Les opérateurs de télécommunications européens vont de l’avant avec un projet de création d’une joint-venture pour offrir un ciblage publicitaire « personnalisé » opt-in aux utilisateurs du réseau mobile régional après des essais l’année dernière en Allemagne. Bien qu’il reste à voir si les régulateurs de l’Union européenne approuveront leur plan.
Dans un dossier soumis à la division de la concurrence de la Commission européenne (repéré plus tôt par Politico), l’allemand Deutsche Telekom, le français Orange, l’espagnol Telefónica et le britannique Vodafone ont présenté le projet de concentration visant à créer une coentreprise contrôlée conjointement et détenue à parts égales – pour offrir « un solution d’identification numérique axée sur la confidentialité pour soutenir les activités de marketing et de publicité numériques des marques et des éditeurs », comme ils décrivent l’infrastructure proposée de ciblage publicitaire de données « de première partie ».
La Commission a jusqu’au 10 février pour se prononcer sur l’opportunité d’autoriser la coentreprise (JV) et, par conséquent, de laisser ou non les transporteurs procéder à un lancement commercial.
Un porte-parole de Vodafone a déclaré que les opérateurs de télécommunications ne sont pas en mesure de commenter la coentreprise envisagée à ce stade, tandis que la Commission examine s’il convient d’autoriser l’initiative – et ne serait pas attirée sur un calendrier de lancement potentiel. Ils ont suggéré que la messagerie publique sur le projet suivra l’approbation – en supposant que les opérateurs télécoms obtiennent le feu vert de Bruxelles pour travailler ensemble sur l’infrastructure de ciblage publicitaire mobile.
Des détails sur le plan pour les opérateurs de se plonger dans le ciblage publicitaire personnalisé sont apparus l’été dernier lors des premiers essais en Allemagne. La technologie était alors décrite comme une « infrastructure inter-opérateurs pour la publicité numérique et le marketing numérique » – et Vodafone a déclaré qu’elle s’appuierait sur le consentement de l’utilisateur pour le traitement des données. Le projet a également reçu le surnom initial de « TrustPid » (mais s’il vole, attendez-vous à ce que cette étiquette maladroite soit remplacée par un marketing plus efficace).
La proposition de ciblage publicitaire des opérateurs de télécommunications a rapidement atterri sur le radar d’un observateur de la vie privée, qui a soulevé des inquiétudes quant à la base juridique du traitement des données des utilisateurs mobiles pour les publicités – compte tenu des lois complètes de l’Union européenne sur la protection des données et la confidentialité, et compte tenu de la technologie publicitaire de microciblage existante (qui s’appuie également sur une demande de consentement de l’utilisateur), a été reconnu coupable d’avoir enfreint le règlement général sur la protection des données en février de l’année dernière.
Le projet a également fait l’objet d’une attention précoce de la part des autorités de protection des données en Allemagne et en Espagne. On nous dit que l’engagement avec les régulateurs a conduit à quelques ajustements sur la façon dont les opérateurs de télécommunications ont proposé de recueillir le consentement – pour rendre le processus plus explicite.
Le dossier de dépôt des opérateurs de télécommunications proposant de créer une JV, daté du 6 janvier 2023, confirme que le « consentement explicite de l’utilisateur » (via un opt-in) est la base juridique prévue pour le ciblage, en écrivant :
Sous réserve du consentement explicite de l’utilisateur fourni à une marque ou à un éditeur (sur une base opt-in uniquement), la JV générera un jeton pseudonymisé sécurisé dérivé d’une identité interne pseudonyme hachée/cryptée liée à l’abonnement réseau d’un utilisateur qui sera fourni par opérateurs de réseaux participants. Ce jeton permettra à la marque/éditeur concerné de reconnaître un utilisateur sans révéler de données personnelles directement identifiables et lui permettra ainsi d’optimiser la diffusion de la publicité display en ligne et d’effectuer l’optimisation du site/application. Les utilisateurs auront accès à un portail de confidentialité convivial. Ils peuvent vérifier les marques et les éditeurs auxquels ils ont donné leur consentement et retirer leur consentement.
Discutant de leur approche, un représentant de l’un des opérateurs de télécommunications concernés (Vodafone) a confirmé que l’intention était de s’appuyer sur la collecte du consentement des utilisateurs via des fenêtres contextuelles. Donc, si quelqu’un espérait que la disparition du suivi des cookies tiers renverserait le spam de consentement, cela semble bien prématuré.
Une alternative basée sur les données de première partie au cookie de suivi omniprésent (encore, pour l’instant) nécessite également une base juridique pour traiter les données des personnes à des fins de marketing – et les alternatives au consentement semblent de plus en plus délicates compte tenu des directives (et de l’application) continues des régulateurs de la protection des données de l’UE , comme l’amende massive infligée ce mois-ci à Meta pour avoir tenté de revendiquer la nécessité contractuelle du traitement des données des utilisateurs pour les publicités ; ou les avertissements que TikTok a reçus l’année dernière lorsqu’il a cherché à passer du consentement à une revendication d’intérêt légitime pour ses « annonces personnalisées » – une décision à laquelle il a été contraint de renoncer.
Le consentement en tant que base juridique des « publicités personnalisées » n’est pas non plus un pique-nique : le cadre de transparence et de consentement (TCF) de l’IAB – qui repose sur une demande de consentement au suivi des publicités par des tiers – a été jugé contraire au RGPD l’année dernière (tout comme l’IAB Europe). Et la DPA belge a donné à l’industrie adtech un mandat de réforme strict. Cependant, pour l’instant, le statu quo des annonces de suivi persiste, comme un zombie – en attendant un dernier jugement juridique.
La distinction que les quatre opérateurs de télécommunications à l’origine de la coentreprise proposée cherchent à revendiquer pour leur proposition de ciblage publicitaire basé sur le consentement – par rapport au ciblage adtech de la génération actuelle (légalement obscurcie) – est, premièrement, qu’il est basé sur des données de première partie (la demande de le projet TrustPid n’autorise ni n’est possible la synchronisation et/ou l’enrichissement des jetons de ciblage individuels entre les annonceurs participants). Ce n’est donc pas le genre de « superprofilage » d’arrière-plan sans consentement par conception des utilisateurs qui a fait atterrir la technologie publicitaire de la génération actuelle dans une telle eau chaude légale (et réputationnelle). Le suivi proposé est cloisonné par marque/annonceur, chacun devant obtenir le consentement préalable de ses propres utilisateurs et ne pouvant cibler que les points de données qu’il collecte. (De plus, on nous dit que les jetons liés à l’utilisateur seraient cyclés régulièrement, la proposition initiale étant de les réinitialiser tous les 90 jours.)
Deuxièmement, les opérateurs de télécommunications proposent d’imposer des limites contractuelles aux participants, par exemple en exigeant qu’aucune donnée de catégorie spéciale (par exemple, données de santé, affiliation politique) ne puisse être jointe par un annonceur en tant qu’intérêt pouvant être ciblé à un jeton lié à l’utilisateur. Ils veulent également que la JV ait le dernier mot sur la langue/la conception des pop-ups de consentement (qui, selon eux, offriront aux utilisateurs un refus de haut niveau, plutôt que d’enterrer cette option comme cela se produit couramment avec les pop-ups de consentement aux cookies). Et ils disent qu’ils auditeront régulièrement tous les sites Web participants.
Il existe un troisième contrôle : un portail sur lequel les utilisateurs mobiles peuvent afficher (et révoquer) tous les consentements qu’ils ont donnés aux marques/éditeurs individuels pour utiliser leurs données de première partie pour les publicités – et qui, nous dit-on, fournira une option qui permet aux utilisateurs mobiles de bloquer l’ensemble du système (donc un opt-out dur). Bien que nous comprenions que ce n’est pas le cas actuellement (dans l’essai), les utilisateurs qui appliquent un tel blocage ne peuvent pas recevoir de fenêtres contextuelles leur demandant leur consentement au ciblage publicitaire – donc, encore une fois, le spam de consentement et la fatigue du consentement devraient continuer. (Et, eh bien, cela pourrait vraisemblablement se multiplier à mesure que le consentement est dégroupé – c’est-à-dire si le système décolle avec de nombreuses marques et annonceurs.) Du moins, à moins ou jusqu’à ce qu’ils puissent trouver une base juridique appropriée qui ne nécessite pas de harceler les utilisateurs qui ont déjà refusé leur consentement avec des pop-ups.
Si la coentreprise des opérateurs de télécommunications obtient le feu vert de la Commission, l’examen du projet s’intensifiera bien sûr – et une attention particulière aux détails techniques (et contractuels) pourrait bien susciter de nouvelles inquiétudes. Il est donc trop tôt pour juger si l’approche passera/passera le rassemblement auprès des régulateurs et des experts en matière de confidentialité.
Il pourrait également y avoir des frictions de la part des utilisateurs de réseaux mobiles eux-mêmes – s’ils découvrent soudainement qu’ils rencontrent une nouvelle couche irritante de spam de consentement lorsqu’ils naviguent sur le Web mobile, un service qu’ils paient, après tout, aux opérateurs de télécommunications pour leur fournir. Ainsi, la tolérance pour le spam de consentement supplémentaire pourrait être très faible.
De plus, convaincre les utilisateurs mobiles d’accepter réellement les publicités – en supposant qu’ils disposent effectivement d’un choix véritablement libre (et juste/non manipulateur) pour refuser le suivi, plutôt que d’être forcés ou induits en erreur comme cela a été la règle du modèle sombre pour années — présente un obstacle majeur à l’adoption. De nombreuses personnes refuseront le suivi si elles sont réellement interrogées à ce sujet (voir, par exemple, l’impact de l’exigence de transparence du suivi des applications d’Apple sur la capacité des applications iOS tierces à suivre les utilisateurs).
Ainsi, même si les opérateurs de télécommunications sont autorisés à créer leur annonce ciblant la JV, rien ne garantit que les utilisateurs mobiles sur leurs réseaux accepteront de jouer au ballon.
Pourtant, si cela vole, les marques pourraient avoir une chance de convaincre les internautes avec une nouvelle approche. Être clair et transparent sur le fait de vouloir traiter les données personnelles des gens pour les publicités – et, potentiellement, également en mesure d’offrir des incitations aux utilisateurs pour qu’ils acceptent – offre une opportunité de faire les choses différemment par rapport à un statu quo effrayant qui ne peut pas expliquer clairement comment les données des gens ont été aspirées vers le haut, où il a pu finir, ou ce qui a été vraiment fait avec lui.
Une approche directe pourrait ainsi permettre aux marques les plus avisées d’approfondir leurs relations avec les clients fidèles en faisant des demandes simples, sans recourir à une surveillance sournoise.