Dessin réalisé par V.Perrot
En quête d’une mise en conformité générale des sites internet aux exigences issues du RGPD, la CNIL a ouvert le 14 janvier 2020 une consultation publique sur un projet de recommandation en matière de Cookies et autres traceurs.
L’objectif d’un tel dispositif
Le 28 juin 2019, le gendarme de l’internet annonçait déjà vouloir préciser les règles applicables en matière de ciblage publicitaire en ligne, par l’adoption des lignes directrices du 4 juillet 2019. Ainsi, quand l’autorité de contrôle entend accompagner les acteurs de l’internet en précisant la conduite à tenir conformément aux exigences réglementaires, elle garantit l’utilisateur dans ses droits.
Si ce droit souple ne présente pas de force contraignante évidente, il acquiert une valeur obligatoire de fait. L’effort de pédagogie de la Commission à travers ses recommandations pratiques non contraignantes doit permettre d’accélérer l’adoption d’un standard en matière de ciblage publicitaire. A terme, les contrôles et le cas échéant les condamnations seront mis en œuvre sur le fondement de ce standard.
Quels changements pour les sites web et les régies publicitaires en ligne ?
La CNIL, s’appuyant sur les définitions du RGPD, explicite la notion de responsable de traitement en matière d’environnement web. « Tant les éditeurs que les tiers peuvent être regardés comme responsables des opérations de lecture ou écriture en cause. » Les tiers aux sites ou applications sont ainsi regardés comme responsables de traitement dès lors qu’ils déposent des traceurs sur le dispositif de connexion de l’utilisateur pour des finalités qu’ils ont déterminées.
Tous les cookies ne répondent pas du même régime. Elle établit une liste des cookies et des traceurs, classés selon leurs finalités, qu’elle exempte du principe de consentement (Article premier – §9). Ainsi, hors les cas du paragraphe 9, aucun cookie ne peut être recueilli sans le consentement de l’utilisateur. La commission précise qu’un traceur comprenant à la fois une finalité prévue par ledit paragraphe et une finalité non soumise à l’exemption, la collecte doit avoir lieu après l’expression d’un consentement libre, éclairé, spécifique et univoque.
Le caractère éclairé du consentement s’exprime au travers une information donnée, sur les finalités de traitement, par les éditeurs web aux personnes concernées. Cette obligation comprend l’identité du ou des responsables de traitement, ainsi que la portée et la validité du consentement chez d’autres prestataires.
La CNIL complète ses recommandations par des figures et des exemples de bonnes pratiques. Ici, le gendarme de l’internet se distingue du législateur par une approche pédagogique dans l’explicitation des textes en vigueur.
La CNIL érige en corollaire du principe du libre consentement la facilité pour l’utilisateur de le retirer. Les recommandations sur le caractère libre du consentement ouvrent sur la faculté pour l’utilisateur de refuser son consentement par différentes voies, comme la poursuite de navigation valant refus, le clic en dehors de l’interface ou sur la croix de fermeture de la fenêtre ainsi que la présence d’un bouton de refus massif de collecte des données. En ce qui concerne le consentement, la CNIL préconise un acte positif de l’utilisateur comme l’utilisation de cases à cocher (voire de sliders, ces curseurs ON/OFF permettant de donner son consentement).
Le choix spécifique des finalités, est une faculté qui doit être offerte à l’utilisateur. L’utilisateur doit être en mesure d’autoriser toutes finalités, de toutes les refuser, mais également en mesure d’égrener son consentement.
L’action de consentir doit mettre l’utilisateur face à la portée de l’acte auquel il consent, dès lors la Cnil plaide contre l’utilisation abusive de méthodes trompeuses tendant à l’obtention du consentement de l’utilisateur par tout moyen.
L’accès au refus et l’accès au consentement doivent être aussi accessibles. C’est ainsi la fin des caractères illisibles et des petits boutons « refuser » ou encore des pratiques visant à renvoyer l’utilisateur sur un certain nombre de pages avant qu’il puisse refuser les cookies ne répondant pas à l’exception de consentement. Une fois le consentement donné, son retrait doit être accessible aussi simplement que l’action par laquelle il est donné. L’accessibilité doit être garantie tout au long de la navigation, dans une zone dédiée, via des visuels explicites et ce, de la manière la plus intuitive pour l’utilisateur. La Commission rappelant que la notion de simplicité, doit être appréhendée selon deux critères. D’une part le temps passé par l’utilisateur et d’autre part le nombre d’actions nécessaires à la réalisation du retrait de consentement.
La Cnil préconise en outre une validité du consentement ou du refus d’une durée de six mois. Elle insiste par-là sur la disparition des pratiques abusives visant au renouvellement des demandes d’expression du choix jusqu’au jour du consentement. La Commission aligne ainsi le traitement du refus sur celui du consentement.
La preuve individuelle de consentement doit pouvoir être rapportée à tout moment par les responsables de traitement, ainsi qu’une preuve du mécanisme à l’œuvre dans le recueil d’un consentement valable.
Cela suppose donc un système horodaté et infalsifiable à la disposition des utilisateurs et des responsables de traitement. La question de la preuve renvoie donc à la faisabilité technique de sa constitution, et ce à des coûts en lien avec l’objet de la preuve.
A cet effet, la CNIL a identifié des solutions techniques qui risquent, à terme, de soulever d’importantes difficultés. La consultation publique est ainsi un appel aux idées innovantes capables d’assimiler les contraintes en matière de coût économique et énergétique, tout en garantissant l’utilisateur dans ses droits.
Au titre de l’article 8, la CNIL conclu ses recommandations par des suggestions de bonnes pratiques – comme la fin des cookies tiers masqués par des sous-domaines ou encore le classement des responsables de traitement par finalités – avec pour exigences centrales la transparence et l’intelligibilité.
Des recommandations pour une technologie obsolète ?
Le 14 janvier 2020, Google a annoncé supprimer en deux ans l’utilisation des cookies tiers sur son navigateur Google Chrome.
En 2017, Apple s’était fait remarquer en tant que précurseur de la suppression des cookies tiers, présentant ainsi une image responsable et respectueuse de la vie privée au travers de la mise à disposition de son navigateur Safari. A cette date, Google aurait encouru une condamnation au titre d’un abus de position dominante (Chrome représentant 60% du marché), en empêchant les acteurs de la publicité digitale de profiter de la collecte des données grâce aux services de Google.
Aujourd’hui, les réglementations européennes sur la protection des données personnelles appliquées à l’environnement web permettent à Google de continuer le ciblage publicitaire via des moyens techniques autres que les cookies et les traceurs, tout en écartant dans le même temps la concurrence des acteurs tiers. Les recommandations de la Cnil sont en ce sens un frein supplémentaire pour cette concurrence déjà très affectée.
Les technologies employées par Google rappellent que le ciblage publicitaire ne se limite pas à l’utilisation de cookies. Ainsi, les recommandations de la CNIL ne doivent pas écarter du débat public la question du consentement au ciblage quel qu’en soit le moyen.
Antoine Perrot
M2 Cyberjutice – Promotion 2019-2020
Sources :
Site de la CNIL – Projet de recommandation cookies et autres traceurs
Dalloz actualité – Cookies et autres traceurs publication du projet de recommandation de CNIL
Numérama – Google Chrome et la disparition des cookies tiers, une annonce en trompe l’oeil
Légifrance – Délibération du 4 juillet 2019 portant adoption de lignes directrices par la CNIL
Aeonlaw – Faut-il toujours être d’accord avec la CNIL ?
Ec.europa – Amende infligée à Google pour pratiques abusives