Internet
Alors que le Règlement général sur la protection des données entrera en vigueur le 25 mai et que l’Europe découvre les atteintes à la vie privée dont ont été victimes les utilisateurs de Facebook, le projet européen ePrivacy se heurte à l’hostilité des médias qui vivent de la publicité digitale.

En convoquant ce jeudi 29 mars Laurent Solly, vice-président de Facebook pour l’Europe du Sud, l’Union des annonceurs a tenu à manifester les inquiétudes que lui inspire le scandale Cambridge Analytica, cette exploitation massive de données à des fins politiques. Par la même occasion, son président, Etienne Lecomte, s’est empressé de glisser une référence au Règlement général de protection des données (RGPD), qui entrera en vigueur le 25 mai, et surtout au projet ePrivacy, encore en discussion, qui le précise : « la réglementation en cours d’adoption ne doit pas encourager un transfert de la protection de la vie privée des Européens vers des sociétés, notamment, américaines, qui n’offriraient pas une sécurité suffisante ».

Comment le fameux RGPD, sur lequel tous les professionnels s’accordent, a-t-il pu enfanter avec l’ePrivacy d’une source de conflit ? L’idée d’un consentement préalable à l’utilisation de la data n’est pas en cause. Comme le rappelle Etienne Lecomte, « le consommateur doit être l’acteur principal de la protection de sa vie privée : il doit pouvoir choisir et contrôler l’utilisation de ses données à tout moment ». C’est plutôt à travers les modalités de recueil de ce consentement, formulées dans la proposition de règlement sur l’e-privacy que le débat fait rage. L’article 10 de ce texte voté par le parlement européen et discuté à Bruxelles, prévoit en effet de confier au navigateur le soin de recueillir de façon globale auprès de l’internaute l’autorisation de le tracer à travers des cookies. « On peut être sûr du résultat, ce sera “la réponse est non, quelle est la question ?”, assure David Lacombled, président sortant de l’IAB France. Le paradoxe serait que l’on en arrive à renforcer les Gafa, alors même que l’on cherche à donner plus de responsabilité à l’utilisateur, et que l’on prenne le risque de couler les petits bateaux à côté des gros paquebots. »

Il est vrai que Google comme Facebook évoluent dans un univers logué – avec identification et mot de passe – qui se passe très bien des cookies. Ces plateformes disposent en effet de leurs propres données et soumettent leur exploitation à l’acceptation de leurs conditions générales. La gestion du consentement irait en outre chez des acteurs américains qui s’appellent Chrome (Google), Safari (Apple), Internet Explorer (Microsoft) ou Firefox (Mozilla). « Demander à des intervenants outre-Atlantique de gérer les politiques de consentement dans le recueil de la donnée, je ne suis pas sûr que ce soit la tendance, ironise Bertrand Gié, directeur délégué du pôle News du groupe Figaro et président du Geste. En outre, les sites les plus intrusifs en termes d’utilisation et de connaissance de la donnée sont les moins impactés par cette règlementation. »

Sonnette d’alarme

À la présidence du Syndicat de la presse quotidienne nationale, Francis Morel n’hésite donc pas à tirer la sonnette d’alarme. Si le texte devait être adopté en l’état, ce n’est pas moins de « 50 à 60 % » du chiffre d’affaires publicitaire digital des éditeurs qui s’envolerait en fumée, argue-t-il, sur la foi d’une étude Deloitte. Il craint que le consentement demandé au niveau du navigateur – et non plus à travers une bannière sur les sites – agisse comme un gigantesque adblocker. « Cela veut dire qu’à la différence des plateformes américaines, nous n’aurons plus aucune information sur la nature de nos clients, note-t-il, et que l’on aurait un appauvrissement dans notre développement quand il s’agit d’adapter notre offre d'abonnement en fonction des publics ou, à terme, d’enrichir l’information en fonction de la cible. » Pour tout cela, les cookies sont indispensables. L’article 11 du RGPD lui donne néanmoins des motifs d’espoir : « il rend caduque l’ePrivacy puisqu’il stipule que le consentement doit être libre, éclairé et spécifique, complète l’ancien patron des Echos et du Parisien. Or, quand on ouvre son browser, on donne son accord une fois pour toutes, c’est contradictoire. » Le lobbyiste, qui a rencontré le secrétaire général de l’Elysée et déjà deux commissaires à Bruxelles, avec ses homologues allemand et italien, annonce des recours en cas d’adoption du texte sur l’ePrivacy. « On est très soutenus à l’Elysée comme à Matignon, Macron a fait savoir qu’il était contre », assure-t-il.

Il faut dire que les éditeurs de presse, qui ne disposent pas de login pour la plupart, ont de quoi être inquiets. « L’hypothèse de la quasi-disparition des cookies tiers entraînerait l’écroulement des recettes publicitaires de la presse en ligne », souligne Laure de Lataillade, directrice générale du Geste. Aude Perdriel, directrice générale adjointe au sein du data Science de Publicis Media, estime, elle, la perte de CA à 25 %. « Nous, agences médias, allons nous reporter sur les Gafa alors que dans le luxe, par exemple, nous avons besoin des supports pour les associer à la marque à travers des opérations spéciales », dit-elle. Sans les cookies, qui servent tout autant à l’adserveur de l’agence ou du client, à sélectionner la bonne cible, à garantir la visibilité ou à post-tester les campagnes, impossible pour un éditeur de rester compétitif. « Il faut s’assurer que les dépenses publicitaires soient faites sur le bon contenu, au bon moment et à la bonne personne », précise-t-elle.

Le login n’est-il pas alors la solution ? Les groupes audiovisuels ont adopté ce système d’inscription pour leur replay et Prisma tend à faire de même. Pour autant, ce n’est pas un remède miracle. Olivier Abecassis, directeur innovation et digital du groupe TF1, rappelle que le login permet de collecter des données socio-démographiques mais que seuls les cookies donnent accès à la data comportementale – anonymisée – lors de la diffusion de campagnes de publicité sur un ou plusieurs sites. « On est un peu mieux armé mais ce n’est absolument pas suffisant pour faire du ciblage personnalisé », constate-t-il. Les annonceurs, souligne-t-il, veulent savoir si l’internaute est déjà client chez eux. Ils sont à la recherche de ciblage qui amène vers l’achat et sortiront fragilisés d’une disposition qui limitera l’usage de cookies, donc la possibilité pour une marque de mieux connaître le consommateur afin de lui proposer les bons produits. « L’analyse [qui a amené à l’article 10] n’est pas à la hauteur de l’impact industriel », résume-t-il. 

Selon Corinne Denis, directrice du numérique et du développement des revenus de Lagardère Active, « l’équilibre entre la protection de la vie privée et l’intérêt légitime des entreprises n’est plus respecté car on va tuer le modèle de pans entiers de la vie économique ». Au-delà des médias, c’est le système de reconnaissance pour les banques, les sites d’e-commerce ou les voyagistes qui tombe. « Et il ne faut pas oublier que les lignes de codes déposées sur votre session dans le navigateur permettent de ne pas vous proposer la même pub trois fois », glisse-t-elle. Pour Jean-David Chamboredon, coprésident de France Digitale, « une partie de l’internet gratuit et freemium risque d’être entravée économiquement, et si vous ne pouvez plus lever de la data, vous ne pouvez plus vendre votre pub au même prix. » Le danger : le retour de la publicité « arbre de Noël », dit-il, qui consiste à multiplier les fenêtres pop-up par souci d’arroser large en tournant le dos à la finesse de la data. Alors même que l’interprofession a développé un label « Digital Ad Trust » pour garantir de la publicité de qualité, les éditeurs n’auront pas d’autre choix que de se mettre entre les mains des Gafa – qui leur reverseront ce qu’ils souhaitent - pour avoir de la donnée.

Login commun

Cela n’empêche pas les éditeurs médias de travailler sur un login commun qui se veut une « alternative aux Gafa » et qui permettrait de contourner le filtre du navigateur. « Il s’agit d’obtenir le consentement de l’utilisateur tout en facilitant l’accès et les procédures de connexion aux sites médias, souligne Laure de Lataillade, du Geste, via la mise en place collective d’un SSO (authentification unique) avec une structure d’identification légère (e-mail et mot de passe) ». Un éditeur de presse constate toutefois que cette disposition, pendante depuis septembre, ne sera pas la panacée. De son côté, David Lacombled (IAB) estime, lui, que la solution réside dans un acteur tiers de confiance gérant les identifiants et s’appuyant sur la blockchain.

À la Cnil, la responsable du service des affaires économiques, Clémence Scottez, pointe des « sons de cloche faux » qui battent la mesure sur des airs de tocsin (lire ci-contre). « Le choix du consentement donné au niveau du navigateur a été réclamé par les éditeurs car il est apparu comme une solution fiable et neutre, affirme-t-elle. Quant au recueil du consentement préalable, ce n’est pas une nouveauté. Le projet de règlement prévoit une voie de retour. Si vous bloquez tous les cookies en tant qu’utilisateur à travers le “do not track”, il sera possible au cas par cas de recueillir votre consentement pour tel ou tel site, et donc d’autoriser le dépôt de cookies ». Seulement voilà, Laure de Lataillade souligne que l’ePrivacy priverait les éditeurs de leur « lien direct avec les internautes » qui leur permet de leur proposer des contenus et des offres personnalisées. Et que la « seconde chance » offrant aux éditeurs d’interroger les internautes à travers un consentement par finalité se heurte à une interrogation à propos de la voie de retour : « nous n’avons aucune information sur la solution technique qui doit permettre aux navigateurs et aux éditeurs de se transmettre ces informations ». La crainte ? Que le Petit Chaperon rouge confie au loup déguisé en « big browser » son panier de données. Ce serait en effet au navigateur d’intégrer la liste blanche des sites pour lesquels l’utilisateur accepte de recevoir des cookies.

Le 28 mars, un nouveau projet de compromis de la présidence bulgare de l’UE devait être examiné par un groupe de travail télécoms. L’utilisateur resterait en autorisation de cookies tiers jusqu’à ce qu’il décide de modifier les paramètres de son navigateur. Un pas dans le bon sens, selon un acteur média, mais le Parlement européen et la Commission ne sont pas jugés pro-industrie. Tout dépendra donc maintenant des positions allemande et française. Cette dernière devrait s’inspirer du rapport Serris du Conseil général de l’économie, présenté en janvier et plus ouvert aux arguments des éditeurs. Le risque de renforcer les grandes plateformes du Net, les problématiques liées à la gestion du navigateur et l’impact sur les médias ont été mentionnés. « Ce rapport nous convient sur plusieurs points », confie-ton au Geste, où le règlement eprivacy n’est plus attendu avant… l’automne 2019.

La Cnil dénonce un lobbying

Pour Clémence Scottez, du service des affaires économiques de la Cnil, le projet de règlement ePrivacy précise le RGPD. Il s’agit d’une réglementation spécifique s’appliquant aux communications électroniques, issue d’une directive de 2002 modifiée en 2009. « La question est de savoir comment exprimer le consentement : la Cnil a donné les outils et les bonnes pratiques dès 2013 mais on observe une attitude de blocage dès lors qu’on parle de réglementation. La perspective de sanctions pouvant aller jusqu à 4 % du chiffre d’affaires provoque le lobbying d’aujourd’hui ». La Cnil ajoute que, par rapport aux Gafa, « le rééquilibrage opéré par le RGPD est favorable aux acteurs européens ». Au consentement libre se substitue un choix non contraint avec le RGPD. « Vous pouvez ainsi souhaiter être sur Facebook sans vouloir que vos données soient vendues. Il y a une action concertée européenne pour ne pas conditionner l’accès à un service à la transmission de données personnelles. »

Suivez dans Mon Stratégies les thématiques associées.

Vous pouvez sélectionner un tag en cliquant sur le drapeau.