Cookies tiers : comment la demande de consentement sur Chrome impactera l'expérience des internautes
Chrome entend proposer aux internautes une expérience leur permettant de choisir, pour l'ensemble de leur navigation, entre accepter et refuser le dépôt de cookies tiers sur le navigateur. Beaucoup d'observateurs s'interrogent : si une telle expérience est proposée par le navigateur, comment traiter le choix de l'internaute au niveau de chaque site, collecté par les éditeurs dans les fenêtres prévues à cette fin, conformément à ce que prévoit le Règlement général sur la protection des données ?
"Avant même de parler de la CMP (plateforme de gestion de consentement chez l'éditeur, ndlr), pensez à toutes les fonctionnalités qui peuvent dépendre des cookies tiers, comme la mesure d'audience, les paniers d'achat, l'accessibilité, et qui ne sont pas soumises au consentement… Comment gérer des exceptions pour tel cookie de tel site dans un système général de blocage et d'interdiction ? Google lui-même ne sait pas cartographier les différents usages des cookies tiers. Il risque de tout bloquer sans distinction", déclare Sébastien Gantou, CEO de Digital DPO. "Pour éviter des erreurs, les éditeurs doivent revoir le code de leurs sites pour passer en first party afin qu'aucune fonctionnalité ne soit bloquée à l'avenir", poursuit-il. Sauf que ceci n'est pas possible pour toutes les applications : "Cela veut dire que l'expérience que Chrome entend proposer engendre un risque réel qu'une partie des sites ne fonctionne plus de manière optimale ou bien que le choix des utilisateurs ne soit pas toujours respecté", conclut-il.
Il y a aussi la question des profils sur Chrome : "Pensez aussi aux différents profils d'utilisateurs sur Chrome se connectant sur un même terminal : comment adapter ce réglage du choix des cookies tiers à chaque profil alors que le terminal est partagé ? Google ne répond pas encore à ces questions qui sont pourtant fondamentales pour que le choix de chaque internaute soit respecté", poursuit l'expert.
Enfin et surtout, imaginez l'internaute qui aura fait le choix auprès de Chrome de refuser les cookies tiers et qui, sur un site en particulier, souhaitera accepter les traceurs publicitaires pour accéder au contenu : que se passera-t-il ? "Cette question est fondamentale car elle pose le sujet de la voie de retour et le principe fondamental du respect du choix de l'utilisateur. Comment prendre en compte le consentement d'un utilisateur sur un domaine précis alors que son navigateur bloque de manière générale la collecte consentie ?", s'interroge Sébastien Gantou.
"L'articulation entre la CMP et les permissions techniques a été abordée par la Cnil dans ses recommandations pour les applications mobiles. Mais la Cnil n'apporte pas de réponse au cas précis où l'internaute a dit non dans les paramétrages et souscrit à des traitements appelant cette fonctionnalité dans un environnement précis et contextualisé. Or, le choix de l'utilisateur doit être respecté, c'est une contrainte légale. Et l'éditeur a parfaitement le droit d'avoir recours à ces technologies tierces par ailleurs possibles avec une autre configuration du même navigateur. Pour l'instant dans ce cas de figure, la solution n'apparait pas. Une piste limitant la complexité du machin, serait que Google mette en place des exceptions en s'appuyant sur les signaux de la CMP et du Transparency and Consent Framework (TCF). C'est la seule manière de garantir le respect du choix spécifique et éclairé des utilisateurs, reste à savoir si elle est envisageable techniquement", conclut-il.
En pratique, et de manière bien plus terre à terre, certains éditeurs semblent déjà vouloir trancher. "Imaginez un site qui ne travaille qu'avec des cookies tiers. Pensez-vous qu'il va s'amuser à demander à l'internaute qui aura refusé les cookies tiers sur Chrome d'ouvrir une exception pour lui ? Autant ne rien lui demander et désactiver la CMP, qui en termes d'expérience utilisateur est une catastrophe ! Ce sera sans doute le cas des éditeurs les plus agiles, équipés d'outils d'analytics exemptés de consentement. Quand on saura que le visiteur a désactivé les cookies sur Chrome (et il est tout à fait possible de le savoir), autant ne pas lui infliger à nouveau une demande de consentement, cela peut même s'avérer un avantage concurrentiel", commente le CTO d'un éditeur français. "Par ailleurs, dans l'autre sens, lorsque l'éditeur sera face à un utilisateur ayant déjà consenti aux cookies tiers sur Chrome, peut-être qu'il n'aura même pas besoin de lui redemander un consentement pour ne pas lui sur solliciter, c'est une piste à creuser..."
Quid des ID cookieless ? Rappelons que ces derniers ne seront pas concernés par le refus des cookies tiers sur Chrome. Sébastien Moutte, CEO d'OptiDigital, rappelle à juste titre que ce n'est pas pour rien que de nombreuses solutions alternatives se sont développées en prévision de la suppression des cookies tiers : "Dans le cas où l'utilisateur aura déjà bloqué les cookies tiers sur Chrome mais qu'il donne son consentement à l'éditeur pour la collecte de ses données sur son site, ce dernier pourra continuer de collecter des cookies first party ou d'autres solutions d'identification alternatives comme les ID universels basés sur l'email ou l'identifiant des opérateurs télécom." Rien de bien compliqué, il suffit de penser à ce qui se passe déjà aujourd'hui sur Safari ou Firefox, mais à condition d'accepter de ne plus se servir des cookies tiers...