Gravity, Skyline : les groupes de presse s’alignent sur les géants du Web pour exploiter la vie privée de leur lectorat

Posted on


Paris, le 7 juillet 2017 — Des groupes industriels de presse ou détenant des titres de presse ont annoncé le lancement d’un nouveau projet conjoint baptisé « Alliance Gravity »1Cette alliance regroupe notamment : Groupes Centre France La Montagne, Condé Nast, FNAC Darty, L’Équipe, La Dépêche, La Nouvelle République, Lagardère Active, Le Télégramme, Les Echos-Le Parisien, Marie-Claire, M6, NextRadio TV, Perdriel, Prisma Media, SFR, SoLocal et Sud-Ouest etc.. Deux jours après, Le Monde et Le Figaro annoncent leur propre alliance, nommée « Skyline ». Sous couvert de lutter contre Google dans le partage des revenus publicitaires liés à la presse, ils comptent créer des plateformes communes pour centraliser les données personnelles de leurs lecteurs, afin de mutualiser l’achat d’espaces publicitaires. Cette annonce fait suite à des tribunes communes contre le règlement européen ePrivacy en cours de négociation (protection des communications en ligne), au lobbying pour instaurer un droit voisin pour les éditeurs de presse dans la directive européenne de réforme du droit d’auteur, et plus généralement à des années d’action pour aller toujours plus loin dans l’exploitation des données à des fins publicitaires, et l’extension du droit d’auteur.


Ces futures plateformes concentrent tous les échecs d’une industrie de la presse française incapable de respecter ses lecteurs. Au-delà, ces annonces montrent une industrie qui refuse de saisir l’occasion de la récente refonte de la législation européenne de protection des données pour créer, sur la base de celle-ci, des modèles de financement innovants, respectueux des lecteurs et des journalistes, en sortant du couple néfaste « exploitation des données / publicité ».

Ce n’est pas parce qu’un projet est français et se présente comme une réponse à la captation de données et de valeur opérée par Google et d’autres géants numériques états-uniens qu’il est acceptable. Contrer un mauvais modèle par un mauvais modèle ne rend pas ce dernier vertueux, et l’Alliance Gravity comme Skyline portent en elles à la fois des dangers pour la vie privée et la sécurité des données personnelles des Français (comme tout silo centralisateur de données personnelles), et une inquiétante absence de vision d’avenir.

La Quadrature du Net invite les journalistes de ces groupes de presse à refuser que leur travail soit associé à la marchandisation de la vie privée de leurs lecteurs. Nous appelons également les lecteurs à boycotter les titres de presse utilisant cette surcouche d’exploitation des données, qui viendra s’ajouter à une publicité omniprésente et à la concentration industrielle qui nuit depuis des années au pluralisme et à la qualité de la presse en ligne française.

Afin de comprendre les enjeux qui sous-tendent ce projet, et plus généralement l’offensive des groupes de presse et opérateurs Internet contre la législation européenne sur la protection des données, il convient de rentrer plus en détail dans l’analyse de la situation :

Analyse

Le règlement général sur la protection des données (RGPD), adopté l’an passé par l’Union européenne et qui entrera en vigueur en mai 2018, prévoit deux choses :

  • les sites internet ne pourront plus pister et cibler leurs utilisateurs européens sans le consentement explicite de ceux-ci (les utilisateurs devront par exemple cliquer sur un bouton « j’accepte les cookies à fins publicitaires ») et la simple navigation sur un site ne pourra plus être interprétée comme équivalant à un consentement2L’article 4 du RGPD exige désormais que le consentement soit donné « par une déclaration ou par un acte positif clair ». Le considérant 32 du règlement explique que « cela pourrait se faire notamment en cochant une case lors de la consultation d’un site internet » mais que « il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité ». Le fait de « consentir » en poursuivant sa navigation sur un site Web revient exactement à « consentir » au moyen d’une case précochée : la personne n’a réalisé aucun acte spécifiquement destiné à exprimer son consentement. Ceci ne pourra bientôt plus constituer un consentement valide. ;
  • les sites internet ne pourront plus exclure les visiteurs qui refusent de donner leur consentement3Par anticipation, la CNIL a interprété le droit actuel au regard du RGPD, en indiquant très explicitement que « la personne qui refuse un cookie nécessitant un consentement doit pouvoir continuer à bénéficier du service (l’accès à un site internet par exemple) »..

Il s’agit là d’une avancée déterminante, consacrant le principe fondamental selon lequel une liberté (ici, la vie privée) ne doit jamais être assimilée à une contre-partie économique (de même qu’on ne peut pas vendre nos organes, notre droit de vote, celui de fonder une famille etc.).

Pourtant, de nombreux sites internet (dont les plus importants éditeurs de presse français) s’opposent à cette avancée et entendent profiter du débat en cours sur le règlement ePrivacy pour la faire disparaître du droit européen.

Le lancement de projets tels que l’Alliance Gravity et Skyline montre, s’il en était besoin, qu’ils continuent à envisager leur modèle économique comme si le RGPD et ePrivacy n’existaient pas, ce qui est particulièrement inquiétant.

Une position contraire à la qualité de l’information

Le modèle économique de la presse repose historiquement sur la vente et l’abonnement. Ce modèle demande de fidéliser un lectorat en lui donnant l’assurance de retrouver sur son média des analyses et des investigations de qualité. Or, il est brutalement remis en cause depuis quelques années par l’apparition d’acteurs concurrents qui proposent gratuitement sur internet des informations d’actualité ou de divertissement, simples et variées, demandant généralement peu de temps de lecture et destinées au plus large public possible. Ce nouveau modèle économique repose uniquement sur la publicité ciblée, dont les revenus dépendent de la quantité de visiteurs touchés et non de la qualité de l’information4Les négociations sur le prix des publicités dépendent notamment des mesures effectuées par l’Alliance pour les chiffres de la presse et des médias, qui déterminent la fréquentation des pages et des sites..

La concurrence imposée par ces nouveaux acteurs a poussé une part importante de la presse traditionnelle à faire évoluer (non sans douleur) son modèle économique et la façon qu’elle a de produire de l’information – en investissant plus dans l’information « spectacle » et moins dans l’analyse et l’investigation, par exemple.

Cette évolution nuit forcément à la qualité du débat public, mais peut être limitée en interdisant qu’un site puisse empêcher son accès aux utilisateurs qui refusent la publicité ciblée. Une telle protection des internautes remettrait profondément en cause le modèle économique fondé sur la publicité ciblée et, par effet de balancier, rendrait bien plus viables les modèles traditionnels fondés sur la fidélisation du lectorat et la qualité de l’information. Surtout, cette protection réconcilierait durablement le modèle économique de la presse avec le respect des droits fondamentaux de ses lecteurs5Interdire d’empêcher l’accès à un site internet aux internautes refusant la publicité ciblée ne veut pas dire qu’il n’y a aucun moyen acceptable de faire financer la presse par ses lecteurs. L’abonnement ou d’autres méthodes sont tout à fait légitimes. Cependant, en conformité avec la législation européenne, il est impensable de forcer les utilisateurs à voir leurs données personnelles exploitées en échange d’une information.

Des arguments fallacieux

Il est donc très problématique que les éditeurs de presse, à l’encontre de leurs intérêts à long terme, se mettent en situation de dépendance vis-à-vis des régies publicitaires et ne cherchent que très marginalement à repenser leur modèle économique, alors même que l’opposition des internautes à l’envahissement publicitaire et à l’exploitation de leurs données personnelles se fait de plus en plus visible.

Outre le lancement de ces Alliance Gravity et Skyline, qui peuvent s’assimiler à une véritable provocation à l’adresse du législateur européen, ces groupes de presse – soutenus par des opérateurs tels que SFR, eux-mêmes impliqués dans le secteur des médias – font un intense lobbying auprès des institutions européennes et du grand public, qu’il s’agit de démonter méthodiquement tant il est nocif. Ces éditeurs et groupes coalisés ont par exemple écrit à trois reprises aux décideurs européens pour lutter contre la mise en place d’un consentement explicite et libre des internautes à l’exploitation de leurs données personnelles.

Une première lettre, signée par divers groupes de presse, dont celui du Figaro et Lagardère Active (qui comprend europe1.fr, parismatch.fr, lejdd.fr, doctissimo.fr…), ainsi que par des fédérations d’éditeurs de presse, dont le GESTE (qui comprend Le Monde, Le Point, L’Obs, Le Parisien, L’Express, L’Equipe…), exige simplement, sans véritable argument, de pouvoir exclure des sites les internautes refusant de se soumettre au pistage et à la publicitée ciblée.

Une deuxième lettre a été signée par des groupes de presse, dont celui du Monde, du Figaro, de L’Equipe et des Echos/Le Parisien, ainsi que par des journaux, dont L’Humanité et Libération. Ceux-ci y prétendent que « en privant les éditeurs de presse de proposer des publicités ciblées à leurs lecteurs, ePrivacy favorise la réorientation des annonceurs publicitaires de la presse vers les plateformes numériques dominantes, et diminue donc l’investissement possible dans le journalisme de qualité ».

Cet argumentaire se rapproche de celui avancé pour justifier la création de l’Alliance Gravity et de Skyline : les éditeurs de presse prétendent vouloir s’opposer aux plateformes numériques telles que Google ou Facebook et, pour cela, réclament de pouvoir elles aussi s’adonner à une collecte et exploitation sans entrave de la vie privée de leurs lecteurs.

Ici encore, cet argument est totalement fallacieux : les « plateformes dominantes » seront soumises aux mêmes réglementations que les éditeurs de presse. Si le RGPD et ePrivacy améliorent les conditions de consentement des utilisateurs, et par là compliquent l’exploitation des données personnelles par les entreprises, les plateformes telles que Google et Facebook seront autant concernées que les éditeurs de presse, et devront s’adapter de la même façon. Faire croire que le RGPD et ePrivacy affecteront seulement la presse et pas les plateformes est faux. Faire croire que la publicité ciblée est seule garante de l’investissement pour un journalisme de qualité est une erreur également.

Une troisième lettre enfin, notamment signée par des syndicats d’éditeurs de presse français (SPIIL, SPQN, SEPM, FNPS, GESTE), reprend les arguments précédemment développés et en ajoute deux autres, qui sont particulièrement fallacieux et dont l’objectif consiste à se passer purement et simplement du consentement des utilisateurs (et non plus seulement d’exclure les lecteurs ayant refusé de donner leur consentement). Pour cela, ils prétendent que « le RGPD n’impose pas le consentement préalable des personnes » pour exploiter des données personnelles ayant été pseudonymisées, « en ce qu’une telle pseudonymisation peut constituer une garantie de licéité suffisante ». Ceci est tout simplement faux : s’il est vrai que des débats intenses ont eu lieu sur ce sujet il y a un an, le législateur européen a heureusement rejeté cette dangereuse exception au consentement, qui n’aurait apporté aucune garantie en matière d’exploitation ciblée des données personnelles6La pseudonymisation est une mesure de sécurité qui, tout en offrant une certaine protection contre les failles de sécurité (par exemple), n’empêche en rien l’exploitant d’utiliser les données comme il l’entend, notamment à des fins de publicité ciblée. Elle a été définie à l’article 4 du RGPD comme une mesure technique visant à ce que des données personnelles « ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément ». L’article 6 du RGPD, qui liste les conditions sous lesquelles des données peuvent être exploitée sans le consentement des personnes concernées, ne prévoit à aucun moment que la pseudonymisation justifierait de se passer du consentement..

Alors pourquoi prétendre l’inverse, si ce n’est pour embrouiller le débat et justifier la création de ce type d’ « alliances » dont l’objectif est bien l’exploitation centralisée et massive des données personnelles des internautes ?

En outre, dans la même lettre, les syndicats d’éditeurs affirment que « les entreprises européennes sont libres d’utiliser de nombreux cookies pour fournir des services adaptés aux utilisateurs finaux ». Et de poursuivre : «  si ces derniers souhaitent refuser certains cookies, les entreprises soumises au RGPD doivent mettre à leur disposition un ou plusieurs liens permettant de les désactiver le cas échéant ». Là encore, cette interprétation est totalement fausse : le RGPD conduit clairement à l’interdiction pure et simple de déposer des cookies sans le consentement explicite de chaque utilisateur. Les entreprises ne pouront pas « librement » déposer des cookies en étant seulement tenues de permettre leur désactivation7Les éditeurs prétendent en fait que le RGPD n’aurait rien changé à la situation actuelle. Actuellement, les cookies peuvent être déposés en obtenant un consentement « implicite » des utilisateurs, tel que le fait de continuer à naviguer sur un site web après avoir été informé du dépot de cookies et des façons de s’y opposer ultérieurement. Comme il a été expliqué dans une note précédente, le RGPD interdit maintenant de donner son consentement au moyen de « cases pré-cochées » ou par tout acte n’étant pas spécifiquement desinté à exprimer son consentement.. Les signataires de la lettre font comme si le RGPD prévoyait un régime d’opt-out alors qu’il prévoit très clairement un régime d’opt-in8Dans un régime d’opt-out, les utilisateurs sont considérés avoir donné leur consentement par défaut (c’est la situation actuelle en matière de cookie). Les utilisateurs peuvent seulement s’opposer au traitement de leurs données a posteriori, en retirant le consentement qu’ils sont présumés avoir donné. Dans un régime d’opt-in, le consentement n’est pas présumé et aucun traitement de données n’est permis tant que l’utilisateur ne l’a pas explicitement accepté (c’est ce que prévoit le RGPD).. Encore une fois, difficile d’attribuer de telles erreurs à l’ignorance ou de savoir s’il y a intention de tromper par désinformation.

Conclusion

Ces différentes prises de position des groupes de presse sur le droit européen des données personnelles sont directement liées aux annonces récentes d’alliances visant à centraliser les données des utilisateurs. Cette concentration de moyens – qui s’ajoute à la concentration inédite des médias entre les mains de quelques acteurs, eux-mêmes de plus en plus souvent liés aux opérateurs télécoms tels que SFR / Altice – entraîne la création de silos de données. Elle poursuit un mouvement de plus en plus rapide vers une information qui n’est plus qu’un prétexte à la captation de données à des fins publicitaires. Ce modèle est absolument délétère pour la presse, et à rebours complet du rôle fondamental qu’elle devrait jouer en démocratie pour assurer le respect du droit à l’information et son corollaire, la liberté d’expression. Dans le modèle actuel de ces éditeurs de presse, le droit au respect de la vie privée passe ainsi par pertes et profit, au mépris de l’esprit et de la lettre de la législation européenne qui rentrera en vigueur dans quelques mois.

Au delà, c’est le modèle de développement basé sur la publicité ciblée qui est, une fois encore, à remettre en question. Il n’est pas et ne doit pas être une fatalité. Les groupes de presse français et européens doivent prendre appui sur la législation européenne, encore imparfaite mais qui propose probablement un des meilleurs cadres de protection au monde, pour construire des modèles économiques respectueux de leurs lecteurs et de leurs journalistes.

Certaines entreprises de presse l’osent, et portent un modèle qui veut respecter les lecteurs et la qualité des contenus publiés. Ainsi, LesJours.fr, media en ligne sur abonnement, rejoint notre analyse :

Il est crucial pour la presse de recréer un lien de confiance avec ses lecteurs notamment en étant très attentif au respect de leurs données. Ainsi, la création de l’alliance Gravity, qui annonce ouvertement vouloir mettre en commun des données personnelles sans précision sur la question du consentement préalable et éclairé des utilisateurs, qui risquent de ne pas avoir conscience de l’ampleur de la centralisation de leurs données entre les mains d’un acteur aux objectifs purement publicitaires, nous semble très dommageable pour l’image de la presse auprès du grand public. La commercialisation des données de ses lecteurs doit-elle vraiment devenir le modèle économique d’une partie de la presse ?9Augustin Naepels, directeur général des Jours ».

D’autres groupes de presse fonctionnent sur des modèles vertueux et doivent prendre leur part dans les débats actuels sur les modèles économiques de la presse, et s’inscrire dans la tradition d’une presse libre, engagée en faveur des droit fondamentaux. Par leurs actions et leurs réussites, ils peuvent à leur tour rappeler que d’autre modèles existent, et qu’il n’y a donc aucune raison que le financement de la presse en passe par l’exploitation de la vie privée des lecteurs.

References

References
1 Cette alliance regroupe notamment : Groupes Centre France La Montagne, Condé Nast, FNAC Darty, L’Équipe, La Dépêche, La Nouvelle République, Lagardère Active, Le Télégramme, Les Echos-Le Parisien, Marie-Claire, M6, NextRadio TV, Perdriel, Prisma Media, SFR, SoLocal et Sud-Ouest etc.
2 L’article 4 du RGPD exige désormais que le consentement soit donné « par une déclaration ou par un acte positif clair ». Le considérant 32 du règlement explique que « cela pourrait se faire notamment en cochant une case lors de la consultation d’un site internet » mais que « il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité ». Le fait de « consentir » en poursuivant sa navigation sur un site Web revient exactement à « consentir » au moyen d’une case précochée : la personne n’a réalisé aucun acte spécifiquement destiné à exprimer son consentement. Ceci ne pourra bientôt plus constituer un consentement valide.
3 Par anticipation, la CNIL a interprété le droit actuel au regard du RGPD, en indiquant très explicitement que « la personne qui refuse un cookie nécessitant un consentement doit pouvoir continuer à bénéficier du service (l’accès à un site internet par exemple) ».
4 Les négociations sur le prix des publicités dépendent notamment des mesures effectuées par l’Alliance pour les chiffres de la presse et des médias, qui déterminent la fréquentation des pages et des sites.
5 Interdire d’empêcher l’accès à un site internet aux internautes refusant la publicité ciblée ne veut pas dire qu’il n’y a aucun moyen acceptable de faire financer la presse par ses lecteurs. L’abonnement ou d’autres méthodes sont tout à fait légitimes. Cependant, en conformité avec la législation européenne, il est impensable de forcer les utilisateurs à voir leurs données personnelles exploitées en échange d’une information
6 La pseudonymisation est une mesure de sécurité qui, tout en offrant une certaine protection contre les failles de sécurité (par exemple), n’empêche en rien l’exploitant d’utiliser les données comme il l’entend, notamment à des fins de publicité ciblée. Elle a été définie à l’article 4 du RGPD comme une mesure technique visant à ce que des données personnelles « ne puissent plus être attribuées à une personne concernée précise sans avoir recours à des informations supplémentaires, pour autant que ces informations supplémentaires soient conservées séparément ». L’article 6 du RGPD, qui liste les conditions sous lesquelles des données peuvent être exploitée sans le consentement des personnes concernées, ne prévoit à aucun moment que la pseudonymisation justifierait de se passer du consentement.
7 Les éditeurs prétendent en fait que le RGPD n’aurait rien changé à la situation actuelle. Actuellement, les cookies peuvent être déposés en obtenant un consentement « implicite » des utilisateurs, tel que le fait de continuer à naviguer sur un site web après avoir été informé du dépot de cookies et des façons de s’y opposer ultérieurement. Comme il a été expliqué dans une note précédente, le RGPD interdit maintenant de donner son consentement au moyen de « cases pré-cochées » ou par tout acte n’étant pas spécifiquement desinté à exprimer son consentement.
8 Dans un régime d’opt-out, les utilisateurs sont considérés avoir donné leur consentement par défaut (c’est la situation actuelle en matière de cookie). Les utilisateurs peuvent seulement s’opposer au traitement de leurs données a posteriori, en retirant le consentement qu’ils sont présumés avoir donné. Dans un régime d’opt-in, le consentement n’est pas présumé et aucun traitement de données n’est permis tant que l’utilisateur ne l’a pas explicitement accepté (c’est ce que prévoit le RGPD).
9 Augustin Naepels, directeur général des Jours

Posted in