Skip to main content

Le CEPD publie des lignes directrices sur le ciblage des utilisateurs de réseaux sociaux

Le 2 septembre 2020, le Comité Européen de la Protection des Données (CEPD) a adopté des lignes directrices sur le ciblage des utilisateurs de réseaux sociaux, qui sont ouvertes à la consultation publique jusqu'au 19 octobre 2020.


 I.                   Contexte

 

Les réseaux sociaux permettent des échanges massifs de données à caractère personnel. Le ciblage publicitaire fait partie du business model des fournisseurs de réseaux sociaux, qui traitent les données personnelles issues de leur(s) plateforme(s) seuls ou conjointement avec d’autres acteurs.

 

Le CEPD, conscient des enjeux majeurs relatifs au traitement de données à caractère personnel dans le cadre du ciblage publicitaire sur les réseaux sociaux, a publié des lignes directrices afin de donner un cadre à ce ciblage publicitaire. Il demande principalement aux différents acteurs qui traitent des données de déterminer de manière transparente leurs rôles et responsabilités dans le cadre d'un contrat.

 

Ces lignes directrices ont été publiées le même jour que les lignes directrices sur les concepts de responsables et sous-traitants, ce qui démontre la volonté du CEPD de clarifier un contexte jusqu’alors incertain. En effet, les récents arrêts de la CJUE, Wirtschaftsakademie du 5 juin 2018 et Fashion ID du 29 juillet 2019 ont interprété de manière extensive la notion de responsable de traitement et ont mis en avant la possibilité d’une responsabilité commune entre les fournisseurs de réseaux sociaux et les autres acteurs.

 

Les lignes directrices du CEPD sont incitatives mais ne sont jamais juridiquement contraignantes, et peuvent être modifiées après la consultation publique.

 

II.                Contenu des lignes directrices

 

Le CEPD aborde trois sujets principaux, dont les points majeurs sont résumés ci-dessous.

 

1.              Les acteurs du ciblage publicitaires

Les principaux acteurs impliqués dans le traitement des données à caractère personnel dans le contexte des réseaux sociaux, sont listés par le CEPD, à savoir : les fournisseurs de réseaux sociaux, leurs utilisateurs (qu’ils détiennent un compte ou non) et les personnes souhaitant effectuer un ciblage publicitaire.

 

2.              Les différents mécanismes de ciblage publicitaire

Le ciblage publicitaire peut être effectué sur la base (i) des données fournies par l'utilisateur sur les réseaux sociaux (par exemple, le nom, l'âge, etc.), (ii) des données observées (par exemple, sur la base de la géolocalisation ou de traceurs), ou (iii) des données déduites - qui peuvent impliquer un profilage (par exemple, les pages visitées par l’utilisateur, les mots recherchés, etc.).

Pour chacun de ces mécanismes de ciblage, le CEPD précise, en utilisant un ou plusieurs exemple(s) concret(s) de traitement(s) de données :

  • le type de données collectées ;
  • les rôles respectifs que peuvent avoir les sociétés de ciblage publicitaire et les fournisseurs de réseaux sociaux. Le CEPD recommande de partir de la définition de responsable de traitement et de la jurisprudence de la CJUE mentionnée en I. pour déterminer les rôles et responsabilités de chacun : la qualification de responsable conjoint ou responsable de traitement varie en fonction de la personne qui détermine concrètement les finalités et moyens de chaque traitement ;
  • chaque mécanisme de ciblage doit se fonder sur une base légale. Le CEPD considère que les deux bases légales possibles pour le traitement de ces données sont l'intérêt légitime ou le consentement de la personne concernée. S'appuyer sur un intérêt légitime nécessite une analyse approfondie de la transparence des informations fournies et de l’effectivité du droit de s'opposer au traitement pour la personne concernée. Quant au consentement, il doit être donné librement et ne doit pas pour autant légitimer un ciblage disproportionné ou déloyal.

En tout état de cause, le CEPD précise expressément que, conformément à l’article 5(3) de la Directive 2009/136/CE (« ePrivacy »), si le ciblage publicitaire implique « le stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur » (par exemple : utilisation de cookies et traceurs), le consentement préalable de cet abonné ou utilisateur devra être obtenu.

En outre, les fournisseurs de réseaux sociaux et les publicitaires doivent clarifier et formaliser - par un accord - leur qualification, leur rôle et leurs responsabilités respectifs en ce qui concerne le traitement des données à caractère personnel. Le CEPD rappelle que la responsabilité conjointe ne signifie pas toujours que les parts de responsabilité doivent être égales.

 

3.              Les obligations des acteurs

Le CEPD met en avant les obligations des publicitaires et des fournisseurs de réseaux sociaux, y compris les principales exigences en matière de protection des données (sécurité du traitement, protection des données dès la conception et par défaut, notification des violations de données, transferts éventuels, etc.). Les principaux points d'attention sont les suivants :

  • Transparence : la transparence du traitement des données personnelles est d’une importance primordiale. Le traitement ne peut pas aller au-delà des attentes raisonnables des individus, afin de prévenir les risques liés aux effets discriminatoires potentiels lors du traitement de données sensibles, à la manipulation éventuelle des utilisateurs ou à l'effet paralysant sur la liberté d'expression. Les informations fournies aux personnes concernées doivent être concises, dans un langage clair et simple, et doivent être fournies à la fois par le publicitaire et par le fournisseur de réseaux sociaux
  • Droits des personnes concernées : les personnes concernées doivent être informées de leurs droits et chacun des responsables du traitement doit fournir les détails d’un point de contact.
  • Données sensibles : les responsables du traitement doivent être extrêmement prudents aux potentielles données sensibles traitées (sauf si ces données sont manifestement publiques), compte tenu du volume de données traitées.
  • Analyse d’impact relative à la protection des données : l’analyse d’impact doit être effectuée par chacun des deux responsables du traitement si nécessaire.

III.             Impacts en pratique

 

Ces lignes directrices, dans leur rédaction actuelle, ont des incidences pratiques sur les sociétés qui ont recours au ciblage publicitaire par l’intermédiaire des plateformes de réseaux sociaux. Ces sociétés devraient, avant tout traitement :

  • évaluer soigneusement leurs campagnes publicitaires sur les réseaux sociaux ;
  • chercher à établir un échange avec les plateformes de réseaux sociaux en amont de tout traitement ;
  • évaluer les conditions générales des différentes plateformes de réseaux sociaux pour s'assurer que ces conditions générales tiennent bien compte des rôles respectifs des parties ou bien clarifier ces rôles dans un accord ad hoc ;
  • délimiter les traitements de données personnelles pour lesquels le publicitaire est le seul responsable de traitement et ceux pour lesquels la responsabilité est conjointe et s'assurer qu'il respecte ses obligations pour les deux types de traitement ;
  • s'assurer que le consentement de la personne concernée (le cas échéant) obtenu par le fournisseur de réseaux sociaux pour le traitement envisagé est valable ;
  • tenir l’accord portant sur la responsabilité conjointe des parties à la disposition de la personne concernée ;
  • s'assurer que les données personnelles fournies par le publicitaire aux plateformes de réseaux sociaux ne sont pas utilisées ultérieurement par les plateformes d'une manière incompatible avec les finalités initialement poursuivies.

Il est possible de participer à la consultation publique avant le 19 octobre en remplissant le formulaire disponible ici.

 

Comments

Popular posts from this blog

CNIL’s sanctions against Google LLC and Google Ireland Limited and against Amazon Europe Core: summary and main findings

 On 10 December 2020, the CNIL made public two decisions regarding the use of cookies in breach of Article 82 of the French Loi Informatique et Libertés (the “LIL”), which transposes the ePrivacy Directive 2002/58/EC (“ePrivacy Directive”). The first sanction, against a Google LLC and Google Ireland Limited (together “ Google ”) was for a total amount of €100 million (€60m for Google LLC and €40m for Google Ireland Limited, or “GIL”). The other sanction was imposed on Amazon Europe Core (“ Amazon ”) for €35m.  Set out below is a summary of both decisions, with a specific focus on the arguments and reasoning relating to the CNIL’s competence to enforce the provisions of the LIL against Google and Amazon, which is the subject of substantial and interesting developments. The two decisions have a number of points in common, although some of the interesting nuances are noted in our summary.  1. Background In relation to Google, the CNIL conducted an online audit of google.fr on 16 March 20

Proposition de règlement sur les marchés numériques ou Digital Markets Act (« DMA ») et Proposition de règlement sur les services numériques ou Digital Services Act (« DSA ») : principales dispositions

La publication des propositions de règlements DMA et DSA intervenue le 15 décembre 2020 constitue une étape importante de l’ambitieuse réforme de l'espace numérique envisagée par la Commission européenne. Dans le cadre du processus législatif européen, ces propositions doivent maintenant être soumises à l’approbation du Parlement et du Conseil qui leur apporteront probablement des amendements. Le délai moyen pour l’adoption d'un règlement est de 18 mois mais peut être significativement allongé pour des textes très discutés ou controversés ce qui sera vraisemblablement le cas du DMA et du DSA, compte tenu de leur vaste champ d’application, de l’importance des acteurs concernés ainsi que des pouvoirs conséquents qu’ils prévoient de conférer à la Commission.  La présente note donne un aperçu de la structure et des principales obligations applicables aux " gatekeepers ", dans le cas de la DMA (Partie I) et aux fournisseurs de " intermediary services " en ligne,

CNIL’s decision against Google relating to the use of cookies: result of the appeal before the French Conseil d’Etat

On 4 March 2021, the French Conseil d’Etat rendered its decision in the Google vs CNIL case. As a reminder, on 7 December 2020, the CNIL imposed a sanction on Google LLC and Google Ireland Limited (together “ Google ”) for a total amount of 100 million euros for breach of Article 82 of the French Loi Informatique et Libertés (the “ LIL ”) relating to the use of cookies and other tracking technologies (Article 82 transposes Article 5.3 of the ePrivacy Directive). The CNIL found in particular that Google failed to obtain proper consent from data subjects, breached its information obligation and did not provide an efficient objection mechanism, in relation to the use of cookies. The CNIL also issued an injunction ordering Google to comply with article 82 of the LIL within three months, the CNIL being able to impose a €100 000 daily fine in case of non-compliance with such injunction. Google appealed the CNIL’s decision, by way of interim proceedings, in order to obtain the suspension