Ce que prévoit le projet de recommandation de la CNIL sur les cookies

Ce que prévoit le projet de recommandation de la CNIL sur les cookies

Cookies dealer

Avatar de l'auteur
Marc Rees

Publié dans

Droit

14/01/2020 9 minutes
11

Ce que prévoit le projet de recommandation de la CNIL sur les cookies

18 pages. La taille du projet de recommandation de la CNIL sur le consentement aux cookies est à la hauteur de l’enjeu soulevé. Next INpact détaille ce texte, ouvert désormais à consultation, et dont la version définitive est attendue dans quelques mois.

Avant le 25 mai 2018, les choses étaient claires, même si critiquables. La poursuite de la navigation sur un site quelconque valait acquiescement de l’internaute à l’installation de traceurs publicitaires (les fameux « cookies »). La faute à une législation très permissive qui a laissé finalement aux régies et autres géants du web, assis aux premières loges, l’opportunité de gonfler leurs activités commerciales.

Ce n’est finalement que le 4 juillet dernier, dans le cadre d’une nouvelle salve de lignes directrices venant annuler celles de 2013, que la CNIL a pris acte des modifications imposées par le règlement général sur la protection des données personnelles.

Le RGPD exige en effet un consentement exprès, explicite, de chaque utilisateur. Il n’est donc plus possible de déduire de la navigation une quelconque autorisation au pistage. Face à l’ampleur de la réforme, qui met un coup de pied dans une immense fourmilière, l’autorité a laissé un répit d’un an au marché. Cette tolérance fut critiquée par la Quadrature du Net jusque devant le Conseil d’État, mais adoubée par la juridiction administrative.

Pendant ce temps, des groupes de travail chapeautés par la commission travaillent sur une recommandation, attendue dans quelques mois. Son objectif ? « Décrire les modalités pratiques de recueil d’un consentement conforme aux règles applicables, à proposer des exemples concrets d’interface utilisateur, et à présenter des bonnes pratiques permettant d’aller au-delà des exigences légales ».

On comprend l’enjeu lorsque des dizaines de ces traceurs sont mitraillés sur le poste d’un internaute : exiger une autorisation spécifique à chacun des cookies ruinerait l’expérience utilisateur. Inversement, se contenter d’une autorisation très générale ne permettrait pas de satisfaire le nécessaire éclairage sur le profilage des habitudes en ligne. Cornélien !

Le projet de recommandation 

La commission diffuse ce jour son projet de recommandation, objet d’une collaboration avec les pros du secteur et des représentants de la société civile. Cette recommandation ne sera ni prescriptive ni exhaustive. Finalisée, elle sera un guide précieux pour accompagner les sites et éditeurs d’applications dans leur mise en conformité. Dit autrement, celui qui déciderait d’opter pour des voies alternatives de recueil du consentement ne serait pas nécessairement en disharmonie avec le RGPD, même s’il sera chaudement recommandé de suivre ces saintes écritures.

Avant d’attaquer le cœur du sujet, le projet vient d’abord exempter toute une série de traceurs :

  • « Les traceurs conservant le choix exprimé par l’utilisateur sur le dépôt de traceurs ou la volonté de celui-ci de ne pas exprimer un choix  »
  • « Les traceurs destinés à l’authentification auprès d’un service  »
  • « Les traceurs destinés à garder en mémoire le contenu d’un panier d’achats sur un site marchand  »
  • « Les traceurs de personnalisation de l'interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu par l’utilisateur du service » 
  • « Les traceurs permettant l'équilibrage de la charge des équipements concourant à un service de communication »
  • « Les traceurs permettant aux sites payants de limiter l’accès gratuit à leur contenu à une quantité prédéfinie et/ou sur une période limitée »
  • « Les traceurs permettant la mesure d’audience, dans le cadre spécifié par l’article 5 des lignes directrices relatives aux cookies et autres traceurs »

Ceux-là peuvent se passer d’un tel recueil (même si la CJUE a ouvert une brèche intéressante). Dans les pages suivantes, la CNIL peut donner l’impression d’enfoncer des portes ouvertes, mais les rappels couchés sur le document s’avèrent plus que nécessaires au regard du désordre extrême régnant dans l’univers des traceurs, et des tentatives menées par les responsables de traitement pour évincer le RGPD.

Un consentement libre, spécifique, éclairé et univoque, s.v.p.

L’autorité rappelle ainsi que le consentement doit être libre, spécifique, éclairé et univoque. Une expression directement puisée dans le règlement européen. De même, pour que l’éclairage de l’internaute soit suffisant, l’information sur les traceurs doit évidemment être donnée avant l’aiguillage du consentement (j’accepte / je refuse), dans des termes aisément accessibles.

Par exemple, « si les traceurs sont utilisés afin de partager des données sur les réseaux sociaux, leur finalité peut être décrite de la manière suivante : "Partage sur les réseaux sociaux : Notre site / application utilise des traceurs pour vous permettre de partager du contenu sur les réseaux sociaux ou plateformes présents [sur notre site / application]" ». Et la CNIL admet que ce recueil n’apparaisse, non à l’entrée du site, mais lorsque l’utilisateur décide de partager.

Le document revient sur une problématique forte : celle de l’interface, sujet sur lequel l’autorité avait publié un (passionnant) dossier. Elle plaide pour différentes présentations pour décrire correctement les finalités des traitements publicitaires :

« Concernant le contenu de cette information additionnelle et, à titre d’exemple, s’agissant de l’affichage de la publicité (personnalisée ou non), il peut être précisé que cette finalité englobe différentes opérations techniques telles que l’affichage de la publicité, le plafonnement de l’affichage (parfois appelé « capping publicitaire », consistant à ne pas présenter à un utilisateur une même publicité de manière trop répétitive), la lutte contre la fraude au clic (détection d’éditeurs prétendant réaliser une audience publicitaire supérieure à la réalité), la facturation de la prestation d’affichage, la mesure des cibles ayant plus d’appétences à la publicité pour mieux comprendre l’audience, etc. »

Plongeant dans le diable des détails, elle demande à ce que l’utilisateur puisse prendre connaissance de l’identité de l’ensemble des responsables du ou des traitements avant de se prononcer. La liste étant évolutive, elle doit pouvoir être accessible aisément, tout comme d’ailleurs la fonction permettant de retirer à tout moment son consentement. Est évoquée l’idée d’une icône statique en bas de page.

Le RGPD explique sur ce point que les deux opérations (consentement/retrait) doivent suivre une équivalence des formes et être aussi faciles, l’un comme l’autre. « La capacité d’exprimer un refus aussi aisément est en effet le pendant de la capacité d’exprimer un consentement libre », insiste la CNIL.

Et pour que le consentement soit libre, l’internaute ne doit pas souffrir d’un quelconque préjudice s’il choisit de refuser un traçage soumis à son autorisation.

Renouveler le consentement pour éviter l'acceptation par lassitude

Les détails vont très loin, dans le projet mis en ligne : « le choix exprimé par l’utilisateur, qu’il s’agisse d’un consentement ou d’un refus, devrait être enregistré de manière à ne pas solliciter à nouveau, pendant un certain laps de temps, le consentement de l’utilisateur. En effet, le fait de ne pas enregistrer le refus empêcherait sa prise en compte dans la durée, notamment lors de nouvelles visites. Sans enregistrement du choix qu’il a exprimé, l’utilisateur serait sollicité de nouveau. Cette pression continue serait susceptible de pousser l’utilisateur à accepter par lassitude. »

En toute logique, « ces interfaces ne devraient pas utiliser de pratiques de design potentiellement trompeuses, telles que l’usage d’une grammaire visuelle qui pourrait laisser penser à l’utilisateur que le consentement est obligatoire pour continuer sa navigation ou qui met visuellement plus en valeur la possibilité d’accepter que celle de refuser ».

S’agissant du recueil spécifique du consentement, l’autorité administrative est visiblement prête à accepter un accord en masse de la part de l’internaute, mais sous plusieurs conditions cumulatives :

  • Avoir présenté à l’utilisateur, au préalable, l’ensemble des finalités ;
  • Permettre également à l’utilisateur de consentir finalité par finalité ;
  • Ouvrir la « possibilité de refuser de façon globale soit également fournie au même niveau et dans les mêmes conditions que la possibilité de consentir de façon globale »

Dans tous les cas, « dans la mesure où le consentement à être suivi peut être oublié par les personnes qui l'ont manifesté à un instant donné », elle demande à ce que le recueil soit renouvelé à « intervalles appropriés sans attendre que l’utilisateur ait retiré son consentement ». Tout dépendra ici du contexte, des attentes de l’utilisateur, etc.

Le RGPD, un changement de logique

Le RGPD a changé de philosophie. Si la législation antérieure reposait sur une logique déclarative ou d’autorisation, depuis le 25 mai, nous sommes entrés dans une logique de responsabilité. Sans surprise, l’autorité estime que le site qui mitraille les postes de cookies doit pouvoir démontrer à chaque instant avoir glané le consentement en respectant les grands principes du texte européen.

Elle recommande l’usage d’un horodatage du consentement, mais également la preuve du « contexte dans lequel le consentement a été recueilli (identification du site web ou de l’application mobile), le type de mécanisme de recueil du consentement utilisé, et les finalités auxquelles l’utilisateur a consenti ».

À la toute fin du projet de recommandation, la commission rappelle qu’en l’état, le renvoi de l’utilisateur sur les paramètres de son navigateur n’est pas une expression valable du consentement. Cependant, aux éditeurs des futures solutions qui viendraient à aiguiser ces outils, la CNIL souffle quelques pistes comme permettre « aux utilisateurs de consentir à, ou de refuser les opérations de lecture ou écriture lors du premier usage du navigateur ou du terminal concerné, dans des conditions d’information leur permettant de faire un choix éclairé ».

Dans les pages des Échos, Marie-Laure Denis ne peut nier « qu'il pourrait y avoir un impact économique », une fois cette recommandation finalisée. En attendant, cette publication est accompagnée d’une consultation afin de jauger l’opportunité et le sens de son projet. On trouve aussi une nouvelle version de Cookieviz, dataviz en temps réel du tracking de votre navigation.

11

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Le projet de recommandation 

Un consentement libre, spécifique, éclairé et univoque, s.v.p.

Renouveler le consentement pour éviter l'acceptation par lassitude

Le RGPD, un changement de logique

Commentaires (11)




Le choix exprimé par l’utilisateur, qu’il s’agisse d’un consentement ou d’un refus, devrait être enregistré de manière à ne pas solliciter à nouveau, pendant un certain laps de temps, le consentement de l’utilisateur.



Ça serait bien de préciser que le laps de temps doit être le même pour l’acceptation et pour le refus !



Sinon, que du bon <img data-src=" />.




Ça serait bien de préciser que le laps de temps doit être le même pour l’acceptation et pour le refus !





Je dirais même indispensable. Les sites ou l’acceptation est valable 13 mois et où le refus n’est valable que 24h sont courants.


Je ne vois pas mention de la problématique “je refuse tous les cookies = on me refuse l’accès au site”.

Est-ce que ça a été laissé de côté dans la réflexion de la CNIL ou non mis en avant dans la news ?



(J’ai bien vu la phrase “’usage d’une grammaire visuelle qui pourrait laisser penser à l’utilisateur que le consentement est obligatoire pour continuer sa navigation”)


« Et pour que le consentement soit libre, l’internaute ne doit pas souffrir d’un quelconque préjudice s’il choisit de refuser un traçage soumis à son autorisation. » (fin de la section « Un consentement libre, spécifique, éclairé et univoque, s.v.p. »)


Alors pourquoi pas certains aménagements, mais ne pas exclure certains types de traitement de la pratique de l’accord en masse est une connerie, par définition (moi le premier parce que j’ai autre chose à faire) il m’arrive de cliquer sur “accepter tout” pour lire ce que je cherche depuis deux plombes.



Sauf que je le fais sur des sites dont je sais qu’ils font du tracking classique et pas le suivi GPS, l’interconnexion avec mes achats sur truc.com et mes gouts supposés sur FB, plus notification au fond de mon slip.



Elle devrait exclure certains tracking particulièrement intrusifs du “accepter tout” et les réserver à une acceptation spécifique “en plus” du “accepter tout”.



&nbsp;


Merci <img data-src=" /> j’avais raté cette petite phrase.


Aucune préconisation sur le temps de trempage dans le lait, je suis déçu …


Il faudrait aussi une amélioration des outils pour beaucoup de sites, la mise en conformités est couteuse.


Je vois rarement de site aux normes :




  • entre ceux qui utilisent des cookies pour stocker le refus (Franchement c’est pas compliqué de stocker ça en WebStorage !)

  • ceux dont la fenêtre de validation ne fonctionne pas car c’est délégué à un tiers qui est lui-même bloqué automatiquement par le navigateur le détectant comme tracker intersite.

  • les fenêtres qui n’ont pas de bouton refuser, ou dont le bouton ne fonctionne pas,

  • ceux qui bloquent tout accès en cas de refus des cookies.



    Avec ce texte la CNIL va commencer les sanctions ? google, yahoo sont les parfaits exemples de voyous du net !

  • Google ne propose pas de refus, quand tu lis le privacy reminder c’est surréaliste (il faut créer un compte google pour refuser les cookies !!!)

  • Yahoo, n’a pas de bouton Refuser fonctionnel, et le service est inutilisable sans accepter les cookies.


Le stockage dans un cookie est autorisé, ça fait partie des “cookies technique” qui sont obligatoire sur les sites (tu ne peux pas opt-out).



Pour le reste de ta liste, je suis assez d’accord, ça fonctionne parfois très mal et notamment sur les navigateurs mobile, sur lesquels la fenêtre d’option est souvent mal affichée voir même régulièrement buguée….


C’est quand même l’enfer pour l’utilisateur, au final tout le monde (ou presque) “accepte tout” par lassitude.



Faudrait une norme, une liste d’autorisations standard que l’utilisateur pourrait renseigner une fois pour toute et qui s’appliquerait ensuite par défaut à tous les sites (une sorte de master cookie :)).



Si un site veut introduire une autorisation spécifique, alors il devra obtenir le consentement éclairé (ou pas) de l’utilisateur…