Cookie walls et autres tracking walls : légal, pas légal ?

Le Wall des vampires ?
Droit 4 min
Cookie walls et autres tracking walls : légal, pas légal ?
Crédits : ArtemSam/iStock

Votre vie privée est notre priorité, et nous l'évaluons à 2 euros... Le 31 mars est désormais passé. Et avec lui, adieu le délai de mise en conformité qu’avait offert la CNIL aux éditeurs qui n’offraient qu’une alternative entre « paramétrer » et « accepter » les cookies. Retour détaillé.

Qu’elle est désormais lointaine, la délibération du 5 décembre 2013. Ce jour, la CNIL fixait le cap en matière de cookies, « après concertation avec les professionnels concernés ».

Face à ces traceurs d’activités, permettant aux éditeurs de mitrailler des publicités très ciblées en fonction des habitudes de consommation, la Commission recommandait une procédure de recueil du consentement très avantageuse pour les professionnels.

À l’époque, ce recueil pouvait se déduire de la simple « poursuite de sa navigation », cette continuité valant alors « accord au dépôt de cookies sur son terminal ». Un joli cadeau… mais la raison d’être de ce geste de bienveillance apparent de la Commission découlait surtout de la législation en vigueur.

La directive ePrivacy dopée au RGPD

La directive Vie Privée (ePrivacy) prenait le soin de renvoyer à la directive 95/46/CE sur les données personnelles  la définition de la notion de consentement. Une notion centrale, primordiale d’où découle tout un « business model », celui du profilage des consommateurs.

Ce consentement était alors défini comme « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement ».

« Toute manifestation de volonté, libre, spécifique et informée » ? Cette définition a cependant été bouleversé avec l’arrivée du Règlement général sur la protection des données personnelles (RGPD), qui a remplacé la précédente directive 95/46/CE et les textes nationaux qui en découlaient.

Depuis le 25 mai 2018, donc, le consentement est défini comme la « manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ». Changement que n’ont pas manqué de souligner les autorités de protection des données européennes.

L’expression clef est « l’acte positif clair ». Théoriquement, les modèles fondés sur le traçage des pratiques prenaient une gifle magistrale, puisque les éditeurs se voyaient astreints à réclamer une manifestation de volonté expresse, non plus à déduire un « oui » de la tête d’un simple mouvement de souris ou d’un scroll.

Théoriquement encore, la mise en place de ce changement de régime a été opérée ce 25 mai, date d’entrée en application du RGPD.

Un scénario qui ne s’est pas vraiment passé ainsi.

En juillet 2019, soit plus d’un an après l’entrée en application du RGPD, la CNIL avait laissé 12 nouveaux mois aux acteurs pour qu’ils « aient le temps de se conformer aux principes qui divergent de la précédente recommandation ».

Et dans l’intervalle, elle a considéré comme acceptable « la poursuite de la navigation comme expression du consentement », tout en reconnaissant que sa recommandation de 2013 n’était plus du tout en phase avec les règles applicables.

Ce déphasage fut attaqué par Caliopen et l’inévitable Quadrature du net, mais le Conseil d’État l’a adoubé, estimant que l’autorité disposait d’un « large pouvoir d’appréciation » (agir/pas à agir) alors « que l’exercice du pouvoir de sanction ne serait, en tout état de cause, pas susceptible de faire respecter plus rapidement » l’obligation de glaner un consentement exprès. Circulez. 

Durant cette année, la CNIL a donc élaboré des lignes directrices avec les organisations professionnelles notamment, pour proposer des modalités opérationnelles de recueil du consentement, non sans promettre des vérifications du respect de la recommandation finale 6 mois après son adoption définitive.

Cette recommandation a été adoptée en septembre 2020. « Sans être prescriptive, la recommandation joue le rôle de guide pratique destiné à éclairer les acteurs utilisant des traceurs sur les modalités concrètes de recueil du consentement de l’internaute ».  C’est à partir de cette date qu’un nouveau délai de mise en conformité a donc été laissé aux acteurs, avec un terme fixé au 31 mars 2021.

1er avril 2021, fin de la tolérance

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !