Consentement préalable aux cookies : les sites de presse en ligne dans le collimateur de la Cnil

La présidente de la Cnil, Isabelle Falque-Pierrotin, a indiqué à Edition Multimédi@ – en marge du DigiWorld Summit à Montpellier en novembre dernier – que les sites de presse en ligne sont parmi ceux qui ne respectent pas le consentement préalable des internautes avant toute dépose de cookies.

« A part Ouest-France, les sites de presse en ligne ne respectent la réglementation européenne sur les cookies, laquelle a pourtant été transposée dans la loi française “Informatique et Libertés” en 2011. Nous réunissons à
nouveau les éditeurs », nous a indiqué Isabelle Falque-
Pierrotin (photo), présidente de Commission nationale de l’informatique et des libertés (Cnil).

Réunion cruciale le 9 décembre
C’était en marge du DigiWorld Summit à Montpellier où elle est intervenue le 16 novembre sur le thème de la confiance dans l’économie numérique. Selon nos informations, les éditeurs de la presse sur Internet sont convoqués par la Cnil le
9 décembre prochain. Interrogée par EM@ sur l’état d’avancement des contrôles
que la Cnil a intensifiés depuis l’été dernier auprès des éditeurs sur le respect du consentement préalable des internautes – dit opt-in – avant toute dépose de cookies, Isabelle Falque-Pierrotin a déploré l’opposition de la presse de mettre en oeuvre ses recommandations émises il y a maintenant trois ans exactement. « Pour être valable, l’accord doit être exprimé avant le dépôt de cookie, de façon libre et en connaissant
la finalité des cookies déposés », rappelle la Cnil. C’est le 5 décembre 2013 qu’elle a adopté une recommandation « relative aux cookies et aux autres traceurs », qui avait été ensuite publiée au Journal Officiel du 7 janvier 2014, afin de rappeler à l’ordre les éditeurs de sites web sur les règles applicables depuis 2011 à ces mouchards électroniques ou trackers (1). Ces mesures redonnent aux internautes le pouvoir sur ces cookies qui sont déposés, souvent à leur insu, sur leur ordinateur, leur smartphone ou encore leur tablette, souvent à des fins de publicité en ligne plus ciblées. La quasi totalité du marché publicitaire sur Internet et les applications mobiles – plus de 2,6 milliards d’euros de chiffre d’affaires en 2015 en France, selon l’Institut de recherches et d’études publicitaires (Irep) – s’appuie sur l’existence de ces petits traceurs indiscrets. Or la législation européenne est ainsi passée du droit de refus (opt-out) au consentement préalable (opt-in). C’est la directive européenne « Service universel et droits des utilisateurs » de 2009 qui a posé « le principe selon lequel le stockage d’informations sur l’équipement d’un utilisateur ou l’accès à des informations déjà stockés, ne devaient être mises en oeuvre qu’avec le consentement préalable de l’utilisateur » (2).
La pression de la Cnil sur les éditeurs, notamment les récalcitrants de la presse en ligne, se fait d’autant plus forte que depuis le 8 octobre dernier a été publiée au Journal Officiel la loi « République numérique », laquelle porte de 150.000 euros à 3 millions euros (3) le montant maximal des sanctions de la Cnil en cas d’infraction (amendes perçues par le Trésor public et non par la Cnil elle-même). Certaines sanctions peut être rendues publiques si elles étaient assorties de l’obligation d’insérer la condamnation dans des journaux et sur le site web incriminé – et ce, aux frais de l’éditeur contrevenant.
Pour l’heure, la Cnil s’en tient depuis la fin du troisième trimestre 2014 à des contrôles sur place et/ou en ligne menés (plusieurs centaines effectués) auprès des éditeurs de services et de presse en ligne, et notifie depuis juin 2015 quelque mises en demeure (plusieurs dizaines signifiées). Mais aucune sanction pécuniaire n’a été infligée à ce jour, malgré des menaces qui se sont faites plus pressentes le printemps dernier (4).
La présidente de la Cnil avait alors parlé d’un « moratoire » dont ont bénéficié près d’une dizaine d’éditeurs pour une quarantaine de sites web.

La presse française se rebiffe
Les syndicats de la presse magazine (SEPM), de la presse quotidienne nationale (SPQN), de la presse en région (UPREG), ainsi que le Bureau de la radio (Europe 1, RFM, Virgin Radio, RTL, RTL 2, Fun Radio, NRJ, Chérie FM, Rire & Chansons, Nostalgie, RMC, BFM) et le Groupement des éditeurs de contenus et de services en ligne (Geste) où l’on retrouve bon nombre de sites web de médias (Le Figaro, Le Monde, Libération, L’Express, Le Nouvel Observateur, La Tribune, TF1, M6, France Télévisions, Radio France ou encore Lagardère Active), avaient tous alors cosigné un courrier adressé à Isabelle Falque-Pierrotin pour dénoncer l’« exception française » dont fait preuve à leurs yeux la Cnil en voulant sanctionner le dépôt de cookies sans consentement préalable des utilisateurs.

Depuis fin juillet dernier, la Cnil a repris ses contrôles menés par deux équipes. Les éditeurs de médias en ligne ne sont plus les seuls dans le collimateur. Toujours selon nos informations, les régies publicitaires et les plateformes publicitaires basées sur le traitement des données – ou DMP (Data Management Platform) telles que Criteo, Weborama ou encore 1000Mercis – sont elles aussi dans le viseur de la Cnil.

Prestataires ad et data aussi
Cette dernière veut y voir clair dans les responsabilités des différents acteurs, y compris les Ad-servers (les serveurs gestionnaires de e-publicités), et inciter les différents maillons de « la chaîne de la publicité en ligne » à respecter les règles sur les cookies. « L’obligation de recueillir le consentement n’intervient que lorsque l’affichage de la publicité s’accompagne d’un traçage et/ou d’une collecte d’informations relatives à l’internaute par le site ou par un tiers », a rappelé la Cnil aux éditeurs et publicitaires. Mais nombreux sont les éditeurs Internet à s’opposer à cette obligation, prétextant qu’ils rencontrent des difficultés pour recueillir le consentement préalable des internautes avant le dépôt et la lecture de cookies : « Cela ferait obstacle à l’affichage de certaines publicités, entraînant une perte de revenu importante ; les cookies ne proviendraient pas de leurs propres serveurs, étant liés à l’activité de tiers partenaires, sur laquelle ils ne disposeraient d’aucune maîtrise. En conséquence, les éditeurs ne peuvent, à eux seuls, porter l’entière responsabilité de l’application des règles relatives aux traceurs considérés comme des “cookies tiers” car provenant de sociétés tierces ».
Pour la Cnil, ces intermédiaires techniques sont tenus de respecter la loi « Informatique et Libertés », et notamment le principe du consentement préalable de l’internaute au dépôt du traceur recueillant ses informations sur sa navigation, son profil, afin de lui délivrer des publicités ciblées et définir des algorithmes pour réaliser du profilage. Sinon, « la collecte des données par un cookie déposé avant l’acceptation de l’internaute (qui peut s’exprimer en déroulant la page visitée) est susceptible d’engager tant la responsabilité des éditeurs que celle des sociétés tierces ». C’est la raison pour laquelle la Cnil avait décidé l’été dernier d’étendre ses contrôles au-delà des seuls éditeurs de sites Internet, tout en rappelant aux impétrants qu’ils doivent respecter en outre la durée de conservation des cookies (13 mois maximum) et que les données collectées par leur biais doivent être aussi conservées pour une durée limitée.
Mais la Cnil ne peut faire cavalier seul dans ce domaine sur le Vieux Continent. Les
« Cnil » européennes doivent se concerter afin d’harmoniser leurs contrôles, voire leurs sanctions. Or, à ce stade, il n’y a pas d’accord (France et Grande-Bretagne n’ont pas
la même approche par exemple). « Lors de l’entrée en application du règlement européen relatif à la protection des données personnelles en [mai] 2018, les partenaires devront aussi communiquer l’origine des informations qu’ils utilisent ainsi que leur durée de conservation et préciser si un profilage est mis en oeuvre et la logique sous-jacente en cas de prise de décision automatisée ». @

Charles de Laubier

ZOOM

Comment Ouest-france.fr et Cnil.fr annoncent la couleur
« Ce site utilise des cookies. En poursuivant votre navigation sur ce site, vous acceptez l’utilisation des cookies pour vous proposer des contenus et services adaptés à vos centres d’intérêts et nous permettre de réaliser des statistiques de visites. Vous pouvez modifier les réglages d’acceptation des cookies pour ce site », avertit et justifie le site web du quotidienOuest-France.
Et d’expliquer ensuite : « Cliquez sur chaque catégorie pour activer ou désactiver l’utilisation des cookies. Le bandeau de couleur indique si les cookies sont actifs (vert, sur la gauche) ou inactifs (rouge, sur la droite) ».
Quant au site web de la Cnil, qui est censé montrer le bon exemple, il se veut plus synthétique et propose une alternative : « En poursuivant votre navigation, vous acceptez le dépôt de cookies tiers destinés à vous proposer des vidéos, des boutons de partage, des remontées de contenus de plateformes sociales. “OK, tout accepter”
ou “Personnaliser” ». @