CJUE : les analyses basées sur les cookies collectent des données sensibles

Image of Carlo Cilento

Publié le 9 août 2023 par Carlo Cilento

Les grosses amendes infligées à Meta ont fait la une de l'actualité ces derniers temps, mais une décision est passée inaperçue : l'arrêt du Bundeskartellamt de la Cour de justice de l'Union européenne.

C'est dommage, car cet arrêt est une véritable dynamite. Il met à mal la stratégie de conformité de Meta, remet en question l'ensemble du modèle économique de l'entreprise et pourrait créer un monde de problèmes pour Big Tech à long terme en permettant aux autorités de la concurrence de se pencher sur les abus de marché.

Enfin, l'arrêt précise que les cookies analytiques peuvent collecter, et collectent souvent, des données sensibles(devinez qui l'a dit depuis le début ?).

Il y a beaucoup à dire sur cette décision, c'est pourquoi nous allons diviser l'analyse en deux parties. Ce blog analyse ce que la décision dit au sujet des données sensibles et ce qu'elle signifie dans un contexte plus large. Le second blog se concentre sur le reste de la décision et explique comment elle pourrait avoir un impact énorme sur le modèle d'entreprise de Meta et sur la Big Tech en général.

Plongeons dans le vif du sujet : voici l'objet de la décision du Bundeskartellamt, ce qu'elle signifie et pourquoi elle pourrait changer la donne!

  1. De quoi s'agit-il ?
  2. Que dit l'arrêt ?
  3. Que dit l'arrêt sur les données sensibles ?
  4. Est-ce surprenant ?
  5. Qu'est-ce que cela signifie pour les analyses basées sur les cookies ?
  6. Conclusions

De quoi s'agit-il ?

L'affaire du Bundeskartellamt se situe entre la loi sur la protection des données et la loi antitrust. En 2019, l'autorité allemande de la concurrence*(Bundeskartellamt*) a constaté que Meta abusait de sa position dominante sur le marché des médias sociaux. Afin de corriger cet abus, l'autorité a ordonné à l'entreprise de modifier ses conditions de service et ses politiques de confidentialité pour les utilisateurs allemands.

En résumé, l'autorité a estimé que Meta ne pouvait pas traiter des données hors Facebook (c'est-à-dire des données collectées sur d'autres sites web par le biais de cookies Facebook et d'autres traceurs) sans le consentement de l'utilisateur. Elle a également remis en question les bases juridiques de Meta pour la diffusion de publicités personnalisées aux utilisateurs de Facebook.

Meta a fait ce que les grandes entreprises technologiques font toujours et a contesté la décision jusqu'au bout. Cette stratégie s'est retournée contre elle et a abouti à un arrêt encore plus grave de la Cour de justice de l'Union européenne (CJUE) le 4 juillet.

Que dit l'arrêt ?

L'arrêt du Bundeskartellamt est riche d'enseignements, mais en voici les principaux points :

  • les cookies d'analyse web peuvent collecter des données sensibles
  • une autorité de la concurrence peut prendre en compte les violations du GDPR lors de l'évaluation d'un abus de position dominante
  • Facebook ne peut pas fournir de la publicité ciblée sans consentement.

Pour être clair : la CJUE ne "tranche" pas exactement les affaires, mais clarifie l'interprétation de la loi. Ainsi, lorsque nous disons que "la Cour a estimé que Facebook ne peut pas fournir de publicité ciblée sans consentement", nous voulons dire que la CJUE a confirmé une interprétation du GDPR, en vertu de laquelle Facebook traite, selon toute probabilité, des données sensibles. C'est à la Cour allemande de décider si c'est le cas, en se basant sur les faits de l'affaire. Mais lorsqu'il s'agit du sens de la loi, la Cour est liée à la décision de la CJUE.

Ceci étant dit, voyons ce que la CJUE a dit au sujet des données sensibles et pourquoi c'est si important.

Que dit l'arrêt sur les données sensibles ?

Meta ne se contente pas de suivre les utilisateurs de Facebook sur son propre réseau social. Elle utilise également des cookies, des API et d'autres outils pour suivre le comportement de navigation de l'utilisateur et l'utilisation des applications en dehors de la plateforme. Dans l'affaire Bunderskartellamt, la Cour a estimé que ces traceurs collectaient des données sensibles lorsqu'une personne visitait certains sites web ou utilisait certaines applications (par exemple, les applications de rencontres pour homosexuels).

Il convient de noter deux points très importants. Premièrement, ces traceurs fonctionnent de la même manière que les cookies utilisés pour le marketing et l'analyse sur le web. Par conséquent, le raisonnement qui sous-tend l'arrêt s'applique à tout service d'analyse basé sur des cookies (y compris le plus grand acteur, Google Analytics).

Deuxièmement : la Cour a très clairement précisé qu'un ensemble de données doit être traité comme des données sensibles dès lors qu'il contient des données sensibles. Si vous avez mille visiteurs par jour et qu'un seul d'entre eux cherche sur Google les effets secondaires de son médicament, toutes les données doivent être traitées comme des données sensibles.

En définitive, les cookies d'analyse web et de marketing collectent des données sensibles, et ils le font très, très souvent.

Il ne s'agit pas d'une hypothèse, mais plutôt d'une conséquence logique du Bundeskartellamt. Ce n'est qu'une question de temps avant qu'un tribunal ou une autorité chargée de la protection de la vie privée ne fasse valoir ce point dans le cas de Google Analytics ou d'autres fournisseurs de services d'analyse basés sur des cookies.

Est-ce surprenant ?

Pas du tout. Cette décision est la conséquence d'un arrêt plus ancien que nous avons déjà analysé en profondeur - et même à l'époque, nous l'avions vu venir.

Voici les questions juridiques en jeu. Le GDPR traite certaines catégories spéciales de données comme des données sensibles. Il s'agit d'informations telles que votre orientation sexuelle, vos affiliations religieuses et politiques, des données relatives à votre santé, etc. Les données sensibles posent de gros problèmes si elles sont mal utilisées ou tombent entre de mauvaises mains, c'est pourquoi les exigences relatives au traitement des données sensibles sont plus strictes que celles qui s'appliquent au traitement des données à caractère personnel ordinaires.

Nous avions l'habitude de considérer ces catégories spéciales de données comme un ensemble de cases étiquetées. Il y avait une boîte pour l'orientation sexuelle, une pour les croyances religieuses, une pour l'origine ethnique, etc. Tout ce qui se trouvait à l'intérieur de ces cases était une donnée sensible, tout ce qui se trouvait à l'extérieur de ces cases ne l'était pas. Il y a eu quelques cas flous, mais pour l'essentiel, c'est tout.

Mais voici le problème : que se passe-t-il lorsque vous pouvez utiliser les données à l'extérieur de la boîte pour savoir ce qu'il y a à l'intérieur ? Les données à l'extérieur de la boîte deviennent-elles également des données sensibles ?

L'année dernière, la Cour a répondu par l'affirmative et a ouvert la boîte de Pandore.

LeBundeskartellamt est la conséquence logique de ce précédent. Le GDPR ne dit pas que votre historique de navigation et l'utilisation de votre application sont des données sensibles, mais vous pouvez faire beaucoup de déductions sur quelqu'un sur la base de son historique de navigation - et une partie de ces déductions sont souvent liées à des données sensibles. Vous devez donc traiter toutes ces données comme des données sensibles.

Qu'est-ce que cela signifie pour les analyses basées sur les cookies ?

En un mot, cela signifie des problèmes. Les données sensibles font l'objet d'une réglementation très stricte. Si vous utilisez des outils d'analyse basés sur les cookies, vous devez respecter toutes les règles relatives au traitement des données sensibles, ce qui n'est pas facile.

Par exemple, les données sensibles ne peuvent être traitées que dans des cas spécifiques en vertu du GDPR. Pour l'analyse web, le seul scénario plausible est celui du consentement explicite. Comment cela fonctionnerait-il en pratique ?

Le secteur de la publicité en ligne a déjà du mal à obtenir un consentement "de base", non explicite, conformément au GDPR. D'innombrables sites web extorquent le consentement par le biais de bannières de cookies trompeuses, même si cela n'est pas conforme. Il est impossible que l'environnement actuel de la publicité en ligne soit en mesure de répondre à la barre plus élevée du consentement explicite.

Le consentement explicite n'est pas le seul problème. L'article 35 du GDPR exige une évaluation de l'impact sur la protection des données (DPIA) dans certains scénarios de traitement à risque, qui incluent le traitement à grande échelle de données sensibles. La notion de traitement à grande échelle n'est pas claire à 100 %, mais il n'est pas exagéré de penser que cette règle s'appliquerait à de nombreux sites web utilisant des outils d'analyse basés sur les cookies, et certainement aux plus grands d'entre eux.

Concrètement, ces sites web devraient expliquer dans leur documentation en quoi la collecte d'une tonne de données sensibles auprès des visiteurs et leur transmission à la benne à ordures qu'est l'écosystème de la publicité en ligne est une bonne idée et n'entraîne pas de risques intolérables et largement disproportionnés pour la protection de la vie privée. En plus d'évaluer les risques, ils doivent également expliquer comment ils prévoient de les atténuer.

Bonne chance à cet égard.

Dans l'ensemble, le Bundeskartellamt va certainement devenir un problème très sérieux pour les sites web liés à des sujets sensibles, et pour les cookies tiers en général.

À ce propos, l'autorité norvégienne de protection des données propose des conseils intéressants sur l'analyse des sites web (veuillez noter que nous utilisons une traduction automatique pour le texte norvégien) :

datatylsinet screenshot 2.JPG

La Norvège n'est pas un État membre de l'UE, mais elle est membre de l'EEE. Le GDPR s'applique donc intégralement et l'autorité pense ici au droit européen, et non au droit norvégien ! Et ce n'est probablement pas une coïncidence si cet avis a été publié peu de temps après celui du Bundeskartellamt.

Cela ne signifie pas que d'autres autorités européennes sont nécessairement d'accord, mais nous ne sommes pas les seuls à penser que les analyses basées sur les cookies posent un sérieux problème de conformité avec les données sensibles.

Conclusions

LeBundeskartellamt n'est pas vraiment une révélation. Cela fait des années que les défenseurs de la vie privée sensibilisent aux risques des technologies de traçage. Nous savions, bien avant cette décision, que la publicité basée sur les cookies est dangereuse et extrêmement envahissante pour la vie privée des individus.

Mais il est important de rappeler l'évidence, car de nombreuses organisations minimisent systématiquement les risques liés au suivi.

Google et de nombreux autres fournisseurs ont besoin de vendre leur produit et font donc de leur mieux pour balayer les problèmes de protection de la vie privée sous le tapis. Ils jouent la carte rhétorique du contrôle des données par l'utilisateur, tout en sachant que ce semblant de contrôle n'est rien d'autre qu'une farce.

Les clients de ces entreprises adhèrent à ce discours et ne réfléchissent pas trop aux implications des outils qu'ils utilisent en matière de protection de la vie privée. Après tout, l'analyse basée sur les cookies est désormais une pratique courante. Tout le monde le fait depuis des années, ce n'est donc pas si grave !

Mais c'est le cas, et le Bundeskartellamt prouve sans l'ombre d'un doute que les pratiques actuelles en matière d'analyse et de marketing sur le web ne sont ni conformes au GDPR ni viables à long terme.

Dans l'ensemble, c'est le moment idéal pour se débarrasser des cookies. L'analyse web sans cookies est tout à fait possible, et c'est exactement ce que nous faisons.

Nous avons créé Simple Analytics pour fournir aux entreprises toutes les informations dont elles ont besoin, sans collecter de données personnelles ! La confidentialité est la pierre angulaire de Simple Analytics. Nous n'utilisons pas de cookies, ne prenons pas d'empreintes digitales et ne suivons pas les utilisateurs de quelque manière que ce soit. Si cela vous convient, n'hésitez pas à nous essayer !