Régulation des cookies : où en est-on ?
Plus de deux ans après la transposition en droit français de la directive européenne "Paquet télécom", où en sont les négociations entre la Cnil et les acteurs de la pub online ?
Plus de deux ans après la transposition en droit français de la directive européenne "Paquet Télécom", le sujet continue d'agiter le monde du Web. Comment réguler l'utilisation à des fins publicitaires des cookies, ces petits fichiers valises qui permettent de collecter des informations relatives au surf de l'internaute afin de lui adresser des bannières display ciblées ? (lire l'article, Le marché de l'e-pub va-t-il se casser les dents sur les cookies, du 14/03/2012).
La Cnil avait lancé le début des hostilités en publiant une fiche récapitulative des bonnes pratiques que les acteurs du marché estimaient au minimum zélée, au pire suicidaire pour l'économie online. En cause, la volonté affichée par l'organisme d'imposer aux éditeurs de recueillir le consentement des internautes via un opt-in, là où l'UFMD, le Geste, la Fevad ou l'Udecam, tous co-signataires d'un guide des bonnes pratiques, prêchaient pour une simple information et l'obtention d'un accord par défaut. Une confrontation liée à des divergences d'interprétation du terme anglais de "consent" évoqué dans la directive européenne, qui n'a toujours pas abouti, en dépit de plusieurs mois de négociation.
Les discussions ont toutefois permis de converger vers certains consensus. Tout le monde s'est accordé sur la nécessité d'informer l'utilisateur, lors de sa première visite, qu'en poursuivant la navigation sur le site il accepte le dépôt et l'exploitation de cookies à fins publicitaire. "Il ne s'agit pas d'assommer l'internaute d'entrée avec des CGU trop rébarbatives, explique Edouard Geffray, secrétaire général de la Cnil. D'où l'importance de mettre en place une seconde étape dont les modalités restent, elles, encore à l'état de discussions." La Cnil semblait jusqu'à il y a peu plutôt favorable au déploiement d'une solution de tag management permettant à l'internaute de choisir sur le site, cookie par cookie, ce qu'il accepte. Une solution refusée en bloc par les spécialistes qui lui opposent sa complexité et son coût.
Les professionnels ne veulent utiliser une solution de tag management trop complexe et coûteuse
"Faire le tri entre cookies de navigation et publicitaires n'est pas chose aisée pour les éditeurs qui ne savent pas toujours ce qui se passe sur leur site, avance un connaisseur du dossier. Et puis, je doute que les plus petits acteurs puissent s'acquitter chaque année de la dizaine de milliers d'euros que coûtent de telles solutions." D'autant qu'en deux ans le marché de la publicité online s'est considérablement complexifié avec l'arrivée du real-time-bidding et de nombreux spécialistes du ciblage publicitaire. "Les éditeurs et les e-commerçants craignent que confronté à une liste d'une quarantaine acteurs, l'internaute refuse tout en bloc, par facilité et faute de comprendre à quoi correspond chacun d'entre eux", explique notre expert. On peut en effet s'interroger sur la pertinence de défiler une liste mentionnant des acteurs tels que Criteo, AdRoll, Weborama ou Nugg.Ad aux non initiés.
C'est la raison pour laquelle certains, à commencer par l'UFMD, préconisent plutôt une information poussée sur les moyens dont dispose l'internaute pour s'opposer au dépôt de cookies. La plateforme Youronline choices fait figure de solution, tout comme les explications relatives au paramétrage du navigateur. Questionné sur la position actuelle de la Cnil sur la question, Edouard Geffray préfère éluder : "Notre seule préoccupation est de trouver des solutions permettant à l'internaute de comprendre et maîtriser sa politique de confidentialité. Je ne pense pas qu'il n'existe qu'une bonne réponse pour l'ensemble des éditeurs. Tout comme j'estime qu'il faut sortir de l'opposition un peu réductrice 'opt-in versus opt-out' pour trouver un juste milieu et permettre à l'internaute d'exprimer son consentement au travers d'un acte positif."
La marche arrière de la Cnil anglaise
Reste à définir concrètement cet acte positif. L'exemple du Royaume-Uni est à ce titre éloquent. Présenté initialement comme LE modèle à suivre, ce dernier n'en finit lui non plus pas de tergiverser. L'information commissioner's office (ICO), équivalent anglais de la Cnil, semblait jusqu'à présent très inflexible, exigeant des éditeurs un consentement explicite, sans quoi il pouvait les sanctionner d'une amende de plusieurs centaines de milliers d'euros... Jusqu'à fin janvier du moins, lorsque l'ICO a subitement cessé de demander un consentement explicite sur son propre site, se contentant dès lors d'afficher une bannière de bas de page stipulant que le site utilise des cookies et qu'en continuant sa navigation l'internaute manifeste son accord. L'ICO a justifié cette décision en arguant que les utilisateurs étaient désormais plus au fait de l'utilisation des cookies qu'ils ne l'étaient initialement et qu'un consentement implicite était désormais suffisant. Reste que selon une étude révélée par KPMG fin mai 2013, près de la moitié des sociétés publiques ou privées en Angleterre ne sont toujours pas en ligne avec la directive.
Un accord dans les prochaines semaines ?
La situation est elle aussi inextricable dans l'Hexagone ? Non, veut positiver Edouard Geffray qui espère un dénouement proche, "d'ici quelques semaines". Une échéance peut-être un peu ambitieuse au vue de la lenteur des discussions et de la difficulté à mettre tout le monde d'accord, parfois même au sein des différents partis. A l'image de la Cnil où certains seraient partisans d'une ligne plus dure. Cette volonté d'en finir rapidement n'en reste pas moins un motif d'optimisme pour le marché dans un débat au cours duquel on peut s'étonner du silence du gouvernement, qui semble résolu à laisser les acteurs du privé s'auto-réguler.