Qui ?
Florence Chafiol Chaumont, avocate associée du cabinet August & Debouzy, spécialiste en Propriété Intellectuelle et Nouvelles Technologies.
Quoi ?
Une tribune, en réaction aux changements récent des règles du jeu sur Yahoo! Mail : désormais, le contenu des emails des internautes est scanné afin de mieux cibler les publicités. Cette fonctionnalité est déjà utilisée de longue date par Gmail, mais son absence chez Yahoo! avait justement séduit de nombreux internautes, désormais contraint de subir cette intrusion.
Comment ?
Début juin, Yahoo a présenté au marché une nouvelle version de sa messagerie. Cette version prévoit une analyse automatique des contenus des communications emails, entrants ou sortants, afin, selon Yahoo, de mieux cibler les fonctionnalités des produits, proposer des publicités pertinentes et protéger ses utilisateurs contre les comportements inconvenants.
Si l’on voit bien l’intérêt de Yahoo d’analyser les contenus des emails pour proposer de la publicité ciblée, on voit moins clairement comment cette analyse permettrait de mieux protéger ses utilisateurs… L’internaute dispose certes de la possibilité de ne pas recevoir de publicité ciblée sur ses centres d’intérêts, en désactivant cette fonctionnalité sur un mode d’opt-out (et non pas d’opt-in ce qui aurait été plus protecteur des intérêts des utilisateurs mais moins intéressant pour Yahoo bien sûr). Pour autant, l’internaute qui ne souhaiterait pas que Yahoo procède à l’analyse du contenu de ses emails ne peut l’en empêcher. S’il s’y oppose, la seule solution serait de résilier son compte de messagerie. Mais la fermeture d’un tel compte est une solution tellement lourde et extrême qu’elle peut difficilement être envisagée par un utilisateur.
Jusqu’à récemment, les constitutions de profils d’utilisateurs par les sociétés de publicités en ligne établissaient soit des profils "prédictifs" établis par déduction en observant le comportement individuel et collectif des utilisateurs dans le temps, soit en établissant des profils "explicites" établis à partir des données à caractère personnel que les personnes concernées fournissent elles-mêmes à un service web notamment par leur inscription. Yahoo, suivant ainsi ce que d’autres faisaient déjà, va désormais plus loin en procédant au scan et à l’analyse des contenus et ni la CNIL en France, ni le Groupe de l’Article 29 au niveau européen ne se sont encore expressément prononcés sur ces nouvelles pratiques, même si l’on imagine assez bien leurs réactions.
Si la méthode utilisée par Yahoo peut paraître choquante, ce dernier a néanmoins essayé de respecter certaines des règles posées par la législation française et européenne. Ainsi Yahoo recueille le consentement des utilisateurs en les obligeant à accepter ses nouvelles conditions générales d’utilisation, le défaut d’acceptation entraînant l’impossibilité pour l’internaute de continuer à utiliser le service de messagerie de Yahoo. D'un point de vue strictement juridique, Yahoo pouvait de toutes façons difficilement modifier ses conditions générales d’utilisation sans solliciter l’accord de l’utilisateur : d’abord, le code de la consommation le lui impose dès lors que les modifications apportées sont susceptibles d'affecter les caractéristiques auxquelles l’utilisateur a subordonné son engagement initial.
Ensuite la CNIL et le Groupe de l’Article 29 se sont déjà prononcés sur le ciblage publicitaire "classique" en considérant qu’un tel ciblage ne peut intervenir que pour autant que l’utilisateur a donné son accord et sous réserve que celui-ci ait reçu une information claire et complète concernant notamment les finalités du traitement des données personnelles auxquelles les acteurs de la publicité comportementale se livrent. Il est toutefois certain qu’en termes de clarté de l’information, Yahoo aurait pu mieux faire…
Cela étant et même si l’utilisateur a donné son consentement à l’analyse du contenu de ses mails, il lui appartiendra d’être particulièrement vigilant sur la nature des contenus publicitaires qui lui seront proposés. En effet, si les consommateurs peuvent éventuellement comprendre que de la publicité ciblée "standard" leur soit adressée sur la base du contenu des emails qu’ils reçoivent et rédigent, il en sera différemment si cette publicité est ciblée sur la base d’informations dites "sensibles" telles que données relatives à la santé, à la vie sexuelle ou aux convictions religieuses par exemple.
Sur le fondement de la réglementation applicable en matière de données personnelles, un tel ciblage sur la base d’informations sensibles nécessiterait 1., le recueil du consentement de l’utilisateur distinct du consentement général recueilli par Yahoo jusque-là et 2., que l’information délivrée soit bien plus claire et précise que celle que Yahoo s’est jusque-là contenté de rédiger.
Florence Chafiol Chaumont