Demain, les ministères de l’Économie, de la Culture et de la Justice, ainsi que le secrétariat d’État au numérique, devraient arrêter certaines des positions de la France sur le règlement ePrivacy, notamment en matière de pistage de nos comportements en ligne. Cette décision fera suite à un rapport du Conseil général de l’économie, rendu public le 20 février dernier et plaidant en faveur de la marchandisation de nos données, à contre-courant du règlement européen sur la protection des données (RGPD) et de la protection de nos libertés. La Quadrature publie ci-dessous la lettre ouverte qui leur est destinée.
L’entrée en application du règlement général sur la protection des données (RGPD) le 25 mai prochain affole tout l’écosystème de la publicité en ligne qui, depuis dix ans, s’est développé dans l’illégalité, grâce notamment au laisser-faire de la CNIL. Depuis dix ans, alors que le droit européen leur interdit de nous pister en ligne sans notre consentement préalable, libre et éclairé, ces acteurs ont systématiquement refusé de respecter nos droits.
À la veille de l’entrée en application du RGPD qui, enfin, ne devrait plus leur laisser de marge de manœuvre pour continuer de violer nos droits fondamentaux, l’ensemble de cette industrie (publicitaires, opérateurs télécoms, grands éditeurs de presse) publie une lettre ouverte suppliant le gouvernement de sauver leur activité illicite en la rendant légale au niveau européen dans le règlement ePrivacy (ce règlement est destiné à modifier la protection européenne de nos activités en ligne et présente donc pour cette industrie l’opportunité de réduire celle-ci à néant).
Cette volonté a trouvé écho dans un rapport commandé en octobre dernier par le gouvernement au Conseil général de l’économie (CGE, service de conseil du ministère de l’économie), qui propose purement et simplement de mettre de côté le RGPD en matière de traçage en ligne, afin que nous puissions être contraints de donner notre consentement pour accéder à un service en ligne – ce qui revient à monnayer nos droits fondamentaux à la vie privée et à la protection de nos données, et ce que le GDPR, le Parlement européen et les CNIL européennes condamnent fermement.
Le gouvernement français doit prendre une position ferme et définitive pour rejeter ces incessantes tentatives de détruire les quelques avancées apportées par le RGPD. Et l’industrie doit comprendre qu’elle a déjà perdu la première bataille, il y a deux ans, lors de l’adoption par l’Union européenne du RGPD : elle doit maintenant amender son comportement. Si elle s’y refuse, qu’elle sache que La Quadrature du Net est maintenant habilitée à conduire des actions de groupe et attend de pied ferme le 25 mai prochain. Débattre aujourd’hui sur le règlement ePrivacy ne l’aidera alors en rien.
Madame, Monsieur,
Le 23 octobre dernier, les ministères de l’économie et de la culture et le secrétariat d’État au Numérique ont chargé le Conseil général de l’économie (CGE) de produire un rapport sur les articles 8 à 10 du projet de règlement ePrivacy.
Il faut d’abord s’inquiéter du fait que la mission confiée au CGE ne s’intéresse en aucune façon aux nouvelles dérogations au consentement permises par cet article 8 en matière de géolocalisation et de mesure d’audience, alors que ces dérogations restent encore strictement exclues par la directive 2002/58. La mission du CGE aurait pourtant été l’occasion d’évaluer l’impact de telles mesures sur la vie privée.
À la place, et à l’opposé, la mission vise surtout à évaluer les conséquences d’obligations déjà prévues depuis 2009 par la directive ePrivacy (s’agissant de « l’encadrement des cookies ») et depuis 2016 par le RGPD (s’agissant de « la définition du consentement »). Le souhait d’évaluer les conséquences d’obligations actuelles laisse craindre une volonté de remettre celles-ci en cause. Il s’agit malheureusement de la direction adoptée par le CGE dans son rapport publié le 20 février.
Un consentement forcé
L’article 7, §4, du RGPD, accompagné par son considérant 43, prévoit qu’un consentement n’est pas valide s’il est donné sous la menace de ne pas accéder à un service ou de n’accéder qu’à un service dégradé. Dans sa proposition n°5, le CGE invite le gouvernement à prévoir dans le règlement ePrivacy une dérogation au RGPD afin de rendre un tel consentement valide. Ce faisant, le CGE s’oppose :
- au groupe de l’article 29 qui, dans ses lignes directrices WP259 du 28 novembre 2017, donne une explication détaillée du caractère libre du consentement exigé par le RGPD :
- à la CNIL, qui a donné une application concrète de ce principe dans sa mise en demeure de Whatsapp le 18 décembre dernier ;
- au Parlement européen, qui a détaillé l’application sectorielle de ce principe dans le règlement ePrivacy, en interdisant les tracking-wall ;
- au souhait majoritaire de la population qui, en France, et selon l’Eurobaromètre de 2017, refuserait à 82% de payer afin de ne pas être surveillée en visitant un site Internet (p. 63) et refuserait à 60% de voir ses activités en ligne surveillées en échange d’un accès non restreint à un site Internet (p. 59) ;
- au principe démocratique élémentaire selon lequel nul ne peut renoncer au bénéfice d’un droit fondamental en contre-partie d’un bien ou d’un service, sans quoi ce droit ne serait plus garanti que par le niveau de fortune de chaque personne.
Des conséquences erronées
Le rapport du CGE se fondant sur l’idée que le consentement doit pouvoir être forcé, il en tire plusieurs conclusions aussi erronées que son postulat de départ.
En premier lieu, le CGE prétend que bloquer par défaut les outils de pistage favoriserait les grandes plateformes, car celles-ci pourraient obtenir le consentement de leurs utilisateurs plus facilement que d’autres sites.
Ceci n’aurait un sens que si ces plateformes avaient un moyen de négociation envers leurs utilisateurs plus important que n’en auraient d’autres sites. Or, le principe de la liberté du consentement interdit précisément toute forme de négociation en matière de données personnelles : peu importe la taille ou la structure d’un site, il ne peut pas limiter son accès aux seuls utilisateurs acceptant d’y être surveillés.
En deuxième lieu, le CGE justifie plusieurs de ses positions par l’idée que les internautes accepteraient eux-mêmes de céder leurs données pour avoir du « tout gratuit », or :
- le CGE n’explique pas en quoi, en vérité, cette « acceptation » n’est pas forcée, tel qu’il souhaite lui-même le permettre ;
- la gratuité n’est pas synonyme d’exploitation de données, tel que le démontre l’existence de nombreux sites et logiciels véritablement « gratuits » (Wikipédia, Firefox, VLC, Linux, LibreOffice, etc.) ;
- Internet n’est pas synonyme de gratuit, tel que le démontre le succès de nombreuses offres payantes (Netflix, Spotify, Mediapart, etc.).
En troisième lieu, le CGE insiste sur la nécessité de ne pas rendre la navigation plus difficile du fait de demandes de consentement, mais passe complètement sous silence l’effet de sa propre proposition : les tracking-wall visent précisément à rendre la navigation plus difficile, voire impossible.
Des solutions ignorées
La mission du CGE visait aussi le recueil du consentement « via le paramétrage du navigateur » qui, par défaut, serait configuré pour bloquer les traceurs. Si le CGE rend un avis négatif sur cette nouvelle garantie introduite par le projet de règlement, ce n’est qu’en omettant plusieurs réalités techniques.
En premier lieu, le CGE prétend que bloquer des traceurs au moyen d’une liste noire ne peut reposer techniquement que sur l’établissement par des tiers d’une telle liste, ce qui causerait des problèmes de gouvernance.
Ceci revient à mettre de côté le fait que les listes établies par des tiers le sont en pratique de façon parfaitement transparente et laissées au choix des utilisateurs (tel que sur uBlock Origin, où des dizaines de listes différentes sont proposées).
Ensuite, ceci revient aussi à passer sous silence la méthode développée par l’Electronic Frontier Foundation et déployée sur son extension Privacy Badger, qui ne repose pas sur une liste pré-établie. L’extension au navigateur construit seule et progressivement une liste noire en analysant les requêtes récurrentes rencontrées par l’utilisateur sur la multitude des sites qu’il visite (durant plusieurs semaines, mois, années) afin de détecter celles qui le pistent. Aucune contrainte technique ne s’oppose à intégrer dans chaque navigateur cette méthode aussi efficace que transparente et indépendante d’autorités tiers.
En deuxième lieu, le CGE prétend qu’un blocage par défaut des traceurs par le navigateur empêcherait les sites web de communiquer avec les internautes pour leur demander efficacement leur consentement.
Ceci revient à passer sous silence la pratique déjà déployée par de nombreux sites pour faire face aux bloqueurs de traceurs : l’accès au contenu du site (site de presse, typiquement, tel que celui des Echos) est bloqué (dès la première consultation ou après lecture de quelques articles) et un texte est affiché à l’internaute, l’invitant à désactiver son bloqueur et lui exposant les raisons pour ce faire.
Bien que cette pratique soit illicite lorsqu’elle conduit à bloquer l’accès (car niant la liberté du consentement), elle démontre combien il est simple pour chaque site d’exposer sa propre demande de consentement.
En troisième lieu, le CGE prétend qu’il serait dangereux de confier le blocage des traceurs à des éditeurs de navigateur et de système d’exploitation qui occupent une place dominante sur le marché du pistage en ligne.
Ceci revient à nier que ces éditeurs bénéficient déjà de cette situation : ils mettent en œuvre des politiques de blocages (détaillées par le CGE) dont le but est de rendre plus attractifs leurs propres outils de pistage (l’identifiant unique attribué sur Android et iOS, typiquement). Seule la loi peut, en imposant des mécanismes de blocage s’appliquant pareillement à leurs propres outils et à ceux de tiers, corriger ce déséquilibre déjà présent et dommageable.
Conclusion
Pour ces raisons, nous vous invitons :
- à ne pas introduire de dérogation au principe de liberté du consentement prévu par le RGPD ;
- à ne pas supprimer l’obligation pour les navigateurs de bloquer les traceurs par défaut ;
- à supprimer les exceptions au consentement en matière de géolocalisation et de mesure d’audience, sans en rajouter aucune autre (telle la pseudonymisation, qui est une mesure de sécurité déjà imposée par le RGPD et qui n’aurait donc aucun sens à devenir ici une condition de licéité).
Si le projet de règlement ePrivacy devait évoluer autrement, nous devrions renoncer aux quelques avancées qu’il apporte pour nous opposer à son adoption, afin de ne pas voir la protection actuellement offerte par la directive ePrivacy être amoindrie à ce point.
Cordialement,
La Quadrature du Net