Gwendal Le Grand (Cnil) "La Cnil sanctionnera les sites internationaux qui ne se sont pas conformés à ses nouvelles lignes directrices"

Le secrétaire général adjoint de l'autorité de protection des données personnelles assure qu'en matière de cookies, c'est la directive eprivacy qui prévaut. La Cnil a donc toute latitude pour prononcer des amendes.

JDN. Selon notre étude, 86% des sites français se sont mis en conformité avec le nouveau cadre légal édicté par la Cnil concernant les cookies et autres traceurs. Mais le ratio est de moins de 18% chez les sites dits "étrangers". Que vous inspirent ces chiffres ?

Gwendal Le Grand. 86% des sites français conformes, c'est plutôt une bonne nouvelle du point de vue de la protection des données des internautes français. Cela veut dire qu'il y a eu des progrès significatifs depuis l'entrée en vigueur de nos nouvelles lignes directrices. Mais ce n'est toujours pas suffisant, l'objectif étant que l'ensemble des acteurs se mettent en conformité. Les acteurs étrangers et Gafam y compris. Car contrairement à ce qu'affirme votre article, les règles en matière de cookies découlent de la directive eprivacy et non du RGPD. La Cnil est donc bien compétente pour faire appliquer ces règles sur le territoire français. Elle l'a déjà fait en décembre dernier, en prononçant des sanctions de 100 millions et 35 millions d'euros à l'encontre de Google et Amazon pour des manquements en la matière. La sanction Google de décembre 2020 est d'ailleurs la sanction la plus importante prononcée à ce jour par une autorité de protection des données en Europe.

Aujourd'hui, Google ne permet toujours pas de "refuser" ou de "continuer sans accepter" dès le premier niveau. Ça veut donc dire que vous pourriez le sanctionner à ce sujet ?

Si nos services estiment qu'il contrevient au cadre que nous avons édicté, oui nous pourrons le sanctionner. Nous l'avons fait en décembre dernier à cause des manquements de Google vis-à-vis des anciennes règles, nous pourrions le faire à nouveau pour les nouvelles règles.

Un autre point que je tiens à préciser c'est que l'étude publiée semble, après une analyse informelle des services de la Cnil, comporter certaines approximations ou erreurs. Elle ne prend pas en compte la nature des cookies déposés. Vous répertoriez certains sites étrangers comme non conformes alors qu'ils ne déposent pas de cookies soumis à consentement. De même certains sites sont notés comme ayant un bandeau non conforme alors qu'ils permettent bien l'opposition en un clic et à l'inverse d'autres sites sont notés comme conformes alors qu'ils n'ont pas de bandeau.

Lesquels ?

Je ne peux pas donner de noms.

Nous vous croyons sur parole mais c'est surement marginal par rapport à l'écart entre les sites français et les sites étrangers. Comment expliquer que, si la Cnil est bien compétente pour sanctionner, les Gafam et bien d'autres ne soient toujours pas en règle plus de deux mois et demi après l'entrée en vigueur des nouvelles directives. On a l'impression d'un sentiment d'impunité qui exaspère bien des acteurs français qui ont, eux, fait les efforts demandés…

"Plusieurs sites étrangers visés dans l'article se sont déjà mis en conformité à la suite de l'action de la Cnil"

Je vous arrête tout de suite. Il n'y a pas de sentiment d'impunité car les règles s'appliquent à tous. Les acteurs dits internationaux sont et seront, eux aussi, sanctionnés. Plusieurs sites étrangers visés dans l'article se sont déjà mis en conformité à la suite de l'action de la Cnil. De plus, la Cnil a une trentaine de procédures de contrôles ouvertes contre des acteurs français et étrangers et plusieurs procédures de sanctions, sans compter l'instruction des plaintes. La Cnil va continuer d'agir auprès de l'ensemble des sites, y compris des sites dits étrangers, jusqu'à ce qu'ils se mettent en conformité. Il s'agit de l'une de ses priorités.

A quand les premières annonces ?

Les acteurs mis en demeure ont un mois pour se mettre en conformité. Les premières mises en demeure ont été initiées le 18 mai, on n'est donc pas loin de l'échéance. C'est la présidente de la Cnil qui décidera, le cas échéant, s'il y a lieu de prolonger ce délai ou d"engager une procédure de sanction.

Des sanctions qui seront quasiment indolores pour les géants américains…

Nos amendes permettent de monter jusqu'à 2% du chiffre d'affaires mondial. Bien sûr, toutes les amendes n'atteignent pas ce montant. Mais j'estime que les amendes prononcées en décembre dernier à l'encontre de Google et Amazon, de 100 et 35 millions d'euros, sont loin d'être symboliques.

La Cnil française est la seule en Europe à imposer un refus dès le premier niveau. Un rigorisme qui, de l'avis de nombreux patrons qui nous ont contactés suite à notre article, menace de "tuer" les entreprises françaises. Que leur répondez-vous ?

Que l'on est compétent pour contrôler les sites qui viennent poser des cookies sur les terminaux des utilisateurs français qu'ils soient basés en France ou non et qu'il n'y aura donc pas de distorsion de concurrence.

Oui mais la concurrence, elle, n'est plus locale. Si on prend le marché de la publicité en ligne, un site français se bat parfois pour les mêmes budgets que son homologue allemand. Et avec 80-85% de taux de consentement pour le premier, contre 95% pour le second, parce que la Cnil locale est plus coulante, la lutte est déséquilibrée…

"Que dit le RGPD ? Qu'il doit être aussi facile d'accepter que de refuser, c'est écrit noir sur blanc"

Je ne suis pas sûr que les autres Cnil européennes soient plus coulantes. Je ne connais évidemment pas la situation de l'ensemble des sites européens mais je peux vous dire que l'on échange régulièrement avec nos homologues et que l'on est souvent sur la même ligne, comme par exemple dans le cadre du cookie wall, pratique que les Cnil européennes estiment incompatible avec la possibilité d'avoir un consentement libre. Bon, en France, le conseil d'Etat a indiqué qu'il fallait examiner cette pratique au cas par cas.

Reste que les Cnil irlandaises ou allemandes, pour ne citer qu'elles, n'imposent pas aux sites opérant dans leur pays de proposer l'option "refuser" ou "continuer sans accepter" dès le premier niveau…

Que dit le RGPD ? Qu'il doit être aussi facile d'accepter que de refuser, c'est écrit noir sur blanc et ça a aussi été avalisé par le conseil d'Etat lorsqu'il a consulté notre projet. La Cnil dit qu'une bonne manière de mettre en place cette symétrie des choix, c'est d'avoir les boutons "Tout accepter" et "Tout refuser" au premier niveau. Mais ça ne veut pas dire qu'il n'y a pas d'autre manière de faire.

Comme le fait de proposer un bouton pour aller "gérer ses préférences" dans un second niveau comme le font beaucoup d'acteurs étrangers ?

Si vous cachez le refus très loin dans la navigation, on ne pourra évidemment pas considérer qu'il est aussi facile d'accepter que de refuser.

Le problème c'est que rien n'est clair quand on parle d'eprivacy. Il s'agit d'une directive transposable en droit national, ce qui fait que chaque pays fait selon son interprétation…

Bien sûr que nous déplorons le fait que le règlement eprivacy, qui aurait permis d'harmoniser tout ça, soit bloqué depuis 2017. Pour rappel, le texte devait entrer en application en 2018 en même temps que le RGPD… Mais il a été bloqué par un certain nombre d'acteurs qui ne voulaient pas que les discussions aboutissent. Il y a beaucoup de lobbying, de la part de ceux qui jugent le projet trop laxiste et et de la part ceux qui le jugent trop restrictif. La bonne nouvelle, c'est que les choses avancent enfin. Le projet de règlement est entre le passage au conseil européen et la phase dite du trilogue, qui est la dernière phase. On aura bientôt l'harmonisation que l'ensemble des autorités de protection des données appellent de leurs vœux.