Publicité ciblée et utilisation des données personnelles avec Farid Bouguettaya, Associé, Kalder.
Category
🗞
NewsTranscription
00:00On poursuit cette émission, on va parler publicité ciblée et utilisation des données personnelles
00:16avec mon invité Farid Boukettaïa, associé fondateur du cabinet Calder. Farid Boukettaïa,
00:22bonjour. Bonjour. Alors on va revenir ensemble sur une décision méta contre Schrempf avec
00:30pour objectif, en tout cas qui rappelle le principe de minimisation des données. On va voir ensemble
00:36de quoi s'agit, de quoi retourne ce principe. Mais avant toute chose, pouvez-vous revenir sur
00:42les principes généraux de cet arrêt ? Bien sûr. Alors c'est un arrêt qui oppose Maximilien
00:48Schrempf qui est bien connu aujourd'hui, qui intervient très fréquemment sur des questions
00:53d'activistes. Exactement, de données à caractère personnel, à Meta qui exploite notamment le site
01:00Facebook. Et cette fois-ci, Maximilien Schrempf a agi car il considérait que Meta collectait
01:09massivement des données à caractère personnel, dont des données sensibles, et qu'elles servaient
01:15pour de la publicité ciblée. Et donc il a souhaité agir en contestant les traitements qui étaient
01:24mis en oeuvre par Facebook, en considérant que son consentement n'avait pas été donné. Mais qu'en
01:29plus, Facebook utilisait un certain nombre de données qui étaient issues de cookies, de social
01:36plugins, d'un certain nombre d'éléments collectés lors de la navigation des utilisateurs. Ce qui
01:43posait de véritables problèmes pour les droits et libertés des personnes, et donc en matière de
01:48données à caractère personnel. Alors dans cet arrêt du 4 octobre dernier, la CGE rappelle le principe
01:55de minimisation des données en matière de publicité ciblée. De quoi s'agit-il ? C'est un
02:01principe en effet qui est important et que l'on retrouve dans le RGPD. C'est un principe selon
02:07lequel lorsqu'un organisme collecte et traite des données, il doit s'en tenir strictement à ce qui
02:14est nécessaire, pertinent et adéquat au regard des finalités du traitement. Pour faire simple,
02:21je vais vous donner un exemple. Lorsqu'un directeur des ressources humaines collecte et traite des
02:26données pour la gestion de la paie en interne, ce qui est nécessaire c'est le nom, le prénom, la
02:32fonction de la personne, éventuellement le poste, l'expérience, la formation, et bien sûr tout ce
02:41qui concerne les informations administratives obligatoires. En revanche, si les données
02:46relatives au loisir, au nom des enfants, au lieu de vacances étaient collectées, on serait au-delà
02:53du principe de minimisation. Et donc il faut strictement s'en tenir à ce qui est nécessaire.
02:58Là c'est justement ce que reproche la Cour, c'est que Meta a pris l'ensemble des données et n'a pas
03:03choisi de prendre justement les données nécessaires pour la publicité ciblée, c'est ça ?
03:09Alors la vraie question effectivement c'est que Meta, les réseaux sociaux même en général,
03:15la question derrière est aussi celle des réseaux sociaux, collecte un nombre de données qui est
03:20considérable, qui est massif, et en plus dans le cas de cette affaire Shrems, les données collectées
03:28étaient à la fois des données, on va dire classiques, et des données sensibles, donc des
03:33données qui méritent une protection renforcée, qui peuvent révéler des opinions politiques,
03:38une orientation sexuelle, c'était le cas en l'occurrence, et ce qui est reproché c'est de ne
03:43pas faire de distinction, de les traiter largement, de les conserver et de les traiter sur une longue
03:49durée, et donc ensuite de pouvoir mettre les personnes dans une situation peut-être de
03:54sentiments de surveillance renforcée et beaucoup trop impactante pour leur droit au respect de la
04:00vie privée. Alors l'autre point que vous avez soulevé, c'est l'utilisation des données
04:05sensibles, en l'espèce c'était l'orientation sexuelle du requérant qui avait été
04:10utilisé par Meta, quels sont les enseignements de cet arrêt par rapport aux données sensibles ?
04:16L'enseignement de cet arrêt sur les données sensibles, on le sait, ces données bénéficient
04:21d'une protection renforcée, mais ici Meta a argué du fait que le requérant avait déjà
04:28révélé publiquement son orientation sexuelle, d'ailleurs c'est pas le seul sujet lorsqu'on va
04:33vraiment dans la décision, puisqu'il y avait aussi de la consultation d'informations politiques sur
04:40une femme politique autrichienne par exemple, et des informations auxquelles le requérant était
04:44confronté sur Facebook concernant ses goûts potentiellement politiques, avérés ou non, en tout
04:53cas il a été confronté à ces informations-là. Et Meta considérait que comme c'était public,
04:57il pouvait utiliser ces données, c'est ça ? Alors Meta a considéré deux choses, à la fois que la
05:02collecte et le traitement des données à caractère personnel élargi et même sensible pouvaient
05:08entrer dans l'exécution du contrat qu'il a lié aux personnes, et par ailleurs que lorsqu'une
05:15donnée avait été déjà rendue publique, ce qui peut être une exception dans le RGPD, elle s'est
05:21permise d'aller au-delà des données rendues manifestement publiques et d'aller rechercher
05:27et utiliser, traiter des données qui étaient liées à cette information rendue publique. D'accord,
05:33que dit la CGE sur ce point explicitement pour bien comprendre l'enseignement de l'arrêt sur
05:39cette question ? Alors la CGE mène un raisonnement qui conduit à considérer que sur la question de
05:46la collecte massive de données sur le parcours utilisateur d'une personne, il faut appliquer le
05:53principe de minimisation que prévoit l'article 5 du RGPD, qu'il n'est pas possible de collecter
05:58trop largement des données et qu'en particulier sur les données sensibles, ce n'est pas parce
06:04qu'une personne a rendu publique une information qu'un opérateur peut aller collecter et traiter
06:10des données qui vont au-delà et les utiliser à des fins de publicité. Donc on conclut qu'en
06:14matière de publicité ciblée, les données sensibles qui sont déjà fortement protégées
06:19vont être une véritable problématique en matière de données à caractère personnel et en faveur de
06:25la protection des personnes. Alors allons au-delà de cette affaire, quels sont les enjeux de la
06:30minimisation des données ? Alors au-delà de cette affaire, mais peut-être que la première réaction
06:36sera en lien avec cette affaire, on a aujourd'hui un débat sur le consent or pay, qui permet soit de
06:42consentir à ce que des données soient collectées à des fins de publicité, soit de payer pour ne pas
06:49avoir affaire à cette publicité. Cet arrêt, à mon sens, va avoir un impact sur ce modèle qui
06:55commence à être mis en place depuis une année, on va dire, par certains sites de réseaux sociaux et
07:01va conduire à réfléchir à certaines alternatives telles que par exemple la publicité contextuelle,
07:06même si elle aussi connaît quelques détracteurs. Pour vous ce sera une tendance de fond ? Ça risque
07:11d'être une tendance de fond et surtout ce principe de minimisation pour aller au-delà est vraiment un
07:17principe qui est très important et auquel les autorités de protection des données s'intéressent
07:23largement et qui peut avoir aussi d'autres intérêts, notamment en matière de sécurité
07:30informatique. D'accord, et sur la sécurité informatique, vous voulez dire quoi par là ? Alors
07:37tout ce qui est minimisation des données, vous l'avez compris, conduit à collecter moins de
07:41données parce qu'on se limite à ce qui est nécessaire, pertinent et adéquat. Donc à une
07:46époque où le nombre d'attaques informatiques augmente, les violations de données sont
07:51fréquentes, les divulgations de données qui peuvent conduire à de l'escroquerie, des tentatives de
07:58chantage, la minimisation des données ne va pas éviter ces attaques et ces violations mais va
08:04très certainement réduire l'impact lorsque ces attaques vont arriver. C'est tant mieux pour les
08:09entreprises si on applique ce principe, il y aura moins de, je dirais, de retentissement sur les
08:16actes de piratage. En tout cas, on pourra davantage contrôler, monitorer l'impact et vous
08:21avez raison, ce sera mieux pour les entreprises et évidemment pour les personnes. Pour finir,
08:26est-ce que l'ensemble des plateformes est concerné par cette décision ? J'entends par plateforme
08:31tous les types de réseaux sociaux qui ressemblent à Meta ? C'est une bonne question. Effectivement,
08:35tous les types de réseaux sociaux qui ressemblent à Meta ou autres sont concernés. En réalité,
08:40tous les organismes qui ont pour objet de collecter massivement des données en utilisant des cookies,
08:47et pour en faire de la publicité ciblée ensuite, sont concernés. Et sur le principe de minimisation,
08:52on a quand même quelques actualités. Vous le savez, l'intelligence artificielle,
08:57c'est le sujet du moment. L'intelligence artificielle et en particulier les outils
09:01d'IA générative ont pour objet de se reposer sur des bases de données très larges dans lesquelles
09:09il y a des données massives. Et la CNIL a déjà eu à se prononcer sur le sujet. Le CEPD,
09:16qui est le Comité européen à la protection des données, a mis en place une task force sur
09:20ChatGPT qui a déjà rendu des conclusions intermédiaires et qui rappelle que les données
09:27doivent faire l'objet d'une minimisation, les données à caractère personnel, pour protéger
09:32les personnes concernées. On va conclure là-dessus. Merci d'être venu sur notre plateau. Je vous
09:37remercie. Merci à toutes et à tous pour votre fidélité. Restez curieux et informés. À très
09:43bientôt sur BeSmart for Change.