A quelle sauce la Cnil va-t-elle manger les cookies ?
Comme annoncé fin juin, la Cnil vient d'abroger sa recommandation de 2013 sur les cookies et autres traceurs. Cette dernière, rendue obsolète par l'entrée en vigueur du RGPD, est aujourd'hui remplacée par de nouvelles lignes directrices qui viennent d'être publiées au Journal officiel. Rien de définitif toutefois. Ces lignes directrices, qui rappellent le droit applicable, seront en effet remplacées début 2020 par une recommandation définitive quant aux modalités opérationnelles de recueil du consentement. Cette dernière sera alimentée par les concertations que la Cnil va mener avec les principaux acteurs de l'interprofession. Les lignes directrices publiées ce jour constituent donc un point de départ. Le JDN s'est penché sur les points saillants.
La poursuite de la navigation ne vaut plus consentement
La plupart des sites Web se contentent aujourd'hui d'afficher un bandeau informant l'internaute qu'ils sont susceptibles de déposer des cookies pour pouvoir lui afficher des publicités ciblées. La pratique, que la Cnil autorisait dans sa recommandation de 2013, ne sera plus tolérée. Informer les internautes de la présence de traceurs sur un site n'est pas suffisant, estime désormais la Cnil. Ils doivent effectuer une action positive pour montrer qu'ils acceptent que leurs données personnelles soient collectées. "Le fait de continuer à naviguer sur un site web, d'utiliser une application mobile ou bien de faire défiler la page d'un site web ou d'une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable", détaille la Cnil. C'était attendu et c'est, comme le rappelle Etienne Drouard, avocat associé chez K&L Gates, un changement d'interprétation plutôt qu'un changement de texte. "La nécessité d'un consentement explicite, libre et éclairé est antérieure au RGPD." Le climat étant beaucoup moins hostile sur les questions de vie privée à l'époque, la Cnil avait pu adopter une position moins dure. Les principaux sites médias et leur régie ont donc près d'un an (le temps que la recommandation de la Cnil soit adoptée) pour revoir leur copie. Ils devront réfléchir à de nouveaux dispositifs qui ne pourront pas embarquer "de cases pré-cochées", prévient la Cnil. La plupart des CMP mises en place par les groupes médias vont donc, elles aussi, évoluer.
La plupart des CMP, qui embarquent des cases pré-cochées, vont devoir évoluer
La Cnil aligne sa recommandation sur l'article 7 du RGPD en imposant aux organisations exploitant des traceurs d'être capable de démontrer, à tout moment, qu'elles ont valablement recueilli le consentement des utilisateurs. Une demande qui laisse perplexe Etienne Drouard. "Sous prétexte d'être capable de démontrer ce consentement, les organisations vont sans doute devoir conserver longtemps des données à caractère privée. Ça me semble contradictoire avec la visée première de la Cnil." L'avocat est tout aussi étonné par la volonté de la Cnil d'imposer aux organisations qu'elles indiquent à l'internaute la liste des destinataires de sa donnée personnelle. "C'est dans la pratique très difficilement applicable dès lors que cette dernière ne cesse d'évoluer… Le RGPD leur laisse le choix, dans ces cas là, de ne décliner que les catégories de destinataires."
Non au cookie wall
Mauvaise nouvelle pour les éditeurs qui, soucieux de protéger leur business model, voudraient mettre en place un cookie wall. La Cnil relève que cette pratique qui consiste à "bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas à être suivi n'est pas conforme au RGPD". La raison ? Les utilisateurs ne peuvent pas refuser d'être tracés sans subir des conséquences négatives (en l'occurrence l'impossibilité d'accéder au site consulté). Une position qui agace un patron d'adtech qui préfère rester anonyme.
"Interdire le cookie wall, c'est occulter le fait que, sans publicité ciblée, ça va être compliqué pour les sites gratuits de trouver un business model pérenne."
"On durcit les modalités de récolte du consentement mais on ne laisse même plus aux groupes de presse le choix de leur business model, s'insurge-t-il. En clair, on dit à l'internaute que le fait qu'il refuse le traitement de ses données n'aura aucune conséquence sur sa manière de consommer un service. C'est problématique et c'est surtout occulter le fait que, sans publicité ciblée, ça va être compliqué pour les sites gratuits de trouver un business model pérenne." Pour Etienne Drouard, "les sites Internet ne sont pas des fournisseurs de service public, une telle décision risque de fragiliser leur modèle." La Cnil adopte ici une position qui fait quasiment consensus au sein des Cnil européennes. Seule son homologue autrichienne a pour l'instant autorisé le cookie wall.
CGU : Facebook et Google en danger ?
"L'acceptation globale de conditions générales d'utilisation ne peut être une modalité valable de recueil du consentement, dans la mesure où celui-ci ne pourra être donné de manière distincte pour chaque finalité", estime la Cnil. Ces quelques lignes risquent de donner quelques sueurs froides aux géants du Web qui, comme Google et Facebook, en ont fait leur spécialité. "La Cnil répète ici les raisons qui l'ont conduite à sanctionner Google, analyse Etienne Drouard. Le package contractuel que font la plupart des grands acteurs de l'univers logué, qui mélangent adhésion à des prestations et à l'utilisation de leurs données, n'est absolument pas conforme au RGPD." Les amendes risquent donc de pleuvoir.
IDFA et Android ID : la Cnil tape-t-elle à côté ?
Les lignes directrices formulées par la Cnil s'appliquent aux cookies mais pas seulement… Sont également concernés d'autres moyens de tracking dont "les local shared objects appelés parfois les cookies Flash, le local storage mis en œuvre au sein du HTML 5, les identifications par calcul d'empreinte du terminal, les identifiants générés par les systèmes d'exploitation (qu'ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc…)" La présence de ces derniers, des identifiants publicitaires massivement utilisés par l'industrie du mobile, interpelle Etienne Drouard. "La lecture de l'IDFA [dans le cadre d'une enchère publicitaire, par exemple, ndlr] ne peut pas faire l'objet d'un consentement dès lors qu'elle est inhérente à l'établissement d'une communication mobile", estime l'avocat. "Seuls les questions du stockage et de l'utilisation commerciale de ces identifiants pourraient être soumis au consentement. Mais la Cnil n'en fait pas mention", regrette Etienne Drouard.
Un consentement ne se récolte pas via le navigateur
La Cnil considère enfin que le paramétrage du navigateur ne peut pas permettre à l'utilisateur d'exprimer la manifestation d'un consentement valide. "Tout d'abord, si les navigateurs web proposent de nombreux réglages permettant aux utilisateurs d'exprimer des choix en matière de cookies, force est de constater que ceux-ci sont exprimés dans des conditions ne permettant pas d'assurer un niveau suffisant d'information préalable des personnes", explique la Commission. Autrement dit, comme la plupart de ces navigateurs paramètrent par défaut l'utilisation des cookies, l'internaute ne peut pas y exprimer valablement un consentement. Cela pourrait, selon Etienne Drouard, poser problème à l'avenir. "On voit que Safari, Firefox et Chrome durcissent considérablement les conditions d'utilisation des cookies tiers dans le navigateur. L'action d'un utilisateur, qui se rendrait dans ses paramètres pour donner son accord, ne valant pas consentement, les éditeurs risquent d'être pris en otage."