Le gendarme français des données personnelles, la Cnil, a publié jeudi 1er octobre sa «recommandation» sur le consentement à la publicité ciblée et l'utilisation des cookies : les sites internet ont six mois pour s'adapter avant les premières sanctions.
La Cnil rappelle, dans un communiqué, deux règles simples. Il y a d'abord un devoir d'informer de façon claire et synthétique sur la nature du ciblage : «publicité personnalisée ou non, publicité géolocalisée, personnalisation du contenu ou encore partage d’information avec les réseaux sociaux».
Elle rappelle ensuite qu'il doit être aussi simple de refuser les traceurs de publicité que de les accepter, conformément à un jugement du Conseil d'État du 19 juin 2020. « La Cnil estime donc que lorsqu’un seul clic est requis pour "accepter les cookies" tandis que plusieurs actions sont nécessaires pour paramétrer un refus, il y a un risque que l’internaute, qui souhaite généralement accéder rapidement au site, soit influencé», poursuit le communiqué.
L'institution demande, en tant que «régulateur», aux acteurs concernés de respecter ces règles dans un délai qui court jusque fin mars 2021. «Les professionnels et les éditeurs de sites internet doivent donc s’interroger : l’internaute peut-il, en quelques mots simples, comprendre à quoi servent les traceurs publicitaires avant de cliquer sur "accepter" ? Peut-il refuser facilement ou doit-il passer par un paramétrage complexe et donc dissuasif ?», conclut le communiqué.
Adaptation au RGPD
«Cela va avoir un impact visible dans le quotidien numérique des Français. (...) On attend une évolution des interfaces» de recueil du consentement, a déclaré à l'AFP Gwendal Le Grand, secrétaire général adjoint de l'autorité. La nouvelle recommandation de la Cnil n'est pas contraignante, mais présente une manière adéquate de mettre en œuvre ses lignes directrices sur les cookies et autres traceurs.
Adoptées en 2019 pour se conformer au Règlement général sur la protection des données (RGPD), ces règles déterminent comment un éditeur de site peut obtenir un consentement valide à partir des «bandeaux cookies», devenus omniprésents sur le web mais souvent formulés de façon à inciter l'internaute à accepter le ciblage publicitaire. Généralement, le ciblage d'un internaute passe par le dépôt sur son navigateur d'un certain nombre de traceurs, dont des cookies publicitaires, mouchards numériques permettant d'identifier ses centres d'intérêt.
En plus d'informer sur la finalité de l'utilisation des traceurs, l'éditeur d'un site devra donc désormais permettre de refuser leur dépôt aussi facilement qu'il propose de l'accepter. Concrètement, la Cnil recommande l'utilisation d'un bouton «Refuser tout» avec le même habillage graphique que «Tout accepter». La simple poursuite de la navigation ne sera plus considérée comme un consentement mais comme un refus des traceurs. Enfin, ce refus devra être conservé pendant une certaine durée (la recommandation suggère six mois).
Caractère licite des dispositifs
«La Cnil ne remet pas en cause que certains sites puissent se rémunérer avec la publicité sur internet. (...) L'objectif avant tout, c'est d'accroître la transparence (sur l'utilisation des données personnelles) et la liberté de choix des internautes», a expliqué Gwendal Le Grand. «Les mêmes règles s'appliquent aux géants de l'internet dès lors qu'ils ont recours à des traceurs», a-t-il ajouté.
Initialement prévue début avril, cette publication avait été repoussée en raison de la crise sanitaire et dans l'attente d'une décision du Conseil d'État, qui a entraîné un «ajustement» des «lignes directrices» sur la pratique dite des cookies wall, qui consiste à subordonner l'accès à un site internet à l'acceptation des traceurs.
Le régulateur appréciera désormais la «licéité» de ces systèmes «au cas par cas» (en prenant en compte par exemple l'existence d'alternatives), et les sites devront «clairement indiquer les conséquences» du refus du consentement.