Consentement, bannière, finalités... Ce qui va changer au 1er avril en matière de cookies publicitaires

Les cookies sont l'une des trois thématiques prioritaires de la Commission nationale de l'informatique et des libertés (Cnil) pour l'année 2021. A ce titre, elle va mener des contrôles afin de vérifier que tous les sites internet sont conformes à sa nouvelle doctrine, présentée il y a un an, et qui va rentrer en application le 1er avril 2021.

Ce nouveau cadre marque "un tournant tant pour le secteur de la publicité en ligne que pour les internautes, qui pourront désormais exercer un meilleur contrôle sur les traceurs en ligne", d'après la Cnil. En effet, les cookies publicitaires sont directement liés à la protection de la vie privée des personnes, un thème qui monte en puissance depuis plusieurs années en particulier depuis l'arrivée du Règlement général sur la protection des données (RGPD).

Un consentement univoque de l'internaute
L'un des principaux changements est le fait que la poursuite de la navigation ne peut être considérée comme un consentement valable au dépôt de cookies. Le consentement doit se matérialiser par un "acte positif clair", tel qu'un clic sur un bouton "tout accepter". La Cnil n'a pas toujours eu la même interprétation de cette règle. Sous le régime antérieur au RGPD, elle considérait que sous certaines conditions, la poursuite de la navigation permettait à l'internaute d'exprimer son consentement.

Pour rappel, un cookie est un fichier informatique stocké par un serveur sur le terminal (ordinateur, téléphone, tablette) d'un utilisateur et associé à un domaine web. Il est automatiquement renvoyé lors de contacts ultérieurs avec le même domaine. Il peut servir à mémoriser l'identifiant client auprès d'un site marchand, le contenu d'un panier d'achat, ou un identifiant pour tracer la navigation à des fins publicitaires ou statistiques… Les informations collectées peuvent parfois être "sensibles" puisqu'elles peuvent contribuer à révéler les habitudes de vie d'un internaute (orientation sexuelle, opinion politique, état de santé…).

Quatre catégories de cookies
En pratique, il existe quatre types de cookies, d'après la classification de la Cnil, autorité de référence en la matière. Il est important de les distinguer car ils ne sont pas tous régis par les mêmes normes.

Les premiers, les cookies dits "nécessaires", permettent d'enregistrer des informations entre deux consultations d'un même site web sur un même appareil. Ils permettent d'enregistrer des identifiants de connexion, de garder en mémoire les préférences de présentation du site, ou de se rappeler du contenu d'un panier d'achat… Ils ne requièrent pas de consentement de la part de l'utilisateur car ils sont considérés comme nécessaires à la fourniture d'un service.

Les cookies dits "statistiques" permettent de suivre les actions d'un internaute sur un site web. Si les statistiques ne permettent pas d'identifier la personne concernée, le consentement n'est alors pas nécessaire. Les cookies "first-party" ou "internes" sont déposés par le site consulté. Ils peuvent être déposés en plus des cookies nécessaires et être utilisés pour collecter des données personnelles, suivre le comportement de l’utilisateur et servir à des finalités publicitaires.

Les cookies "third party" ou "tiers" sont tous les cookies qui ne sont pas générés par l'opérateur du site mais par un tiers utilisant des publicités. Ils sont déposés par ou pour un site B, une régie publicitaire le plus souvent, sur un site A. Cela permet au site B de voir quelles pages ont été visitées sur le site A par un utilisateur et de collecter des informations sur lui. C'est un puissant outil marketing pour la publicité ciblée, car il permet de suivre l'activité de l'utilisateur sur de très nombreux sites différents.

Les cookies, l'oeuvre de netscape
L'histoire des cookies remonte aux années 90. Ils étaient déjà utilisés en informatique mais ce sont Lou Montulli et John Giannandre, employés de l'entreprise américaine Netscape Communications (rachetée en 1998 par AOL puis dissoute en 2003), qui ont eu l'idée de les appliquer aux communications web. Ils tentaient alors de répondre à la problématique suivante : comment garder la trace des différents éléments qu'un client qui navigue sur le web à ajouter à son panier d'achat ?

Après avoir été implémentés dans Netscape Navigator 0.9 beta en 1994, les cookies ont été intégrés dans Internet Explorer en octobre 1995. A cette époque, les internautes n'étaient pas informés de leur présence car les cookies étaient acceptés par défaut dans les paramètres des navigateurs.

C'est en 1996 que l'existence des cookies a été révélée pour la première fois au grand public dans un article du Financial Times. La Federal Trade Commission (FTC), en charge de l'application du droit de la consommation et du contrôle des pratiques antitrust aux Etats-Unis, s'était emparée du sujet à la suite des vives réactions liées au risque d'intrusion dans la vie privée. Mais aucune règle n'a été édictée à l'époque, ce qui a permis aux cookies de se déployer rapidement et facilement. Ils étaient encadrés a minima par les standards de l'Internet Engineering Task Force (IETF), organisation qui élabore et promeut des standards Internet.

La directive ePrivacy pose un premier cadre
En Europe, il faut attendre la directive "ePrivacy" sur la vie privée et les communications électroniques de 2002, modifiée en 2009, pour que les cookies soient encadrés par des règles. Ce texte pose le principe d'un consentement préalable de l'utilisateur avant le stockage d'informations sur son terminal ou l'accès à des informations déjà stockées sur celui-ci.

Cette obligation ne s'appliquait pas si ces actions sont strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l'utilisateur ou ayant pour finalité exclusive de permettre ou faciliter une communication par voie électronique. Ces règles ont été transposées dans l'article 82 de la loi Informatique et libertés.

Puis, le RGPD a apporté des précisions sur la notion de consentement défini comme "toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement". En d'autres termes, cela signifiait que la poursuite de la navigation ne pouvait pas être qualifiée de "consentement" au sens de ce texte.

Le RGPD renforce la notion de consentement
Pour épauler les acteurs de la publicité en ligne dans ce tournant, la Cnil a adopté une délibération le 4 juillet 2019 dans laquelle elle prévoyait une période transitoire de 12 mois durant laquelle "la poursuite de la navigation comme expression du consentement sera considérée comme acceptable". Un délai beaucoup trop long, d'après La Quadrature du Net et CaliOpen, qui avaient attaqué cette délibération devant le Conseil d'Etat. Les deux associations estimaient que la Cnil était trop complaisante avec les acteurs de la publicité, qui avaient déjà eu deux ans pour s'adapter à la nouvelle réglementation.

Ces arguments ont été balayés par le juge administratif dans une décision rendue le 16 octobre 2019. Il estimait que ce délai poursuivait un objectif louable, celui "d'accompagner les acteurs concernés confrontés à la nécessité de définir de nouvelles modalités pratiques de recueil du consentement susceptibles d'apporter, sur le plan technique, les garanties qu'exige l'état de droit en vigueur, dans la réalisation de l'objectif d'une complète mise en conformité de l'ensemble des acteurs à l'horizon de l'été 2020".

Les cookies walls ne peuvent pas être totalement bannis
Ce ne fut pas le seul litige sur la mise en œuvre des règles liées aux cookies. Des associations professionnelles des médias, de la publicité et du commerce en ligne, telles que l'IAB, le Syndicat des régies Internet ou le Geste estimaient que les sites respectaient la législation en vigueur lorsqu'ils refusaient d'afficher leurs contenus quand l'internaute n'autorisait pas le dépôt de cookies sur son terminal.

Si elles défendaient cette lecture du RGPD divergente de celle de la Cnil, c'est que le visionnage d'une publicité est la contrepartie de l'accès à un contenu gratuit pour ces organismes. En juin 2020, le Conseil d'Etat tranche que la Commission ne peut pas interdire totalement les cookies walls et doit donc revoir ses lignes directrices.

Il faut attendre le 1er octobre 2020 pour que la Commission publie la version définitive de ses lignes directrices et une recommandation qui, "sans être prescriptive", joue le rôle de "guide" pour éclairer les acteurs. Désormais, la simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l'internaute à l'utilisation de traceurs.

"Un acte positif clair"
Les internautes doivent donc consentir à ce dépôt par un "acte positif clair", comme le fait de cliquer sur le bouton "j'accepte" dans une bannière. Un site ne peut pas renvoyer au paramétrage du navigateur pour collecter le consentement de l'utilisateur, précise la Commission.

En pratique, la Cnil conseille que cette interface ne comprenne pas seulement un bouton "tout accepter" mais aussi un bouton "tout refuser". Par ailleurs, l'internaute doit pouvoir retirer son consentement facilement et à tout moment. Car refuser les traceurs doit être aussi aisé que de les accepter.

Elle suggère également que les sites internet, qui généralement conservent pendant une certaine durée le consentement aux traceurs, conservent également le refus des internautes pendant une certaine période afin de ne pas réinterroger l’internaute à chacune de ses visites.

Concernant l'information des internautes, la Cnil indique qu'ils doivent être informés des finalités des traceurs avant de consentir et des conséquences qui s'attachent à une acceptation ou un refus du traceur. Ils doivent également être informés de l'identité de tous les acteurs utilisant des traceurs. Côté professionnel, les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement.

Un design qui ne doit pas être trompeur
La Commission note que le design de l'interface de recueil des choix est laissé à la libre appréciation de l'éditeur sous réserve qu'il ne cherche pas à tromper l'utilisateur ou à rendre plus complexe le fait de refuser les traceurs que d'y consentir.

Enfin, en réponse à l'arrêt du Conseil d'Etat, la Cnil a revu sa position sur les "cookie walls", pratique qui consiste à bloquer l'accès à un site internet pour l'utilisateur qui ne donnerait pas son consentement. "La mise en œuvre d’un cookie wall est susceptible (…) de porter atteinte à la liberté du consentement", insiste l'autorité. Mais la licéité du recours à un cookie wall doit désormais être appréciée au cas par cas. Cette pratique n'est plus interdite par principe.

certains cookies sont exemptés
Certains types de cookies sont exemptés de ces obligations. Les traceurs de mesure d'audience, qui permet de générer des statistiques de fréquentation ou de performance, rentrent dans cette case sous certaines conditions. En effet, ils doivent avoir une finalité strictement limitée à la seule mesure de l'audience du site ou de l'application pour le compte exclusif de l'éditeur et doivent uniquement servir à produire des données statistiques anonymes.

Sont également exemptés les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues, les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) et ceux destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer à l’utilisateur le ou les produits et/ou services achetés.

Début mars 2021, la Commission a lancé un programme pour identifier les solutions rentrant dans le périmètre de l'exemption au recueil du consentement. Elle publiera prochainement une liste de solutions.

La fin des cookies tiers, le début d'une nouvelle ère ?
Mais la saga des cookies ne s'arrête pas pour autant. "Les nouvelles lignes directrices de la Cnil ne sont qu'une étape. Car la question qui se pose réellement est celle d'un monde sans cookies", analyse Grégoire Hanquier, directeur juridique sein de Data Legal Drive, une entreprise éditrice d'un logiciel SaaS de mise en conformité avec le RGPD, sollicité par L'Usine Digitale.

C'est une voie envisagée par Google pour qui le futur de la publicité en ligne sera sans ce type de traceur publicitaire. A ce titre, il a annoncé en janvier 2020 la fin des cookies tiers dans son navigateur Chrome, leader du marché, d'ici 2022. Une annonce qui n'est pas passée inaperçue pour les acteurs du secteur. A la suite de cette annonce, Criteo a vu le cours de son action en bourse chuter de 15,9%. Rien de surprenant car la société française s'est fait un nom en tant que spécialiste du "dynamic retargeting", branche du marketing publicitaire qui repose sur l'utilisation exclusive des cookies tiers.

Google planche sur des alternatives...
"Demain, ce régime juridique va peut-être disparaitre car les acteurs réfléchissent à d'autres manières de pouvoir récolter de l'information", ajoute Grégoire Hanquier. Dans le cadre de son programme "Sandbox Privacy", la firme de Mountain View travaille sur la méthode des "Federated Learning of Cohorts" (Floc). Il s'agit de proposer aux annonceurs des segments d'audience établis par Chrome, via des algorithmes, en fonction des habitudes de navigation des internautes.

"Plutôt que dans être dans une logique de collecte individualisée du consentement auprès de chaque site, l'internaute donne son consentement définitif à travers son navigateur, détaille le directeur juridique. En réalité, c'est un vieux serpent de mer." C'est d'ailleurs une hypothèse prévue dans le California Consumer Privacy Act (CCPA), le pendant californien du RGPD.

...qui inquiètent les autorités
Mais les autorités s'inquiètent des projets de Google. La Competition and Markets Authority (CMA), l'équivalent de l'Autorité de la concurrence au Royaume-Uni, a d'ailleurs décidé d'ouvrir une enquête pour s'assurer que cette nouvelle politique n'entraîne pas "une concentration encore plus grande des dépenses publicitaires sur l'écosystème de Google au détriment de ses concurrents". La procédure est toujours en cours.

Le ministère de la Justice américain (DoJ) est également en train d'enquêter sur le comportement du géant américain, mais aucune procédure n'a encore été ouverte officiellement.

Une question débattue au niveau européen
En Europe, la question des alternatives aux classiques cookies fait l'objet de débats dans le cadre du projet de règlement "ePrivacy", censé dépoussiérer la directive de 2002. Alors que le texte était bloqué depuis 2017 en raison de nombreuses divergences, les Etats membres se sont finalement accordés et ont présenté un projet final le 10 février 2021. Le Parlement européen et le Conseil européen doivent désormais s'emparer du sujet.

Sélectionné pour vous

Le gouvernement dévoile son projet de loi pour encadrer les influenceurs

La Cnil autrichienne juge illégaux les outils de pistage publicitaire de Meta

Google accusé de détruire des discussions internes concernant son procès antitrust aux Etats-Unis