Google a modifié sa bannière liée aux cookies. Son déploiement a commencé sur YouTube et va s’étendre au site principal. Ce changement important – et attendu – fait suite à l’enquête et à la condamnation par la CNIL en janvier. Il sera répercuté dans toute l’Europe.
En janvier, la CNIL a condamné Google à une amende de 150 millions d’euros. Elle faisait suite à une procédure débutée en mars 2020 et visait alors à vérifier la conformité des traitements mis en œuvre avec les règles fixées à l’article 82 de la loi de 1978 modifiée, relatif aux cookies.
En décembre suivant, une première amende de 100 millions était assénée à Google face à d’évidents manquements. Google avait attaqué cette décision devant le Conseil d’État, procédure rejetée le 4 mars 2021. Le mois suivant, Google avait procédé à plusieurs changements dans sa bannière, et la CNIL s’en estimait alors satisfaite.
Seulement voilà, le dossier ne fut pas refermé, car la Commission fut saisie de plusieurs nouvelles plaintes. Cette fois, il n’était plus question de l’information aux internautes, mais des modalités de refus des cookies. En somme, Google permettait bien de refuser les cookies, mais la méthode pour y parvenir était juste par trop rébarbative. Une deuxième procédure fut donc lancée, aboutissant à l’amende de janvier dernier.
Google a donc révisé sa copie pour la deuxième fois.
De cinq actions pour le refus à une seule
Le cœur du problème était le nombre d’actions pour parvenir au refus total des cookies. Une grande majorité de sites, conscients sans doute de l’agacement croissant de la population, a adopté une approche très simple : proposer un bouton « Tout refuser » ou un lien « Continuer sans accepter ». L’absence d’acceptation, au regard du RGPD, équivaut à un non, puisqu’elle doit être donnée explicitement.
La première bannière révisée de Google proposait ainsi deux boutons : « J’accepte » et « Personnaliser ». Pour refuser les cookies – dans le cas d’une visite sans compte connecté ou depuis une session de navigation privée – il fallait plonger dans les options, décocher les trois catégories de cookies (personnalisation de la recherche, historique YouTube et personnalisation des annonces) puis valider.
Google apparaissait donc comme très en retard sur les pratiques, et d’autant plus que les sites réclamant de tout paramétrer manuellement se faisaient rare. Ce mécanisme paraissait si dépassé – voire obsolète – qu’il ne faisait plus que proclamer au monde la gourmandise de Google pour les données personnelles.
La nouvelle bannière est nettement plus simple, avec trois boutons : « Tout accepter », « Tout refuser » et « Plus d’options ». Le deuxième fait toute la différence, puisque l’on peut refuser d’un clic tous les types de cookies proposés par Google. Le troisième permet d’accéder aux mêmes options que précédemment. On peut avoir envie par exemple de garder la personnalisation des recherches et l’historique YouTube, mais pas la personnalisation des annonces.
Un déploiement en cours dans toute l’Europe
« Cette année, les autorités réglementaires qui interprètent les lois européennes imposant ces bannières, notamment les autorités chargées de la protection des données en France, en Allemagne, en Irlande, en Italie, en Espagne et au Royaume-Uni, ont mis à jour leurs directives en matière de conformité. Nous nous sommes engagés à respecter les normes de ces directives actualisées pour tous nos produits et nous avons collaboré avec un certain nombre de ces autorités », explique Google dans son billet d'annonce.
Pour l’entreprise, c’est à la suite de conversations avec les entités de contrôle et « conformément aux directives spécifiques » de la CNIL que la refonte est intervenue. Il n’est bien sûr fait mention ni des enquêtes de celle-ci, ni des amendes.
La France a les honneurs du déploiement, sans doute là encore en conséquence de la condamnation en janvier. Pour l’instant, seule une partie des utilisateurs est concernée sur YouTube. Pour rappel, on ne peut voir ce nouveau panneau que si l’on n’est pas connecté au compte Google ou que l’on navigue en session privée. Prochainement, il apparaîtra aussi sur le moteur de recherche, dans les mêmes conditions.
Elle sera également déployée dans le reste de l’Europe, ainsi qu’au Royaume-Uni et en Suisse.
Le consentement de l’utilisateur ? « Mouais »
Le sentiment de Google vis-à-vis de ce changement apparaît clairement dans sa communication. Si la première partie du billet est factuelle et technique, la dernière ne laisse aucun doute : l’entreprise américaine se serait bien passée de toute cette histoire.
Elle explique ainsi que cette mise à jour a nécessité une refonte du fonctionnement des cookies sur tous ses sites. Ce qui aurait nécessité des « changements majeurs et coordonnés » sur toute son infrastructure.
Et il y a des conséquences. Pas seulement pour Google, mais aussi pour « les sites et les contenus de créateurs qui reposent sur les cookies pour accroître leur activité et générer des revenus ». Une argumentation qui, si elle comporte nécessairement une part de vérité, rappelle de près celle de Facebook face à l’arrivée du consentement explicite des utilisateurs sur iOS pour le suivi publicitaire.
De fait, Google estime avoir répondu « aux nouvelles exigences réglementaires », mais glisse quand même que ces changements « s’inscrivent dans la continuité des efforts effectués » pour atteindre son objectif : « construire un Internet robuste et durable ».
Pour finir sur une note plus joyeuse, Google rappelle s’être engagée à concevoir des « technologies respectueuses de la vie privée dans le cadre de la Privacy Sandbox ». « En effet, nous pensons qu’il est possible de donner aux entreprises et aux développeurs les moyens de pérenniser leurs activités en ligne sans compromettre la confidentialité des données personnelles des internautes », conclut Google.
L’entreprise ne semble pas appréhender la différence entre confidentialité des données et la collecte en elle-même. Ou fait très bien semblant.
On attend également la réaction de Facebook, condamnée par la CNIL à une amende de 60 millions d'euros le même jour pour les mêmes raisons.
