Cookies pub : ce qu'il faut retenir du projet de recommandation de la CNIL
Les professionnels de la publicité se demandaient depuis l'été dernier à quelle sauce la Cnil allait manger les cookies. Ils ont enfin leur réponse et la sauce sera plutôt aigre. Le régulateur vient de dévoiler son projet de recommandation quant aux modalités opérationnelles de recueil du consentement à la dépose de cookies et autres traceurs pubs. Ce projet, soumis à consultation publique jusqu'au 25 février, débouchera sur une publication officielle en juin prochain. S'il a le mérite de clarifier beaucoup d'interrogations, il n'a, semble-t-il, que très peu tenu compte des demandes d'une interprofession déjà échaudée par la teneur des lignes directrices (elle a déposé un recours devant le Conseil de l'Etat concernant l'interprétation juridique faite par la Cnil).
L'interprofession, qui rassemble des institutions comme le Geste, le SRI, l'Udecam ou encore la MMA, s'était pourtant entretenue de nombreuses fois avec la Cnil ces derniers mois pour la sensibiliser aux dommages collatéraux de tels changements. Sans succès, semble-t-il. "On a vraiment été surpris du peu de cas fait à nos arguments, explique une des parties-prenantes, qui a découvert le texte hier soir. La Cnil ne semble pas prendre la mesure des conséquences économiques de ce texte pour la French Tech." Le point point sur les éléments saillants.
Les options accepter et refuser doivent être sur un même pied d'égalité
"Le RGPD nous impose de collecter des consentements, pas des refus !"
"La Cnil assume la position très dure qu'elle tient depuis l'entrée en vigueur du RGPD", analyse Romain Gauthier, cofondateur de Didomi, éditeur de CMP. C'est particulièrement vrai en ce qui concerne le sujet de la liberté du consentement, pour lequel elle réclame une symétrie parfaite dans la capacité de l'utilisateur à consentir ou non. "La Cnil souhaite que l'interface de recueil du consentement offre la possibilité d'accepter ou refuser le dépôt de traceurs avec le même degré de simplicité", explique Romain Gauthier.
Tous les éditeurs, soit la grande majorité, qui ne proposent aujourd'hui à l'internaute que deux options, accepter ou paramétrer ses cookies (pour refuser dans un deuxième temps), sont donc potentiellement hors la loi. L'utilisateur devra se voir proposer d'emblée la possibilité d'accepter ou refuser. Un vrai point de crispation pour les éditeurs alors que la Cnil leur interdit de mettre en place des cookies walls qui n'autorise l'accès qu'aux internautes qui acceptent les cookies. "Dès lors que le refus de l'internaute n'a aucun impact sur son expérience de navigation, c'est dramatique de mettre cette option sur un même pied d'égalité que l'acceptation, s'insurge un patron d'adtech. D'autant que le RGPD nous impose de collecter des consentements, pas des refus !" Et de rappeler que dans le modèle actuel l'internaute reste libre de ne pas donner un choix en cliquant sur une croix. "C'est un ni oui ni non qui nous permet de le resolliciter plus tard."
La pilule est d'autant plus difficile à avaler que le design de l'interface de récolte du consentement, régulièrement utilisé par les éditeurs pour orienter le choix de l'internaute, devra lui aussi refléter la symétrie demandée par la Cnil. Pas la peine de penser gratifier l'option "accepter" d'un énorme bouton vert quand l'option "refuser" se contente d'un petit sigle grisé. Il est, de même, inutile de penser cocher par défaut les options qui vous arrangent le plus... prévient la Cnil.
Pas besoin de rentrer dans le détail dès la première interface
Consciente des problèmes que peut poser, en matière d'expérience utilisateur, une interface de récolte du consentement trop fouillée, la Cnil a en revanche consenti à lâcher un peu de lest sur ce point. "L'éditeur n'est pas contraint de communiquer la liste des destinataires du consentement dès le premier écran", souligne Romain Gauthier. Pas besoin non plus de rentrer dans le détail en ce qui concerne les finalités du traitement des données. La Commission recommande simplement de faire figurer, en complément de la liste des finalités présentées sur le premier écran (mesure d'audience, publicité personnalisée…), une description plus détaillée de ces finalités de manière aisément accessible depuis l'interface de recueil du consentement. "C'est une vraie bonne nouvelle pour l'expérience utilisateur", pointe Romain Gauthier.
Dans le même esprit, le patron de Didomi estime que la proposition de la Cnil d'introduire sur toutes les pages du site une icône statique "cookie", située en bas de l'écran, pour prendre connaissance de la liste à jour des responsables de traitement, est "une bonne idée".
La Cnil veut lutter contre le harcèlement au consentement
"La durée de validité du choix de l'utilisateur doit être la même, qu'il soit positif ou non."
Toujours dans un soucis d'équité entre les options accepter et refuser, la Commission rappelle qu'il doit être aussi simple de retirer son consentement que de le donner. "L'utilisateur doit donc pouvoir être en mesure de changer d'avis à tout moment", prévient la Cnil. La Commission préconise, par ailleurs, de respecter le choix formulé par l'internaute durant 6 mois. La durée de validité de ce choix doit, dans tous les cas, être la même, qu'il soit positif ou non. "
C'est un moyen pour la Cnil de lutter contre l'un de ses chevaux de bataille, la fatigue au consentement. "En introduisant une durée de validité du refus identique à celle de l'acceptation, elle empêche les éditeurs les moins scrupuleux de solliciter un internaute réfractaire à chaque visite jusqu'à ce qu'il cède", note Romain Gauthier.
Les GAFA et leur univers logué ne seront pas exemptés
"La recommandation concerne tant les environnements dans lesquels l'utilisateur est authentifié (parfois appelés univers logués) que les univers non logués", prévient la Cnil. Alors qu'elle est souvent accusée de faire le jeu des GAFA, en pénalisant l'économie du cookie, la commission prend les devants. Et de préciser que "la simple acceptation globale de conditions générales d'utilisation ou de vente ne permet pas d'obtenir un consentement spécifique" comme l'a appris à ses dépens un acteur comme Google, sanctionné début 2019 d'une amende de 50 millions d'euros. Les GAFA doivent eux aussi s'assurer de la récole d'un consentement libre, spécifique, éclairé et univoque.
Bonne nouvelle pour les autres, la Commission ne considère pas que l'obligation de recueillir un consentement spécifique est incompatible avec la possibilité de proposer à l'utilisateur de consentir de manière globale à un ensemble de finalités sous certaines conditions. "Il est possible de proposer des boutons d'acceptation et de refus globaux via par exemple la présentation de boutons intitulés tout accepter et tout refuser mis en évidence de la même façon", rappelle la Cnil. Autre point positif pour les groupes qui gèrent plusieurs sites. Un consentement recueilli sur l'un d'entre eux est valide pour les autres sous réserve que "la liste de la totalité des sites web ou applications mobiles concernés est rendue accessible via un lien hypertexte"
Récolte du consentement via les navigateurs : la porte reste ouverte
"Les navigateurs et les systèmes d'exploitation pourraient à terme intégrer des mécanismes de recueil du consentement"
En plein débat sur la directive eprivacy, la CNIL défend toujours l'idée du recueil du consentement via le navigateur plutôt que site par site. "Les navigateurs et les systèmes d'exploitation pourraient à terme intégrer des mécanismes de recueil du consentement qui faciliteraient tant la mise en place de mécanismes de recueil du consentement pour les éditeurs de sites et d'application mobiles que l'expression des choix des utilisateurs, qui pourraient paramétrer leur navigateur pour que celui-ci informe les sites de leurs préférences", suggère le projet. Un mauvais point pour l'interprofession. "On donnerait les clés du camion à deux ou trois acteurs qui seraient juge et parti", explique notre anonyme.
Romain Gauthier y voit, lui, plutôt une bonne nouvelle sur le plan technique. "Le navigateur pourrait par ailleurs proposer une API permettant à l'éditeur de stocker le consentement dans le navigateur et non plus via le cookie." Ce serait aussi un moyen de trouver une réponse technique à une autre obligation présente dans le projet, l'existence de la preuve du consentement. La Cnil réclame une preuve individuelle et une preuve de processus. "Concernant le premier point, cela peut s'avérer compliqué en l'état. "C'est impossible de retrouver l'information selon laquelle l'internaute a donné son consentement s'il a, entre-temps, supprimé ses cookies", révèle Romain Gauthier.