Publié le 14 janv. 2020 à 6:00 Mis à jour le 5 févr. 2020 à 12:35

Ses recommandations sont attendues par beaucoup de professionnels de la publicité en ligne et d'associations de défense des internautes. Après six mois de concertation, la CNIL publie ce mardi un projet de document précisant, avec de nombreux exemples illustrés, ses attentes en matière de recueil du consentement des internautes avant tout pistage en ligne.

« Sur ce sujet des cookies, la conformité des acteurs du numérique est très insuffisante », déclare aux « Echos » Marie-Laure Denis, la présidente de la CNIL, plus de dix-huit mois après l'entrée en application du règlement européen sur la protection des données personnelles (RGPD).

Mais pour le gendarme français des libertés sur Internet, il était nécessaire de préciser son interprétation de ce texte avant de prononcer les lourdes amendes qu'il prévoit (jusqu'à 4 % du chiffre d'affaires de l'entreprise prise en faute).

Conseils pratiques

Le régulateur avait déjà précisé sa doctrine en juillet dernier, notant que la poursuite de la navigation sur un site Web ou une application mobile ne vaut pas consentement si l'internaute n'a pas cliqué sur un bouton pour accepter le recueil de ses données personnelles.

Cette fois, la CNIL fait connaître ses conseils pratiques pour un marché qui pèse 2 milliards d'euros en France - en précisant également les traceurs exemptés - depuis ceux qui servent à la mesure d'audience à ceux qui permettent d'enregistrer un panier d'achat, par exemple.

Pour les autres cookies, notamment publicitaires, « il doit être aussi facile d'accepter que de refuser un cookie, ce qui n'est souvent pas le cas aujourd'hui », souligne Marie-Laure Denis, « le design des interfaces doit refléter cette symétrie ». La présidente ne veut plus voir de gros bouton « Accepter » en vert flashy, flanqué d'un tout petit sigle grisé pour « régler les paramètres », en lieu et place d'un bouton « Refuser ».

Et elle insiste pour que la durée de validité d'un refus ou d'une acceptation soit la même, celles-ci étant limitées dans le temps par les sites. A ce titre, la CNIL propose une durée indicative de six mois. Ne pas choisir doit également rester une option, libre au site concerné de représenter la bannière de choix aussi fréquemment que nécessaire.

Concernant les géants comme Google ou Facebook, Marie-Laure Denis rappelle que « ce sont les mêmes règles pour tous, que l'on soit dans un univers logué [où l'utilisateur est authentifié] ou pas. L'acceptation en bloc des conditions générales d'utilisation ne vaut pas consentement ».

Concertations tendues

La CNIL recommande ainsi aux sites Web et applications mobiles d'afficher des boutons « Accepter » et « Refuser » les cookies de même taille. Elle encourage à rendre accessible une liste à jour des partenaires susceptibles de déposer et d'utiliser des traceurs. En plein débat sur la directive ePrivacy à Bruxelles, la CNIL défend également l'idée d'un recueil du consentement au niveau du navigateur, plutôt que site par site.

Après six mois de concertation tendue - les professionnels du secteur et les représentants de la société civile (La Quadrature du Net, Unaf et UFC-Que Choisir) se sont réunis séparément avec la CNIL et les deux camps ont déposé des recours au Conseil d'Etat pour des raisons opposées -, ces recommandations vont maintenant faire l'objet d'une consultation publique pendant six semaines, sur le site Web de la CNIL, avant une publication officielle attendue au printemps.

Impact économique

La grande crainte du monde de la publicité en ligne est qu'un durcissement des conditions de recueil du consentement ne se traduise par une baisse du nombre d'internautes partageant leurs informations personnelles. Et, in fine, à une perte d'efficacité des publicités ciblées vendues plus cher que la réclame non personnalisée.

« Je ne nie pas qu'il pourrait y avoir un impact économique », admet Marie-Laure Denis. Mais la CNIL juge impossible de l'estimer. « Cela dépendra des effets de vases communicants entre publicités ciblées et non ciblées, complète Gwendal Le Grand, le secrétaire général adjoint de la CNIL, la publicité non intrusive pourrait prendre de la valeur. »

Quelle que soit la réaction des professionnels à ce nouveau document, ils auront profité d'une longue période de clémence décriée par les défenseurs de la vie privée comme La Quadrature du Net. La CNIL devrait tenir compte des nouvelles recommandations dans ses contrôles à partir de l'automne prochain. Trois mois de plus que ce qui était prévu l'été dernier. « Il est temps d'appliquer les textes, reconnaît Marie-Laure Denis. Le RGPD est connu depuis 2016, et est applicable depuis mai 2018. »