« Le numérique exerce une pression considérable sur la rémunération des auteurs » (rapport Racine)

Les auteurs et artistes ne veulent plus être la dernière roue du carrosse des industries culturelles. Ils souhaitent désormais un meilleur partage de la valeur, surtout à l’heure où le numérique fait pression sur leurs royalties. Certains s’émancipent par l’autoédition ou l’autoproduction.

(Depuis la publication de cet article dans Edition Multimédi@ n°227 le 10 février, un collectif de plus de 3.500 écrivains et autres créateurs de l’édition a interpelé le gouvernement dans une tribune publiée le 13 février dans Le Monde)

« L’irruption de nouveaux acteurs issus du numérique exerce (…) une pression considérable sur les acteurs traditionnels de l’aval, et donc, par contrecoup, sur la rémunération des auteurs », constate Bruno Racine (photo), dans son rapport intitulé « L’auteur et l’acte de création », remis le 22 janvier au ministre de la Culture, Franck Riester. Il est donc nécessaire de trouver « un meilleur partage de la valeur » au profit notamment de l’auteur, « le premier maillon » des différentes filières économiques des industries culturelles. Cela suppose « un dialogue plus organisé » pour avancer. Le « contrat d’édition à l’ère numérique », entré en vigueur il y a un peu plus de cinq ans maintenant – depuis le 1er décembre 2014 précisément à la suite d’une ordonnance (1) –, a montré que des négociations professionnelles concernant les auteurs pouvaient aboutir. Ces derniers étaient très remontés contre les maisons d’édition et il avait fallu plus de quatre ans de discussions – et de travaux difficiles de la mission Sirinelli lancée en 2012 – pour que soient inscrits dans la loi les principes d’un nouveau contrat d’édition « unique » entre le livre imprimée et le livre numérique.

Le contrat d’édition à l’ère numérique a pourtant 5 ans d’existence
Un accord-cadre entre le Syndicat national de l’édition (SNE) et le Conseil permanent des écrivains (CPE) fut dans un premier temps signé – le 21 mars 2013 – approuvant le principe de ce fameux contrat d’édition à l’ère numérique. « Mais cette démarche reste partielle et ne s’intègre pas dans une vision d’ensemble », regrette le rapport Racine. Pire : en cinq ans, le traitement des auteurs dans l’édition ne semble pas s’être amélioré. Selon les constatations de la mission pilotée par Bruno Racine, conseiller maître à la Cour des comptes, « certains éditeurs appliquent des taux de droits d’auteur de 2,25 % sur le prix de vente pour les ventes d’ouvrages en France et de 1,69 % pour les ventes d’ouvrages à l’étranger, ce qui est dérisoire ». Concernant les droits issus de l’exploitation numérique de l’oeuvre, « laquelle est pourtant peu coûteuse pour l’éditeur », certains d’entre eux prévoient des taux de seulement 3 %. Quant à l’exploitation audiovisuelle de l’oeuvre, elle peut faire l’objet d’un reversement à l’auteur de seulement 25 % des sommes perçues par l’éditeur – alors que la règle non-écrite est de Continuer la lecture

Non-respect d’une licence de logiciel par le licencié : manquement contractuel ou contrefaçon ?

Deux affaires récentes ont opposé respectivement Free et Orange à des éditeurs de logiciels, lesquels les accusaient de contrefaçon. Mais le non-respect d’un contrat de licence de logiciel par le détenteur de cette licence de logiciel peut soit relever de la contrefaçon, soit du manquement contractuel.

Par Charles Bouffier, avocat, cabinet August Debouzy

La question de la nature de la responsabilité de toute personne qui souscrit à une licence pour l’utilisation d’un logiciel (le « licencié ») mais qui ne respecte pas les termes du contrat de licence du logiciel a donné lieu ces dernières années à des solutions jurisprudentielles contrastées en droit français (1). Et ce, compte-tenu du principe de non-cumul des responsabilités (2). Cette question délicate se trouve au coeur de deux affaires récentes opposant des opérateurs – respectivement Free Mobile et Orange – à des éditeurs de logiciels.

Affaire « Free » : question préjudicielle
Le 16 octobre 2018, la Cour d’appel de Paris (3) a posé une question préjudicielle à la Cour de justice de l’Union européenne (CJUE) dans le cadre d’une affaire opposant Free Mobile à la société IT Development (4). Les faits sont les suivants : la société IT Development a consenti par contrat à la société Free Mobile une licence sur un logiciel de gestion de déploiement de réseaux mobiles dénommé ClickOnSite. Arguant d’une décompilation non-autorisée et de modifications apportées au code-source de son logiciel en violation du contrat de licence, notamment pour créer des formulaires, la société IT Development a fait procéder à une saisie-contrefaçon dans les locaux d’un sous-traitant de l’opérateur Free Mobile puis a assigné ce dernier en contrefaçon de logiciel. En défense, Free Mobile a opposé que les actes invoqués ne constituent pas une violation de droits de propriété intellectuelle, mais une inexécution contractuelle. Par jugement du 6 janvier 2017, le TGI de Paris a considéré qu’il était reproché à la société Free Mobile « des manquements à ses obligations contractuelles, relevant d’une action en responsabilité contractuelle et non pas des faits délictuels de contrefaçon de logiciel, de sorte que l’action en contrefaçon initiée par la demanderesse est irrecevable » (5). La Cour d’appel de Paris, elle, a accepté de surseoir à statuer et de renvoyer à la CJUE la question préjudicielle suivante : « Le fait pour un licencié de logiciel de ne pas respecter les termes d’un contrat de licence de logiciel (par expiration d’une période d’essai, dépassement du nombre d’utilisateurs autorisés ou d’une autre unité de mesure, comme les processeurs pouvant être utilisés pour faire exécuter les instructions du logiciel, ou par modification du code-source du logiciel lorsque la licence réserve ce droit au titulaire initial) constitue-t-il : une contrefaçon (au sens de la directive 2004/48 du 29 avril 2004 [sur le respect des droits de propriété intellectuelle, dite IPRED, ndlr]) subie par le titulaire du droit d’auteur du logiciel réservé par l’article 4 de la directive 2009/24/CE du 23 avril 2009 concernant la protection juridique des programmes d’ordinateur, ou bien peut-il obéir à un régime juridique distinct, comme le régime de la responsabilité contractuelle de droit commun ». Très attendues, les conclusions de l’avocat général de la CJUE ont été publiées le 12 septembre dernier (6). Après avoir réduit la portée de la question préjudicielle à la seule hypothèse de la modification du code source du logiciel (au motif que les trois autres seraient étrangères aux faits litigieux), l’avocat général suggère à la CJUE d’y répondre de la façon suivante : « Il y a lieu d’interpréter les articles 4 et 5 de la directive (…) concernant la protection juridique des programmes d’ordinateur, pris avec l’article 3 de la directive (…) relative au respect des droits de propriété, en ce sens que :
• La modification du code source d’un programme d’ordinateur, effectuée en violation d’un contrat de licence, constitue une atteinte aux droits de propriété intellectuelle qui appartiennent au titulaire du droit d’auteur sur le programme, à condition que cette modification ne soit pas exonérée d’autorisation conformément à la directive [sur la protection juridique des programmes d’ordinateur].
• Le fondement juridique de l’action que le titulaire des droits d’auteur sur un programme informatique peut exercer contre le titulaire de la licence, pour cause de violation des facultés propres du titulaire des droits, est de nature contractuelle lorsque le contrat de licence réserve ces facultés au titulaire du programme, conformément à l’article 5 paragraphe 1, de la directive [sur la protection juridique des programmes d’ordinateur].

Des facultés réservées au titulaire
• Il appartient au législateur national de déterminer, en respectant les dispositions de la directive [IPRED] et les principes d’équivalence et d’effectivité, les modalités procédurales nécessaires à la protection des droits d’auteur sur le programme d’ordinateur en cas de violation de ces derniers, lorsque cette violation implique simultanément une violation de ces droits et un manquement contractuel. » Ainsi, selon l’avocat général de la CJUE, si le manquement reproché au licencié consiste dans le non-respect d’une clause contractuelle par laquelle le titulaire s’est expressément réservé l’exclusivité de certaines des facultés énumérées dans la directive concernant la protection juridique des programmes d’ordinateur, « la qualification juridique du différend serait uniquement contractuelle » et il n’y aurait alors pas de place pour la contrefaçon. En revanche, la modification du code source d’un programme d’ordinateur effectuée en violation d’un contrat de licence se situe en dehors de la réserve des facultés énumérées dans cette directive. Elle implique une décompilation (afin de reconstituer le code source du logiciel), qui ne figure pas parmi les facultés précitées et qui n’est permise qu’à des fins d’interopérabilité, sous réserve de certaines conditions (8).
Aussi, selon l’avocat général, un tel manquement « pourrait être qualifié, simultanément, de manquement contractuel et de violation du devoir général du respect du droit d’auteur selon les contours définis par la loi […]. Dans ce cas de figure, le principe de non-cumul serait applicable ». Par application de la règle de non-cumul – et sous-réserve de la conformité de cette règle avec le droit de l’Union européenne (en particulier la directive IPRED) ce qu’il appartiendra à la juridiction de renvoi de dire, le fondement de l’action du titulaire serait alors de nature contractuelle.

Parallèle avec l’affaire « Orange »
En attendant l’arrêt de la CJUE sur cette question, un parallèle peut être fait avec une autre affaire récente. Le contentieux impliquant des licences de logiciel libre est suffisamment rare(lire ci-dessous une autre affaire « Free » de 2008) pour que l’on s’attarde sur un jugement du TGI de Paris du 21 juin 2019 rendu dans une affaire opposant l’éditeur de logiciel libre Entr’ouvert aux sociétés Orange et Orange Applications for Business (10). L’opérateur télécoms avait répondu à un appel d’offres de l’Agence pour le gouvernement de l’administration électronique (ADAE) en vue de la conception et de la réalisation d’un portail informatique, en proposant un outil interfacé avec la bibliothèque logicielle Lasso éditée par la société Entr’ouvert sous licence libre GNU GPL version 2. Estimant que la mise à disposition par Orange de cette bibliothèque à son client ne respectait pas les articles 1 et 2 de cette licence libre, la société Entr’ouvert a fait procéder à une saisie-contrefaçon au siège d’Orange puis l’a assigné en contrefaçon de droit d’auteur devant le TGI de Paris. En substance, elle reprochait à l’opérateur télécoms une déclaration d’utilisation de la version 0.6.3 de la licence litigieuse – alors qu’il aurait également employé la version 2.2.90, ainsi que l’indication prétendument trompeuse à l’ADAE de ce que la bibliothèque serait un module autonome.

Non-cumul de responsabilité
Orange et sa filiale Orange Application for Business (cette dernière étant intervenue volontairement à l’instance) soulevaient pour leur part l’irrecevabilité de l’action intentée au motif que le litige relèverait de la responsabilité contractuelle et non pas de la contrefaçon. L’opérateur télécoms a été suivi en cela par le TGI. En effet, après avoir rappelé – à l’instar de l’avocat de la CJUE dans l’affaire « Free » – que « la violation des droits réservés de l’auteur [listés à l’article L.122-6 du code de la propriété intellectuelle] est sanctionnée par la contrefaçon » et que « les modalités particulières d’usage pour permettre l’utilisation du logiciel conformément à sa destination, par [le licencié] sont aménagées, selon l’alinéa 2 de l’article L122-6-1 du code de la propriété intellectuelle, par contrat entre les parties », le TGI a finalement considéré « que la société Entr’ouvert poursuit en réalité la réparation d’un dommage généré par l’inexécution par les sociétés défenderesses d’obligations résultant de la licence et non pas la violation d’une obligation extérieure au contrat de licence ». En application du principe de non-cumul de responsabilité, nous dit le jugement, « seul le fondement de la responsabilité contractuelle est susceptible d’être invoqué par la demanderesse, qui doit donc être déclarée irrecevable en son action en contrefaçon et en ses prétentions accessoires ». L’affaire rebondira peut-être devant la Cour d’appel de Paris… @

ZOOM

Il y a dix ans, Free était déjà accusé de contrefaçon – sur sa Freebox
La licence libre GNU GPL Version 2 (GNU signifiant « GNU’s Not UNIX » et GPL « General Public License ») avait déjà été au cœur il y a dix ans d’une précédente affaire de contrefaçon portée devant le TGI de Paris : l’affaire « Free/ Welte, Andersen et Landley » qui avait défrayé la chronique à l’époque. En 2008, les auteurs de deux logiciels libres (Iptables et BusyBox) avaient assigné Free en contrefaçon de leurs droits d’auteur devant le TGI de Paris. Ils reprochaient à l’opérateur télécoms l’utilisation, dans la Freebox, des deux logiciels litigieux sans permettre l’accès à leurs codes sources, en méconnaissance des termes de cette licence GNU GPL Version 2 (https:// lc.cx/Assign2008). Free s’était alors défendue en expliquant que le terminal n’était pas vendu mais simplement prêté, ce qui l’exonérait — selon son fondateur Xavier Niel — de toute obligation de divulgation dudit code source. Un accord avait finalement été conclu en juillet 2011 entre les parties mettant fin au procès (https:// lc.cx/FSF-Free2011). Cet accord prévoyait notamment le libre accès aux codes sources des logiciels libres utilisés dans les Freebox. Compte-tenu de cette issue amiable, le TGI n’avait pas eu à se prononcer sur la recevabilité de l’action en contrefaçon des demandeurs pour non-respect des termes de la licence GNU GPL Version 2. Huit ans après, l’occasion lui en a été donnée dans le cadre d’une affaire visant cette fois-ci l’opérateur Orange. @

Les internautes reprennent la main sur les cookies, mais les éditeurs de sites web se rebiffent

« Le placement de cookies requiert le consentement actif des internautes ; une case cochée par défaut est donc insuffisante », a rappelé la Cour de justice de l’Union européenne (CJUE) dans un arrêt du 1er octobre, RGPD oblige. Ce consentement actif préalable ne plaît à tous les éditeurs du Web.

L’étau du règlement général sur la protection des données (RGPD), entré en vigueur en mai 2018, se resserre sur les cookies, ces traceurs ou autres mouchards déposés sur les terminaux des internautes et mobinautes à des fins de publicités ciblées et de collecte de données. L’arrêt rendu le 1er octobre par la Cour de justice de l’Union européenne (CJUE) suit les conclusions de l’avocat général de cette dernière, qui, le 21 mars 2019, avait rappelé que pour être valide le consentement de l’utilisateur à accepter des cookies doit être « éclairé » (1).

Le Conseil d’Etat saisi contre la Cnil
« Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité », prévoit le considérant 32 du RGPD. De plus, l’utilisateur doit être informé de la durée de fonctionnement des cookies et de l’identité des tiers ayant accès à ses informations par ce biais. Et le RGPD précise qu’il en va ainsi « que les informations stockées ou consultées dans l’équipement terminal de l’utilisateur d’un site Internet constituent ou non des données à caractère personnel ». Il s’agit de protéger chaque Européen connecté de toute ingérence dans sa vie privée, « notamment contre le risque que des identificateurs cachés ou autres dispositifs analogues pénètrent dans son équipement à son insu » (2).
Le Comité européen de la protection des données (CEPD), anciennement appelé groupe de travail « Article 29 » (G29) et réunissant les « Cnil » européennes, est le garant de cette bonne application par les différents Etats membres. D’autant que le projet de règlement européen « ePrivacy » (respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques), toujours en discussion au Parlement européen (3), ira dans le même sens concernant les cookies.
En France, c’est la Commission nationale de l’informatique et des libertés (Cnil) qui veille et contrôle au bon respect des consignes législative du RGPD par les éditeurs de sites web. Mais elle a décidé d’appliquer un moratoire, en fixant à début 2020 le moment de la publication de ses recommandations pour mettre en oeuvre les lignes directrices publiées le 19 juillet au Journal Officiel (4) – remplaçant ainsi les précédentes instructions datant de 2013. A ce délai s’ajoutent six mois de délai pour laisser le temps aux éditeurs en ligne de s’adapter et de se mettre en conformité, soit à partir de mi-2020, deux ans après l’entrée en vigueur du fameux RGPD (5). Or une douzaine de jours avant l’arrêt de la CJUE, Etienne Drouard (photo), avocat d’un groupement de neuf associations professionnelles (6), dont le Groupement des éditeurs de contenus et de services en ligne (Geste), déposait en France un recours devant le Conseil d’Etat contre les lignes directrices « cookies et autres traceurs » de la Cnil. Ces neuf associations professionnelles, représentatives de l’écosystème du Net français (éditeurs, régies publicitaires, Ad-tech, e-commerçants et annonceurs), contestent la manière dont la Cnil interprète le RGPD. Par exemple, cette dernière prévoit à l’article 2 de ses lignes directrices qu’« afin que le consentement soit éclairé, l’utilisateur doit pouvoir identifier l’ensemble des entités ayant recours à des traceurs avant de pouvoir y consentir. Ainsi, la liste exhaustive et régulièrement mise à jour de ces entités doit être mise à disposition auprès de l’utilisateur directement lors du recueil de son consentement » (7).
Les neuf plaignantes craignent « une totale remise en cause, à terme, des activités marketing et publicitaires et une grande destruction de valeur économique, notamment au profit des acteurs internationaux dominants de ce secteur ». Par ailleurs, pour Maître Drouard (cabinet K&L Gates), qui s’est exprimé chez nos confrères de Mind Media et de l’AFP, cette solution franco-française n’est pas prévue dans le RGPD qui ne prévoit pas tant d’informations à fournir aux utilisateurs. « La publicité sans cookies, ça n’existe pas », a-t-il lancé. A partir du 29 octobre, Libération va essayer de prouver le contraire.

Le moratoire « cookies » attaqué par LQDN
Quant au moratoire consenti par la Cnil aux éditeurs en ligne du temps pour avoir le temps de se mettre en conformité, il est attaqué dans un second recours déposé le 29 juillet devant le Conseil d’Etat par cette fois La Quadrature du Net, association française de défense des droits et libertés numériques, et Caliopen, autre association de l’Internet libre (à l’origine d’un projet soutenu par Gandi pour développer un agrégateur de correspondances privées provenant de messageries électroniques, réseaux sociaux ou de microblogging). Pour elles, il n’y a pas de temps à perdre pour assurer « la protection de nos libertés fondamentales ». L’arrêt est à venir. @

Charles de Laubier

La question n’est plus de savoir si la Commission européenne va enquêter sur Apple, mais quand

L’actuelle Commission européenne, dont le mandat va s’achever fin octobre, pourrait lancer une enquête antitrust dès cet été à l’encontre d’Apple. Si la plainte déposée par Spotify mi-mars en est à l’origine, c’est tout l’écosystème de la marque à la pomme qui se retrouverait dans le collimateur.

La commissaire européenne à la concurrence, la Danoise Margrethe Vestager (photo de gauche), n’a pas dit son dernier mot avant la fin de la mandature de la Commission « Juncker » (1). Son dernier fait d’armes pourrait être le lancement d’une enquête sans précédent sur l’écosystème d’Apple de plus en plus contesté. Au-delà de la plainte de Spotify, c’est l’ensemble de la position dominante de la marque à la pomme qui pourrait se retrouver sur le banc des accusés.

Risques d’abus et de conflits d’intérêts
Car il n’y a pas que la plateforme musicale suédoise qui a maille à partir avec l’environnement fermé et verrouillé de la firme du Cupertino. D’autres acteurs économiques formulent eux aussi des griefs envers la chasse gardée du fabricant d’iPhone, d’iPad et de Mac, qui, d’après son PDG Tim Cook (photo de droite), aurait franchi pour la première fois
la barre des 2 milliards d’appareils sous iOS vendus. C’est par exemple le cas de la presse, qui se plaint des royalties que s’arroge Apple News+. Ce kiosque numérique a été lancé au printemps dernier aux Etats-Unis et au Canada et arrive à l’automne en Grande-Bretagne et en Australie (sur iOS 13) – mais pas encore en France – comme cela a été annoncé début 3 juin lors de la fameuse WWDC (2).
Au lieu d’appliquer à la presse sa sacro-sainte répartition de valeur à 70/30, laquelle est déjà perçue comme trop élevée aux yeux de beaucoup d’éditeurs d’applications (3), Apple News+ impose la règle du 50/50 en se gratifiant de la moitié. Certains journaux américains comme le New York Times ou le Washington Post ont refusé d’y être référencés, tandis que ceux qui ont pris le risque d’y aller se plaignent de la rétention des données – la data, le nerf de la guerre – pratiquée par la marque à la pomme qui semble prendre les éditeurs pour des poires… Cette perte de contrôle des abonnés n’est pas du goût de ces derniers (4). A part au Royaume-Unis, Apple News+ n’est pas encore lancé en Europe. En revanche, les négociations auraient commencé dans certains pays européens, dont la France, mais elles achopperaient sur la rémunération ainsi que sur le partage de la valeur et des données. Quelle qu’en soit l’issue, gageons que les éditeurs européens se laisseront moins faire que leurs homologues américains – quitte à agiter le spectre de la plainte devant la Commission européenne… Un autre GAFA, Google en l’occurrence, est bien placé sur le Vieux Continent pour le savoir, après avoir écopé – de la part de très déterminée Margrethe Vestager – de trois sanctions pécuniaires pour abus de position dominante de Google (5) – soit un total de 8,25 milliards d’euros pour pratiques concurrentielles illégales ! Concernant le différend entre Spotify et Apple, porté devant la Commission européenne, le Financial Times croit savoir depuis le 7 mai dernier qu’une enquête pour abus de position dominante va être lancée prochainement par Margrethe Vestager. A moins que cela ne soit la prochaine présidente de la Commission européenne, l’Allemande Ursula von der Leyen,
qui s’en chargera à l’automne. Quoi qu’il en soit, la Danoise prend très au sérieux les griefs formulés par Spotify. Le numéro un mondial des plateformes de streaming musical reproche à la firme de Cupertino de prélever de façon injustifiée 30% sur la vente de ses abonnements. Spotify explique que ce surcoût – « cette taxe » – le contraint à relever son prix pour l’amortir. Ce qui met son abonnement premium au-dessus de celui d’Apple Music. D’où l’accusation de conflit d’intérêt portée à l’encontre du géant californien, lequel s’est inscrit en faux dans son courrier envoyé mi-juin à la Commission européenne et révélé le
24 juin par Music Business Worldwide.
Selon Apple, l’« app tax » de 30 % ne s’applique que sur la première année sur l’App Store pour être ramenée 15 % ensuite, et elle ne porte que sur seulement 0,5 % environ du parc total d’abonnés payants de Spotify (soit sur seulement 680.000 abonnés sur le total des 100 millions au niveau mondial). Si la firme de Cupertino devait être condamnée par la Commission européenne pour abus de position dominante, elle pourrait écoper d’une amende pouvant aller jusqu’à 10 % de son chiffre d’affaires global.

Le monopole d’App Store aussi contesté
Aux Etats-Unis, le 4 juin dernier, des développeurs d’applications mobile ont déposé plainte contre la marque à la pomme (6) pour pratique anticoncurrentielles sur sa boutique App Store. En cause : toujours ces 30 % d’« app tax » mais aussi les 99 dollars exigés par Apple aux développeurs pour être distribué. Par ailleurs, des utilisateurs d’iPhone ont obtenu l’aval de la Cour suprême américaine pour attaquer le fabricant sur la gestion monopolistique de l’App Store. @

Charles de Laubier

Consentement préalable aux cookies : la Cnilmet les éditeurs en ligne en infraction avec le RGPD

« Faire défiler une page ou naviguer sur un site Internet ne satisfait pas à l’exigence d’un acte positif clair », prévient le groupe des « Cnil » européennes (G29) dans ses lignes directrices sur le consentement préalable avant tout cookie. Pourtant, la France continue de tolérer cette pratique interdite.

« En poursuivant votre navigation sur ce site web, vous acceptez l’utilisation de cookies pour vous offrir une meilleure expérience utilisateur »… Autrement dit, en reprenant le modèle de bandeau d’information préalable recommandé par la Cnil elle-même (1) : «En poursuivant votre navigation, vous acceptez que des traceurs soient déposés dans votre terminal afin de vous proposer des publicités ciblées et adaptées à vos centres d’intérêts, et pour réaliser des statistiques de visites » (2).

Un « scroll », et c’est le « cookie » !
Quel internaute n’a pas été confronté à ce message intrusif lors de sa première visite sur un site web français ? Il suffit d’un « scroll », c’est-à-dire l’action de faire défiler le contenu à l’écran (3), pour que l’éditeur considère avoir obtenu ainsi le consentement de l’internaute – sur le smartphone, l’ordinateur ou la tablette duquel il se permettra de déposer des cookies. Ces traceurs, ou mouchards, sont de petits fichiers enregistreurs de tous les faits et gestes du visiteur lors de sa navigation sur le site web en question. Le problème est que ce type de « bandeau cookie » proposant un « soft » opt-in – situé entre l’opt-in (consentement préalable) et l’opt-out (consentement implicite) – n’est pas conforme au règlement général sur la protection des données (RGPD) entré en vigueur le 25 mai 2018. Le consentement préalable obligatoire (opt-in clair et net (4)) y est défini comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement » (5).
Or, justement, de l’avis même des « Cnil » européennes réunies au sein du groupe dit G29 qui le précise dans ses lignes directrices révisées le 10 avril 2018 sur le consentement à la lumière du RGPD, « faire défiler une page ou naviguer sur un site Internet ne satisfait pas à l’exigence d’un acte positif clair ». Pour la simple raison, poursuit le G29, que « la notification indiquant qu’en continuant à faire défiler la page, l’utilisateur donne son consentement peut être difficile à distinguer et/ou peut être manquée lorsqu’une personne concernée fait rapidement défiler de longs textes, et qu’une telle action n’est pas suffisamment univoque » (6). Pourtant, malgré l’interdiction de cette pratique douteuse, les éditeurs de sites web et de presse en ligne continuent d’y recourir sans scrupule. Et ce, en France, avec l’aval de la Cnil qui va la considérer durant encore un an comme « acceptable » – dixit la Cnil le 28 juin (7). Sa présidente, Marie-Laure Denis (photo), a en effet profité de l’assemblée générale du Groupement des éditeurs de contenus et de services en ligne (Geste) – le 25 juin dernier – pour accorder aux éditeurs du Net un nouveau moratoire d’un an, soit jusqu’en juillet 2020. C’est donc après la publication de « nouvelles lignes directrices » – publication que la Cnil annonce pour juillet en vue de remplacer l’an prochain seulement en les abrogeant ses recommandations du 5 décembre 2013 parues au Journal Officiel (8) – que courra cette nouvelle « période transitoire » de douze mois pour laisser les médias « se mettre en conformité », a indiqué Marie-Laure Denis. La Cnil publiera « sa recommandation, pour consultation publique, fin 2019 ou, au plus tard, début 2020 », mais n’exclue pas des contrôles pour vérifier qu’aucun cookie n’est déposé sans obtention explicite du consentement. La pratique dite du « cookies wall », forçant quelque peu le consentement de l’internaute, sera alors proscrite. Ce moratoire est une aubaine pour les éditeurs en ligne, qui doivent investir dans une Consent Management Platform (CMP) et qui craignent de voir bon nombre d’internautes refuser d’être « espionnés » à des fins publicitaires. « Pendant cette période de transition, explique le Geste qui rassemble de nombreux sites de presse en ligne (TF1.fr, Leparisien.fr, Lefigaro.fr, BFMtv.com, 20minutes.fr, Latribune.fr, Mediapart.fr, etc.), la poursuite de la navigation comme expression du consentement sera ainsi considérée comme acceptable. Sur cette question, la Cnil a récemment rappelé que l’action positive, comme le scroll et/ou le clic sur un élément de la page visitée après un bandeau d’information, suffit à recueillir valablement un consentement internaute ».

Mieux que le RGPD, l’ePrivacy en 2020
Cette position de la Cnil est propre à la France en Europe, qui prend donc le risque de permettre aux éditeurs de jouer les prolongations jusqu’à mi-2020 avec leurs « bandeaux cookies » non conformes au RGPD, alors que se profile déjà pour l’an prochain un autre règlement européen encore plus redouté par les éditeurs, celui appelé « ePrivacy » (9) (*) (**) (***), sur la protection de la vie privée et des données personnelles. @

Charles de Laubier