La Cnil multiplie ses contrôles auprès des sites web, régies publicitaires et réseaux sociaux pour épingler ceux – une cinquantaine d’éditeurs à ce jour –
qui déposent des cookies sans en informer les internautes ni recueillir leur consentement préalable. Après les mises en demeure, les sanctions financières vont tomber.
Selon nos informations, la Commission nationale de l’informatique et des libertés (Cnil) s’apprête pour la première fois à sanctionner des éditeurs de sites web, de presse en ligne et de réseaux sociaux, ainsi que des régies de publicité sur Internet, pour non respect de la législation sur les cookies. Sa prochaine formation restreinte composée de six membres et seule habilitée à prononcer des sanctions se réunira le 21 avril prochain. Les condamnations financières peuvent atteindre un montant maximum de 150.000 euros, et, en cas de récidive, portées jusqu’à 300.000 euros (1).
Certaines sanctions pourraient être rendues publiques si elles étaient assorties de l’obligation d’insérer la condamnation dans des journaux et sur le site web incriminé
– et ce, aux frais de l’éditeur sanctionné. L’autorité reproche aux éditeurs Internet de
ne pas recueillir le consentement préalable de chaque internaute ou mobinaute avant de déposer sur son ordinateur ou son mobile un cookie ou un traceur. Après plus de 500 contrôles sur place et/ou en ligne menés depuis la fin du troisième trimestre 2014 auprès des éditeurs de services et de presse en ligne, et malgré quelque 50 mises
en demeure notifiées depuis juin 2015, les premières sanctions vont tomber. « Des échanges ont été organisés avec les éditeurs de site de presse et se poursuivent encore actuellement », nous a répondu une porte-parole de la Cnil que préside Isabelle Falque-Pierrotin (photo).
Des « mouchards » déposés à l’insu des internautes
La Cnil estime que ces « récidivistes » sont en infraction au regard de l’ordonnance du 24 août 2011, laquelle avait modifié la loi « Informatique et Libertés » de 1978. Malgré le rappel à la loi par délibération de la Cnil (2) du 5 décembre 2013 (3), il est reproché aux éditeurs en ligne de ne pas informer suffisamment les internautes avant le dépôt de ces petits mouchards électroniques logés dans leurs terminaux (ordinateur, smartphone ou tablette) et surtout de ne pas recueillir leur consentement avant de procéder à leur installation. Lorsque ce n’est pas l’absence d’opt-out permettant au visiteur de s’opposer au dépôt de traceurs chargés d’espionner sa navigation, comme avec le cookie « Datr » de Facebook (mis en demeure par la Cnil), voire à la collecte de données sur son terminal.
Bras de fer entre les éditeurs et la Cnil
Les cookies ou trackers servent aux éditeurs de service, régies publicitaires ou encore réseaux sociaux à analyser la navigation personnelle de chaque internaute ou mobinaute, ses déplacements, ses habitudes de consultation ou de consommation, afin de lui proposer des publicités ciblées ou des services personnalisés. La quasi totalité du marché de la publicité en ligne – 3,2 milliards d’euros de chiffre d’affaires en 2015 en France (4) – s’appuie sur l’existence de ces petits traceurs indiscrets. Contacté par Edition Multimédi@, le secrétaire général du Groupement des éditeurs de contenus et de services en ligne (Geste), Emmanuel Parody, indique que « le point délicat concerne l’interprétation de la Cnil sur la notion de consentement au moment du dépôt du cookie de première visite ». Et d’expliquer : « La Cnil souhaite qu’aucun cookie ne soit chargé tant que le visiteur n’a pas donné son consentement préalable. Nous sommes parvenus à faire valoir les exceptions pour certains cookies analytics (mesure d’audience), mais cette mesure est très compliquée à mettre en oeuvre et génère une perte de revenus ». Selon la DG du Geste, Laure de Lataillade, également jointe, les éditeurs ont calculé que l’application d’une telle mesure se traduirait par une baisse pouvant atteindre 20 % de leur chiffre d’affaires publicitaire. « Les éditeurs de sites web ont massivement déployé au cours des derniers mois le bandeau d’information. Ils s’efforcent par ailleurs de mettre en application toutes les autres obligations découlant de la recommandation et travaillent dessus avec leurs équipes et partenaires », plaide-t-elle. Selon nos informations, une douzaine de membres du Geste sont concernés par les mises en demeure de la Cnil et ses menaces de sanctions.
Ce groupement professionnel représente des éditeurs de presse tels que Le Figaro, Le Monde, La Croix, Le Nouvel Observateur, L’Equipe, La Tribune, Valeurs Actuelles, ainsi que TF1, M6, France Télévisions (France 2, France 3, …), Radio France (France Inter, France Info, …), Lagardère Active (Europe 1, Paris Match, JDD, …), Altice Media (Libération, L’Express, Stratégies, …), Mondadori, Prisma Media, Mediapart ou encore Skyrock. Le Geste n’est la seule organisation professionnelle à se rebiffer face aux exigences de la Cnil sur les cookies. Il y a aussi les syndicats de la presse magazine (SEPM), de la presse quotidienne nationale (SPQN), de la presse en région (UPREG), ainsi que le Bureau de la radio (Europe 1, RFM, Virgin Radio, RTL, RTL 2, Fun Radio, NRJ, Chérie FM, Rire & Chansons, Nostalgie, RMC, BFM). Tous ensemble, ils ont cosigné un courrier adressé récemment à la présidente de la Cnil pour dénoncer
l’« exception française » dont l’autorité fait preuve en menaçant de sanctions le fait
de déposer des cookies publicitaires sans le consentement préalable des utilisateurs. Ce qui serait, selon les éditeurs Internet, une application non fondée de la réglementation européenne en la matière. L’Allemagne, l’Italie, la Grande-Bretagne
ou encore l’Espagne n’ont pas, selon eux, une approche aussi « rigoriste » que celle
de la Cnil. « Dans aucun autre pays européen on ne rencontre cette interprétation extrême de la loi, ce qui crée une distorsion de concurrence dommageable », déplore Emmanuel Parody.
C’est une directive européenne « Service universel et droits des utilisateurs » (2009/136/CE) qui a posé « le principe selon lequel le stockage d’informations sur l’équipement d’un utilisateur ou l’accès à des informations déjà stockés, ne devaient être mises en oeuvre qu’avec le consentement préalable de l’utilisateur » (5). En réponse, Isabelle Falque-Pierrotin a reçu le 25 mars dernier des éditeurs et leurs organisations, auxquels elle a promis d’étudier les pratiques de ses homologues européens.
Selon une source, la Cnil n’exclut pas de fixer un moratoire sur les mises en demeure liées aux dépôts de cookies sans consentement préalable. Ce moratoire devrait être soumis au vote lors d’une prochaine réunion plénière. Quant aux contrôles, ils vont se poursuivre. L’autorité sera notamment inflexible sur la durée de vie – limitée à treize mois – des cookies à partir de leur premier dépôt dans le terminal : toujours pour peu que l’utilisateur ait exprimé son consentement préalablement (6). La Cnil demande en outre aux professionnels de se mettre d’accord sur de bonnes pratiques dans le traitement des données à caractère personnel – quitte à labelliser « Données propres » les services en ligne s’y conformant.
Ne pas tomber sous le coup de la loi
Des outils existent comme ceux proposés par AT Internet, Piwik, Google Analytics, Smart AdServer, Integral AdScience ou encore DFP peuvent en outre aider les éditeurs à paramétrer leurs services en ligne et à être dispensés du recueil du consentement lorsqu’il s’agit de mesurer l’audience (exemption accordée par la Cnil). Quant à l’adresse IP, elle doit être supprimée ou anonymisée une fois la géolocalisation effectuée, afin d’éviter toute autre utilisation de cette donnée personnelle ou tout recoupement avec d’autres informations relevant de la vie privée de l’utilisateur. @
Charles de Laubier