Le RGPD est présenté comme une protection de la vie privée des internautes. La mesure aura servi de prétexte aux grands intermédiaires publicitaires américains pour transférer leurs responsabilités sur leurs partenaires européens. Quant au consentement de l’internaute, l’obligation s’efface quand l’entreprise démontre qu’elle poursuit un intérêt légitime. C’est ce que considère dans cette tribune, Etienne Drouard, avocat associé au sein du bureau de K&L Gates à Paris.
Le 25 mai 2018, de nombreux sites européens diffusant de la publicité et leurs prestataires européens de publicité, les agences, régies, fournisseurs de données, ont subi une coupure des flux de données nécessaires à l’achat-vente d’espaces publicitaires en ligne.
Garantir avoir recueilli le consentement des internautes
En cause, la volonté, de certains intermédiaires publicitaires d’imposer leurs propres règles au nom du RGPD. Les sites concernés ou leurs prestataires en publicité digitale se sont vus proposer de nouveaux contrats pour continuer à diffuser de la publicité ciblée en fonction du profil de leurs internautes. Ils devaient garantir avoir recueilli le consentement de leurs internautes à l’utilisation de leurs données personnelles à des fins de ciblage publicitaire. Un consentement obtenu pour le compte du prestataire américain de ciblage publicitaire.
Par ce moyen de pression, les intermédiaires publicitaires ont su se défaire de toute responsabilité légale.
Côté Européens, cela a été la panique face à la perte des revenus publicitaires
Ils ont dû massivement accepter de signer les nouveaux contrats dans les heures qui ont suivi la coupure des flux publicitaires. Si quelques diffuseurs ou fournisseurs européens de données ont refusé les contrats qui leur étaient soumis, ils ont vu leur accès aux réseaux d’achats-vente d’espaces publicitaire coupés. Jusqu’à nouvel ordre.
Plusieurs dizaines de millions d’euros de revenus publicitaires ont été perdus par ces acteurs européens qui refusent de « servir la soupe » en fournissant des garanties excessives aux grandes régies et solutions logicielles de gestion de données américaines.
Assurer les risques pour les sociétés américaines
Dans ce chantage, les Européens sont réduits à choisir entre deux rôles. Soit ils deviennent les « assureurs-vie » des géants de l’informatique qui leur transfèrent le risque de non-conformité au RGPD. Soit ils renoncent aux revenus issus de la publicité en ligne, car les trois-quarts de la valeur circulant via les réseaux publicitaires passent par des solutions informatiques américaines.
Le RGPD fait le jeu du plus fort
Aucune de ces alternatives n’aboutit à mieux protéger les internautes européens ni à étendre leur protection hors des frontières européennes. Faut-il pour autant accuser le RGPD ? Non. Il ne s’agit pas non plus de sombrer dans un anti-américanisme primaire. Il s’agit d’observer les rapports de force économiques. La valeur des données personnelles est devenue un enjeu stratégique pour la souveraineté des Etats et des économies européennes. Les enjeux de régulation sont donc une vision politique et non une affaire de technique juridique.
Le consentement n’est pas toujours imposé par le RGPD
Les régulateurs des Etats européens se sont concentrés autour d’une interprétation très stricte du règlement, alors même que le RGPD n’impose pas toujours le consentement des internautes pour pouvoir utiliser leurs données. Le règlement RGPD permet à une entreprise de traiter des données lorsqu’elle démontre qu’elle poursuit un « intérêt légitime » et apporte des garanties suffisantes pour protéger les droits des personnes.
L’ignorance mène aux dérives sur le RGPD
Une meilleure pédagogie doit être réalisée autour de ces questions pour éviter que l’instrumentalisation du RGPD ne se développe au profit du plus fort et non du plus sincère.
Le futur réglement ePrivacy en question
Les régulateurs ne peuvent plus se contenter d’agiter la théorie du consentement comme une arme à sanctionner ensemble. Ils devront se mettre d’accord sur les équilibres plus complexes que le RGPD exige de leur part, consistant à protéger les personnes malgré leur attirance pour un service, malgré le panurgisme des égos.
La régulation ne consiste pas à renvoyer les personnes à leur consentement et les entreprises les plus faibles à des régimes de prohibition. Espérons que le futur règlement « ePrivacy » permettra de poursuivre la construction d’un cadre plus clair pour que tous les acteurs économiques puissent s’y conformer sans que cela ne fasse le jeu des plus forts.
Le cabinet K&L Gates réunit près de 2000 avocats
K&L Gates comprend près de 2000 avocats exerçant sur les cinq continents. Le cabinet représente de grands groupes internationaux, des sociétés en expansion, des PME, des acteurs des marchés financiers, des entreprises actives dans tous les grands secteurs d’activités ainsi que des entreprises publiques, des établissements d’enseignement, des associations ou encore des particuliers.
K&L Gates est implanté à: Anchorage, Austin, Beijing, Berlin, Boston, Brisbane, Bruxelles, Charleston, Charlotte, Chicago, Dallas, Doha, Dubaï, Fort Worth, Francfort, Harrisburg, Hong Kong, Houston, Londres, Los Angeles, Melbourne, Miami, Milan, Munich, Newark, New York, Orange County, Palo Alto, Paris, Perth, Pittsburgh, Portland, Raleigh, Research Triangle Park, San Francisco, São Paulo, Seattle, Seoul, Shanghaï, Singapore, Sydney, Taipei, Tokyo, Varsovie, Washington D.C., et Wilmington.