Cookies : premier bilan après les six mois de transition accordés par la CNIL

Le 1er octobre 2020, la CNIL publiait ses dernières lignes directrices et modifiait sa recommandation sur l’usage de cookies, laissant aux éditeurs de sites six mois pour se mettre en conformité.
Ce délai ayant expiré le 31 mars, nous disposons déjà de quelques éléments pour faire un premier point sur les changements constatés.
La CNIL a publié dès le 2 avril un premier bilan https://www.cnil.fr/fr/nouvelles-regles-cookies-et-autres-traceurs-bilan-accompagnement-cnil-actions-a-venir

1. Les pratiques observées

Les éditeurs de sites ayant recours à ces traceurs ont eu plusieurs types de comportements (décrits ici par ordre décroissant de respect des droits et libertés des internautes) :

• Certains sites étaient déjà en conformité depuis octobre ou plus longtemps, les premières lignes directrices de la CNIL permettant déjà aisément de comprendre comment simplifier l’information et le recueil des consentements nécessaires : ils disposaient déjà de bandeaux d’information clairs sur les finalités des cookies, comportant un lien vers une politique de protection des données ou dédiée aux cookies et des boutons aussi accessibles l’un que l’autre permettant d’autoriser ou refuser le dépôt de cookies n’étant pas strictement nécessaires à la fourniture du service demandé par le visiteur.

On peut signaler dans cette catégorie les plus vertueux, qui ont choisi de renoncer à l’utilisation de tout cookie non essentiel, rendant facultative la mise en place d’un bandeau d’information (cf. article sur ce choix fait GitHub, dans le Monde Informatique qui n’a pas encore mis son site en conformité).

• Certains sites se sont mis en conformité et ont rejoint ceux de la catégorie précédente entre début octobre et la dernière minute du 31 mars.

• Certains sites n’ont rien changé, imposant parfois au visiteur de devoir personnaliser leurs préférences pour refuser tout dépôt de cookies (en permettant, ou pas, de tous les rejeter d’une seule action).

• Certains sites ont choisi d’avoir recours aux “cookie walls”. Rappelons que cette pratique consiste à empêcher le visiteur d’accéder au contenu du site s’il n’accepte pas le dépôt de l’ensemble des cookies non essentiels du site (servant principalement mesure d’audience ou à la publicité personnalisée).

La CNIL avait, dans ses premières lignes directrices et suivant la doctrine du CEPD, proscrit cette pratique. A la suite d’un recours initié par plusieurs associations et syndicats professionnels de la publicité en ligne, de l’e-commerce et des médias, le Conseil d’État avait invalidé cette position, jugeant que la CNIL allait ainsi au-delà de ce qu’il est légalement possible de faire dans le cadre de lignes directrices, qui sont un instrument de « droit souple ».

• Certains sites ont exploité la pratique du cookie wall en y intégrant un facteur financier : les internautes peuvent profiter du contenu du site sans dépôt de cookies permettant l’affichage de publicité personnalisée contre un abonnement de 1 à 2€ par mois (ils verront néanmoins toujours de la publicité non personnalisée).

Face à ce recours aux cookie walls, très fréquents sur certains sites d’information “pure players“, la CNIL a rappelé le 2 avril être “dans l’attente d’une clarification pérenne sur cette question par le législateur européen. [Elle] appliquera les textes en vigueur, tels qu’éclairés par la jurisprudence, pour déterminer au cas par cas si le consentement des personnes est libre et si un cookie wall est licite ou non. Elle sera, dans ce cadre, très attentive à l’existence d’alternatives réelles et satisfaisantes, notamment fournies par le même éditeur, lorsque le refus des traceurs non nécessaires bloque l’accès au service proposé.”

Des exemples de ces différents choix de configurations sont rassemblés dans une série de tweets du compte Pixel de Tracking : https://twitter.com/pixeldetracking/status/1377268909443837958

2. L’évaluation par la CNIL de certaines solutions de mesure d’audience

Dans ses lignes directrices, la CNIL indiquait dans quelles conditions une solution de mesure d’audience pouvait entrer dans le champ des cookies exemptés de consentement, du fait de leur objet strictement nécessaires à la bonne administration d’un site.

Voici ces conditions (Extraites de https://www.cnil.fr/fr/cookies-solutions-pour-les-outils-de-mesure-daudience) :

Afin de se limiter à ce qui est strictement nécessaire à la fourniture du service et être ainsi exemptés de consentement conformément à l’article 82 de la loi Informatique et Libertés, ces traceurs doivent :
• avoir une finalité strictement limitée à la seule mesure de l’audience du site ou de l’application (mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de son ergonomie, estimation de la puissance des serveurs nécessaires, analyse des contenus consulté), pour le compte exclusif de l’éditeur.
• servir à produire des données statistiques anonymes uniquement.
À l’inverse, pour être exemptés de consentement, ces traceurs ne doivent pas :
• conduire à un recoupement des données avec d’autres traitements ou à ce que les données soient transmises à des tiers ;
• ne pas permettre le suivi global de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web. Toute solution utilisant un même identifiant à travers plusieurs sites (via par exemple des cookies déposés sur un domaine tiers chargé par plusieurs sites) pour croiser, dédoubler ou mesurer un taux de couverture (« reach ») unifié d’un contenu est exclue.

La vérification de ces critères d’éligibilité à l’exemption restant malgré tout délicate pour les éditeurs de sites, se trouvant parfois démunis face aux argumentaires des fournisseurs de ces solutions, la CNIL est allée plus loin dans son accompagnement des professionnels en lançant, au mois de mars, un programme d’évaluation des solutions de mesure d’audience. Les fournisseurs de solutions de mesures d’audience peuvent ainsi décider de faire analyser par les services de la CNIL un paramétrage particulier et d’évaluer sa compatibilité avec les critères d’exemption.

https://www.cnil.fr/fr/solutions-de-mesure-daudience-exemptees-de-consentement-la-cnil-lance-un-programme-devaluation

A ce jour, deux solutions ont été soumises et évaluées dans le cadre de ce dispositif :

• la solution Analytics Suite Delta de AT Internet dans sa version disponible à la date du 30 mars 2021 et visée par ce guide de configuration ;

• la solution SmartProfile de Net Solution Partner dans sa version 21 et visée par ce guide de configuration.

3. L’avenir du ciblage publicitaire : le recours aux cookies en passe de tomber en désuétude face à la puissance technologique et commerciale des géants du net

On constate donc aujourd’hui que les professionnels tirant l’essentiel de leurs revenus de l’affichage sur leurs pages de publicité personnalisée ont fort mal anticipé une réforme pourtant annoncée de longue date sur un marché fonctionnant de la même façon depuis plus de dix ans. Ces acteurs devront d’ici peu faire preuve d’encore plus d’ingéniosité pour pouvoir continuer à générer de telles recettes, au regard de choix technologiques réalisés par deux géants d’internet : Google et Apple.

Google a en effet décidé d’apporter une modification importante dans son navigateur Chrome (représentant une part de marché de 60%) à partir de janvier 2022, en bloquant les cookies “tiers”, essentiels pour le ciblage publicitaire. Ne comptant évidemment pas se priver d’une activité représentant 88% du chiffre d’affaires de sa société-mère Alphabet, Google pourra continuer à analyser la navigation et les préférences des utilisateurs par d’autres moyens, directement liés au navigateur et aux autres applications qu’il propose, moyens dont ne disposent pas ses concurrents.

Afin d’éviter que ce changement bouleverse le marché de la publicité en ligne, la Commission européenne a annoncé au Parlement s’être saisie de ce sujet.

Pour en savoir plus

Apple a pour sa part décidé d’aller plus loin en imposant, via la dernière mise à jour d’iOS, le système d’exploitation des iPhones, le recueil du consentement de l’utilisateur pour permettre aux annonceurs et éditeurs d’applications d’utiliser l’IDFA (« IDentifier For Advertisers »), identifiant aléatoire attribué aux terminaux de la marque particulièrement utile pour servir de la publicité ciblée aux détenteurs d’iPhones (20% de part de marché pour près d’1 milliard d’appareils en activité)et iPads. Ici encore, Apple limite la concurrence tout en préservant le fonctionnement de son propre service de publicité en ligne, Search ads, en ajoutant une étape pour désactiver la personnalisation de ses publicités personnalisées.

Pour en savoir plus

Je partage

Derniers articles

Digitemis

Les RDV DIGITEMIS Septembre 2021

Découvrez notre agenda de la rentrée 2021, avec au programme : – Du 7 au 9 septembre : en tant que Partenaire du « FIC » (Forum International de la Cybersécurité) 2021 à Lille, vous pourrez nous retrouver tout au long du salon sur le stand A7-12 sur le pavillon HEXATRUST. N’hésitez pas à prendre, dès à présent, […]

Lire l'article

MOI DPO - Les premières actions

Privacy

MOI DPO – Les premières actions

Dans le cadre de notre suite d’articles consacrée à la vie du Délégué à la protection des données personnelles (DPO) nous avons déjà abordé ensemble les étapes que constituent la prise de fonction du DPO et l’animation de son réseau, essentielle à la conduite du projet de conformité. Ces articles sont disponibles sur le blog […]

Lire l'article