Cookies : après la concertation, la Cnil veille maintenant au respect de ses recommandations

La Cnil, qui a récemment reçu les professionnels et les éditeurs de services en ligne sur le bon usage des cookies, a prévenu qu’elle allait redoubler de vigilance ces prochaines semaines pour s’assurer du bon respect de ses recommandations et de l’accord préalable de chaque internaute.

Par Etienne Drouard, avocat associé, cabinet K&L Gates LLP

Etienne DrouardLa Cnil (1) a publié en décembre 2013 une série de recommandations assorties d’observations et de fiches pratiques sur la régulation française des fichiers cookies et autres traceurs. Ces fichiers, enregistrés dans le terminal d’un utilisateur lors de la visite d’une page les contenant, sont au coeur de la mesure d’audience, de la publicité interactive et comportementale ainsi que du commerce électronique.

De la concertation à la réglementation précise
Ces cookies permettent de mesurer l’audience des services, d’identifier un terminal lors de diverses connexions successives, de constituer un panier de commande, etc. Ils fondent de nombreux modèles économiques et contribuent à la performance économique et éditoriale des services en ligne.
La publication par la Cnil de ces divers documents d’interprétation est intervenue près de deux ans et demi après la modification par voie d’ordonnance (2) de l’article 32.II de la loi Informatique & Libertés de 1978, lui-même issu de l’article 5§3 de la directive européenne Vie privée et communications électroniques de 2002 modifiée en 2009 (7).

Les acteurs français de la publicité sur Internet s’étaient très tôt dotés de lignes directrices sur l’application de la réglementation européenne, tout d’abord par l’élaboration d’une charte « Publicité ciblée et protection des utilisateurs » signée le 30 septembre 2010 sous l’égide de l’Union française du marketing direct & digital (UFMD) (8). Ensuite, par l’adoption sous l’égide de l’UFMD en avril 2012, d’un « Guide de bonnes pratiques sur l’utilisation des cookies publicitaires », fournissant des recommandations pratiques sur les modalités d’application de l’article 32.II. La Cnil avait, en mai 2012, invité l’UFMD à participer à des travaux d’échanges et de concertation destiné à réduire les écarts d’interprétation qui s’étaient creusés entre l’analyse des associations professionnelles et la doctrine stricte exprimée par la Cnil
et ses homologues depuis 2010, exigeant un consentement explicite, préalable et discrétionnaire des internautes à l’utilisation des cookies à des fins publicitaire et d’analyse comportementale (9). Cette concertation s’est déroulée entre les mois de
juin 2012 et novembre 2013. Elle a conduit la Cnil à adopter des recommandations concrètes synthétisant les points essentiels de consensus dégagés avec les associations professionnelles concernées. L’article 32.II prévoit que le dépôt de cookies et l’accès à des informations stockées dans le terminal, ne peuvent avoir lieu « qu’à condition que l’abonné ou la personne utilisatrice ait exprimé son accord », après avoir reçu des informations prévues par la loi (10). Cet article ne détermine pas de manière précise les modalités d’accord. Le législateur a donc ouvert à toutes les solutions et évolutions technologiques les modalités d’expression des choix des utilisateurs, à condition que ces derniers en conservent la maîtrise.

Poursuivre sa navigation vaut accord
• Etape 1 : un bandeau d’information immédiatement visible lors d’une première visite.
La CNIL requiert l’affichage d’un bandeau informant l’internaute : des finalités des cookies présents sur le service visité, du fait que la poursuite de la navigation vaudra accord à l’enregistrement de cookies, qu’il dispose de moyens lui permettant de refuser les cookies. La notion de « service visité » correspond à une même URL principale. La formule préconisée par la Cnil et qui peut être adaptée selon l’ergonomie des écrans des terminaux et les finalités d’utilisation des cookies, est la suivante : « En poursuivant votre navigation, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts et mesurer la fréquentation de nos services. Pour en savoir plus et paramétrer les cookies… (11) ». Le bandeau peut n’apparaître que lors de la première visite du service, mais il doit être distinct du contenu du service visité et être visible immédiatement, sans action de l’utilisateur, c’est-àdire sans avoir à « scroller » une page ni à effectuer aucune action lors de la première visite.
• Etape 2 : un lien cliquable depuis le bandeau d’information. Le bandeau d’information doit comporter un lien cliquable permettant à l’internaute d’exprimer ses choix à travers les paramètres de son navigateur ou d’un mécanisme de choix sur les finalités de cookies acceptés ou refusés par l’internaute (12). Le lien figurant au sein du bandeau d’information doit permettre à l’internaute, avant de poursuivre sa navigation, de consulter une seconde étape d’information décrivant : les finalités détaillées d’utilisation des cookies, les cookies utilisés pour des opérations de publicité ciblée, les cookies permettant d’identifier un utilisateur de réseaux sociaux avec un bouton de « partage », les cookies de mesure individualisée de l’audience mais pas tous (voir plus loin).

Tous les cookies ne sont pas concernés
Qui doit informer l’internaute ? Chaque émetteur de cookie : il s’agit, au premier chef,
de l’éditeur du service visité, qui doit informer les personnes des finalités des cookies présents sur le service visité, émis par ledit éditeur ou par des tiers, ainsi que des
moyens d’opposition pour les cookies « non nécessaires » au service. Il s’agit également des acteurs suivants (13) : la régie publicitaire, les adservers et membres de réseaux d’adexchange, les agences media, les annonceurs, les éditeurs de réseaux sociaux, les fournisseurs de solutions de mesure d’audience, etc.
Quant au « timing » de dépose des cookies, il est soumis à « l’accord » de l’internaute.
S’il poursuit sa navigation, l’internaute est réputé accepter les cookies et le bandeau d’information peut alors disparaître. A contrario, la dépose/lecture des cookies soumis
à l’accord de l’internaute est subordonnée à la poursuite de sa navigation, laquelle consiste en une action positive de navigation : clic, accès à une page secondaire, scroll, etc. En conséquence, l’inaction totale de l’internaute n’est pas un élément de poursuite de sa navigation (14). Cependant, certains cookies ne sont pas soumis à l’accord ou à la navigation active de l’internaute. Selon les recommandations de la Cnil, les cookies
qui n’ont pas à être acceptés, refusés ou retardés jusqu’à un acte de navigation de l’internaute, sont les suivants :
• Les cookies nécessaires au fonctionnement du service souhaité. Il s’agit des cookies de gestion d’un panier d’achat et d’authentification mémorisant les droits d’accès d’un utilisateur. Il s’agit également des cookies persistants d’adaptation d’un service aux spécificités d’un terminal (langue, système d’exploitation).
• Les cookies de mesure d’audience en vue d’établir des statistiques et dont la durée de validité est limitée dans le temps.
• Les cookies « de session », qui peuvent inclure ceux créés par un lecteur multimédia ou pour l’équilibrage de charge du service visité.
• Les cookies persistants, limités à quelques heures. Ces divers types de cookies peuvent donc être déposés lors du chargement de la page visitée, sans attendre la poursuite de la navigation et sans besoin du bandeau d’information. Mais des difficultés d’application et des questions ont été laissées en suspens par la Cnil.

Les éditeurs, dont les services en ligne contiennent des cookies qu’ils émettent eux-mêmes ou que des tiers ont émis, doivent interroger ces tiers sur les finalités des cookies déposés par ces derniers, afin de pouvoir en informer les internautes. Pour ce faire, les éditeurs doivent donc identifier, analyser et décrire les cookies présents sur leurs propres pages, afin de déterminer s’ils sont ou ne sont pas soumis à l’exigence
de l’accord de l’internaute. De cette analyse dépend la faculté pour l’éditeur de gérer
le moment de dépose de chaque cookie et, le cas échéant, de retarder la dépose
des cookies soumis à l’accord de l’internaute à un acte de navigation de ce dernier.
Or les éditeurs de services ne sont pas toujours en mesure de paramétrer le moment de dépose des cookies émis par des tiers sur les pages de leurs services, ne serait-ce que pour les cookies rattachés à l’utilisation des réseaux sociaux. De surcroît, les éditeurs peuvent ne pas être en mesure de retarder le dépôt des cookies qu’ils émettent et qui sont soumis à l’accord de l’internaute ou à sa navigation active au sein de leurs services.
Sur ce point, les éditeurs de services et les acteurs de l’écosystème de la mesure d’audience et de la publicité doivent évaluer non seulement leur capacité à se conformer aux recommandations de la Cnil sur le « timing » de dépose des cookies, mais surtout le risque résiduel (perte de chiffre d’affaires notamment) résultant de leur incapacité à s’y conformer parfaitement (ou de leur décision de ne pas s’y conformer). La Cnil sera, à n’en pas douter, vigilante dans les semaines qui viennent et ne manquera pas de rappeler des acteurs au meilleur respect de ses recommandations, lesquelles, certes, n’ont pas de portée juridique obligatoire.

Les sanctions possibles de la Cnil
Néanmoins, ces recommandations synthétisent la doctrine de la Cnil et aucun acteur économique ne saurait prendre sereinement le risque médiatique de faire les frais d’une critique publique de cette autorité administrative indépendante – voire d’une amende pour une contravention de la 5e classe (15). L’esprit de concertation dans lequel la Cnil s’était engagée a conduit à des aménagements qui fonctionnent et permettent une bien meilleure information des personnes, à charge pour elles de faire leurs choix. Espérons que cet esprit de concertation perdurera. @

Etienne Drouard a coordonné pour l’UFMD les concertations avec la Cnil. Il est, par ailleurs, président de la commission « Enjeux réglementaires » du Geste (Groupement des éditeurs de services en ligne), lequel publiera le 30 avril 2014 son « livre blanc » de recommandations sur les cookies.

La loi Création devrait inclure YouTube et Dailymotion

En fait. Le 23 décembre, le CSA a publié le rapport – remis au gouvernement le
12 novembre – sur l’application du décret de 2010 concernant les services de médias audiovisuels à la demande (SMAd). Proposition : étendre les obligations
de la VOD et de la TV de rattrapage à YouTube et Dailymotion notamment.

En clair. En prévision du projet de loi Création, dont l’adoption en conseil des ministres
a été promise pour février 2014, le Conseil supérieur de l’audiovisuel (CSA) suggère au gouvernement et, partant, au législateur d’étendre son pouvoir sur Internet en faisant entrer dans la définition des SMAd « des grandes plates-formes de partage de vidéos qui s’imposent de plus en plus dans les usages, comme un moyen d’accès privilégié à toute sorte de contenus audiovisuels, à des extraits de programmes diffusés à l’antenne ou encore à des vidéo-musiques ». La filiale de Google, YouTube, et celle d’Orange, Dailymotion, sont les premières visées par ce rapport, qui, curieusement, n’a pas fait réagir l’Association des services Internet communautaires (Asic) dont sont membres
les deux plates-formes vidéo.

Il faut dire que la loi sur l’audiovisuel public, promulguée le 16 novembre dernier, soit quatre jours après la remise du rapport « SMAd » du CSA, prépare déjà le terrain à l’extension des pouvoirs du régulateur sur tous les « services de télévision et de médias audiovisuels à la demande » (articles 24 et 25) qui doivent désormais se déclarer auprès de lui. « Des plates-formes comme YouTube et Dailymotion sont expressément exclues de la définition des SMAd, et ceci tant par la directive européenne ‘’Services de médias audiovisuels’’ (SMA) et notamment son attendu n°16 que par la loi française elle-même », avait déclaré le président de l’Asic, Giuseppe de Martino, dans une interview à Edition Multimédi@ (1). Or la directive SMA va justement être révisée à la suite du livre vert « TV connectée » d’avril dernier (2). De son côté, Emmanuel Gabla, membre du CSA, nous avait indiqué en marge du colloque NPA le 26 novembre :
« YouTube et Dailymotion doivent déclarer auprès du CSA leur activité VOD, mais pas la partie UGC [User Generated Content]. S’ils ne le font pas, nous interviendrons ».
Il faut remonter à septembre dernier pour avoir la première réaction de l’Asic à cette perspective de déclaration des sites de vidéo sur Internet auprès du CSA. « Demain, ce sont les blogueurs, les sites de ecommerce, les journaux en ligne, les jeunes créateurs, tous ces acteurs qui ont décidé d’avoir recours à la vidéo pour faire usage de leur liberté d’expression, qui vont se retrouver soumis à une censure préalable », s’étaient inquiétée l’Asic lors des premiers amendements allant dans ce sens. @

Jean-Noël Tronc (Sacem) veut que la Cisac devienne une force de combat face aux acteurs du Net

Le directeur général de la Société des auteurs, compositeurs et éditeurs de musique (Sacem) va engager dès 2014 au niveau mondial un « combat » face à Google, Amazon ou encore Apple pour défendre – avec toutes les industries
de la création – l’exception culturelle et la taxe pour copie privée.

Par Charles de Laubier

Jean-Noël Tronc-EM@A la tête de la Sacem depuis juin 2012, Jean-Noël Tronc (photo) part en croisade pour défendre au niveau mondial l’exception culturelle et la rémunération pour copie privée.
Pour cela, il va s’appuyer sur la Confédération internationale des sociétés d’auteurs et compositeurs (Cisac), laquelle représente 227 sociétés de gestion collective – dont la Sacem – réparties dans 120 pays et gère les droits de 3 millions d’artistes dans le monde pour un montant total annuel de perceptions de plus de 7,5 milliards d’euros (dont 4,5 milliards rien qu’en Europe).

Musique, cinéma, média, livre, jeu, …
« J’essaie de contribuer à ce que cette Cisac nous serve dans les trois à cinq années
qui viennent d’étendard mondial, en mobilisant les créateurs de tous les pays, pour des opérations comme la pétition ‘’Tous pour la musique’’. On peut organiser un combat front contre front », a lancé Jean-Noël Tronc, invité d’honneur le 19 décembre dernier
du Club audiovisuel de Paris.
Il s’agit pour toutes les industries culturelles – musique, cinéma, presse, livre, jeux vidéo, arts graphiques et plastiques, spectacle vivant, télévision et radio – d’instaurer un rapport de force avec les Google, Amazon, Apple et autres géants de l’Internet. « Il y a une prise de conscience mondiale sur ce que j’ai dénoncé publiquement comme étant ‘l’exception numérique’ « , s’est félicité le patron de la Sacem.
Il prévoit de faire des propositions avec la Cisac dès l’automne 2014, « prochain rendez-vous important pour les cinq prochaines années », après les élections en mai du nouveau Parlement européen et en septembre ou octobre du président de la Commission européen. Ce sera aussi l’occasion pour Jean-Noël Tronc, instigateur du 1er Panorama des industries culturelles et créatives en France commandité à EY (Ernst & Young) et publié en novembre dernier par le lobby culturel France Créative (1), d’en publier un autre portant cette fois sur l’Europe entière – en attendant de faire ensuite
« un panorama mondial ». Fort du succès de la pétition en faveur de « l’exception culturelle » signée au début de l’été dernier par 4.878 artistes et créateurs, essentiellement français (2), il a convaincu le conseil d’administration de la Cisac, réuni à Madrid les 11 et 12 décembre dernier, de lancer une nouvelle offensive de ce type en juin 2015 avec toutes les industries culturelles, « en engageant les artistes et les créatifs dans un combat au niveau mondial ». L’année 2015 correspondra en outre aux dix ans de la signature à Paris de la Convention sur la diversité culturelle que l’Unesco a entrepris d’adapter au numérique (3). La Cisac, créée en 1926 et basée en France
– à Neuilly-sur-Seine comme la Sacem – sera le fer de lance planétaire de ce combat.
Mais pour Jean-Noël Tron, il y a urgence car « au rythme où vont les choses, une bonne partie de ce qui fait les industries culturelles aura sauté dans trois à cinq ans au niveau européen » et « si on veut arrêter d’être dans une position défensive, il faut que l’on fasse des propositions ». Parmi les trois à cinq propositions – « pas plus » – qu’il compte porter au niveau européen et mondial figure en tête la copie privée. « La copie privée, c’est l’avenir du sujet du numérique pour tous les Européens. Cela rapporte
500 à 600 millions d’euros par an au niveau européen et cela devrait en rapporter 2 milliards ». A la Sacem, et au Groupement européen des sociétés d’auteurs et compositeurs (Gesac), dont il est vice-président, il a fait de la taxe pour copie privée à l’ère du numérique son cheval de bataille. « Lorsque je suis arrivé à la Sacem, il était à peu près claire que la [rémunération pour] copie privée était morte, alors que c’est le premier vrai système de financement de la culture à partir du numérique, le seul qui vaut la peine que l’on se batte : pas la peine d’inventer de nouveaux impôts, des taxes sur les terminaux connectés », a-t-il plaidé (4). Les industries culturelles, excepté la presse préférant la taxe sur les terminaux connectés préconisée en France par le rapport Lescure, souhaiteraient étendre la taxe copie privée
à Internet, cloud inclus.

Réforme de la directive « DADVSI »
« Le mal, c’est la directive ‘’Commerce électronique’’ ! Résultat, les acteurs d’Internet
sont pour une part intouchables. (…) Il faut que l’on bouge, en imaginant un dispositif
dans l’esprit peut-être de la copie privée. Car la copie, c’est le stockage qui traite de la question des intermédiaires techniques d’Internet », a avancé Jean-Noël Tronc. Mais dans l’immédiat, il faudra que la Sacem, la Gesac et la Cisac répondent d’ici le 5 février aux 80 questions sur la révision de la directive «DADVSI » (5), la Commission européenne envisageant plus d’exceptions aux droits d’auteur dans le monde
numérique et une réforme… de la copie privée. @

Charles de Laubier