Règles Cnil : 86% des sites français s'y plient, 82% des étrangers s'en moquent
Si la très grande majorité des acteurs français se sont pliés aux nouvelles exigences du gendarme des données personnelles, difficile d'en dire de même pour leurs concurrents étrangers. Distorsion de concurrence ?
Oui, le rigorisme de la Cnil handicape les sites Web français. Et ce n'est pas seulement le JDN qui le dit dans son édito publié il y a quelques jours… Ce sont également les chiffres ! Le JDN s'est en effet livré à l'analyse des pratiques des 300 noms de domaine les plus visités du Web français selon Similarweb, pour voir lesquels affichent un bandeau alertant l'internaute du dépôt de cookies et lesquels le font dans le respect du nouveau cadre édicté par la Cnil qui demande, depuis le 1er avril, que l'internaute puisse exprimer son refus en un seul clic. Nous avons ensuite mis en perspective ces données avec l'origine de l'éditeur, une information accessible, le plus souvent, via les mentions légales voire les conditions générales d'utilisation du site concerné.
86,5% des 185 sites français proposent à l'internaute de "refuser" la dépose de cookies ou de "continuer sans accepter" dès le premier niveau
Le constat est éloquent et prouve que, selon qu'on soit un éditeur français ou un éditeur basé hors de l'Hexagone, on est rarement logé à la même enseigne. La très grande majorité des sites français se sont ainsi pliés aux exigences de la Cnil. 86,5% des 185 sites répertoriés en France proposent en effet à l'internaute de "refuser" la dépose de cookies ou de "continuer sans accepter" dès le premier niveau de leur interface de récolte du consentement (CMP). Une contrainte qui se traduit par une chute du taux de consentement et, avec lui, des revenus de l'éditeur (parce qu'une impression publicitaire dépourvue de donnée de ciblage se vend moins bien). Une contrainte qui impose également d'investir en DPO et autres experts des données personnelles pour naviguer dans les méandres d'un règlement pas toujours évident à comprendre… et à appliquer.
Cette contrainte, les concurrents étrangers sont beaucoup moins nombreux à l'appliquer. A peine 25% des sites basés hors de l'Union européenne (ils sont 24 au total) font les mêmes efforts que les sites français. Le ratio tombe même à 15,3% chez les sites basés dans l'Union européenne hors France (ils sont 72 au total). Et sur les 11 sites dont nous n'avons pas pu déterminer la provenance, seul un était dans les clous. Au total, moins de 18% des sites gérés par un acteur basé à l'étranger respectent les règles édictées par la Cnil. Les bons élèves se comptent (presque) sur les doigts de la main et s'appellent Verizon Media (AOL, Yahoo…), Wetransfer, Roblox, Booking, Paypal, Reddit, DisneyPlus ou encore Vinted. Les autres, Gafa en tête, imposent à l'internaute d'aller trifouiller dans les paramètres du site pour refuser la dépose des cookies… quand ils ne permettent tout simplement pas de le faire. Il faut, par exemple, cliquer sur le bouton "personnaliser" de l'interface qu'affiche Google aux nouveaux arrivants pour désactiver, dans un second niveau, l'affichage de publicités personnalisées au sein des services maisons comme le moteur de recherche et Youtube. Chez Facebook, c'est le bouton "Gérer les paramètres de données" qui permet d'atterrir au sein d'une interface où on ne peut… qu'accepter les cookies. Les pratiques des autres sites basés hors de l'Hexagone sont à l'avenant, leur permettant d'obtenir de bien meilleurs taux de consentement que les acteurs français.
Les autres Cnil européennes beaucoup plus coulantes que leur homologue française
Comment expliquer cette politique de gestion du consentement à deux vitesses, selon que l'on soit Français ou non ? On comprend que certains sites basés hors d'Europe, pas toujours légaux (comme des sites de téléchargement), fassent peu de cas des règles imposées par la Cnil. On peut, en revanche, s'étonner que les autres, qui ont pour beaucoup pignon sur rue s'en affranchissent. La raison est pourtant simple et tient à une subtilité introduite par le RGPD, comme nous l'expliquions dans un précédent article. Le RGPD prévoit en effet qu'un organisme établi dans plusieurs pays de l'Union européenne bénéficie du mécanisme du guichet unique pour n'avoir comme seul interlocuteur que l'autorité du pays où est situé son établissement principal. Or qu'il s'agisse de l'Irlande, des Pays-Bas ou de Chypre, où sont basés la majorité des éditeurs de sites européens, essentiellement pour des raisons fiscales, les autorités locales sont beaucoup plus souples que la Cnil.
Le gendarme des données personnelles français est en effet un cas à part en Europe. Il est le seul à avoir durci sensiblement ses recommandations au point d'imposer aux éditeurs de permettre le refus de l'internaute dès le premier niveau. Rien de tel chez ses homologues irlandais, espagnols, allemands et autres acteurs européens, qui ont eux aussi mis leurs recommandations à jour pour se mettre en conformité avec le RGPD, mais n'ont pas la même interprétation. "Si vous déployez un bouton 'accepter' sur votre bannière, vous devez donner autant de visibilité et de place à une option qui permet à l'utilisateur de refuser les cookies ou d'aller gérer ses préférences en la matière, dans un second niveau", écrit ainsi la Cnil Irlandaise, la DPC, dans des recommandations publiées ce 8 avril. Une interprétation dont bien des acteurs français, qui crient aujourd'hui à la distorsion de concurrence, aimeraient pouvoir bénéficier…