La CNIL passe la seconde concernant ses enquêtes sur les cookies et traceurs en s'intéressant désormais aux partenaires des éditeurs. Ainsi, tous les acteurs de la chaîne de valeur publicitaire sont désormais concernés. De nouvelles recommandations sont attendues ainsi que d'éventuelles sanctions.
Voilà plusieurs années que la CNIL et les éditeurs s'opposent sur la question des cookies et autres traceurs. Comme évoqué dans une précédente analyse, suite à une première série d'enquêtes menée depuis 2014, la Commission avait décidé de rencontrer les éditeurs en mars dernier.
Cookies et traceurs : les éditeurs ne veulent pas être les seuls à payer pour les dérives
De là, une sorte de moratoire avait été mis en place, laissant aux éditeurs jusqu'à la rentrée pour se mettre en conformité, de nouvelles recommandations étant attendues pour l'été. Mais surtout, une question importante avait été soulevée : les cookies diffusés par les sites, à travers leurs espaces publicitaires, notamment en programmatique, sont-ils exclusivement de leur responsabilité ou aussi de leurs prestataires (plateformes, régies, agences, etc.) ?
Sur la problématique, on pourra revoir cette émission d'Arrêt sur images, mais retenons que la plupart des sites n'ont plus vraiment le contrôle sur ce qui est diffusé sur leurs pages. Les publicités étant achetées et diffusées de manière automatisée, les dérives ont été démultipliées, chaque maillon de la chaîne rajoutant ses propres traceurs, chargeant d'autant la barque.
C'est ce qui explique les relevés que l'on peut faire sur certains sites encore aujourd'hui, mais aussi les redirections « surprise » vers l'App Store et quelques cas de diffusion de malwares.
Le Monde et L'Express > Melty pic.twitter.com/8SM67gJoW3
— David Legrand (@davlgd) 18 juillet 2016
Lors de la publication du rapport annuel de la Commission en avril dernier, 40 contrôles concernant les cookies avaient été signalés pour 2015. Surtout, se confirmait qu'une approche visant l'ensemble de l'écosystème publicitaire allait être mise en mouvement.
La CNIL prépare sa rentrée
Aujourd'hui, la CNIL en donne des précisions, tout en retraçant l'historique des discussions avec les éditeurs, histoire de bien montrer son implication. Elle part d'un constat simple : « Le marché de la publicité en ligne s’est profondément métamorphosé au cours des trois dernières années, passant d’un ciblage massif de population par grandes catégories sociodémographiques au ciblage individualisé. La publicité ciblée nécessite une connaissance précise des préférences, comportements et liens sociaux des internautes qui se traduit par des techniques de traçage et une exploitation toujours plus fine des données par les intermédiaires de la chaine de valeur ».
Pour autant, les règles actuelles n'ont pas été respectées : la manifestation d'un consentement par le biais d'une action positive, en ayant pleine connaissance de la finalité, et la possibilité de révoquer à tout moment ce consentement. Il faut dire que dans l'esprit des éditeurs, une telle mise en œuvre génèrerait une perte de revenus importante, d'autant qu'ils ne sont pas à l'origine de la majorité des cookies et traceurs.
Responsabilité partagée entre les éditeurs et l'écosystème publicitaire
Côté CNIL, pas question de les exonérer de leur responsabilité, partagée entre les différents acteurs, qu'ils déposent ou participent à la diffusion des cookies et traceurs. « Les données collectées par l’intermédiaire des cookies « tiers » sont en effet traitées et exploitées pour des finalités et dans des conditions que ces sociétés tierces ou partenaires définissent. En tant que responsables du traitement, ces sociétés sont tenues de respecter la loi Informatique et Libertés, et notamment le principe du consentement préalable de l’internaute au dépôt du traceur recueillant ses informations. À défaut, d’un tel consentement, la collecte des données traitées par ces tiers est illicite » rappelle l'autorité indépendante.
Pour elle, la mise en conformité doit donc viser l'ensemble de la chaîne, si le secteur souhaite « construire des modèles de publicité ciblée pérennes, c’est-à-dire respectueux des droits des personnes ». La Commission a donc décidé d'étendre ses contrôles au-delà des seuls éditeurs de sites, et donc « auprès des professionnels non éditeurs qui émettent des cookies. L’objectif étant de promouvoir une solution globale de conformité sur l’ensemble de la chaîne de la publicité en ligne ».
De nouvelles règles en attendant le règlement européen
Concernant les recommandations qui devraient suivre, quelques pistes sont déjà tracées. Les éditeurs restant le premier point de contact des internautes, « il pourrait être prévu en pratique et a minima » :
- qu'une liste actualisée à intervalles réguliers des partenaires soit mise à disposition sur le site visité pour identifier les responsables de traitements ;
- que cette liste comporte pour chaque partenaire un lien hypertexte renvoyant à une page dédiée, expliquant en des termes clairs :
- la nature des données utilisées et la finalité des traitements opérés ;
- la manière d’exercer les droits, notamment d’opposition, concernant ces traitements ;
- le cas échéant, la liste de sociétés rendues destinataires des informations.
Une manière de viser une information plus claire aux internautes, trop souvent renvoyés aux réglages de leur navigateur sans vraiment plus de détails. Les éditeurs devraient néanmoins s'étrangler devant la perspective de lister la centaine d'intervenants potentiels dans le ciblage de leurs publicités. Seule alternative alors : proposer des mécanismes de gestion du consentement unifiés... ou réduire le nombre de prestataires.
Il sera aussi intéressant de voir si les évolutions concerneront le cas de la première visite. C'est en effet un autre point de tension, notamment pour les relevés d'audience. Un visiteur qui ne viendrait qu'une fois sans forcément donner son consentement ne serait ainsi jamais comptabilisé. De quoi revoir drastiquement à la baisse les chiffres des sites qui décideraient de jouer le jeu. Si des outils comme Piwik ou une offre spécifique d'AT Internet ne nécessitent pas de consentement préalable sous certaines conditions, ils n'ont pas la préférence des éditeurs, du moins ceux vissés à leurs rapports Google Analytics, Chartbeat, etc.
Pour la CNIL, en tout cas, « les conséquences des contrôles menés sur l’ensemble de la chaîne seront tirées par la CNIL au cours des prochains mois ». Une action qui apparaîtra aux yeux de certains bien tardive.
De son côté, le règlement européen relatif à la protection des données personnelles, programmé pour 2018 sera plus strict sur ces questions (voir notre analyse). Notamment, « les partenaires devront aussi communiquer l’origine des informations qu’ils utilisent ainsi que leur durée de conservation et préciser si un profilage est mis en œuvre et la logique sous-jacente en cas de prise de décision automatisée ».
Le monde de la publicité ciblée et automatisée, habitué aux usines à gaz, va devoir se mettre à la simplicité et à la transparence. De quoi permettre à certains acteurs d'émerger, mais à d'autres de passer des mois difficiles dans les deux ans qui viennent.