Introduction à la publicité en ligne
Transcription
Introduction à la publicité en ligne
Introduction à la publicité en ligne Présentation à l’Union des annonceurs Winston Maxwell, avocat associé Sarah Jacquier, avocat au barreau de Paris 13 février 2009 © 2008 Hogan & Hartson LLP. All rights reserved. Introduction et approche • Un sujet d’actualité: – • • En particulier au moment où le marché de la publicité s’écroule (cf. étude du Groupe Benchmark sur la publicité sur Internet qui vient d’être publiée le 2 décembre 2008: « le contexte économique va inciter les acteurs les plus timides sur ce canal [la publicité sur Internet] à y renforcer significativement leur présence pour profiter des coûts avantageux et des possibilités très fines de pilotage des campagnes sur internet »). Tension entre deux principes: – 1) Bénéfices internaute (une publicité qui colle à ses goûts et des services gratuits) v./ 2) protection de la vie privée de l’internaute – Principaux risques pour l’internaute: utilisation non conforme à ce qui a été autorisé ou anticipé par l’internaute, conservation de données après suppression demandée, croisements exponentiels de données, avancés technologiques (ex: reconnaissance faciale) Notre approche: – Focus sur la publicité ciblée, car c’est elle qui pose le plus de problèmes juridiques et qui est la plus caractéristique du média Internet – Définitions, exemples et questions © 2008 Hogan & Hartson LLP. All rights reserved. 2 Types de publicités (exemples) • Publicité contextuelle (contextual advertising) – Publicité apparaissant dynamiquement en fonction du contenu textuel de la page consultée par l’internaute à un moment donné. Les publicités sont sélectionnées en fonction du contenu des pages sur lesquelles elles s’affichent (ex: l’internaute qui visite un site de vente de voitures reçoit des publicités pour la vente de véhicules). • Publicité comportementale (behavioral advertising) – Pratique qui consiste à collecter, sur une certaine durée, des données sur les activités en ligne d’un individu afin de délivrer des publicités qui sont adaptées aux intérêts de cet individu. La publicité ciblée est différente de la publicité contextuelle en ce qu’elle ne s’occupe pas seulement du contenu de la page consultée, mais également des habitudes de l’internaute sur une période de temps (ex: l’internaute qui visite plusieurs sites de ventes de voitures reçoit des publicités pour la vente de voitures quand il consulte un site de sport). • Publicité ciblée en ligne (Online targeted advertising – OTA) – Toute pratique qui consiste à adresser des publicités adaptées aux intérêts d’un individu, y compris les publicités contextuelles et comportementales. • Publicité virale (Viral advertising) – Technique reposant sur la transmission de proche en proche, par voie électronique, de messages commerciaux. La spécificité de ce type de publicité est que les consommateurs deviennent les principaux vecteurs de la communication de la marque. On peut dire que la publicité est ciblée, mais c’est sur l’initiative d’un internaute qui pense à un autre internaute! (ex: Nicepeople en Belgique) • Publicité géolocalisée (Location-based marketing) © 2008 Hogan & Hartson LLP. All rights reserved. 3 Types de plateformes (exemples) • Sites web • Sites communautaires (Social networking sites ou « SNS ») • Moteurs de recherche (ex: Adwords) • Advertising networks (réseaux représentant plusieurs sites pour la vente d’espaces publicitaires; ex: Double click) • FAI – • Tension entre AT&T et Google Opérateurs mobiles © 2008 Hogan & Hartson LLP. All rights reserved. 4 Formes de publicités (exemples) • Bannières publicitaires et skycrapers (bannières publicitaires consistant en une colonne disposée sur la hauteur de l'écran d'une taille de 120 X 600 ou 160 X 600 pixels, selon les standards préconisés par l'Interactive Advertising Bureau), • Liens contextuels (liens ciblés en fonction de la thématique de la page), • Liens sponsorisés (liens apparaissant en tête des pages de résultats de moteurs de recherche), • Pops-up (fenêtres publicitaires apparaissant d'elles-mêmes en utilisant le système d'exploitation des logiciels). Conclusion: des formes de publicités plus ou moins invasives pour l’internaute (cf. propos du président d'Overstock: « La publicité au moyen de pop-up est à la navigation sur Internet ce que le spam est à l'e-mail » …). • E-mails, SMS, messages Bluetooth, etc.. © 2008 Hogan & Hartson LLP. All rights reserved. 5 Techniques sous jacentes (exemples) • Cookie (petit fichier texte placé, à l’occasion d’une consultation, par le serveur d’un site, sur le disque dur de l’ordinateur connecté). Il permet de recueillir et stocker des données sur le comportement de navigation à partir du poste connecté. Distinguer: – « First party cookie » et « Third party cookie » ( le “first party cookie” est placé par le site consulté; dans le cas du « third party cookie », le cookie est placé par un serveur commun à un réseau de sites. Ainsi, le comportement de l’internaute peut être tracé à travers les sites partenaires du réseau. Æ Exemple consultation site de voyages type Expedia. – • « Cookie temporaire » et « Cookie persistant » (Les cookies temporaires disparaissent dès la fin de la visite du site/session par l'internaute. Le cookie est par exemple supprimé dès la fermeture du navigateur. Les cookies persistants ont une durée de vie qui va au delà de la simple visite : celle-ci est définie par le webmaster du site et inscrite dans le cookie) Web beacon (image graphique transparente, de la taille d’1 pixel, qui permet de suivre la navigation d’un internaute sur un site ou un réseau de sites. Les web beacons ne sont pas placés sur l’ordinateur mais sur un site. Ils peuvent être utilisés en combinaison avec des cookies pour comprendre comment les internautes se comportent à l’intérieur et entre les pages du site). Æ Cas Facebook : fin 2007, Facebook lance Beacon, qui permet à Facebook de suivre ses membres sur les sites partenaires pour publier les informations glanées depuis ces sites sur le profil du membre et à ses amis (ex: Laura a acheté un sac Gucci). Suite à des pétitions des membres Facebook, l’utilisateur est désormais libre de choisir ce qui alimente son « Mini feed » et le « friends news feed » de ses amis (cas de viral advertising involontaire) • Deep Packet inspection – Permet de voir le contenu des packets, et pas seulement le message d’en-tête – Utilisée en principe pour la sécurité/gestion du réseau, antivirus et autres – Peut être utilisée pour analyser tous les flux ÆLes cas Phorm et NebuAd Conclusion: des techniques plus ou moins invasives et « non maitrisables » par l’internaute © 2008 Hogan & Hartson LLP. All rights reserved. 6 Caractère invasif pour l’internaute de la publicité et « données personnelles » • • Les libertés individuelles peuvent être en danger dès lors que les données collectées sur les goûts et comportements peuvent être rattachées à un individu déterminé ou déterminable. – Des données plus problématiques que d’autres (données dites sensibles, mais aussi données de localisation) – Risques liés à un croisement des données (on en sait toujours plus…) – Techniques de reconnaissance de visages – Perte de données ou utilisation abusive des données Démarche: se poser la question de savoir si les données collectées peuvent être considérées comme des données pouvant être rattachées à un individu déterminé ou déterminable ou si elles sont des données anonymes. – • Ex: cas AOL Question pas facile à résoudre en pratique car: - - Différentes définitions et manque d’harmonisation à l’échelle mondiale: • USA: « données personnellement identifiables » ou « données personnelles » • Europe et France: « données à caractère personnel » (Dir.95/46/CE et loi de 1978) • Cas épineux de l’adresse IP, mais aussi aujourd’hui de l’identifiant Bluetooth Anonymisation, pseudonymisation, et identifiant unique…ou quand et comment est ce que le « détachement » entre la donnée collectée et l’individu est jugé suffisamment efficace/protecteur de l’individu par le législateur et le régulateur Ex: client avec « unique identifier » Incompréhension mutuelle Europe et USA © 2008 Hogan & Hartson LLP. All rights reserved. 7 Quelle régulation? • • Double objectif: – Identification du caractère publicitaire: aspect classique de la régulation de la publicité, mais dont la mise en œuvre selon le support et le procédé de publicité peut s’avérer de plus en en plus délicate – Transparence quant à l’utilisation des données personnelles: aspect principalement traité ici FTC principles (en cours de révision) transparence et contrôle du consommateur, sécurité raisonnable et durée de rétention adéquate, consentement exigé en cas de changement des polices en matière de données personnelles, consentement exigé pour l’usage de données sensibles. Groupe de Berlin (Rome memorandum), mars 2008 Information transparente et ouverte Offre d’opt-out, au moins pour les utilisations secondaires des données du profil Paramétrage par défaut user-friendly (ex: non indexation des profils par moteurs de recherche) Contrôle de l’utilisateur sur l’utilisation des données par un tiers Fidélité à la politique de confidentialité Groupe article 29 Les cookies persistants, associés à un identifiant unique sont des données à caractère personnel Le cookie doit avoir une durée de vie limitée ENISA, Dusseldorf Kreis NAI Guidelines décembre 2009 (www.networkadvertising.org) © 2008 Hogan & Hartson LLP. All rights reserved. 8 © 2008 Hogan & Hartson LLP. All rights reserved. 9 Points de convergence • Importance de la corégulation • Opt-in/opt out • Transparence pour l’internaute, et meilleure maîtrise de ses données • Graduation des mesures de protection selon le degré de sensibilité des données, et l’âge de l’internaute • Interdiction pure et simple de certaines pratiques? (ex: fenêtres qui ne ferment pas sans sortir du système d’exploitation, le cas allemand) © 2008 Hogan & Hartson LLP. All rights reserved. 10 La publicité sur les mobiles • Les SMS: règle de « opt-in » comme pour les courriers électroniques • Données de géolocalisation: – Art. L 34-1-IV CPCE: «…les données permettant de localiser l’équipement terminal de l’utilisateur ne peuvent ni être utilisées pendant la communication à des fins autres que son acheminement, ni être conservées et traitées après l’achèvement de la communication que moyennant le consentement de l’abonné, dûment informé des catégories de données en cause, de la durée du traitement, de ses fins et du fait que ces données seront ou non transmises à des fournisseurs de services tiers. » • Guidelines MMA de décembre 2008 (http://www.mmaglobal.com/bestpractices.pdf) • Plainte devant la FTC (http://www.democraticmedia.org/files/FTCmobile_complaint0109.pdf) • Décision « Bluetooth » de la CNIL (voir slide suivant) © 2008 Hogan & Hartson LLP. All rights reserved. 11 Spam vs. Pop-ups: Deux corps de règles Europe Distinction entre les règles pour le spam et les autres formes de publicité. Un consentement préalable est exigé pour l’envoi de courriers électroniques à des fins de prospection directe (art 13§1 Dir.2002/58/CE). Question: la publicité ciblée est-elle un courrier électronique? A propos de la pratique du pop up • Pour la Commission européenne, le pop up ne peut être qualifié de courrier électronique : la définition de courrier électronique donnée par l’article 2 h) de la Directive Vie privée et communications électroniques « ne couvre que les messages pouvant être stockés dans un équipement terminal jusqu'à ce qu'ils soient relevés par leur destinataire. Les messages qui s'affichent quand le destinataire est en ligne et disparaissent quand ce n'est pas le cas ne sont pas couverts par la définition du courrier électronique ». • Etats membres: condamnation en Allemagne en 2003, sur le terrain du droit de la concurrence et projet de loi en Belgique qui se fonde sur l’article 13§3 de la Directive (notion de « communications non sollicitées », plus large). A propos des publicités via Bluetooth (envoi de publicités sur les téléphones portables à partir de panneaux publicitaires intégrant des bornes Bluetooth). • Consentement exigé par la CNIL (décembre 2008) – En dépit de l’absence de message stocké dans le téléphone mobile • Caractère personnel attaché à l’interface unique du portable (adresse MAC) et l’identifiant Bluetooth attribué en fonction du modèle du téléphone (ex: NOKIAN99) • NB: l’envoi d’un message demandant à l’utilisateur s’il accepte l’établissement d’une connexion Bluetooth n’est pas une modalité satisfaisante du recueil du consentement (et ce alors même que la fonction Bluetooth doit être activée)! © 2008 Hogan & Hartson LLP. All rights reserved. 12 Conclusion • Enjeux: trouver un juste équilibre entre le financement de l’Internet et la protection de la vie privée – Que penser de la position de la CNIL/Bluetooth? • Rétablir une information pertinente de l’internaute qui soit adaptée aux nouveaux usages/terminaux (ex: mobiles) – Enjeu technique et réglementaire • Poids déterminant de la corégulation (l’autorégulation a montré ses limites…) • Programme Obama: – Accroître la protection des consommateurs – Accroitre la protection des données – Rôle accru du gouvernement Æ Rapprochement Europe • Développer une approche cohérente internationalement, notamment sur la notion de données personnelles – Intérêt de la démarche de co-régulation annoncée en janvier 2009 par the American Association of Advertising Agencies, the Association of National Advertisers, the Direct Marketing Association and the Interactive Advertising Bureau, pour définir un code bonne conduite qui s’appuie sur les principes de la FTC. © 2008 Hogan & Hartson LLP. All rights reserved. 13 Merci! Winston Maxwell Partner [email protected] © 2008 Hogan & Hartson LLP. All rights reserved. Sarah Jacquier Avocat au Barreau de Paris [email protected] 14