En attaquant Cdiscount, Allociné et Vanity Fair, l’association None Of Your Business (NOYB) n’arrange pas le monde de la pub en ligne. L'organisation fondée par l’autrichien Max Schrems a mis en cause ces sites auprès de la Commission nationale informatique et libertés (Cnil) le 10 décembre. Elle leur reproche de dévoyer le consentement des internautes. Depuis la mise en place du RGPD, les éditeurs qui collectent de la donnée doivent obtenir le consentement explicite des internautes avant de déposer un cookie, et le gérer pour le transmettre à tous les acteurs de la chaîne. Ils utilisent pour cela des CMP (consent management platform).
Or, fin novembre, l’Institut national de recherche en informatique et en automatique (Inria) a rendu public un rapport affirmant qu’après avoir analysé 22 949 sites web européens, « 175 enregistrait un consentement positif quand l’utilisateur n’avait pas fait son choix, 236 sites pré-selectionnent des options et orientent le choix des utilisateurs, et 39 enregistrent un consentement positif, quand celui-ci a explicitement dit non ». C’est ce dernier point qui a fait tiquer NOYB puisque c’est exactement ce que reproche l’association à Cdiscount, Allociné et Vanity Fair. Massivement reprise dans la presse, l’information est mal tombée, alors même que la Cnil est en pleine réflexion pour exposer au premier trimestre 2020 les modalités pratiques de recueil du consentement des internautes. « Clairement, cela ne va pas aider l’écosystème qui veut prouver à la Cnil qu’il peut s’autoréguler », indique un expert du secteur.
Publicitaire, mais pas vraiment
Médiatiquement, l’affaire est pliée, mais la réalité est plus compliquée. Cdiscount a reconnu le problème, et invoqué un mauvais réglage de sa solution de CMP, Evidon. Selon nos informations, cette CMP américaine pourrait d’ailleurs soulever un problème de conformité au RGPD, alors même qu’elle est recommandée par la Cnil. Chez Webedia, éditeur d’Allociné et disposant d’une CMP propriétaire, le problème est autre. Parmi les griefs reprochés, plusieurs erreurs d’interprétation et un dépôt de cookie indu – un cookie d’AppNexus – pour lequel Webedia plaide coupable, mais il n’est pas là à des fins publicitaires. « La présence du cookie d’AppNexus au sein du navigateur de l'utilisateur n'est pas liée à la chaîne d'appels publicitaires ni à un non-respect d’AppNexus du consentement des internautes », indique la société. Webedia évoque une opération technique de cookie-matching pour une opération de mesure d’audience. Une opération non publicitaire, réalisée via un outil... publicitaire. L’erreur a depuis été corrigée.
« Même avec la meilleure volonté du monde, le sujet est soumis à des erreurs. C’est un environnement très complexe », explique Merav Griguer, avocate spécialisée pour le cabinet Bird & Bird. Le “consentement explicite et éclairé” tel que défini par le RGPD n’est pas un concept juridique figé. Il n’est pas écrit, et doit être déduit de différents comportements. L’autorité doit aider les entreprises à se mettre en conformité, car certaines ont déployé des efforts colossaux pour bien faire. » On comprend que le rapport de la Cnil soit très attendu.
