Publicité

Cookies : la recommandation de la Cnil inquiète les acteurs du digital

  • cookies-ordinateur-cnil.jpg

    cookie-internet-cnil
    Il est regrettable que la Cnil et ses homologues européens ne parviennent pas à exprimer une vision commune et harmonisée sur les modalités du recueil du consentement aux cookies. (Freepik/Racool_studio)
  • La consultation publique ouverte par la Cnil sur son projet de recommandation relative aux modalités pratiques de recueil du consentement pour le dépôt de cookies s’est achevée le 25 février 2020. Dans l’attente de la publication de la version définitive de sa recommandation prévue ce mois-ci, retour sur les points qui ont suscité les réactions les plus vives des éditeurs de services en ligne et du secteur du marketing digital.

    1. Une liste de traceurs exemptés qui fait débat

    La Cnil fournit une liste de traceurs exemptés dans son projet de recommandation. En effet, l’exigence de consentement prévue par la directive ePrivacy et transposée à l’article 82 de la Loi Informatique et Libertés ne s’applique pas aux opérations qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique, ou sont strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.

    La liste fournie par la Cnil illustre tout d’abord les limites d’une régulation à l’échelle nationale sur un tel sujet. Certains cookies qui ne sont pas exemptés en Espagne ou au Royaume-Uni le sont en France sous certaines conditions. C’est le cas des cookies de mesure d’audience par exemple.

    Les professionnels du marketing digital montent au créneau

    La liste de la Cnil est par ailleurs jugée insuffisante par les professionnels du marketing digital qui pointent notamment l’absence de référence aux cookies de sécurisation des sites et aux cookies de détection de la fraude (qui ont fait l’objet d’exemptions explicites dans les dernières versions du projet de règlement ePrivacy).

    Les professionnels regrettent également l’absence d’exemption des cookies de comptage et de facturation (qui répondent à l’exigence de transparence requise par la loi Sapin pour la mesure de la performance des campagnes publicitaires) ainsi que des cookies de "capping" qui rendent service à l’utilisateur en ce qu’ils lui évitent de recevoir la même publicité trop souvent.

    >Lire aussi : RGPD : 160 000 plaintes et 114 millions d'euros d'amendes en dix-huit mois

    2. L’éditeur du service : unique responsable de la conformité ?

    La Cnil considère qu’il revient toujours à l’éditeur du site ou de l’application mobile dont la visite déclenche le dépôt et l’utilisation de traceurs, y compris par des tiers, de s’assurer de la présence d’un mécanisme permettant de recueillir un consentement valide s’agissant des opérations de lecture et/ou d’écriture d’informations dans le terminal de l’utilisateur.

    Dans le cadre de cookie tiers, ce n’est pourtant pas l’éditeur du site qui définit la finalité des cookies ou la technologie de traçage utilisée : c’est le tiers. C’est encore ce dernier qui détermine les destinataires des données collectées via les cookies.

    Le tiers est donc responsable de traitement au sens du RGPD et doit mettre en œuvre notamment les obligations d’information et de consentement.

    L’autorité ne nie pas cette qualification, mais n’en tire aucune conséquence pratique : elle aurait pu par exemple recommander explicitement à ces tiers de fournir à l’éditeur du service les informations utiles sur les cookies utilisés pour qu’il puisse mettre en place une plateforme de recueil de consentement (consent management platform ou​​ CMP) conforme.

    La Cnil semble donc faire peser tout le poids de la conformité sur l’éditeur du site ou de l’application mobile.

    >Lire aussi : RGPD un an après : tout savoir sur le métier de DPO

    3. Une information susceptible d’inciter les internautes à rejeter les cookies en bloc

    La Cnil renforce considérablement l’information des personnes. Elle recommande que chaque finalité soit mise en exergue dans un intitulé court et mis en évidence, accompagné d’un bref descriptif, depuis l’interface de recueil du consentement, par exemple :

    « Publicité personnalisée : [nom du site] [et des sociétés tierces / nos partenaires] utilise(nt) des traceurs afin d’afficher de la publicité personnalisée en fonction de votre navigation et de votre profil ».

    En complément, la Cnil préconise de mettre à disposition de l’internaute, via un bouton de déroulement ou un lien hypertexte, une description plus détaillée de chaque finalité. 

    La Cnil recommande également que la liste exhaustive des destinataires des cookies soit mise à la disposition de l'utilisateur au moment du recueil de son consentement et, de manière permanente, à un endroit aisément accessible. La Cnil ne reconnaît donc pas aux éditeurs la possibilité de fournir la liste des destinataires par catégorie, ce qui est pourtant une option permise par le RGPD.

    >Lire aussi : RH : "Le RGPD a donné lieu à de grosses surprises"

    Cette liste doit par ailleurs être régulièrement mise à jour et, en cas d’ajout substantiel, le consentement de l’utilisateur doit être redemandé avant la poursuite des opérations. La notion « d’ajout substantiel » n’est pas précisée plus avant.

    Enfin, pour que l’utilisateur soit pleinement conscient de la portée de son consentement, il doit notamment savoir si ce dernier est valable pour le suivi de sa navigation sur d’autres sites ou applications que ceux depuis lesquels son consentement est recueilli.

    Quel impact pour les éditeurs de site gratuits et les annonceurs ?

    Les professionnels s’inquiètent à juste titre des conséquences sur le comportement des internautes de ce flot d’informations que les sites et applications mobiles vont devoir fournir. Il est en effet à craindre que cette masse de clics, menus déroulants, liens hypertextes et éléments d’information, incitent les internautes à refuser en bloc les cookies.

    Les éditeurs de site gratuits et les annonceurs qui financent indirectement leurs contenus seraient directement impactés.

    >Lire aussi : Petit précis du RGPD : texte, formations et outils pour DPO

    4. Des recommandations précises sur le design des CMP

    La Cnil permet d’afficher sur la CMP une croix de fermeture permettant à l’utilisateur de ne pas faire de choix et de retarder sa décision. Il est par ailleurs possible de proposer des boutons d’acceptation et de refus globaux, à côté de la possibilité de consentir de manière granulaire.

    Ces choix peuvent par exemple être exprimés via des boutons « personnaliser mes choix », « tout accepter » et « tout refuser », à la condition qu’ils soient mis en évidence de la même façon, afin, selon l’autorité, de respecter l’exigence de consentement libre et spécifique.

    Ce bouton « tout refuser » n’a pas manqué de faire bondir les éditeurs de services et les acteurs du marketing digital qui dénoncent l’instauration unilatérale par la Cnil d’un droit au refus des cookies et une mise en œuvre pratique faisant prévaloir le refus sur le consentement non prévus par le RGPD ni par la directive ePrivacy.

    Par ailleurs, la Cnil interdit le recours à des pratiques de design potentiellement trompeuses dans la rédaction des CMP, telles que l’usage d’une grammaire visuelle troublant la compréhension de l’utilisateur quant à la nature de son choix.

    >Lire aussi : Bibliothèques et centres de documentation : comment adapter vos pratiques au RGPD ?

    5. Une recommandation non prescriptive ?

    La Cnil précise que cette recommandation, notamment les exemples qui y sont proposés, « n’est pas prescriptive ni exhaustive ». Plane ainsi une certaine ambiguïté sur la valeur contraignante de cet outil pour les entreprises.

    L’expérience démontre pourtant que les recommandations de l’autorité constituent sa doctrine et sa grille de lecture de la conformité, notamment dans le cadre de ses contrôles. Il est donc très probable que cette recommandation ne se borne pas à être un simple outil d’accompagnement des professionnels mais devienne également un outil contraignant au soutien des décisions de sanction de l’autorité.

    Dans son plan d’action sur le ciblage publicitaire annoncé le 28 juin 2019, la Cnil indiquait d’ailleurs qu’elle procéderait « à des vérifications du respect de sa recommandation finale six mois après son adoption définitive ». 

    Insécurité juridique et puzzle réglementaire

    Il est regrettable que la Cnil et ses homologues européens ne parviennent pas à exprimer une vision commune et harmonisée sur les modalités du recueil du consentement aux cookies.

    >Lire aussi : Pourquoi le RGPD est l'opportunité de mettre en place une vraie gouvernance de l'information

    L’insécurité juridique et le puzzle réglementaire qui en résultent pour les éditeurs de services et les acteurs du marketing digital, qui opèrent dans un périmètre transnational, sont lourdement pénalisants.

    Ces entreprises attendent aujourd’hui avec inquiétude la publication de la version définitive de la recommandation de la Cnil, prévue pour ce mois-ci. Suite au prochain épisode.

    Willy Mikalef
    Avocat - Cabinet Bird & Bird

    À lire sur Archimag
    Le chiffre du jour
    des bibliothèques proposant des ressources numériques ont constaté depuis le début du confinement une augmentation des usages de leurs ressources en ligne, selon une enquête flash menée par le ministère de la Culture fin mars 2020.
    Recevez l'essentiel de l'actu !
    Publicité

    Data 2020.PNG