La publicité ciblée

download La publicité ciblée

of 33

Transcript of La publicité ciblée

  • 7/31/2019 La publicit cible

    1/33

    1

    La publicit cible en ligne

    Communication prsente en sance plnire le 5 fvrier 2009

    M. Peyrat

    Rapporteur

  • 7/31/2019 La publicit cible

    2/33

    Commission nationale de linformatique et des liberts

    2

    SOMMAIRE

    I. Prsentation...................................................................................4

    A. Le carburant de lconomie numrique.......................................................................... 4

    B. Les types de publicits en ligne...................................................................................... 5

    C. Organisation des systmes de publicit en ligne ............................................................ 6

    II. Technologies de traage................................................................7

    A. Laffichage des publicits en ligne par les rgies .......................................................... 7

    B. Capacit de collecte dinformations ............................................................................... 8

    C. Capacit de suivi de linternaute .................................................................................... 9

    III. Constitution de profils................................................................11A. Profils prdictifs ........................................................................................................... 11

    B. Profils explicites ........................................................................................................... 12

    C. Anonymat des donnes collectes ? ............................................................................. 13

    IV. Panorama de systmes de publicit en ligne ............................14

    A. Amazon : analyse comportementale sur site. ............................................................... 14

    B. Google : le champion du contextuel............................................................................. 14

    C. Facebook: la publicit personnalise sur site ............................................................... 15

    D. Linked-in : la publicit personnalise en rseau .......................................................... 16

    E. Tacoda/AOL: la publicit comportementale en rseau ................................................ 17

    F. Phorm: la publicit comportementale chez loprateur de tlcommunication ........... 17

    V. Tendances et prospective ...........................................................18

    A. Une concentration des acteurs de la publicit en ligne ................................................ 18

    B. Une convergence entre fournisseur de publicit et fournisseur de contenus ............... 18

    C. Une extension des domaines dapplication .................................................................. 19

    D. Un usage de plus en plus pointu de la golocalisation ................................................. 19

    VI. Menaces........................................................................................21

    A. Le risque de montisation des profils..................................................................... 21

    B. Les risques lis aux gisements de donnes personnelles ou sensibles ......................... 22

    C. Un risque pour la confiance des utilisateurs................................................................. 22

    D. La gnralisation dune politique dopt-out imparfaite.......................................... 23

    E. Une gestion des cookies inoprante ............................................................................. 24

  • 7/31/2019 La publicit cible

    3/33

    Commission nationale de linformatique et des liberts

    3

    VII. Enjeux pour les autorits de protection des donnes............25

    A. Lapplicabilit de la lgislation sur la protection des donnes..................................... 25

    B. Promouvoir une meilleure information des internautes ............................................... 27

    1. Obligations dinformation par les acteurs de la publicit en ligne.................. 27

    2. Information du public sur les moyens de contrler ses traces ......................... 30

    C. Promouvoir les produits et services respectueux de la protection des donnes caractre personnel .................................................................................. 31

    1. Lintrt de la labellisation.................................................................................. 31

    2. Promouvoir des standards compatibles avec la protection des donnespersonnelles........................................................................................................... 32

    VIII. Conclusion .................................................................................33

  • 7/31/2019 La publicit cible

    4/33

    Commission nationale de linformatique et des liberts

    4

    I. Prsentation

    Vous dcidez de rserver un billet davion pour New-York sur Internet. Deux jours plus tard,en lisant votre quotidien en ligne, une publicit vous propose une offre intressante pour une

    location de voitures New York. Ce nest pas une simple concidence : il sagit dunmcanisme de publicit cible, comme il sen dveloppe actuellement de plus en plus surInternet.

    A. Le carburant de lconomie numrique.

    Le modle conomique de nombreuses socits phares dInternet comme Google ouFacebook est bas sur la fourniture de services apparemment gratuits linternaute, maisfinancs majoritairement sinon exclusivement par la publicit. Ce modle de fourniture de

    services adosss de la publicit est quasiment devenu la norme, si bien que linternaute,demandeur de ces services gratuits, reoit une quantit croissante de publicit.

    La publicit est donc un enjeu stratgique pour les grands acteurs du monde numrique. Cesacteurs souhaitent rendre la publicit la plus efficace possible, et donc la plus cible possiblevis vis de linternaute, pour des raisons conomiques simples :

    Dans les modles classiques de publicit, la rmunration est base sur un nombredaffichages1 ; or la publicit cible peut tre facture sensiblement plus cher2 lannonceur.

    Dans les modles de facturation au clic3 (ou lachat), lintrt de lannonceur estdaugmenter le taux de clic (ou dachats), et donc galement de cibler la publicit enfonction de lutilisateur.

    Cest lune des raisons qui a pouss les acteurs internet diversifier leurs services et leursactivits, afin de collecter toujours plus dinformations sur le comportement des utilisateurssur internet4.

    1 On parle de CPM, Cost Per Mille (Cot par millier daffichages).

    2 Un CPM de 10$ pour le comportemental contre un CPM de 2.5$ normalement, selon un article prsent dansAdweekhttp://www.adweek.com/aw/magazine/article_display.jsp?vnu_content_id=1003695822

    3 On parle de CPC, Cost Per Click (Cot par Clic), et plus rarement de Cost Per Action (Cot par action dachat)

    4 Par exemple, Google fournit des services de recherche. Il a rachet des socits de publicit comme DoubleClick. Il a rcemment lanc un service Google Suggest, intgr son navigateur Chrome, qui envoie Googlelensemble des pages web visites par les internautes, mme quand ces derniers ny ont pas accd via le moteurde recherche, etc.

  • 7/31/2019 La publicit cible

    5/33

    Commission nationale de linformatique et des liberts

    5

    B. Les types de publicits en ligne

    On peut identifier trois niveaux de publicit cible sur Internet :1) La publicit personnalise classique ,2) La publicit contextuelle,

    3) La publicit comportementale.

    La publicit personnalise classique . La publicit personnalise est une publicit qui estchoisie en fonction des caractristiques connues de linternaute (ge, sexe, localisation, etc.)et quil a lui mme renseignes, par exemple en sinscrivant un service.

    Ce type de publicit est le plus classique mais il est aujourdhui revisit par les rseauxsociaux. En effet, les utilisateurs de rseaux sociaux fournissent non seulement des lmentsde leur identit mais aussi des lments dtaills de leurs centres dintrt et de leurs passions.Cet ensemble dtaill de donnes personnelles permet aux rseaux sociaux de proposer uneplateforme de distribution de publicit personnalise trs pointue.

    La publicit contextuelle. La publicit contextuelle est une publicit qui est choisie enfonction du contenu immdiat fourni linternaute. Ainsi, le produit ou le service vant dansla publicit contextuelle est choisi en fonction du contenu textuel de la page dans laquelle lapublicit sinsre ou, sil sagit dun moteur de recherche, en fonction du mot cl quelinternaute a saisi pour sa recherche. Cette donne est parfois complte par des informationsde golocalisation dduites de ladresse IP de linternaute, ou par la prcdente requte dansle cas particulier dun moteur de recherche.

    La publicit est cible en fonction des intrts supposs de lutilisateur dans la mesure o

    celui-ci se rend sur une page que lon peut prsumer en rapport avec ses centres dintrt.Typiquement, un site donnant des rsultats sportifs affichera des publicits sur des articles desport.

    La publicit comportementale. La publicit comportementale est une publicit qui estchoisie en observant le comportement de linternaute travers le temps. Ainsi, la publicitcomportementale vise tudier les caractristiques de linternaute travers ses actions (visitesuccessives de sites, interactions, mots cls, production de contenu en ligne, etc.) pour endduire son profil et lui proposer des publicits adaptes.

    Bien que les notions de publicit personnalise, comportementale et contextuelle paraissent de

    prime abord clairement distinctes, la frontire qui les spare est parfois tnue, comme onpourra le voir travers certains exemples.

  • 7/31/2019 La publicit cible

    6/33

    Commission nationale de linformatique et des liberts

    6

    C. Organisation des systmes de publicit en ligne

    Les systmes de distribution de publicit sur internet sont organiss selon deuxapproches principales :

    1) la publicit sur site

    2) la rgie publicitaire.

    La publicit sur site. Dans le cas le plus simple, le fournisseur de contenu prendtechniquement en charge la diffusion des publicits sur son site. La diffusion des publicits,les bases de donnes associes, et les cookies5 (cf. Annexe I) ventuellement utiliss sont sousson contrle. Dans cette approche, lannonceur contacte le site internet et indique sa cibleselon des critres qui peuvent varier du classique triplet tranche dge, sexe, pays descritres bien plus dtaills. Lannonceur indique galement le contenu publicitaire afficher.Cest ensuite le site internet qui prend en charge la diffusion du contenu publicitaire auprs dela cible choisie. Lannonceur ne sera gnralement mis en relation avec linternaute que sicelui-ci clique sur une publicit.

    La rgie publicitaire. Dans cette approche, devenue aujourdhui majoritaire, le fournisseurde contenu dlgue laffichage et le choix des publicits un tiers : une rgie spcialise dansla diffusion de la publicit. Cette rgie est gnralement responsable de la diffusion despublicits sur un grand nombre de sites et on parle donc frquemment de rseaupublicitaire pour la dcrire. Le contenu des publicits, les cookies et les bases de donnesutilises pour la gestion des cookies et des publicits sont sous le contrle de la socit quidistribue la publicit. Plus la rgie publicitaire est large, plus celle-ci possde de moyens

    potentiels pour suivre les internautes et tracer leurs comportements. Dans ce modle,lannonceur ngocie gnralement directement avec la rgie publicitaire et naura pasncessairement connaissance de lidentit de lensemble des fournisseurs de contenus qui vontdiffuser sa publicit.

    Certaines socits sont cheval sur les deux catgories, notamment Yahoo et Google, carelles font de la publicit sur site en tant que fournisseur de contenu, et car elles jouentgalement le rle de rgie publicitaire travers un large rseau de partenaires ou de clients.

    5

    Un cookie est un petit fichier produit par un site web que le navigateur stocke localement sur le disque dur de linternaute.Chaque cookie peut tre consult (ou modifi) par le site web qui la cr et sert (entre autres) enregistrer des informationssur linternaute ou sur son parcours sur le site web.

  • 7/31/2019 La publicit cible

    7/33

    Commission nationale de linformatique et des liberts

    7

    II. Technologies de traage

    Les fournisseurs de services qui organisent la publicit sur site, nont aucun mal avoir desinformations prcises sur les internautes, notamment travers les formulaires dinscription

    quil est ncessaire de remplir pour utiliser le service propos, sans oublier ladresse IP (cf.Annexe III) ou encore les mots cls saisis.

    Contrairement aux systmes de publicit sur site, les rgies publicitaires nont pas, en gnral,un accs direct aux donnes personnelles des utilisateurs. Malgr tout, ces rgies sontcapables de constituer des profils des utilisateurs et de proposer une publicit cible traversles nombreuses possibilits de collecte et de traage quoffrent les technologies delInternet.

    A. Laffichage des publicits en ligne par les rgies

    Pour imaginer les capacits de traage quont les rgies publicitaires, il est utile decomprendre comment celles-ci procdent pour insrer des publicits dans les pages desfournisseurs de contenu.

    Lorsquun site fait appel une rgie publicitaire pour afficher des publicits, le contenu de lapage prsente linternaute est produit conjointement par le fournisseur de contenu et par largie publicitaire. Pour permettre aux rgies publicitaires dafficher des publicits, lefournisseur de contenu doit leur rserver des espaces visuels sur son site.

    Le partage de lespace visuel dune page Internet est rendu possible par les technologieshypertexte du protocole HTML (et ses diverses dclinaisons) notamment travers :

    Linclusion dans une page dune image6 en provenance dun autre site7.

    Linclusion du contenu dune page (externe) lintrieur dune page autre 8.

    Linclusion dans une page dapplets9 excutes par le navigateur10.

    Ainsi, lorsque linternaute affiche une page en provenance dun fournisseur de contenu, sonnavigateur dialoguera aussi de manire automatique et quasi-invisible avec des sites tiers pourafficher des publicits.

    6 Dans certain cas, cette image peut tre invisible (constitue uniquement dun point blanc dun pixel), ce quipeut aussi permettre de surveiller la frquentation de certaines pages web

    7 Par une balise IMG en HTML.

    8 Par une balise IFRAME en HTML.

    9 Une applet est un logiciel qui s'excute dans la fentre d'un navigateur web. Elle permet, sans installation d'unlogiciel ddi (ou client lourd) dexcuter une application ergonomique et ractive car elle est anime en grande

    partie par le navigateur plutt que par le serveur distant.10 Par le langage Javascript, et les applets Flash notamment.

  • 7/31/2019 La publicit cible

    8/33

    Commission nationale de linformatique et des liberts

    8

    Lexemple ci-aprs illustre un cas de publicit en ligne dans lequel le fournisseur de contenu acd une partie de lespace visuel une rgie de publicit externe.

    Un internaute se rendant sur le site de musique en ligne www.deezer.com pourra voir cette

    page affichant une publicit pour Bouygues. Lensemble de la page (en noir) est affiche par

    le fournisseur de contenu www.deezer.com, cependant la zone en bleu contenant la publicit

    est affiche par un site externe ad.fr.doubleclick.net (de la socit DoubleClick appartenant

    aujourdhui Google).

    B. Capacit de collecte dinformations

    Lorsquune rgie publicitaire prend en charge laffichage dun contenu au sein dune pageInternet, cela signifie galement que cette rgie publicitaire pourra collecter des donnes detrafic concernant lutilisateur visualisant le contenu et pourra dposer des cookies .

    Mais ceci nest pas limitatif. En effet, techniquement il existe plusieurs mthodes quipermettent ces rseaux publicitaires de collecter des informations supplmentaires surlutilisateur qui visionne une page sur Internet :

    Dune part, le fournisseur de contenu principal peut communiquer volontairement desdonnes dont il dispose aux rgies publicitaires (notamment par lintermdiaire destechnologies HTML prcdemment voques).

    Dautre part, la rgie publicitaire qui affiche une publicit au sein dune pagedun fournisseur de contenu, peut par la mme occasion analyser le contenu de celle-ciet en retirer des informations, comme par exemple ladresse IP de la machine quivisualise la page.

    En outre, comme indiqu au chapitre IV.F dans lexemple relatif la socit Phorm, denouvelles expriences bases sur une collecte des donnes directement au niveau dufournisseur daccs Internet permettent denvisager un suivi encore plus tendu de

    linternaute.

  • 7/31/2019 La publicit cible

    9/33

    Commission nationale de linformatique et des liberts

    9

    C. Capacit de suivi de linternaute

    Une rgie publicitaire qui ralise de la publicit comportementale doit pouvoir reconnatre uninternaute dans le temps afin :

    De complter les informations quelle possde sur linternaute. De proposer une publicit adapte son profil suppos.

    Pour tre efficace, ce suivi de linternaute doit tre possible non seulement au sein dun mmesite, mais galement travers plusieurs sites diffrents, fournissant des contenus totalementdiffrents.

    La technologie qui permet un tel suivi est base essentiellement sur des cookies traceurs qui permettent de suivre linternaute dans ses dplacements sur tous les sites qui affichent despublicits en provenance de la mme rgie publicitaire.

    Lexemple ci-dessous illustre le suivi dun internaute visualisant deux sites distincts affichantdes publicits en provenance dune mme rgie publicitaire. Cet exemple ne concerne quedeux sites distincts mais peut aisment se gnraliser un grand nombre de sites.

    www.journal.fr www.meteo.fr

    PUB

    1

    PUB

    2

    www.journal.fr www.meteo.frwww.regie-pub.fr

    Cookie=1001

    Cookie=1001

    Publicit1

    Publicit2

    Exemple de suivi dun internaute par cookie : Dans un premier temps, linternaute visualise

    une publicit PUB 1 sur le site www.journal.fr . Cette publicit est affiche par la

    rgie publicitaire www.regie-pub.fr qui en profite pour insrer un cookie, contenant

    lidentifiant 1001 sur le poste de lutilisateur.

    Dans un deuxime temps, linternaute se rend sur le site www.meteo.fr . Or les publicitsaffiches sur ce deuxime site sont aussi gres par www.regie-pub.fr . Cette rgie

  • 7/31/2019 La publicit cible

    10/33

    Commission nationale de linformatique et des liberts

    10

    rcupre donc le cookie prcdemment dpos. Grce lidentifiant contenu dans celui-ci,

    la rgie peut alors enrichir le profil de linternaute et lui proposer une nouvelle publicit

    PUB 2 qui est en rapport avec son profil suppos.

    Comme on le voit dans lexemple prcdent, le cookie traceur est produit par un

    site tiers, une rgie publicitaire, qui est distinct du site principal fournisseur de contenu. Cestpour cela que lon parle frquemment de cookie tiers .

    En suivant linternaute par un cookie dans le temps, la rgie publicitaire va doncpouvoir collecter des informations de plus en plus prcises sur celui-ci et par consquent luiproposer une publicit de mieux en mieux cible.

  • 7/31/2019 La publicit cible

    11/33

    Commission nationale de linformatique et des liberts

    11

    III. Constitution de profils

    Afin de raliser de la publicit cible, les socits de publicit en ligne constituent des profilsplus ou moins prcis des internautes. Ces socits ont des degrs de transparence trs variable

    quant au contenu de ces profils.

    On peut cependant distinguer deux approches dans la constitution de profils des internautes :- Les profils prdictifs : ces profils sont tablis par infrence en observant le

    comportement des internautes dans le temps, notamment en suivant les pages visites et lespublicits qui ont attir son attention.

    - Les profils explicites : ces profils sont tablis partir des donnes personnelles quelinternaute a lui-mme fournies un service web, notamment travers son inscription.

    Naturellement, ces deux approches peuvent tre utilises de manire complmentaire.

    A. Profils prdictifs

    Les donnes minimales typiquement contenues dans un profil prdictif sont :

    Le sexe et la tranche dge

    La localisation (par pays ou rgion)

    Dans une approche prdictive, le sexe et la tranche dge peuvent tre dduits notamment parune analyse des pages visites par linternaute et les publicits auxquelles il a t sensible. Parexemple, si un internaute lit un article sur un joueur de foot, on pourra en dduire quil existeune probabilit plus forte quil sagisse dun homme que dune femme. En combinant

    plusieurs informations obtenues sur le comportement de linternaute, ces prdictions peuventtre affines et prcises.

    La localisation (et la langue probable) de linternaute peut, quant elle, tre dduite partirde son adresse IP.

    Au del, du sexe, de lge et de la localisation, grce des analyses plus pousses lessystmes de publicit en ligne sont souvent capables de classer les utilisateurs dans dessegments, soit par centres dintrt, soit par catgories marketing (exemple : jeuneclibataire urbain , couple de cadres , etc.).Lexemple ci-aprs prsente des exemples de profils gnrs par la rgie publicitaire

    NUGG.AD qui prtend tre le leader europen de ciblage prdictif comportemental.On peut noter que ds lors que des profils sont constitus de manire prdictive, ils peuventsavrer incomplets ou inexacts.

    Ceci peut donc poser la question de la pertinence des traitements qui sappuient sur ce type deprofil.

  • 7/31/2019 La publicit cible

    12/33

    Commission nationale de linformatique et des liberts

    12

    Exemples de profils11

    constitus par NUGG.AD, socit spcialise dans le ciblage

    prdictif comportemental.

    B. Profils explicites

    Certaines socits sont la fois fournisseur de services personnaliss et de publicit. Dansleur rle de fournisseur de services personnaliss, ces socits obtiennent directement desinformations personnelles prcises sur les internautes, travers les formulaires dinscriptionou de renseignement. Cest le cas notamment de Yahoo qui fournit la fois des services(mail, mto, informations locales, blog, etc.) et de la publicit travers sa propre rgiepublicitaire. Les profils raliss par cette socit peuvent donc potentiellement tre trsdtaills. Yahoo va mme plus loin, en indiquant combiner les mots cls saisis par lutilisateuravec son profil pour affiner les publicits qui lui sont prsentes12.

    Les rseaux sociaux sont galement bien placs pour fournir de la publicit cible partir desdonnes dtailles fournies par leurs membres. Lexemple ci-aprs illustre les possibilits de

    ciblage avanc qui sont offertes aux annonceurs souhaitant afficher une publicit surFacebook.

    11

    On notera que les internautes de plus de 59 ans semblent bnficier dun opt-out gracieux.12 http://searchengineland.com/new-smartads-the-future-of-graphical-advertising-at-yahoo-11607.php

  • 7/31/2019 La publicit cible

    13/33

    Commission nationale de linformatique et des liberts

    13

    Cet exemple montre comment un annonceur sur Facebook peut cibler une publicit auprs

    des jeunes de 13 15 ans habitant Birmingham13

    en Angleterre et ayant la boisson comme

    centre dintrt. De plus, Facebook indique que la cible choisie comporte approximativement

    une centaine de personnes.

    Facebook exploite ainsi les donnes quelle collecte de ses membres de manire fournir une

    publicit qui peut tre trs cible.

    C. Anonymat des donnes collectes ?

    La plupart des rgies de publicit prtendent que les profils des internautes sont anonymesdans la mesure o ils ne sont identifis que par un identifiant (unique) dapparence alatoirequi ne pourrait pas tre directement rapproch dune identit relle.

    Le cas des socits qui sont la fois fournisseur de contenu et rgie de publicit est pluscomplexe :

    - Microsoft14 indique notamment maintenir une tanchit totale entre les donnespersonnelles collectes au titre de la fourniture dun service, et les donnes collectes dans lecadre de ses activits dans la publicit.

    - Par contre, Yahoo15 ne cache pas que les donnes personnelles collectes dans lacadre de la fourniture de service sont exploites pour fournir une publicit cible.

    La question de lapplicabilit de la lgislation sur la protection des donnes aux profils utilisspour cibler la publicit sera aborde plus loin la section VII.

    13 Le ciblage par ville nest pas disponible dans tous les pays, et nest notamment pas encore propos en France.

    14

    Voir le principe IV de Microsofts Privacy Principles for Live Search and Online Ad Targeting, Juillet 2008.15 Voir la section information collection and use sur http://info.yahoo.com/privacy/us/yahoo/

  • 7/31/2019 La publicit cible

    14/33

    Commission nationale de linformatique et des liberts

    14

    IV. Panorama de systmes de publicit en ligne

    Cette section propose un panorama des systmes de publicit en ligne travers quelquesexemples significatifs.

    A. Amazon : analyse comportementale sur site.

    Cette socit de vente en ligne de produits multimdia cherche encourager ses clients dpenser plus en utilisant ses propres technologies publicitaires.Amazon propose depuis longtemps des suggestions dachats ses utilisateurs. Cessuggestions sont bases sur les derniers achats effectus par lutilisateur et/ou dautresutilisateurs qui ont achet le mme produit. Ces informations sont souvent utiles etintressantes, en particulier dans le domaine de la musique ou du livre. Cette approche se situedans le domaine du comportemental mais est circonscrite essentiellement au site dAmazon.

    En 2000, la socit Amazon a t accuse de moduler les prix de ventes des articles propossen fonction du profil individuel de ses utilisateurs16. Les critres et les donnes utiliss parAmazon ne sont pas connus, mais on peut considrer quil sagit bien dune des possibilitsquoffre lanalyse comportementale.

    Comme indiqu plus loin, un partenariat publicitaire entre Amazon et le rseau socialFacebook sest rcemment mis en place.

    B. Google : le champion du contextuel.

    Google est le leader de la publicit contextuelle. Dune part, Google affiche des publicitsen fonction des mots cls que lon tape dans son fameux moteur de recherche (ainsi quecertains moteurs de recherche partenaires, comme Ask.com et AOL Search). Dautre part,grce loutil AdSense, nimporte qui peut insrer de la publicit dans son site web et enpartager les revenus gnrs avec Google. Lorsquun fournisseur de contenu souhaite utiliserAdSense, il insre simplement un code logiciel fourni par Google dans les pages web de sonsite. Ce code logiciel permet Google de prendre le contrle dune partie des pagesaffiches17 pour y dposer des publicits qui seront choisies contextuellement en fonction ducontenu de la page environnante.

    Google affiche galement des publicits travers sa plateforme de messagerie lectronique

    Gmail : lorsquun internaute consulte sa messagerie Gmail, il verra des publicits choisiescontextuellement en fonction du contenu du courrier affich. Plus gnralement Google insrede la publicit contextuelle dans tous ses services (Google Maps, Orkut, Blogger, ).Rcemment Google a mme lanc son propre navigateur Internet appel Chrome, et a indiqueffectuer une analyse ( des fins damlioration du service) de 2% des donnes qui taientsaisies par lutilisateur dans la barre dadresse du navigateur.

    16 http://www.cnn.com/2005/LAW/06/24/ramasastry.website.prices/

    17 Une page web est souvent constitue de plusieurs sous-pages, chaque sous-page pouvant tre fournie par unserveur diffrent.

  • 7/31/2019 La publicit cible

    15/33

    Commission nationale de linformatique et des liberts

    15

    Bien que la stratgie actuelle de Google semble se focaliser sur la publicit contextuelle, deslments indiquent que Google saventure dans le domaine de la publicit comportementale :

    Pour son moteur de recherche, Google indique depuis peu dans sa politique deconfidentialit18 que laffichage des publicits peut se baser sur les requtes de

    recherche rcentes et non plus seulement sur la dernire requte soumise, ce quelon peut considrer comme une forme de transition entre une approche contextuelle etune approche comportementale.

    En outre, Google a acquis rcemment la rgie de publicit DoubleClick quipossde un savoir faire dans le domaine de la publicit comportementale. Googlea dailleurs annonc le 11 mars 2009 quil allait dsormais proposer un ciblagepublicitaire en fonction dun profil construit dynamiquement pendant la navigation desinternautes sur les sites partenaires de Google, sur la base dune liste de 600 centresdintrts.

    Par ailleurs, grce son produit Analytics , Google fournit aux responsables de sites

    Internet un outil gratuit trs performant danalyse statistique qui illustre les capacitspousses que Google sait mettre en uvre pour suivre le comportement des internautes.Pour utiliser Analytics , un responsable de site doit insrer une applet (javascript) danschacune des pages de son site. Cette applet collecte et envoie Google des donnes surchaque visiteur du site, notamment son adresse IP. Google possde donc des informationspermettant de savoir quelle adresse IP a visit quels sites (oprant le service de Google). Leresponsable du site peut ensuite se connecter Google qui centralise toutes les traces etobtenir des rapports19 statistiques dtaills (couvrant plusieurs annes) permettant notammentde mesurer les variations daudience, de segmenter les visiteurs en diffrents groupes, demesurer la rponse des utilisateurs une campagne de publicit, de mesurer la rpartitiongographique des utilisateurs, etc.

    C. Facebook: la publicit personnalise sur site

    Facebook est un rseau social permettant aux internautes de communiquer et dchangerautour de leurs centres dintrts. Facebook propose plusieurs types de publicits, mais unedes plus originales sappelle Social Ads ou Annonces Sociales . Un annonceur dsirantutiliser les Social Ads de Facebook, sadresse celui-ci en prcisant sa cible selon descritres qui peuvent tre trs prcis : age, sexe, localisation, centres dintrts prcis.Lannonceur propose un texte et un lien publicitaire et Facebook se charge dafficher ces

    informations dans les pages dinternautes qui correspondent au profil dsir par lannonceur.Il sagit donc bien dune publicit personnalise sur site, dont la diffusion est contrle parFacebook qui indique quaucune donne personnelle nest transmise aux annonceurs.

    Dans le rseau social Facebook, laccent est notamment mis sur la notion damis . Lesutilisateurs partagent automatiquement un certain nombre dinformations avec leurs amis etcela est galement vrai pour la publicit. Si un utilisateur de Facebook sintresse un produit

    18 Voir http://www.google.fr/intl/fr/privacy_cookies.html. Ce point a t galement voqu lors de laudition deJane Horvath, Senior Privacy Counsel, Google Inc., lors de laudition au Senate Committee on Commerce,

    Science, and Transportation, sur Privacy Implications of Online Advertising, le 9 Juillet 2008.19 Ces rapports contiennent des donnes agrges, et ne permettent pas de suivre un internaute individuellement.

  • 7/31/2019 La publicit cible

    16/33

    Commission nationale de linformatique et des liberts

    16

    sponsoris vant par lintermdiaire du service publicitaire dannonces sociales , ses amis seront avertis par un message de son intrt pour ce produit. Ainsi, laffichage de lapublicit est conditionn galement par le cercle damis que tissent les utilisateurs deFacebook.

    Facebook a pouss cette ide encore plus loin avec beacon , un systme de partenariatpublicitaire avec des sites Internet externes. Ces partenaires externes tracent les achats desutilisateurs de Facebook sur leur site et en renvoient les dtails Facebook. A son tour,Facebook affiche une publicit alertant tous les amis de lutilisateur sur les achats quecelui-ci a effectus. Ce systme a suscit (et suscite encore) de nombreuses controversesnotamment pour des questions de consentement et aujourdhui les utilisateurs peuvent raliserun opt-out sur ce service.

    Facebook a galement nou un partenariat20 avec Amazon qui permet aux utilisateurs deFacebook de voir la liste des livres que leurs amis souhaiteraient acheter sur Amazon. Les amis de cet utilisateur peuvent alors en quelques clics lui offrir ce livre en cadeau. Ce

    service est en opt-in .

    On peut donc observer que si le cur de la publicit Facebook est une publicitpersonnalise classique , cette socit tudie galement les habitudes dachats et lesinteractions de ses internautes pour proposer de la publicit comportementale.Facebook tudie actuellement21 dautres mcanismes publicitaires exploitant davantageencore les liens sociaux tisss dans son rseau.

    D. Linked-in : la publicit personnalise en rseau

    Linked-in est un rseau social professionnel qui permet de prsenter ses activitsprofessionnelles, son CV et de grer des contacts .

    Lapproche publicitaire de Linked-in est intressante car elle suit une dmarche oppose celle de Facebook. En effet, contrairement Facebook qui contrle lintgralit de sonprocessus de publicit cible, Linked-in dlgue laffichage de certaines de ses publicitscibles DoubleClick, filiale de Google. Pour cela, Linked-in transmet22 DoubleClickle numro identifiant interne Linkedin, la rgion et lentreprise de lutilisateur23.

    Par ailleurs, si un utilisateur de Linked-in se rend sur le site du New-York Times ,

    alors ce journal amricain recevra par un cookie le descriptif de lactivitprofessionnelle de linternaute, ainsi quun descriptif du type et de la taille de

    20 Facebook nest pas le seul raliser ce genre de partenariat. Ainsi, le New York Times a un accord avec lerseau social professionnel LinkedIn pour afficher des informations personnalises en rapport avec le secteurconomique dans lequel travaille lutilisateur.

    21 Voir http://www.adweek.com/aw/content_display/news/digital/e3i67f2ad037eba0dd696178bd6615b7155

    22 On peut sinterroger sur la rdaction de la politique de confidentialit de Linked-in qui indique Nous nefaisons ni vendre, ni louer ou ni fournir daucune manire que ce soit vos donnes personnelles identifiables

    un tiers des fins commerciales , cf. http://www.linkedin.com/static?key=privacy_policy&trk=hb_ft_priv23 Cet change dinformation nest pas bas sur des cookies et lutilisateur ne peut sy opposer ou le bloquer.

  • 7/31/2019 La publicit cible

    17/33

    Commission nationale de linformatique et des liberts

    17

    lentreprise o il travaille. Ces donnes seront alors galement utilises pour prsenter unepublicit personnalise linternaute.

    E. Tacoda/AOL: la publicit comportementale en rseau

    Tacoda24 est un rseau de publicit comportementale qui prtend couvrir plus de 4000 sitesInternet forte audience25. Cette socit catgorise les internautes dans des profils gnrauxen fonction de lvolution de leur comportement travers lensemble de son rseau. Pourcela, les internautes sont suivis par des cookies traceurs .

    Les annonceurs confient leur publicit Tacoda et choisissent une cible (ge, sexe,localisation, ). Tacoda se charge de la diffuser aux internautes ayant un profil correspondant la cible recherche par lannonceur.

    Tacoda propose sur son site un opt-out pour les utilisateurs ne souhaitant plusrecevoir de publicit cible26.

    F. Phorm: la publicit comportementale chez loprateur detlcommunication

    La grande majorit des communications sur internet nest pas crypte et peut en thorie treintercepte par des tiers. Loprateur de tlcommunication dtient donc une positionprivilgie car il a la capacit dobserver la majorit du trafic gnr par ses abonns. Uncertain nombre de socits ont dcid de saisir cette opportunit pour proposer auxoprateurs des services de publicit comportementale bass sur une analyse du traficInternet ralise directement au niveau de loprateur de tlcommunication.

    Cest le cas notamment de la socit Phorm, qui propose une offre de profilage anonyme des utilisateurs base sur lanalyse de lensemble des sites quils visitent. La technologie miseen uvre par Phorm est relativement complexe, mais aboutit un suivi complet desinternautes grce des cookies traceurs placs sur tous les sites visits.

    Phorm a cr une polmique au Royaume-Uni car cette socit a conduit en secret des tests dece systme en partenariat avec loprateur BT sur plusieurs dizaine de milliers dabonns,sans leur consentement, ni mme une information. Ces exprimentations semblentactuellement suspendues et des actions en justice contre BT et Phorm sont en cours. Le Information Commissioner's Office a par ailleurs indiqu que ce type de service ne

    pourrait tre lgal au Royaume Uni que sil tait initi par un opt-in de labonn. Cesexprimentations ont cependant donn un aperu de ce que pourrait devenir la publicitcomportementale avec la participation des oprateurs de tlcommunication.Aux Etats Unis, la socit NebuAd propose actuellement un produit similaire.

    24 La socit Tacoda appartient au groupe Time Warner AOL depuis 2007. Son intgration complte au sein dela rgie publicitaire dAOL a t annonce en aot 2008.

    25 TACODA indique avoir plus de 4000 sites touchant 140 millions dutilisateur uniques par mois. Sespartenaires majeurs aux Etats-Unis incluent notamment Dow Jones, The New York Times Company, NBCUniversal, Fox, AOL, Comcast, HGTV.com, FoodNetwork.com, Kelley Blue Book, and USAToday.com

    26 Paradoxalement, cet opt-out repose sur linstallation dun cookie permanent sur le PC de linternaute. Si cecookie est effac, linternaute recevra de nouveau des publicits cibles de la part de TACODA.

  • 7/31/2019 La publicit cible

    18/33

    Commission nationale de linformatique et des liberts

    18

    V. Tendances et prospective

    A. Une concentration des acteurs de la publicit en ligne

    On assiste depuis peu une concentration des acteurs de la publicit en ligne : fusion deTacoda et de la rgie publicitaire dAOL, acquisition du rseau RightMedia par Yahoo (pour680 millions de dollars) ou encore acquisition de Aquantive par Microsoft (pour 6 milliardsde dollars). Mais lacteur majoritaire actuel dans la publicit en ligne est sans contesteGoogle, qui a rcemment rachet le rseau de publicit DoubleClick (pour 3,1 milliards dedollars), et qui possde des accords de diffusion de publicit avec les moteurs de recherchedAOL, Yahoo ou encore Ask.com. Aux Etats-Unis, des estimations indiquent que Googlediffuse aujourdhui presque 70% des publicits en ligne27.

    La tendance au regroupement des rseaux de publicit en ligne est donc forte etimplique galement un largissement des capacits de ces rseaux suivre et collecterdes donnes sur les internautes.

    B. Une convergence entre fournisseur de publicit et fournisseur decontenus

    Les fonctions de fournisseur de publicit et de contenus en ligne ont longtemps trelativement distinctes. Les fournisseurs de contenus dtenaient des informations personnellesprcises sur leurs clients, tandis que les rseaux de publicit dtenaient plutt desinformations anonymes bases de manire prdictive sur le comportement observ des

    internautes.

    Avec leurs acquisitions rcentes, les leaders du monde numrique Google, Yahoo etMicrosoft, se retrouvent avec le double rle de fournisseurs de contenus et de publicit.Ces acteurs ont en thorie la capacit indite de connatre quantits dinformations sur lesinternautes la fois travers ce que les internautes leur ont communiqu volontairement etpar les observations quils peuvent raliser sur leur comportement.

    Cette convergence nest pas le fruit du hasard mais permet effectivement aux grandsfournisseurs de contenus de mieux dfinir et matriser la publicit offerte aux internautes etdonc leur chane de revenus.

    Plusieurs questions se posent alors pour ces acteurs ayant deux casquettes :

    Quelles informations personnelles sont utilises pour effectuer de la publicit cible ?

    27 En juillet 2008, en additionnant la part des recherches effectues par Google (61.9%) avec ses deux affilisAsk (4,3%) et AOL (4,1%), on constate que 70,3% des recherches ont vu des publicits Google (voirhttp://www.comscore.com/press/release.asp?press=2405). En outre, selon dautres estimations, presque 70% despublicits en dehors des moteurs de recherche sont affiches par Google et DoubleClick (cf.http://www.attributor.com/blog/get-your-fair-share-of-the-ad-network-pie/ ). Dautres estimations plusconservatrices place la part de Google autour de 50%, ce qui reste consquent.

  • 7/31/2019 La publicit cible

    19/33

    Commission nationale de linformatique et des liberts

    19

    Quelles informations personnelles sont transmises des tiers, et en particulier auxannonceurs ?

    Quelle frontire existe-t-il aujourdhui entre les donnes personnelles collectes pourfournir un service et les donnes collectes pour fournir de la publicit cible ?

    La frontire entre les donnes personnelles collectes pour fournir un service et lesdonnes collectes pour fournir de la publicit cible est-elle susceptible dvoluerdans le futur ?

    C. Une extension des domaines dapplication

    Si la collecte de donnes sur les internautes se limite aujourdhui essentiellement lanalysede comportement sur le web, des volutions sont envisageables :

    Des projets de publicit cible pour la tlvision sur IP par ADSL sont aujourdhui encours de dveloppement28 permettant par exemple de remplacer les crans de publicittraditionnelle par des publicits cibles en fonction du foyer qui la visualise,

    Les medias de communication que sont lInternet, le Tlphone et la Tlvision sonten train de converger vers une technologie commune, savoir IP, fournie par le mmeoprateur (le triple ou quadruple play ),

    Les capacits informatiques danalyse et de stockage de donnes sont en croissanceconstante29.

    Rien ninterdit donc dimaginer que des publicits tlvisuelles soient bientt adaptes auprofil de linternaute, ou rciproquement que les publicits proposes sur Internet soient enlien avec lanalyse des contenus tlvisuels vus par linternaute. Il ne parat pas non plusimpossible de concevoir que des socits proposent des publicits bases sur des mots clsdtects dans une conversation tlphonique sur IP.

    Dans cet esprit, lexemple de Phorm prcdemment dcrit permet de spculer sur un rlefutur accru des oprateurs de tlcommunication dans le monde de la publicitcomportementale.

    D. Un usage de plus en plus pointu de la golocalisation

    De nombreux systmes de publicit en ligne offrent un contenu go-localis dduit deladresse IP de linternaute.

    Cette golocalisation est relativement grossire, car limite au mieux lindication dune villeou dune rgion.

    28

    La socit PacketVision a notament fait une prsentation dun tel dispositif la CNIL en janvier 2008.29 Ces capacits danalyse se limiteront de moins en moins au texte, et toucheront galement le son et limage.

  • 7/31/2019 La publicit cible

    20/33

    Commission nationale de linformatique et des liberts

    20

    Cependant de nouveaux outils de golocalisation bien plus prcis sont en train de faire leurentre dans le monde de la publicit cible.

    En effet, les terminaux mobiles actuels proposent souvent des GPS embarqus qui peuvent

    fournir des informations de golocalisation trs prcises. Lorganisme W3C responsable de ladfinition des protocoles Web a dailleurs rcemment dfini une norme30 permettant auxnavigateurs internet daccder et dexploiter des informations de golocalisation donnes parnimporte quel moyen (ex : adresse IP, RFID, WiFi, Bluetooth, GSM, GPS) pour notammenttrouver des centres dintrts autour dune personne, annoter un contenu avec desinformations de localisation, positionner un utilisateur sur un carte, envoyer des alertes quanddes points dintrt se trouvent dans le voisinage dune personne, obtenir une informationlocale jour ou encore mettre des informations de statut golocalises dans des rseauxsociaux. Les navigateurs pourront alors ventuellement transmettre ces informations desfournisseurs de services.

    En parallle, Google a mis au point un systme de golocalisation bas sur la dtectiondes bornes Wifi les plus proches ou sur lantenne relais laquelle un mobile estconnect. Le systme dtecte lantenne la plus proche de linternaute et interroge 31 alorsGoogle pour traduire ces informations en une information de golocalisation prcise quelques centaines de mtres prs.

    Ces outils permettent denvisager une publicit cible au plus prs de linternaute.

    30 Voir http://dev.w3.org/geo/api/spec-source.html

    31 En effet, les particuliers et les professionnels qui utilisent des rseaux Wifi mettent des signaux qui peuventtre distingus notamment par lidentification de ladresse MAC de leur quipement. Google a donc parcouru lesaxes de nombreuses villes pour constituer une grande base de donnes permettant dassocier chaque borne wifiavec une adresse gographique prcise.

  • 7/31/2019 La publicit cible

    21/33

    Commission nationale de linformatique et des liberts

    21

    VI. Menaces

    A. Le risque de montisation des profils

    Les acteurs qui bnficient de la publicit en ligne sont :

    1) Les fournisseurs :a. de publicit cible (sur site ou en rseau)b. de contenus ou de services qui affichent les publicits contre rmunration.

    2) Les annonceurs qui souhaitent vendre leurs produits et qui les vantent travers lapublicit.

    Comme on la vu, la frontire entre les fournisseurs de contenu et de publicit tend

    disparatre chez Google, Yahoo, Microsoft ou AOL. Ds lors, ces fournisseurs ont lafois des donnes personnelles explicitement fournies par linternaute, et des donnescollectes travers le suivi du comportement de celui-ci.

    Si aujourdhui, les transferts de donnes personnelles entre les fournisseurs decontenus ou de publicit et les annonceurs sont inexistants ou limits, rien nindique quecette frontire ne sera pas un jour franchie. Ce risque pourrait avoir des consquencesimportantes qui doivent tre prises en considration pour au moins deux raisons :

    1) Ltat de la technologie actuelle permet tous les acteurs dchanger des informationsde manire simple et sans contrle de linternaute. Lorsquun internaute clique sur unepublicit affiche par un fournisseur de publicit, aucune barrire technologiquenempche le fournisseur de publicit de transfrer des informations sur linternaute lannonceur (exemple : sexe, tranche dge, dernires pages visites, mots cls, etc.).Dores et dj, si lannonceur a ralis une publicit selon des critres trs cibls et siun internaute clique sur celle-ci, lannonceur pourra en dduire que linternautepossde certaines caractristiques associes au profil concern.

    2) Les fournisseurs de publicit ou de contenu sont tents de montiser une partie desinformations quils dtiennent sur les internautes auprs des annonceurs. Lannonceurpeut dj faire une slection de ses clients base sur un risque (en fonction de lge,localisation, revenus estims, etc.) ou pourrait proposer une tarification la tte du

    client .

    En thorie, la loi Informatique et Liberts permettrait dencadrer ces changes de donnesentre un fournisseur de publicit (ou de contenu) et un annonceur. Cependant, quen serait-ilsi ces changes nimpliquaient pas des donnes caractre personnel ? Peut-il sagir dedonnes gnrales propres au profil anonyme de linternaute (ex. ge, sexe, localisation).Dans ce cas, le fournisseur de publicit ou de contenu utiliserait sans doute largument de lanonymat des profils constitus et transfrs pour se soustraire aux contraintes de la loi.

    Lannonceur pourrait quand lui raliser une ds-anonymisation des donnes reues, enles associant avec les donnes quil collecte. Il est galement envisageable que lannonceur

    opre en amont de toute collecte de donnes personnelles :- une slection des clients quil souhaite avoir par le biais des informations reues,

  • 7/31/2019 La publicit cible

    22/33

    Commission nationale de linformatique et des liberts

    22

    - une modulation des prix en fonction dun risque peru ou dun revenu estim.

    Les consquences dune connivence entre le fournisseur de contenu ou de publicit etlannonceur permettent denvisager un certain nombre de risques importants pour les liberts,notamment dans les domaines suivants :

    Crdit et assurance : Estimation de solvabilit ou de la sant du demandeur a soninsu.

    Site de recrutement : Slection des personnes recevant loffre demploi en fonctionde leurs orientations sexuelles, les opinions politiques, la sant, etc.

    Prix : Modulation de prix en fonction du profil de linternaute.

    B. Les risques lis aux gisements de donnes personnelles ou sensibles

    Comme le cot de stockage des informations est de plus en plus faible

    32

    et comme lesinternautes produisent de plus en plus de donnes et de traces, il est trs tentant de collecter unmaximum de donnes sur les internautes mme si la finalit de chaque donne nest pastoujours tablie au moment de la collecte. En parallle, la puissance de calcul croissante et leperfectionnement constant des outils de data-mining permet denvisager des analyses deplus en plus pousses de ces entrepts de donnes personnelles.

    En cas de faille grave dans les systmes informatiques stockant ces donnes, cest unemine dinformations qui pourrait soffrir un tiers mal intentionn.

    Ce risque est accru si les lments collects incluent des donnes sensibles (donnes de sant,

    opinions politiques, sexualit, etc.). Cette inclusion pourrait tre purement accidentelle, parexemple, si lon collecte les centres dintrts de linternaute et que parmi ceux-ci figurentune maladie qui le touche ou des opinions politiques.Dans sa charte de confidentialit, Yahoo indique expressment prendre des mesures pourexclure les donnes sensibles de la collecte lie au profilage des internautes, ce qui prouveque la question se pose dores et dj. Il est parier que Microsoft et Google ont des garantiessimilaires, mais quen est-il en pratique ? Quen est-il dacteurs moins connus ou dsireux dese distinguer de la comptition ?

    C. Un risque pour la confiance des utilisateurs

    En labsence de transparence de la part des fournisseurs de contenu ou de services sur lesmcanismes de profilage et sur les donnes collectes, linternaute peut percevoir cesmcanismes comme trs intrusifs. Dans lavenir, la CNIL sera trs certainement interpelepar les internautes sur ce point et doit exiger des informations claires de la part desacteurs de la publicit en ligne.

    32 On peut noter que Google Mail offre un espace gratuit de stockage de donnes ses utilisateurs. En novembre2008 cette capacit tait de 7265 Mo et saccroit chaque jour de 0,35 Mo environ.

  • 7/31/2019 La publicit cible

    23/33

    Commission nationale de linformatique et des liberts

    23

    D. La gnralisation dune politique dopt-out imparfaite

    De nombreux systmes de publicit33 comportementale proposent un mcanisme dopt-out permettant de ne pas recevoir de publicit cible. Cet opt-out est paradoxalement

    souvent matrialis par un cookie dpos sur le poste de linternaute. Si ce cookie opt-out est prsent sur le poste de lInternaute alors il ne recevra pas de publicit cible.

    Les principaux acteurs de la publicit cible se sont regroups au sein de lassociation Network Advertising Initiative qui offre un outil34 global pour sopposer individuellement la rception de publicit sur chacun des rseaux concerns, comme le montre lextrait dusite ci-dessous :

    Cette approche dopt-out par cookie est certes un progrs, mais elle demeure imparfaitepour plusieurs raisons :

    Linternaute est rarement inform ou mme conscient de cette possibilit car les rgiesde publicit cible sont souvent invisibles ses yeux.

    Lutilisation dun cookie signifie que linternaute est oblig de recommencersystmatiquement35 un opt-out chaque fois quil efface lensemble de ses

    33 Voir notamment le systme dopt-out de Google (http://www.google.com/privacy_ads.html) ou Microsoft(https://choice.live.com/advertisementchoice/Default.aspx) et celui de TACODA voqu prcdemment.

    34 Voir la page http://networkadvertising.org/managing/opt_out.asp

    35 Tacoda a rcemment mis au point une parade partielle ce problme en se basant sur une astuce techniqueconsistant a explorer le cache des pages dj visites par linternaute pour dtecter un opt-out mme sicelui-ci a effac ses cookies.

    Par ailleurs, dans sa nouvelle solution dvoile en Mars 2008, Google a propos linstallation dun plug-in sur le navigateur internet qui permet deffectuer un opt-out rsistant leffacement des cookies.

  • 7/31/2019 La publicit cible

    24/33

    Commission nationale de linformatique et des liberts

    24

    cookies. Or de plus en plus dinternautes effacent priodiquement les cookies dposssur leur PC.

    Lopt-out ne porte pas sur la collecte des donnes, mais uniquement sur ladistribution de publicit cible. Les donnes des internautes continuent dtrecollectes par ces rseaux de publicit cible (dans le but de raliser des statistiques).

    Seul un opt-in portant la fois sur la collecte de donnes et laffichage de publicitscomportementales pourrait rellement donner un contrle aux utilisateurs. Il estcependant peu probable que les industriels du domaine suivent cette approche quirduirait considrablement le nombre dinternautes pouvant tre tracs et pouvantrecevoir de la publicit cible.

    E. Une gestion des cookies inoprante

    Si la gestion de lopt-out est imparfaite, il reste thoriquement lutilisateur la possibilitde mettre en uvre des outils pour mieux contrler la dissmination de ses donnespersonnelles.

    La plupart des grands fournisseurs de contenus ont une politique de confidentialit formalise qui indique que des cookies sont utiliss notamment pour des finalits lies lapublicit. Ces politiques de confidentialit prcisent galement comment lutilisateur peutbloquer ou supprimer ces cookies, ce qui peut donner limpression quun vritable choix estlaiss linternaute.

    En pratique ce choix est souvent illusoire :

    Si linternaute bloque tous les cookies, il ne peut pratiquement utiliser aucunservice aujourdhui sur internet36.

    Si linternaute choisit dautoriser individuellement chaque cookie au cas par cas,il se retrouve avec un nombre incessant de messages de confirmation quideviennent vite pnalisants pour la navigation.

    Enfin, lalternative consistant raliser une suppression manuelle des cookies chaque fin de session est galement peu pratique.

    Aujourdhui, ces contraintes font quen ralit, la plupart des internautes noptent paspour une politique relle de contrle des cookies37.

    36 Par exemple, sur les pages de son site traitant des cookies, Yahoo! indique linternaute comment il peut lesbloquer, mais prcise galement que Si vous choisissez de rejeter tous les cookies, vous ne pourrez pas utiliserles produits ou services Yahoo! ncessitant louverture d'un compte Yahoo! .voir : http://info.yahoo.com/privacy/fr/yahoo/cookies/

    37 A cet gard, on peut tout de mme observer que les toutes dernires versions des navigateurs (ex : Internet

    Explorer 8, Google Chrome etc.) permettent deffectuer des sessions de navigation lissue desquelles tous lescookies installs lors de cette session sont automatiquement effacs. Cette nouvelle approche est techniquementintressante mais il est encore trop tt pour savoir si elle sera adopte par les internautes.

  • 7/31/2019 La publicit cible

    25/33

    Commission nationale de linformatique et des liberts

    25

    VII. Enjeux pour les autorits de protection des donnes

    A. Lapplicabilit de la lgislation sur la protection des donnes

    La question pose est tout dabord celle de lapplicabilit de la lgislation sur la protection desdonnes caractre personnel. En matire de publicit en ligne, de prime abord, il peutparatre difficile de dterminer si les traitements mis en uvre portent sur des donnes caractre personnel ou si ceux-ci sont anonymes.

    Par ailleurs, il convient de sinterroger sur les modalits dinformation de la personnedestinataire de la publicit ds lors que la lgislation sur la protection des donnes estapplicable. Le respect des droits des personnes (information pralable, droits daccs, derectification et dopposition) est parfois mis mal dans le domaine de la publicit cibleen ligne en raison de contraintes dordre tant techniques quconomiques.

    La directive europenne 95/46/CE dfinit le concept de donnes caractre personneldune manire trs large38.

    Le G29 dans son avis 4/2007 du 20 juin 2007 a donn des orientations sur la manire dont ilconvient d'interprter le concept de donnes caractre personnel dans la directive 95/46/CE.Il rappelle galement que les finalits ultimes des rgles poses dans les directives sur laprotection des donnes39 sont de protger les liberts et droits fondamentaux des personnesphysiques, notamment leur vie prive, lgard du traitement des donnes caractrepersonnel.

    Selon cet avis, la dfinition des donne caractre personnel repose sur quatre lments, savoir toute information, concernant, une personne physique, identifie ouidentifiable. Ces lments sont troitement lis et interdpendants, mais dterminentensemble les lments d'information considrer comme donnes caractre personnel.Il convient de revenir plus particulirement revenir sur les notions de concernant etd identifi ou identifiable .

    Lavis prcise que d une manire gnrale, on peut considrer que les informationsconcernent une personne physique, lorsqu'elles ont trait cette personne physique . Ilrelve que : les donnes concernent une personne si elles ont trait l'identit, aux

    caractristiques ou au comportement d'une personne ou si cette information est utilisepour dterminer ou influencer la faon dont cette personne est traite ou value .

    38Il sagit de toute information concernant une personne physique identifie ou identifiable (personne

    concerne); est rpute identifiable une personne qui peut tre identifie, directement ou indirectement,

    notamment par rfrence un numro d'identification ou un ou plusieurs lments spcifiques, propres son

    identit physique, physiologique, psychique, conomique, culturelle ou sociale.

    39 Directive 95/46/CE protection des donnes et directive 2002/58/CE vie prive et communications

    lectroniques .

  • 7/31/2019 La publicit cible

    26/33

    Commission nationale de linformatique et des liberts

    26

    Selon cette analyse, ds lors que le contenu dune publicit est cibl en fonction dunprofil pralablement tabli, il conviendrait de faire application de la lgislation sur laprotection des donnes. Les donnes traites des fins de publicit en ligne ont bien trait aucomportement dune personne.

    Lavis ajoute quil suffit quune personne puisse tre traite diffremment par rapport dautres personnes la suite du traitement de ces donnes . Tel est le cas dans les casprsents la partie IV.

    Les informations doivent galement concerner une personne physique identifie ouidentifiable . Le G29 prcise cet gard que si l'identification par le nom constitue, dansla pratique, le moyen le plus rpandu, un nom n'est pas toujours ncessaire pour identifier

    une personne, notamment lorsque d'autres identifiants sont utiliss pour distinguer

    quelqu'un. []. Sur linternet aussi, les outils de surveillance du trafic permettent de cerner

    facilement le comportement d'une machine et, derrire celle-ci, de son utilisateur. On

    reconstitue ainsi la personnalit de l'individu pour lui attribuer certaines dcisions. Sans

    mme s'enqurir du nom et de l'adresse de la personne, on peut la caractriser en fonction decritres socio-conomiques, psychologiques, philosophiques ou autres et lui attribuer

    certaines dcisions dans la mesure o le point de contact de la personne (l'ordinateur) ne

    ncessite plus ncessairement la rvlation de son identit au sens troit du terme. En

    d'autres termes, la possibilit d'identifier une personne n'implique plus ncessairement la

    facult de connatre son identit..

    Il ressort de cette analyse que les identifiants utiliss dans les cookies traceurs conduisent une forme didentification dun individu au sens de linterprtation duG29.

    Le groupe de larticle 29 a dailleurs prcis dans son avis sur les moteurs de recherche que Lorsquun cookie contient un identifiant dutilisateur unique, celui-ci est clairement unedonne caractre personnel. Lutilisation de cookies persistants ou de dispositifs

    similaires comportant un identifiant dutilisateur unique permet de pister les utilisateurs dun

    ordinateur donn, mme en cas dutilisation dadresses IP dynamiques. Les donnes relatives

    au comportement qui sont gnres par le recours ces dispositifs permettent d'affiner

    encore les caractristiques personnelles de la personne concerne.

    Par consquent, il est possible de considrer que les donnes qui sont dans les profilscomme lge, le sexe ou la localisation sont des donnes caractre personnel dans la

    mesure o elles sont lies cet identifiant

    40

    .

    En outre, il apparat que la plupart des systmes de publicit cible repose sur la collecte deladresse IP. Cet avis prcise quune adresse IP attribue un internaute lors des sescommunications constitue une donne caractre personnel41. Dans ce cadre, si la publicitest affiche par une rgie publicitaire distincte du site web consult par linternaute, celle-cipeut gnralement tre aussi considre comme responsable de traitement .

    40Quand bien mme un cookie identique serait affect plusieurs personnes dune mme catgorie, le

    classement dune personne dans sa catgorie implique gnralement un traitement de donnes caractre

    personnel.41 Un rcent arrt de la Cour dappel de Rennes du 22 mai 2008 est dailleurs venu confirmer cette analyse.

  • 7/31/2019 La publicit cible

    27/33

    Commission nationale de linformatique et des liberts

    27

    La CNIL a elle-mme souvent soulign que ladresse IP est une donne caractre personnelnotamment, loccasion de lexamen de la loi relative la lutte contre le terrorisme, desdcrets dapplication de la loi pour la confiance dans lconomie numrique ou encore loccasion des demandes dautorisation prsentes par les socits de perception et rpartitionet des droits dauteur.

    Il rsulte de ce qui prcde que la lgislation sur la protection des donnes aurait, dans unelarge mesure, vocation sappliquer la publicit cible en ligne. En consquence, ds lorsque la publicit cible en ligne repose par exemple sur des gots et comportements quipeuvent tre rattachs un individu identifi ou identifiable, elle doit tre opre dans lerespect des principes de la protection des donnes.

    B. Promouvoir une meilleure information des internautes

    1. Obligations dinformation par les acteurs de la publicit en ligne

    Un des principaux enjeux en matire de publicit en ligne concerne la qualit delinformation des personnes concernes. Il est crucial que les personnes concernes puissenttre parfaitement informes de lutilisation qui sera faite de leurs donnes, que celles-ci soientfournies de leur propre initiative (cas de constitution de profil explicite) ou collectes sansintervention de leur part (cas de constitution de profil prdictif bas par exemple sur unhistorique des achats, lanalyse de la navigation et des requtes).

    Ds 200242, le lgislateur europen sest proccup de la question de linformation desinternautes lors de lutilisation de tmoins de connexion (tels que les cookies ) par les sitesweb en consacrant un principe dinformation et un droit dopposition.

    Cette disposition a dailleurs t transpose en droit franais loccasion de la refonte de laloi informatique et liberts du 6 janvier 1978 qui prvoit une disposition spcifique en lamatire.

    Ainsi, la loi du 6 janvier 1978 modifie prcise dans son article 32-II les obligationsincombant aux diteurs de sites web qui utilisent des procds de collecte automatise dedonnes tels que les cookies .

    Le principe pos par la loi, consacrant cette occasion la doctrine dgage par la CNILen la matire, est celui dune information claire et complte des internautes. Ces derniers

    doivent ainsi tre informs de la finalit de lutilisation de cookies et des moyens dont ilsdisposent pour sopposer ce procd.

    La loi a toutefois prvu que cette obligation dinformation ntait pas ncessaire si le cookie :

    - a pour finalit exclusive de permettre ou faciliter la communication par voielectronique (exemple : faciliter la navigation lors dinscriptions ou de dmarchesadministratives effectues en ligne),

    42 Directive 2002/58 Vie prive et communications lectroniques , article 5.

  • 7/31/2019 La publicit cible

    28/33

    Commission nationale de linformatique et des liberts

    28

    - ou est strictement ncessaire la fourniture dun service de communication enligne la demande expresse de lutilisateur (exemple : cration de son panier lors dune commande en ligne).

    Quant au point de savoir si larticle 32-II doit sappliquer ds lors que le cookie utilis permet

    lchange de tout type de donnes caractre personnel ou non entre le poste informatiquesur lequel il est install et les serveurs informatiques du responsable du traitement, laCommission a retenu lanalyse suivante43.

    Il apparat que larticle 32-II est applicable uniquement si les procds tendant accder ou inscrire des informations dans lquipement terminal de connexion de lutilisateur mettent enuvre un traitement de donnes caractre personnel. Cette analyse a pour consquencedexclure lapplication des prescriptions prvues larticle 32-I de la loi prcite lutilisation de tels dispositifs dans la mesure o larticle 32-II prvoit un rgime drogatoireen matire dinformation des personnes.

    Toutefois, la CNIL recommande que les mesures dinformation prvues larticle 32-II, savoir linformation sur la finalit du dispositif ainsi que sur les moyens de sopposer samise en place, puissent tre assures quand bien mme son utilisation ne porterait que sur desdonnes anonymes. Nanmoins, la section prcdente a dmontr que ds lors quun cookietraceur est utilis, il ne peut sagir de donnes anonymes.

    Selon la CNIL, une information claire et complte devrait tre prvue dans tous les casde figure afin dassurer une parfaite transparence sur lutilisation de ce type dedispositif. En outre, cette position sinspire de lesprit de la directive 2002/58/CE qui rappelledans son considrant 24 que lquipement terminal de lutilisateur dun rseau decommunications lectroniques ainsi que toute information stocke sur cet quipement relventde la vie prive de lutilisateur, qui doit tre protge au titre de la convention europenne desauvegarde des droits de lhomme et des liberts fondamentales (cf. Annexe 1 concernant lesmodles dinformation proposs par la CNIL en cas dutilisation de cookies).

    Il rsulte de ce qui prcde que toute action tendant accder ou inscrire des informationsdans lquipement terminal dun utilisateur devrait tre possible uniquement si la personneconcerne est informe de manire claire et complte de la finalit de cette dmarche et desmoyens de sy opposer.

    Par ailleurs, la CNIL rappelle que lanalyse des comportements dachats dans le but de

    personnaliser la publicit adresse aux internautes, nest possible que si linternaute en at pralablement inform, et mis en mesure de sy opposer voire mme dy consentir sila publicit est adresse par voie lectronique. Ce droit doit pouvoir sexercer de manirespcifique et ne doit pas faire empcher linternaute deffectuer une commande (ex. lessuggestions dachat proposes par la socit Amazon qui sont bases sur les derniers achatseffectus par lutilisateur ne doivent tre permises que si ce dernier en a t pralablementinform. Il doit galement avoir la possibilit dacheter des livres sur le site sans pour autantque les informations relatives ses achats soient traites des fins de publicit).

    43 La CNIL avait t interroge en dcembre 2005 par le Forum des droits sur linternet (FDI) sur cette question.La rponse apporte par la Commission a t prise en compte dans la Recommandation du FDI sur les Publiciels et espiogiciels publie le 11 juillet 2006.

  • 7/31/2019 La publicit cible

    29/33

    Commission nationale de linformatique et des liberts

    29

    La CNIL ne devrait-elle pas rappeler le principe de respect du droit des personnes encas dutilisation de la technologie des cookies traceurs ? Dans cette hypothse, il sagiten effet dun rel traage qui permet de suivre linternaute dans ses dplacements sur tous lessites qui affichent des publicits en provenance de la mme rgie publicitaire.

    Il parait indispensable que les questions lies la dtermination du responsable du traitement,au droit national applicable, aux dures de conservation des donnes et aux modalitsdinformation des personnes en cas de constitution de profils soient largement dbattues etportes la connaissance des acteurs conomiques ainsi quaux utilisateurs des services de lasocit de linformation.

    A cet gard, il convient de revenir sur les conclusions dgages par le groupe de larticle29 dans son avis sur les moteurs de recherche.

    Cet avis prcise les conditions dapplication des rgles juridiques communautaires et formuledes recommandations destines amliorer la protection et le droit des utilisateurs des

    moteurs de recherche.

    La pratique actuelle de ces acteurs consiste tenir compte de lhistorique des requtes, de lacatgorisation de lutilisateur et de critres gographiques. Ds lors, en fonction ducomportement de lutilisateur et de son adresse IP, une publicit personnalise peut treaffiche.

    Le G29 considre galement que les rgles europennes de la protection des donnessappliquent aux moteurs de recherche mme si leur sige social se trouve en dehors delUnion europenne, en vertu des dispositions prvues larticle 4. 1 (a) et 4.1 (c) de ladirective 95/46/CE.

    Lavis du G29 dtaille par ailleurs trs clairement la porte de lobligation dinformation despersonnes44. Il estime que la plupart des internautes ne sont pas conscients de ce que lesdonnes relatives leur recherche sont traites des fins de ciblage publicitaire. Les moteursde recherche devraient en consquence indiquer clairement aux utilisateurs quelles sont lesdonnes collectes leur sujet et quoi elles servent.

    En outre, du fait du paramtrage par dfaut des navigateurs, il est trs important que lesutilisateurs soient pleinement informs de lutilisation et de leffet des cookies. Ces

    informations devraient tre mises davantage en vidence et ne pas simplement figurer dans la

    politique de confidentialit du moteur de recherche, o elles ne sont peut-tre pasimmdiatement apparentes .

    Enfin, le G29 recommande que lenrichissement de profils dutilisateurs laide dedonnes qui ne proviennent pas des utilisateurs eux-mmes soit soumis leurconsentement. La publicit cible en ligne appelle encore dautres questions concernant la

    44 Notons que les dispositions relatives la publicit issues du code de la consommation peuvent trouver sappliquer en lespce en cas dabsence ou de mauvaise information des consommateurs. Aux Etats-Unis, ledpartement amricain du commerce (la FTC ) sest penche sur la question de linformation des utilisateurset recommande que chaque site internet qui procde la collecte de donnes des fins de publicit ciblefournisse aux consommateurs une dclaration claire, concise et conviviale.

  • 7/31/2019 La publicit cible

    30/33

    Commission nationale de linformatique et des liberts

    30

    dure de conservation des donnes, la collecte de donnes sensibles et la scurit destraitements.

    Il convient galement dvoquer la question du rgime juridique applicable la publicitadresse au moyen de pop-up45. Du fait du caractre plus intrusif de ce mode de publicit,

    celui-ci devrait-il tre soumis un rgime dopt-in (c'est--dire soumis au consentementpralable de linternaute) ou dopt-out (possibilit de sopposer laffichage des pop-ups)? Acet gard, dans une rponse une question parlementaire, la Commission europenne a estimque la dfinition du courrier lectronique ne couvre que les messages pouvant tre stocksdans un quipement terminal jusqu ce quils soient relevs par leur destinataire, et non lesmessages qui "disparaissent lorsque le destinataire nest plus en ligne" ; par consquent, lespop-ups ne devraient pas tre soumis au rgime de lopt-in de ce fait 46.

    Proposition

    La mise en place de pratiques transparentes et respectueuses des droits des personnes doittre encourage auprs des acteurs de la socit de linformation. Il est essentiel que lapublicit cible en ligne puisse seffectuer de manire loyale et que les mentionsdinformations soient lisibles et comprhensibles pour linternaute. Or, il semblerait quungrand nombre de sites internet ne satisfont encore que de manire incomplte auxexigences de transparence quant linformation des internautes. Cest pourquoi la CNILpourrait laborer des mentions types et pourrait encourager ladoption de code debonnes pratiques par les professionnels. Elle propose galement de coordonner sonaction avec le Forum des droits sur linternet, par exemple, dans llaboration de codes deconduite.

    2. Information du public sur les moyens de contrler ses traces

    Une part47 du contrle de linternaute sur la publicit cible passe par une relle gestion descookies traceurs. De nombreux acteurs lont compris et on assiste ainsi lmergence denouveaux outils permettant linternaute de mieux contrler les cookies.

    La plupart des navigateurs modernes (Internet Explorer 7, Firefox, Safari) disposentdoutils permettant de grer les cookies et notamment de bloquer les cookies issus desites tiers , cest dire les cookies qui sont affichs par un autre site que celui quiaffiche le contenu principal (cf. II.C). Cette approche donne des rsultats corrects.

    45 Le Pop-up ou fentre surgissante est fentre secondaire qui saffiche devant la fentre de navigationprincipale sans avoir t sollicite par lutilisateur lorsquil navigue sur Internet.

    46 Cependant, dans une affaire en date du 26 mars 2003, le tribunal allemand de Dsseldorf a considr que lespop-ups taient des messages stocks temporairement dans la mmoire vive de lordinateur de linternaute ettaient donc assimilables des courriers lectroniques. Cette pratique tait donc assimile la pratique du spamet a t considre comme illicite ds lors quelle navait pas t pralablement autorise par linternaute

    En 2007, une proposition de la loi belge de 2007 visait galement soumettre les pop-up au principe de lopt-in

    47 Le cookie est loutil trs majoritairement utilis pour tracer les internautes mais il nest pas le seul.DoubleClick par exemple, utilise parfois dautres techniques bases sur de simples liens HTML. Le contrle descookies ne rsoudra donc pas tous les problmes.

  • 7/31/2019 La publicit cible

    31/33

    Commission nationale de linformatique et des liberts

    31

    Les navigateurs Internet Explorer et Firefox, permettent de crer des listes noires de sites pour lesquels il faut bloquer les cookies. Cest un outil trs efficace mais quiest complexe mettre en uvre pour les non spcialistes. Une volution desnavigateurs serait ncessaire pour rendre cette approche plus ralisable.

    Les toutes dernires versions de certains navigateurs proposent un mode de navigation

    priv offrant une meilleur protection des traces et notamment dans lequel lescookies crs sont automatiquement effacs lissue de la session de navigation,indpendamment de leur dure de vie prvue.

    Enfin, dans sa solution de ciblage par centre dintrts dvoile en mars 2009, Googlea propos un systme permettant aux internautes de connatre et de modifier lescentres dintrt qui leurs sont automatiquement affects au cours de leur navigation.

    Ces technologies efficaces sont encore peu utilises par le public. Ceci sexplique en partiepar la complexit de certaines dentre elles, mais aussi tout simplement par la mconnaissancede leur existence.

    Le site de la CNIL attire dj lattention de linternaute sur les traces quil peut laisser, mais ilsemble utile que la CNIL contribue galement informer le public sur les technologies quipermettent de mieux grer les cookies traceurs utiliss en matire de publicit cible.

    Proposition

    Les mesures de sensibilisation et daccompagnement du grand public aux enjeux rsultantde la publicit en ligne doivent tre privilgies. La CNIL pourrait dans ce cadredvelopper sur son site des outils pdagogiques sous la forme de conseils pratiquesaux internautes.

    C. Promouvoir les produits et services respectueux de la protection desdonnes caractre personnel

    1. Lintrt de la labellisation

    De nombreux sites Internet affichant de la publicit prtendent tre respectueux de laprotection des donnes. Cependant, rares sont les internautes qui prennent le temps de lire etde comprendre en dtail les politiques de protection des donnes affiches. Linternaute na

    en outre aucun indicateur permettant dvaluer rellement leur vracit.

    La labellisation de produits ou de services constitue une rponse possible ce problme. LaCNIL dispose dun pouvoir de labellisation depuis 2004. Toutefois, comme a t indiqu leMinistre de la Justice dans sa rponse une question crite pose le 11/12/2008 par lePrsident Trk au Snat, ce nouveau pouvoir ncessite de dfinir des mesures rglementairesdapplications, voire une intervention lgislative si une externalisation de certaines procduresest prvue. Il est toutefois envisag de propos une modification de la loi dans le cadre desamendements la loi Informatique et Liberts qui seront dposs par M. Warsmann.

  • 7/31/2019 La publicit cible

    32/33

    Commission nationale de linformatique et des liberts

    32

    Dans cette attente, la Commission sest engage depuis 2007 dans un projet Europen European Privacy Seal (EuroPrise48). Ce projet a permis de dfinir des procdures etdvaluer les premiers produits afin de leur dlivrer un label attestant de leur qualit en termesde protection des donnes.

    A ce titre on peut citer lexemple de la rgie publicitaire WonderLoop qui a rcemmentfait lobjet dune expertise indpendante et sest vu dcerner le label Europen Europrise49 50.Ce label souligne la conformit de ce service aux principes des directives europennes enmatire de protection des donnes caractre personnel.

    La labellisation est donc un outil que la CNIL pourrait utiliser pour promouvoir des produitset des services protgeant les donnes personnelles dans le contexte de la publicit cible, un niveau national et/ou un niveau Europen51. Il doit toutefois tre soulign quun label Informatique et Liberts dpasse la seule question de la publicit en ligne ; elle englobe eneffet le respect gnral de la loi par les acteurs.

    Proposition

    Il est propos de raffirmer auprs des pouvoirs publics la ncessit que la CNIL puisserapidement mettre en uvre son pouvoir de labellisation. Au-del de lavantageconcurrentiel pour les entreprises, un label informatique et liberts peut contribuer instaurer la confiance des internautes dans le monde numrique.

    2. Promouvoir des standards compatibles avec la protection des donnespersonnelles

    Aujourdhui, tous les cookies se ressemblent et peu dlments permettent notamment de

    distinguer les cookies traceurs des autres cookies.

    PropositionDes efforts pourraient donc tre engags afin, par exemple, de standardiser et de distinguerles cookies de traage publicitaire des autres cookies.En dveloppant ce type de normes ou de bonnes pratiques, conjointement avec lesdveloppeurs de navigateurs, il semblerait envisageable de simplifier substantiellement lesmoyens de contrle des cookies disponibles pour les internautes. Cette dmarche devraitpouvoir tre conduite avec les autres autorits du G29.

    48 Le label Europrise a rcemment t dcern au moteur de recherche Ixquick qui propose des services derecherche sur Internet avec des garanties fortes sur la protection des traces, notamment par labsence de cookiestraceurs et par une dure de rtention des adresses IP limite 48 heures (par opposition aux 9 mois deconservation de Google). La publicit autour de la dlivrance de ce label a eu pour consquence de faireconnatre Ixquick auprs dun public nettement plus large.

    49 EuroPriSe, le projet de label europen de protection des donnes personnelles propose d'tablir un processusd'valuation europen permettant de certifier la conformit de produits ou de services informatiques avec larglementation europenne sur la protection des donnes personnelles. Le label est attribuable l'issu d'unprocessus d'valuation qui se dcoupe en deux tapes spcifiques : d'abord une valuation du produit ou duservice par des experts lgaux et techniques reconnus, ensuite une validation du rapport d'valuation par unorganisme de certification accrdit. Voir : https://www.european-privacy-seal.eu/

    50 la CNIL participe au projet Europrise avec un statut de conseiller 51 En devenant par exemple une autorit de certification accrdite dans EuroPriSe

  • 7/31/2019 La publicit cible

    33/33

    Commission nationale de linformatique et des liberts

    VIII. Conclusion

    La publicit cible et en particulier la publicit comportementale nest quaux prmices de sondveloppement. Celui-ci est susceptible de poser un certain nombre de dfis au regard de laloi informatique et liberts.

    En particulier, labsence de transparence de ces systmes de publicit en ligne, ainsi que lespossibilits imparfaites pour linternaute de sy opposer de manire efficace soulvent denombreuses difficults.

    Mme si de nombreux acteurs se rfugient derrire le fait que le profilage des internautesserait ralis de manire anonyme (et quil ne serait par consquent pas soumis la loiinformatique et liberts), il ressort de lanalyse effectue dans ce rapport que tous les systmesde publicit cible sur internet mettent en uvre des traitements de donnes caractrepersonnel.

    Au vu des lments soulevs dans ce rapport, la CNIL pourrait :- raffirmer lapplicabilit du droit europen dans ce contexte,- encourager ladoption de code de bonnes pratiques par les professionnels et

    coordonner son action avec les travaux conduits par le Forum des droits sur linternet ;- soutenir largement lapplication du principe du consentement pralable actif

    (principe dit dopt-in ).- favoriser le dveloppement doutils permettant aux internautes de protger leur

    vie prive sur internet,- informer les internautes en dveloppant, par exemple sur le site de la CNIL, des

    outils pdagogiques sous la forme de conseils pratiques,

    - mener des missions de contrles des rgies publicitaires sur internet,- mettre en uvre des procdures de labellisation des produits et des servicesprotgeant les donnes personnelles des internautes, lorsque le cadre rglementaire lepermettra,

    - encourager la mise en place dune rflexion commune, sur cette thmatique,avec les autres autorits de protection des donnes europennes.