie de leurs algorithmes de segmentation. L’on sait, en effet, que la nécessité d’une plus grande transparence quant aux algorithmes utilisés par les plateformes, quelles qu’elles soient, est régulièrement mise en évidence par la doctrine, avec une intensité croissante. Celle-ci constitue, d’ailleurs le prolongement nécessaire des exigences de transparence issues du RGPD et de la directive e-privacy. En effet, il est superflu de pouvoir paramétrer, comme l’exige désormais la CNIL, le consentement dépôt de cookies sur son terminal, en fonction de leur finalités de ces derniers, si, dans le même temps, l’on n’est pas en mesure de déterminer in fine les catégories de segments d’utilisateurs que ceux-ci alimenteront, les personna ainsi générées, etc.

Dans le même temps, les très grandes plateformes seraient, quant à elles, soumises à des obligations supplémentaires, notamment celle de tenir un registre formalisé — un peu l’équivalent du fameux registre des traitements —, inventoriant les principales caractéristiques des campagnes de publicité ciblées menées, sur une durée d’un an : nombre de personnes concernées, critères de ciblage retenus, durée, etc (article 30).

Il est à noter que l’un des amendements présentés dans version du Parlement de l’Union européenne, du 20 janvier 2022 prévoit de compléter l’actuel article 24 en y insérant des exigences beaucoup plus précises et nombreuses quant à la transparence des algorithmes, ainsi que l’obligation, pour les plateformes, d’en rendre compte dans leurs conditions générales (amendement 290).

Vers une interdiction de la publicité ciblée adressée aux mineurs, ainsi que de la publicité ciblée fondée sur les données sensibles

La publicité des algorithmes ne sera vraisemblablement pas le seul enjeu du DSA. En effet, il faut rappeler que, dans un avis du 10 février 2021, le Comité européen de la protection des données (CEPD), avait pu se prononcer en faveur d’une sur une interdiction de la publicité ciblée reposant sur un suivi omniprésent. De plus l’on s’ait qu’une partie des eurodéputés défend l’interdiction totale totale de la publicité ciblée… et le remplacement de celle-ci par une publicité uniquement contextuelle… solution qui aurait au moins le mérite de la simplicité.

Une telle position n’a pas manqué d’être critiquée presque aussitôt par l’IAB France et l’IAB Europe — association présente dans le monde entier, et chargée, non seulement de regrouper les acteurs de la publicité électronique, ainsi que de normaliser les procédures, notamment le recueil du consentement.

C’est certainement sous l’influence de cette fraction abolitionniste que, dans sa proposition du 20 janvier, le Parlement européen a introduit un amendement visant à interdire progressivement la publicité ciblée se fondant sur des données sensibles, au sens de l’article 9 du RGPD: données à caractère médical, données révélant l'orientation sexuelle, l'origine raciale ou ethnique, l’appartenance syndicale, politique, les croyances religieuses (amendement 157). Ce même amendement prévoit également l'interdiction progressive de la publicité ciblée adressée aux mineurs, ainsi que, de manière générale, de toute publicité ciblée dont la motivation ne serait pas commerciale, telle que la communication politique. Il est à noter, toutefois que de telles pratiques sont d’ores et déjà interdites, en vertu du RGPD…

Le débat devra, en tout état de cause, se poursuivre dans le cadre du trilogue Parlement, Commission, Conseil de l’Union européenne… et sous étroite supervision de la France, puisque c’est elle qui présidera cette dernière institution…

***

Est-on à l’aube d’une révolution Copernicienne en matière de publicité en ligne? Le débat est en tout cas loin d’être clos — techniquement, il ne fait que commencer… Si la volonté de mettre fin aux dérives de la publicité ciblée est plus que louable, force est de constater que, comme cela est pratiquement toujours le cas dans le secteur du numérique, une réglementation trop stricte et trop brusque risque d’avoir des effets pervers.

L’option consistant en l’interdiction totale et immédiate de toute publicité ciblée risque de desservir la cause du droit de la concurrence, et, partant, celle de l’Union européenne… outre le fait qu’elle entraînerait la ruine certaine de nombreux acteurs intermédiaires du numérique, y compris des acteurs français positionnés dans ce domaine, et qu’elle ne serait sans doute jamais appliquée par les géants tout puissants, celle-ci favoriserait encore, d’une manière plus générale, hors du secteur du numérique, les très grandes entreprises au détriment des plus petites, pour lesquelles le recours à la publicité ciblée s’avère être un outil indispensable… Ce biais n’a d’ailleurs pas manqué d’être dénoncé.

En tout état de cause, il est fort peu probable que l’on s’oriente vers l’option abolitionniste compte tenu du projet arrêté par le Parlement… et du trilogue à venir.

Notons que presque au même moment, le 18 janvier, des élus démocrates américains ont présenté un projet de loi visant, lui aussi à interdire totalement la publicité ciblée, la Banning Surveillance Act.

Affaire à suivre donc!

Sur le même thème

 
Mis en avant
La CJUE revient à la charge sur la la question de la conservation des données de connexion
La CJUE revient à la charge sur la la question de la conservation des données de connexion

Près d’un an après l’arrêt du Conseil d’Etat, du 21 avril 2021, La Quadrature du net, que nous n’avions pas manqué de commenter dans le présent blog, l’épineuse question de l’exploitation des données connexion des utilisateurs des services de téléphonie et des fournisseurs d’accès à internet revient sur le devant de la scène avec un arrêt du 5 avril 2022, de la Cour de justice de l’Union européenne Commissioner of the Garda Síochána e.a. (C‑140/20).

Le Conseil d'Etat tranche sur la conservation des données de connexion
Le Conseil d'Etat tranche sur la conservation des données de connexion

Il a déjà été longuement question, dans les pages du présent blog, de l’ingérence des agences gouvernementales américaines dans la vie privée des européens via les données détenues par les GAFAM, via l’article 702 du FISA. En effet, l’on sait que la possibilité qu’ont notamment la NSA et le FBI de procéder à une collecte en vrac des données des internautes a été l’un des éléments de discorde au sujet de l’équivalence transatlantique en matière de protection des données personnelles, et a justifié la censure de l’accord du Privacy Shield l’été dernier

Recommandations du CEPD suite à l'arrêt « Schrems II »: la méthodologie du « test » des transferts précisée
Recommandations du CEPD suite à l'arrêt « Schrems II »: la méthodologie du « test » des transferts précisée

Un peu moins de quatre mois après la retentissante décision « Schrems II » de la Cour de justice, dont il a été question dans une précédente publication, c’est au tour du Comité européen de protection des données personnelles (CEPD) d’apporter des précisions sur les règles s’appliquant aux transferts de ces mêmes données en direction de pays tiers, non membres de l’Union européenne, dans un projet de recommandation du 10 novembre dernier

La publicité ciblée en déAlexis Deroudille