La loi évolue pour vous permettre de refuser les cookies et de ne plus être traqué

Le 31 mars 2021 est une date importante pour le Web français et un jour de fête pour les internautes qui peuvent désormais avoir la possibilité de refuser que des dispositifs collectent leurs informations personnelles.

En réalité, cette date correspond à la fin d’une période de tolérance de six mois qu’avait accordée la CNIL aux éditeurs, suite à la publication de nouvelles règles visant à réglementer leurs pratiques, notamment celles permettant d’utiliser des cookies et autres traceurs, principalement utilisés pour épier tous les faits et gestes des internautes.

Dire non est une révolution

Pour comprendre comment nous en sommes arrivés là, revenons quelques années en arrière. En 2018, alors qu’Internet est devenu une zone de non-droit et que beaucoup d’éditeurs de sites Internet et d’applications mobiles usent et abusent de pratiques très douteuses, la Commission européenne a introduit un texte de référence : le Règlement Général sur la Protection des Données (RGPD). Ce règlement vient compléter l’arsenal juridique, notamment la directive « Vie Privée et Communications Électroniques », appelée « ePrivacy »^[1], qui avait initialement été proposée en 2002, puis amendée en 2009.

Ces textes n’ont pas empêché les éditeurs de collecter des informations personnelles sur leurs visiteurs, mais ont introduit la notion de « consentement », c’est-à-dire que les internautes peuvent continuer à être pistés, à condition qu’ils en soient clairement informés et qu’ils donnent (parfois) leur accord.

Depuis l’entrée en application de ces textes, des bannières de consentement ont donc inondé la toile et presque tous les sites Internet ont affiché un message avertissant les visiteurs que des « cookies » étaient utilisés.

Ces messages sont censés apporter de la transparence aux internautes. La vérité est que les internautes n’ont pas la moindre idée de ce que sont les cookies et ont encore moins l’envie ou les compétences pour comprendre les centaines de pages des politiques de confidentialité qui expliquent leurs finalités. C’est néanmoins un pas en avant. Si les internautes n’ont pas encore la possibilité de s’opposer à ce que leur vie privée soit étudiée de près et vendue aux plus offrants, ils peuvent déjà prendre conscience de la situation.

Le RGPD est, comme son nom l’indique, un règlement, c’est-à-dire que son contenu est applicable directement dans tous les États membres de l’Union européenne. La directive ePrivacy, elle, n’a pas encore atteint ce stade, car la Commission européenne n’a pas encore procédé au vote. Pour être applicable, la directive doit être retranscrite en droit français. En France, la CNIL a été chargée de ce travail et a transposé le contenu de la directive dans la loi « Informatique et Libertés »^[2]. Cette loi indique notamment que, non seulement les internautes devront être informés lorsque ces fameux cookies sont utilisés, mais qu’ils devront également avoir la possibilité de les refuser. C’est là qu’est la révolution.

Ce que dit la loi

La loi Informatique et Libertés, qui reprend les principes de la directive ePrivacy, doit à présent être appliquée par tous les éditeurs de sites Internet et d’applications. La loi pouvant être interprétée de différentes façons par les éditeurs, la CNIL a également publié deux documents censés clarifier les choses : des lignes directrices^[3] et des recommandations^[4].

Avant de rentrer dans certains détails plus techniques, il n’est probablement pas inutile de clarifier ce que sont ces cookies.

Comme je l’ai expliqué en détail en vidéo^[5], les cookies correspondent à des informations stockées par l’auteur d’un site Internet dans l’appareil de l’utilisateur. Ces informations permettent à l’auteur du site de mémoriser certaines valeurs pour améliorer l’expérience de l’internaute, comme mémoriser ses préférences ou mémoriser le contenu de son panier, mais peuvent aussi être utilisés pour identifier l’internaute et le reconnaître lors de ses visites ultérieures.

Lorsqu’on parle de cookies dans cette nouvelle loi, on ne fait pas référence uniquement aux cookies, mais à tous les mécanismes^[6] ayant une finalité similaire, c’est-à-dire stocker des informations dans l’appareil de l’utilisateur ou lire les informations contenues dans son appareil. Le fonctionnement de ces autres mécanismes sera probablement le sujet d’articles futurs. Pour le moment, je me contenterai simplement de vous dire que l’imagination des éditeurs, notamment publicitaires, n’a pas de limites quand il s’agit d’en savoir un peu plus sur vous.

L’utilisation du mot cookies dans la loi, comme dans cet article, est donc utilisé dans son sens générique. On peut également utiliser le terme de « cookies et traceurs » pour généraliser et faire référence à tous les mécanismes.

Maintenant que nous sommes au clair sur les cookies, passons à leur utilisation.

Jusqu’à présent, j’ai utilisé le terme « d’éditeurs de sites Internet et d’applications » pour vous faire comprendre que cela concernait les sites que vous visitez à partir de votre ordinateur et les applications que vous utilisez à partir de votre téléphone. En réalité, la loi n’est pas aussi restrictive et concerne tous les appareils qui peuvent faire partie de notre quotidien : consoles de jeu, télévisions connectées, voitures connectées, assistants vocaux, etc.

« Cette définition englobe de nombreux dispositifs couramment utilisés, tels qu’une tablette, un ordiphone, un ordinateur fixe ou mobile, une console de jeux vidéo, une télévision connectée, un véhicule connecté, un assistant vocal, ainsi que tout autre équipement terminal connecté à un réseau de télécommunication ouvert au public. »

Au passage, j’espère que vous avez noté l’utilisation du terme « ordiphone » pour parler des smartphones et l’utilisation du terme « réseau de télécommunication ouvert au public » pour faire référence à Internet, mais venons-en au cœur du sujet.

Lorsque des cookies et traceurs sont donc utilisés sur l’un des appareils de l’internaute, la loi indique que les éditeurs ont désormais l’obligation d’informer l’internaute de manière claire et complète et d’expliquer les moyens dont il dispose pour s’y opposer :

« Tout […] utilisateur […] doit être informé de manière claire et complète […] des moyens dont il dispose pour s’y opposer. »

Bien sûr, il n’est pas permis d’utiliser de cookies ou traceurs avant que l’internaute n’ait donné son consentement, sinon il n’y aurait aucun intérêt à lui demander son accord :

« Ces dispositions imposent ainsi le recueil du consentement avant toute action visant à stocker des informations ou à accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, en dehors des exceptions applicables. »

Lorsque les éditeurs souhaitent demander l’accord de l’internaute, ils ont également l’obligation de fournir des explications facilement compréhensibles pour permettre à l’utilisateur de prendre sa décision en connaissance de cause. Enfin, l’accord de l’internaute doit correspondre à une action de sa part :

« les traceurs nécessitant un recueil du consentement ne peuvent […] être utilisés […] qu’à condition que l’utilisateur ait manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque, par une déclaration ou par un acte positif clair.

Cela veut notamment dire que si l’internaute ne fait rien, c’est-à-dire qu’il ne clique pas sur un quelconque bouton d’acceptation par exemple, et qu’il continue simplement de visiter le site, cela doit être compris comme un refus de sa part :

« [La CNIL] considère donc que continuer à naviguer sur un site web, à utiliser une application mobile ou bien faire défiler la page d’un site web ou d’une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable. »

Si on devait résumer tout ça en une phrase, on pourrait dire que l’internaute doit pouvoir simplement et en connaissance de cause, accepter ou refuser que des informations soient stockées sur son appareil, ou lues de son appareil, et que l’absence de réponse est considérée comme un refus de sa part.

Le diable se cache dans les détails

Comme toujours, le diable se cache dans les détails. Lorsque je vous ai dit que tous les dispositifs utilisant des cookies ou traceurs étaient concernés, je ne vous ai pas dit toute la vérité. Il existe en réalité des exceptions^[7].

La loi indique que les outils nécessaires au fonctionnement du site peuvent être utilisés sans que l’utilisateur en soit informé, comme le panier d’une boutique en ligne ou l’accès à un espace personnel :

« Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement […] de l’utilisateur :
1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
2° Soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. »

Il n’est cependant pas toujours très clair de savoir quels outils sont considérés comme « nécessaires » au fonctionnement d’un site. Les outils de mesures d’audience ont, par exemple, fait l’objet de débats et certains^[8] peuvent être utilisés sans informer les visiteurs.

Autre détail : l’internaute doit pouvoir être en mesure d’accepter ou de refuser l’utilisation de cookies aussi facilement :

« L’expression du refus […] doit pouvoir se traduire par une action présentant le même degré de simplicité que celle permettant d’exprimer son consentement. »

Il n’est donc pas question de cacher dans un recoin du site le bouton de refus et de positionner en évidence le bouton d’acceptation.

Dernier point et non des moindres : les « Cookie Walls », c’est-à-dire afficher un message sur toute la page, bloquant l’accès au site et obligeant l’internaute à donner son consentement pour entrer.

La CNIL, en accord avec les recommandations^[9] du Comité européen de la protection des données (EDPB), organisme en charge de garantir une application cohérente du RGPD au sein des pays de l’U.E, avait indiqué initialement que cette pratique des Cookie Walls était interdite, en se basant sur un concept du RGPD qui stipule que le consentement d’un internaute est valable seulement si les deux choix, d’accepter ou de refuser, lui sont proposés :

« Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice. »

Le Conseil d’État a cependant exprimé son désaccord, sous l’impulsion d’associations et de syndicats de la publicité en ligne, de l’e-commerce et des médias^[10], et a ordonné à la CNIL de revoir sa copie. Cette pratique des Cookie Walls n’est donc pas interdite, ni clairement autorisée, et devra être « appréciée au cas par cas »^[11] :

« la Commission estime que le fait de subordonner la fourniture d’un service ou l’accès à un site web […] est susceptible de porter atteinte, dans certains cas, à la liberté du consentement. »

Nul doute que cette affaire reviendra bientôt sur le devant de la scène, car il est difficilement concevable que les pays de l’U.E. n’aient pas la même application des textes européens.

Une transition très difficile

Toutes ces mesures ont été introduites en septembre 2020, mais la CNIL a accordé une période d’adaptation de six mois pour permettre aux éditeurs de se mettre en conformité. Si une telle indulgence a été proposée, c’est parce que l’application de ces mesures a de lourdes conséquences pour les éditeurs. Beaucoup de sites Internet, notamment les sites d’information, ont un modèle économique basé sur la publicité et la revente de données personnelles. Le fait de permettre facilement aux internautes de refuser que leurs données personnelles soient collectées peut donc avoir un impact significatif sur leurs revenus.

Ces six mois d’adaptation n’ont cependant pas été utilisés par les éditeurs pour se mettre en conformité, car très peu ont modifié leurs pratiques avant la date fatidique. Cette période était plus une période de répit pour les éditeurs, qui ont probablement pensé pouvoir peser suffisant lourd pour que la date butoir n’arrive jamais. Ils ont d’ailleurs obtenu quelques concesssions, notamment sur les outils de mesures d’audience et sur la disposition des éléments sur la page^[12].

Aujourd’hui, comme on va le voir dans un instant, tous les acteurs n’ont pas encore appliqué ces nouvelles règles. La CNIL a pourtant indiqué^[13] avoir sensibilisé les mauvais élèves et a publié sur son site Internet des conseils et des outils pour les aider à se mettre en conformité.

Ce changement de règlement doit être une occasion pour tous les acteurs de se réinventer et transformer leur modèle économique en utilisant des pratiques plus éthiques. Un monde différent, sans espionner tous les moindres faits et gestes des internautes, est possible et j’espère bien que la réglementation continuera d’évoluer dans ce sens et mettra fin à l’ensemble des pratiques douteuses du Web.

Consentement des sites Web français

Maintenant que l’échéance est passée, faisons un petit tour du Web français pour regarder ce qui a changé. On va étudier des sites d’information populaires français, des entreprises Tech américaines, des banques en ligne, des organismes publics, et pour finir deux cas particuliers : LeBonCoin et Allociné.

Commençons par les sites d’information, particulièrement touchés, car seule une minorité des visiteurs a un abonnement payant.

Le site du Monde affiche une bannière de consentement classique, conforme aux recommandations de la CNIL : un texte explicatif et la possibilité de refuser simplement, ou plutôt devrais-je dire « continuer sans accepter » :

Un message est cependant ajouté aux visiteurs qui ont fait le choix de refuser pour les faire culpabiliser les inciter à s’abonner :

Le site de l’Equipe a opté pour une formulation beaucoup plus compliquée et propose le choix entre « oui, j’accepte » et « je désactive les finalités non essentielles » que l’internaute devra comprendre comme « refuser » :

Le lien présent en haut à droite est aussi intéressant car cet emplacement est habituellement utilisé pour clôturer la fenêtre et refuser. Les internautes qui ne feront pas attention et qui ont l’habitude de cliquer à cet emplacement pourront donc accepter par erreur, d’autant plus le texte stipule « fermer et accepter » et pas « accepter et fermer ». L’ordre est important, car en lisant rapidement, l’internaute pourrait lire uniquement le premier mot et accepter.

En refusant, un message apparaît en bas des articles pour rappeler à l’internaute qu’il a fait un choix « non recommandé » et une possibilité de « réparer son erreur » lui est proposée :

Cette pratique de redemander le consentement de l’internaute ne semble pas conforme aux recommandations de la CNIL, qui demande aux éditeurs de conserver le choix du visiteur pour ne pas l’importuner à chaque page :

« La Commission observe qu’il est, en principe, nécessaire de conserver les choix exprimés par les utilisateurs durant leur navigation sur le site. En effet, à défaut de la conservation de ces choix, les utilisateurs se verraient afficher une nouvelle fenêtre de demande de consentement à chaque page consultée, ce qui pourrait porter atteinte à la liberté de leur choix. »

Consentement des Big Techs

Poursuivons par les acteurs majeurs de la Tech.

Facebook ne semble pas se soucier de la réglementation et ne propose pas aux internautes de refuser :

Les cinq milliards de dollars d’amende^[14] reçus en 2019 suite au scandale Cambridge Analytica n’ont visiblement pas suffit pour faire comprendre à Mark Zuckerberg qu’il devait traiter les données personnelles de ses utilisateurs correctement.

Twitter fait de même et se contente simplement d’informer ses utilisateurs :

LinkedIn fait un peu mieux et permet de refuser les publicités personnalisées en passant par la page « gérer les préférences » :

Cette pratique est cependant contraire aux directives de la CNIL, qui indique que les internautes doivent avoir la possibilité de refuser aussi facilement que d’accepter. Les éditeurs savent très bien que les internautes souhaitent accéder à leur contenu le plus rapidement possible. Le fait de leur demander deux ou trois clics pour refuser est donc un frein et les internautes peuvent choisir la solution de facilité : accepter et accéder au site en un clic.

Enfin, Google et Amazon n’ont pas non plus jugés utile de modifier les pratiques. Ils ont pourtant été sanctionnés^[15] par la CNIL il y a moins de deux mois à respectivement 100 millions d’euros et 35 millions d’euros d’amende pour utilisation abusive de cookies.

Le site de Google ne propose pas à ses utilisateurs de s’opposer aux cookies à partir de la fenêtre de consentement :

Le site d’Amazon non plus :

Consentement des banques en ligne

Au tour des banques en ligne.

Boursorama affiche une fenêtre de consentement correcte avec la possibilité d’accepter ou de refuser, même si le choix des couleurs et la disposition des boutons donnent beaucoup plus d’importance au bouton d’acceptation :

Si l’internaute fait le choix de refuser, il est cependant sermonné, parce que la Société Générale, maison mère de Boursorama, voit probablement d’un mauvais œil le fait de perdre une partie de ses 3,2 milliards de bénéfices annuels^[16] :

La Caisse d’Epargne, elle, avait probablement mieux à faire que de mettre à jour son site Internet et notifie simplement ses visiteurs que des « offres adaptées à leurs centres d’intérêt » sont proposées :

Enfin, le pure-player N26 ne laisse pas non plus la possibilité de refuser les cookies à partir de la fenêtre de consentement sous prétexte de proposer « la meilleure expérience possible » :

Quelle hypocrisie, alors même que leur politique de confidentialité indique que leurs visiteurs sont traqués par une douzaine^[17] de sociétés spécialisées.

Consentement des sites publics

Le site du gouvernement semble montrer l’exemple et propose deux boutons visuellement similaires :

Ce n’est malheureusement pas le cas du site de la ville de Strasbourg, qui pense probablement que la réglementation est réservée aux organismes privés :

Le lien « en savoir plus » ne permet même pas d’en savoir réellement plus sur la politique de gestion des données personnelles, mais vers cette page du site de la CNIL qui indique aux internautes comment paramétrer le navigateur pour bloquer les cookies. Je crois qu’à Strasbourg, ils feraient bien de commencer par appliquer les lois avant de vouloir les voter^[18].

Consentement sur LeBonCoin.fr

Au tour du site de petites annonces préféré des français : « LeBonCoin.fr ».

Le site respecte les règles, mais uniquement en apparence, car s’ils demandent bien le consentement aux utilisateurs, ils ne se soucient pas de leur réponse et chargent des traceurs dans tous les cas, avant même que l’utilisateur ne fasse son choix.

LeBonCoin rince d’ailleurs tous les gros annonceurs : « Criteo », une « pépite^[19] » française, « DoubleClick », la régie publicitaire de Google, « Tealium » et d’autres.

Consentement sur Allocine.fr

Le site « Allocine.fr » est aussi à part et est une bonne illustration du Cookie Wall. Deux options sont proposées à l’internaute, mais pas celles auxquelles vous pensez : soit il paie, soit il accepte les publicités.

Allocine demande deux euros à ses visiteurs pour avoir le droit de consulter son site sans publicité pendant un mois. Deux euros, c’est le prix de votre vie privée pendant un mois. Je me demande si les dirigeants d’Allocine vendent leur propre vie privée pour deux euros ou s’ils pensent qu’il y aura désormais deux catégories de la population : ceux qui ont les moyens de se payer une vie privée et les autres.

Les règles pas totalement respectées

Nous l’avons vu, les règles ne sont pas encore très bien respectées. Entre ceux qui sont restés à l’heure d’hiver, ceux qui recourent à des tours de passe-passe douteux et ceux qui ne respectent juste pas le choix de l’internaute, il y a encore beaucoup de travail.

Les lois, comme toutes les règles, sont utiles seulement si elles sont appliquées. C’est à la CNIL que revient cette lourde tâche. C’est elle qui est chargée de les faire respecter, et qui devra par la même occasion se faire respecter.

La méthode douce fonctionne rarement lorsqu’on souhaite faire appliquer des règles à des entreprises dont les revenus se chiffrent en milliards. La seule solution est de sanctionner lourdement les contrevenants. Les États-Unis sont experts dans le domaine en faisant constamment planer la menace de lourdes sanctions. Ils sont pourtant des capitalistes convaincus.

Note : les sites Internet pris en exemple dans cet article ont été étudiés le 03/04/2021 et peuvent avoir été modifiés par leurs éditeurs après la publication de cet article. Les situations présentées peuvent donc être différentes de celles que vous constatez en visitant ces sites.

MAJ du 07/04/2021 à 18:00 : ajout du fait que la directive ePrivacy a été introduite initialement en 2002, puis amendée en 2009.

MAJ du 09/04/2021 à 09:30 : le site de la ville de Strasbourg a été mis à jour et propose désormais à ses visiteurs de refuser les cookies.