RGPD : comment Bruxelles et la CNIL précarisent le web

Christophe Laporte |

En voulant protéger les données personnelles des internautes, l'Union européenne et la CNIL remettent en cause le principal pan de l'économie du web. Si l'objectif est on ne peut plus louable, les moyens pour y arriver risquent de faire des victimes collatérales. Ces perdants du RGPD ne seront sûrement pas les multinationales publicitaires… On fait le tour de cette problématique qui affecte aussi directement MacGeneration.

L’Union européenne a toujours eu une passion pour les cookies. Cela a commencé en 2009 avec la directive 2009/136/CE incluse dans ce qui était appelé à l’époque le « Paquet Télécom ». Celle-ci visait à renforcer l’obligation d’information des internautes sur l'utilisation de leurs données personnelles (par le biais des cookies) et à réformer leur prise de consentement. Cette directive fut transposée dans le droit français en 2011, mais elle n’a eu des conséquences dans la vie des internautes qu’à partir de 2013, au moment où la CNIL a expliqué comment mettre ces nouvelles dispositions en application et a promis des contrôles réguliers.

Conséquence pour les internautes : l’apparition systématique d’un message informatif un rien lassant, qui aux yeux de certains polluaient autant l’espace que les bannières publicitaires. Mais c’était un premier pas vers une prise de conscience plus importante concernant les enjeux des données privées aussi bien de la part des internautes que des législateurs.

Les premiers bandeaux cookies

Avant d’aller plus loin dans ce rapide historique, je me permets d’insister sur le fait que c’est une excellente chose que les internautes puissent avoir le contrôle sur les données qu’ils diffusent volontairement ou non sur le réseau.

Dans l'enfer des cookies…

Mais le vrai big-bang a eu lieu avec le fameux règlement général sur la protection des données (RGPD) en 2018. Le RGPD poursuit au moins deux objectifs : le premier consiste à accroitre la protection des personnes concernées par un traitement de leurs données à caractère personnel. Le second, au moins aussi ambitieux que le premier, est de responsabiliser les acteurs de ce traitement. Hasard du calendrier, l'adoption de la loi adaptant le droit français au RGPD est intervenue quelques semaines après le scandale Cambridge Analytica.

Depuis sa mise en oeuvre, le RGPD a permis entre autres aux internautes de savoir précisément quelles données sont collectées par tel ou tel service, d’avoir accès à toutes les données personnelles que possèdent un service sur eux, ou encore de faire effacer rapidement leurs données.

Dans la vie de tous les jours, la mise en place du RGPD a eu une conséquence peut-être plus fâcheuse pour les internautes : l’apparition quasi constante d’une nouvelle fenêtre — bien plus grande que l'ancien bandeau dédié aux cookies — lors du chargement d’un nouveau site demandant en quelque sorte la politique à appliquer en matière de données personnelles. Cette fenêtre appelée CMP (pour Consent Management Platform ou en bon français Plateforme de gestion du consentement) est devenue le nouveau tue-l’amour du web.

Une CMP qu'on ne peut pas rater

Se voulant simples, elles sont en fait souvent complexes et accompagnées d’un verbiage aussi clair que n’importe quel contrat de licence utilisateur d’un produit informatique. Pire, elles sont bêtes. Vous refusez que l’on stocke la moindre chose sur vous et vous vous énervez que cette CMP s’affiche systématiquement ? C’est normal, on a le droit de ne rien savoir sur vous, donc le système tente sa chance à chaque fois, des fois que… Et puis, il y a aussi ce chevalier blanc de Safari qui, au nom de votre vie privée, se décide soudainement d’effacer quelques cookies, dont celui de la CMP, qui réapparaitra donc lors de votre prochain passage.

Pour en finir avec ce court historique, le 1er avril a marqué une nouvelle étape dans l’histoire du RGPD en France qui a mis le feu aux poudres, tout particulièrement pour les sites vivants de la publicité. Depuis le début du mois, il doit être aussi facile pour l'utilisateur de refuser les cookies que de les accepter. Cette obligation ne date pas d’hier à vrai dire, mais c’est à compter de cette date que la CNIL a annoncé son intention de s’attaquer au portefeuille des éditeurs récalcitrants.

Là où l’internaute avait souvent le choix dans la CMP entre donner son consentement ou le personnaliser, maintenant il peut — si le site est en conformité avec la loi — refuser en un clic tous les cookies, à l’exception de certains dispositifs sous conditions comme la mesure d’audience.

Les recommandations d'application du RGPD de la CNIL sont plus strictes que dans les autres pays européens à l'heure actuelle. Si vous naviguez sur des sites italien, allemand, espagnol, belge ou encore néerlandais, vous verrez qu'il n’y a pas (encore) de bouton « tout refuser » aussi en avant que le bouton « tout accepter ». Bien que plus strictes qu'ailleurs, les recommandations de la CNIL ne font que suivre la lettre et l'esprit du RGPD. Autrement dit, la France a pris de l'avance sur ses voisins.

L’application du RGPD quoi qu’il en coûte !

Que signifie concrètement le fait d’appuyer sur le bouton « Tout refuser » ? Dans l’état actuel des choses, l'industrie publicitaire ne sait pas travailler sans cookies. Il n’y a pas de véritable alternative à ce jour. Appuyez sur « Tout refuser », et vous aurez un site quasiment comme si vous aviez installé un bloqueur de publicité.

Cela revient de fait, pour le moment, à rendre inopérants les serveurs de publicité aussi bien pour des opérations de base, comme faire en sorte que vous ne voyiez pas en permanence la même pub (de manière à ce qu’elle soit le plus efficace possible, ce que l’on appelle le capping), que pour vous afficher des publicités de vélo parce que Google ou Facebook a bien compris que vous étiez intéressé par le sujet.

On peut très bien être contre la publicité — certains membres influents de l’équipe de développement de Safari ne s’en cachent pas —, mais il convient de réfléchir aux conséquences. En l'état, le nombre de refus augmente mécaniquement et de nombreux sites web vont connaitre une baisse importante de chiffre d’affaires.

Tim Cook a beau jeu de dire que la publicité numérique va continuer de prospérer. Les différents mécanismes mis en place pour bloquer le tracking dans Safari ont eu des conséquences importantes. Un utilisateur sous Chrome rapporte 60 % plus qu’un utilisateur sous Safari… Et dans le monde de la publicité mobile, le nouvel encadrement du suivi d’iOS 14.5 va faire encore baisser les rentrées publicitaires. Au passage, Apple fait quand même preuve d’un sacré cynisme. Alors que son nouveau système pénalise de nombreuses régies publicitaires, elle profite de l’occasion pour introduire un nouveau format d'annonces dans l’App Store. Nul doute que les régulateurs apprécieront cette étrange coïncidence.

Heureusement, les choses ne sont pas figées. Google a fait part de son intention de mettre fin à l’utilisation des cookies tiers dans son navigateur en 2022. Les technologies vont évoluer et il sera, j’imagine, possible à terme de proposer aux internautes des publicités à la fois pertinentes et plus respectueuses de la vie privée. Mais la France a mis le doigt dans un engrenage alors que personne n’est prêt… Pourquoi vouloir passer à la vitesse supérieure alors que l’on ne dispose pas d’autres outils technologiques qui permettent aux éditeurs de travailler et d’avoir des solutions compatibles RGPD tout en conservant un certain niveau de rentabilité ?

À qui profite vraiment la situation ?

C’est tout le problème de cette affaire… Cela pose des questions de fond qui ne sont sans doute pas assez mises en avant sur la place publique. L’Europe est en pointe en matière de protection des données. On l’a dit et on le répète, c’est une très bonne chose. Mais l’est-elle philosophiquement ou parce que le « crime » profite à des sociétés étrangères ? Serait-elle si agressive si Google et Facebook étaient des sociétés basées à Bruxelles, Munich ou Paris ?

La question en va de même d’ailleurs pour Apple. Pour Tim Cook, la question de la vie privée est quasiment inscrite dans les gènes d’Apple. Est-ce réellement le cas ? Ou est-ce une manière d’affaiblir des concurrents comme Facebook ou Google ? Rendre le web moins rentable ou plaisant n’est-il pas une façon pour Cupertino de renforcer son modèle applicatif et sa poule aux oeufs d’or qu’est l’App Store ? Faut-il oublier qu’Apple a essayé de se lancer sans succès sur le juteux marché publicitaire de la publicité mobile avant de se faire le chantre de la vie privée ?

iAd a été présenté par Steve Jobs en 2010. Image Apple / MacGeneration

Le rôle de Google est également questionnable. Comment se fait-il que le numéro 1 de la publicité sur internet traîne tant à s’adapter d’une manière ou d’une autre à la législation européenne ? Est-ce une volonté de pourrir la situation dans son bras de fer avec Bruxelles ? FloC, la solution en gestation de Google soi-disant plus respectueuse de la vie privée et qui fait polémique, n’est pas à l’heure actuelle compatible avec le RGPD.

Je lis souvent dans les commentaires des réactions du type « c’est bien fait pour ces publicitaires, ils l’ont bien cherché ». Mais d’expérience, il y a fort à parier que les entreprises qui parviennent à se tirer le mieux de ce mauvais pas, ce sont les Google et autres Facebook. Ce sont ces entreprises qui possèdent le plus de data sur les internautes, qui disposent des plateformes les plus puissantes (qui leur permettent de collecter ces data et de tracer les internautes sans cookies) et qui emploient à la fois les meilleurs développeurs et les meilleurs avocats.

Si l’ambition de la Commission européenne derrière ces décisions est de tenter d’affaiblir les GAFA, c’est sans doute un combat perdu d’avance… Quand Apple a commencé fin 2017 à s’attaquer de manière frontale aux traqueurs, quelle société a le plus pâti de ces changements ? Criteo, la société française spécialiste dans le domaine, ou Alphabet (Google), le champion de la publicité en ligne ? Une simple étude des cours de bourse permet d'avoir la réponse.

La courbe qui monte représente la progression de l'action Google ces cinq dernières années. En consultant celle en dessous de Criteo, on peut dater précisément le début des ennuis pour la société française.

L’encadrement du pistage dans iOS 14.5 pourrait aboutir au même résultat. Parti en guerre contre ce dispositif, Mark Zuckerberg a fait plus ou moins volte-face. Non, il n’a pas changé d’avis sur le fond de l’affaire, mais il pense finalement que la mise en place de ce mécanisme pourrait finalement rendre service à son groupe.

À la fin, ce sont les éditeurs de sites qui vont pâtir de tout cela et par extension ce sont aussi les internautes qui vont payer les pots cassés : ils ne seront sans doute pas ravis de voir le web se transformer chaque jour un peu plus en super péage. La transformation a déjà commencé : de plus en plus de médias comptent partiellement ou exclusivement sur les abonnements alors que le marché publicitaire devient toujours plus un terrain miné. Après le ras-le-bol de la pub, c'est le ras-le-bol des abonnements qui guette les internautes, et ça, un bloqueur de pub ne peut rien y faire.

À l'heure où nous écrivons ces lignes, Google est clairement hors-la-loi, car il ne permet pas de refuser simplement la collecte de données !

Comment rétablir la confiance entre les internautes et les sites ?

Pendant des années, les internautes étaient dépendants des sites — en fait surtout des régies publicitaires — en matière de traitement des données personnelles. Ils n’avaient pas conscience de l’importance de leurs données et aucun outil pour les gérer.

On est arrivé à une situation diamétralement opposée. Même les outils de base pour permettre le bon fonctionnement de la publicité en ligne ne marchent pas dans le cadre du RGPD. La mise en place de ces nouveaux mécanismes est synonyme de perte de revenus pour les éditeurs, sans parler du coût d'installation et de maintenance qui n’est pas négligeable. Et si le RGPD a permis aux internautes de prendre conscience de l’importance de ces données, il a également instauré chez certains un sentiment de paranoïa, que les interfaces boiteuses des CMP n’ont fait que renforcer.

Alors que faire pour à la fois concilier une meilleure protection des données personnelles avec une publicité de qualité qui soit rentable pour les médias qui la diffusent ? Il y a deux idées que l’on aimerait mettre en avant.

- Pour une CMP unique et centralisée dans le navigateur

La mise en place de certains dispositifs liés au RGPD a couté à une petite société comme MacGeneration plusieurs dizaines de milliers d’euros, si l’on prend en compte le temps passé à :

  • appréhender le RGPD, comprendre les enjeux, se former, demander des conseils …
  • adapter nos applicatifs à la législation, s’assurer que les mécanismes mis en place fonctionnent comme ils doivent, tester les différentes CMP (dont beaucoup ont la particularité de mal fonctionner avec Safari), mettre en place de nouvelles procédures…

Au fil des mois, le RGPD est devenu en interne un sujet récurrent et surtout chronophage. Et des dizaines de milliers d’entreprises auraient sans doute gagné du temps et de l’argent si ce sujet avait été traité de manière plus centralisée.

Alors que Firefox et Safari consacrent une part importante de leurs préférences et réglages à la vie privée, pourquoi n’intègrent-ils pas une interface où chaque internaute pourrait gérer ses préférences en matière de vie privée une fois pour toutes ? Le tout dans une interface simple, claire et pédagogique ?

On pourrait très bien imaginer les réglages RGPD dans Confidentialité par exemple !

Lorsque l’utilisateur se connecterait à un site, il expliciterait ainsi clairement les informations qu’il est prêt ou non à divulguer au site. C’est moins de travail pour les éditeurs, et pour les internautes c’est la fin du clic clic à chaque fois qu’ils se rendent sur un nouveau site. Voilà ce qu’aurait dû faire Apple si elle avait voulu montrer qu’elle peut apporter des solutions dans ce domaine. Et sinon voilà ce que Bruxelles aurait dû imposer aux éditeurs de navigateurs web.

- Redonner à l’internaute le contrôle et l’usage de ses données

Depuis le début de cet article, nous n’avons de cesse d’expliquer que nos données ont une valeur. Jusqu’à présent, les Big Tech trouvaient un moyen de capturer vos données et de les exploiter en vous donnant accès à un service. Mais le deal tacite n’est pas juste. Ces plates-formes tirent de vos données une valeur bien plus importante que le service fourni.

Dès lors, pourquoi ne pas mettre un prix derrière celles-ci ? C’est l’idée soutenue depuis plusieurs années déjà par le think tank Generation Libre. Facebook est intéressé par vos données personnelles, alors vous décidez de « confier » les données dont vous autorisez l'exploitation et outre l’accès à ce service, Facebook vous paie. À l’inverse, vous ne voulez confier aucune donnée, c’est possible, mais dans ce cas, vous payez pour utiliser ce service…

Pour Génération Libre, la mise en place d’un tel mécanisme permettrait également de résoudre en partie le problème de la taxation des GAFA à l’échelle européenne. La vente des données serait assujettie à la TVA…

Des médias prêts à tout pour garder leurs cookies

Mais revenons maintenant à des choses plus terre à terre. Depuis le 1er avril, beaucoup de sites se sont mis en conformité avec les demandes de la CNIL. Certains ont expérimenté des approches « originales ». Sur ZDNet, pendant quelques jours, si vous cliquiez sur le bouton « Tout refuser », le site n’affichait plus les articles en entier et vous demandait de vous inscrire.

Plusieurs sites du groupe Webedia adoptent encore aujourd'hui une stratégie assez cavalière. Allociné vous demande de choisir entre une formule gratuite avec cookies et une formule sans cookies à 2 € par mois (avec de la publicité non ciblée !). Un message que l’internaute non averti aura bien du mal à appréhender. Même topo sur jeuxvideo.com.

Envie de cuisiner autre chose que des cookies ? Marmiton vous invitera aussi à vous abonner un mois pour trouver la recette de vos rêves. Pour beaucoup, c’est la goutte qui fait déborder le vase. Dans un secteur où les marges sont faibles et où les bloqueurs de publicité ont déjà fait pas mal de dégâts, cela met inévitablement des sites en position délicate.

Quel impact pour MacGeneration ?

À notre petit niveau, nous avons également pu mesurer les répercussions de ce changement. En fonction des sites, le taux de consentement a chuté en moyenne de 15 à 20 %. Dit autrement, le chiffre d’affaires généré par Google sur nos sites connait une baisse à deux chiffres à peu près du même ordre. On ne vous cache pas que c’est un rien démoralisant. Mais le web est fait de défis, et nous ferons tout pour les relever.

Chaque jour, on se rend compte de la bonne idée que nous avons eu de lancer notre abonnement le Club iGen. Elle permet de régler toutes ces affaires de vie privée (notre site ClubiGen.fr est dépourvu de publicité et de traqueurs) et de nous centrer sur ce qui compte le plus, à savoir proposer le meilleur contenu possible. Jusqu’à présent, cela nous a plutôt réussi puisque vous êtes plus de 6 700 à nous suivre et nous vous en remercions… Alors si vous aimez notre travail et que vous n’avez pas rejoint encore le Club, c’est le moment !

Malgré tout, nous restons dépendants de la publicité. Et surtout, nous avons toujours envie de proposer « gratuitement » une partie de notre contenu. Mais est-ce qu'à terme cette réglementation ne va pas contrecarrer cette envie ? Est-ce qu’inconsciemment on va faire bouger le curseur entre contenu gratuit et contenu payant ? On n’en sait rien à vrai dire… Mais si la monétisation d’un article baisse fortement, il nous faudra avoir une profonde réflexion sur notre offre.

Si nous avons décidé de publier ce billet, c’est parce que quelque part on a l’impression de vivre une énorme injustice. D’autre part, parce que c’est un sujet relativement tabou dans les médias. Encore une fois, il est plus aisé de taper sur les Big Tech que d’expliquer une situation où les tenants et les aboutissants sont nombreux. Bref, si on l’a fait, c’est aussi pour que vous soyez tous au courant du contexte global et que vous agissiez en connaissance de cause lorsque vous croisez une CMP, que ce soit sur l’un de nos sites ou ailleurs sur le web.

Parce que beaucoup nous le demandent, nous publierons prochainement un article expliquant les différents changements que nous avons effectués ces derniers mois en matière de RGPD. Le web, tel que nous l’avons connu, avec ses qualités et ses défauts, est en danger. Le tout gratuit est peut-être en train de disparaitre, pour le meilleur et pour le pire…

avatar Brice21 | 

@Dust

"Je lis un article de temps en temps sur des dizaines de sites différents, je ne peux pas m'abonner à tous."

Un système en vigueur en Belgique (Trends, L’Echo, … mais aussi Medium) permet de lire 3 articles par mois gratuitement puis exige un abonnement pour lire le quatrième. Si tu refuses tu ne peux lire que le début de l’article.
Cela conviendrait aux gens dans ton cas.

avatar thomas.n | 

B R A V O pour cet article !!!
Pédagogique, instructif et inspirant 👍🏻

Pages

CONNEXION UTILISATEUR