image.png

La CNIL est cette autorité à la fois gendarme de l’internet, juge et pédagogue. Sous cette dernière casquette, la CNIL a consulté publiquement, les français, sur son projet de recommandation relatif aux cookies. Cette campagne de consultation en ligne, close depuis le 25 février 2020, doit permettre de jauger la pertinence des bonnes pratiques que la commission préconise, afin de les améliorer. Que révèle cette consultation publique sur les attentes et les interrogations des contributeurs ? 

Cette première partie vise – par un propos introductif et l’étude des contributions de l’article premier du projet de recommandation fixant le cadre général – à rappeler les éléments de contexte propres à l’adoption d’un tel dispositif, ainsi que les intérêts divergents en présence. 

Le projet de recommandation victime du coronavirus

Alors que la version définitive, tenant compte des contributions, était attendue en ce mois d’avril, la CNIL précise dans un communiqué du 25 mars 2020 qu’il advient « d’adapter le calendrier d’adoption de sa recommandation relative aux cookies et autres traceurs pour tenir compte du contexte actuel. ». Ce report ne fait toutefois pas obstacle à l’étude des objections, commentaires et pistes d’amélioration laissés sous chaque article par les contributeurs. 

L’impression d’ensemble 

Avant toutes choses, qui sont les contributeurs ? 

Par les identifiants renseignés sur le site de la CNIL et les propos tenus, ils semblent appartenir à deux catégories. Des professionnels du monde de la publicité en ligne, défendant naturellement les intérêts de la profession, auxquels s’opposent des contributeurs, simples citoyens, soucieux de l’usage fait de leurs données personnelles. 

En ce qui concerne les contributions elles-mêmes, si l’article premier, portant sur le cadre général des recommandations de la commission, semble placer les contributeurs face à plus d’interrogations, que de réponses claires, ce n’est pas le cas des articles suivants du projet de recommandation. En effet, dès l’article 2 on note un nombre important de contributeurs plaidant en faveur d’un cadre plus strict que celui prévu par les recommandations. Les articles suivants font également l’objet des mêmes critiques ou ajouts de la part des contributeurs.

Les contributions des professionnels du secteur vont cependant en sens inverse et proposent un allègement du cadre à venir. Le CPA (Collectif Pour les Acteurs du marketing digital) se démarque ainsi par ses contributions finement rédigées, affichant l’objectif de mettre la CNIL face aux contradictions juridiques que soulève son projet de recommandation. Un résumé des griefs de l’association est réservé à la fin des articles commentés dans la 2e partie.

Article premier : transparence, exhaustivité et certification par la CNIL

Au titre des contributions de l’article premier, certaines critiques et axes d’amélioration sont cités à de nombreuses reprises. Par exemple, la création d’un label CNIL associé à des solutions de gestion de cookies en ligne (comme les Consent Management Platform – CMP). Ou encore l’affirmation selon laquelle il ne peut exister de consentement éclairé sans liste exhaustive des traceurs utilisés. 

La question des mesures d’audience par l’utilisation de cookies, exemptés du principe de consentement, fait débat. En effet, la mesure d’audience sur un site internet peut techniquement être réalisée sans utiliser de cookies. Lorsque cette mesure est réalisée au moyen de cookies, ils peuvent se révéler très intrusifs en permettant un tracking de l’utilisateur. Si l’article 5, des lignes directrices du 4 juillet 2019 adoptées par la CNIL, précise les modalités d’exemptions de pareils cookies, les contributeurs au projet de recommandation relèvent toutefois qu’il serait plus avisé de refuser par principe qu’un tel dispositif soit soumis au consentement de l’utilisateur.  

Sur l’intervention très étayée du CPA : Selon le CPA, les cookies de facturation doivent être exemptés du principe de consentement et ceux en application de l’article 23 alinéa 4 loi Sapin de 1993, imposant de rendre des comptes sur les performances de campagne publicitaire. Le CPA objecte également à la CNIL une anticipation du projet de règlement E-privacy et par conséquent, l’écriture d’un projet de recommandation (bien que non obligatoire) sans fondement textuel suffisant. 

Enfin, l’association soulève une contradiction tenant d’une part au non-respect des dispositions du RGPD et d’autre part en l’application extensive de ces mêmes dispositions au profit de l’utilisateur. Ainsi, les recommandations de la CNIL ne distinguant pas les univers logués des univers non-logués, font fi de la relation contractuelle existante entre les parties et donc de l’article 6 du RGPD.  Par ailleurs, cette même lecture extensive du règlement aura, selon le CPA, pour conséquence une distorsion de la concurrence entre les différents acteurs européens de la publicité en ligne. 

Les débats entre un marketing digital libéral, et la protection de la vie privée sur internet cristallisent des revendications où s’entremêlent l’éthique et la technique (voir 2e partie). 

Antoine Perrot

M2 Cyberjutice – Promotion 2019-2020

Sources :

Site de la CNIL – Projet de recommandation cookies et autres traceurs

Dalloz actualité – Cookies et autres traceurs publication du projet de recommandation de CNIL

Le Monde du droit – Eclairage sur le projet de recommandation de la CNIL «cookies et autres traceurs»

Légifrance – Délibération du 4 juillet 2019 portant adoption de lignes directrices par la CNIL 

Aeonlaw – Faut-il toujours être d’accord avec la CNIL ?

Ec.europa – Amende infligée à Google pour pratique abusives