Ciblage publicitaire en ligne : quel plan d’action de la CNIL ?
Régulièrement sollicitée par le grand public et les professionnels du secteur du marketing en ligne concernant le ciblage publicitaire, la CNIL a élaboré un plan d’action pour l’année 2019-2020 afin de préciser les règles applicables et d’accompagner les acteurs dans leur mise en conformité.
La CNIL reçoit de nombreuses plaintes individuelles et collectives (La Quadrature du Net, Privacy International, NOYB) relatives au marketing en ligne. En 2018, 21 % des plaintes reçues concernaient le marketing au sens large.
Dans le même temps, les professionnels du secteur du marketing en ligne et leurs représentants cherchent à mieux comprendre leurs obligations issues notamment du règlement général sur la protection des données (RGPD). Les mises en demeure récentes en matière de ciblage publicitaire qui ont été clôturées ont aussi suscité des questions.
La CNIL a donc décidé de faire du ciblage publicitaire en ligne un sujet prioritaire pour 2019.
Le secteur du marketing en ligne est soumis à deux règlementations posant des conditions exigeantes, notamment en matière de consentement : le RGPD et les textes nationaux pris pour la transposition de la Directive de 2002, modifiée en 2009, sur la protection de la vie privée dans le secteur des communications électroniques (dite « ePrivacy »).
Les questionnements des acteurs du secteur du marketing en ligne portent sur deux sujets centraux : la prospection commerciale et les cookies (et autres traceurs).
- Sur les problématiques relatives à la prospection commerciale (ou « opt-in partenaire ») : la CNIL a communiqué à plusieurs reprises les règles de droit applicables (lors de rencontres avec les représentants du secteur, sur son site web en décembre 2018). Elle a laissé aux acteurs une période de mise en conformité de 6 mois, qui est désormais arrivée à échéance.
- Sur la problématique des cookies et autres traceurs : l’entrée en application du RGPD et les lignes directrices du Comité européen de protection des données sur le consentement sont venues renforcer les exigences en matière de consentement. Elles excluent explicitement que la poursuite de la navigation sur un site puisse constituer une expression valable du consentement. La recommandation de la CNIL de 2013 portant sur les cookies et autres traceurs, parce qu’elle permet le recueil du consentement via la simple poursuite de la navigation, n’est donc plus en phase avec les règles applicables.
Sans attendre l’adoption du règlement ePrivacy, actuellement en cours de discussion et qui n’entrera pas en vigueur à court terme, la CNIL doit actualiser ses cadres de référence afin de les mettre en conformité avec le droit applicable. Cette mise à jour répond à un objectif de protection des personnes concernées et de sécurisation juridique pour les acteurs économiques.
Le plan d’action de la CNIL
Pour accompagner les acteurs dans leur mise en conformité, la CNIL a élaboré un plan d’action pour l’année 2019-2020. Ce plan comporte deux étapes principales qui ont été présentées aux représentants des professionnels, à l’occasion d’une réunion qui s’est tenue le 25 avril 2019 à la CNIL.
Etape 1 : publication de nouvelles lignes directrices en juillet 2019
En juillet, la CNIL va abroger sa recommandation cookies de 2013, devenue obsolète à certains égards (notamment sur l’expression du consentement) et publier des lignes directrices rappelant les règles de droit applicables. Ces lignes directrices se fonderont sur les éléments ayant déjà fait l’objet d’une interprétation harmonisée au niveau européen.
La CNIL laissera aux acteurs une période transitoire de 12 mois, afin qu’ils aient le temps de se conformer aux principes qui divergent de la précédente recommandation. Durant cette période de transition, la poursuite de la navigation comme expression du consentement sera donc considérée par la CNIL comme acceptable.
Néanmoins, la CNIL continuera à instruire les plaintes et le cas échéant à contrôler, entre autres, qu’aucun dépôt de cookies n’a lieu avant le recueil du consentement. Les obligations n’ayant fait l’objet d’aucune modification dans les lignes directrices (par exemple information, retrait du consentement) ainsi que les autres obligations du RGPD (par exemple les obligations en matière de sécurité) pourront également faire l’objet de contrôles et, le cas échéant, de mesures correctrices, durant cette période transitoire.
Etape 2 : concertation avec les professionnels pour élaborer d’ici à décembre 2019 – début 2020 une nouvelle recommandation proposant des modalités opérationnelles de recueil du consentement
Des groupes de travail se tiendront au second semestre 2019 entre les services de la CNIL et chaque catégorie d’acteurs (éditeurs de contenus, annonceurs, prestataires et intermédiaires de l’écosystème du marketing, représentants de la société civile), par l’intermédiaire de leurs organisations professionnelles représentatives. Ces travaux auront pour but de décliner les modalités pratiques de recueil du consentement et d’alimenter la réflexion. La CNIL publiera sa recommandation, pour consultation publique, fin 2019 ou, au plus tard, début 2020. La CNIL procèdera à des vérifications du respect de la recommandation finale 6 mois après son adoption définitive.