La CNIL vient d'annoncer la mise en demeure d'une vingtaine de sites pour ne pas avoir respecté la loi concernant l'information et le dépôt de cookies et de publier son premier bilan sur le sujet. Une première étape avant de passer à des sanctions si cela s'avère nécessaire.
Lors de la publication de son rapport d'activité annuelle en avril dernier, la CNIL avait rapidement évoqué le cas des cookies, ces petits fichiers truffés d'informations et déposés par les sites sur votre ordinateur. Un bilan était attendu pour mai, il vient d'être publié avec un peu de retard.
Pour rappel, « la loi impose désormais aux responsables de sites et aux fournisseurs de solutions d'informer les internautes et de recueillir leur consentement avant l'insertion de cookies ou autres traceurs ». Souvent, cela prend la forme d'un petit bandeau en haut ou en bas de la page. Sans entrer dans les détails, la CNIL avait tout de même évoqué un triste record sur un site de presse avec pas moins de 359 cookies !
Les cookies, ça ne devrait pas être automatique
Comme prévu, la commission dresse donc son premier bilan des contrôles réalisés en 2014, dont 24 ont été effectués sur place, 27 en ligne et deux auditions. Le résultat n'est pas très bon et la Commission annonce que, « d’une manière générale, les sites internet n’informent pas suffisamment les internautes et ne recueillent pas leur consentement avant de déposer des cookies ». En effet, certains sont encore très opposé à cette pratique ne serait-ce que pour des raisons de mesure de l'audience, très peu de solutions étant validées par la CNIL.
C'est donc encore le statu quo et aucun éditeur n'accepte de voir l'audience mesurée de ses sites baisser drastiquement du fait de l'application de procédure. Le combat devrait donc être encore long en la matière. Mais cela n'est de toutes façons pas le cœur du problème, tant certains abusent des cookies et des solutions de tracking en tous genre sans en informer clairement l'internaute, sans lui donner le choix, et sans respecter la loi en la matière.
Une vingtaine de sites ont donc été mis en demeure de se mettre en conformité avec la loi dans « un délai déterminé », mais sans plus de précisions sur leur nom ni le temps qui leur a été accordé. La CNIL rappelle qu'une « mise en demeure n'est pas une sanction » et que si les sites rentrent dans le droit chemin dans le délai imparti, l'affaire en restera là. Dans le cas contraire, la Commission dispose d'un arsenal de sanction pour arriver à ses fins, que ce soit via une publication de la mise en demeure ou une amende.
Les sites ne sont pas les seuls concernés, les régies publicitaires aussi
La CNIL ajoute que ces mises en demeure ne concernent pas les cookies de mesure d'audience « qui sont exemptés sous certaines conditions du recueil de consentement et font l’objet de travaux complémentaires par la Commission ». Mais comme nous l'expliquions précédemment, cela ne concerne que certains outils comme Piwik qui ne peut pas être utilisé par tout le monde, et n'est de toute façon pas accepté par le marché publicitaire.
Afin de préparer le terrain à ses investigations, elle ajoute que cette obligation d'information « ne s’applique pas qu’aux seuls éditeurs de sites internet, mais à tous les acteurs du secteur (régies publicitaires, etc.) ». L'année 2015 risque d'être chargée en mise en demeure. Pour finir, sachez qu'une session de questions-réponses aura lieu sur Twitter. Pour cela, il suffit de poser vos questions avec le #QRcookie et d'attendre de voir si la CNIL répondra mercredi entre 13h30 et 14h30.