Webinar : L'avenir du consentement de l'utilisateur Une discussion avec Max Schrems
Lors du récent webinar sur l’avenir du consentement utilisateur organisé par notre partenaire Didomi, des experts de divers horizons ont partagé leurs perspectives sur les défis et les évolutions à venir. Parmi les intervenants, nous avons eu l’honneur d’écouter Max Schrems de NOYB (None of Your Business), Peter Craddock de Keller & Heckman, Willy Mikalef de Bird & Bird, ainsi que Romain Gauthier de Didomi.
Max Schrems est avocat spécialisé en protection de la vie privée ainsi qu’un auteur reconnu pour son travail en faveur des droits des utilisateurs en matière de données personnelles. Son organisation, NOYB, joue un rôle important en déposant des plaintes pour non-conformité aux règles de protection des données à travers l’Europe.
Lors de cette session, les intervenants se sont donc interrogés sur les défis posés par les directives du Comité Européen de la Protection des Données (EDPB) relatives aux bannières de cookies, sur le modèle “Consent or Pay”, ainsi que sur les enjeux de la protection de la vie privée dans le contexte de l’intelligence artificielle (IA). Découvrons ici un compte-rendu des perspectives sur ces questions cruciales.
Rapport du Comité Européen de la Protection des Données sur les bannières de cookies
Disparités et Complexité
Le rapport du Comité Européen de la Protection des Données (EDPB), adopté en janvier 2023, met en lumière les disparités des règles au sein de l’UE. Malgré les efforts de noyb pour harmoniser les pratiques, les régulateurs n’ont pas réussi à s’accorder sur des directives claires. Cette situation crée une incertitude pour les entreprises qui doivent naviguer entre des régulations nationales variées.
Défis Pratiques
Les pratiques problématiques, telles que l’absence de bouton “Tout refuser” ou l’utilisation de cases pré-cochées, restent courantes. Ces “dark patterns” compliquent le consentement éclairé des utilisateurs. De plus, le retrait du consentement n’est souvent pas aussi simple que son octroi, malgré les exigences du RGPD.
Sanctions et Conformité
Les sanctions pour non-conformité aux règles sur les cookies peuvent être sévères, comme en témoigne la CNIL en France, qui a infligé près de 500 millions d’euros d’amendes depuis 2020. Cette tendance souligne l’importance pour les entreprises de se conformer rigoureusement aux directives locales.
Vers un Futur Plus Clair
Pour les entreprises, il est crucial de suivre de près les évolutions réglementaires et de s’adapter rapidement. La transparence et la simplicité dans la gestion des consentements ne sont pas seulement des obligations légales, mais aussi des éléments clés pour gagner la confiance des utilisateurs.
Consent or Pay Model
Chronologie d’Événements Clés autours du cas Meta : Le 4 juillet 2023, la Cour de justice de l’Union européenne (CJEU) a statué que les pratiques de Meta, conditionnant l’accès à ses services à l’acceptation des cookies, n’étaient pas conformes au RGPD. En avril 2024, l’EDPB a publié un avis sur le modèle “Consent or Pay”, recommandant que les plateformes offrent une “alternative équivalente” qui ne nécessite pas de paiement et qui n’implique pas de publicité comportementale. Cet avis a été contesté par Meta en juin 2024, soulignant les défis juridiques pour les entreprises mondiales, notamment en matière de conformité et de protection des données personnelles.
Impact des Cookie Walls et Consentement Éclairé
Les cookie walls, conditionnant l’accès à un site au consentement ou au paiement, ont montré une augmentation de l’acceptation du consentement de 50 % à 70 %, et du consentement au paiement de 5 % à 22 %. Ces résultats indiquent une tendance vers un consentement plus explicite et éclairé.
Défis liés à l’IA et au RGPD
La discussion a aussi porté sur l’application du RGPD à l’IA. Peter Craddock a souligné la distinction entre la collecte de données pour l’entraînement des IA et les données personnelles dans les modèles. Max Schrems a noté que les principes du RGPD peuvent s’appliquer aux nouvelles technologies, comme l’a montré la DPA de Hambourg avec les données tokenisées.
Willie Mikalef a insisté sur l’importance des mesures de protection plutôt que de privilégier uniquement le consentement. Il a cité les conseils de la CNIL pour guider le développement des systèmes d’IA tout en respectant les droits des utilisateurs.
Meilleures Pratiques et Recommandations
Le modèle “Consent or Pay” représente un défi et une opportunité pour les entreprises. Les intervenants ont souligné l’importance de respecter les exigences réglementaires, malgré la disparité des règles à travers l’EEE, créant des incertitudes pour les entreprises opérant en Europe.
Privacy and AI
La dernière partie de la conférence a abordé les enjeux de la protection de la vie privée liés à l’utilisation de l’intelligence artificielle (IA) et le consentement des utilisateurs. Avec l’essor des technologies d’IA, notamment les modèles de langage de grande taille (LLM), des questions cruciales se posent concernant la collecte et l’utilisation des données personnelles.
Intersections entre IA et Protection des Données
Les intervenants ont souligné que l'utilisation de l'intelligence artificielle pour traiter les données personnelles nécessite une attention particulière sur le plan réglementaire. Le débat s’est concentré sur l’importance de distinguer les différentes phases de l’usage des données : celles utilisées pour l'entraînement des IA, les données fournies par les utilisateurs, et les données générées en sortie. Cette distinction est cruciale pour éviter les malentendus juridiques. Par exemple, l’Autorité irlandaise de protection des données a récemment sollicité l’EDPB pour clarifier ces interactions, en particulier après des cas comme Meta et Twitter, qui ont invoqué l’intérêt légitime pour utiliser des données personnelles dans l'entraînement de l’IA. L'EDPB a accepté que des données personnelles accidentelles puissent parfois être utilisées, tout en rappelant la nécessité de protéger ces données contre le scraping des réseaux sociaux.
Bonnes Pratiques pour l’Intégration de l’IA
Des recommandations telles que la mise en œuvre de la "Privacy by Design", qui intègre la protection des données dès la phase de conception des systèmes, ont été discutées. La transparence dans les décisions algorithmiques est également essentielle pour renforcer la confiance des utilisateurs. La CNIL, en France, a joué un rôle prépondérant en établissant des directives sur l'utilisation des données personnelles pour l'entraînement des IA, un cadre encore en développement sous le RGPD.
Enfin, la nécessité d'une réglementation claire et équilibrée a été soulignée pour éviter de freiner l'innovation tout en respectant les droits des utilisateurs. Des discussions ouvertes entre les régulateurs, entreprises et parties prenantes seront essentielles pour façonner un avenir où IA et protection des données coexistent harmonieusement.
Conclusion Vers un équilibre entre innovation et protection des données
L’avenir du consentement utilisateur s’inscrit dans un cadre réglementaire complexe où la transparence et la conformité sont essentielles pour gagner la confiance des utilisateurs. Les entreprises devront s’adapter aux évolutions aux exigences du RGPD. À travers des organisations comme NOYB, le respect des règles de protection des données restera une priorité, garantissant que la protection de la vie privée évolue avec les technologies de demain. En collaboration avec des partenaires comme Didomi, SIWAY contribue à faciliter une gestion du consentement et aide les entreprises à conjuguer respect de la vie privée et croissance de leur chiffre d'affaires.