Une plainte est déposée contre CDiscount, Allociné et Vanityfair devant la CNIL. En cause ? « Les bandeaux de cookies de trois grands sites français transforment un rejet clair des utilisateurs en "faux" consentement » explique l’initiative Noyb.eu, fondée par l’activiste autrichien Maximilien Schrems.
On pensait que ces trackers qui collent à la peau des navigateurs avaient vu leur compte réglé depuis le 25 mai 2018. La directive e-privacy renvoie en effet la définition du consentement au règlement général sur la protection des données personnelles (RGPD). Ce consentement de l’internaute doit ainsi être libre, spécifique, éclairé et univoque, accompagné d’une solide information avant l’enregistrement de ces fichiers espions.
En juillet dernier, la CNIL a laissé une période d’adaptation aux entreprises, afin de leur laisser un délai suffisant pour respecter cette législation renouvelée. Elle a ainsi offert un an de répit aux responsables de traitements le temps d’adapter une série de lignes directrices qui verront le jour en 2020.
Le Conseil d’État a validé la démarche. Entre temps toutefois, cela ne veut pas dire que les acteurs peuvent faire n’importe quoi avec les bouts de vie privée des internautes.
L'internaute dit « non », le site comprend « oui »
S’appuyant sur une étude de l’institut national de recherche en sciences du numérique (Inria), et spécialement l’extension « Cookie Glasses », Noyb.eu a trainé trois acteurs devant l’autorité de contrôle. « Bien que les utilisateurs se sont donné la peine de s’assurer que tous les innombrables cookies qui leur étaient proposés étaient désactivés sur le site de vente en ligne CDiscount, le guide de cinéma Allociné et le magazine de mode Vanity Fair, ces pages internet ont signalé à des centaines de sociétés spécialisées dans le ciblage publicitaire que ceux-ci avaient accepté qu’elles suivent leur activité en ligne. »
Dans un communiqué, l’initiative relève que Facebook et des sociétés de ciblages comme AppNexus et PubMatic figurent parmi les destinataires de ces cookies. « Ces entreprises ont donc placé des cookies de traçage publicitaire après que les utilisateurs se soient clairement opposés à tout suivi ».
Gaëtan Goldberg, avocat spécialisé dans la protection des données chez Noyb dénonce « une importante violation du choix des consommateurs qui s’oppose aux exigences les plus fondamentales du droit de la protection des données en matière de consentement ».
Des témoins mis à disposition de centaines de partenaires commerciaux
« En utilisant l'extension Cookie Glasses, relève par exemple la plainte visant Cdiscount, la personne concernée a constaté que, malgré son opposition à l'installation de témoins de connexion, son consentement a tout de même été mis à disposition à pas moins de 431 "vendeurs" ». Seuls 12 partenaires avaient été répertoriés dans l’outil « Accepter les cookies » du site, visiblement ignoré du traitement.
Chez Webedia, éditeur d’Allociné, 565 « vendeurs » se sont vus remettre une soi-disant autorisation, en dépit de l’opposition de la personne concernée. Le chiffre est de 375 chez Condé Nast, éditeur de Vanity Fair. Tous font partie du Transparency and Consent Framework (TCF) de l’IAB, l’Interactive Advertising Bureau.
Sur Cdiscount encore, un autre cookie a été épinglé, le cookie « fr » de Facebook destiné à aiguiser la pertinence des publicités déroulées par le géant des réseaux sociaux. « Facebook a installé un cookie à finalité explicitement publicitaire pour lequel l’entreprise n’a obtenu aucune autorisation valable de la part de la personne concernée. Il [lui] appartiendra d'expliquer comment un cookie de suivi publicitaire a pu être placé sans (...) consentement ».
Au fil des cas, l’association devine plusieurs violations des textes fondateurs, comme l’article 82 de la loi de 1978 modifiée, relatif au consentement, ou encore l’article 5 du RGPD qui exige la correction des données inexactes et l’article 226-18 du Code pénal qui sanctionne le fait « de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite ».
Les groupes concernés risquent théoriquement une amende maximale de 4 % du chiffre d'affaires annuel mondial, toutefois à proportion du nombre de personnes concernées en France.
