Fin mars, tous les sites devront être en conformité avec les nouvelles lignes directrices de la CNIL en matière de pistage numérique des internautes. L'aboutissement d'une bataille longue où la Commission a été plus que conciliante, face à des publicitaires et éditeurs peu regardants.
La Commission rappelle que « le délai raisonnable pour mettre en conformité les sites web et applications mobiles aux nouvelles règles en matière de cookies ne saurait excéder le 31 mars 2021 ». Et on ne peut que constater sa patience sur le sujet, puisque cela fera bientôt trois ans que le RGPD est entré en vigueur, cinq ans qu'il a été voté.
L’installation et la lecture de ces pisteurs sont certes régulées par la directive ePrivacy de 2002, qui exige le consentement préalable de l’internaute. Elle renvoie cependant la définition de cette expression à la législation européenne relative aux données personnelles.
Avant le RGPD, le droit européen se contentait d’un consentement implicite, ce qui a permis à la CNIL, dans une délibération de 2013, de considérer que la poursuite de la navigation sur un site vaut accord de l’internaute à l’installation des mouchards publicitaires. Avec le RGPD du 25 mai 2018, tout change puisque le consentement doit être explicite, et trouver sa manifestation dans un acte « positif », qui ne peut donc être déduit.
- Le RGPD expliqué ligne par ligne (articles 1 à 23)
- Cookies et autres traceurs : la nouvelle doctrine de la CNIL
La mise en œuvre de cette nouvelle législation n'a pas été immédiate en pratique, l'autorité ayant laissé de longs mois aux acteurs pour assurer cette mise en conformité, montée en puissance validée par le Conseil d'Etat. La période touche désormais à sa fin, près de trois ans après l'entrée en application du règlement.
La pédagogie de la CNIL, une méthode pas toujours efficace
Alors que l'échéance approche à grands pas, la CNIL constate sans doute que le compte n'y est pas encore et a donc « souhaité sensibiliser à nouveau les organismes privés et publics par une campagne d’envoi de courriers et courriels ».
Elle en profite pour publier un observatoire édité par son laboratoire d'innovation numérique (LINC). Objectif ? « Analyser périodiquement les pratiques en matière de dépôt de cookies des 1 000 sites à plus forte audience en France ». L'analyse est basée sur l'outil maison et open source CookieViz. Les résultats ne préjugent pas de la conformité ou non des sites, prévient le LINC, mais donnent une bonne idée de la tendance globale et la volonté des acteurs.
Et on peut constater qu'on est loin d'être dans une situation idéale.
Malgré les délais et rappels : les sites abusent toujours
Ainsi, seuls 20 % des sites n'ont déposé aucun cookie tiers au chargement de la page. 20 % en déposent entre 7 et 79. Ce, sans prendre en compte des pratiques comme le CNAME Cloaking qui vise justement à masquer les tiers derrière un sous-domaine du site visité (first party) et autres solutions de pistage qui ne dépendent pas des cookies.
Dans la majeure partie des cas, il s'agit de cookies publicitaires, Facebook et Google en tête. Avec l'omniprésence de ces acteurs, ces outils permettent de reconstituer entièrement un profil utilisateurs selon leur navigation. C'est d'ailleurs leur objectif premier.
Après ce dernier coup de semonce, il n'y a plus qu'à espérer que la CNIL saura se montrer ferme avec les sites qui jettent encore en pâture les données de leurs visiteurs sans même leur accord. Car pour certains, il s'agit d'un modèle économique bien rodé qui dure depuis plus de 10 ans. Une situation que d'aucuns pourraient considérer comme une forme de concurrence déloyale face à ceux qui respectent la loi à la lettre.
