Le gendarme français des données personnelles a publié mardi 14 janvier un projet de recommandation portant sur les modalités du consentement à la publicité ciblée sur internet, et prévoit le début des contrôles à l'automne. Ce projet est désormais soumis à consultation publique jusqu'au 25 février.
Le texte définitif, prévu en mars, ne sera pas contraignant mais fixera un cadre de bonnes pratiques, a précisé la Commission nationale de l'informatique et des libertés (Cnil).
Cela suit la publication par le régulateur, en juillet, des lignes directrices qui prenaient en compte l'évolution de la législation européenne sur le sujet, notamment l'entrée en application du Règlement général sur la protection des données (RGPD) le 25 mai 2018.
S'en est suivie une période de concertation pendant laquelle les professionnels de la publicité en ligne et les associations de défense des usagers ont fait entendre leurs positions sur le sujet, accusant le régulateur de surinterpréter les règles européennes ou au contraire de repousser trop loin la date de début des sanctions ; finalement prévue à l'automne prochain, soit 6 mois après la sortie des recommandations définitives.
« La très grande majorité des sites web et des applications mobiles est concernée par ces questions de conformité, qu'ils soient édités par des acteurs publics ou privés », a analysé la Cnil.
Selon une étude de l'Ifop commandée pour l'occasion, les demandes d'autorisation figurant actuellement sur les sites ne sont pas jugées efficaces par 65% des personnes interrogées, qui acceptent donc des conditions qui ne leur conviennent pas.
Lire aussi : Un an de RGPD, vers une hygiène de la data
Dans son projet, la Cnil souhaite que l'interface de recueil du consentement offre la possibilité d'accepter ou de refuser le dépôt de traceurs avec le même degré de simplicité et sans utiliser de « pratiques de design potentiellement trompeuses » qui reviendraient à mettre plus en évidence le bouton « Accepter » que celui permettant de refuser le partage des données.
L'utilisateur ne devrait pas non plus subir de préjudice s'il refuse d'être tracé et doit être en mesure de retirer son consentement à tout moment.
Le régulateur rappelle aussi que le consentement n'est pas exigé lorsque le dépôt de traceurs est strictement nécessaire à la fourniture d'un service de communication en ligne, dont par exemple ceux destinés à l'authentification, à sauvegarder un panier d'achat, à mesurer l'audience, à limiter l'accès gratuit à un contenu payant (une pratique courante sur les sites d'actualité)... ou à conserver le choix de l'utilisateur sur le dépôt des traceurs.
La Cnil recommande enfin de ne pas recourir à des techniques de masquage de l'origine des traceurs, telles que la délégation de sous-domaine qui s'est récemment développé dans l'industrie.