Cookies : la Cnil serre (un peu) la vis pour donner un vrai choix aux internautes

Le gendarme français des données personnelles, la Cnil, a publié jeudi sa "recommandation" sur le consentement à la publicité ciblée et l'utilisation des traceurs. Les sites internet ont six mois pour s'adapter avant les premières sanctions.
Sylvain Rolland

4 mn

La nouvelle recommandation de la Cnil s'attache à donner plus de sens à la notion de consentement en mettant fin à l'extorsion du consentement pratiqué par de trop nombreux sites, sans mettre trop de bâtons dans les roues du business publicitaire.
La nouvelle recommandation de la Cnil s'attache à donner plus de sens à la notion de consentement en mettant fin à l'extorsion du consentement pratiqué par de trop nombreux sites, sans mettre trop de bâtons dans les roues du business publicitaire. (Crédits : Charles Platiau)

Le règlement général sur la protection des données personnelles (RGPD) était censé redonner le pouvoir aux internautes... mais il a surtout envahi nos pages web de fenêtres pop-up demandant un consentement qu'on est soit forcés d'accepter, soit qu'on accorde par lassitude, épuisés de devoir farfouiller de longues minutes dans les paramètres pour gérer l'intrusion publicitaire site par site. Les nouvelles recommandations de la Cnil étaient donc attendues au tournant. D'abord par les plus agacés des internautes, qui souhaitent que la Cnil mette fin à cette mascarade du "consentement éclairé" tel qu'il est pratiqué depuis l'entrée en vigueur du RGPD, en 2018. Mais aussi par le secteur de la publicité, qui craignait, lui, l'impact économique si les exigences du régulateur en matière de respect du consentement devenaient trop strictes.

Lire aussi : Cookies et publicité ciblée : la Cnil veut plus de transparence pour les internautes

"Refuser les traceurs doit être aussi aisé que les accepter"

Au final, la Cnil a tranché en plein milieu. La nouvelle recommandation de la Cnil s'attache à donner plus de sens à la notion de consentement en mettant fin à l'extorsion du consentement pratiqué par de trop nombreux sites, sans mettre trop de bâtons dans les roues du business publicitaire.

"La simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l'internaute", tranche ainsi la Cnil, qui précise : "Les personnes doivent consentir au dépôt de traceurs par un acte positif clair (comme le fait de cliquer sur "j'accepte" dans une bannière cookie). Si elles ne le font pas, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur leur appareil".

Autrement dit, la simple poursuite de la navigation ne sera plus considérée comme un consentement mais comme un refus des traceurs. Enfin, ce refus devra être conservé pendant une certaine durée, que la recommandation suggère à six mois.

Autre victoire pour les internautes : "refuser les traceurs doit être aussi aisé que les accepter", impose le texte, ce qui est loin d'être le cas aujourd'hui. Concrètement, la Cnil recommande l'utilisation d'un bouton "Refuser tout" avec le même habillage graphique que "Tout accepter". De plus, les utilisateurs devront pouvoir retirer leur consentement, "facilement et à tout moment", ce qui est une nette amélioration par rapport à ce qui se pratique actuellement.

"Ce texte va avoir un impact visible dans le quotidien numérique des Français. On attend une évolution des interfaces de recueil du consentement", résume à l'AFP Gwendal Le Grand, secrétaire général adjoint de la Cnil.

En revanche, la Cnil privilégie le dialogue plutôt que la sanction et prône la souplesse vis-à-vis des éditeurs, afin de ne pas trop brusquer le secteur de la publicité en ligne, qui doit se réinventer. Les sites internet ont donc six mois à compter du 1er octobre pour s'adapter avant les premières sanctions. L'expérience des autres dispositions du RGPD montre que celles-ci sont plutôt rares et interviennent en dernier recours, après une mise en demeure.

Lire aussi : Régulation des « cookies » : une victoire à la Pyrrhus de la CNIL?

Les "cookies walls" acceptés ou refusés "au cas par cas"

Initialement prévue début avril, cette publication avait été repoussée en raison de la crise sanitaire et dans l'attente d'une décision du Conseil d'Etat, qui a entraîné un "ajustement" des "lignes directrices" sur la pratique dite des "cookies walls", qui consiste à subordonner l'accès à un site internet à l'acceptation des traceurs.

Au final, certains traceurs sont exemptés du recueil de consentement, comme par exemple les traceurs destinés à l'authentification auprès d'un service, ceux destinés à garder en mémoire le contenu d'un panier d'achat sur un site marchand, certains traceurs visant à générer des statistiques de fréquentation, ou encore ceux permettant aux sites payants de limiter l'accès gratuit à un échantillon de contenu demandé par les utilisateurs.

Le régulateur appréciera donc désormais la "licéité" de ces systèmes "au cas par cas" (en prenant en compte par exemple l'existence d'alternatives), et les sites devront "clairement indiquer les conséquences" du refus du consentement. Une manière de ménager la chèvre et le chou, alors qu'une première version de ces consignes avait été attaquée en justice par des acteurs de la publicité en ligne. Le Conseil d'Etat avait validé, en juin dernier, l'essentiel du travail de la Cnil, sauf justement sur les "cookies walls", d'où cette approche "au cas par cas".

Lire aussi : Cookies : que vont changer les nouvelles directives de la Cnil pour les entreprises ?

Sylvain Rolland

4 mn