Archive pour le mot-clef ‘G29’

The New US-EU Privacy Deal

Mercredi 2 mars 2016

On 6 October 2015 the European Court of Justice (ECJ) ruled the US Safe Harbor Decision invalid on the basis of the inadequate protection given to Europeans’ data once transferred to the US.

On 2 February 2016, a political agreement was reached on a new framework for transatlantic data flows, the EU-US Privacy Shield, to replace the previous arrangement.

On 29th February 2016, the European Commission has released the guidelines of the Privacy Shield, a draft proposed by the US. Lire le reste de cet article »

UFC Que Choisir vs Facebook, Google et Twitter: une nouvelle colle pour les cancres de la Toile?

Mardi 1 avril 2014

En octobre 2010, une douzaine de signataires, réunis par Nathalie Kosciusko Morizet, adoptait la « Charte du droit à l’oubli numérique dans les sites collaboratifs et moteurs de recherche« . Malgré leur participation aux travaux de réflexion, Facebook et Google, à l’instar de Twitter, n’ont pas souhaité signé cette Charte. Lire le reste de cet article »

Le nécessaire encadrement des pratiques de publicité comportementale: l’avis du G29

Mercredi 15 septembre 2010

Le groupe de travail établi en vertu de l’article 29 de la directive 95/46/CE (Ci après le « G29 »), organe consultatif européen indépendant sur la protection des données et de la vie privée a rendu un avis le 22 juin 2010 relatif à l’encadrement juridique des pratiques de publicité comportementale, également dénommée « publicité ciblée ».

Cette pratique, de plus en plus répandue, consiste à suivre les utilisateurs lorsqu’ils surfent sur Internet et à constituer des profils à travers le temps, qui serviront ultérieurement à leur proposer des publicités correspondant à leurs centres d’intérêt.

Si sa légitimité et son efficacité sont solidement établies, la nature même de la publicité comportementale soulève des questions relatives à la protection de la vie privée et des données personnelles. Aussi, au vu de la diffusion massive de ce mode de publicité, les représentants européens ont décidé d’élaborer des lignes directrices qui devraient permettre aux Etats membres d’adopter des règles et pratiques harmonisées en matière de publicité comportementale.

1. Acteurs et fonctionnement de la publicité comportementale : 

Les acteurs 
Dans le cadre de la mise en place de publicités comportementales, il existe trois catégories d’acteurs :

- Les fournisseurs de réseaux publicitaires sont les principaux diffuseurs de publicité comportementale car mettant en relation les diffuseurs et les annonceurs;
- Les annonceurs qui veulent promouvoir un produit ou un service auprès d’un public ciblé;
- Les diffuseurs qui sont les propriétaires des sites web et cherchent à tirer des revenus de la vente d’espaces publicitaires sur leur site.

Fonctionnement de la publicité comportementale et technique de traçage
Le fournisseur de réseaux publicitaires, maitrisant la technologie de « ciblage » ainsi que les bases de données correspondantes est chargé de distribuer les annonces ciblées.

Les cookies mis en place lui permettent ainsi de tracer la navigation d’un utilisateur sur une longue période et ce, sur plusieurs sites web différents.

Dans le cadre de la publicité comportementale, le cookie permet de reconnaître un visiteur antérieur qui revient sur un site web ou consulte un autre site partenaire du fournisseur de réseau publicitaire. Ces visites répétées permettront au fournisseur de réseau d’élaborer un profil (prédictif) du visiteur, qui sera utilisé pour lui transmettre des publicités personnalisées.

2. Le cadre juridique communautaire applicable à la publicité comportementale
Le cadre juridique communautaire régissant l’utilisation des cookies est essentiellement constitué par l’article 5, paragraphe 3, de la Directive 2002/58/CE ,«vie privée et communications électroniques».

Ce dernier s’applique chaque fois que des «informations», à caractère personnel ou non, telles que des cookies, sont stockées dans l’équipement terminal d’un internaute ou récupérées à partir de celui-ci.

En outre, lorsqu’en raison du placement d’un cookie ou d’un dispositif similaire et de la récupération d’informations par son intermédiaire, les informations collectées peuvent être considérées comme des données à caractère personnel, la directive 95/46/CE relative à « la protection des personnes physiques à l’égard du traitement des données à caractère personnel» s’applique également, en complément des dispositions de la directive 2002/58/CE.

3. Rôles et obligations des acteurs

3.1 Obtention d’un consentement informé et préalable : la règle de l’Opt-in
Le G29 considère que le paramétrage du navigateur ne peut être assimilé à la manifestation d’un consentement que dans des cas très limités. De même, il considère que les mécanismes d’«opt-out» ne pas pleinement satisfaisants. Aussi, le G29 recommande vivement l’adoption par les distributeurs de réseaux de mécanismes d’ « opt-in » préalable.

En revanche, le fait qu’un utilisateur accepte de recevoir un cookie pourrait également emporter son acceptation des lectures ultérieures du cookie et, partant, du suivi de sa navigation sur l’internet. Il ne serait pas nécessaire de demander le consentement de la personne concernée à chaque lecture du cookie.

Le groupe de travail recommande également que les diffuseurs devraient afficher les informations directement sur l’écran, de manière interactive. 

3.2 Contenu de l’obligation d’information préalable
Concrètement, le G29 considère que les utilisateurs doivent être informés, notamment, de l’identité du responsable du placement du cookie et de la collecte des informations connexes.

 En outre, les utilisateurs devraient être informés, en termes simples:

(a) que le cookie servira à créer des profils;

(b) du type d’informations qui seront collectées pour constituer ces profils;

(c) que les profils serviront à diffuser des annonces ciblées et

(d) que le cookie permettra l’identification de l’utilisateur dans de multiples sites web.

3.3 Respect des dispositions complémentaires prévues par la directive 95/46/CE
Par ailleurs, l’avis préconise également que les fournisseurs de réseaux devraient se conformer aux obligations qu’impose la directive 95/46/CE relative aux données à caractère personnel, à savoir :

- le principe de respect des finalités,
- les obligations liées à la sécurité et permettre aux particuliers d’exercer leurs droits d’accès, de rectification et d’effacement
- l’adoption d’une politique adaptée de conservation des données.

 Suite à cet avis, la CNIL a établi des recommandations à l’occasion de l’Assemblée plénière qui s’est tenue le 9 septembre 2010. Ces recommandations, fixant la position de la France au regard de la pratique de publicité comportementale n’ont pas encore été publiées mais il est fort probable qu’elles soient conformes à la position retenue par le G29, actuellement présidé par Alex Turc, président de la CNIL.

 AK