La publicit cible en ligne

Communication prsente en sance plnire le 5 fvrier 2009 M. Peyrat Rapporteur

Commission nationale de linformatique et des liberts

SOMMAIRE I.
A. B. C.

Prsentation ...................................................................................4
Le carburant de lconomie numrique.......................................................................... 4 Les types de publicits en ligne...................................................................................... 5 Organisation des systmes de publicit en ligne ............................................................ 6

II. Technologies de traage................................................................7

A. B. C. Laffichage des publicits en ligne par les rgies .......................................................... 7 Capacit de collecte dinformations ............................................................................... 8 Capacit de suivi de linternaute .................................................................................... 9

III. Constitution de profils ................................................................11

A. B. C. Profils prdictifs ........................................................................................................... 11 Profils explicites........................................................................................................... 12 Anonymat des donnes collectes ? ............................................................................. 13

IV. Panorama de systmes de publicit en ligne ............................14

A. B. C. D. E. F. Amazon : analyse comportementale sur site. ............................................................... 14 Google : le champion du contextuel............................................................................. 14 Facebook: la publicit personnalise sur site ............................................................... 15 Linked-in : la publicit personnalise en rseau .......................................................... 16 Tacoda/AOL: la publicit comportementale en rseau ................................................ 17 Phorm: la publicit comportementale chez loprateur de tlcommunication ........... 17

V. Tendances et prospective ...........................................................18

A. B. C. D. Une concentration des acteurs de la publicit en ligne ................................................ 18 Une convergence entre fournisseur de publicit et fournisseur de contenus ............... 18 Une extension des domaines dapplication .................................................................. 19 Un usage de plus en plus pointu de la golocalisation................................................. 19

VI. Menaces........................................................................................21
A. B. C. D. E. Le risque de montisation des profils..................................................................... 21 Les risques lis aux gisements de donnes personnelles ou sensibles ......................... 22 Un risque pour la confiance des utilisateurs................................................................. 22 La gnralisation dune politique dopt-out imparfaite.......................................... 23 Une gestion des cookies inoprante ............................................................................. 24

Commission nationale de linformatique et des liberts

VII. Enjeux pour les autorits de protection des donnes............25

A. B. 1. 2. C. 1. 2. Lapplicabilit de la lgislation sur la protection des donnes..................................... 25 Promouvoir une meilleure information des internautes ............................................... 27 Obligations dinformation par les acteurs de la publicit en ligne .................. 27 Information du public sur les moyens de contrler ses traces ......................... 30 Promouvoir les produits et services respectueux de la protection des donnes caractre personnel .................................................................................. 31 Lintrt de la labellisation.................................................................................. 31 Promouvoir des standards compatibles avec la protection des donnes personnelles........................................................................................................... 32

VIII. Conclusion .................................................................................33

Commission nationale de linformatique et des liberts

I. Prsentation
Vous dcidez de rserver un billet davion pour New-York sur Internet. Deux jours plus tard, en lisant votre quotidien en ligne, une publicit vous propose une offre intressante pour une location de voitures New York. Ce nest pas une simple concidence : il sagit dun mcanisme de publicit cible, comme il sen dveloppe actuellement de plus en plus sur Internet.

A. Le carburant de lconomie numrique.

Le modle conomique de nombreuses socits phares dInternet comme Google ou Facebook est bas sur la fourniture de services apparemment gratuits linternaute, mais financs majoritairement sinon exclusivement par la publicit. Ce modle de fourniture de services adosss de la publicit est quasiment devenu la norme, si bien que linternaute, demandeur de ces services gratuits, reoit une quantit croissante de publicit. La publicit est donc un enjeu stratgique pour les grands acteurs du monde numrique. Ces acteurs souhaitent rendre la publicit la plus efficace possible, et donc la plus cible possible vis vis de linternaute, pour des raisons conomiques simples : Dans les modles classiques de publicit, la rmunration est base sur un nombre daffichages1 ; or la publicit cible peut tre facture sensiblement plus cher2 lannonceur. Dans les modles de facturation au clic3 (ou lachat), lintrt de lannonceur est daugmenter le taux de clic (ou dachats), et donc galement de cibler la publicit en fonction de lutilisateur. Cest lune des raisons qui a pouss les acteurs internet diversifier leurs services et leurs activits, afin de collecter toujours plus dinformations sur le comportement des utilisateurs sur internet4.

1 2

On parle de CPM, Cost Per Mille (Cot par millier daffichages).

Un CPM de 10$ pour le comportemental contre un CPM de 2.5$ normalement, selon un article prsent dans Adweek http://www.adweek.com/aw/magazine/article_display.jsp?vnu_content_id=1003695822
3 4

On parle de CPC, Cost Per Click (Cot par Clic), et plus rarement de Cost Per Action (Cot par action dachat)

Par exemple, Google fournit des services de recherche. Il a rachet des socits de publicit comme Double Click. Il a rcemment lanc un service Google Suggest, intgr son navigateur Chrome, qui envoie Google lensemble des pages web visites par les internautes, mme quand ces derniers ny ont pas accd via le moteur de recherche, etc.

Commission nationale de linformatique et des liberts

B. Les types de publicits en ligne

On peut identifier trois niveaux de publicit cible sur Internet : 1) La publicit personnalise classique , 2) La publicit contextuelle, 3) La publicit comportementale. La publicit personnalise classique . La publicit personnalise est une publicit qui est choisie en fonction des caractristiques connues de linternaute (ge, sexe, localisation, etc.) et quil a lui mme renseignes, par exemple en sinscrivant un service. Ce type de publicit est le plus classique mais il est aujourdhui revisit par les rseaux sociaux. En effet, les utilisateurs de rseaux sociaux fournissent non seulement des lments de leur identit mais aussi des lments dtaills de leurs centres dintrt et de leurs passions. Cet ensemble dtaill de donnes personnelles permet aux rseaux sociaux de proposer une plateforme de distribution de publicit personnalise trs pointue. La publicit contextuelle. La publicit contextuelle est une publicit qui est choisie en fonction du contenu immdiat fourni linternaute. Ainsi, le produit ou le service vant dans la publicit contextuelle est choisi en fonction du contenu textuel de la page dans laquelle la publicit sinsre ou, sil sagit dun moteur de recherche, en fonction du mot cl que linternaute a saisi pour sa recherche. Cette donne est parfois complte par des informations de golocalisation dduites de ladresse IP de linternaute, ou par la prcdente requte dans le cas particulier dun moteur de recherche. La publicit est cible en fonction des intrts supposs de lutilisateur dans la mesure o celui-ci se rend sur une page que lon peut prsumer en rapport avec ses centres dintrt. Typiquement, un site donnant des rsultats sportifs affichera des publicits sur des articles de sport. La publicit comportementale. La publicit comportementale est une publicit qui est choisie en observant le comportement de linternaute travers le temps. Ainsi, la publicit comportementale vise tudier les caractristiques de linternaute travers ses actions (visite successives de sites, interactions, mots cls, production de contenu en ligne, etc.) pour en dduire son profil et lui proposer des publicits adaptes. Bien que les notions de publicit personnalise, comportementale et contextuelle paraissent de prime abord clairement distinctes, la frontire qui les spare est parfois tnue, comme on pourra le voir travers certains exemples.

Commission nationale de linformatique et des liberts

C. Organisation des systmes de publicit en ligne

Les systmes de distribution de publicit sur internet sont organiss selon deux approches principales : 1) la publicit sur site 2) la rgie publicitaire.

La publicit sur site. Dans le cas le plus simple, le fournisseur de contenu prend techniquement en charge la diffusion des publicits sur son site. La diffusion des publicits, les bases de donnes associes, et les cookies5 (cf. Annexe I) ventuellement utiliss sont sous son contrle. Dans cette approche, lannonceur contacte le site internet et indique sa cible selon des critres qui peuvent varier du classique triplet tranche dge, sexe, pays des critres bien plus dtaills. Lannonceur indique galement le contenu publicitaire afficher. Cest ensuite le site internet qui prend en charge la diffusion du contenu publicitaire auprs de la cible choisie. Lannonceur ne sera gnralement mis en relation avec linternaute que si celui-ci clique sur une publicit.

La rgie publicitaire. Dans cette approche, devenue aujourdhui majoritaire, le fournisseur de contenu dlgue laffichage et le choix des publicits un tiers : une rgie spcialise dans la diffusion de la publicit. Cette rgie est gnralement responsable de la diffusion des publicits sur un grand nombre de sites et on parle donc frquemment de rseau publicitaire pour la dcrire. Le contenu des publicits, les cookies et les bases de donnes utilises pour la gestion des cookies et des publicits sont sous le contrle de la socit qui distribue la publicit. Plus la rgie publicitaire est large, plus celle-ci possde de moyens potentiels pour suivre les internautes et tracer leurs comportements. Dans ce modle, lannonceur ngocie gnralement directement avec la rgie publicitaire et naura pas ncessairement connaissance de lidentit de lensemble des fournisseurs de contenus qui vont diffuser sa publicit. Certaines socits sont cheval sur les deux catgories, notamment Yahoo et Google, car elles font de la publicit sur site en tant que fournisseur de contenu, et car elles jouent galement le rle de rgie publicitaire travers un large rseau de partenaires ou de clients.

Un cookie est un petit fichier produit par un site web que le navigateur stocke localement sur le disque dur de linternaute. Chaque cookie peut tre consult (ou modifi) par le site web qui la cr et sert (entre autres) enregistrer des informations sur linternaute ou sur son parcours sur le site web.

Commission nationale de linformatique et des liberts

II. Technologies de traage

Les fournisseurs de services qui organisent la publicit sur site, nont aucun mal avoir des informations prcises sur les internautes, notamment travers les formulaires dinscription quil est ncessaire de remplir pour utiliser le service propos, sans oublier ladresse IP (cf. Annexe III) ou encore les mots cls saisis. Contrairement aux systmes de publicit sur site, les rgies publicitaires nont pas, en gnral, un accs direct aux donnes personnelles des utilisateurs. Malgr tout, ces rgies sont capables de constituer des profils des utilisateurs et de proposer une publicit cible travers les nombreuses possibilits de collecte et de traage quoffrent les technologies de lInternet.

A. Laffichage des publicits en ligne par les rgies

Pour imaginer les capacits de traage quont les rgies publicitaires, il est utile de comprendre comment celles-ci procdent pour insrer des publicits dans les pages des fournisseurs de contenu. Lorsquun site fait appel une rgie publicitaire pour afficher des publicits, le contenu de la page prsente linternaute est produit conjointement par le fournisseur de contenu et par la rgie publicitaire. Pour permettre aux rgies publicitaires dafficher des publicits, le fournisseur de contenu doit leur rserver des espaces visuels sur son site. Le partage de lespace visuel dune page Internet est rendu possible par les technologies hypertexte du protocole HTML (et ses diverses dclinaisons) notamment travers : Linclusion dans une page dune image6 en provenance dun autre site7. Linclusion du contenu dune page (externe) lintrieur dune page autre8. Linclusion dans une page dapplets9 excutes par le navigateur10.

Ainsi, lorsque linternaute affiche une page en provenance dun fournisseur de contenu, son navigateur dialoguera aussi de manire automatique et quasi-invisible avec des sites tiers pour afficher des publicits.

Dans certain cas, cette image peut tre invisible (constitue uniquement dun point blanc dun pixel), ce qui peut aussi permettre de surveiller la frquentation de certaines pages web
7 8 9

Par une balise IMG en HTML. Par une balise IFRAME en HTML.

Une applet est un logiciel qui s'excute dans la fentre d'un navigateur web. Elle permet, sans installation d'un logiciel ddi (ou client lourd) dexcuter une application ergonomique et ractive car elle est anime en grande partie par le navigateur plutt que par le serveur distant.
10

Par le langage Javascript, et les applets Flash notamment.

Commission nationale de linformatique et des liberts Lexemple ci-aprs illustre un cas de publicit en ligne dans lequel le fournisseur de contenu a cd une partie de lespace visuel une rgie de publicit externe.

Un internaute se rendant sur le site de musique en ligne www.deezer.com pourra voir cette page affichant une publicit pour Bouygues. Lensemble de la page (en noir) est affiche par le fournisseur de contenu www.deezer.com, cependant la zone en bleu contenant la publicit est affiche par un site externe ad.fr.doubleclick.net (de la socit DoubleClick appartenant aujourdhui Google).

B. Capacit de collecte dinformations

Lorsquune rgie publicitaire prend en charge laffichage dun contenu au sein dune page Internet, cela signifie galement que cette rgie publicitaire pourra collecter des donnes de trafic concernant lutilisateur visualisant le contenu et pourra dposer des cookies . Mais ceci nest pas limitatif. En effet, techniquement il existe plusieurs mthodes qui permettent ces rseaux publicitaires de collecter des informations supplmentaires sur lutilisateur qui visionne une page sur Internet : Dune part, le fournisseur de contenu principal peut communiquer volontairement des donnes dont il dispose aux rgies publicitaires (notamment par lintermdiaire des technologies HTML prcdemment voques). Dautre part, la rgie publicitaire qui affiche une publicit au sein dune page dun fournisseur de contenu, peut par la mme occasion analyser le contenu de celle-ci et en retirer des informations, comme par exemple ladresse IP de la machine qui visualise la page. En outre, comme indiqu au chapitre IV.F dans lexemple relatif la socit Phorm, de nouvelles expriences bases sur une collecte des donnes directement au niveau du fournisseur daccs Internet permettent denvisager un suivi encore plus tendu de linternaute.

Commission nationale de linformatique et des liberts

C. Capacit de suivi de linternaute

Une rgie publicitaire qui ralise de la publicit comportementale doit pouvoir reconnatre un internaute dans le temps afin : De complter les informations quelle possde sur linternaute. De proposer une publicit adapte son profil suppos. Pour tre efficace, ce suivi de linternaute doit tre possible non seulement au sein dun mme site, mais galement travers plusieurs sites diffrents, fournissant des contenus totalement diffrents. La technologie qui permet un tel suivi est base essentiellement sur des cookies traceurs qui permettent de suivre linternaute dans ses dplacements sur tous les sites qui affichent des publicits en provenance de la mme rgie publicitaire. Lexemple ci-dessous illustre le suivi dun internaute visualisant deux sites distincts affichant des publicits en provenance dune mme rgie publicitaire. Cet exemple ne concerne que deux sites distincts mais peut aisment se gnraliser un grand nombre de sites.

www.regie-pub.fr www.journal.fr www.meteo.fr

Cookie = 1001

Cookie = 1001

www.journal.fr

Publicit 1

Publicit 2
www.meteo.fr

PUB

PUB

Exemple de suivi dun internaute par cookie : Dans un premier temps, linternaute visualise une publicit PUB 1 sur le site www.journal.fr . Cette publicit est affiche par la rgie publicitaire www.regie-pub.fr qui en profite pour insrer un cookie, contenant lidentifiant 1001 sur le poste de lutilisateur. Dans un deuxime temps, linternaute se rend sur le site www.meteo.fr . Or les publicits affiches sur ce deuxime site sont aussi gres par www.regie-pub.fr . Cette rgie

Commission nationale de linformatique et des liberts rcupre donc le cookie prcdemment dpos. Grce lidentifiant contenu dans celui-ci, la rgie peut alors enrichir le profil de linternaute et lui proposer une nouvelle publicit PUB 2 qui est en rapport avec son profil suppos. Comme on le voit dans lexemple prcdent, le cookie traceur est produit par un site tiers, une rgie publicitaire, qui est distinct du site principal fournisseur de contenu. Cest pour cela que lon parle frquemment de cookie tiers . En suivant linternaute par un cookie dans le temps, la rgie publicitaire va donc pouvoir collecter des informations de plus en plus prcises sur celui-ci et par consquent lui proposer une publicit de mieux en mieux cible.

10

Commission nationale de linformatique et des liberts

III. Constitution de profils

Afin de raliser de la publicit cible, les socits de publicit en ligne constituent des profils plus ou moins prcis des internautes. Ces socits ont des degrs de transparence trs variable quant au contenu de ces profils. On peut cependant distinguer deux approches dans la constitution de profils des internautes : - Les profils prdictifs : ces profils sont tablis par infrence en observant le comportement des internautes dans le temps, notamment en suivant les pages visites et les publicits qui ont attir son attention. - Les profils explicites : ces profils sont tablis partir des donnes personnelles que linternaute a lui-mme fournies un service web, notamment travers son inscription. Naturellement, ces deux approches peuvent tre utilises de manire complmentaire.

A. Profils prdictifs
Les donnes minimales typiquement contenues dans un profil prdictif sont : Le sexe et la tranche dge La localisation (par pays ou rgion) Dans une approche prdictive, le sexe et la tranche dge peuvent tre dduits notamment par une analyse des pages visites par linternaute et les publicits auxquelles il a t sensible. Par exemple, si un internaute lit un article sur un joueur de foot, on pourra en dduire quil existe une probabilit plus forte quil sagisse dun homme que dune femme. En combinant plusieurs informations obtenues sur le comportement de linternaute, ces prdictions peuvent tre affines et prcises. La localisation (et la langue probable) de linternaute peut, quant elle, tre dduite partir de son adresse IP. Au del, du sexe, de lge et de la localisation, grce des analyses plus pousses les systmes de publicit en ligne sont souvent capables de classer les utilisateurs dans des segments, soit par centres dintrt, soit par catgories marketing (exemple : jeune clibataire urbain , couple de cadres , etc.). Lexemple ci-aprs prsente des exemples de profils gnrs par la rgie publicitaire NUGG.AD qui prtend tre le leader europen de ciblage prdictif comportemental. On peut noter que ds lors que des profils sont constitus de manire prdictive, ils peuvent savrer incomplets ou inexacts. Ceci peut donc poser la question de la pertinence des traitements qui sappuient sur ce type de profil.

11

Commission nationale de linformatique et des liberts

Exemples de profils11 constitus par NUGG.AD, socit spcialise dans le ciblage prdictif comportemental.

B. Profils explicites
Certaines socits sont la fois fournisseur de services personnaliss et de publicit. Dans leur rle de fournisseur de services personnaliss, ces socits obtiennent directement des informations personnelles prcises sur les internautes, travers les formulaires dinscription ou de renseignement. Cest le cas notamment de Yahoo qui fournit la fois des services (mail, mto, informations locales, blog, etc.) et de la publicit travers sa propre rgie publicitaire. Les profils raliss par cette socit peuvent donc potentiellement tre trs dtaills. Yahoo va mme plus loin, en indiquant combiner les mots cls saisis par lutilisateur avec son profil pour affiner les publicits qui lui sont prsentes12. Les rseaux sociaux sont galement bien placs pour fournir de la publicit cible partir des donnes dtailles fournies par leurs membres. Lexemple ci-aprs illustre les possibilits de ciblage avanc qui sont offertes aux annonceurs souhaitant afficher une publicit sur Facebook.

11 12

On notera que les internautes de plus de 59 ans semblent bnficier dun opt-out gracieux. http://searchengineland.com/new-smartads-the-future-of-graphical-advertising-at-yahoo-11607.php

12

Commission nationale de linformatique et des liberts

Cet exemple montre comment un annonceur sur Facebook peut cibler une publicit auprs des jeunes de 13 15 ans habitant Birmingham13 en Angleterre et ayant la boisson comme centre dintrt. De plus, Facebook indique que la cible choisie comporte approximativement une centaine de personnes. Facebook exploite ainsi les donnes quelle collecte de ses membres de manire fournir une publicit qui peut tre trs cible.

C. Anonymat des donnes collectes ?

La plupart des rgies de publicit prtendent que les profils des internautes sont anonymes dans la mesure o ils ne sont identifis que par un identifiant (unique) dapparence alatoire qui ne pourrait pas tre directement rapproch dune identit relle. Le cas des socits qui sont la fois fournisseur de contenu et rgie de publicit est plus complexe : - Microsoft14 indique notamment maintenir une tanchit totale entre les donnes personnelles collectes au titre de la fourniture dun service, et les donnes collectes dans le cadre de ses activits dans la publicit. - Par contre, Yahoo15 ne cache pas que les donnes personnelles collectes dans la cadre de la fourniture de service sont exploites pour fournir une publicit cible. La question de lapplicabilit de la lgislation sur la protection des donnes aux profils utiliss pour cibler la publicit sera aborde plus loin la section VII.

13 14 15

Le ciblage par ville nest pas disponible dans tous les pays, et nest notamment pas encore propos en France. Voir le principe IV de Microsofts Privacy Principles for Live Search and Online Ad Targeting, Juillet 2008. Voir la section information collection and use sur http://info.yahoo.com/privacy/us/yahoo/

13

Commission nationale de linformatique et des liberts

IV. Panorama de systmes de publicit en ligne

Cette section propose un panorama des systmes de publicit en ligne travers quelques exemples significatifs.

A. Amazon : analyse comportementale sur site.

Cette socit de vente en ligne de produits multimdia cherche encourager ses clients dpenser plus en utilisant ses propres technologies publicitaires. Amazon propose depuis longtemps des suggestions dachats ses utilisateurs. Ces suggestions sont bases sur les derniers achats effectus par lutilisateur et/ou dautres utilisateurs qui ont achet le mme produit. Ces informations sont souvent utiles et intressantes, en particulier dans le domaine de la musique ou du livre. Cette approche se situe dans le domaine du comportemental mais est circonscrite essentiellement au site dAmazon. En 2000, la socit Amazon a t accuse de moduler les prix de ventes des articles proposs en fonction du profil individuel de ses utilisateurs16. Les critres et les donnes utiliss par Amazon ne sont pas connus, mais on peut considrer quil sagit bien dune des possibilits quoffre lanalyse comportementale. Comme indiqu plus loin, un partenariat publicitaire entre Amazon et le rseau social Facebook sest rcemment mis en place.

B. Google : le champion du contextuel.

Google est le leader de la publicit contextuelle. Dune part, Google affiche des publicits en fonction des mots cls que lon tape dans son fameux moteur de recherche (ainsi que certains moteurs de recherche partenaires, comme Ask.com et AOL Search). Dautre part, grce loutil AdSense, nimporte qui peut insrer de la publicit dans son site web et en partager les revenus gnrs avec Google. Lorsquun fournisseur de contenu souhaite utiliser AdSense, il insre simplement un code logiciel fourni par Google dans les pages web de son site. Ce code logiciel permet Google de prendre le contrle dune partie des pages affiches17 pour y dposer des publicits qui seront choisies contextuellement en fonction du contenu de la page environnante. Google affiche galement des publicits travers sa plateforme de messagerie lectronique Gmail : lorsquun internaute consulte sa messagerie Gmail, il verra des publicits choisies contextuellement en fonction du contenu du courrier affich. Plus gnralement Google insre de la publicit contextuelle dans tous ses services (Google Maps, Orkut, Blogger, ). Rcemment Google a mme lanc son propre navigateur Internet appel Chrome, et a indiqu effectuer une analyse ( des fins damlioration du service) de 2% des donnes qui taient saisies par lutilisateur dans la barre dadresse du navigateur.

16 17

http://www.cnn.com/2005/LAW/06/24/ramasastry.website.prices/

Une page web est souvent constitue de plusieurs sous-pages, chaque sous-page pouvant tre fournie par un serveur diffrent.

14

Commission nationale de linformatique et des liberts Bien que la stratgie actuelle de Google semble se focaliser sur la publicit contextuelle, des lments indiquent que Google saventure dans le domaine de la publicit comportementale : Pour son moteur de recherche, Google indique depuis peu dans sa politique de confidentialit18 que laffichage des publicits peut se baser sur les requtes de recherche rcentes et non plus seulement sur la dernire requte soumise, ce que lon peut considrer comme une forme de transition entre une approche contextuelle et une approche comportementale. En outre, Google a acquis rcemment la rgie de publicit DoubleClick qui possde un savoir faire dans le domaine de la publicit comportementale. Google a dailleurs annonc le 11 mars 2009 quil allait dsormais proposer un ciblage publicitaire en fonction dun profil construit dynamiquement pendant la navigation des internautes sur les sites partenaires de Google, sur la base dune liste de 600 centres dintrts. Par ailleurs, grce son produit Analytics , Google fournit aux responsables de sites Internet un outil gratuit trs performant danalyse statistique qui illustre les capacits pousses que Google sait mettre en uvre pour suivre le comportement des internautes. Pour utiliser Analytics , un responsable de site doit insrer une applet (javascript) dans chacune des pages de son site. Cette applet collecte et envoie Google des donnes sur chaque visiteur du site, notamment son adresse IP. Google possde donc des informations permettant de savoir quelle adresse IP a visit quels sites (oprant le service de Google). Le responsable du site peut ensuite se connecter Google qui centralise toutes les traces et obtenir des rapports19 statistiques dtaills (couvrant plusieurs annes) permettant notamment de mesurer les variations daudience, de segmenter les visiteurs en diffrents groupes, de mesurer la rponse des utilisateurs une campagne de publicit, de mesurer la rpartition gographique des utilisateurs, etc.

C. Facebook: la publicit personnalise sur site

Facebook est un rseau social permettant aux internautes de communiquer et dchanger autour de leurs centres dintrts. Facebook propose plusieurs types de publicits, mais une des plus originales sappelle Social Ads ou Annonces Sociales . Un annonceur dsirant utiliser les Social Ads de Facebook, sadresse celui-ci en prcisant sa cible selon des critres qui peuvent tre trs prcis : age, sexe, localisation, centres dintrts prcis. Lannonceur propose un texte et un lien publicitaire et Facebook se charge dafficher ces informations dans les pages dinternautes qui correspondent au profil dsir par lannonceur. Il sagit donc bien dune publicit personnalise sur site, dont la diffusion est contrle par Facebook qui indique quaucune donne personnelle nest transmise aux annonceurs. Dans le rseau social Facebook, laccent est notamment mis sur la notion damis . Les utilisateurs partagent automatiquement un certain nombre dinformations avec leurs amis et cela est galement vrai pour la publicit. Si un utilisateur de Facebook sintresse un produit

18

Voir http://www.google.fr/intl/fr/privacy_cookies.html. Ce point a t galement voqu lors de laudition de Jane Horvath, Senior Privacy Counsel, Google Inc., lors de laudition au Senate Committee on Commerce, Science, and Transportation, sur Privacy Implications of Online Advertising, le 9 Juillet 2008.
19

Ces rapports contiennent des donnes agrges, et ne permettent pas de suivre un internaute individuellement.

15

Commission nationale de linformatique et des liberts sponsoris vant par lintermdiaire du service publicitaire dannonces sociales , ses amis seront avertis par un message de son intrt pour ce produit. Ainsi, laffichage de la publicit est conditionn galement par le cercle damis que tissent les utilisateurs de Facebook. Facebook a pouss cette ide encore plus loin avec beacon , un systme de partenariat publicitaire avec des sites Internet externes. Ces partenaires externes tracent les achats des utilisateurs de Facebook sur leur site et en renvoient les dtails Facebook. A son tour, Facebook affiche une publicit alertant tous les amis de lutilisateur sur les achats que celui-ci a effectus. Ce systme a suscit (et suscite encore) de nombreuses controverses notamment pour des questions de consentement et aujourdhui les utilisateurs peuvent raliser un opt-out sur ce service. Facebook a galement nou un partenariat20 avec Amazon qui permet aux utilisateurs de Facebook de voir la liste des livres que leurs amis souhaiteraient acheter sur Amazon. Les amis de cet utilisateur peuvent alors en quelques clics lui offrir ce livre en cadeau. Ce service est en opt-in . On peut donc observer que si le cur de la publicit Facebook est une publicit personnalise classique , cette socit tudie galement les habitudes dachats et les interactions de ses internautes pour proposer de la publicit comportementale. Facebook tudie actuellement21 dautres mcanismes publicitaires exploitant davantage encore les liens sociaux tisss dans son rseau.

D. Linked-in : la publicit personnalise en rseau

Linked-in est un rseau social professionnel qui permet de prsenter ses activits professionnelles, son CV et de grer des contacts . Lapproche publicitaire de Linked-in est intressante car elle suit une dmarche oppose celle de Facebook. En effet, contrairement Facebook qui contrle lintgralit de son processus de publicit cible, Linked-in dlgue laffichage de certaines de ses publicits cibles DoubleClick, filiale de Google. Pour cela, Linked-in transmet22 DoubleClick le numro identifiant interne Linkedin, la rgion et lentreprise de lutilisateur23. Par ailleurs, si un utilisateur de Linked-in se rend sur le site du New-York Times , alors ce journal amricain recevra par un cookie le descriptif de lactivit professionnelle de linternaute, ainsi quun descriptif du type et de la taille de

20

Facebook nest pas le seul raliser ce genre de partenariat. Ainsi, le New York Times a un accord avec le rseau social professionnel LinkedIn pour afficher des informations personnalises en rapport avec le secteur conomique dans lequel travaille lutilisateur.
21 22

Voir http://www.adweek.com/aw/content_display/news/digital/e3i67f2ad037eba0dd696178bd6615b7155

On peut sinterroger sur la rdaction de la politique de confidentialit de Linked-in qui indique Nous ne faisons ni vendre, ni louer ou ni fournir daucune manire que ce soit vos donnes personnelles identifiables un tiers des fins commerciales , cf. http://www.linkedin.com/static?key=privacy_policy&trk=hb_ft_priv
23

Cet change dinformation nest pas bas sur des cookies et lutilisateur ne peut sy opposer ou le bloquer.

16

Commission nationale de linformatique et des liberts lentreprise o il travaille. Ces donnes seront alors galement utilises pour prsenter une publicit personnalise linternaute.

E. Tacoda/AOL: la publicit comportementale en rseau

Tacoda24 est un rseau de publicit comportementale qui prtend couvrir plus de 4000 sites Internet forte audience25. Cette socit catgorise les internautes dans des profils gnraux en fonction de lvolution de leur comportement travers lensemble de son rseau. Pour cela, les internautes sont suivis par des cookies traceurs . Les annonceurs confient leur publicit Tacoda et choisissent une cible (ge, sexe, localisation, ). Tacoda se charge de la diffuser aux internautes ayant un profil correspondant la cible recherche par lannonceur. Tacoda propose sur son site un opt-out pour les utilisateurs ne souhaitant plus recevoir de publicit cible26.

F. Phorm: la publicit tlcommunication

comportementale

chez

loprateur

de

La grande majorit des communications sur internet nest pas crypte et peut en thorie tre intercepte par des tiers. Loprateur de tlcommunication dtient donc une position privilgie car il a la capacit dobserver la majorit du trafic gnr par ses abonns. Un certain nombre de socits ont dcid de saisir cette opportunit pour proposer aux oprateurs des services de publicit comportementale bass sur une analyse du trafic Internet ralise directement au niveau de loprateur de tlcommunication. Cest le cas notamment de la socit Phorm, qui propose une offre de profilage anonyme des utilisateurs base sur lanalyse de lensemble des sites quils visitent. La technologie mise en uvre par Phorm est relativement complexe, mais aboutit un suivi complet des internautes grce des cookies traceurs placs sur tous les sites visits. Phorm a cr une polmique au Royaume-Uni car cette socit a conduit en secret des tests de ce systme en partenariat avec loprateur BT sur plusieurs dizaine de milliers dabonns, sans leur consentement, ni mme une information. Ces exprimentations semblent actuellement suspendues et des actions en justice contre BT et Phorm sont en cours. Le Information Commissioner's Office a par ailleurs indiqu que ce type de service ne pourrait tre lgal au Royaume Uni que sil tait initi par un opt-in de labonn. Ces exprimentations ont cependant donn un aperu de ce que pourrait devenir la publicit comportementale avec la participation des oprateurs de tlcommunication. Aux Etats Unis, la socit NebuAd propose actuellement un produit similaire.
24

La socit Tacoda appartient au groupe Time Warner AOL depuis 2007. Son intgration complte au sein de la rgie publicitaire dAOL a t annonce en aot 2008.
25

TACODA indique avoir plus de 4000 sites touchant 140 millions dutilisateur uniques par mois. Ses partenaires majeurs aux Etats-Unis incluent notamment Dow Jones, The New York Times Company, NBC Universal, Fox, AOL, Comcast, HGTV.com, FoodNetwork.com, Kelley Blue Book, and USAToday.com
26

Paradoxalement, cet opt-out repose sur linstallation dun cookie permanent sur le PC de linternaute. Si ce cookie est effac, linternaute recevra de nouveau des publicits cibles de la part de TACODA.

17

Commission nationale de linformatique et des liberts

V. Tendances et prospective
A. Une concentration des acteurs de la publicit en ligne
On assiste depuis peu une concentration des acteurs de la publicit en ligne : fusion de Tacoda et de la rgie publicitaire dAOL, acquisition du rseau RightMedia par Yahoo (pour 680 millions de dollars) ou encore acquisition de Aquantive par Microsoft (pour 6 milliards de dollars). Mais lacteur majoritaire actuel dans la publicit en ligne est sans conteste Google, qui a rcemment rachet le rseau de publicit DoubleClick (pour 3,1 milliards de dollars), et qui possde des accords de diffusion de publicit avec les moteurs de recherche dAOL, Yahoo ou encore Ask.com. Aux Etats-Unis, des estimations indiquent que Google diffuse aujourdhui presque 70% des publicits en ligne27. La tendance au regroupement des rseaux de publicit en ligne est donc forte et implique galement un largissement des capacits de ces rseaux suivre et collecter des donnes sur les internautes.

B. Une convergence entre fournisseur de publicit et fournisseur de contenus

Les fonctions de fournisseur de publicit et de contenus en ligne ont longtemps t relativement distinctes. Les fournisseurs de contenus dtenaient des informations personnelles prcises sur leurs clients, tandis que les rseaux de publicit dtenaient plutt des informations anonymes bases de manire prdictive sur le comportement observ des internautes. Avec leurs acquisitions rcentes, les leaders du monde numrique Google, Yahoo et Microsoft, se retrouvent avec le double rle de fournisseurs de contenus et de publicit. Ces acteurs ont en thorie la capacit indite de connatre quantits dinformations sur les internautes la fois travers ce que les internautes leur ont communiqu volontairement et par les observations quils peuvent raliser sur leur comportement. Cette convergence nest pas le fruit du hasard mais permet effectivement aux grands fournisseurs de contenus de mieux dfinir et matriser la publicit offerte aux internautes et donc leur chane de revenus. Plusieurs questions se posent alors pour ces acteurs ayant deux casquettes : Quelles informations personnelles sont utilises pour effectuer de la publicit cible ?

27

En juillet 2008, en additionnant la part des recherches effectues par Google (61.9%) avec ses deux affilis Ask (4,3%) et AOL (4,1%), on constate que 70,3% des recherches ont vu des publicits Google (voir http://www.comscore.com/press/release.asp?press=2405). En outre, selon dautres estimations, presque 70% des publicits en dehors des moteurs de recherche sont affiches par Google et DoubleClick (cf. http://www.attributor.com/blog/get-your-fair-share-of-the-ad-network-pie/ ). Dautres estimations plus conservatrices place la part de Google autour de 50%, ce qui reste consquent.

18

Commission nationale de linformatique et des liberts Quelles informations personnelles sont transmises des tiers, et en particulier aux annonceurs ? Quelle frontire existe-t-il aujourdhui entre les donnes personnelles collectes pour fournir un service et les donnes collectes pour fournir de la publicit cible ? La frontire entre les donnes personnelles collectes pour fournir un service et les donnes collectes pour fournir de la publicit cible est-elle susceptible dvoluer dans le futur ?

C. Une extension des domaines dapplication

Si la collecte de donnes sur les internautes se limite aujourdhui essentiellement lanalyse de comportement sur le web, des volutions sont envisageables : Des projets de publicit cible pour la tlvision sur IP par ADSL sont aujourdhui en cours de dveloppement28 permettant par exemple de remplacer les crans de publicit traditionnelle par des publicits cibles en fonction du foyer qui la visualise, Les medias de communication que sont lInternet, le Tlphone et la Tlvision sont en train de converger vers une technologie commune, savoir IP, fournie par le mme oprateur (le triple ou quadruple play ), Les capacits informatiques danalyse et de stockage de donnes sont en croissance constante29. Rien ninterdit donc dimaginer que des publicits tlvisuelles soient bientt adaptes au profil de linternaute, ou rciproquement que les publicits proposes sur Internet soient en lien avec lanalyse des contenus tlvisuels vus par linternaute. Il ne parat pas non plus impossible de concevoir que des socits proposent des publicits bases sur des mots cls dtects dans une conversation tlphonique sur IP. Dans cet esprit, lexemple de Phorm prcdemment dcrit permet de spculer sur un rle futur accru des oprateurs de tlcommunication dans le monde de la publicit comportementale.

D. Un usage de plus en plus pointu de la golocalisation

De nombreux systmes de publicit en ligne offrent un contenu go-localis dduit de ladresse IP de linternaute. Cette golocalisation est relativement grossire, car limite au mieux lindication dune ville ou dune rgion.

28 29

La socit PacketVision a notament fait une prsentation dun tel dispositif la CNIL en janvier 2008. Ces capacits danalyse se limiteront de moins en moins au texte, et toucheront galement le son et limage.

19

Commission nationale de linformatique et des liberts

Cependant de nouveaux outils de golocalisation bien plus prcis sont en train de faire leur entre dans le monde de la publicit cible. En effet, les terminaux mobiles actuels proposent souvent des GPS embarqus qui peuvent fournir des informations de golocalisation trs prcises. Lorganisme W3C responsable de la dfinition des protocoles Web a dailleurs rcemment dfini une norme30 permettant aux navigateurs internet daccder et dexploiter des informations de golocalisation donnes par nimporte quel moyen (ex : adresse IP, RFID, WiFi, Bluetooth, GSM, GPS) pour notamment trouver des centres dintrts autour dune personne, annoter un contenu avec des informations de localisation, positionner un utilisateur sur un carte, envoyer des alertes quand des points dintrt se trouvent dans le voisinage dune personne, obtenir une information locale jour ou encore mettre des informations de statut golocalises dans des rseaux sociaux. Les navigateurs pourront alors ventuellement transmettre ces informations des fournisseurs de services. En parallle, Google a mis au point un des bornes Wifi les plus proches ou connect. Le systme dtecte lantenne Google pour traduire ces informations quelques centaines de mtres prs. systme de golocalisation bas sur la dtection sur lantenne relais laquelle un mobile est la plus proche de linternaute et interroge31 alors en une information de golocalisation prcise

Ces outils permettent denvisager une publicit cible au plus prs de linternaute.

30 31

Voir http://dev.w3.org/geo/api/spec-source.html

En effet, les particuliers et les professionnels qui utilisent des rseaux Wifi mettent des signaux qui peuvent tre distingus notamment par lidentification de ladresse MAC de leur quipement. Google a donc parcouru les axes de nombreuses villes pour constituer une grande base de donnes permettant dassocier chaque borne wifi avec une adresse gographique prcise.

20

Commission nationale de linformatique et des liberts

VI. Menaces
A. Le risque de montisation des profils
Les acteurs qui bnficient de la publicit en ligne sont : 1) Les fournisseurs : a. de publicit cible (sur site ou en rseau) b. de contenus ou de services qui affichent les publicits contre rmunration. 2) Les annonceurs qui souhaitent vendre leurs produits et qui les vantent travers la publicit. Comme on la vu, la frontire entre les fournisseurs de contenu et de publicit tend disparatre chez Google, Yahoo, Microsoft ou AOL. Ds lors, ces fournisseurs ont la fois des donnes personnelles explicitement fournies par linternaute, et des donnes collectes travers le suivi du comportement de celui-ci. Si aujourdhui, les transferts de donnes personnelles entre les fournisseurs de contenus ou de publicit et les annonceurs sont inexistants ou limits, rien nindique que cette frontire ne sera pas un jour franchie. Ce risque pourrait avoir des consquences importantes qui doivent tre prises en considration pour au moins deux raisons : 1) Ltat de la technologie actuelle permet tous les acteurs dchanger des informations de manire simple et sans contrle de linternaute. Lorsquun internaute clique sur une publicit affiche par un fournisseur de publicit, aucune barrire technologique nempche le fournisseur de publicit de transfrer des informations sur linternaute lannonceur (exemple : sexe, tranche dge, dernires pages visites, mots cls, etc.). Dores et dj, si lannonceur a ralis une publicit selon des critres trs cibls et si un internaute clique sur celle-ci, lannonceur pourra en dduire que linternaute possde certaines caractristiques associes au profil concern. 2) Les fournisseurs de publicit ou de contenu sont tents de montiser une partie des informations quils dtiennent sur les internautes auprs des annonceurs. Lannonceur peut dj faire une slection de ses clients base sur un risque (en fonction de lge, localisation, revenus estims, etc.) ou pourrait proposer une tarification la tte du client . En thorie, la loi Informatique et Liberts permettrait dencadrer ces changes de donnes entre un fournisseur de publicit (ou de contenu) et un annonceur. Cependant, quen serait-il si ces changes nimpliquaient pas des donnes caractre personnel ? Peut-il sagir de donnes gnrales propres au profil anonyme de linternaute (ex. ge, sexe, localisation). Dans ce cas, le fournisseur de publicit ou de contenu utiliserait sans doute largument de lanonymat des profils constitus et transfrs pour se soustraire aux contraintes de la loi. Lannonceur pourrait quand lui raliser une ds-anonymisation des donnes reues, en les associant avec les donnes quil collecte. Il est galement envisageable que lannonceur opre en amont de toute collecte de donnes personnelles : - une slection des clients quil souhaite avoir par le biais des informations reues,

21

Commission nationale de linformatique et des liberts - une modulation des prix en fonction dun risque peru ou dun revenu estim. Les consquences dune connivence entre le fournisseur de contenu ou de publicit et lannonceur permettent denvisager un certain nombre de risques importants pour les liberts, notamment dans les domaines suivants : Crdit et assurance : Estimation de solvabilit ou de la sant du demandeur a son insu. Site de recrutement : Slection des personnes recevant loffre demploi en fonction de leurs orientations sexuelles, les opinions politiques, la sant, etc. Prix : Modulation de prix en fonction du profil de linternaute.

B. Les risques lis aux gisements de donnes personnelles ou sensibles

Comme le cot de stockage des informations est de plus en plus faible32 et comme les internautes produisent de plus en plus de donnes et de traces, il est trs tentant de collecter un maximum de donnes sur les internautes mme si la finalit de chaque donne nest pas toujours tablie au moment de la collecte. En parallle, la puissance de calcul croissante et le perfectionnement constant des outils de data-mining permet denvisager des analyses de plus en plus pousses de ces entrepts de donnes personnelles. En cas de faille grave dans les systmes informatiques stockant ces donnes, cest une mine dinformations qui pourrait soffrir un tiers mal intentionn. Ce risque est accru si les lments collects incluent des donnes sensibles (donnes de sant, opinions politiques, sexualit, etc.). Cette inclusion pourrait tre purement accidentelle, par exemple, si lon collecte les centres dintrts de linternaute et que parmi ceux-ci figurent une maladie qui le touche ou des opinions politiques. Dans sa charte de confidentialit, Yahoo indique expressment prendre des mesures pour exclure les donnes sensibles de la collecte lie au profilage des internautes, ce qui prouve que la question se pose dores et dj. Il est parier que Microsoft et Google ont des garanties similaires, mais quen est-il en pratique ? Quen est-il dacteurs moins connus ou dsireux de se distinguer de la comptition ?

C. Un risque pour la confiance des utilisateurs

En labsence de transparence de la part des fournisseurs de contenu ou de services sur les mcanismes de profilage et sur les donnes collectes, linternaute peut percevoir ces mcanismes comme trs intrusifs. Dans lavenir, la CNIL sera trs certainement interpele par les internautes sur ce point et doit exiger des informations claires de la part des acteurs de la publicit en ligne.

32

On peut noter que Google Mail offre un espace gratuit de stockage de donnes ses utilisateurs. En novembre 2008 cette capacit tait de 7265 Mo et saccroit chaque jour de 0,35 Mo environ.

22

Commission nationale de linformatique et des liberts

D. La gnralisation dune politique dopt-out imparfaite

De nombreux systmes de publicit33 comportementale proposent un mcanisme dopt-out permettant de ne pas recevoir de publicit cible. Cet opt-out est paradoxalement souvent matrialis par un cookie dpos sur le poste de linternaute. Si ce cookie optout est prsent sur le poste de lInternaute alors il ne recevra pas de publicit cible. Les principaux acteurs de la publicit cible se sont regroups au sein de lassociation Network Advertising Initiative qui offre un outil34 global pour sopposer individuellement la rception de publicit sur chacun des rseaux concerns, comme le montre lextrait du site ci-dessous :

Cette approche dopt-out par cookie est certes un progrs, mais elle demeure imparfaite pour plusieurs raisons : Linternaute est rarement inform ou mme conscient de cette possibilit car les rgies de publicit cible sont souvent invisibles ses yeux. Lutilisation dun cookie signifie que linternaute est oblig de recommencer systmatiquement35 un opt-out chaque fois quil efface lensemble de ses

33

Voir notamment le systme dopt-out de Google (http://www.google.com/privacy_ads.html) ou Microsoft (https://choice.live.com/advertisementchoice/Default.aspx) et celui de TACODA voqu prcdemment.
34 35

Voir la page http://networkadvertising.org/managing/opt_out.asp

Tacoda a rcemment mis au point une parade partielle ce problme en se basant sur une astuce technique consistant a explorer le cache des pages dj visites par linternaute pour dtecter un opt-out mme si celui-ci a effac ses cookies. Par ailleurs, dans sa nouvelle solution dvoile en Mars 2008, Google a propos linstallation dun plug-in sur le navigateur internet qui permet deffectuer un opt-out rsistant leffacement des cookies.

23

Commission nationale de linformatique et des liberts cookies. Or de plus en plus dinternautes effacent priodiquement les cookies dposs sur leur PC. Lopt-out ne porte pas sur la collecte des donnes, mais uniquement sur la distribution de publicit cible. Les donnes des internautes continuent dtre collectes par ces rseaux de publicit cible (dans le but de raliser des statistiques). Seul un opt-in portant la fois sur la collecte de donnes et laffichage de publicits comportementales pourrait rellement donner un contrle aux utilisateurs. Il est cependant peu probable que les industriels du domaine suivent cette approche qui rduirait considrablement le nombre dinternautes pouvant tre tracs et pouvant recevoir de la publicit cible.

E. Une gestion des cookies inoprante

Si la gestion de lopt-out est imparfaite, il reste thoriquement lutilisateur la possibilit de mettre en uvre des outils pour mieux contrler la dissmination de ses donnes personnelles. La plupart des grands fournisseurs de contenus ont une politique de confidentialit formalise qui indique que des cookies sont utiliss notamment pour des finalits lies la publicit. Ces politiques de confidentialit prcisent galement comment lutilisateur peut bloquer ou supprimer ces cookies, ce qui peut donner limpression quun vritable choix est laiss linternaute. En pratique ce choix est souvent illusoire : Si linternaute bloque tous les cookies, il ne peut pratiquement utiliser aucun service aujourdhui sur internet36. Si linternaute choisit dautoriser individuellement chaque cookie au cas par cas, il se retrouve avec un nombre incessant de messages de confirmation qui deviennent vite pnalisants pour la navigation. Enfin, lalternative consistant raliser une suppression manuelle des cookies chaque fin de session est galement peu pratique. Aujourdhui, ces contraintes font quen ralit, la plupart des internautes noptent pas pour une politique relle de contrle des cookies37.

36

Par exemple, sur les pages de son site traitant des cookies, Yahoo! indique linternaute comment il peut les bloquer, mais prcise galement que Si vous choisissez de rejeter tous les cookies, vous ne pourrez pas utiliser les produits ou services Yahoo! ncessitant louverture d'un compte Yahoo! . voir : http://info.yahoo.com/privacy/fr/yahoo/cookies/
37

A cet gard, on peut tout de mme observer que les toutes dernires versions des navigateurs (ex : Internet Explorer 8, Google Chrome etc.) permettent deffectuer des sessions de navigation lissue desquelles tous les cookies installs lors de cette session sont automatiquement effacs. Cette nouvelle approche est techniquement intressante mais il est encore trop tt pour savoir si elle sera adopte par les internautes.

24

Commission nationale de linformatique et des liberts

VII. Enjeux pour les autorits de protection des donnes

A. Lapplicabilit de la lgislation sur la protection des donnes
La question pose est tout dabord celle de lapplicabilit de la lgislation sur la protection des donnes caractre personnel. En matire de publicit en ligne, de prime abord, il peut paratre difficile de dterminer si les traitements mis en uvre portent sur des donnes caractre personnel ou si ceux-ci sont anonymes. Par ailleurs, il convient de sinterroger sur les modalits dinformation de la personne destinataire de la publicit ds lors que la lgislation sur la protection des donnes est applicable. Le respect des droits des personnes (information pralable, droits daccs, de rectification et dopposition) est parfois mis mal dans le domaine de la publicit cible en ligne en raison de contraintes dordre tant techniques quconomiques. La directive europenne 95/46/CE dfinit le concept de donnes caractre personnel dune manire trs large38. Le G29 dans son avis 4/2007 du 20 juin 2007 a donn des orientations sur la manire dont il convient d'interprter le concept de donnes caractre personnel dans la directive 95/46/CE. Il rappelle galement que les finalits ultimes des rgles poses dans les directives sur la protection des donnes39 sont de protger les liberts et droits fondamentaux des personnes physiques, notamment leur vie prive, lgard du traitement des donnes caractre personnel. Selon cet avis, la dfinition des donne caractre personnel repose sur quatre lments, savoir toute information, concernant, une personne physique, identifie ou identifiable. Ces lments sont troitement lis et interdpendants, mais dterminent ensemble les lments d'information considrer comme donnes caractre personnel. I l convient de revenir plus particulirement revenir sur les notions de concernant et d identifi ou identifiable . Lavis prcise que d une manire gnrale, on peut considrer que les informations concernent une personne physique, lorsqu'elles ont trait cette personne physique . Il relve que : les donnes concernent une personne si elles ont trait l'identit, aux caractristiques ou au comportement d'une personne ou si cette information est utilise pour dterminer ou influencer la faon dont cette personne est traite ou value .

38

Il sagit de toute information concernant une personne physique identifie ou identifiable (personne concerne); est rpute identifiable une personne qui peut tre identifie, directement ou indirectement, notamment par rfrence un numro d'identification ou un ou plusieurs lments spcifiques, propres son identit physique, physiologique, psychique, conomique, culturelle ou sociale.
39

Directive 95/46/CE protection des donnes et directive 2002/58/CE vie prive et communications lectroniques .

25

Commission nationale de linformatique et des liberts Selon cette analyse, ds lors que le contenu dune publicit est cibl en fonction dun profil pralablement tabli, il conviendrait de faire application de la lgislation sur la protection des donnes. Les donnes traites des fins de publicit en ligne ont bien trait au comportement dune personne. Lavis ajoute quil suffit quune personne puisse tre traite diffremment par rapport dautres personnes la suite du traitement de ces donnes . Tel est le cas dans les cas prsents la partie IV. Les informations doivent galement concerner une personne physique identifie ou identifiable . Le G29 prcise cet gard que si l'identification par le nom constitue, dans la pratique, le moyen le plus rpandu, un nom n'est pas toujours ncessaire pour identifier une personne, notamment lorsque d'autres identifiants sont utiliss pour distinguer quelqu'un. []. Sur linternet aussi, les outils de surveillance du trafic permettent de cerner facilement le comportement d'une machine et, derrire celle-ci, de son utilisateur. On reconstitue ainsi la personnalit de l'individu pour lui attribuer certaines dcisions. Sans mme s'enqurir du nom et de l'adresse de la personne, on peut la caractriser en fonction de critres socio-conomiques, psychologiques, philosophiques ou autres et lui attribuer certaines dcisions dans la mesure o le point de contact de la personne (l'ordinateur) ne ncessite plus ncessairement la rvlation de son identit au sens troit du terme. En d'autres termes, la possibilit d'identifier une personne n'implique plus ncessairement la facult de connatre son identit.. Il ressort de cette analyse que les identifiants utiliss dans les cookies traceurs conduisent une forme didentification dun individu au sens de linterprtation du G29. Le groupe de larticle 29 a dailleurs prcis dans son avis sur les moteurs de recherche que Lorsquun cookie contient un identifiant dutilisateur unique, celui-ci est clairement une donne caractre personnel. Lutilisation de cookies persistants ou de dispositifs similaires comportant un identifiant dutilisateur unique permet de pister les utilisateurs dun ordinateur donn, mme en cas dutilisation dadresses IP dynamiques. Les donnes relatives au comportement qui sont gnres par le recours ces dispositifs permettent d'affiner encore les caractristiques personnelles de la personne concerne. Par consquent, il est possible de considrer que les donnes qui sont dans les profils comme lge, le sexe ou la localisation sont des donnes caractre personnel dans la mesure o elles sont lies cet identifiant40. En outre, il apparat que la plupart des systmes de publicit cible repose sur la collecte de ladresse IP. Cet avis prcise quune adresse IP attribue un internaute lors des ses communications constitue une donne caractre personnel41. Dans ce cadre, si la publicit est affiche par une rgie publicitaire distincte du site web consult par linternaute, celle-ci peut gnralement tre aussi considre comme responsable de traitement .

40

Quand bien mme un cookie identique serait affect plusieurs personnes dune mme catgorie, le classement dune personne dans sa catgorie implique gnralement un traitement de donnes caractre personnel.
41

Un rcent arrt de la Cour dappel de Rennes du 22 mai 2008 est dailleurs venu confirmer cette analyse.

26

Commission nationale de linformatique et des liberts La CNIL a elle-mme souvent soulign que ladresse IP est une donne caractre personnel notamment, loccasion de lexamen de la loi relative la lutte contre le terrorisme, des dcrets dapplication de la loi pour la confiance dans lconomie numrique ou encore loccasion des demandes dautorisation prsentes par les socits de perception et rpartition et des droits dauteur. Il rsulte de ce qui prcde que la lgislation sur la protection des donnes aurait, dans une large mesure, vocation sappliquer la publicit cible en ligne. En consquence, ds lors que la publicit cible en ligne repose par exemple sur des gots et comportements qui peuvent tre rattachs un individu identifi ou identifiable, elle doit tre opre dans le respect des principes de la protection des donnes.

B. Promouvoir une meilleure information des internautes

1. Obligations dinformation par les acteurs de la publicit en ligne Un des principaux enjeux en matire de publicit en ligne concerne la qualit de linformation des personnes concernes. Il est crucial que les personnes concernes puissent tre parfaitement informes de lutilisation qui sera faite de leurs donnes, que celles-ci soient fournies de leur propre initiative (cas de constitution de profil explicite) ou collectes sans intervention de leur part (cas de constitution de profil prdictif bas par exemple sur un historique des achats, lanalyse de la navigation et des requtes). Ds 200242, le lgislateur europen sest proccup de la question de linformation des internautes lors de lutilisation de tmoins de connexion (tels que les cookies ) par les sites web en consacrant un principe dinformation et un droit dopposition. Cette disposition a dailleurs t transpose en droit franais loccasion de la refonte de la loi informatique et liberts du 6 janvier 1978 qui prvoit une disposition spcifique en la matire. Ainsi, la loi du 6 janvier 1978 modifie prcise dans son article 32-II les obligations incombant aux diteurs de sites web qui utilisent des procds de collecte automatise de donnes tels que les cookies . Le principe pos par la loi, consacrant cette occasion la doctrine dgage par la CNIL en la matire, est celui dune information claire et complte des internautes. Ces derniers doivent ainsi tre informs de la finalit de lutilisation de cookies et des moyens dont ils disposent pour sopposer ce procd. La loi a toutefois prvu que cette obligation dinformation ntait pas ncessaire si le cookie : a pour finalit exclusive de permettre ou faciliter la communication par voie lectronique (exemple : faciliter la navigation lors dinscriptions ou de dmarches administratives effectues en ligne),

42

Directive 2002/58 Vie prive et communications lectroniques , article 5.

27

Commission nationale de linformatique et des liberts

-

ou est strictement ncessaire la fourniture dun service de communication en ligne la demande expresse de lutilisateur (exemple : cration de son panier lors dune commande en ligne).

Quant au point de savoir si larticle 32-II doit sappliquer ds lors que le cookie utilis permet lchange de tout type de donnes caractre personnel ou non entre le poste informatique sur lequel il est install et les serveurs informatiques du responsable du traitement, la Commission a retenu lanalyse suivante43. Il apparat que larticle 32-II est applicable uniquement si les procds tendant accder ou inscrire des informations dans lquipement terminal de connexion de lutilisateur mettent en uvre un traitement de donnes caractre personnel. Cette analyse a pour consquence dexclure lapplication des prescriptions prvues larticle 32-I de la loi prcite lutilisation de tels dispositifs dans la mesure o larticle 32-II prvoit un rgime drogatoire en matire dinformation des personnes. Toutefois, la CNIL recommande que les mesures dinformation prvues larticle 32-II, savoir linformation sur la finalit du dispositif ainsi que sur les moyens de sopposer sa mise en place, puissent tre assures quand bien mme son utilisation ne porterait que sur des donnes anonymes. Nanmoins, la section prcdente a dmontr que ds lors quun cookie traceur est utilis, il ne peut sagir de donnes anonymes. Selon la CNIL, une information claire et complte devrait tre prvue dans tous les cas de figure afin dassurer une parfaite transparence sur lutilisation de ce type de dispositif. En outre, cette position sinspire de lesprit de la directive 2002/58/CE qui rappelle dans son considrant 24 que lquipement terminal de lutilisateur dun rseau de communications lectroniques ainsi que toute information stocke sur cet quipement relvent de la vie prive de lutilisateur, qui doit tre protge au titre de la convention europenne de sauvegarde des droits de lhomme et des liberts fondamentales (cf. Annexe 1 concernant les modles dinformation proposs par la CNIL en cas dutilisation de cookies). Il rsulte de ce qui prcde que toute action tendant accder ou inscrire des informations dans lquipement terminal dun utilisateur devrait tre possible uniquement si la personne concerne est informe de manire claire et complte de la finalit de cette dmarche et des moyens de sy opposer. Par ailleurs, la CNIL rappelle que lanalyse des comportements dachats dans le but de personnaliser la publicit adresse aux internautes, nest possible que si linternaute en a t pralablement inform, et mis en mesure de sy opposer voire mme dy consentir si la publicit est adresse par voie lectronique. Ce droit doit pouvoir sexercer de manire spcifique et ne doit pas faire empcher linternaute deffectuer une commande (ex. les suggestions dachat proposes par la socit Amazon qui sont bases sur les derniers achats effectus par lutilisateur ne doivent tre permises que si ce dernier en a t pralablement inform. Il doit galement avoir la possibilit dacheter des livres sur le site sans pour autant que les informations relatives ses achats soient traites des fins de publicit).

43

La CNIL avait t interroge en dcembre 2005 par le Forum des droits sur linternet (FDI) sur cette question. La rponse apporte par la Commission a t prise en compte dans la Recommandation du FDI sur les Publiciels et espiogiciels publie le 11 juillet 2006.

28

Commission nationale de linformatique et des liberts La CNIL ne devrait-elle pas rappeler le principe de respect du droit des personnes en cas dutilisation de la technologie des cookies traceurs ? Dans cette hypothse, il sagit en effet dun rel traage qui permet de suivre linternaute dans ses dplacements sur tous les sites qui affichent des publicits en provenance de la mme rgie publicitaire. Il parait indispensable que les questions lies la dtermination du responsable du traitement, au droit national applicable, aux dures de conservation des donnes et aux modalits dinformation des personnes en cas de constitution de profils soient largement dbattues et portes la connaissance des acteurs conomiques ainsi quaux utilisateurs des services de la socit de linformation. A cet gard, il convient de revenir sur les conclusions dgages par le groupe de larticle 29 dans son avis sur les moteurs de recherche. Cet avis prcise les conditions dapplication des rgles juridiques communautaires et formule des recommandations destines amliorer la protection et le droit des utilisateurs des moteurs de recherche. La pratique actuelle de ces acteurs consiste tenir compte de lhistorique des requtes, de la catgorisation de lutilisateur et de critres gographiques. Ds lors, en fonction du comportement de lutilisateur et de son adresse IP, une publicit personnalise peut tre affiche. Le G29 considre galement que les rgles europennes de la protection des donnes sappliquent aux moteurs de recherche mme si leur sige social se trouve en dehors de lUnion europenne, en vertu des dispositions prvues larticle 4. 1 (a) et 4.1 (c) de la directive 95/46/CE. Lavis du G29 dtaille par ailleurs trs clairement la porte de lobligation dinformation des personnes44. Il estime que la plupart des internautes ne sont pas conscients de ce que les donnes relatives leur recherche sont traites des fins de ciblage publicitaire. Les moteurs de recherche devraient en consquence indiquer clairement aux utilisateurs quelles sont les donnes collectes leur sujet et quoi elles servent. En outre, du fait du paramtrage par dfaut des navigateurs, il est trs important que les utilisateurs soient pleinement informs de lutilisation et de leffet des cookies. Ces informations devraient tre mises davantage en vidence et ne pas simplement figurer dans la politique de confidentialit du moteur de recherche, o elles ne sont peut-tre pas immdiatement apparentes . Enfin, le G29 recommande que lenrichissement de profils dutilisateurs laide de donnes qui ne proviennent pas des utilisateurs eux-mmes soit soumis leur consentement. La publicit cible en ligne appelle encore dautres questions concernant la

44

Notons que les dispositions relatives la publicit issues du code de la consommation peuvent trouver sappliquer en lespce en cas dabsence ou de mauvaise information des consommateurs. Aux Etats-Unis, le dpartement amricain du commerce (la FTC ) sest penche sur la question de linformation des utilisateurs et recommande que chaque site internet qui procde la collecte de donnes des fins de publicit cible fournisse aux consommateurs une dclaration claire, concise et conviviale.

29

Commission nationale de linformatique et des liberts dure de conservation des donnes, la collecte de donnes sensibles et la scurit des traitements. Il convient galement dvoquer la question du rgime juridique applicable la publicit adresse au moyen de pop-up45. Du fait du caractre plus intrusif de ce mode de publicit, celui-ci devrait-il tre soumis un rgime dopt-in (c'est--dire soumis au consentement pralable de linternaute) ou dopt-out (possibilit de sopposer laffichage des pop-ups)? A cet gard, dans une rponse une question parlementaire, la Commission europenne a estim que la dfinition du courrier lectronique ne couvre que les messages pouvant tre stocks dans un quipement terminal jusqu ce quils soient relevs par leur destinataire, et non les messages qui "disparaissent lorsque le destinataire nest plus en ligne" ; par consquent, les pop-ups ne devraient pas tre soumis au rgime de lopt-in de ce fait46.

Proposition La mise en place de pratiques transparentes et respectueuses des droits des personnes doit tre encourage auprs des acteurs de la socit de linformation. Il est essentiel que la publicit cible en ligne puisse seffectuer de manire loyale et que les mentions dinformations soient lisibles et comprhensibles pour linternaute. Or, il semblerait quun grand nombre de sites internet ne satisfont encore que de manire incomplte aux exigences de transparence quant linformation des internautes. Cest pourquoi la CNIL pourrait laborer des mentions types et pourrait encourager ladoption de code de bonnes pratiques par les professionnels. Elle propose galement de coordonner son action avec le Forum des droits sur linternet, par exemple, dans llaboration de codes de conduite. 2. Information du public sur les moyens de contrler ses traces Une part47 du contrle de linternaute sur la publicit cible passe par une relle gestion des cookies traceurs. De nombreux acteurs lont compris et on assiste ainsi lmergence de nouveaux outils permettant linternaute de mieux contrler les cookies. La plupart des navigateurs modernes (Internet Explorer 7, Firefox, Safari) disposent doutils permettant de grer les cookies et notamment de bloquer les cookies issus de sites tiers , cest dire les cookies qui sont affichs par un autre site que celui qui affiche le contenu principal (cf. II.C). Cette approche donne des rsultats corrects.

45

Le Pop-up ou fentre surgissante est fentre secondaire qui saffiche devant la fentre de navigation principale sans avoir t sollicite par lutilisateur lorsquil navigue sur Internet.
46

Cependant, dans une affaire en date du 26 mars 2003, le tribunal allemand de Dsseldorf a considr que les pop-ups taient des messages stocks temporairement dans la mmoire vive de lordinateur de linternaute et taient donc assimilables des courriers lectroniques. Cette pratique tait donc assimile la pratique du spam et a t considre comme illicite ds lors quelle navait pas t pralablement autorise par linternaute En 2007, une proposition de la loi belge de 2007 visait galement soumettre les pop-up au principe de lopt-in
47

Le cookie est loutil trs majoritairement utilis pour tracer les internautes mais il nest pas le seul. DoubleClick par exemple, utilise parfois dautres techniques bases sur de simples liens HTML. Le contrle des cookies ne rsoudra donc pas tous les problmes.

30

Commission nationale de linformatique et des liberts Les navigateurs Internet Explorer et Firefox, permettent de crer des listes noires de sites pour lesquels il faut bloquer les cookies. Cest un outil trs efficace mais qui est complexe mettre en uvre pour les non spcialistes. Une volution des navigateurs serait ncessaire pour rendre cette approche plus ralisable. Les toutes dernires versions de certains navigateurs proposent un mode de navigation priv offrant une meilleur protection des traces et notamment dans lequel les cookies crs sont automatiquement effacs lissue de la session de navigation, indpendamment de leur dure de vie prvue. Enfin, dans sa solution de ciblage par centre dintrts dvoile en mars 2009, Google a propos un systme permettant aux internautes de connatre et de modifier les centres dintrt qui leurs sont automatiquement affects au cours de leur navigation. Ces technologies efficaces sont encore peu utilises par le public. Ceci sexplique en partie par la complexit de certaines dentre elles, mais aussi tout simplement par la mconnaissance de leur existence. Le site de la CNIL attire dj lattention de linternaute sur les traces quil peut laisser, mais il semble utile que la CNIL contribue galement informer le public sur les technologies qui permettent de mieux grer les cookies traceurs utiliss en matire de publicit cible. Proposition Les mesures de sensibilisation et daccompagnement du grand public aux enjeux rsultant de la publicit en ligne doivent tre privilgies. La CNIL pourrait dans ce cadre dvelopper sur son site des outils pdagogiques sous la forme de conseils pratiques aux internautes.

C. Promouvoir les produits et services respectueux de la protection des donnes caractre personnel
1. Lintrt de la labellisation De nombreux sites Internet affichant de la publicit prtendent tre respectueux de la protection des donnes. Cependant, rares sont les internautes qui prennent le temps de lire et de comprendre en dtail les politiques de protection des donnes affiches. Linternaute na en outre aucun indicateur permettant dvaluer rellement leur vracit. La labellisation de produits ou de services constitue une rponse possible ce problme. La CNIL dispose dun pouvoir de labellisation depuis 2004. Toutefois, comme a t indiqu le Ministre de la Justice dans sa rponse une question crite pose le 11/12/2008 par le Prsident Trk au Snat, ce nouveau pouvoir ncessite de dfinir des mesures rglementaires dapplications, voire une intervention lgislative si une externalisation de certaines procdures est prvue. Il est toutefois envisag de propos une modification de la loi dans le cadre des amendements la loi Informatique et Liberts qui seront dposs par M. Warsmann.

31

Commission nationale de linformatique et des liberts Dans cette attente, la Commission sest engage depuis 2007 dans un projet Europen European Privacy Seal (EuroPrise48). Ce projet a permis de dfinir des procdures et dvaluer les premiers produits afin de leur dlivrer un label attestant de leur qualit en termes de protection des donnes. A ce titre on peut citer lexemple de la rgie publicitaire WonderLoop qui a rcemment fait lobjet dune expertise indpendante et sest vu dcerner le label Europen Europrise49 50. Ce label souligne la conformit de ce service aux principes des directives europennes en matire de protection des donnes caractre personnel. La labellisation est donc un outil que la CNIL pourrait utiliser pour promouvoir des produits et des services protgeant les donnes personnelles dans le contexte de la publicit cible, un niveau national et/ou un niveau Europen51. Il doit toutefois tre soulign quun label Informatique et Liberts dpasse la seule question de la publicit en ligne ; elle englobe en effet le respect gnral de la loi par les acteurs. Proposition Il est propos de raffirmer auprs des pouvoirs publics la ncessit que la CNIL puisse rapidement mettre en uvre son pouvoir de labellisation. Au-del de lavantage concurrentiel pour les entreprises, un label informatique et liberts peut contribuer instaurer la confiance des internautes dans le monde numrique. 2. Promouvoir des standards compatibles avec la protection des donnes personnelles Aujourdhui, tous les cookies se ressemblent et peu dlments permettent notamment de distinguer les cookies traceurs des autres cookies. Proposition Des efforts pourraient donc tre engags afin, par exemple, de standardiser et de distinguer les cookies de traage publicitaire des autres cookies. En dveloppant ce type de normes ou de bonnes pratiques, conjointement avec les dveloppeurs de navigateurs, il semblerait envisageable de simplifier substantiellement les moyens de contrle des cookies disponibles pour les internautes. Cette dmarche devrait pouvoir tre conduite avec les autres autorits du G29.

48

Le label Europrise a rcemment t dcern au moteur de recherche Ixquick qui propose des services de recherche sur Internet avec des garanties fortes sur la protection des traces, notamment par labsence de cookies traceurs et par une dure de rtention des adresses IP limite 48 heures (par opposition aux 9 mois de conservation de Google). La publicit autour de la dlivrance de ce label a eu pour consquence de faire connatre Ixquick auprs dun public nettement plus large.
49

EuroPriSe, le projet de label europen de protection des donnes personnelles propose d'tablir un processus d'valuation europen permettant de certifier la conformit de produits ou de services informatiques avec la rglementation europenne sur la protection des donnes personnelles. Le label est attribuable l'issu d'un processus d'valuation qui se dcoupe en deux tapes spcifiques : d'abord une valuation du produit ou du service par des experts lgaux et techniques reconnus, ensuite une validation du rapport d'valuation par un organisme de certification accrdit. Voir : https://www.european-privacy-seal.eu/
50 51

la CNIL participe au projet Europrise avec un statut de conseiller En devenant par exemple une autorit de certification accrdite dans EuroPriSe

32

Commission nationale de linformatique et des liberts

VIII. Conclusion
La publicit cible et en particulier la publicit comportementale nest quaux prmices de son dveloppement. Celui-ci est susceptible de poser un certain nombre de dfis au regard de la loi informatique et liberts. En particulier, labsence de transparence de ces systmes de publicit en ligne, ainsi que les possibilits imparfaites pour linternaute de sy opposer de manire efficace soulvent de nombreuses difficults. Mme si de nombreux acteurs se rfugient derrire le fait que le profilage des internautes serait ralis de manire anonyme (et quil ne serait par consquent pas soumis la loi informatique et liberts), il ressort de lanalyse effectue dans ce rapport que tous les systmes de publicit cible sur internet mettent en uvre des traitements de donnes caractre personnel. Au vu des lments soulevs dans ce rapport, la CNIL pourrait : - raffirmer lapplicabilit du droit europen dans ce contexte, - encourager ladoption de code de bonnes pratiques par les professionnels et coordonner son action avec les travaux conduits par le Forum des droits sur linternet ; - soutenir largement lapplication du principe du consentement pralable actif (principe dit dopt-in ). - favoriser le dveloppement doutils permettant aux internautes de protger leur vie prive sur internet, - informer les internautes en dveloppant, par exemple sur le site de la CNIL, des outils pdagogiques sous la forme de conseils pratiques, - mener des missions de contrles des rgies publicitaires sur internet, - mettre en uvre des procdures de labellisation des produits et des services protgeant les donnes personnelles des internautes, lorsque le cadre rglementaire le permettra, - encourager la mise en place dune rflexion commune, sur cette thmatique, avec les autres autorits de protection des donnes europennes.

33