Votre vie privée est notre priorité, et nous l'évaluons à 2 euros... Le 31 mars est désormais passé. Et avec lui, adieu le délai de mise en conformité qu’avait offert la CNIL aux éditeurs qui n’offraient qu’une alternative entre « paramétrer » et « accepter » les cookies. Retour détaillé.
Qu’elle est désormais lointaine, la délibération du 5 décembre 2013. Ce jour, la CNIL fixait le cap en matière de cookies, « après concertation avec les professionnels concernés ».
Face à ces traceurs d’activités, permettant aux éditeurs de mitrailler des publicités très ciblées en fonction des habitudes de consommation, la Commission recommandait une procédure de recueil du consentement très avantageuse pour les professionnels.
À l’époque, ce recueil pouvait se déduire de la simple « poursuite de sa navigation », cette continuité valant alors « accord au dépôt de cookies sur son terminal ». Un joli cadeau… mais la raison d’être de ce geste de bienveillance apparent de la Commission découlait surtout de la législation en vigueur.
La directive ePrivacy dopée au RGPD
La directive Vie Privée (ePrivacy) prenait le soin de renvoyer à la directive 95/46/CE sur les données personnelles la définition de la notion de consentement. Une notion centrale, primordiale d’où découle tout un « business model », celui du profilage des consommateurs.
Ce consentement était alors défini comme « toute manifestation de volonté, libre, spécifique et informée par laquelle la personne concernée accepte que des données à caractère personnel la concernant fassent l'objet d'un traitement ».
« Toute manifestation de volonté, libre, spécifique et informée » ? Cette définition a cependant été bouleversé avec l’arrivée du Règlement général sur la protection des données personnelles (RGPD), qui a remplacé la précédente directive 95/46/CE et les textes nationaux qui en découlaient.
Depuis le 25 mai 2018, donc, le consentement est défini comme la « manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ». Changement que n’ont pas manqué de souligner les autorités de protection des données européennes.
L’expression clef est « l’acte positif clair ». Théoriquement, les modèles fondés sur le traçage des pratiques prenaient une gifle magistrale, puisque les éditeurs se voyaient astreints à réclamer une manifestation de volonté expresse, non plus à déduire un « oui » de la tête d’un simple mouvement de souris ou d’un scroll.
Théoriquement encore, la mise en place de ce changement de régime a été opérée ce 25 mai, date d’entrée en application du RGPD.
Un scénario qui ne s’est pas vraiment passé ainsi.
En juillet 2019, soit plus d’un an après l’entrée en application du RGPD, la CNIL avait laissé 12 nouveaux mois aux acteurs pour qu’ils « aient le temps de se conformer aux principes qui divergent de la précédente recommandation ».
Et dans l’intervalle, elle a considéré comme acceptable « la poursuite de la navigation comme expression du consentement », tout en reconnaissant que sa recommandation de 2013 n’était plus du tout en phase avec les règles applicables.
Ce déphasage fut attaqué par Caliopen et l’inévitable Quadrature du net, mais le Conseil d’État l’a adoubé, estimant que l’autorité disposait d’un « large pouvoir d’appréciation » (agir/pas à agir) alors « que l’exercice du pouvoir de sanction ne serait, en tout état de cause, pas susceptible de faire respecter plus rapidement » l’obligation de glaner un consentement exprès. Circulez.
Durant cette année, la CNIL a donc élaboré des lignes directrices avec les organisations professionnelles notamment, pour proposer des modalités opérationnelles de recueil du consentement, non sans promettre des vérifications du respect de la recommandation finale 6 mois après son adoption définitive.
Cette recommandation a été adoptée en septembre 2020. « Sans être prescriptive, la recommandation joue le rôle de guide pratique destiné à éclairer les acteurs utilisant des traceurs sur les modalités concrètes de recueil du consentement de l’internaute ». C’est à partir de cette date qu’un nouveau délai de mise en conformité a donc été laissé aux acteurs, avec un terme fixé au 31 mars 2021.
1er avril 2021, fin de la tolérance
Voilà pourquoi depuis le 1er avril 2021, soit cinq ans après l’adoption du RGPD, chaque internaute a pu constater des modifications profondes des fameux bandeaux cookies.
« Toute inaction ou action des utilisateurs autre qu’un acte positif signifiant son consentement doit être interprétée comme un refus de consentir ; dans ce cas, aucune opération de lecture ou d’écriture soumise au consentement ne peut légalement avoir lieu » écrit la CNIL dans sa recommandation actuelle. Ce n’est qu’une recommandation, mais elle fige la doctrine de la maison, que les éditeurs de sites sont invités à respecter religieusement.
La Commission souligne encore « qu’il est possible de proposer des boutons d’acceptation et de refus globaux au stade du premier niveau d’information, via par exemple la présentation de boutons intitulés "tout accepter" et "tout refuser", "j’autorise" et "je n’autorise pas", "j’accepte tout" et "je n’accepte rien" et permettant de consentir ou de refuser, en une seule action, à plusieurs finalités » ajoute-t-elle.
Voilà pourquoi, sur les bandeaux cookies que l’on peut rencontrer au fil de ses pérégrinations numériques, a été ajouté au côté du traditionnel « tout accepter », un équivalent négatif permettant de rejeter l’ensemble des opérations de lecture/écriture de cookies.
Comic Sans MS taille 28 vs police gothique taille 2
Les responsables de traitement qui useraient des vieilles astuces sont prévenus : « les interfaces de recueil du consentement qui nécessitent un seul clic pour consentir au traçage tandis que plusieurs actions sont nécessaires pour "paramétrer" un refus de consentir présentent, dans la plupart des cas, le risque de biaiser le choix de l’utilisateur, qui souhaite pouvoir visualiser le site ou utiliser l’application rapidement ».
La CNIL recommande aussi l’usage de l’option « continuer sans accepter » pour permettre à l’internaute d’exprimer son refus au dépôt et à la lecture de traceurs. La CNIL recommande chaudement de ne pas jouer sur le design des fenêtres.
Les éditeurs doivent « utiliser des boutons et une police d’écriture de même taille, offrant la même facilité de lecture, et mis en évidence de manière identique ». Un « tout accepter » en Comic Sans MS taille 28 face à un « tout refuser » en police gothique taille 2 ne passerait pas vraiment ce test de conformité.
« Pas de pratiques de design potentiellement trompeuses laissant penser aux utilisateurs que leur consentement est obligatoire ou qui mettent visuellement plus en valeur un choix plutôt qu’un autre » exhorte l’autorité.
Et les pratiques de cookie walls ?
La doctrine de la CNIL est résumée en ces quelques lignes, qui en offre pour l’occasion une définition :
« La pratique du "cookie wall" consiste à bloquer l'accès à un site web ou à une application mobile pour l’utilisateur qui ne donnerait pas son consentement. La mise en œuvre d’un "cookie wall" est susceptible, dans certains cas et sous certaines conditions, de porter atteinte à la liberté du consentement. Ainsi, la licéité du recours à un "cookie wall" doit être appréciée au cas par cas.
En tout état de cause, en cas de mise en place d’un "cookie wall", et sous réserve de sa licéité, l’information fournie à l’utilisateur devra clairement lui indiquer les conséquences de ses choix et, par exemple, l’impossibilité d’accéder au contenu ou au service en l’absence de consentement. »
Cette prose aujourd’hui n’était pas celle d’origine puisque dans l’intervalle est intervenue une décision importante du Conseil d’État.
D'abord un rappel. Dans sa délibération initiale du 4 juillet 2019, la CNIL affirmait que « le consentement ne peut être valable que si la personne concernée est en mesure d'exercer valablement son choix et ne subit pas d'inconvénients majeurs en cas d'absence ou de retrait du consentement ».
Elle illustrait « à ce titre » cette doctrine par un passage puisé dans une déclaration du Comité Européen de la Protection des Données en date du 25 mai 2018, qui « a considéré que la pratique qui consiste à bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas à être suivi ("cookie walls") n'est pas conforme au RGPD ».
Le CEPD estime, cite encore la CNIL, que « dans une telle hypothèse, les utilisateurs ne sont pas en mesure de refuser le recours à des traceurs sans subir des conséquences négatives (en l'occurrence l'impossibilité d'accéder au site consulté) ».
Le cookie wall proscrit ? Pas si vite…
Le Conseil d’État, le 19 juin 2020, a considéré que la Commission ne pouvait, dans des lignes directrices déduire « pareille interdiction générale et absolue de la seule exigence d’un consentement libre », posé par le RGPD.
Même si l’arrêt ne s’attaquait pas au fond, la juridiction sanctionnait la présence d’une interdiction générale et abrupte dans un instrument de droit souple. Or, on ne mélange pas l’acier avec le caoutchouc.
Cependant, la décision a joué le rôle d’un coup de semonce pour un éventuel dossier au fond, d’autant que sa lecture peut utilement s’enrichir des conclusions d’Alexandre Lallet, le rapporteur public pour ce dossier.
Les conclusions du rapporteur public, phare de la décision du CE
Selon lui, en effet, cette prohibition « n’est posée par aucune disposition du RGPD » : « Le RGPD ne comporte ni n’implique aucune interdiction générale et absolue de la pratique du couplage » (ou cookie wall).
Le considérant 43 du Règlement pose certes que « le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d’espèce, ou si l’exécution d’un contrat, y compris la prestation d’un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution ».
Toutefois, il ne s’agit là que d’une présomption (le « présumé » de la citation), sachant que le considérant 42 prévient aussi que « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».
Retour aux conclusions qui dénoncent pour le coup une « erreur de perspective », dont serait responsable la CNIL, après le CEPD. « Elle se contente d’apprécier la liberté de choix et l’existence d’un préjudice à l’échelle du site auquel l’utilisateur s’est connecté, comme si l’accès à ce site-là, quel qu’il soit, constituait un droit garanti par une norme supérieure, une sorte de droit absolu et inconditionnel d’accéder aux contenus en ligne inspiré de la "neutralité du Net" ».
« C’est d’ailleurs la raison pour laquelle le CEPD a admis que le consentement peut être librement donné lorsque le même éditeur propose un service équivalent à celui qui est conditionné à l’utilisation de données à des fins publicitaires, par exemple un service donnant lieu au versement d’un tarif raisonnable » poursuit-il, toujours dans le même document.
Il considère au contraire que « le fait de ne pas pouvoir bénéficier d’un [site] peut n’affecter que très marginalement la liberté de choix et ne causer qu’un préjudice négligeable, pour ne pas dire inexistant dans certains cas. Or un petit désagrément, ou une opportunité manquée, n’est pas un préjudice ».
En somme, la solution plaide selon lui pour une analyse au cas par cas, utilisateur par utilisateur, où « la clé nous paraît résider dans la nature du besoin que l’utilisateur cherche à satisfaire et, surtout, dans l’existence, la disponibilité et l’accessibilité d’alternatives raisonnables permettant d’atteindre un résultat équivalent ».
L’interdiction générale, initialement posée par la CNIL, fut considérée comme « très attentatoire à la liberté contractuelle et à la liberté d’entreprendre ». Si elle existait vraiment, elle « ne pourrait résulter que d’une législation – européenne ou nationale – explicitement en ce sens ».
Accepter les cookies... ou payer, le tracking wall
Ces conclusions ont évidemment été lues par de nombreux éditeurs de presse en ligne, qui se sont dépêchés de proposer une alternative : un accès gratuit par acceptation des traceurs de publicité versus un accès payant mais pas de traceurs.
Webedia, comme d'autres et même le Monde lors d'un test, a ainsi proposé un marché, facturé cette fois deux euros. Le prix de la fin de l’espionnite, de la tranquillité, de vos données personnelles, ou le prix psychologique pour inciter les internautes à sauter le pas.
La mention est explicitée dans les conditions générales, par exemple celles d’Allociné ou de JeuxVideo.com, tous les deux dans son giron.
« Le modèle économique du site (ci-après le "Site") repose historiquement sur l’affichage de publicités personnalisées basées sur l’utilisation de cookies publicitaires, qui permettent de suivre la navigation des internautes et cibler leurs centres d’intérêts.
La nouvelle réglementation relative aux cookies ne permet plus au Site de s’appuyer sur cette seule source de revenus. En conséquence, afin de pouvoir maintenir le financement du Site et fournir les services proposés tout en vous offrant une même qualité de contenu éditorial sans cesse renouvelé, nous vous offrons la possibilité d’exprimer votre choix entre les deux alternatives suivantes d’accès :
- Accéder au site pour 2€ pendant 1 mois sans cookie publicitaire
- Accéder au site gratuitement en acceptant les cookies publicitaires »
Ces éditeurs pourraient considérer qu’ils ne pratiquent pas vraiment le cookie wall au regard de la définition de la CNIL (« bloquer l'accès à un site web ou à une application mobile pour l’utilisateur qui ne donnerait pas son consentement »).
Ici, en effet, l’utilisateur n’est pas bloqué. Il se voit offrir une alternative, certes payante, outre que l’internaute peut toujours aller voir ailleurs, sans subir de « préjudice », mais simplement un petit « désagrément » migratoire, dixit le rapporteur au Conseil d’État. Dans Ouest France, la CNIL se dit très attentive à l'existence « d'alternatives satisfaisantes ».
Cette mécanique pourrait-elle survivre si la pratique du tracking wall venait à se généraliser ? La CNIL pourrait-elle alors trouver suffisamment de motivations juridiques considérant l'abence de ces plans B ?
En attendant, après des mois de bienveillance à l’égard des éditeurs, la Commission doit aujourd’hui se faire une raison et opter pour la prudence, contrairement à ses lignes directrices avant censure par le Conseil d’État : elle ne peut plus prôner une interdiction générale des cookie walls mais doit préférer une analyse au cas par cas afin de déterminer si oui ou non le consentement de l’internaute (aka « la personne concernée », dixit le RGPD) est bien « libre ». Les éditeurs ont certes gagné une manche, mais nagent aujourd’hui en pleine insécurité juridique.
Le futur règlement ePrivacy, en phase d’adoption, contient déjà un petit passage pour sécuriser ce régime dans le marbre des textes : selon le résumé dressé par le Conseil européen, « l'utilisateur final devrait avoir véritablement la liberté de choisir s'il accepte ou non les cookies ou des identifiants similaires. Le fait de subordonner l'accès à un site web au consentement à l'utilisation de cookies à d'autres fins en tant que solution alternative à un verrou d'accès payant sera autorisé si l'utilisateur est en mesure de choisir entre cette offre et une offre équivalente du même fournisseur qui n'implique pas le consentement aux cookies ».
Il n'y a pas que les walls
La question du cookie wall ne se résume pas seulement à l’arbitrage entre « accepter » et « refuser ». D’autres problématiques peuvent susciter le courroux de l’autorité de contrôle.
D’une part, dans sa recommandation, la CNIL estime aussi nécessaire « de demander aux utilisateurs leur consentement de façon indépendante et spécifique pour chaque finalité distincte ». Comment faire pour accepter cette finalité, mais pas telle autre, lorsque l'internaute ne peut qu'accepter en masse ? Elle ajoute que « cela ne fait pas obstacle à la possibilité de proposer aux utilisateurs de consentir de manière globale à un ensemble de finalités », mais seulement « sous réserve de présenter, au préalable, aux utilisateurs l’ensemble des finalités poursuivies ».
Sur ce point, le considérant 43 du RGPD présume que le consentement n’est pas donné librement « si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d’espèce, ou si l’exécution d’un contrat, y compris la prestation d’un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution ».
D’autre part, l’article 5 paragraphe 3 de la directive ePrivacy doit aussi être respecté. « Cet article dispose que, de manière générale, le consentement préalable est nécessaire pour le stockage d’informations, ou l’obtention de l’accès à des informations déjà stockées, dans l’équipement terminal d’un abonné ou d’un utilisateur » avait résumé le CEPD en mars 2019.
Lecture confirmée par la CJUE en octobre de la même année : « cette disposition vise ainsi à protéger l’utilisateur de toute ingérence dans sa vie privée, indépendamment du point de savoir si cette ingérence concerne ou non des données à caractère personnel ».
N’oublions pas enfin que l'ONG NOYB avait attaqué Cdiscount, Vanity Fair et Allociné devant la CNIL pas plus tard qu’en décembre 2019. L'initiative fondée par Max Schrems reproche en particulier à Webedia « d’avoir mis à disposition des données à caractère personnel inexactes sur la Personne Concernée en transmettant une prétendue autorisation de celle-ci à l’installation de cookies et autres traceurs provenant d’au moins 565 "vendeurs" sur son équipement terminal en dépit de son opposition clairement exprimée » (la plainte).
