Le 31 mars 2021 est une date importante pour le Web français et un jour de fête pour les internautes qui peuvent désormais avoir la possibilité de refuser que des dispositifs collectent leurs informations personnelles.

En réalité, cette date correspond à la fin d’une période de tolérance de six mois qu’avait accordée la CNIL[1] aux éditeurs, suite à la publication de nouvelles règles visant à réglementer leurs pratiques, notamment celles permettant d’utiliser des cookies et autres traceurs, principalement utilisés pour épier tous les faits et gestes des internautes.

Dire non est une révolution

Pour comprendre comment nous en sommes arrivés là, revenons quelques années en arrière.

En 2018, alors qu’Internet est devenu une zone de non-droit et que beaucoup d’éditeurs de sites Internet et d’applications mobiles usent et abusent de pratiques très douteuses, la Commission Européenne a introduit un texte de référence : le Règlement Général de Protection des Données (RGPD). Ce règlement vient compléter l’arsenal juridique, notamment la directive Vie Privée et Communications Électroniques, appelée ePrivacy[2], qui avait initialement été proposée en 2002, puis amendée en 2009.

Ces textes n’ont pas empêché les éditeurs de collecter des informations personnelles sur leurs visiteurs, mais ont introduit la notion de « consentement », c’est-à-dire que les internautes peuvent continuer à être pistés, à condition qu’ils en soient clairement informés.

Des bannières de consentement ont donc inondé la toile, et presque tous les sites Internet ont affiché un message avertissant les visiteurs que des « cookies » étaient utilisés.

Seul un bouton « Autoriser tous les cookies et continuer » est affiché
Exemple d’une bannière de consentement ancienne génération

Ces messages sont censés apporter de la transparence aux internautes. La vérité est que les internautes n’ont pas la moindre idée de ce que sont les cookies et ont encore moins l’envie ou les compétences pour comprendre les centaines de pages des politiques de confidentialité qui expliquent leurs finalités. C’est néanmoins un pas en avant. Si les internautes n’ont pas encore la possibilité de s’opposer à ce que leur vie privée soit étudiée de près et vendue aux plus offrants, ils peuvent déjà prendre conscience de la situation.

Le RGPD est, comme son nom l’indique, un règlement, c’est-à-dire que son contenu est applicable directement dans tous les États membres de l’Union européenne. La directive ePrivacy, elle, n’a pas encore atteint ce stade, car la Commission européenne n’a pas encore procédé au vote.

Pour être applicable, la directive doit être retranscrite en droit français. En France, la CNIL a été chargée de ce travail et a transposé le contenu de la directive dans la loi Informatique et Libertés[3]. Cette loi indique notamment que, non seulement les internautes devront être informés lorsque ces fameux cookies sont utilisés, mais qu’ils devront également avoir la possibilité de les refuser. C’est là qu’est la révolution.

Trois boutons sont proposés : « Personnaliser », « Tout refuser » et « Tout accepter »
Exemple d’une bannière de consentement nouvelle génération

Ce que dit la loi

La loi Informatique et Libertés, qui reprend les principes de la directive ePrivacy, doit à présent être appliquée par tous les éditeurs de sites Internet et d’applications. Et si la loi n’était pas assez claire, la CNIL a également mis en ligne deux documents censés clarifier son contenu : des lignes directrices[4] et des recommandations[5].

Avant de rentrer dans certains détails plus techniques, il n’est probablement pas inutile de clarifier ce que sont ces cookies.

Comme je l’ai expliqué en détail en vidéo[6], les cookies correspondent à des informations stockées par l’auteur d’un site Internet dans l’appareil de l’utilisateur. Ces informations permettent à l’auteur du site de mémoriser certaines valeurs pour améliorer l’expérience de l’internaute, comme mémoriser ses préférences ou mémoriser le contenu de son panier, mais peuvent aussi être utilisés pour identifier l’internaute et le reconnaître lors de ses visites ultérieures.

Lorsqu’on parle de cookies dans cette nouvelle loi, on ne fait pas référence uniquement aux cookies, mais à tous les mécanismes[7] ayant une finalité similaire, c’est-à-dire stocker des informations dans l’appareil de l’utilisateur ou lire les informations contenues dans son appareil. Le fonctionnement de ces autres mécanismes sera probablement le sujet d’articles futurs. Pour le moment, je me contenterai simplement de vous dire que l’imagination des éditeurs, notamment publicitaires, n’a pas de limites quand il s’agit d’en savoir un peu plus sur vous.

L’utilisation du mot cookies dans la loi, comme dans cet article, est donc utilisé dans son sens générique. On peut également utiliser le terme de cookies et traceurs pour généraliser et faire référence à tous les mécanismes.

Maintenant que nous sommes au clair sur les cookies, passons à leur utilisation.

Jusqu’à présent, j’ai utilisé le terme « d’éditeurs de sites Internet et d’applications » pour vous faire comprendre que cela concernait les sites que vous visitez à partir de votre ordinateur et les applications que vous utilisez à partir de votre téléphone. En réalité, la loi n’est pas aussi restrictive et concerne tous les appareils qui peuvent faire partie de notre quotidien : consoles de jeu, télévisions connectées, voitures connectées, assistants vocaux, etc.

« Cette définition englobe de nombreux dispositifs couramment utilisés, tels qu’une tablette, un ordiphone, un ordinateur fixe ou mobile, une console de jeux vidéo, une télévision connectée, un véhicule connecté, un assistant vocal, ainsi que tout autre équipement terminal connecté à un réseau de télécommunication ouvert au public. »

Au passage, j’espère que vous avez noté l’utilisation du terme « ordiphone » pour parler des smartphones et l’utilisation du terme « réseau de télécommunication ouvert au public » pour faire référence à Internet, mais venons-en au cœur du sujet.

Lorsque des cookies et traceurs sont donc utilisés sur l’un des appareils de l’internaute, la loi indique que les éditeurs ont désormais l’obligation d’informer l’internaute de manière claire et de lui donner la possibilité de s’y opposer :

« Tout […] utilisateur […] doit être informé de manière claire et complète […] des moyens dont il dispose pour s’y opposer. »

Bien sûr, il n’est pas permis d’utiliser de cookies ou traceurs avant que l’internaute n’ait donné son consentement, sinon il n’y aurait aucun intérêt à lui demander son accord :

« Ces dispositions imposent ainsi le recueil du consentement avant toute action visant à stocker des informations ou à accéder à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, en dehors des exceptions applicables. »

Lorsque les éditeurs souhaitent demander l’accord de l’internaute, ils ont également l’obligation de fournir des explications facilement compréhensibles pour permettre à l’utilisateur de prendre sa décision en connaissance de cause.

Enfin, l’accord de l’internaute doit correspondre à une action de sa part :

« les traceurs nécessitant un recueil du consentement ne peuvent […] être utilisés […] qu’à condition que l’utilisateur ait manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque, par une déclaration ou par un acte positif clair.

Cela veut notamment dire que si l’internaute ne fait rien, c’est-à-dire qu’il ne clique pas sur un quelconque bouton d’acceptation par exemple, et qu’il continue simplement de visiter le site, cela doit être compris comme un refus de sa part :

« [La CNIL] considère donc que continuer à naviguer sur un site web, à utiliser une application mobile ou bien faire défiler la page d’un site web ou d’une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable. »

Si on devait résumer tout ça en une phrase, on pourrait dire que l’internaute doit pouvoir simplement et en connaissance de cause, accepter ou refuser que des informations soient stockées sur son appareil, ou lues de son appareil, et que l’absence de réponse est considérée comme un refus de sa part.

Le diable se cache dans les détails

Comme toujours, le diable se cache dans les détails.

Lorsque je vous ai dit que tous les dispositifs utilisant des cookies ou traceurs étaient concernés, je ne vous ai pas dit toute la vérité. Il existe en réalité des exceptions[8].

La loi indique que les outils nécessaires au fonctionnement du site peuvent être utilisés sans que l’utilisateur en soit informé, comme le panier d’une boutique en ligne ou l’accès à un espace personnel :

« Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement […] de l’utilisateur :
1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
2° Soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. »

Il n’est cependant pas toujours très clair de savoir quels outils sont considérés comme nécessaires au fonctionnement d’un site. Les outils de mesures d’audience ont, par exemple, fait l’objet de débats et certains[9] peuvent être utilisés sans informer les visiteurs.

Autre détail : l’internaute doit pouvoir être en mesure d’accepter ou de refuser l’utilisation de cookies aussi facilement :

« L’expression du refus […] doit pouvoir se traduire par une action présentant le même degré de simplicité que celle permettant d’exprimer son consentement. »

Il n’est donc pas question de cacher dans un recoin du site le bouton de refus et de positionner en évidence le bouton d’acceptation.

Dernier point, et non des moindres : les Cookie Walls, c’est-à-dire afficher un message sur toute la page, bloquant l’accès au site et obligeant l’internaute à donner son consentement pour entrer.

La CNIL, en accord avec les recommandations[10] du Comité Européen de la Protection des Données[11], organisme en charge de garantir une application cohérente du RGPD au sein des pays de l’U.E, avait indiqué initialement que cette pratique des Cookie Walls était interdite, en se basant sur un concept du RGPD qui stipule que le consentement d’un internaute est valable seulement si les deux choix, d’accepter ou de refuser, lui sont proposés :

« Le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice. »

— RGPD, sonsidérant 42

Le Conseil d’État a cependant exprimé son désaccord, sous l’impulsion d’associations et de syndicats de la publicité en ligne, de l’e-commerce et des médias[12], et a ordonné à la CNIL de revoir sa copie.

Cette pratique des Cookie Walls n’est donc pas interdite, ni clairement autorisée, et devra être « appréciée au cas par cas »[13] :

« la Commission estime que le fait de subordonner la fourniture d’un service ou l’accès à un site web […] est susceptible de porter atteinte, dans certains cas, à la liberté du consentement. »

Nul doute que cette affaire reviendra bientôt sur le devant de la scène, car il est difficilement concevable que les pays de l’U.E. n’aient pas la même application des textes européens.

Une transition très difficile

Toutes ces mesures ont été introduites en septembre 2020, mais la CNIL a accordé une période d’adaptation de six mois pour permettre aux éditeurs de se mettre en conformité.

Si une telle indulgence a été proposée, c’est parce que l’application de ces mesures a de lourdes conséquences pour les éditeurs.

Beaucoup de sites Internet, notamment les sites d’information, ont un modèle économique basé sur la publicité et la revente de données personnelles. Le fait de permettre facilement aux internautes de refuser que leurs données personnelles soient collectées peut donc avoir un impact significatif sur leurs revenus.

Ces six mois d’adaptation n’ont pas réellement été utilisés par les éditeurs pour se mettre en conformité, car très peu ont modifié leurs pratiques avant la date fatidique. Cette période était plus une période de répit pour les éditeurs, qui ont probablement pensé pouvoir peser suffisant lourd pour que la date butoir n’arrive jamais. Ils ont d’ailleurs obtenu quelques concesssions, notamment sur les outils de mesures d’audience et sur la disposition des éléments sur la page[14].

Aujourd’hui, comme on va le voir dans un instant, tous les acteurs n’ont pas encore appliqué ces nouvelles règles. La CNIL a pourtant indiqué[15] avoir sensibilisé les mauvais élèves et a publié sur son site Internet des conseils et des outils pour les aider à se mettre en conformité.

Ce changement de règlement doit être une occasion pour tous les acteurs de se réinventer et transformer leur modèle économique en utilisant des pratiques plus éthiques. Un monde différent, sans espionner tous les moindres faits et gestes des internautes, est possible et j’espère bien que la réglementation continuera d’évoluer dans ce sens et mettra fin à l’ensemble des pratiques douteuses du Web.

Consentement des sites Web français

Maintenant que l’échéance est passée, faisons un petit tour du Web français pour regarder ce qui a changé. On va étudier des sites d’information populaires français, des entreprises tech américaines, des banques en ligne, des organismes publics, et pour finir deux cas particuliers : LeBonCoin, et Allocine.

Commençons par les sites d’information, particulièrement touchés, car seule une minorité des visiteurs ont un abonnement payant.

Le site du Monde affiche une bannière de consentement classique, conforme aux recommandations de la CNIL : un texte explicatif et la possibilité de refuser simplement, ou plutôt devrais-je dire « continuer sans accepter » :

Trois options sont proposées : « Accepter », « Continuer sans accepter » et « Paramétrer les cookies »
Bannière de consentement du site LeMonde.fr

Un message est cependant ajouté aux visiteurs qui ont fait le choix de refuser pour les faire culpabiliser les inciter à s’abonner :

Le titre indique « Pour soutenir le travail de toute une rédaction, nous vous proposons de vous abonner »
Message incitant les visiteurs à s’abonner à LeMonde.fr

Le site de l’Equipe a opté pour une formulation beaucoup plus compliquée et propose le choix entre « oui, j’accepte » et « je désactive les finalités non essentielles » que l’internaute devra comprendre comme « refuser » :

Quatre options sont proposées : « Je m’abonne », « Oui, j’accepte », « Je désactive les finalités non essentielles » et « Fermer et accepter »
Bannière de consentement du site Lequipe.fr

Le lien présent en haut à droite est aussi intéressant car cet emplacement est habituellement utilisé pour clôturer la fenêtre et refuser. Les internautes qui ne feront pas attention et qui ont l’habitude de cliquer à cet emplacement pourront donc accepter par erreur. D’autant plus le texte stipule « fermer et accepter » et pas « accepter et fermer ». L’ordre est important, car en lisant rapidement, l’internaute pourrait lire uniquement le premier mot et accepter.

En refusant, un message apparaît en bas des articles pour rappeler à l’internaute qu’il a fait un choix non recommandé et une possibilité de réparer son erreur lui est proposée :

Le texte affiche « Vous n’avez pas accepté les cookies. Pour soutenir l’Equipe, acceptez la publicitée ciblée, ou abonnez-vous. » et deux options sont sont proposées « Accepter » ou « S’abonner »
Message incitant les visiteurs à s’abonner à Lequipe.fr

Cette pratique de redemander le consentement de l’internaute ne semble pas conforme aux recommandations de la CNIL, qui demande aux éditeurs de conserver le choix du visiteur pour ne pas l’importuner à chaque page :

« La Commission observe qu’il est, en principe, nécessaire de conserver les choix exprimés par les utilisateurs durant leur navigation sur le site. En effet, à défaut de la conservation de ces choix, les utilisateurs se verraient afficher une nouvelle fenêtre de demande de consentement à chaque page consultée, ce qui pourrait porter atteinte à la liberté de leur choix. »

Consentement des Big Techs

Poursuivons par les acteurs majeurs de la Tech.

Facebook ne semble pas se soucier de la réglementation et ne propose pas aux internautes de refuser :

Deux options sont proposées : « Gérer les paramètres de données » et « Tout accepter »
Bannière de consentement du site Facebook.com

Les cinq milliards de dollars d’amende[16] reçus en 2019 suite au scandale Cambridge Analytica n’ont visiblement pas suffit pour faire comprendre à Mark Zuckerberg qu’il devait traiter les données personnelles de ses utilisateurs correctement.

Twitter fait de même et se contente simplement d’informer ses utilisateurs :

Un message indique qu’« en utilisant les services de Twitter, vous acceptez note Utilisation des cookies » et seul un bouton « Fermer » est proposé
Bannière de consentement du site Twitter.com

LinkedIn fait un peu mieux et permet de refuser les publicités personnalisées en passant par la page « gérer les préférences » :

Deux options sont proposées : « Gérer les préférences » et « Accepter les cookies »
Bannière de consentement du site LinkedIn.com

Cette pratique est cependant contraire aux directives de la CNIL, qui indique que les internautes doivent avoir la possibilité de refuser aussi facilement que d’accepter. Les éditeurs savent très bien que les internautes souhaitent accéder à leur contenu le plus rapidement possible. Le fait de leur demander deux ou trois clics pour refuser est donc un frein et les internautes peuvent choisir la solution de facilité : accepter et accéder au site en un clic.

Enfin, Google et Amazon n’ont pas non plus jugés utile de modifier les pratiques. Ils ont pourtant été sanctionnés[17] par la CNIL il y a moins de deux mois à respectivement 100 millions d’euros et 35 millions d’euros d’amende pour utilisation abusive de cookies.

Le site de Google ne propose pas à ses utilisateurs de s’opposer aux cookies à partir de la fenêtre de consentement :

Deux options sont proposées : « Personnaliser » et « J’accepte »
Bannière de consentement du site Google.fr

Le site d’Amazon non plus :

Deux options sont proposées : « Accepter les cookies » et « Personnaliser les cookies »
Bannière de consentement du site Amazon.fr

Consentement des banques en ligne

Au tour des banques en ligne.

Boursorama affiche une fenêtre de consentement correcte avec la possibilité d’accepter ou de refuser, même si le choix des couleurs et la disposition des boutons donnent beaucoup plus d’importance au bouton d’acceptation :

Trois options sont proposées : « Gérer mes cookies », « Tout accepter » et « Continuer sans accepter »
Bannière de consentement du site Boursorama.com

Si l’internaute fait le choix de refuser, il est cependant sermonné, parce que la Société Générale, maison mère de Boursorama, voit probablement d’un mauvais œil le fait de perdre une partie de ses 3,2 milliards de bénéfices annuels[18] :

Message indiquant que « la publicité permet à Boursorama de vous proposer gratuitement et sans limite l’accès aux données de plus de 3000 instruements... »
Fenêtre affichée lorsque l’internaute refuse de donner sur consentement sur Boursorama.com

La Caisse d’Epargne, elle, avait probablement mieux à faire que de mettre à jour son site Internet et notifie simplement ses visiteurs que des « offres adaptées à leurs centres d’intérêt » sont proposées :

Seul un message d’avertissement est affiché, sans possibilité de refuser
Bannière de consentement du site Caisse-Epargne.fr

Enfin, le pure-player N26 ne laisse pas non plus la possibilité de refuser les cookies à partir de la fenêtre de consentement sous prétexte de proposer « la meilleure expérience possible » :

Deux options sont proposées : « Tout accepter » ou « Ouvrir les paramètres des cookies »
Bannière de consentement du site n26.com

Quelle hypocrisie, alors même que leur politique de confidentialité indique que leurs visiteurs sont traqués par une douzaine[19] de sociétés spécialisées.

Consentement des sites publics

Le site du gouvernement semble montrer l’exemple et propose deux boutons visuellement similaires :

Trois boutons sont proposés : « Personnaliser », « Tout refuser » et « Tout accepter »
Bannière de consentement du site gouvernement.fr

Ce n’est malheureusement pas le cas du site de la ville de Strasbourg, qui pense probablement que la réglementation est réservée aux organismes privés :

Un message d’avertissement est affiché avec un bouton « J’ai compris »
Bannière de consentement du site strasbourg.eu

Le lien « en savoir plus » ne permet même pas d’en savoir réellement plus sur la politique de gestion des données personnelles, mais vers cette page du site de la CNIL qui indique aux internautes comment paramétrer le navigateur pour bloquer les cookies. Je crois qu’à Strasbourg, ils feraient bien de commencer par appliquer les lois avant de vouloir les voter[20].

Consentement sur LeBonCoin.fr

Au tour du site de petites annonces préféré des français : LeBonCoin.fr.

Le site respecte les règles, mais uniquement en apparence, car s’ils demandent bien le consentement aux utilisateurs, ils ne se soucient pas de leur réponse et chargent des traceurs dans tous les cas, avant même que l’utilisateur ne fasse son choix.

Trois options sont proposées : « Personnaliser », « Accepter » et « Continuer sans accepter »
Bannière de consentement du site leboncoin.fr

LeBonCoin rince d’ailleurs tous les gros annonceurs : Criteo, une « pépite[21] » française, DoubleClick, la régie publicitaire de Google, Tealium et d’autres.

Consentement sur Allocine.fr

Le site Allocine.fr est aussi à part et est une bonne illustration du Cookie Wall. Deux options sont proposées à l’internaute, mais pas celles auxquelles vous pensez : soit il paie, soit il accepte les publicités.

Deux options sont proposées : « Accéder pour 2 € TTC » ou « Accepter et accéder gratuitement »
Bannière de consentement du site Allocine.fr

Allocine demande deux euros à ses visiteurs pour avoir le droit de consulter leur site, sans publicité, pendant un mois. Deux euros, c’est le prix de votre vie privée pendant un mois. Je me demande si les dirigeants d’Allocine vendent leur propre vie privée pour deux euros ou s’ils pensent qu’il y aura désormais deux catégories de la population : ceux qui ont les moyens de se payer une vie privée et les autres.

Les règles pas totalement respectées

Nous l’avons vu, les règles ne sont pas encore très bien respectées. Entre ceux qui sont restés à l’heure d’hiver, ceux qui recourent à des tours de passe-passe douteux et ceux qui ne respectent juste pas le choix de l’internaute, il y a encore beaucoup de travail.

Les lois, comme toutes les règles, sont utiles seulement si elles sont appliquées. C’est à la CNIL que revient cette lourde tâche. C’est elle qui est chargée de les faire respecter, et qui devra par la même occasion se faire respecter.

La méthode douce fonctionne rarement lorsqu’on souhaite faire appliquer des règles à des entreprises dont les revenus se chiffrent en milliards. La seule solution est de sanctionner lourdement les contrevenants. Les États-Unis sont experts dans le domaine en faisant constamment planer la menace de lourdes sanctions. Ils sont pourtant des capitalistes convaincus.

Note : les sites Internet pris en exemple dans cet article ont été étudiés le 03/04/2021 et peuvent avoir été modifiés par leurs éditeurs après la publication de cet article. Les situations présentées peuvent donc être différentes de celles que vous constatez en visitant ces sites.

MAJ du 07/04/2021 à 18:00 : ajout du fait que la directive ePrivacy a été introduite initialement en 2002, puis amendée en 2009.

MAJ du 09/04/2021 à 09:30 : le site de la ville de Strasbourg a été mis à jour et propose désormais à ses visiteurs de refuser les cookies.

Notes et références

  1. CNIL : Commission Nationale de l’Informatique et des Libertés (cnil.fr).
  2. La directive ePrivacy a été proposée initialement en 2002 (Directive 2002/58/EC), puis amendée en 2009 (Directive 2009/136/CE).
  3. La directive ePrivacy a été retranscrite dans l’article 82 de la loi Informatique et Libertés.
  4. Lignes directrices de la CNIL relatives aux cookies et autres traceurs : Délibération n° 2020-091 du 17 septembre 2020.
  5. Recommandations de la CNIL relatives aux cookies et autres traceurs : Délibération n° 2020-092 du 17 septembre 2020.
  6. Le fonctionnement des cookies est expliqué dans la vidéo « Que sont les cookies et comment peuvent-ils être utilisés pour vous espionner ».
  7. Les mécanismes concernés par la loi concernent toutes les technologies permettant de lire des informations de l’appareil de l’internaute ou de stocker des informations dans son appareil. On y retrouve notamment : la technologie « local Storage » permettant de stocker des informations dans le navigateur de l’internaute, les techniques de « fingerprinting » permettant d’identifier l’internaute à partir des caractéristiques de son appareil, l’identification matérielle basée, par exemple, sur l’adresse MAC, l’identification logicielle fournie par les systèmes d’exploitation (source : Délibération n° 2020-091 du 17 septembre 2020, article 1).
  8. Les traceurs exemptés de consentement sont notamment : ceux permettant de stocker le consentement des internautes, ceux utilisés pour l’authentification, ceux permettant le fonctionnement du panier d’un site marchand, ceux utilisés pour personnaliser l’interface, et ceux utilisés exclusivement pour mesurer l’audience d’un site, sous certaines conditions (Délibération n° 2020-091 du 17 septembre 2020, article 5).
  9. Certains outils de mesure d’audience sont exemptés de consentement (source : cnil.fr).
  10. Le Comité Européen de la Protection des Données indique que les Cookie Walls sont contraires au RGPD (Lignes directrices 5/2020 sur le consentement au sens du règlement (UE) 2016/679, page 13.
  11. Comité Européen de la Protection des Données ou European Data Protection Board : edpb.europa.eu.
  12. Les organismes ayant oeuvré contre l’interdiction des Cookies Walls sont : l’Association des Agences-conseils en communication, de la Fédération du E-commerce et de la Vente À Distance (FEVAD), du groupement des éditeurs de contenus et services en ligne (GESTE), de la société Interactive Advertising France (IAB France), de la société Mobile Marketing Association France (MMA France), du Syndicat National Communication directe de la Data à la logistique (SNCD), du Syndicat des Régies Internet (SRI), de l’Union Des Entreprises de Conseil et d’Achat Média (udecam) et de l’Union des marques (Conseil d’État, 19/06/2020, 434684).
  13. La CNIL indique que « la licéité du recours à un cookie wall doit être appréciée au cas par cas » (source : cnil.fr).
  14. La disposition et la nature des éléments affichés à l’écran de l’utilisateur sont très importants, car ils peuvent fortement altérer la perception de la page et influencer le choix de l’internaute. La CNIL a notamment permis, dans ses recommandations, que le bouton de refus ne soit pas au même niveau que le bouton d’acceptation, ce que certains considèrent comme un dark pattern, un terme utilisé pour décrire une disposition susceptible de tromper l’utilisateur.
  15. La CNIL a indiqué avoir envoyé des e-mails et des courriers aux organismes privés et publics pour les sensibiliser (source : cnil.fr).
  16. Facebook reçoit une amende de cinq milliards de dollars de la Federal Trade Commission (FTC) suite au scandale Cambridge Analytica (source : ftc.gov, en anglais).
  17. La CNIL sanctionne Amazon et Google pour utilisation abusive de cookies. Voir « Amazon et Google épinglés par la CNIL pour utilisation abusive de cookies ».
  18. La Société Générale a déclaré un résultat net de 3,248 milliards en 2019 et 4,121 milliards en 2018 (source : societegenerale.com).
  19. La société N26 Bank indique dans sa politique de confidentialité que des traceurs de treize entreprises sont utilisés : Facebook, Google Adwords, Awin, Bing, financeAds, HasOffers, Impact Radius, LinkedIn, Mediamath, Outbrain, Snapchat, Taboola et Twitter​ (source : n26.com).
  20. Le siège du Parlement Européen est à Strasbourg, mais également à Bruxelles, et beaucoup militent pour un siège unique à Bruxelles, privant ainsi Strasbourg de ses instituations européennes (source : wikipedia.org).
  21. Critéo, spécialiste du cibable publicitaire, est soutenue financièrement par BpiFrance, qui la qualifie de pépite (source : bpifrance.fr).