Paris, le 26 septembre 2014 Proposition de règlement sur la protection des données : Ne pas hypothéquer la croissance de l économie de demain Les débats sur la proposition de règlement sur la protection des données entrent dans une phase décisive suite au vote en plénière du Parlement européen qui a eu lieu le 13 mars dernier et en vue de la prochaine réunion du Conseil de l UE des prochains 9 et 10 Octobre ceci dans le but d obtenir un accord afin de commencer les trilogues avec le Parlement européen. L IAB et le SRI qui ont pris position le 22 mai 2014 encouragent les différents acteurs du débat à se dégager de toute position idéologique et à privilégier la mise en place de propositions pragmatiques et négociées en vue de préserver le potentiel de croissance de la France dans le secteur du numérique. I. L IAB France et le SRI sont deux associations particulièrement représentatives de l économie numérique française L'IAB France (Interactive Advertising Bureau) est une association indépendante créée en 1998 dont la mission est triple: structurer en France le marché de la communication digitale, favoriser son usage et optimiser son efficacité. Elle compte à ce jour près de 130 sociétés membres dont une grande partie sont des PME innovantes et représente l ensemble des acteurs de la chaîne de la communication interactive (éditeurs, régies, agences, annonceurs, instituts d études, fournisseurs de technologies, etc.). Le Syndicat des Régies Internet (SRI) a été créé en 2003 à l'initiative des principales régies publicitaires afin de valoriser les spécificités et la compétitivité du média online mais aussi de faciliter son accès par une simplification, une organisation et une professionnalisation de son offre publicitaire. 1
Aujourd'hui, les 27 régies membres du SRI, avec une audience dédupliquée de plus de 42,8 millions de VU sur l internet fixe, soit plus de 92 % des internautes et de 28 millions de VU sur l internet mobile (plus de 87% des mobinautes) 1 contribuent chaque jour à faire de la publicité un moteur de la croissance du numérique en France puisqu elle finance une partie importante des contenus. Le numérique ne concerne pas uniquement les acteurs du web mais la grande majorité des acteurs de l économie française : le rapport sur la fiscalité du numérique du Conseil National du Numérique rendu le 10 septembre 2013 reconnaît la nécessité de la France de faire de l économie numérique un levier de croissance durable Le libre accès à internet financé par la publicité en ligne permet aux internautes d économiser 69 milliards d euros (Septembre 2012, McKinsey). II. La protection des données est une préoccupation constante pour l IAB France et le SRI qui n ont pas attendu les initiatives du législateur pour agir : La plateforme YOC «Your Online Choices» http://www.youronlinechoices.com/fr. Elle permet aux internautes d avoir une information complète et transparente sur l usage qui est fait de leurs données et de contrôler par eux même le paramétrage de leurs cookies. Le succès de cette approche pédagogique est réel puisque seule une minorité d internautes décide d en bloquer l accès après avoir été préalablement informé : 6,82% en septembre 2013. 2 Les éléments de langage sur la protection des données sont largement diffusés par le réseau des IAB en Europe et au sein des membres du SRI. Le Guide des bonnes pratiques du 10 avril 2012 de l Union française du Marketing direct (UFMD) dont l IAB France et le SRI sont cosignataires impose un usage des cookies ciblé et respectueux des intérêts des internautes III. Dans le cadre de l examen de la proposition de règlement européen sur la protection des données, l IAB France et le SRI soutiennent une solution respectueuse des intérêts des internautes tout en préservant le potentiel de croissance de l économie numérique. 1 Source : Médiamétrie 1 er semestre 2014 2 Statistiques «Your Online choices» - IAB Europe 2013 2
Sous leur forme actuelle, certaines propositions de la commission LIBE ont été accueillies très favorablement. Néanmoins, d autres dispositions du texte risquent d impacter de manière négative le dynamisme de la filière : L élargissement de la définition des données personnelles risque d entraver l activité d un grand nombre d acteurs du numérique, qu il s agisse de l analyse de la fréquentation des sites, du web analytics 3, du ciblage et de diffusion de la publicité ou de la facturation en ligne. Le texte en l état prévoit de l étendre à toute donnée qui contient de l information sur une personne physique identifiée ou identifiable. Une personne identifiable est celle qui peut être identifiée directement ou indirectement, notamment par référence à un identifiant tel qu un nom, un numéro, la géolocalisation, ou par référence à un identifiant spécifique lié à une caractéristique physique, physiologique, génétique, économique, culturelle, sociale ou fondée sur le sexe de cette personne. Ainsi, la définition des données personnelles retenue s efforce de couvrir tous les moyens permettant de distinguer une personne déterminée. Bien que l élargissement du champ des données traditionnellement couvertes par le Règlement inquiète les acteurs de notre secteur, ceux-ci saluent l approche des données pseudonymes adoptée par le Parlement européen. En retenant une définition fonctionnelle pour cette sous-catégorie de données personnelles, le Parlement européen a posé les jalons d un traitement différencié des identifiants numériques habituellement utilisés au soutien des pratiques commerciales de notre secteur. Le Parlement européen reconnait ainsi aux données pseudonymes un statut particulier. Le Conseil de l UE est en train d évoluer vers une conception de la pseudonymisation en tant que processus tout en reconnaissant que les travaux au niveau technique doivent poursuivre. L IAB France et le SRI, appellent les autorités nationales et européennes à soutenir la nécessité d une définition claire des données sous pseudonymes tel qu envisagé initialement pour des raisons de sécurité juridique. Un traitement différencié des données sous pseudonymes découlant d une définition explicite est parfaitement justifié dans la mesure où la nature même des données pseudonymes garantit une protection renforcée de la vie privée. Cette approche permet la protection, non seulement de la vie privée mais aussi des entreprises du numérique qui peuvent continuer à développer des services 3 Le web analytics (ou web analytique) a pour objet de quantifier la fréquentation d'un site en fonction d'indicateurs tels que le nombre de visiteurs uniques, les pages vues, les visites, la durée moyenne des visites. Il regroupe la mesure, la collecte, l'analyse et la présentation de données provenant d'internet utilisées afin de comprendre et d'optimiser l'utilisation du Web. 3
innovants et personnalisés sans avoir à identifier des consommateurs et des citoyens en particulier Un point positif du texte réside dans les règles relatives au profilage (suivi anonyme ou sous pseudonyme des habitudes de consommation) qui ont été assouplies dans l hypothèse où les données traitées sont sous pseudonyme, à l instar de la législation allemande dont l efficacité a été prouvée. Cette mesure qui est la seule dans le texte à pouvoir préserver l activité des différents acteurs de la publicité en ligne, mais également des filières du marketing et du web analytics doit absolument être préservée, mais nécessiterait d être incluse dans le corps du texte plutôt que dans les considérants. Les règles relatives au consentement des internautes sont durcies : il doit désormais systématiquement être précédé d une action positive et les sociétés qui le sollicitent doivent désormais prouver ce caractère explicite. Le consentement est ainsi donné au cas par cas, ce qui pose un sérieux problème aux entreprises de BtoB dont les opérations sont multiples. Les aménagements de la directive e-privacy qui laissaient une place au consentement implicite (opt-out) sont ainsi supprimés pour privilégier un consentement explicite strict (opt-in). La mise en place de ces changements portera préjudice à l ensemble de l économie numérique en ralentissant le flux de la bande passante et en imposant à tous les acteurs, dont la majorité sont des PME, des coûts de transformation additionnels. Cette approche risquerait également d engendrer un effet pervers en procurant un avantage compétitif aux entreprises qui conditionnent l accès à leurs sites à une inscription préalable ou à une connexion de l utilisateur à son compte ; ceci par rapport à celles dont les sites ne nécessitent pas une telle action de la part de l utilisateur.. Les PME risquent d être impactées : selon une récente étude 4, l application du texte pourrait engendrer une hausse des coûts fixes pour les entreprises avec un impact négatif sur l emploi et les créations d entreprises. Le BtoB risque d être particulièrement impacté par des pertes d emploi oscillant entre 0,2 et 0,6% et une disparition des entreprises variant entre 3 et 5%. La mise en place d un droit systématique à l effacement des données dans une société qui se digitalise risque de porter préjudice à l archivage et à la mémoire collective. L arrêt de la CJUE du 13 mai 2014 a eu le mérite de lancer de débat sur 4 L. Christensen (Analysis group Denver), A. Colciago (Université de Milan), F. Etro (Université de Venise) «The impact of Data regulation in the EU», 13 février 2013 4
ce sujet, tout en faisant part de sa complexité. Il serait prudent que le Conseil ne prenne pas une décision précipitée à l égard du droit à l oubli au moment où les CNIL européennes ainsi que les acteurs privés concernés cherchent à apporter une solution technique sur ce point. Néanmoins, toute solution retenue devra assurer le juste équilibre entre le droit à la vie privée et d autres droits fondamentaux, notamment celui de la liberté d expression, ainsi que son application par les autorités publiques compétentes. Le niveau des sanctions administratives a été plus que doublé par le Parlement européen par rapport à la proposition initiale de la Commission, passant de 2% à 5% du chiffre d affaire global des entreprises. Sans remettre nécessairement en cause le principe des sanctions, leur niveau trop élevé risque de pénaliser l économie numérique européenne en affectant son attractivité par rapport à celle des autres pays. L approche des sanctions retenue apparaît comme un emprunt inapproprié aux principes du droit de la concurrence. Il conviendrait davantage d aménager des solutions spécifiques telles que des injonctions, bien plus appropriées au regard des droits de l Homme et des règles de protection des consommateurs. A ces égards, même la proposition initiale des 2% semble disproportionnée.. 3.1. L IAB France et le SRI recommandent ainsi un certain nombre d aménagements à la version actuelle du texte afin de concilier la préservation du potentiel de la filière numérique tout en tenant compte de la protection légitime des intérêts du consommateur. La définition des données personnelles (art. 4) : L IAB France et le SRI proposent de limiter la définition aux données qui permettent d identifier directement une personne déterminée. Les données anonymes (art. 4) Ces données échappent par définition au régime imposé aux données personnelles. L IAB France et le SRI expriment leur attachement à ce qu elles soient définies clairement et à ce qu elles intègrent sans ambiguïté les données qui ne sont pas personnelles afin de dissiper toute ambigüité juridique. Les données sous pseudonyme (art.4) 5
L IAB France et le SRI ne peuvent que saluer la reconnaissance par le Parlement européen des données sous pseudonyme. Elle répond en effet à la fois aux attentes des professionnels du numérique et des consommateurs. Elle préserve les intérêts des consommateurs puisque les données pseudonymes sont considérées comme des données personnelles (art. 4) et assorties d un certain nombre de garanties telles que la mise en place de dispositifs de contrôle séparés et distincts techniquement (art. 4), ainsi qu un droit d objection (art. 19). Elle préserve l activité des entreprises qui peuvent par dérogation les traiter sans autorisation ou consentement préalable puisque la personne n est pas reconnaissable (art. 6 + considérants), ce qui légitime par ailleurs le recours au profilage (art. 20 + considérants). L IAB France et le SRI soulignent par ailleurs que dans de nombreux pays, les données sous pseudonymes sont assimilées aux données anonymes. Ceci ne peut qu encourager les parties prenantes au débat à promouvoir cette solution pragmatique qui consiste à trouver un bon compromis entre les entreprises et les consommateurs. Ce concept est d ailleurs appliqué avec succès dans la législation allemande (Telemedia Act 15.3) et a reçu le soutien du Président de l autorité allemande de protection des données. L IAB et le SRI soutiennent l application d une telle approche qui a déjà fait ses preuves au niveau européen. Droit à l effacement ou au «gommage» (art. 17) Les dispositions actuelles du texte ont pour effet de systématiser le droit à l oubli dès lors que le sujet de données en fait la demande. Le récent arrêt de la CJUE a fait peser sur les opérateurs un élément d incertitude et va au-delà des contraintes imposées à l économie physique où l archivage papier et la conservation des fichiers est une réalité. En l état, le cadre de définition du droit à l effacement n est pas suffisamment abouti, et son articulation avec le profilage n a pas encore été clarifiée. L IAB France et le SRI souhaitent qu une solution pragmatique soit trouvée en accord avec les professionnels qui s efforceraient en contrepartie à renforcer l information des sujets de données sur la finalité du traitement de leurs données. Les aggregate data reports (web analytics) (art. 83) 6
Les outils d analyse des données et de fréquentation des sites sont essentiels au fonctionnement de l économie de demain. Ils permettent aux entreprises d aller au-devant des attentes du consommateur tout en préservant leurs intérêts lorsque l utilisation des données récoltées se fait de manière anonyme ou sous pseudonyme. Pour ces raisons et sous les conditions qui viennent d être évoquées, l IAB France et le SRI souhaitent que les aggregate data reports soient exclus du champ d application de la proposition de règlement. Le profilage (article 20) La proposition de règlement sous sa forme actuelle prévoit un cadre encore trop restrictif. Dans le même esprit que les points précédents, l IAB France et le SRI proposent un certain nombre d aménagements : - Remplacer le terme «personne physique» par celui de «sujet de données» qui est en cohérence avec le traitement des données sous pseudonyme - Inclure le terme effet légal adverse et supprimer le terme «affectant de manière significative» pour clarifier la terminologie - Limiter les possibilités d opposition au profilage aux hypothèses de données sensibles, à l exception du profilage produisant des effets juridiques à l égard du sujet de données. - Etudier plus profondément les conséquences juridiques du règlement en matière de transfert de responsabilité entre responsables du traitement et sous-traitants et les conflits de juridictions possibles. - Approfondir, au sein de l Article 20, le principe de l intérêt légitime appliqué aux activités de profilage à partir de pseudonymes ; ce principe n étant évoqué, pour l heure, que dans les Considérants. Le consentement (article 7) La transposition en France de l article 5.3 de la directive eprivacy de 2009 par l Ordonnance du 24 Août 2011 permet virtuellement aux entreprises numériques de présumer le consentement de l internaute tant que celui-ci ne s oppose pas au traitement de ses données (opt-out), ce qui offre aux deux parties une facilité d utilisation. La remise en cause de ce dispositif par la recherche systématique du consentement de l Internaute risque de créer des rigidités supplémentaires sur un marché où les professionnels ont eu à cœur d informer les internautes du 7
traitement de leurs données (exemple : la plateforme Youronlinechoice soutenue par l IAB). L IAB France et le SRI soutiennent la solution actuelle de la directive eprivacy qui laisse aux entreprises des marges de manœuvre tout en préservant les intérêts des consommateurs. Les sanctions administratives (article 79) L IAB France et le SRI font part de leur inquiétude quant à l instauration le Parlement européen de niveaux de sanctions comparables aux amendes infligées par les autorités de concurrence (5% du chiffre d affaire), ce qui serait manifestement disproportionné et fragiliserait significativement l économie numérique européenne. 3.2. L IAB France et le SRI ne peuvent qu attirer l attention du législateur sur les effets contreproductifs de l instauration de tels niveaux de sanctions, à l heure même où l achèvement du marché unique numérique est une priorité. IV. Prendre le temps pour trouver une solution équilibrée à l échelle européenne L IAB France et le SRI souhaitent qu un délai suffisant permette de concilier encore davantage les deux préoccupations du Conseil que sont la réalisation du potentiel de l économie numérique européenne et la légitimité de la protection des consommateurs. L IAB France et le SRI soutiennent par ailleurs la recherche d une solution au niveau européen, qui elle seule pourra supprimer les disparités législatives entre les Etats européens et garantir ainsi la visibilité et la stabilité normative nécessaire à l épanouissement de l économie numérique. Par conséquent l IAB France et le SRI estime qu un règlement européen serait l instrument adéquat à cet effet. L IAB France et SRI souhaitent sensibiliser les autorités françaises à la nécessité d une approche commune avec leurs homologues, seule à même de préserver la compétitivité du secteur digital européen et donc celui de la France. V. La saisine par le Premier ministre du Conseil National du Numérique en vue de l élaboration de la grande loi sur le numérique prévus pour 2015, donne l opportunité aux autorités françaises d accompagner favorablement les entreprises vers leur transition digitale plutôt que durcir davantage la législation européenne et pénaliser encore plus les acteurs français 8
L économie numérique est extrêmement volatile mais la France reste pour l instant un pays attractif pour une filière innovante et créatrice d emploi en (ex. Weborama, Criteo) L instabilité fiscale cumulée à un durcissement des règles sur la protection des données risque de créer une «double peine» La France ne doit pas être isolée et pénalisée par rapport à ses voisins européens et perdre ses avantages concurrentiels L IAB France et le SRI sont à la disposition des autorités publiques pour parvenir à concilier avec pragmatisme les deux préoccupations que sont la préservation d une filière d avenir et la protection des internautesa propos de l IAB France L'IAB France (Interactive Advertising Bureau) est une association créée en 1998 dont la mission est triple: structurer le marché de la communication digitale, favoriser son usage et optimiser son efficacité. Elle compte à ce jour 130 sociétés membres, représentant l ensemble des acteurs de la chaîne de la communication interactive (éditeurs, régies, agences, annonceurs, instituts d études, fournisseurs de technologies, etc.). A travers ses publications, ses études et les événements qu elle organise, l association se met au service des annonceurs et de leurs agences conseil pour les aider à intégrer les médias numériques efficacement dans leur stratégie de marketing globale, et entend proposer des standards, des exemples de pratiques professionnelles aux nouveaux acteurs intégrant le marché du digital. L'IAB est par ailleurs un réseau d'experts au service des autres organisations professionnelles, des institutions et des médias qui s'interrogent sur l'impact du développement de cette nouvelle donne économique. L'IAB France est une entité indépendante, faisant partie du réseau mondial d'affiliés de l'interactive Advertising Bureau. Le Président de l IAB France est David Lacombled, Directeur délégué à la stratégie de contenus, Orange www.iabfrance.com A propos du SRI Le Syndicat des Régies Internet (SRI) a été créé en juillet 2003 à l'initiative des principales régies publicitaires françaises afin de promouvoir et développer le média Internet en France. La démarche du SRI : soutenir les investissements et le développement du média Internet, valoriser les spécificités et la compétitivité du média, faciliter l'accès au média Internet par une 9
professionnalisation et une simplification des offres, exploiter la créativité du média, et assurer la représentativité du Syndicat auprès de l ensemble des acteurs de la publicité interactive. 3W Régie, Amaury Médias, AuFéminin, Caradisiac Publicité, CCM Benchmark Advertising, Dailymotion Avdertising, Ebuzzing, Express Roularta Services, FigaroMedias, France Télévisions Publicité, GMC Connect, HiMédia, Lagardère Active Publicité, Leboncoin.fr, LesEchosmédias, M Publicité, M6 Publicité Digital, Microsoft Advertising France, Next Régie, Orange Advertising, Overviews, Prisma Media, Régie Obs, SFR Régie, Solocal Network, TF1 Publicité Digital, Yahoo et Web66 sont membres du SRI. Le président est Arthur Millet, directeur digital d Amaury Médias et le vice-président, Eric Aderdor, directeur général d Horyzon Media. www.sri-france.org 10