Privacy- Cookies et services de communications électroniques

Cookies et traceurs, la nouvelle recommandation de la CNIL est annoncée pour une mise en ligne en Janvier pour fixer les nouvelles règles de récolte du consentement : un bref examen du présent pour  mieux comprendre l’avenir.

2020 est arrivé, vive la nouvelle année qui, pour les utilisateurs de la Data ; dont les professionnels du marketing mais  pas exclusivement ; devrait être un « grand cru » tans les nouveautés vont être importantes à raison de la mise en œuvre effective  par la CNIL :
des suites de sa délibération numéro 2019-093 du 4 juillet 2019 fixant les  nouvelles lignes directrices abrogeant son ancienne recommandation de 2013 pour l’application du texte spécifique   de l’article 82 de la loi du 6 janvier 78,
et
 fixant les nouveaux droits et obligations propres aux traitements dans le secteur des communications électroniques.

L’organisation du changement tel qu’annoncé par la Cnil notamment dans ses communiqués de presse des 28 Juin et 18 Juillet 2019, va intervenir en l’état du calendrier suivant :

 Le 19 décembre : La CNIL a adopté en assemblée plénière le texte de  la recommandation qui va définitivement se substituer à sa recommandation de 2013 ; sur les nouvelles modalités de recueil du consentement dans les traitements cookies et traceurs au sens large.

Mi-janvier : Le contenu de cette recommandation sera mis en ligne pour une consultation publique d’environ 6 semaines.

Mi-mars : est prévu l’adoption du texte de la recommandation finale permettant notamment pour les acteurs de l’écosystème du « Programmatique » et du « Digital Analytics » de finaliser leur période de mise en conformité

Septembre 2020 : Mise en   vigueur du texte définitif de la nouvelle recommandation clôturant la fin de période de transition ouverte par la CNIL dans sa délibération du 4 juillet 2019.

Dès la publication du contenu de la nouvelle recommandation (Mi Janvier), nous vous tiendrons informé, et suivrons les étapes de la consultation publique pour vous informer sur la teneur des éventuels aménagements du contenu que la CNIL pourra et/ou voudra apporter à son premier projet de recommandation.

 Dans cet article, nous vous soumettons quelques réflexions pour réfléchir au sens et enjeux de « cette nouvelle réglementation qui s’annonce ».

L’utilisation des « cookies » et « traceurs » génère des traitements de données personnelles qui sont soumis à un texte spécial :

        L’article 82 de la loi informatique et libertés (Lil)qui préexistait à la promulgation du RGPD, en étant issue de la transposition de l’article 5-3 de la directive 2002/58/CE du 12/07/02 dite Directive « vie privée » et/ou « e-Privacy » modifiée par la directive 2009/136/CE du 25/11/09.

La confirmation du « caractère spécial » de ce texte est confirmée par l’article 95 du RGPD dénommé « relation avec la directive 2002/58/CE » qui dispose que :

        « Le présent règlement n’impose pas d’obligations supplémentaires aux personnes physiques ou morales quant au traitement dans le cadre de la fourniture de services de communication électronique accessible au public sur les réseaux publics de communication dans l’union en ce qui concerne les aspects pour lesquelles elles sont soumises à des obligations spécifiques ayant le même objectif énoncé dans la directive 2002/58/CE ».

Cet article étant à interpréter à la lumière du Considérant 173 (le dernier considérant du règlement) qui précise que :

  • « Le présent règlement devrait s’appliquer à tous les aspects de la protection des libertés et droits fondamentaux à l’égard du traitement des données à personnels qui ne sont pas soumis à des obligations spécifiques ayant le même objectif énoncé dans la directive 2002/58/CE du Parlement européen et du conseil, y compris les obligations incombant au responsable du traitement et les droits des personnes physiques.
  • Afin de clarifier la relation entre le présent règlement et la directive 2002/58/CE, cette directive devrait être modifiée en conséquence.
  • Après l’adoption du présent règlement, il convient de réexaminer la directive 2002/58/CE, notamment afin d’assurer la cohérence avec le présent règlement. »

C’est donc tout l’enjeu pour la CNIL d’intervenir dans la redéfinition des règles applicables aux « cookies » et « autres traceurs » au titre des pouvoirs qu’elle tient des dispositions de l’article 51§1 et 2 du RGPD.

 Cette directive 2002/58/CE dite « e-Privacy » aurait dû être modifiée par le fameux règlement « E-privacy » qui devait rentrer en application en 2017 afin que lors de la mise en œuvre obligatoire du RGPD coexistent 2 textes fondamentaux pour s’appliquer avec des champs matériels spécifiques soit :

        1) le RGPD pour protéger les droits et libertés fondamentaux des personnes physiques, parmi lesquels leur droit à la protection des données ; à raison des divers traitementsmis en œuvre ; dans le but de permettre sur l’ensemble du territoire de l’union européenne la libre circulation des données dans des conditions de protection et d’exercice effectif de droits équivalents,

        2) alors que l’objectif de la Directive E-Privacy de 2002 s’applique aux traitements particuliers dans « les secteurs des communications électroniques » pour garantir aux personnes concernées sur le territoire de l’UE pour ces traitements issus de l’utilisation :

  • Des moyens de communication électronique,

Et/ou       

  • Des services associés à l’utilisation d’un réseau de communication électronique des droits légèrement différents soit :

        Le droit au respect de la vie privée,

        La confidentialité.

Les 2 objectifs de la Directive e-Privacy de 2002 se rapportent donc davantage à la notion de « Privacy » comprise dans la « sémantique » issue de la langue anglaise qui diffère quelque peu de notre connotation française de « confidentialité » en allant plus loin, et la rénovation, par la CNIL, des conditions du « consentement » pour les traitements particuliers liés aux services de communications électroniques s’inscrit dans ce contexte.

C’est ici que se situe l’enjeu de la future recommandation de la CNIL pour fixer les nouveaux contours du consentement dans le cadre de l’application de l’article 82 de la loi informatique et libertés dans le secteur des communications électroniques.

 En l’absence de la promulgation du règlement E-Privacyou d’un nouveau Règlement rénové, afin de protéger les traitements de données liées aux services de communications électroniques, la CNIL utilisant les pouvoirs qui lui sont donnés par l’article 51 § 2 du RGPD pour contribuer à une application cohérente du RGPD, a décidé d’appliquer à ces traitements un niveau de protection équivalent au RGPD en cumulant :

        Les critères de validité du consentement à ces traitements qui devront répondre aux 2 conditions suivantes :

1)L’article 4§11 du RGPD soit :

  • Une manifestation de volonté « libre », « spécifique », « éclairée » et « univoque » par laquelle la personne concernée accepte par une déclaration ou par un acte positif clair que des données à caractère personnel la concernant fasse l’objet d’un traitement, du fait de l’utilisation du service et/ou moyen de communications électroniques.

2)Que ce consentement soit donné dans les conditions de forme de l’article 7 du RGPD :

Qui peuvent passer par un écrit, mais où le plus important si le consentement est donné dans un contexte qui permet à la personne d’effectuer plusieurs choix est que :

 La demande au consentement lui soit présentée sous une forme qui la distingue clairement de toutes les autres questions.

  • À cette déclaration de volonté pour consentir au traitement, la personne concernée doit recevoir par ailleurs :
    • Le rappel qu’elle peut retirer son consentement à tout moment.
  • Le responsable de traitement devant pour : définitivement valider l’expression du consentement ne pas le solliciter comme le point de passage obligé pour subordonner la personne :

Ou à l’exécution d’un contrat,

Ou à la fourniture d’un service.

Avec aussi en plus :

        Pour respecter l’esprit de l’article 5-3 de la directive 2002 :

Un consentement indissociable de la garantie de la « Privacy » et pour respecter l’impératif de ne pas attenter à la vie privée, rien de mieux donc que la délivrance d’une information transparente, désormais conforme aux nouveaux critères du RGPD en ses articles 12 et 13.

Ainsi, la validité du consentement au traitement des informations réalisées grâce aux cookies ou traceurs, sera donc à partir de 2020 aussi examinée sous un angle « contextuel » qui passera par le contrôle de la qualité intrinsèque de l’information à donner au moment du recueil du consentement.

Si la mise en œuvre du nécessaire « recueil du consentement » et sa « traçabilité » au regard de la multiplicité des terminaux et des technologies de « tracking et/ou géolocalisation » pose des problèmes techniques pour les fonctionnalités « Design » aux développeurs, ils vont devoir surmonter aussi de pouvoir intégrer dans l’écriture de leurs applications un autre changement « Design » très important savoir  l’organisation de la traçabilité  de la délivrance d’une « information  documentée , et spécifique à la finalité du traitement» .

En cela « l’angle mort du nouveau consentement pour les traitements du secteur des communications électroniques à partir de 2020 » deviendra quel que soit le support de la technologie :

 La fourniture d’une « information contextualisée » à délivrer sous le double prisme de l’application du texte spécial de l’article 81 de la loi Lil confortée et surtout rénovée par les articles 12, 13 ,14, 4 § 11, et 7 du RGPD.

Au sens de l’article 82 de la loi Lil, l’information à délivrer à la personne concernée comportait déjà plusieurs niveaux puisqu’elle devait contenir de manière claire et complète les éléments sur :

  • La finalité de toute action tendant à accéder par voie de transmission électronique à des informations déjà stockées dans l’équipement terminal ; ou pour y inscrire des informations.

Et

  • L’information des moyens dont la personne concernée dispose pour s’y opposer.

Ce niveau, avant la mise en œuvre du RGPD, ressortait de la recommandation CNIL de 2013 par le cumul d’une information préalable pouvant être présentée sous la forme du fort célèbre et bientôt défunt « bandeau cookies », et la continuation de la navigation sur le site valait consentement à tout : (Dépôt du cookie et ou traceurs + traitement subséquent)

        Désormais, à partir de 2020 au plus tard donc en Septembre l’information à délivrer devra respecter tous les critères du RGPD, et dans la négative, c’est le principe même du consentement qui ne sera pas considéré comme valable.

Ce sont donc toutes les informations prévues pour :

        La collecte directe : article 13 (si le traitement des informations est réalisé par le propriétaire du cookie ou traceur)

        La collecte indirecte : article 14 (si le traitement des informations est retraité et/ou réutilisé en totalité ou partiellement par un tiers)

Or dans l’écosystème d’une collecte par cookies ou traceurs, la distinction entre collecte directe et indirecte devient assez « poreuse » au regard de la nature des traitements dans un contexte de « traitement Big Data » au moyen de traitements automatisés entraînés par des systèmes d’intelligence artificielle qui impliquent des « croisements » de données de catégories et contexte de collecte différents.

Toutes les « informations » à délivrer par application des articles 13 et/ou 14 doivent répondre en même temps aux principes généraux de l’article 12 du RGPD qui impose une rédaction claire, et compréhensible, en lien avec l’environnement numérique, avec s’agissant d’un traitement spécifique d’insérer aussi une information en rapport avec la « protection de la vie privée ».

 Or appliqué précisément à l’utilisation des moyens des communications électroniques comme les outils de tracking (Liste ci-après non exhaustive)

  • Local shared objects ou cookies Flash,
  • Local Storage sur page HTML,
  • Identifiants par calcul d’empreinte du terminal, ou généré par des systèmes d’exploitation (IDFA, IDFV, IOS, Android ID etc) à finalités publicitaires ou non,

 La délivrance de l’information préalable en vue du consentement aura ici un prisme différent puisqu’il s’agira pour l’utilisateur du terminal de lui permettre de consentir au stockage de ses « identifiants numériques » pour qu’ils servent de vecteur à une utilisation commerciale.

Donc comment déterminer les « différences » à faire entre les moyens de communications qui permettent la lecture des informations et/ou une écriture de celles-ci, et ceux qui « identifient pour une utilisation à visée commerciale » !!

Ce sera là un enjeu de la nouvelle recommandation à bien appréhender pour la mise en œuvre future par les intervenants « Design » (développeurs).

La CNIL dans ses lignes directrices de Juillet 2019 n’entendait pas faire à priori de différence, mais sans doute que les professionnels intéressés à la consultation publique tenteront d’obtenir des aménagements assortis des précisions nécessaires par la CNIL.

Donc la relecture des définitions données à propos des différents moyens de communications électroniques par la Directive vie privée de 2002 va devenir importante, notammentquant à la définition du périmètre de la « communication électronique ».

 En attendant la mise en ligne par la CNIL à mi-janvier 2020 du texte de son projet de recommandations, tout « responsable de traitement » bien intentionné voudra bien relire avec attention les 15 pages de la délibération N° 2019-001 du 21/01/19 pour la sanction rendue contre Google LLC pour un montant de 50 millions d’euros en lien avec la puissance économique de la plateforme numérique ; car tout est quasiment dit sur la « transparence des informations et leur communications » pour les traitements spécifiques relevant de l’application du texte spécial de l’article 82 de la Loi Lil.

« Google » s’y est vu sanctionné pour un manquement généralisé de la conformité au RGPD de nombre de ses traitements, liés à l’utilisation de ses services et réseaux de communications électroniques par :

  • Le défaut « d’une information préalable» suffisamment pertinente en relation avec la pluralité des offres de services et leur finalité.

La CNIL en a conclu à une absence de consentement spécifiqueéclairé et univoque.

Le reproche essentiel pour caractériser à l’encontre de « Google » le défaut d’une information préalable, suffisante et pertinente, tenait au contexte de ce que les traitements des données portaient sur des volumes de donnés très importants et combinés.

D’où la confirmation que « l’angle mort du nouveau consentement » donné au traitement issu de l’utilisation d’un service de « communications électroniques » sera bien celui de la vérification du contenu de l’information préalable donné pour obtenir le consentement.

Or le fonctionnement des services de communications électroniques implique « l’utilisation de technologies » implémentées par des systèmes « d’intelligence artificielle » qui justement permettent de multiplier les collectes pour des finalités de traitements visant à :

        Acquérir des clients, et les fidéliser par l’utilisation de divers procédés d’analyse comportementale comme la personnalisation et la recommandation de contenus.

 Dans ces conditions la « rédaction » d’une « information transparente », versus « RGPD » ; et pertinente versus « article 82 Loi Lil » pour la « protection de la vie privée » est techniquement difficile à mettre en œuvre.

 Car une « information transparente », qui au surplus respecte « la vie privée », consiste à ce que l’utilisateur du terminal comprenne quels sont les conséquences du traitement sur sa vie privée.

 C’est donc bien d’une manière générale toute la « granularité » de l’énonciation à visée informative claire de ce que le responsable de traitement envisage de faire qu’il conviendra de repenser.

Etant précisé que les rédacteurs du RGPD conscient des difficultés techniques avaient dans les Considérants 58 et 60 (renvoyant à l’article 12) invités déjà les futurs « responsables de traitements » à réfléchir à ce que :

  • « Ces informations peuvent être fournies accompagnées d’icônes normalisées, afin d’offrir une bonne vue d’ensemble facilement visible, compréhensible et clairement lisible, du traitement prévu et pour cela l’illustration à l’aide d’éléments visuels n’est pas à exclure.
  • Lorsque les icônes sont présentées par voie électronique elles devraient être lisibles par machine.
  • De même se trouve recommandée la fourniture sous forme électronique par exemple via un site Internet lorsqu’elle s’adresse au public, ceci valant tout particulièrement dans des situations où la multiplication des acteurs et la complexité des technologies utilisées font en sorte qu’il est difficile pour la personne concernée de savoir et de comprendre si des données à caractère personnel la concernant sont collectées, par qui et à quelles fins comme dans le cas de la publicité en ligne. »

La mise en œuvre de cette nouvelle recommandation appellera sans doute à des regroupements d’Annonceurs ou de partenaires réutilisant les données pour mutualiser, à partir d’une plateforme dédiée, justement l’accès à ces différents parcours de délivrance de l’information en fonction de leur éventuel intérêt conjoint aux divers traitements et à leur partage d’informations.

L’idée de la plateforme commune pour l’information sur les traitements et aussi la gestion des consentements pourrait en plus être un moyen opérationnel aussi pour garantir à la personne concernée la portabilité de ses informations dans le contexte où ce nouveau droit conféré à la personne concerné est encore « mal connu » et, sous-évalué dans ses aspects pratiques par les « responsables de traitements » et « sous-traitants ».

Mais la  « nouvelle information » dédiée à valider le consentement, devra être pensée aussi pour permettre à la personne concernée un « exercice effectif de ses droits », ce qui passe par la délivrance d’une information sans doute explicite mais « compréhensible ».

En effet, l’article 13 du RGPD qui définit les informations obligatoires à fournir lors de la collecte mentionne en § 2 (F) de s’expliquer sur :

Article 13§2(F)

        « L’existence d’une prise de décision automatisée, y compris un profilage, visé à l’article 22, §1 et 4, et, au moins en pareil cas, des informations utiles concernant la logique sous-jacente, ainsi que l’importance des conséquences prévues de ce traitement pour la personne concernée »

Donc  les informations qui participent aux  finalités d’analyse comportementale, de personnalisation, de recommandations de contenus et surtout de calcul d’attribution à visée prédictive devront être expliquées à l’aune de l’article 12 du RGPD qui rappelle que :

        « Une information transparente consiste en ce que la personne puisse :

        Mesurer la portée des principaux traitements sur sa vie privée sans avoir de surprise, et surtout de lui permettre de rendre effectif l’exercice de ses droits comme par exemple le droit d’accès ou la demande d’une intervention humaine ou le réexamen de la décision prise à son encontre le cas échéant » ; ou de faire valoir son droit d’opposition en fonction du contexte du traitement.

Cet article 22 est d’application très large.

 Ceci va donc rendre caduques les politiques d’écriture des informations exhaustives de premier niveau auxquelles le consommateur était jusqu’alors confronté.

 L’exigence de clarté appellera de la part des responsables de traitement au regard de l’impact des traitements sur les personnes dans l’économie numérique un effort rédactionnel d’autant plus novateur qu’il va devoir « vraiment » aborder la nécessaire explicabilité du fonctionnement du système d’intelligence artificielle employé.

Nous reviendrons par d’autres articles sur ces problématiques très importantes de rédaction des polices d’information pour les traitements cookies et traceurs, avec aussi  les pratiques contractuelles qui s’engendrent de la circulation des bases ou jeu de données procédant de ces différents traitements.

Pour finaliser cette réflexion pour se préparer au changement à venir en prévision de la nouvelle recommandation Cnil quelques propositions de réflexions : 

Réfléchir aux points suivants(propositions non exhaustives) :

        Catégoriser les sources des données collectées de manière à pouvoir faire la différence entre :

        L’origine de la collecte : téléphone, utilisation des services de la société de l’information comme les métadonnées des services de messagerie, données de trafic ; etc.

        Les catégories des données :

Préciser si les informations collectées seront des données produites par la personne.

Ou des données générées par son activité y compris les données de géolocalisation ou par l’utilisation des appareils et capteurs utilisés, avec toutes les « métadonnées » de ses interactions.

Concernant les finalités :

        S’expliquer sur l’utilisation de données inférées ou dérivées, et au sens large du contexte des croisements de données.

Notamment, si le responsable de traitement entend obtenir un consentement de manière mutualisée au traitement des données pour différentes finalités proches :

 Cette pratique sera considérée comme conforme si les différentes finalités de traitement ont été présentées à la personne de manière distincte au préalable permettant de donner un consentement spécifique pour chaque finalité par un acte positif clair.

La pratique de la mutualisation des données justement devra faire l’objet des plus grandes précautions en cas de cession des bases de données, et/ ou de licence d’exploitation pour du « Data mining » au regard des lignes directrices du 04/07/2019 et de la position déjà prise par la CNIL pour les conditions de la transmission du consentement.

Concernant les croisements de données :

L’angle de l’information à donner devra faire l’objet de paramétrages et de choix rédactionnels dont voici quelques exemples :

S’agissant d’une banque par exemple :

 Comment informer la personne concernée que son « Crédit Scoring » ou « Scoring d’octroi » a été évalué pour la rendre éligible à un prêt au regard de ses propres données.

Justement concernant la catégorie de données utilisée comment l’informer sur la catégorie des données prisent en compte :

  • Uniquement celles proposées par l’Autorisation unique AU-005; référentiel encore en vigueur même après le RGPD, ou la Cnil a proposé la nomenclature des « données » permettant d’évaluer le risque de défaillance des emprunteurs en respectant sa vie privée,
  • Ou l’établissement a-t-il par hasard complété ces données d’un croisement visant à évaluer le comportement de la personne sur les réseaux sociaux, en étudiant en parallèles ses interactions de comportement à l’occasion de sa navigation sur le site de la banque et/ou à l’occasion de ses sessions d’identification ?
  • ET plus encore l’évaluation du « Crédit Scoring » a-t-elle été faite uniquement par un robot par un « Smart Contract » sans information préalable de la personne ?

Quelle est l’angle juste et pertinent d’une information conforme aux articles 12 et 22 du RGPD par rapport à l’impératif de protection de la vie privée là ou tout à commencé pour l’utilisateur d’un terminal par un parcours informatif sur le site d’une banque pour simuler un emprunt et ou l’empreinte de l’identification de son terminal à été collectée ?

        L’information également sur les conditions de réutilisation des données, si elles sont transmises à d’autres avec la problématique de gérer aussi le contenu de l’information indirecte de l’article 14 du RGPD  et donc de l’épineux problème de l’éventuel renouvellement du consentement en fonction des situations,

        Ceci sans oublier bien sûr l’information sur la politique de conservation des données.

Enfin si ces traitements mettent en œuvre l’intelligence artificielle l’information sur l’utilisation de ces technologies certes n’est pas expressément requise par le RGPD mais l’article 22 prévoit une information minimum qui n’est pas à négliger.

Ce dernier point fera l’objet d’autres articles dans le courant de cette année 2020 puisque la réglementation de l’utilisation de l’Intelligence artificielle et en pleine construction notamment par le concept « d’Ethique By Design » qui gagnera à être plus explicité.

Donc le contexte et plus encore les conséquences de la mise en œuvre de cette nouvelle recommandation sur l’utilisation des cookies et traceurs va bien au-delà de la problématique stricte des nouvelles règles de recueil du consentement et de la délivrance de son corollaire l’information transparente.

Ceci s’est révélé pleinement au cours de l’été dernier en arrière-plan du débat judiciaire qui a eu lieu entre la CNIL et les 2 associations « La Quadrature du Net » (QDN) et « Caliopen » devant le Conseil d’État.

En effet la « Quadrature du net » va d’abord tenter d’obtenir en référé au cœur du mois d’août la suspension de la délibération CNIL du 4/7/2019, ce dont elle sera déboutée.

Elle doublera son action en référé de la même demande sur le fond, qui s’est terminée par une décision négative du Conseil d’État en octobre.

 Par ces 2 recours, la QDN reprochait à la CNIL l’organisation d’une période transitoire trop importante pour laisser persister la continuation de l’autorisation de la poursuite de la navigation comme mode d’expression valable du consentement en matière de cookies et de traceurs en ligne.

Pour la QDN, pour résumer en synthèse la finalité de sa demande :

Ce nouveau délai accordé aux « annonceurs au sens large » contribuait à ce qu’ainsi les personnes concernées continuaient  de fait  pendant  un nouveau délai de 1 an à être exposées à « une surveillance en ligne » sans leur consentement explicite donné dans le contexte du nouveau Règlement avec une « Information » non  conforme au RGPD pour  leur permettre notamment d’être informées sur les conditions d’exercice de leurs droits, alors que telles qu’effectuées  les opérations de ciblage publicitaire sont difficilement identifiables lors des parcours en ligne, notamment par   la « géolocalisation ».

Ce alors que les annonceurs continuaient eux à collecter des informations dans des contextes de fait « non transparents » c’est-à-dire avec un niveau d’information non conforme aux règles du RGPD.

 La QDN reprochait donc à la CNIL qu’en maintenant l’ancien système issu de sa recommandation de 2013 dans l’univers numérique actuel de l’explosion depuis cette date des technologies de tracking et de géolocalisation, ces traitements continuaient à se faire au détriment de la protection de la Vie Privée des personnes concernées , (Texte spécial de l’article 82 de la Loi, Lil) sans la garantie de la mise en œuvre du RGPD, et sans que les personnes ainsi informées dans les nouvelles conditions du RGPD  puissent faire la différence entre 2 opérations  tout à fait indépendantes et de nature totalement différente soit :

 Le dépôt des cookies/traceurs 

Et 

Le traitement en procédant 

Il y a donc fort à parier que 2020, à partir du second semestre pourrait voir advenir au-delà des propres contrôles de la CNIL :

 De nouveaux types de contentieux qui pourraient prendre la forme d’action de groupe par des associations défendant les intérêts des consommateurs, dont peut être notamment la « Quadrature du net », pour venir demander des comptes aux « responsables de traitements » sur le contexte exact du traitement réellement mis en œuvre à partir des consentements en regard notamment des renseignements délivrés par l’information spécifique !

Donc en filigrane de ce débat de l’été 2019, lancé par la QDN, qui dans l’instant a tourné court, il semble que se prépare que de plus en plus de personnes concernées, par ailleurs protégées aussi par le « Droit de la Consommation », puissent s’intéresser :

 Au titre de l’exercice de leur droit à « reprendre le pouvoir sur les traitements dont elles font l’objet » pour obtenir par exemple des explications notamment sur :

La méthode de calcul du prix du service obtenu en regard de son profilage, 

En sollicitant aussi notamment :

 Ou le droit à voir sa situation réexaminée si elle découvre que la décision résulte d’une décision entièrement automatisée (article 22 du RGPD), 

Ou en s’y opposant selon sa situation par rapport à l’utilisation de ce même traitement automatisé ».

Ainsi il apparaît que les cookies et traceurs qui sont devenus des moyens essentiels dans une économie digitalisée pour recueillir de l’information sur les personnes débouchent dans leur mise en œuvre et leur utilisation sur des interrogations qui interpellent sur des problématiques bien plus vastes que de recueillir pour leur utilisation un consentement éclairé.

C’est de fait tout un fonctionnement sociétal qui est ici concerné et la réforme du consentement au cookies et traceurs constitue bien là une des phases de la « Transition numérique » importante que nous vivons puisqu’elle a tout à voir avec la confortation des Droits fondamentaux de la personne humaine déjà consacrés mais qu’il convient de faire évoluer dans un environnement numérique qui doit devenir même pour les cookies « Ethique By Design ».

  Ces nouveaux droits à conforter et/ou à créer vont devoir se conjuguer avec la réglementation du fonctionnement de l’intelligence artificielle devant travailler pour le bénéfice de l’humanité et non pas contre elle, tout ceci en permettant le libre exercice de la concurrence entre les producteurs de données, en pensant à leur libre circulation au bénéfice du plus grand nombre, conjugué à la liberté d’entreprendre avec le respect de la vie privée et du bien-être des personnes concernées.

A n’en pas douter ce « temps qui vient » sera passionnant et c’est à nous tous ensemble d’y travailler !

A bientôt sur ce site après la mise en ligne du texte de la nouvelle recommandation par la CNIL.

Rédigé à Marseille le 5 janvier 2020

Véronique RONDEAU ABOULY

Avocat au Barreau de Marseille et DPO externe.

La rédaction de cet article a été conçue et organisée pour vous soumettre des informations utiles, des axes de réflexion pour une utilisation personnelle ou à visée professionnelle.

Il est mis à jour régulièrement mais dans un contexte réglementaire et jurisprudentiel évoluant, nous soulignons que nous ne pouvons être responsable de toute péremption du contenu, ou de toute erreur juridique et/ou inexactitude qui pourrait se révéler en fonction de l’évolution,  le lecteur voudra bien considérer qu’en tout état de cause pour une application personnalisée chaque cas est unique et que bien sûr le cabinet reste à votre disposition si vous avez une question précise à poser en lien avec cet article, nous nous ferons un plaisir de collaborer avec vous, n’hésitez pas à prendre contact ou à nous téléphoner.    

Pour illustrer cet article : Image libre de licence par Gerd Altmann de Pixabay.

Mots-clefs : Cookies-Traceurs-CNILcollecte directecollecte indirecteinformation transparente-consentement-Intelligence artificielle-Profilage-Traitement de données-Ethique By Design

Correspondance entre les articles du RGPD et la codification de la loi informatique et libertés (Lil) :

RGPD article 4  Lil : article 2

RGPD article 7 Lil : article5

RGPD article 12 Lil : article 48 ;

RGPD article 13 Lil : article 48 ;

RGPD article 14 Lil : article 48 et 79 ;

RGPD article 22 Lil : article 47 ;

RGPD article 51 Lil : article 8;