Exclusif : l'UE veut bloquer les cookies tiers par défaut dans les navigateurs

Exclusif : l'UE veut bloquer les cookies tiers par défaut dans les navigateurs Le JDN s'est procuré le projet de règlement de protection de la vie privée rédigé par la Commission européenne. Si le texte en reste là, les conséquences pour le marché publicitaire risquent d'être désastreuses.

Le projet de règlement de protection de la vie privée de la Commission européenne a tout d'une bombe. Dans le document de travail que le JDN s'est procuré, Bruxelles veut imposer un concept très fort de "privacy by design".

L'article 10 de ce règlement stipule que "les paramètres de tous les composants des équipements mis sur le marché doivent être configurés par défaut pour empêcher des acteurs de tiers de collecter des informations". "En clair, les navigateurs Web devront être configurés par défaut pour bloquer les cookies tiers qui sont utilisés le plus souvent à des fins publicitaires", résume Mathieu Berguig, avocat spécialisé en droit des nouvelles technologies. C'est déjà le cas du navigateur d'Apple, Safari.

Le concept de "mis sur le marché" gagnera toutefois à être développé. L'article 10 concernera-t-il tous les nouveaux produits ou également les équipements déjà en place et leur mise à jour ? "Est-ce qu'une mise à jour de Chrome, une fois ce règlement adopté, entraînera un blocage par défaut des cookies posés par des tiers ?", s'interroge Alan Walter, avocat associé chez Walter Billet Avocats. La nuance est de taille. Dans le premier cas, le marché bénéficierait d'un sursis conséquent, le temps que les équipements soient complètement renouvelés.

L'article 10 de règlement de protection de la vie privée de la Commission européenne. © JDN

L'injonction de la Commission européenne risque en tout cas de causer quelques remous au sein d'un marché publicitaire déjà bien échaudé par la directive "Paquet télécom". Cette dernière imposait aux éditeurs de recueillir le consentement des internautes via un opt-in de bannière avant de déposer un cookie. Les acteurs du marché pourront tout juste se réjouir que la Commission européenne enlève cette obligation lorsque l'utilisateur a déjà configuré les paramètres de son navigateur Web pour accepter les cookies tiers. "La Commission fait le même constat que beaucoup. La multiplication de ces bannières informant de la dépose d'un cookie a rendu la navigation sur Internet très pénible", explique Mathieu Berguig.

Une amende qui pourra monter jusqu'à 20 millions de dollars

Les acteurs du monde publicitaire le demandent depuis longtemps. La Cnil s'y est toujours fermement opposé. Mais on peut imaginer qu'avec des navigateurs configurés par défaut pour bloquer les cookies tiers, elle n'y verra plus aucun inconvénient. Côté publicitaires, ce "cadeau" a tout de la fausse bonne nouvelle espérée dans un premier temps. On peut douter que les internautes reconfigurent d'eux-mêmes leur navigateur pour qu'ils acceptent les cookies tiers. D'autant que la manipulation est des plus compliquées. Sur Chrome, par exemple, il faut aller dans l'onglet "paramètres", afficher les paramètres avancés tout en bas de son écran et enfin cliquer sur l'onglet "paramètres du contenu" pour pouvoir gérer la collecte des cookies. Un vrai parcours du combattant !

L'onglet "paramètres de contenus" qui permet de gérer la collecte des cookies au sein du navigateur Chrome. © Capture d'écran de Chrome

Ce règlement, qui est une mise à jour des articles 6 et 7 de la directive commerce électronique (qui date de… 2000), va désormais être étudié par le Parlement européen. Il devrait faire l'objet d'une campagne de lobbying d'autant plus intense côté entreprises que les amendes imposées aux contrevenants ont été revues à la hausse. Elles pourront monter jusqu'à 20 millions de dollars et, dans certains cas, 4% du chiffre d'affaires global de la société. Une sanction financière autrement plus dissuasive que les standards actuels. Google a été condamné à une amende de 100 000 euros par la Cnil en mars dernier pour ne pas avoir respecté le principe du "droit à l'oubli".

Au tour du Parlement... et des lobbyistes

Une certitude, la Commission européenne veut aller vite. Elle a privilégié la solution du règlement à celle de la directive, contrairement à ce qu'elle a pu faire par le passé. Pour rappel, un règlement est effectif dès qu'il est voté. La directive établit, elle, des règles qui doivent être transposées en droit local pour pouvoir être invoquées. Un processus qui prend souvent  beaucoup de temps. "Certains pays peuvent mettre plusieurs années à transposer un texte… quand ils le font", observe Alan Walter.  Et de poursuivre : "Je ne serais pas surpris que l'Union européenne essaie de faire entrer en vigueur ce règlement en même temps que celui sur la protection des données, c'est-à-dire en mai 2018." La contrainte sera double, si tant est que l'article 10 survive à l'intense lobbying qui s'annonce.