#045 Le IP tracking (la collecte des données de navigation)

RGPD données personnelles

#045 Le IP tracking (la collecte des données de navigation)

RGPD données personnelles

[mis à jour le 31 octobre 2016] Que se cache-t-il derrière le terme (barbare) de IP tracking ? Il s’agit du terme « métier » désignant les techniques de collecte des données de navigation des internautes. Tiens ! ça y est ? ça vous intéresse ? Vu le titre, vous aurez anticipé que c’est compliqué à comprendre techniquement et un tout petit peu long à expliquer. Alors juste quelques mots avant les images de la présentation en BD (voir le slider tout à la fin).

L’enregistrement des données de navigation

Lorsque vous naviguez sur un site, son éditeur vous informe (parfois) qu’il est susceptible de collecter des données vous concernant, via par exemple un « cookie ». Cet éditeur fait (donc) du IP tracking. Mais savez-vous ce qu’est un « cookie » ? Savez-vous qu’il existe d’autres techniques de collecte de vos données de navigation ? Et savez-vous ce que les DMP (Digital Marketing/Managment Platform) font de vos données ? De la publicité ciblée, bien sûr, via un « profilage« … Entre autres… Car, si vous utilisez une adresse email, et que vous êtes sidéré par (notamment) l’ampleur du spam dont vous êtes victime, c’est que de nombreux opérateurs de ce marché (les DMP en tête) font quand même franchement n’importe quoi. Et dans une impunité quasi-totale (pour l’instant), reconnaissons-le.

Les règles juridiques applicables à l’IP tracking

Si vous voulez savoir comment tout cela fonctionne aujourd’hui, il va falloir s’intéresser à la technique une fois encore.

Quelques définitions devraient vous permettre de vous y retrouver. Car dans « IP tracking » il y a « IP » pour « Internet Protocol« . Alors si vous en avez assez de vous demander ce que veulent dire « adresse IP« , « www« , ou « http« , les explications qui suivent sont pour vous. Pour toute forme correction / précision sur ce qui figure dans la présentation ci-dessous, François Ziserman et moi vous attendons de pied-ferme (mais bon, nous ne sommes pas infaillibles non plus…).

Mais toutes ces techniques ne seraient pas trop difficiles à digérer (en tout cas, dans leurs principes) si la réglementation de la matière était claire et compréhensible. Or, hélas… Vous allez découvrir un maquis de textes dont tout démontre qu’ils n’ont pas été pensés de manière cohérente (c’est le moins que l’on puisse dire). A force de courir après la technique qui évolue (forcément) très vite, notre droit est franchement distancé. Ce qui vaut pour les délibérations de la CNIL qui représentent le gros du corpus légal encadrant (pour l’instant) notre sujet.

Car l’enjeu au final reste celui des données : les professionnels qui traquent votre navigation sur le Réseau des réseaux collectent-ils de simples métadonnées ou des données personnelles ? La différence, en l’état du droit français comme européen, est déterminante. Car dans le premier cas, la collecte des métadonnées est à peine encadrée (à part (1) pour les professionnels des télécoms et de l’Internet et (2) pour les services de renseignement). Dans le cas de données personnelles, on parle de sanctions pénales pour le professionnel qui ne respectent pas la réglementation « Informatique et libertés » ou le Règlement 2016/679 « data protection ».

L’adresse IP fixe ou dynamique est-elle une donnée personnelle ?

Comme la question vient d’être tranchée par l’affirmative le 19 octobre 2016 par la CJUE, nous avons consacré une présentation spéciale sur le sujet à laquelle vous pouvez vous reporter.

Pourquoi parler aujourd’hui du IP tracking ?

Peut-être parce que « l’Autorité de la concurrence se saisit pour avis afin d’analyser les conditions d’exploitation des données dans le secteur de la publicité en ligne » (je cite le communiqué de presse du 23 mai 2016) ?

Peut-être aussi parce que l’appétit (et l’imagination) de certains acteurs du secteur semble sans limite ? [mise à jour du 29 août 2916] … à propos du traitement fusionné des données Facebook + WhatsApp qui inquiète officiellement l’I.C.O. (Information Commissionner’s Office : l’autorité britannique de contrôle des données) ? … à propos de Facebook qui semble vouloir collecter les données de personne qui n’utilisent pas son service ? (PS : quand c’est gratuit, c’est vous, le produit).

[mise à jour du 28 juillet 2016] La CNIL annonce le 27 juillet sur son site « Cookies : la CNIL étend ses contrôles au-delà des éditeurs de sites« .

« Afin de tenir compte de la complexité et des évolutions de l’écosystème de la publicité en ligne, la CNIL engage des contrôles auprès des professionnels non éditeurs qui émettent des cookies. L’objectif étant de promouvoir une solution globale de conformité sur l’ensemble de la chaîne de la publicité en ligne. »

« De nouveaux contrôles étendus aux partenaires des éditeurs de sites »

Oui, la CNIL ne va pas attendre l’entrée en vigueur (le 25 mai 2018) du Règlement UE 2016/679 pour faire des contrôles.

[mise à jour du 13 juillet 2016] Même la Secrétaire d’état au Commerce semble se soucier des pratiques liées au IP tracking : Mme Martine Pinville a répondu le 7 juillet 2016 à la question d’un sénateur (du 30 juin 2015) et annonce que « le sujet de « l’IP tracking» fera l’objet dans les prochains mois de nouvelles investigations [par les services de la DGCCRF] « . Pour cela, les services de l’Etat devront prouver que, via l’IP tracking, certains opérateurs de services internet utilisent une « pratique commerciale déloyale ou trompeuse, susceptible d’altérer le comportement économique du consommateur« .

Laissons le mot de la fin à Madame la Secrétaire d’état : « Cette pratique est difficile à qualifier juridiquement et difficile également à démontrer » (et c’est une professionnelle qui vous le dit !).

… à cause du Règlement UE 2016/679 applicable en 2018 !

Ben… oui… nous avons choisi de vous parler du IP tracking surtout à cause de l’adoption du tout récent Règlement UE 2016/679 « Data Protection » du 27 avril 2016.

Pour une bonne mise en perspective, nous avons choisi de mettre en parallèle l’état actuel du droit en France avec les dispositions du nouveau Règlement UE – qui va nécessairement conduire à une remise à plat de ce système pour les professionnels du traitement de la donnée et leurs sous-traitants au plus tard le 25 mai 2018.

Alors pour comprendre aujourd’hui et (soyons fous) anticiper demain, que vous soyez simple internaute, citoyen en quête de compréhension, ou prestataire hésitant sur la légalité des pratiques techniques et commerciales de ses sous-traitants (ce sont les autres qui sont coupables…), il est sans doute temps de lire les explications qui suivent.

Un TRES GRAND MERCI aux éditions Akiléos (Emmanuel BOUTEILLE en tête) et à Vincent Brugeas et Ronan Toulhoat, les deux auteurs de « Chaos Team » d’avoir bien voulu prêter leurs personnages de mercenaires d’un futur post-apocalypse pour illustrer cette présentation. Et comme chez Akiléos, on est super sympa, j’ai pu récupérer la police de caractères originale. Il vous sera plus difficile de distinguer entre les vrais phylactères et ceux (odieusement) trafiqués par votre serviteur. J’ajoute que les fumeurs vont se régaler….