Cookies et traceurs : dernière ligne droite pour la révision des pratiques avant les contrôles CNIL
Personne ne les voyait, mais ils sont déjà sur tous nos équipements : ordinateurs, smartphones, désormais télévisions ou véhicules connectés, consoles de jeux etc. Au cœur de l’écosystème de l’exploitation de la data, ils permettent de tracer notre navigation, sécuriser les réseaux (systèmes de captcha), mesurer l’audience, établir des profils personnalisés, proposer de la publicité ciblée et bien d’autres. Vous les avez reconnus, il s’agit des cookies et autres traceurs qui font désormais partie intégrante de notre quotidien.
Bien qu’invisibles, ces technologies de traçage passent de moins en moins inaperçues auprès des autorités de contrôle et des personnes concernées, qui expriment leurs préoccupations concernant leurs usages. Ainsi, la CNIL a démontré son action soutenue dans ce domaine au cours de ces deux dernières années : lignes directrices publiées en juillet 2019 et rectifiées en septembre 2020, consultation publique en janvier 2020, recommandation en septembre 2020, deux sanctions en novembre (contre une société dans la grande distribution et une banque du même groupe) et deux sanctions en décembre 2020 (contre un moteur de recherche d’une part, et un site d’e-commerce d’autre part), totalisant un cumul d’amende de 140 millions d’euros. Les éditeurs de sites web et applications mobiles doivent se mettre en conformité d’ici le 31 mars prochain.
Suite aux précisions apportées par la CNIL, il convient de distinguer deux catégories d’éditeurs de sites internet ou d’applications mobile déposant des cookies :
- En premier lieu, ceux qui ne se sont pas encore dotés d’un module de gestion du consentement (aussi appelé « Consent Management Platform » ou « CMP »). Pour cette catégorie d’éditeurs, il semble indispensable de s’équiper d’un tel outil, mais aussi de s’assurer, lors de son implémentation, que toutes les exigences juridiques prévues par les lignes directrices et la recommandation soient respectées ;
- En second lieu, ceux s’étant dotés d’un CMP, bien souvent standardisés et approuvés selon des spécifications publiées par des organismes privés (tel que le mécanisme Transparency & Consent Framework de l’IAB). Pour cette seconde catégorie d’éditeurs, il serait illusoire de penser que la seule mise en œuvre d’un CMP soit cependant suffisante pour respecter entièrement la réglementation.
En effet, les éditeurs de sites internet ont une possibilité de configuration de ces modules de gestion du consentement, et ne respectent pas nécessairement les règles en vigueur. A titre d’exemple, en naviguant sur divers sites web , Fidal a pu constater certains manquements manifestes (ce que semble confirmer la CNIL) - qui ont d’ailleurs déjà fait l’objet de sanctions dans les décisions précédemment citées - tels que :
- Une information qui ne semble pas tout à fait claire, précise ou complète ;
- L’absence d’un bouton « tout refuser » au même niveau qu’un bouton « tout accepter » ;
- Le dépôt de traceurs soumis à consentement malgré un refus explicite préalablement exprimé, dû à un dysfonctionnement du module de gestion du consentement ;
- Le dépôt de traceurs soumis à consentement avant toute action volontaire de la part de l’utilisateur ;
- L’absence d’un lien ou d’un bouton permettant le retrait du consentement à tout moment, après une première configuration.
Pour le contrôle de ces règles spécifiques, les moyens de la CNIL apparaissent de surcroît simplifiés et particulièrement efficaces. En effet, les agents de l’autorité ont la possibilité de vérifier les manquements à distance au travers de contrôles en ligne qui sont de plus en plus nombreux.
En conclusion, il est nécessaire d’identifier au plus vite, les éléments de non-conformité concernant la gestion des cookies et d’établir un plan d’actions correctives à mettre en œuvre dès maintenant.