Cookies pub : la Cnil met un peu d'eau dans son vin
Le gendarme français des données personnelles a publié ses recommandations sur les cookies et traceurs. Il ouvre la porte au cookie wall… "au cas par cas".
Avec quelques mois de retard, crise du coronavirus oblige, la Cnil a publié ce 1er octobre ses recommandations quant aux modalités opérationnelles de recueil du consentement à la dépose de cookies et autres traceurs pubs par les sites Web. Un document qui, on le verra, pose presque autant de questions qu'il apporte des réponses mais qui n'en est pas moins l'aboutissement de la consultation publique démarrée en janvier dernier suite à la publication du projet de recommandation du gendarme français des données personnelles. Sans surprise, les principes fondateurs édictés par la Cnil pour aiguiller les acteurs utilisant des traceurs sont maintenus. Le consentement de l'utilisateur devra bel et bien se manifester par un acte positif et manifeste. En clair, le scroll de l'utilisateur, ou le clic vers une autre page, ne vaudront plus consentement, comme c'est encore le cas chez la plupart des sites de médias.
Ces derniers devront également informer leurs visiteurs, de manière claire et synthétique, sur les finalités du traitement des données personnelles. Le détail de ces dernières devra être aisément accessible depuis l'interface de recueil du consentement, la CMP. La mesure de l'audience, indispensable à la bonne marche des sites Internet, continue de faire l'objet d'une exemption de consentement. "En résumé, la Cnil tient le cap qu'elle a fixé en janvier dernier et les éditeurs vont devoir se préparer à un environnement où les taux de consentement vont chuter significativement", prévient le fondateur de la solution de CMP Didomi, Romain Gauthier.
L'institution leur donne néanmoins six mois pour s'adapter. "C'est franchement long et c'est le signe que la Cnil n'est pas dans une logique de sanctionner à tout va", estime Romain Gauthier. Cela se sent d'ailleurs dans le ton du guide publié par la Cnil. On est moins dans l'injonction pure et dure que dans la recommandation, avec des termes non contraignants comme "conseille", "incite" ou "recommande fortement". "La Cnil a introduit un pragmatisme bienvenu pour l'industrie publicitaire dans ses recommandations", analyse Romain Gauthier. Elle reste, à en croire un patron d'adtech, "le gendarme le plus strict d'Europe", mais elle a indéniablement mis un peu d'eau dans son vin, par rapport à son projet de recommandation initial, en témoigne plusieurs changements.
Le cookie wall autorisé "au cas par cas"
Le cookie wall illustre particulièrement ce changement de ton. Ce dispositif, qui bloque l'accès à un site aux utilisateurs refusant la dépose de traceurs publicitaires, est vu comme une planche de salut par les médias français, qui espèrent qu'il conduira une majorité des visiteurs à accepter le dépôt de cookies. Or, la Cnil continue de penser que la pratique est "susceptible de porter atteinte, dans certains cas, à la liberté du consentement" mais accepte de tirer les conséquences de la décision rendue le 19 juin 2020 par le Conseil d'Etat. Ce dernier avait estimé que la Cnil avait été au-delà de ce qu'il est légalement possible de faire en prohibant de façon générale et absolue le cookie wall. Le gendarme des données personnelles réouvre donc la porte à un tel dispositif dont "la licéité doit être appréciée au cas par cas".
Un cookie wall sera-t-il légal à condition que l'éditeur propose une alternative comme le fait de payer ?
On est évidemment loin du blanc-seing espéré par les éditeurs français et les questions restent nombreuse. Par exemple, un cookie wall sera-t-il légal à condition que l'éditeur propose une alternative comme le fait de payer ? Et si oui, quelles sont les conséquences pour les éditeurs fonctionnan
t sur le principe du 100% gratuit ? Mais c'est tout de même une petite victoire pour l'interprofession dont le lobbying intensif a, en croire, Romain Gauthier, porté ses fruits. "La Cnil a sans doute aussi compris que c'était le modèle économique de beaucoup d'éditeurs qui était en jeu", estime le fondateur de Didomi. Pour ne pas déroger à ses convictions de transparence, l'institution prévient néanmoins que les éditeurs devront "indiquer clairement à l'utilisateur les conséquences de ses choix et notamment l'impossibilité d'accéder au contenu ou au service en l'absence de consentement" lorsqu'ils recourent à un cookie wall.
Des alternatives au bouton "tout refuser"
Alors qu'elle réclamait dans son projet de recommandation initial une symétrie parfaite pour les options accepter et refuser (même wording, même taille de police, même couleur…), la Cnil revoit ses exigences à la baisse. Les éditeurs ne sont ainsi plus contraints de proposer des boutons "tout accepter" et "tout refuser" au même niveau et sur le même format. "L'expression du refus de consentir peut découler d'autres types d'actions", écrit la Cnil. Le gendarme propose même un exemple d'interface qui doit faire saliver pas mal de patrons de régies. On y découvre les options "tout accepter" et "paramétrer mes choix" au même niveau, comme c'est déjà le cas dans la plupart des CMP aujourd'hui, et une troisième option, en haut de l'interface, "continuer sans accepter", sur laquelle l'internaute peut cliquer pour exprimer son refus au dépôt et à la lecture de traceurs.
Pas loin du jackpot pour des éditeurs qui ont pour habitude d'orienter le choix de l'internaute grâce au design de leur interface de récolte du consentement. Romain Gauthier en est persuadé, "les éditeurs vont se ruer sur cette proposition de la Cnil car elle va favoriser l'obtention de consentement." Les internautes sont en effet habitués à cliquer, sans trop réfléchir, sur l'option "tout accepter" lorsqu'elle est située à côté du "paramétrer vos choix".
Le TCF avalisé…
Si la Cnil ne mentionne pas explicitement le framework de transmission de consentement, TCF, mis sur pied par l'industrie adtech pour s'assurer de sa bonne conformité avec le RGPD, il est difficile de ne pas y voir une allusion lorsqu'elle encourage les professionnels à "nommer le traceur permettant de stocker le choix des utilisateurs, eu-consent, en attachant à chaque finalité une valeur booléenne vrai ou faux mémorisant les choix effectués." Un début de reconnaissance qui enchante Romain Gauthier. "Ça prouve que la Cnil n'écarte pas la piste du TCF comme moyen de récolter et transmettre un consentement, c'est une vraie bonne nouvelle." Le gendarme des données personnelles, très à cheval sur la notion de preuve du consentement (article 4), n'invalide d'ailleurs à aucun moment le recours au TCF pour se conformer sur ce point.
... mais la délégation de sous-domaine en péril
C'est la riposte de certaines adtech à la politique anti-tracking des navigateurs. La délégation de sous-domaine, ou méthode du Cname, permet à des acteurs comme Criteo de déposer des cookies 1st party au sein des sites de leurs partenaires éditeurs. De quoi remédier à l'interdiction au recours de cookies 3d party faite par deux des principaux navigateurs du marché, Safari et Firefox. Cette pratique a, semble-t-il, attiré l'attention de la Cnil qui "incite à ne pas avoir recours à des techniques de masquage de l'identité de l'entité utilisant des traceurs, telles que la délégation de sous-domaine." Une nouveauté par rapport au projet de recommandation initial et un avertissement pour les éditeurs qui y ont recours, à en croire Romain Gauthier. "La Cnil affirme clairement que le manque de transparence quant à l'identité de l'acteur qui accède aux données peut remettre en question la validité d'un consentement", estime-t-il. Pas de quoi faire trembler pour autant un patron de régie qui a recours à la pratique. "Ce n'est pas à l'utilisateur que l'on cache l'identité de celui qui traite les données, puisque c'est indiqué via le TCF, mais aux navigateurs qui comme Safari font du zèle." La Cnil n'aurait donc pas vraiment de base légale pour faire autre chose que déconseiller la pratique.
"Avec la délégation de sous-domaine, ce n'est pas à l'utilisateur que l'on cache l'identité de celui qui traite les données, puisque c'est indiqué via le TCF, mais aux navigateurs"
L'institution rappelle néanmoins son exigence de transparence quant au sujet de la portée du consentement, elle aussi approfondie par rapport au projet de janvier. C'est ainsi qu'une nouvelle recommandation fait son apparition. "Lorsque des traceurs soumis au consentement, déposés par d'autres entités que l'éditeur du site ou l'application mobile, permettent un suivi de la navigation de l'utilisateur au-delà du site ou de l'application mobile où ceux-ci sont initialement déposés, la Commission recommande fortement que le consentement soit recueilli sur chacun des sites ou applications concernés par ce suivi de navigation, afin de garantir que l'utilisateur soit pleinement conscient de la portée de son consentement." Les coalitions d'éditeurs qui ambitionneraient de mutualiser la collecte du consentement en sont pour leur frais. Mais ce n'est pas tout, "ça va poser de vraies questions en termes d'expérience utilisateur", estime Romain Gauthier. Prenons le cas de la publicité segmentée en TV, une pratique sur laquelle les régies médias fondent beaucoup d'espoir. Le consentement de l'utilisateur se récolte, pour l'instant, depuis la box des opérateurs, pour l'ensemble des chaînes. Si on suit la recommandation de la Cnil, cela ne suffira pas, chaque chaîne devant récolter le consentement de l'utilisateur pour être en mesure de lui afficher de la publicité ciblée. Mais comment procéder quand on est, comme c'est le cas ici, dans l'affichage d'un flux linéaire ? Encore une question.