Je me pose sérieusement la question de l’impact à moyen terme du RGPD en voyant son application par les sites web commerciaux.
Que dit le RGPD ?
Je vous cite ici le RGPD pour que vous compreniez précisément de quoi il s’agit.
Il est indiqué dès ses premiers paragraphes (32) que :
Le consentement devrait être donné par un acte positif clair par lequel la personne concernée manifeste de façon libre, spécifique, éclairée et univoque son accord au traitement des données à caractère personnel la concernant, par exemple au moyen d’une déclaration écrite, y compris par voie électronique, ou d’une déclaration orale. Cela pourrait se faire notamment en cochant une case lors de la consultation d’un site internet, en optant pour certains paramètres techniques pour des services de la société de l’information ou au moyen d’une autre déclaration ou d’un autre comportement indiquant clairement dans ce contexte que la personne concernée accepte le traitement proposé de ses données à caractère personnel. Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité.
Et ceci est repris dans la définitions de « consentement » (article 4.11) :
«consentement» de la personne concernée, toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement;
Et le traitement des données n’est licite que si (article 6.1) :
la personne concernée a consenti au traitement de ses données à caractère personnel pour une ou plusieurs finalités spécifiques;
Voyons donc maintenant son application en pratique par les professionnels du secteur :
1ère posture : mon métier c’est de vendre du temps de cerveau disponible
La première posture consiste à dire que la collecte et revente de vos données fait partie du contrat et constitue un motif légitime. On s’épargne ainsi tout besoin du recueil du consentement.
En effet, certains services ont comme principal objectif entrepreneurial la collection des données de leur utilisateurs. Le contenu du média n’étant que le miel pour attirer la mouche. L’avantage de cette posture est qu’on lie collecte et utilisation du service.
C’est par exemple l’argument retenu par LeMonde.fr !
Le site se passe de consentement de l’utilisateur pour récolter, traiter et partager vos données personnelles :
Son argumentaire est détaillé dans sa politique de confidentialité :
Si j’enlève la pommade, ça dit que LeMonde invoque comme intérêt légitime un ensemble de raisons commerciales ou d’affaires qui justifie l’utilisation de vos données par la Société éditrice du Monde.
Pour la Société éditrice du Monde, cet intérêt légitime est principalement, dans un contexte de mutation de l’offre médiatique en France et dans le monde, de pérenniser le niveau de revenus commerciaux nécessaires pour […] pour maintenir la gratuité de certains contenus sur ses sites.
Si la CNIL consent à ça, il y a peu de risque de voir des changements dans le business de revente de données à caractère personnel.
2ème posture : Si tu ne veux pas que ce soit pénible, dit oui
La deuxième posture consiste à recueillir le consentement avant le début de la collecte des données, mais en ayant d’abord pris soin que ce soit plus pénible de le refuser que d’accepter
Un exemple de ce comportement est le site LesNumériques, le guide d’achat appartenant à 100% à TF1.
Je vous invite à visiter leur site web (sans cookies et sans aucun bloqueur de script).
Le site bloque l’accès au contenu tant que vous n’avez pas traité la question des données :
Vous avez le choix entre un bouton « J’accepte » (1 clic) et refuser le traitement des données en décochant une dizaine de cases pré-cochées (12 clics et du scroll) :
C’est manifestement de l’opt-out visant à rendre la tache si contraignante que vous acceptez tout. Et cela inclut le partage à 322 sociétés tierces (voir fin de cet article pour la liste)
Sur smartphone, c’est encore plus flagrant puisque seule l’option « J’accepte » est visible. L’option « Paramétrer les cookies » étant sous la zone de visibilité dans la tradition du dark pattern :
Je n’ai aucun doute que TF1 ait une équipe juridique qui ait étudié la mise en place du RGPD. Donc, si je comprends bien l’astuce : le gros bouton vert du premier popup c’est pour recueillir le consentement par un acte positif clair (cliquer sur le gros bouton). En cas de non consentement, on peut faire en sorte que ça fasse perdre 10min de son temps à l’utilisateur…
Sachant que l’accès au contenu du site est contraint à cette formalité pénible, le consentement est-il toujours considéré comme « libre » ?
Le pire est-il encore à venir ?
Chez Proximus, le FAI belge, on explote carrément le filon du temps perdu: Un popup fait attendre l’utilisateur plusieurs minutes si celui ci refuse de cliquer sur le gros bouton qui valide le tracking !
Que dit la CNIL ? Rien pour l’instant
Est ce que ces pratiques sont légales, et le RGPD a alors de gros trous dans sa raquette, ou pas ?
A mon sens ces pratiques ne respectent pas vraiment l’esprit de la loi et il faudrait rapidement un avis juridique de la CNIL. Donc pour l’instant, c’est open bar.
Vu comme j’étais parti, je suis aussi allé voir l’implémentation de la CNIL :
Accepter c’est aussi un clic qui cache la forêt… mais on peut visiter le site web sans rien accepter ni perdre de temps.
Interface pas claire : par défaut, ni « interdit » ni « autorisé » ne sont cochés… mais je suppose que c’est interdit par défaut, faute de consentement.
Addendum
Pour votre information, j’ai compilé ici la longue liste des 322 sociétés tierces avec lesquelles les données personnelles de LesNumériques sont échangées pour un simple clic sur un bouton vert. Peut on encore parler de consentement éclairé ?
1000mercis
1020, Inc. dba Placecast and Ericsson Emodo
1plusX AG
2KDirect, Inc. (dba iPromote)
33Across
7Hops.com Inc. (ZergNet)
A Million Ads Limited
A.Mob
Accorp Sp. z o.o.
Active Agent AG
Acuityads Inc.
ad6media
ADARA MEDIA UNLIMITED
AdClear GmbH
AddApptr GmbH
Adello Group AG
Adelphic LLC
Adform A/S
Adikteev
ADITION technologies AG
Adkernel LLC
Adloox SA
ADMAN – Phaistos Networks, S.A.
ADman Interactive SL
AdMaxim Inc.
Admedo Ltd
admetrics GmbH
Admotion SRL
Adobe Advertising Cloud
AdRoll Inc
adrule GmbH
AdSpirit GmbH
adsquare GmbH
Adssets AB
AdTheorent, Inc
AdTiming Technology Company Limited
ADUX
advanced store GmbH
ADventori SAS
Adverline
ADYOULIKE SA
Aerserv LLC
Affectv Ltd
affilinet
Amobee, Inc.
AntVoice
Apester Ltd
AppNexus Inc.
ARMIS SAS
Audience Trading Platform Ltd.
Audiens S.r.l.
Avid Media Ltd
Avocet Systems Limited
Bannerflow AB
Beemray Oy
BeeswaxIO Corporation
Bidmanagement GmbH
BIDSWITCH GmbH
Bidtellect, Inc
BidTheatre AB
Bigabid Media Ltd
Blis Media Limited
Bombora Inc.
Bounce Exchange, Inc
Brand Metrics Sweden AB
Browsi Mobile Ltd
Bucksense Inc
Captify Technologies Limited
Celtra, Inc.
Centro, Inc.
Clipcentric, Inc.
Codewise Sp. z o.o. Sp. k
Collective Europe Ltd.
Collective, Inc. dba Visto
Comcast International France SAS
communicationAds GmbH & Co. KG
comScore, Inc.
Confiant Inc.
Connatix Native Exchange Inc.
ConnectAd Realtime GmbH
Converge-Digital
Conversant Europe Ltd.
Crimtan Holdings Limited
Criteo SA
Dataxu, Inc.
Delta Projects AB
Digilant Spain, SLU
Digital Control GmbH & Co. KG
digitalAudience
DIGITEKA Technologies
Digitize New Media Ltd
DigiTrust / IAB Tech Lab
district m inc.
DoubleVerify Inc.
Duplo Media AS
EASYmedia GmbH
Effiliation
Emerse Sverige AB
emetriq GmbH
EMX Digital LLC
Etarget SE
Eulerian Technologies
Exactag GmbH
Exponential Interactive, Inc
Eyeota Ptd Ltd
Ezoic Inc.
Fifty Technology Limited
Flashtalking, Inc.
FORTVISION
Free Stream Media Corp. dba Samba TV
Fyber
Gamned
Gemius SA
Genius Sports Media Limited
Getintent USA, inc.
Golden Bees
Goodway Group, Inc.
Greenhouse Group BV (with its trademark LemonPI)
GumGum, Inc.
Hottraffic BV (DMA Institute)
Hybrid Adtech GmbH
ID5 Technology SAS
IgnitionOne
Impression Desk Technologies Limited
Improve Digital International BV
Index Exchange, Inc.
InMobi Pte Ltd
Inskin Media LTD
Instinctive, Inc.
Integral Ad Science, Inc.
Intent Media, Inc.
Intowow Innovation Ltd.
iotec global Ltd.
IPONWEB GmbH
Jaduda GmbH
Jivox Corp
Justpremium BV
Keymantics
Knorex Pte Ltd
Leadplace – Temelio
LeftsnRight, Inc. dba LIQWID
LifeStreet Corporation
Ligatus GmbH
Linicom
LiquidM Technology GmbH
Liveintent Inc.
LiveRamp, Inc.
LKQD, a division of Nexstar Digital, LLC.
Location Sciences AI Ltd
LoopMe Ltd
Lotame Solutions, Inc.
M32 Media Inc
Madison Logic, Inc.
MADVERTISE MEDIA
mainADV Srl
Marfeel Slutions S.L
Matomy Media Ltd.
Maytrics GmbH
McCann Discipline LTD
Media.net Advertising FZ-LLC
MediaMath, Inc.
mediarithmics SAS
Mediasmart Mobile S.L.
Meetrics GmbH
MGID Inc.
Mindlytix SAS
MiQ
Mirando GmbH & Co KG
mobalo GmbH
Mobile Professionals BV
Mobusi Mobile Advertising S.L.
mPlatform
My6sense Inc.
N Technologies Inc.
Nano Interactive GmbH
Nativo, Inc.
NEORY GmbH
Netsprint SA
NetSuccess, s.r.o.
NEURAL.ONE
Nielsen Marketing Cloud
Oath (EMEA) Limited
Ogury Ltd.
On Device Research Limited
One Person Health, Inc. (DBA Adacado)
OneTag Ltd
Onlysix Limited
Onnetwork Sp. z o.o.
OpenX Software Ltd. and its affiliates
Optomaton UG
Oracle
Orion Semantics
ORTEC B.V.
Outbrain UK Ltd
Parsec Media Inc.
Perform Media Services Ltd
Permodo GmbH
Permutive, Inc.
Pixalate, Inc.
PIXIMEDIA SAS
Platform161
plista GmbH
Pocketmath Pte Ltd
Polar Mobile Group Inc.
PowerLinks Media Limited
Publicis Media GmbH
PubMatic, Inc.
PulsePoint, Inc.
Purch Group, Inc.
Qriously
Quantcast International Limited
Qwertize
R-TARGET
Rakuten Marketing LLC
Readpeak Oy
realzeit GmbH
remerge GmbH
Research Now Group, Inc
Revcontent, LLC
Reveal Mobile, Inc
Rezonence Limited
RhythmOne, LLC
Rich Audience
Rockabox Media Ltd
Rockerbox, Inc
RockYou, Inc.
Roq.ad GmbH
RTB House S.A.
RTK.IO, Inc
S4M
Samba TV UK Limited
Sanoma Media Finland
Scene Stealer Limited
Schibsted Classified Media Spain, S.L.
Seeding Alliance GmbH
Seedtag Advertising S.L
Seenergy Netherlands B.V.
Seenthis AB
Sellpoints Inc.
Semasio GmbH
ShareThis, Inc.
Sharethrough, Inc
ShowHeroes GmbH
Sift Media, Inc
Signal Digital Inc.
Simplifi Holdings Inc.
Sirdata
Sizmek Technologies, Inc.
SK Media Group, LLC
Skimbit Ltd
SlimCut Media SAS
Smaato, Inc.
Smadex SL
Smart Adserver
smartclip Holding AG
Smartology Limited
SMARTSTREAM.TV GmbH
Snapsort Inc., operating as Sortable
Sojern, Inc.
Somo Audience Corp
Sonobi, Inc
Sovrn Holdings Inc
Spolecznosci Sp. z o.o. Sp. k.
Spot.IM Ltd.
Spotad
SpotX
StackAdapt
Steel House, Inc.
Ströer SSP GmbH
Sublime Skinz
Switch Concepts Limited
SYNC
TabMo SAS
Taboola Europe Limited
Tapad, Inc.
Tapjoy, Inc.
Teads
Teemo SA
Telaria, Inc
Teroa S.A.
The ADEX GmbH
The Kantar Group Limited
The Reach Group GmbH
The Rubicon Project, Limited
The Trade Desk, Inc and affiliated companies
Thirdpresence Oy
TimeOne
Tradelab, SAS
TreSensa, Inc.
Triapodi Ltd.
TripleLift, Inc.
Triton Digital Canada Inc.
twiago GmbH
Underdog Media LLC
Unruly Group Ltd
usemax advertisement (Emego GmbH)
Vdopia DBA Chocolate Platform
VECTAURY
Venatus Media Limited
Vibrant Media Limited
video intelligence AG
Video Media Groep B.V.
Videology Ltd.
Vidoomy Media SL
Viralize SRL
Visarity Technologies GmbH
Vuble
Webedia
WEBORAMA
Welect GmbH
Whenever Media Ltd
Widespace AB
Wizaly
xAd, Inc. dba GroundTruth
Yieldlab AG
Yieldlove GmbH
Yieldmo, Inc.
YOC AG
Yormedia Solutions Ltd
Zebestof
Zemanta, Inc.
zeotap GmbH
Ping Le RGPD sera-t-il efficace pour changer le comportement des entreprises sur le web ? – SVNET Libre
Le pire que j’ai vu en France pour l’instant c’est TNTSat. Obligé de renouveler une carte tous les 4 ans pour le satellite, pour la livraison ils recueillent:
Civilité
Nom
Prénom
Code postal*
Ville*
N° et voie*
Téléphone*
E-mail*
Quel type de décodeur TV possédez-vous ? *
Etes-vous abonné à une offre TV Payante ? *
Et juste en dessous on peut lire
»
En cliquant sur « Continuer », vous acceptez que les informations recueillies soient traitées par TNTSAT et Groupe CANAL+ à des fins de gestion, de statistiques, de prospection commerciale et afin de vous proposer des services adaptés à vos besoins.[…]Conformément au droit applicable, vous disposez des droits d’accès, rectification, opposition, effacement, limitation et portabilité, que vous pouvez exercer en envoyant un mail à dpo@canal-plus.com ou un courrier à l’adresse suivante : DPO de GROUPE CANAL+ – TSA 16723 – 95905 CERGY-PONTOISE CEDEX 9, en joignant un justificatif d’identité.
»
Donc c’est du all inclusive pas moyen de refuser le démarchage dès le départ (Pas très RGPD), et la meilleure, faut joindre un justificatif d’identité pour en sortir, il me semble que la CNIL avait précisé que cette pratique était interdite…
https://secure.lesoffrescanal.fr/tntsat/renewal
https://secure.lesoffrescanal.fr/tntsat/renewal/address/
Le problème c’est que ces sites vivent des publicités. Les gens ne veulent pas payer. Donc si ils ne peuvent plus afficher la publicité, c’est la mort des sites gratuits. C’est déjà le cas avec les sites informations, ils deviennent tous payant alors qu’il y a quelques années c’était gratuit. Le problème c’est que le tout payant entraine une exclusion de ceux qui ne peuvent pas payer et surtout on assiste à une réduction du nombre de sites: seul les plus gros et qui oblige à faire payer survive. Perso, je ne vais pas sortir ma CB a chaque site visité, ce n’est pas gérable.