Cookies & do not track b. docquir
Upcoming SlideShare
Loading in...5
×
 

Cookies & do not track b. docquir

on

  • 357 views

 

Statistics

Views

Total Views
357
Views on SlideShare
357
Embed Views
0

Actions

Likes
0
Downloads
0
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Cookies & do not track b. docquir Cookies & do not track b. docquir Presentation Transcript

  • BDMA – LEGAL DAY 19/06/2013 Benjamin Docquir Cookies & Do-Not-Track « Where do we stand ? Where do we go ? » Partner @ SimontBraun (www.simontbraun.eu)
  • PLAN 1. COOKIES = LA PARTIE VISIBLE DE L’ICEBERG … 2. RÉGLEMENTATION INADAPTÉE ? 3. D-N-T = UN ESSAI DE SELF-REGULATION « TECHNIQUE »…
  • COOKIES = LA PARTIE VISIBLE DE L’ICEBERG …
  • 1.COOKIES ? 1. Une forme de « ciblage » parmi d’autres 2. Un moyen technique susceptible de plusieurs utilisations possibles 3. Une pluralité d’intervenants
  • RÉGLEMENTATION INADAPTÉE ?
  • 2. UNE RÉGLEMENTATION INADAPTÉE ? 1. Réglementation « technique » 2. Réglementation générale « vie privée »
  • 2.1. Principes généraux « data protection» 1. Annonceur / Agence / Régie / « Ad networks » / Editeur de service / Autres prestataires spécialisés / … 2. Le responsable du traitement : « détermine les finalités et les moyens » ; le sous-traitant « traite pour le compte du responsable » • Avis 1/2010 du 16.02.2010 du Groupe 29 (WP 169) • La ratio legis est la protection des individus, et le texte légal permet dès lors de conclure à la responsabilité conjointe dans de nombreux cas où chacune des parties exploite au moins une partie des données pour un intérêt propre • Cf. exemple n 14 dans l’avis 1/2010 : éditeur du site et ad network provider sont des responsables conjoints, en fonction des conditions de leur collaboration (e.g. « re-directing the user to the ad network provider webpage »)
  • 2.1. Principes généraux « data protection» Toute relation avec un sous-traitant est encadrée par l’article 16 de la loi 1. • • • 2. Choix du sous-traitant Contrat écrit stipulant les obligations et responsabilités Mesures de sécurité et de confidentialité Clauses de garantie dans les contrats avec les différents prestataires ? (ad networks, plateformes de services ou de contenus, list brokers, etc.)
  • 2.1. Principes généraux « data protection» 1. Les finalités doivent être « explicites » : une référence vague à « des fins de marketing direct » ne paraît donc pas suffire (de plus, la notion de marketing direct n’est pas définie de façon univoque dans un texte) 2. À long terme, la transparence lors de la collecte est payante (cf. la problématique de la réutilisation des données à des fins autres, et l’appréciation selon les « attentes raisonnables » du consommateur) … mais pas toujours possible
  • 2.1. Principes généraux « data protection» 1. La commission belge de la protection de la vie privée tend à imposer une exigence générale de consentement comme fondement unique ou quasi unique dans certains cas : • • • Usage de certains moyens (courriel, sms, fax, etc.) • • Face à des mineurs Usage de données sensibles Incompatibilité avec la finalité initiale (p. ex. list renting/selling non annoncé au départ, ou fusion ou restructuration d’entreprises) En cas de marketing viral 2. Contra legem ? • Discussion ouverte sur le statut de cet organisme « invincible »… et de possibles futures sanctions !
  • 2.2. Règlementation « technique » 1. Cookies et logiciels espions • informations obligatoires et obligation de consentement préalable (art. 129 de la loi du 13 juin 2005 sur les communications électroniques) • • • • Pas de distinctions entre 1st party et 3d party cookies, entre permanents et temporaires, etc. Deux exceptions: Transit technique Service demandé par l’utilisateur 2. Adresses IP • Un statut toujours incertain au regard de la loi vie privée (voy. aussi considérant 52 de la directive 2009/136) 3. Vers un « domicile virtuel » inviolable ? • • BVerfG, 27 février 2008 Champ d’application de la directive 2002/58 (données de trafic et de localisation, puces RFID, « lien » entre l’information transmise et l’utilisateur qui la reçoit) 4. Irréaliste au regard des évolutions récentes du « law enforcement » ?
  • Art. 129 « Le stockage d'informations ou l'obtention de l'accès à des informations déjà stockées dans les équipements terminaux d'un abonné ou d'un utilisateur est autorisée uniquement à condition que : 1° l'abonné ou l'utilisateur concerné reçoive conformément aux conditions fixées dans la loi du 8 décembre 1992 relative à la protection de la vie privée et à l'égard des traitements de données à caractère personnel, des informations claires et précises concernant les objectifs du traitement et ses droits sur la base de la loi du 8 décembre 1992; 2° l'abonné ou l'utilisateur final ait donné son consentement après avoir été informé conformément aux dispositions visées au point 1°.
  • Art. 129 L'alinéa 1er n'est pas d'application pour l'enregistrement technique des informations ou de l'accès aux informations stockées dans les équipements terminaux d'un abonné ou d'un utilisateur final ayant pour seul but de réaliser l'envoi d'une communication via un réseau de communications électroniques ou de fournir un service demandé expressément par l'abonné ou l'utilisateur final lorsque c'est strictement nécessaire à cet effet. Le consentement au sens de l'alinéa 1er ou l'application de l'alinéa 2, n'exemptent pas le responsable du traitement des obligations de la loi du 8 décembre 1992 relative à la protection de la vie privée à l'égard des traitements de données à caractère personnel qui ne sont pas imposées par le présent article. Le responsable du traitement donne gratuitement la possibilité aux abonnés ou utilisateurs finals de retirer le consentement de manière simple. »
  • Directive 2002/58, modifiée en 2009 Article 5 Confidentialité des communications 1. Les États membres garantissent, par la législation nationale, la confidentialité des communications effectuées au moyen d'un réseau public de communications et de services de communications électroniques accessibles au public, ainsi que la confidentialité des données relatives au trafic y afférentes. En particulier, ils interdisent à toute autre personne que les utilisateurs d'écouter, d'intercepter, de stocker les communications et les données relatives au trafic y afférentes, ou de les soumettre à tout autre moyen d'interception ou de surveillance, sans le consentement des utilisateurs concernés sauf lorsque cette personne y est légalement autorisée, conformément à l'article 15, paragraphe 1. Le présent paragraphe n'empêche pas le stockage technique nécessaire à l'acheminement d'une communication, sans préjudice du principe de confidentialité. 2. Le paragraphe 1 n'affecte pas l'enregistrement légalement autorisé de communications et des données relatives au trafic y afférentes, lorsqu'il est effectué dans le cadre des usages professionnels licites, afin de fournir la preuve d'une transaction commerciale ou de toute autre communication commerciale.
  • Directive 2002/58, modifiée en 2009 Article 5 Confidentialité des communications 3. Les États membres garantissent que le stockage d'informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur n’est permis qu’à condition que l’abonné ou l’utilisateur ait donné son accord, après avoir reçu, dans le respect de la directive 95/46/CE, une information claire et complète, entre autres sur les finalités du traitement. Cette disposition ne fait pas obstacle à un stockage ou à un accès techniques visant exclusivement à effectuer la transmission d’une communication par la voie d’un réseau de communications électroniques, ou strictement nécessaires au fournisseur pour la fourniture d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur.
  • Directive 2002/58 (modifiée en 2009) Considérants (24) L'équipement terminal de l'utilisateur d'un réseau de communications électroniques ainsi que toute information stockée sur cet équipement relèvent de la vie privée de l'utilisateur, qui doit être protégée au titre de la convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales. Or, les logiciels espions, les pixels invisibles (web bugs), les identificateurs cachés et les autres dispositifs analogues peuvent pénétrer dans le terminal de l'utilisateur à son insu afin de pouvoir accéder à des informations, stocker des informations cachées ou suivre les activités de l'utilisateur, et peuvent porter gravement atteinte à la vie privée de ce dernier. L'utilisation de tels dispositifs ne devrait être autorisée qu'à des fins légitimes, et en étant portée à la connaissance de l'utilisateur concerné.
  • Directive 2002/58 (modifiée en 2009) Considérants (25) Cependant, les dispositifs de ce type, par exemple des témoins de connexion (cookies), peuvent constituer un outil légitime et utile, par exemple pour évaluer l'efficacité de la conception d'un site et de la publicité faite pour ce site, ainsi que pour contrôler l'identité des utilisateurs effectuant des transactions en ligne. Lorsque des dispositifs du type précité, tels que des témoins de connexion, sont destinés à des fins légitimes, par exemple faciliter la fourniture de services de la société de l'information, leur utilisation devrait être autorisée à condition que les utilisateurs se voient donner des informations claires et précises, conformément à la directive 95/46/CE, sur la finalité des témoins de connexion ou des dispositifs analogues de manière à être au courant des informations placées sur l'équipement terminal qu'ils utilisent. Les utilisateurs devraient avoir la possibilité de refuser qu'un témoin de connexion ou un dispositif similaire soit placé sur leur équipement terminal. Ce point est particulièrement important pour les cas où des utilisateurs autres que l'utilisateur original ont accès à l'équipement terminal et donc aux données sensibles à caractère privé qui y sont stockées. L'information relative à l'utilisation de plusieurs dispositifs à installer sur l'équipement terminal de l'utilisateur ainsi que le droit de refuser ces dispositifs peuvent être offerts en une seule fois pendant une même connexion, et couvrir aussi l'utilisation future qui pourrait être faite de ces dispositifs durant des connexions subséquentes. Les méthodes retenues pour communiquer des informations, offrir un droit de refus ou solliciter le consentement devraient être les plus conviviales possibles. L'accès au contenu d'un site spécifique peut être, toutefois, subordonné au fait d'accepter, en pleine connaissance de cause, l'installation d'un témoin de connexion ou d'un dispositif analogue, si celui-ci est utilisé à des fins légitimes.
  • 2.2. Réglementation « technique » Guidance du « Groupe 29 » : 1. Avis 2/2010 du 22.06.2010 (WP 171) « online behavioral advertising » 2. Avis 16/2011 du 8 décembre 2011 (WP188) « EASA/IAB Best Practice Recommendation » 3. Avis 4/2012 du 7 juin 2012 (WP194) « cookie consent »
  • 2.2. Réglementation « technique » 1.Responsables: éditeur, ad network, annonceur, browser (…) 2.Navigateurs doivent bloquer par défaut les cookies (au moins les 3d party cookies) 3.Consentement pour le futur OK par le biais d’une info globale, mais pour une durée limitée et avec retrait du consentement toujours possible 4.Fournir des infos claires, explicites, régulières 5.Pas de « blanc-seing » pour www.youronlinechoices.eu (EASA/IAB), car : ≠ info préalable ≠ opt-in
  • 2.2. Réglementation « technique » 1. TYPES DE COOKIES SUSCEPTIBLES D’ÊTRE EXEMPTÉS DE L’OPT-IN : • Cookies de session d’origine alimentés par l’utilisateur • Cookies d’authentification • Cookies de sécurité centrés sur l’utilisateur • Cookies de session créé par un lecteur multimédia (player) • Load balancing • Cookies de personnalisation de l’interface utilisateur • Cookies de social sharing
  • 2.2. Réglementation « technique » 1. SAUF SI … • • Persistent après la session • Cookies tiers • 2. Autres finalités (…) EN TOUT CAS PAS: • Cookies de modules sociaux de pistage • Publicités de tiers • (Analytique d’origine)
  • 2.2. Réglementation « technique »
  • 2.2. Réglementation « technique »
  • 2.2. Réglementation « technique »
  • 2.2. Réglementation « technique »
  • Règles inadaptées ? 1.Caractère international 2.Multiplicité d’acteurs… tous responsables ? 3.Très faible niveau d’enforcement 4.Efficacité discutable au regard de la protection de la vie privée…
  • D-N-T = UN ESSAI DE SELF-REGULATION « TECHNIQUE »…
  • 3. DO-NOT-TRACK & OTHER SETTINGS 1. IAB / EASA Best Practice, avril 2011 (www.youronlinechoices.eu) • Notification p. ex. sous la forme d’une icône « standard » autour des publicités comportementales • Modalités conviviales pour exprimer le choix / le refus • Pas de segmentation sur les enfants • Segmentation sur des données sensibles moyennant un consentement explicite préalable
  • 3. DO-NOT-TRACK & OTHER SETTINGS 2. W3C do-not-track standard setting http://www.w3.org/2011/track-privacy/papers/ http://www.w3.org/2011/tracking-protection/ http://donottrack.us/ http://www.businessinsider.com/do-not-track-online-act-might-go-tocongress-2013-4 https://www.eff.org/issues/do-not-track
  • QUESTIONS ? Merci pour votre attention Benjamin Docquir benjamin.docquir@simontbraun.eu