Protection des données personnelles - Sia Partners vous accompagne !
Cookies & do not track b. docquir
1. BDMA – LEGAL DAY
19/06/2013
Benjamin Docquir
Cookies & Do-Not-Track
« Where do we stand ? Where
do we go ? »
Partner @ SimontBraun
(www.simontbraun.eu)
2. PLAN
1.
COOKIES = LA PARTIE VISIBLE DE L’ICEBERG …
2.
RÉGLEMENTATION INADAPTÉE ?
3.
D-N-T = UN ESSAI DE SELF-REGULATION « TECHNIQUE »…
4. 1.COOKIES ?
1. Une forme de « ciblage » parmi d’autres
2. Un moyen technique susceptible de plusieurs utilisations possibles
3. Une pluralité d’intervenants
6. 2. UNE RÉGLEMENTATION INADAPTÉE ?
1. Réglementation « technique »
2. Réglementation générale « vie privée »
7. 2.1. Principes généraux « data protection»
1. Annonceur / Agence / Régie / « Ad networks » / Editeur de service / Autres
prestataires spécialisés / …
2. Le responsable du traitement : « détermine les finalités et les moyens » ;
le sous-traitant « traite pour le compte du responsable »
•
Avis 1/2010 du 16.02.2010 du Groupe 29 (WP 169)
•
La ratio legis est la protection des individus, et le texte légal permet dès lors
de conclure à la responsabilité conjointe dans de nombreux cas où chacune
des parties exploite au moins une partie des données pour un intérêt propre
•
Cf. exemple n 14 dans l’avis 1/2010 : éditeur du site et ad network provider
sont des responsables conjoints, en fonction des conditions de leur
collaboration (e.g. « re-directing the user to the ad network provider
webpage »)
8. 2.1. Principes généraux « data protection»
Toute relation avec un sous-traitant est encadrée par l’article 16 de la loi
1.
•
•
•
2.
Choix du sous-traitant
Contrat écrit stipulant les obligations et responsabilités
Mesures de sécurité et de confidentialité
Clauses de garantie dans les contrats avec les différents prestataires ? (ad
networks, plateformes de services ou de contenus, list brokers, etc.)
9. 2.1. Principes généraux « data protection»
1.
Les finalités doivent être « explicites » : une référence vague à « des fins de
marketing direct » ne paraît donc pas suffire (de plus, la notion de marketing
direct n’est pas définie de façon univoque dans un texte)
2.
À long terme, la transparence lors de la collecte est payante (cf. la problématique
de la réutilisation des données à des fins autres, et l’appréciation selon les
« attentes raisonnables » du consommateur) … mais pas toujours possible
10. 2.1. Principes généraux « data protection»
1. La commission belge de la protection de la vie privée tend à imposer une
exigence générale de consentement comme fondement unique ou quasi
unique dans certains cas :
•
•
•
Usage de certains moyens (courriel, sms, fax, etc.)
•
•
Face à des mineurs
Usage de données sensibles
Incompatibilité avec la finalité initiale (p. ex. list renting/selling non annoncé
au départ, ou fusion ou restructuration d’entreprises)
En cas de marketing viral
2. Contra legem ?
•
Discussion ouverte sur le statut de cet organisme « invincible »… et
de possibles futures sanctions !
11. 2.2. Règlementation « technique »
1. Cookies et logiciels espions
•
informations obligatoires et obligation de consentement préalable (art. 129 de la loi du 13 juin
2005 sur les communications électroniques)
•
•
•
•
Pas de distinctions entre 1st party et 3d party cookies, entre permanents et temporaires, etc.
Deux exceptions:
Transit technique
Service demandé par l’utilisateur
2. Adresses IP
•
Un statut toujours incertain au regard de la loi vie privée (voy. aussi considérant 52 de la
directive 2009/136)
3. Vers un « domicile virtuel » inviolable ?
•
•
BVerfG, 27 février 2008
Champ d’application de la directive 2002/58 (données de trafic et de localisation, puces RFID,
« lien » entre l’information transmise et l’utilisateur qui la reçoit)
4. Irréaliste au regard des évolutions récentes du « law enforcement » ?
12. Art. 129
« Le stockage d'informations ou l'obtention de l'accès à des informations déjà
stockées dans les équipements terminaux d'un abonné ou d'un utilisateur est
autorisée uniquement à condition que :
1° l'abonné ou l'utilisateur concerné reçoive conformément aux conditions fixées
dans la loi du 8 décembre 1992 relative à la protection de la vie privée et à l'égard des
traitements de données à caractère personnel, des informations claires et précises
concernant les objectifs du traitement et ses droits sur la base de la loi du 8
décembre 1992;
2° l'abonné ou l'utilisateur final ait donné son consentement après avoir été informé
conformément aux dispositions visées au point 1°.
13. Art. 129
L'alinéa 1er n'est pas d'application pour l'enregistrement technique des informations
ou de l'accès aux informations stockées dans les équipements terminaux d'un
abonné ou d'un utilisateur final ayant pour seul but de réaliser l'envoi d'une
communication via un réseau de communications électroniques ou de fournir un
service demandé expressément par l'abonné ou l'utilisateur final lorsque c'est
strictement nécessaire à cet effet.
Le consentement au sens de l'alinéa 1er ou l'application de l'alinéa 2, n'exemptent pas
le responsable du traitement des obligations de la loi du 8 décembre 1992 relative à la
protection de la vie privée à l'égard des traitements de données à caractère personnel
qui ne sont pas imposées par le présent article.
Le responsable du traitement donne gratuitement la possibilité aux abonnés ou
utilisateurs finals de retirer le consentement de manière simple. »
14. Directive 2002/58, modifiée en 2009
Article 5
Confidentialité des communications
1. Les États membres garantissent, par la législation nationale, la confidentialité
des communications effectuées au moyen d'un réseau public de
communications et de services de communications électroniques accessibles au
public, ainsi que la confidentialité des données relatives au trafic y afférentes. En
particulier, ils interdisent à toute autre personne que les utilisateurs d'écouter,
d'intercepter, de stocker les communications et les données relatives au trafic y
afférentes, ou de les soumettre à tout autre moyen d'interception ou de
surveillance, sans le consentement des utilisateurs concernés sauf lorsque cette
personne y est légalement autorisée, conformément à l'article 15, paragraphe 1.
Le présent paragraphe n'empêche pas le stockage technique nécessaire à
l'acheminement d'une communication, sans préjudice du principe de
confidentialité.
2. Le paragraphe 1 n'affecte pas l'enregistrement légalement autorisé de
communications et des données relatives au trafic y afférentes, lorsqu'il est
effectué dans le cadre des usages professionnels licites, afin de fournir la preuve
d'une transaction commerciale ou de toute autre communication commerciale.
15. Directive 2002/58, modifiée en 2009
Article 5
Confidentialité des communications
3. Les États membres garantissent que le stockage d'informations, ou l’obtention
de l’accès à des informations déjà stockées, dans l’équipement terminal d’un
abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou
l’utilisateur ait donné son accord, après avoir reçu, dans le respect de la
directive 95/46/CE, une information claire et complète, entre autres sur les
finalités du traitement. Cette disposition ne fait pas obstacle à un stockage ou à
un accès techniques visant exclusivement à effectuer la transmission d’une
communication par la voie d’un réseau de communications électroniques, ou
strictement nécessaires au fournisseur pour la fourniture d’un service de la
société de l’information expressément demandé par l’abonné ou l’utilisateur.
16. Directive 2002/58 (modifiée en 2009)
Considérants
(24) L'équipement terminal de l'utilisateur d'un réseau de communications
électroniques ainsi que toute information stockée sur cet équipement
relèvent de la vie privée de l'utilisateur, qui doit être protégée au titre de la
convention européenne de sauvegarde des droits de l'homme et des
libertés fondamentales. Or, les logiciels espions, les pixels invisibles (web
bugs), les identificateurs cachés et les autres dispositifs analogues
peuvent pénétrer dans le terminal de l'utilisateur à son insu afin de pouvoir
accéder à des informations, stocker des informations cachées ou suivre
les activités de l'utilisateur, et peuvent porter gravement atteinte à la vie
privée de ce dernier. L'utilisation de tels dispositifs ne devrait être
autorisée qu'à des fins légitimes, et en étant portée à la connaissance de
l'utilisateur concerné.
17. Directive 2002/58 (modifiée en 2009)
Considérants
(25) Cependant, les dispositifs de ce type, par exemple des témoins de connexion
(cookies), peuvent constituer un outil légitime et utile, par exemple pour évaluer
l'efficacité de la conception d'un site et de la publicité faite pour ce site, ainsi que pour
contrôler l'identité des utilisateurs effectuant des transactions en ligne. Lorsque des
dispositifs du type précité, tels que des témoins de connexion, sont destinés à des fins
légitimes, par exemple faciliter la fourniture de services de la société de l'information, leur
utilisation devrait être autorisée à condition que les utilisateurs se voient donner des
informations claires et précises, conformément à la directive 95/46/CE, sur la finalité des
témoins de connexion ou des dispositifs analogues de manière à être au courant des
informations placées sur l'équipement terminal qu'ils utilisent. Les utilisateurs devraient
avoir la possibilité de refuser qu'un témoin de connexion ou un dispositif similaire soit
placé sur leur équipement terminal. Ce point est particulièrement important pour les cas
où des utilisateurs autres que l'utilisateur original ont accès à l'équipement terminal et
donc aux données sensibles à caractère privé qui y sont stockées. L'information relative
à l'utilisation de plusieurs dispositifs à installer sur l'équipement terminal de l'utilisateur
ainsi que le droit de refuser ces dispositifs peuvent être offerts en une seule fois pendant
une même connexion, et couvrir aussi l'utilisation future qui pourrait être faite de ces
dispositifs durant des connexions subséquentes. Les méthodes retenues pour
communiquer des informations, offrir un droit de refus ou solliciter le consentement
devraient être les plus conviviales possibles. L'accès au contenu d'un site spécifique peut
être, toutefois, subordonné au fait d'accepter, en pleine connaissance de cause,
l'installation d'un témoin de connexion ou d'un dispositif analogue, si celui-ci est utilisé à
des fins légitimes.
18. 2.2. Réglementation « technique »
Guidance du « Groupe 29 » :
1. Avis 2/2010 du 22.06.2010 (WP 171) « online behavioral advertising »
2. Avis 16/2011 du 8 décembre 2011 (WP188) « EASA/IAB Best Practice
Recommendation »
3. Avis 4/2012 du 7 juin 2012 (WP194) « cookie consent »
19. 2.2. Réglementation « technique »
1.Responsables: éditeur, ad network, annonceur, browser (…)
2.Navigateurs doivent bloquer par défaut les cookies (au moins les 3d party
cookies)
3.Consentement pour le futur OK par le biais d’une info globale, mais pour une
durée limitée et avec retrait du consentement toujours possible
4.Fournir des infos claires, explicites, régulières
5.Pas de « blanc-seing » pour www.youronlinechoices.eu (EASA/IAB), car :
≠ info préalable
≠ opt-in
20. 2.2. Réglementation « technique »
1. TYPES DE COOKIES SUSCEPTIBLES D’ÊTRE EXEMPTÉS DE L’OPT-IN :
•
Cookies de session d’origine alimentés par l’utilisateur
•
Cookies d’authentification
•
Cookies de sécurité centrés sur l’utilisateur
•
Cookies de session créé par un lecteur multimédia (player)
•
Load balancing
•
Cookies de personnalisation de l’interface utilisateur
•
Cookies de social sharing
21. 2.2. Réglementation « technique »
1. SAUF SI …
•
•
Persistent après la session
•
Cookies tiers
•
2.
Autres finalités
(…)
EN TOUT CAS PAS:
•
Cookies de modules sociaux de pistage
•
Publicités de tiers
•
(Analytique d’origine)
26. Règles inadaptées ?
1.Caractère international
2.Multiplicité d’acteurs… tous responsables ?
3.Très faible niveau d’enforcement
4.Efficacité discutable au regard de la protection de la vie privée…
27. D-N-T = UN ESSAI DE SELF-REGULATION « TECHNIQUE »…
28. 3. DO-NOT-TRACK & OTHER SETTINGS
1. IAB / EASA Best Practice, avril 2011
(www.youronlinechoices.eu)
•
Notification p. ex. sous la forme d’une icône « standard » autour des
publicités comportementales
•
Modalités conviviales pour exprimer le choix / le refus
•
Pas de segmentation sur les enfants
•
Segmentation sur des données sensibles moyennant un consentement
explicite préalable
29. 3. DO-NOT-TRACK & OTHER SETTINGS
2. W3C do-not-track standard setting
http://www.w3.org/2011/track-privacy/papers/
http://www.w3.org/2011/tracking-protection/
http://donottrack.us/
http://www.businessinsider.com/do-not-track-online-act-might-go-tocongress-2013-4
https://www.eff.org/issues/do-not-track