CNIL : les nouvelles recommandations sur le consentement cookies

Après les annonces de juillet 2019 et la mise à jour de ses lignes directrices sur le consentement cookies, la CNIL vient de publier son très attendu projet de recommandations sur le sujet. Découpé en 9 articles, il vise à poser les bases d’une discussion de 6 semaines avec les acteurs du marché dans le but de clarifier le RGPD et en tirer des actions concrètes à mener. Plus d’informations, plus de contrôle pour l’utilisateur, un refus grandement simplifié : voici un tour d’horizon des nouvelles recommandations de la CNIL.

Ses détracteurs voyaient enfin dans l’adoption du Règlement général sur la protection des données (RGPD) la potentielle fin du cookie. Ce fichier texte stocké sur le navigateur de l’utilisateur, lié à un nom de domaine et permettant de stocker des informations, était massivement utilisé dans le monde de l’Analytics et de la publicité programmatique afin de suivre le comportement des internautes. Sans celui-ci, le suivi et la qualité des informations remontées s’en trouvent drastiquement altérés, mettant les experts du domaine dans une position délicate.

La ratification en avril 2016 du RGPD et sa mise en application officielle dans l’ensemble des États membres en mai 2018, n’ont pas suffi pour mettre à mal le cookie. La prise de conscience de la part des entreprises était pourtant massive. Cependant peu d’éléments concrets se sont ajoutés aux bandeaux d’informations déjà existants, pourtant souvent assez vagues et n’offrant comme possibilité de refus que des parcours souvent alambiqués. Les raisons derrière ces rares changements : un texte de base peu clair et un manque de ligne directrice de la part de la CNIL. Finalement les initiatives des éditeurs eux-mêmes comme ITP (1) (Intelligent Tracking Prevention) de Safari ou encore ETP (2) (Enhanced Tracking Protection) de Firefox ont eu un impact important en imposant des règles au niveau navigateur, limitant à la fois le dépôt de cookie et sa durée d’expiration.

Devant ces résultats qu’ils jugeaient décevants, des représentants de la société civile ont déposé un recours auprès du Conseil d’État (3) , considérant que la CNIL ne mettait pas les efforts nécessaires afin d’appliquer la réglementation européenne (pendant que les professionnels de la publicité en ligne déposaient également un recours pour la raison inverse). Visiblement en accord avec les représentants de la société civile, le régulateur français a décidé de réagir en mettant les bouchées doubles. Après 6 mois de discussions avec les différentes parties, une recommandation composée de 9 articles a vu le jour (4) traitant du consentement cookies sur toutes les plateformes web et applications. Et cette fois-ci le changement risque de se faire fortement ressentir au vu de la teneur de certaines recommandations, surtout que la place pour l’interprétation est extrêmement limitée, la CNIL ayant opté pour un texte très concret. Aujourd’hui ce texte est toujours à l’étape de projet soumis à consultation publique jusqu’au 25 février (5) mais à moins d’une surprise de taille son contenu ne sera pas grandement modifié à sa sortie officielle.

Projet de recommandation : les évolutions majeures à attendre

Une large partie des recommandations de la CNIL a pour objectif la caractérisation du consentement : celui-ci doit être éclairé, libre, spécifique et univoque. Pour obtenir un tel résultat, des nouveautés s’imposent :

• Augmenter sensiblement le nombre d’informations et leur clarté dès le premier niveau.
  La CNIL a spécifié de manière concrète ce qui devait être mis en évidence avant la moindre interaction utilisateur. On y retrouve notamment la liste de l’ensemble des finalités de traitement des données, la mention que l’utilisateur sera suivi sur d’autres sites si tel est le cas ainsi que des liens explicites vers le détail des finalités. L’utilisateur doit avoir accès à la liste des éditeurs et partenaires pouvant récolter des données lors de sa visite ainsi que la liste des sites sur lesquels il est suivi. Ces informations doivent également être régulièrement mises à jour, en particulier la liste des Responsables de traitement (partenaires et éditeurs). Si un ajout substantiel est réalisé, le consentement utilisateur doit à nouveau être demandé. La régularité de ces mises à jour et le niveau de substantialité déclenchant une nouvelle requête du consentement n’ont toutefois pas été définis.
• Accord et refus doivent être traités au même niveau sans élément trompeur.
  Continuer sa navigation n’est plus suffisant pour considérer que l’utilisateur consent au dépôt de cookie ! Jusqu’en juillet dernier, le scroll ou a minima le passage à une autre page du site faisait office d’accord. A présent le refus devant être présenté au même degré de simplicité, tant en terme de présentation que de modalités techniques, cette mécanique n’est plus valable. De fait, exit également les grands boutons “J’accepte” présentés à côté de liens “En savoir plus…” qui cachent la mécanique de refus au milieu d’une immense page de contenu. Un bouton “Accepter” devra être présenté au même niveau qu’un bouton “Refuser”. Aucun élément graphique ou grammatical ne devra alors viser à tromper l’utilisateur, le laissant penser par exemple que le dépôt de cookie est nécessaire au bon fonctionnement du site.
  Autre conséquence, la décision de refus d’être suivi par un utilisateur doit être enregistrée dans un cookie et déposé sur son navigateur pour une durée au moins égale à celle correspondant à son accord s’il avait consenti.
  Le texte précise également qu’il est possible de laisser à l’utilisateur une option pour ne pas faire de choix (via une croix pour fermer le bandeau par exemple). Logiquement, aucun traceur nécessitant un quelconque consentement ne peut être déposé dans ce cas mais la demande de consentement peut de nouveau être soumise sans limite de nombre de requêtes.
• Le consentement global doit respecter trois conditions.
  Il est possible pour un site d’offrir au premier niveau d’information un consentement global à l’ensemble des traitements sous condition que : l’ensemble des finalités a été présenté à l’utilisateur, que celui-ci puisse consentir finalité par finalité s’il le souhaite, qu’une option de refus global doit être présentée au même niveau.
  Il doit également être simple de retirer son consentement. Peu de précisions exactes toutefois sur ce qui est considéré comme “simple” à l’exception que ceci se mesure en nombre d’actions et temps passé.
• Une preuve du consentement doit pouvoir être apportée.
  Cette preuve se découpe en deux parties : une preuve individuelle du consentement et une démonstration de la validité du mécanisme de recueil du consentement. La première se fait via l’enregistrement des informations de contexte, d’horodatage et de liste des finalités consenties dans le cookie de consentement. La deuxième peut se faire soit via une mise sous séquestre du code du mécanisme auprès d’un tiers, via des captures d’écran du mécanisme pour chaque version du site ou encore via des audits réguliers du mécanisme.

Quelles conséquences pour les cookies ?

En plus des nombreuses évolutions techniques à apporter aux mécanismes de consentement, il y a fort à parier pour que sites et applications voient une forte chute dans le nombre d’utilisateurs suivis via leurs différents outils.
À condition de respecter les conditions de l’article 5 des lignes directrices relatives aux cookies6, les outils de mesure d’audience peuvent s’en sortir en évitant l’étape de consentement mais d’autres secteurs comme le retargeting ou l’affiliation risquent fortement de sentir les effets de telles modifications, surtout que rien n’assure que la CNIL s’arrête ici. En effet le texte comporte également une partie qu’il définit comme étant des “Bonnes pratiques” : des mesures qui permettent d’aller au-delà du cadre légal, tel qu’offrir la possibilité de consentir partenaire par partenaire, d’éviter les délégations de sous-domaines ou de limiter la durée de vie des cookies à 6 mois. Même si aujourd’hui ces pratiques sont à titre indicatif il n’est pas impossible d’imaginer voir passer ces recommandations au rang d’obligations, confirmant la fin de vie du cookie et laissant de plus en plus de place à un marketing people-based.

Pour aller plus loin, vous pouvez consulter cet article de Didomi afin d’organiser concrètement sa mise en conformité.

Sources :

1 – https://webkit.org/blog/9521/intelligent-tracking-prevention-2-3/
2 – https://blog.mozilla.org/blog/2019/09/03/todays-firefox-blocks-third-party-tracking-cookies-and-cryptomining-by-default/
3 – https://www.lesechos.fr/tech-medias/hightech/cookies-publicitaires-la-position-de-la-cnil-attaquee-de-toutes-parts-1136047
4 – https://www.cnil.fr/sites/default/files/atoms/files/projet_de_recommandation_cookies_et_autres_traceurs.pdf
5 – https://www.cnil.fr/fr/la-cnil-lance-une-consultation-publique-sur-son-projet-de-recommandation-cookies-et-autres-traceurs
6 – https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038783337#JORFARTI000038783350

Auteur : Julien Tcherkezian, Consultant Data x Business Consulting.