Les éditeurs n’ont plus que quatre mois pour adopter la nouvelle recette de la Cnil sur les cookies

La Cnil commencera fin mars 2021 à sanctionner les éditeurs de services en ligne qui ne se seront pas mis en conformité avec ses nouvelles règles les obligeant notamment à obtenir de manière plus stricte qu’avant le consentement des internautes avant de déposer des traceurs sur leurs terminaux.

Par Florence Chafiol, avocate associée, et Stéphanie Lapeyre, avocate, August Debouzy

Le cookie, ce petit fichier texte informatique déposé et lu sur le terminal d’un utilisateur, n’a vu le jour qu’en 1994. Si, au début de leur création, les cookies avaient une utilité limitée et méconnue du grand public, ils sont aujourd’hui au coeur de la stratégie numérique de la plupart des éditeurs de services en ligne et sources de nombreux débats. Victimes de leur succès, leur utilisation a rapidement été réglementée (1). En 2002, la directive européenne dite « ePrivacy » (2) est venue encadrer leur utilisation.

Base de la recette : informer les utilisateurs
Le consentement est alors devenu central : en principe pas de cookies sans accord préalable des utilisateurs. En France, la Commission nationale de l’informatique et des libertés (Cnil) a adopté sa première recommandation sur le sujet en 2013, afin de guider les éditeurs dans l’application de la loi et notamment dans les modalités d’obtention du consentement. Le Règlement général sur la protection des données (RGPD) ayant durci les conditions d’obtention d’un tel consentement, la Cnil a adopté le 4 juillet 2019 de nouvelles lignes directrices (3) qui sont venues abroger la recommandation de 2013. Ces lignes directrices ont été partiellement remises en cause par le Conseil d’Etat (4), et une nouvelle version a alors vu le jour le 17 septembre 2020 (5), assortie de recommandations opérationnelles (6) pour accompagner au mieux les éditeurs.
A la lecture de ces nouveaux documents adoptés par la Cnil, on note tout d’abord que l’obligation d’information préalable des utilisateurs est renforcée par rapport à 2013, même si ses modalités ne changent pas réellement : la Cnil recommande toujours une information à deux niveaux, avec un premier niveau mis en évidence lors de la connexion à la plateforme, qui contient les informations essentielles (dans la fameuse interface de recueil de consentement souvent appelée « bannière cookies ») et qui renvoie à un second niveau d’information plus complet. Cependant, les éléments devant figurer dans ces deux niveaux d’information sont largement précisés et apparaissent plus contraignants qu’auparavant. Les entreprises devront ainsi notamment s’assurer que leur bannière cookies :
Mette en exergue chaque finalité spécifique dans un intitulé court accompagné d’un bref descriptif. Un niveau de détail plus important que celui qui existe actuellement est donc requis dès le premier niveau d’information. Il ne sera dès lors plus possible, par exemple, de se contenter d’informer l’utilisateur de l’utilisation de cookies à des fins publicitaires ; il faudra préciser si ces derniers sont utilisés pour de la publicité ciblée, non-ciblée, géolocalisée, etc.
Permette à l’utilisateur d’accéder facilement à une information détaillée sur chaque finalité. L’utilisateur doit pouvoir cliquer sur un lien hypertexte « en savoir plus » ou ouvrir un menu déroulant lui donnant, pour chaque finalité, des informations plus précises sur les opérations techniques réalisées.
Permette à l’utilisateur d’accéder facilement à la liste exhaustive et à jour des responsables de traitement. Pour ce faire, la Cnil recommande d’indiquer le nombre de responsables de traitement et de renvoyer, via un lien hypertexte, vers une liste plus exhaustive (avec leur identité et un lien vers leur politique de protection des données) (7). L’éditeur devra donc être en mesure d’établir une liste de l’ensemble des organismes qui seraient susceptibles de déposer des cookies sur son site/application (cookies tiers) pour leur propre compte et devra mettre cette liste à jour régulièrement.

Ingrédient essentiel : le consentement
La « recette » reste inchangée : sans consentement, pas de cookies – sauf exceptions. Mais, à la suite de l’entrée en vigueur du RGPD le 25 mai 2018, les modalités d’obtention de ce consentement préalable ont été durcies. Pour que le consentement soit valide il faut désormais, selon la Cnil, que la bannière cookies permette à l’utilisateur :
D’exprimer son consentement à l’utilisation de cookies par un acte positif clair, comme par exemple cocher une case (non pré-cochée) ou cliquer sur un bouton « accepter ». Changement majeur donc : la simple poursuite de la navigation ne peut plus être considérée comme une expression valide du consentement.
D’accepter ou refuser le dépôt de cookies avec le même degré de simplicité, via le même écran. Alors que la Cnil réclamait initialement dans son projet de recommandation une symétrie parfaite pour les boutons accepter et refuser (même niveau, même format), elle semble avoir quelque peu assoupli sa position en envisageant également d’autres modalités de refus comme par exemple un bouton « continuer sans accepter » situé sur le même écran, mais à un autre niveau. Même si la Cnil met en garde contre les pratiques trompeuses qui mettent visuellement plus en valeur un choix plutôt qu’un autre, un tel assouplissement risque néanmoins de permettre aux éditeurs d’orienter le choix des utilisateurs en adaptant le design de l’interface.
D’exprimer son choix de manière granulaire. Si l’utilisateur peut avoir la possibilité d’accepter tous les cookies en même temps (via un bouton « tout accepter » par exemple), il doit également avoir la possibilité d’exercer son choix finalité par finalité. Un bouton « personnaliser mes choix » qui se trouverait au même niveau que le bouton « tout accepter » doit lui être proposé.

Les « cookie walls » sous surveillance
Quant à la position de la Cnil sur les « cookie walls » qui consistent à subordonner la fourniture d’un service ou l’accès à un site en ligne à l’acceptation de cookies, elle était également très attendue. D’autant qu’un arrêt du Conseil d’Etat (8) avait annulé la prohibition générale et absolue d’une telle pratique initialement souhaitée par la Cnil, satisfaisant ainsi de nombreux professionnels du numérique – notamment des médias et de la publicité. Cette pratique des « cookie walls » est mise en œuvre par de nombreux éditeurs qui espèrent conduire ainsi une majorité d’utilisateurs à donner leur consentement. Si la Cnil a assoupli sa position à la suite de l’arrêt du Conseil d’Etat, elle n’en demeure pas moins réticente car elle considère que ces cookies « accepter sinon pas d’accès » sont susceptibles de porter atteinte à la liberté du consentement. Elle tire néanmoins les conséquences de l’arrêt du Conseil d’Etat en admettant une telle pratique à condition que sa licéité soit analysée au cas par cas et que l’éditeur indique clairement à l’utilisateur qu’il ne pourra accéder au contenu souhaité sans donner son consentement. On reste malgré tout loin du blanc-seing souhaité par de nombreux acteurs du marché qui ont été à l’origine d’un lobbying actif sur ce sujet…
Les éditeurs de sites web ou d’applications mobiles doivent être en mesure de démontrer à tout moment que le consentement a été valablement recueilli (9). A cette fin, la Cnil propose plusieurs moyens : mise sous séquestre du code informatique utilisé, capture d’écran, audits réguliers, conservation des informations relatives aux outils utilisés, etc. Concernant la durée de conservation du choix de l’utilisateur, la Cnil recommande de le conserver pendant une période de six mois. Un tel délai, protecteur des intérêts des utilisateurs, s’avère cependant bien contraignant pour les éditeurs qui, par exemple, ne pourront pas ressolliciter trop rapidement un utilisateur ayant refusé le dépôt de cookies. La Cnil ne s’était d’ailleurs prononcée en 2013 que sur le délai de validité du consentement qui était alors bien plus long puisqu’il pouvait aller jusqu’à treize mois. Les éditeurs pourront néanmoins prévoir une durée différente de conservation sous réserve d’être en mesure d’en expliquer les raisons. Dans un souci toujours évident de protéger les choix des utilisateurs, la Cnil précise enfin que les utilisateurs ayant donné leur consentement à l’utilisation de traceurs doivent être en mesure de le retirer à tout moment aussi simplement qu’ils l’ont donné. Le moyen mis à disposition pour retirer leur consentement doit donc être aisément accessible sur toutes les pages du site web ou de l’application mobile, à travers un intitulé explicite et doit pouvoir être utilisé facilement. Sont donc proscrites les pratiques consistant à renvoyer l’utilisateur de page en page puis de lien en lien avant de lui permettre d’accéder au mécanisme de gestion des cookies.
En conclusion, si la recette de la Cnil n’a pas fondamentalement changé, elle s’est sans aucun doute complexifiée. La Cnil réaffirme ainsi sa volonté de protéger au mieux les données des utilisateurs – au risque d’impacter négativement de nombreux éditeurs et publicitaires, qui risquent de voir leurs taux de consentement chuter drastiquement. La Cnil tente néanmoins de faire preuve de pragmatisme en laissant aux éditeurs six mois pour se mettre en conformité et en essayant de leur fournir des conseils concrets et détaillés à travers ses recommandations. Cette mise en conformité ne doit cependant pas tarder car la Cnil a indiqué qu’elle ferait du respect des dispositions applicables aux cookies l’un de ses axes de contrôle pour 2021. Rappelons que l’autorité de la protection des données a la possibilité d’effectuer des contrôles en ligne et qu’elle avait sanctionné de cette manière de nombreuses sociétés en 2013 lors de la publication de ses précédentes lignes directrices. @

FOCUS
Des exemptions au consentement obligatoire très limitées
Comme auparavant, un certain nombre de cookies sont exemptés des obligations d’information et d’obtention du consentement. Il s’agit des cookies qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou qui sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse des utilisateurs. La Cnil cite plusieurs exemples de cookies concernés par l’exemption comme ceux destinés à l’authentification de l’utilisateur ou ceux permettant de garder en mémoire le contenu d’un panier d’achat. Toutefois, les utilisateurs doivent être informés de l’existence de ces traceurs, par exemple dans la politique de confidentialité. Quant aux cookies de mesure d’audience (10), ils sont désormais présentés par la Cnil comme faisant partie des cookies pouvant par principe bénéficier de l’exemption (là où en 2013 ils constituaient plutôt l’exception). Mais ce cookie de mesure d’audience doit avoir pour seule finalité… la mesure de l’audience et pour le compte exclusif de l’éditeur — donc pas de transmission des données à des tiers (11).
En pratique, les offres les plus utilisées, telles que Google Analytics ou Facebook Analytics, qui réutilisent souvent les données pour leur propre compte, ne pourront probablement pas bénéficier de l’exemption sauf à proposer des paramétrages de leurs outils spécifiques. @

Cookies : l’écosystème de la publicité ciblée s’organise en attendant la recommandation finale de la Cnil

C’est en avril que la Cnil devrait publier sa recommandation finale sur « les modalités pratiques de recueil du consentement » des utilisateurs au dépôt de « cookies et autres traceurs » sur leurs terminaux. Retour sur le projet de recommandation, qui est contesté par les éditeurs et les publicitaires.

Par Sandra Tubert et Laura Ziegler, avocates associées, BCTG Avocats

Alors que l’adoption du règlement européen « ePrivacy » patine depuis déjà trois ans (1), certaines « Cnil » européennes – allemande, anglaise, française, espagnole et grecque – ont décidé de prendre les devants en adoptant leurs propres lignes directrices sur les règles attendues en matière de cookies et autres technologies de traçage. En juin 2019, en France, la Cnil (2) a annoncé son plan d’action en matière de publicité ciblée. Au menu : l’adoption de lignes directrices dans une délibération datée du 4 juillet 2019 rappelant les règles de droit applicables en matière de cookies (3), complétées d’un projet de recommandation publié le 14 janvier dernier précisant les modalités concrètes de recueil du consentement.

Un cadre plus strict et peu pragmatique
Ce projet de recommandation (4), dont la version finale devrait être adoptée courant avril, a été soumis à consultation publique, laquelle s’est achevée le 25 février avec un taux de participation étonnement très relatif (5). L’abandon de la poursuite de la navigation comme modalité valide de recueil du consentement – modalité qui prévalait jusqu’alors puisque préconisée dans la recommandation de la Cnil de 2013 – est l’une des annonces phares de la Cnil. En effet le consentement tel que défini dans le règlement général européen sur la protection des données (RGPD) doit être spécifique, éclairé, univoque et libre (6). Pour satisfaire à ces quatre critères, la Cnil détaille dans ses deux textes ses attentes vis-à-vis des professionnels pour recueillir un consentement valide pour le dépôt et la lecture de cookies. Elle prend néanmoins le soin de préciser, dans son projet de recommandation, que les exemples de modalités pratiques y figurant ne sont ni prescriptifs ni exhaustifs. Les professionnels peuvent donc choisir d’autres modalités, dès lors qu’elles sont conformes aux exigences de qualité du consentement posées par le RGPD. Il est alors surprenant de constater que malgré cette annonce et le délai de grâce de six mois laissé aux sociétés pour se mettre en conformité, la Cnil précise sur son site Internet : que des contrôles seront mis en place six mois après l’adoption de sa recommandation définitive pour en vérifier le respect pratique, et que le respect des règles en matière de cookies est l’un des trois axes prioritaires du plan de contrôle pour 2020 de la Cnil (7). Ce projet de recommandation a également été l’occasion pour la Cnil d’insérer, dans chacune des sections, des « bonnes pratiques » qui sont en réalité – et de son propre aveu – des pratiques « permettant d’aller au-delà des exigences légales » (8). Concernant le premier critère, à savoir le caractère éclairé du consentement, celui-ci s’entend comme la fourniture – au moyen de termes simples et compréhensibles par tous – d’une information sur les différentes finalités pour lesquelles les cookies seront utilisés, les acteurs qui les utiliseront et la portée du consentement. Pour satisfaire ce point, exit les terminologies juridiques ou techniques complexes ou le simple renvoi vers les conditions générales d’utilisation (CGU) : la Cnil attend la fourniture d’une information complète, lisible et mise en évidence au moment du recueil du consentement. En pratique, cela signifierait une information en deux niveaux.
• Dans le premier niveau d’information, il s’agit de mettre à disposition de façon succincte l’identité du ou des responsables du traitement (avec un lien ou un bouton renvoyant à la liste complète des sociétés utilisant les cookies), les finalités des cookies mises en avant dans un intitulé court, accompagné d’un bref descriptif (ainsi que la possibilité d’accéder à une description plus détaillée sur le second niveau via un bouton ou un lien hypertexte), et le droit de retirer son consentement.
• Dans le second niveau d’information, accessible via un lien hypertexte ou un bouton depuis le premier niveau d’information, sont attendues deux listes exhaustives : celles sur les responsables de traitement utilisant des cookies et celles des sites web et applications tiers où la navigation des utilisateurs est suivie. Et c’est bien là toute la nouveauté et la complexité des attentes de la Cnil en la matière.

Fini les seuls boutons « Accepter »
De l’avis général, l’écosystème de la publicité ciblée est un système relativement complexe impliquant un nombre considérable d’acteurs. Attendre de l’éditeur d’un site web, la tenue et la mise à jour de ces deux listes et l’obtention d’un nouveau consentement de l’utilisateur en cas d’ajouts de responsables du traitement qualitativement ou quantitativement substantiel semble peu réaliste et laisse par ailleurs à l’appréciation de chacun le caractère substantiel des changements opérés. Toute cette information doit naturellement être fournie aux utilisateurs sans avoir recours à la pratique des cookies walls, reconnue non valide par la Cnil et le Comité européen de la protection des données (CEPD), puisque non compatible avec le caractère libre du consentement. C’est par ailleurs ce qui pousse la Cnil à préciser que l’utilisateur doit avoir la possibilité d’accepter ou de ne pas accepter le dépôt de cookies pour que l’on puisse valablement considérer que son consentement est « libre ». Pour ce faire, les mêmes modalités techniques et de présentation doivent s’appliquer à la capacité de consentir ou de refuser (9). Fini donc les boutons « Accepter » mis en évidence et les petits liens « En savoir plus », dont l’identification incertaine était laissée au soin des utilisateurs, lesquels devaient en déduire qu’ils étaient là pour paramétrer ou refuser le dépôt de cookies. Désormais, l’utilisateur devra se voir proposer des boutons identiques pour refuser ou accepter le dépôt de cookies.

Des délibérations et exigences critiquées
Par ailleurs, le consentement et le refus de consentement devront être enregistrés pour une durée identique – de 6 mois d’après la Cnil – de manière à ne pas solliciter à nouveau, pendant un certain laps de temps, le consentement de l’utilisateur, afin de ne pas le pousser par cette pression répétée à accepter par lassitude. Pour répondre au caractère spécifique du consentement, la Cnil exige également qu’il soit possible pour l’utilisateur de consentir de manière granulaire pour chaque finalité distincte. Différentes modalités semblent acceptées par l’autorité de contrôle : soit sur le premier niveau d’information, soit sur le second. Le consentement global – et donc le bouton « Tout accepter » – est toutefois possible à condition : d’avoir présenté toutes les finalités au préalable, de permettre de consentir par finalité, et de proposer également la possibilité de refuser de façon globale. En pratique donc, devraient fleurir des boutons « Tout accepter », « Tout refuser » et « Paramétrer/Personnaliser », de même taille, de même police et mis en évidence de manière identique pour être conforme aux exigences de la Cnil.
Enfin, pour respecter le caractère univoque comme le caractère libre, la Cnil interdit la pratique des cases pré-cochées, des interrupteurs sur la position activée par défaut et l’acceptation des cookies par les CGU, l’objectif étant que l’utilisateur effectue un acte positif pour mieux prendre conscience du choix qu’il réalise. Les attentes de la Cnil sont donc extrêmement exigeantes envers les éditeurs de sites web et d’applications mobiles, d’autant plus que ces deux délibérations – lignes directrices du 4 juillet 2019 et projet de recommandation – sont à l’heure actuelle assez éloignées des pratiques existantes sur le marché. Il n’est dès lors pas étonnant qu’elles aient fait l’objet de vives contestations par les acteurs de l’écosystème : recours devant le Conseil d’Etat (10) déposé le 18 septembre 2019 par neuf grandes associations professionnelles contre les lignes directrices de la Cnil ; tribunes, lettres ouvertes et prises de position (11) du Collectif pour les acteurs du marketing digital (CPA), de l’Udecam (12) et du Geste (13), reprochant à la Cnil de ne pas avoir pris en compte les propositions des représentants exprimées lors de la concertation engagée par la Cnil entre la publication des lignes directrices et l’adoption du projet de recommandation. Outre la contestation des différents acteurs dont le modèle économique s’est construit autour de la publicité ciblée, se pose également la question de la compatibilité de la multiplicité des lignes directrices publiées ces derniers mois par les différentes autorités de contrôles en Europe. Dans un monde globalisé où Internet est par essence transfrontalier, la publication de lignes directrices aux exigences divergentes par les autorités de contrôle européennes pousse les acteurs désireux de se mettre en conformité à des arbitrages, parfois hasardeux, qui ne sont pas souhaitables. Comme pour justifier le contenu de son projet de recommandation, la Cnil a publié en même temps que ce dernier, les chiffres d’un sondage Ifop (14) dont les résultats sont saisissant de paradoxes. En effet, alors que 70 % des personnes interrogées pensent qu’il est indispensable d’obtenir à chaque fois leur accord au risque d’alourdir leur navigation, 65 % pensent que les demandes d’autorisation de dépôt des cookies ne sont pas efficaces pour protéger leur vie privée. Pire encore : 90% considèrent qu’en plus de consentir, elles devraient connaître l’identité des entreprises susceptibles de suivre leur navigation sur le Web via des cookies, alors que différents sondages précisent que 89 % d’entre elles ne prennent pas le temps de lire ce à quoi elles consentent en ligne.
Face aux difficultés de mise en œuvre pratique du projet de recommandation de la Cnil, aux impacts significatifs que ses exigences pourraient avoir, le modèle des cookies se retrouve plus largement questionné. Google a annoncé – le même jour de la publication du projet de recommandation de la Cnil – son intention de faire disparaître les cookies tiers de son navigateur Chrome d’ici deux ans en optant pour une « Privacy Sandbox », tout comme l’avaient auparavant annoncé Apple avec Safari et Mozilla avec Firefox. Même Criteo – sous le coup d’une enquête de la Cnil suite à une plainte de Privacy International (15) – tente de rassurer en annonçant avoir des solutions qui fonctionneraient sans cookies (16).

Paramètres des navigateurs et des OS
Dans ce contexte, on peut légitimement s’interroger sur la nécessité d’utiliser de nouveaux outils qui pourraient permettre, à la fois, de répondre aux enjeux du modèle économique de la publicité ciblée et de protéger plus efficacement la vie privée des utilisateurs. Une publicité « mieux » ciblée, alignée sur les préférences choisies et affichées des utilisateurs en amont, via un medium à déterminer, ne serait-elle pas une piste à explorer ? De son côté, dans ses deux textes, la Cnil semble en appeler à la modification des paramètres des navigateurs et des systèmes d’exploitation (OS), afin que ceux-ci permettent aux utilisateurs d’exprimer leurs préférences. Cette solution est fortement critiquée par certains acteurs du fait du « monopole » qu’obtiendrait certains GAFAM avec une telle approche. Le débat est ouvert. @

Google (Chrome), Firefox (Mozilla) et Safari (Apple) bannissent les cookies ; Criteo assure s’adapter

L’icône de la French Tech, Criteo, leader mondial du (re)ciblage publicitaire en ligne tente de rassurer sur sa capacité d’adaptation. Remplaçant depuis trois mois le fondateur Jean-Baptiste Rudelle à la direction générale de l’entreprise basée à Paris, Megan Clarken tente de rassurer les investisseurs.

Alors que les cookies – ces petits traceurs publicitaires déposés dans les terminaux des internautes pour mieux les cibler – ne sont plus en odeur de sainteté sur Internet, l’icône de la French Tech de la publicité en ligne, Criteo, a décidé de s’en détourner elle aussi. « Nous croyons que l’industrie aurait dû remplacer depuis longtemps les cookies utilisés pour personnaliser le ciblage publicitaire sur le Web, et nous nous réjouissons des efforts concertés pour aller au-delà de ces cookies de manière sécurisée », vient même de déclarer Megan Clarken (photo), directrice générale de Criteo depuis trois mois.

« Nous avons déjà des solutions » (dixit la CEO)
Cette Nouvelle-zélandaise, basée à Paris au coté du président du conseil d’administration de Criteo et fondateur Jean-Baptiste Rudelle, a passé quinze ans chez le géant américain du marketing Nielsen (1) où elle y est entrée en Australie. Megan Clarken prend les rênes de la Big Tech française (plus de 2,2 milliards de chiffre d’affaires en 2019 pour un bénéfice net de 96 millions de dollars) au moment où trois des principaux navigateurs web – Chrome de Google, Firefox de Mozilla et Safari d’Apple – ont décidé d’abandonner les cookies tiers. Mais la nouvelle CEO veut rester confiante quant à l’avenir de l’entreprise. « Nous sommes très bien positionnés pour ce changement. Toutes nos solutions sont développées sur le mode privacy-by-designet nous opérons strictement sous le consentement de l’utilisateur. Nous en sommes fiers », a-t-elle assuré lors d’une conférence téléphonique le 11 février dernier, à l’occasion de la présentation des résultats annuels.
« Nous sommes convaincus que les utilisateurs devraient également avoir un choix clair et individuel en ce qui concerne leur expérience publicitaire, que la publicité personnalisée apporte de multiples avantages à l’écosystème, y compris au niveau de l’utilisateur, et que les navigateurs ne devraient pas contrôler la portabilité des données », a ajouté la nouvelle patronne. Pour ne plus dépendre des cookies comme traceurs publicitaires et rassurer son avenir, Criteo affirme que près de la moitié de son activité est cookie-less. « Aujourd’hui, a précisé Megan Clarken, nous avons déjà des solutions grâce aux intégrations directes des éditeurs, nos solutions d’identification mobile, et le “retail media” (2) qui fonctionnent sans cookies ». Mais les investisseurs, eux, ne sont pas aussi confiants en l’avenir de Criteo. Certains d’entre eux voient dans la légère érosion historique du chiffre d’affaires (-1,7 %), à précisément 2,261 milliards de dollars en 2019, contre 2,300 milliards un an auparavant, le début de la fin pour Criteo. « Nous reconnaissons que pour les investisseurs, le sujet de l’identité plus large (3) peut sembler être une menace majeure pour nous, mais, pour être clair, nous ne voyons pas les choses de cette façon, s’est-elle inscrite en faux. Notre stratégie de résolution de l’identité, qui tire parti de nos actifs différenciés et prévoit quatre couches complémentaires, nous aidera à couvrir les 50 % restants (de nos activités) ».
Il y a un an, l’entreprise française avait déjà frôlé la catastrophe industrielle à la suite de changements technologiques opérés par Google et Facebook, Jean-Baptiste Rudelle ayant alors parlé de « choc exogène très violent » (4). Cotée au Nasdaq à New York depuis 2013, l’ex-licorne française a vu son cours de Bourse dégringoler à moins de 14 dollars l’action aujourd’hui (au 21-02-20), contre 54,80 dollars lors du pic de mai 2017. Sa capitalisation boursière est passée en-dessous de la barre du milliard de dollars à 868 millions de dollars – bien loin des plus de 2 milliards de mi-2014. Et ce, au moment où Google a annoncé le 14 janvier dernier sa décision de rendre « obsolètes » d’ici deux ans les cookies tiers pour les remplacer par une solution moins intrusive pour les utilisateurs, baptisée « Privacy Sandbox ». « Mais nous ne pouvons pas y arriver seuls, avait prévenu Justin Schuh, le directeur de Chrome Engineering chez Google, sur le blog « Chromium » du géant du Net (5). Et c’est pourquoi nous avons besoin de l’écosystème pour participer à ces propositions. Nous prévoyons de commencer les premiers essais initiaux d’ici la fin de cette année, en commençant par la mesure de la conversion et en poursuivant par la personnalisation ». Le premier des GAFAM se rend à l’évidence : les utilisateurs exigent une plus grande confidentialité, y compris la transparence, le choix et le contrôle sur la façon dont leurs données sont utilisées.

Craintes accrues des éditeurs et annonceurs
Aussi, l’écosystème du Web doit évoluer pour répondre à ces exigences croissantes de protection de la vie privée et des données personnelles. Certains navigateurs tels que Firefox ou Safari permettent le blocage des cookies tiers, lorsque ce ne sont pas des ad-blockers qui sont utilisés. La disparition annoncée des cookies fait encore plus frémir les éditeurs en ligne et les annonceurs, déjà très inquiets de l’entrée en vigueur de l’obligation de recueillir le consentement préalable des internautes avant de déposer ou pas les traceurs publicitaires. @

Charles de Laubier

Les internautes reprennent la main sur les cookies, mais les éditeurs de sites web se rebiffent

« Le placement de cookies requiert le consentement actif des internautes ; une case cochée par défaut est donc insuffisante », a rappelé la Cour de justice de l’Union européenne (CJUE) dans un arrêt du 1er octobre, RGPD oblige. Ce consentement actif préalable ne plaît à tous les éditeurs du Web.

L’étau du règlement général sur la protection des données (RGPD), entré en vigueur en mai 2018, se resserre sur les cookies, ces traceurs ou autres mouchards déposés sur les terminaux des internautes et mobinautes à des fins de publicités ciblées et de collecte de données. L’arrêt rendu le 1er octobre par la Cour de justice de l’Union européenne (CJUE) suit les conclusions de l’avocat général de cette dernière, qui, le 21 mars 2019, avait rappelé que pour être valide le consentement de l’utilisateur à accepter des cookies doit être « éclairé » (1).

Le Conseil d’Etat saisi contre la Cnil
« Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d’inactivité », prévoit le considérant 32 du RGPD. De plus, l’utilisateur doit être informé de la durée de fonctionnement des cookies et de l’identité des tiers ayant accès à ses informations par ce biais. Et le RGPD précise qu’il en va ainsi « que les informations stockées ou consultées dans l’équipement terminal de l’utilisateur d’un site Internet constituent ou non des données à caractère personnel ». Il s’agit de protéger chaque Européen connecté de toute ingérence dans sa vie privée, « notamment contre le risque que des identificateurs cachés ou autres dispositifs analogues pénètrent dans son équipement à son insu » (2).
Le Comité européen de la protection des données (CEPD), anciennement appelé groupe de travail « Article 29 » (G29) et réunissant les « Cnil » européennes, est le garant de cette bonne application par les différents Etats membres. D’autant que le projet de règlement européen « ePrivacy » (respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques), toujours en discussion au Parlement européen (3), ira dans le même sens concernant les cookies.
En France, c’est la Commission nationale de l’informatique et des libertés (Cnil) qui veille et contrôle au bon respect des consignes législative du RGPD par les éditeurs de sites web. Mais elle a décidé d’appliquer un moratoire, en fixant à début 2020 le moment de la publication de ses recommandations pour mettre en oeuvre les lignes directrices publiées le 19 juillet au Journal Officiel (4) – remplaçant ainsi les précédentes instructions datant de 2013. A ce délai s’ajoutent six mois de délai pour laisser le temps aux éditeurs en ligne de s’adapter et de se mettre en conformité, soit à partir de mi-2020, deux ans après l’entrée en vigueur du fameux RGPD (5). Or une douzaine de jours avant l’arrêt de la CJUE, Etienne Drouard (photo), avocat d’un groupement de neuf associations professionnelles (6), dont le Groupement des éditeurs de contenus et de services en ligne (Geste), déposait en France un recours devant le Conseil d’Etat contre les lignes directrices « cookies et autres traceurs » de la Cnil. Ces neuf associations professionnelles, représentatives de l’écosystème du Net français (éditeurs, régies publicitaires, Ad-tech, e-commerçants et annonceurs), contestent la manière dont la Cnil interprète le RGPD. Par exemple, cette dernière prévoit à l’article 2 de ses lignes directrices qu’« afin que le consentement soit éclairé, l’utilisateur doit pouvoir identifier l’ensemble des entités ayant recours à des traceurs avant de pouvoir y consentir. Ainsi, la liste exhaustive et régulièrement mise à jour de ces entités doit être mise à disposition auprès de l’utilisateur directement lors du recueil de son consentement » (7).
Les neuf plaignantes craignent « une totale remise en cause, à terme, des activités marketing et publicitaires et une grande destruction de valeur économique, notamment au profit des acteurs internationaux dominants de ce secteur ». Par ailleurs, pour Maître Drouard (cabinet K&L Gates), qui s’est exprimé chez nos confrères de Mind Media et de l’AFP, cette solution franco-française n’est pas prévue dans le RGPD qui ne prévoit pas tant d’informations à fournir aux utilisateurs. « La publicité sans cookies, ça n’existe pas », a-t-il lancé. A partir du 29 octobre, Libération va essayer de prouver le contraire.

Le moratoire « cookies » attaqué par LQDN
Quant au moratoire consenti par la Cnil aux éditeurs en ligne du temps pour avoir le temps de se mettre en conformité, il est attaqué dans un second recours déposé le 29 juillet devant le Conseil d’Etat par cette fois La Quadrature du Net, association française de défense des droits et libertés numériques, et Caliopen, autre association de l’Internet libre (à l’origine d’un projet soutenu par Gandi pour développer un agrégateur de correspondances privées provenant de messageries électroniques, réseaux sociaux ou de microblogging). Pour elles, il n’y a pas de temps à perdre pour assurer « la protection de nos libertés fondamentales ». L’arrêt est à venir. @

Charles de Laubier

Consentement des internautes : cookies et autres traceurs sont dans le viseur de la Cnil, Europe oblige

Sont parues le 19 juillet au Journal Officiel les lignes directrices de la Cnil concernant les « opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs) », en attendant ses recommandations pour début 2020, et le futur règlement « ePrivacy » européen.

Par Olivia Roche, avocate, et Prudence Cadio, avocate associée, cabinet LPA-CGR avocats

L’utilisation des cookies et a u t re s t raceurs est actuellement encadrée par la directive européenne dite « ePrivacy » (1), plusieurs fois modifiée, notamment par la directive de 2009 renforçant l’obligation d’information des internautes et leur consentement (2). Si cette dernière a vocation à être abrogée et remplacée par le règlement européen « ePrivacy » (3), celui-ci est toujours en discussion devant les instances européennes. Toutefois, l’entrée en vigueur en mai 2018 du RGPD – règlement général sur la protection des données du 27 avril 2016 – a permis un premier pas vers la modernisation des règles entourant l’utilisation de traceurs et cookies.

Le consentement doit être « éclairé »
Dans cette lignée, la Commission nationale de l’informatique et des libertés (Cnil) a d’ores et déjà anticipé les changements à venir, forçant ainsi les acteurs du secteur de la publicité en ligne à prévoir une évolution très prochaine de leurs pratiques. Pour se mettre en conformité avec le RGPD, l’ordonnance du 12 décembre 2018 a abrogé l’article 32-II de la loi relative à l’informatique, aux fichiers et aux libertés (la fameuse loi de 1978, modifiée depuis) au profit du nouvel article 82 remplaçant le terme « accord » par celui de « consentement » tenant ainsi compte de la nouvelle terminologie consacrée par le RGPD.
Résultat, vis-à-vis de l’internaute : « Ces accès [à des informations déjà stockées dans son équipement terminal] ou inscriptions [des informations dans cet équipement] ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle » (4). Le 21 mars 2019, l’avocat général de la Cour de justice de l’Union européenne (CJUE) présentait, dans l’affaire « Planet49 » des conclusions répondant à plusieurs questions préjudicielles posées par la cour fédérale de justice allemande sur l’encadrement du recours aux cookies et l’application du RGPD. L’avocat général rappelle notamment que pour être valide le consentement doit être « éclairé ». Cela implique que l’internaute doit être informé de la durée de fonctionnement des cookies, ainsi que de l’identité des tiers qui ont accès à ses informations par ce biais (5). Cette position est conforme aux recommandations du groupe de travail « Article 29 », devenu le Comité européen de la protection des données (CEPD), qui place le consentement au coeur du régime des données personnelles. Le CEPD précise que « la notion de consentement telle que présentée dans le projet de règlement “ePrivacy” reste liée à la notion de consentement au sens du RGPD » (6).
Prenant acte de ces évolutions et dans la continuité de son plan d’action 2019-2020 sur le ciblage publicitaire en ligne, publié en juin dernier, la Cnil a fait évoluer ses recommandations, anticipant elle aussi les évolutions du futur règlement « ePrivacy » qui remplacera la directive de 2002 et dont la dernière version du projet officiel a été publiée le 22 février dernier (7). L’autorité de contrôle française a ainsi adopté le 4 juillet dernier une délibération afin de remplacer les lignes directrices promulguées par la délibération de 2013 encadrant jusqu’à présent l’utilisation des cookies (8).
Elle montre sa volonté de faire du renforcement de l’encadrement du ciblage publicitaire une priorité et de mettre fin à des pratiques encore très répandues dans ce secteur. Ces nouvelles lignes directrices permettent ainsi d’apporter de premières explications sur l’application concrète du nouvel article 82 de la loi « Informatique et Libertés » (9).

Cookies « http », cookies « flash », etc.
Il ne s’agit que d’une première étape, puisque la Cnil a déjà annoncé qu’elle publierait d’autres recommandations sectorielles, notamment « au premier trimestre 2020 » une recommandation qui « précisera les modalités pratiques de recueil du consentement » (10), lesquelles feront suite à une consultation publique et une concertation avec les professionnels du secteur. « Des groupes de travail se tiendront au second semestre 2019 entre les services de la Cnil et chaque catégorie d’acteurs (éditeurs de contenus, annonceurs, prestataires et intermédiaires de l’écosystème du marketing, représentants de la société civile), par l’intermédiaire de leurs organisations professionnelles représentatives » (11). La Cnil revoit sa position et renforce les règles applicables aux cookies et autres traceurs. Les nouvelles lignes directrices de 2019 apportent des changements majeurs par rapport à ses recommandations antérieures de 2013.

Révision et renforcement des règles
A titre préliminaire, l’autorité de contrôle prend soin de préciser que le champ d’application de cette délibération est très large, puisqu’elle vise tous types de terminaux – notamment, smartphones, ordinateurs, consoles de jeux – et porte non seulement sur (12) : les cookies dit « http » (« par lesquels ces actions sont le plus souvent réalisées ») mais également sur les cookies dit « flash » (« local shared objects », ou objets locaux partagés), le « local storage » (ou stockage local) mis en oeuvre au sein du HTML5, les identifications par calcul d’empreinte du terminal, les identifiants générés par les systèmes d’exploitation (qu’ils soient publicitaires ou non) et les identifiants matériels (adresses MAC, numéros de série, …).
La Cnil réitère le principe selon lequel le consentement doit être manifesté par l’utilisateur « de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif » (13), conformément aux dispositions du RGPD (Article 7 concernant « les conditions applicables au consentement » du RGPD). L’autorité de contrôle française détaille les contours de ce principe par des illustrations. Ainsi, elle affirme sans ambiguïté que les « cookies walls », à savoir la pratique consistant à bloquer l’accès à un site Internet ou un service pour « qui ne consent à être suivi » est contraire à l’exigence d’un consentement libre.
De même, le consentement doit être spécifique, ce qui signifie que l’acceptation globale de conditions générales d’utilisation « ne peut être une modalité valable de recueil du consentement » qui doit être donné de manière distincte pour chaque finalité. Un simple renvoi vers des conditions générales d’utilisation ne saurait non plus suffire à répondre à l’exigence d’un consentement « éclairé » qui requiert qu’une information complète, visible, accessible et aisément compréhensible soit mise à disposition de l’utilisateur au moment du recueil de son consentement. Enfin, l’un des changements les plus contraignants pour les acteurs du secteur de la publicité en ligne reste la suppression de la pratique dite du « soft opt-in », consacrée par la Cnil en 2013, consistant à considérer que la poursuite de la navigation sur un site Internet ou une application mobile valait consentement. Le caractère « univoque » du consentement requis par le RGPD exige à présent que l’internaute procède à une action positive pour recueillir son accord. Il ne sera plus non plus possible de se référer aux paramètres du navigateur de l’internaute, puisque la Cnil considère, conformément à la jurisprudence du Conseil d’Etat (14) que les « nombreux réglages » mis à disposition par les navigateurs web ne « permettent pas d’assurer un niveau suffisant d’information préalable des personnes », ni de « distinguer les cookies en fonction de leurs finalités ».
L’ensemble des exigences ne visent, néanmoins, que les cookies et traceurs pour lesquels un consentement est requis. De fait, la Cnil a réaffirmé le principe d’exemption pour certains cookies, notamment ceux dédiés aux mesures d’audience ou ceux destinés à « permettre ou faciliter la communication par voie électronique » ou « strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur » (par exemple, les cookies d’identification).

Mais cette exception confirme la règle : continuer sa navigation ou scroller, autrement dit, faire défiler la page vers le bas de l’écran à l’aide de la molette d’une souris, d’un pavé tactile, mais également sur un écran tactile de téléphone portable ou de tablette à l’aide d’un doigt, n’est plus suffisant pour recueillir le consentement de l’internaute. Il faudra entreprendre les changements nécessaires pour assurer d’isoler le consentement de l’internaute et de rendre visibles les informations exigées. La preuve d’avoir recueilli, de manière conforme, le consentement de l’utilisateur, devra en outre être apportée et conservées par ses acteurs, lesquels devront pour ce faire mettre en place certainement de nouveaux outils, comme ceux d’historisation.

Délai accordé d’environ un an
Il est à noter que pour les opérateurs en conformité avec la délibération de 2013, la Cnil a concédé une période transitoire d’adaptation d’un an environ (six mois après la publication de la future recommandation prévue en 2020), laissant ainsi à ceux-ci le temps de mettre en oeuvre les mesures opérationnelles qui s’imposent. Mais l’autorité a déjà prévenu que « cette période d’adaptation n’empêchera pas la Cnil de contrôler pleinement le respect des autres obligations qui n’ont fait l’objet d’aucune modification et, le cas échéant, d’adopter des mesures correctrices pour protéger la vie privée des internautes ». @