Les mois de juillet et août 2019 ont été marqués par les débats relatifs à la nouvelle position de la CNIL en matière de publicité digitale et de prospection électronique.
Voici en quelques lignes, le résumé de ce qui s’est passé ainsi que ses conséquences immédiates.

Le cœur des débats : la publicité digitale et la prospection électronique.

La position de la CNIL en la matière était contenue dans une recommandation de 2013.

Le point le plus important de cette recommandation était celui-ci :
« (..) la Commission recommande une procédure de recueil du consentement en deux étapes :
Dans la première étape, l’internaute qui se rend sur le site d’un éditeur (page d’accueil ou page secondaire du site) doit être informé, par l’apparition d’un bandeau :
• des finalités précises des cookies utilisés ;
• de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau ;
• du fait que la poursuite de sa navigation vaut accord au dépôt de Cookies sur son terminal. ».

Les traceurs ou cookies sont des fichiers invisibles qui se greffent sur l’ordinateur, la tablette ou le portable à chaque visite d’un site internet, pour capter différents types de données personnelles. Certains sont fonctionnels et permettent par exemple de se souvenir de la langue utilisée, d’autres - les plus controversés - sont employés à des fins de ciblage publicitaire. Ils sont donc destinés à améliorer l’efficacité de la réclame ciblée sur les sites Internet.

La CNIL acceptait donc ce que l’on a appelé le « soft opt-in » (en réalité un « opt-out ») autrement dit la collecte du consentement par « poursuite de la navigation ».

La CNIL veut continuer à autoriser les sites Internet à tracer les internautes sans leur consentement.

Les questionnements des acteurs du secteur du marketing en ligne portent sur deux sujets centraux : la prospection commerciale et les cookies (et autres traceurs).

• Sur les problématiques relatives à la prospection commerciale (ou « opt-in partenaire ») : la CNIL a communiqué à plusieurs reprises les règles de droit applicables (lors de rencontres avec les représentants du secteur, sur son site web en décembre 2018). Elle a laissé aux acteurs une période de mise en conformité de 6 mois, qui est désormais terminée.

• Sur la problématique des cookies et autres traceurs : l’entrée en application du RGPD et les lignes directrices du Comité européen de protection des données sur le consentement sont venues renforcer les exigences en matière de consentement. Elles excluent explicitement que la poursuite de la navigation sur un site puisse constituer une expression valable du consentement. La recommandation de la CNIL de 2013 portant sur les cookies et autres traceurs, parce qu’elle permet le recueil du consentement via la simple poursuite de la navigation, n’est donc clairement plus en phase avec les règles applicables.

Sans attendre l’adoption du règlement ePrivacy, actuellement en cours de discussion et qui n’entrera pas en vigueur à court terme, la CNIL devait d’actualiser ses cadres de référence afin de les mettre en conformité avec le droit applicable. Cette mise à jour répond à un objectif de protection des personnes concernées et de sécurisation juridique pour les acteurs économiques.

La CNIL a mis en ligne son nouveau plan d’action en la matière le 28 juin 2019 :
• mai - juin 2019 : Actualisation des normes de la CNIL avec le RGPD (= mise à jour de sa recommandation de 2013 sur les cookies par la publication de nouvelles lignes directrices en la matière).
• juin - sept 2019 : Groupe de travail avec les acteurs concernés afin de tester la cohérence opérationnelle des lignes directrices. La CNIL va réunir les professionnels impactés : éditeurs de contenus, annonceurs, prestataires et intermédiaires de l’écosystème du marketing et représentants de la société civile. Objectif : échanger concrètement sur le recueil du consentement.
• novembre 2019 : Bilan des travaux.
• fin 2019 - début 2020 : Publication de nouvelles lignes directrices relatives aux cookies (et non plus une recommandation) (des lignes directrices ont plus de poids qu’une simple recommandation) et début d’une période de tolérance de six mois.
• juin - juillet 2020 : Fin de la période de tolérance, les acteurs doivent se mettre en conformité avec les règles issues des nouvelles lignes directrices.

Une réunion du collège de la CNIL du 4 juillet 2019 a entériné cette position qui a été publiée au Journal Officiel français du 19 juillet 2019.

Les nouvelles lignes directrices de 2019.

Voici un résumé de ces nouvelles lignes directrices.

Une période d’adaptation, s’achevant six mois après la publication de la recommandation, est laissée aux acteurs du secteur de la publicité en ligne (Havas, Publicis, Criteo, Google, Facebook, Acxiom et les autres représentants de l’adtech) afin de leur donner le temps d’intégrer les nouvelles règles.

Les principales nouveautés des lignes directrices de juillet 2019 (qui abrogent la recommandation de 2013) sont de deux ordres :

1. De manière classique, avant tout dépôt de cookies, l’utilisateur doit avoir « préalablement manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair ». Ce qui implique que l’internaute doit pouvoir donner son consentement « de façon indépendante et spécifique pour chaque finalité distincte ». Les opérateurs devront donc pouvoir prouver avoir recueilli le consentement des utilisateurs. La simple poursuite de la navigation sur un site ne peut plus être regardée comme une expression valide du consentement au dépôt de cookies. La Cnil veut un « acte » des internautes pour prouver leur consentement à la collecte de leurs données personnelles. Informer les internautes de la présence de traceurs sur un site n’est pas suffisant, ils doivent effectuer une action pour montrer qu’ils acceptent la collecte de leurs données personnelles. Techniquement donc, les sites n’auront plus le droit de simplement vous servir un bouton « Tout accepter » comme seul et unique portail de validation. D’ailleurs selon ses nouvelles règles « il doit être aussi facile de refuser ou de retirer son consentement que de le donner » ;

2. L’utilisation des données opérées par la plateforme ou le site web devra être expliquée « en des termes simples et compréhensibles pour tous » et cela doit être présenté via des « des solutions conviviales et ergonomiques » ;

3. Il devra être possible d’identifier « l’ensemble des entités ayant recours à des traceurs avant de pouvoir y consentir. ». Une exception est faite pour les traceurs qui concernent la mesure d’audience. Il s’agit d’une anticipation sur le futur Règlement ePrivacy. De même, lorsque le traceur permet ou facilite la communication par voie électronique ou s’avère « strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur », l’éditeur peut s’exonérer de ces obligations de recueil du consentement.

Conformément au RGPD, le consentement n’est valable que si l’internaute « est en mesure d’exercer valablement son choix et ne subit pas d’inconvénients majeurs en cas d’absence ou de retrait du consentement ».

La façon dont est paramétrée le navigateur (avec les options de Do Not Track, ou de gestion de pistage) « ne peuvent, en l’état de la technique, permettre à l’utilisateur ou l’utilisatrice d’exprimer la manifestation d’un consentement valide. ». Un site web ne pourra donc pas se reposer sur ces critères pour modeler l’expérience de l’internaute. La CNIL juge en effet que ces paramètres sont trop obscurs pour le grand public et « ne permettant pas d’assurer un niveau suffisant d’information préalable des personnes ».

Sur son site web, la CNIL précise que :

1. Elle laissera aux acteurs une période transitoire de 12 mois jusqu’en juillet 2020, afin qu’ils aient le temps de se conformer aux principes qui divergent de la recommandation de 2013. Durant cette période de transition, la poursuite de la navigation comme expression du consentement sera donc considérée par la CNIL comme acceptable ;

2. Les lignes directrices de juillet 2019 «  seront complétées ultérieurement par des recommandations sectorielles ayant notamment vocation à préciser les modalités pratiques du recueil du consentement ». En parallèle de ces réunions avec les professionnels, la CNIL a annoncé qu’elle recevra à ce sujet des associations issues de consommateurs, à l’image de l’UFC-Que Choisir et de la Quadrature du Net. Les discussions à venir entre la CNIL et les associations professionnelles devront clarifier toute une série de détails sur l’affichage des formulaires de consentement.

Cette période d’adaptation n’empêchera pas la CNIL de contrôler pleinement le respect des autres obligations qui n’ont fait l’objet d’aucune modification et, le cas échéant, d’adopter des mesures correctrices pour protéger la vie privée des internautes. De plus, cela ne dispense pas pour autant l’éditeur de devoir respecter les autres obligations issues du RGPD (description des finalités, granularité des choix, moyens d’opposition facilement accessibles à l’utilisateur ….).

Critiques de la position de la CNIL.

La CNIL va donc attendre juillet 2020 pour commencer à sanctionner les sites internet qui déposent des cookies sans respecter les nouvelles conditions du RGPD pour obtenir le consentement.

Pourtant, les nouvelles conditions du RGPD sont une des avancées majeures du texte : y renoncer revient à le vider de sa substance. Depuis l’entrée en application du RGPD le 25 mai 2018, le consentement de la personne concernée ne peut plus être « déduit » du simple fait qu’elle ait été informée par le classique « bandeau cookie » et que la personne concernée n’ait pas pris les mesures techniques nécessaires pour empêcher le dépôt desdits traceurs.

Depuis l’entrée en application du RGPD, le silence ne vaut plus acceptation.

Désormais, tant que la personne concernée n’ait pas cliqué explicitement sur un bouton « j’accepte », il est strictement interdit de la pister et de réaliser des profits sur ses données personnelles (précisons au passage que le consentement ne doit pas seulement être « explicite » mais aussi « libre » : un bouton « je refuse » doit être proposé et le site doit rester accessible même si la personne concernée n’a pas cliqué sur « j’accepte »).

En droit, les choses semblent donc claires : il n’existe aucune possibilité laissée à la CNIL pour repousser jusqu’à juillet 2020 l’application du RGPD. Ce texte européen, adopté en 2016, prévoyait déjà une « période de transition », qui a entièrement pris fin le 25 mai 2018. La décision que la CNIL viole de plein front le droit européen et pourrait justifier un recours en manquement contre la France par la Commission européenne.

Le comité européen de la protection des données, dans ses lignes directrices sur le consentement, est venu lui aussi explicitement exclure la poursuite de la navigation sur un site ou une application mobile comme expression valable du consentement.

La réaction de la Quadrature du Net.

La Quadrature du Net est une association de défense des libertés individuelles sur Internet . Elle a décidé d’attaquer, fin juillet 2019, cette décision devant le Conseil d’État. L’association a déposé devant le Conseil d’État, avec l’association Caliopen, un recours contre la décision de la CNIL d’autoriser la « poursuite de la navigation » comme mode d’expression du consentement en matière de cookies et de traceurs en ligne jusqu’à mi-2020.

Décision provisoire du Conseil d’Etat.

Le Conseil d’État a rejeté la requête des associations, au motif que :
« (..) l’examen de la requête tendant à l’annulation de la décision attaquée sera inscrit au rôle d’une séance de jugement du Conseil d’Etat le 30 septembre 2019. Cette décision se borne à maintenir pour une période limitée la position exprimée par la CNIL dans ses lignes directrices de 2013. A supposer qu’elle ait également pour effet d’inciter, ainsi qu’il est soutenu, les opérateurs concernés à différer temporairement la mise en conformité des modalités de recueil du consentement de leurs utilisateurs au sujet des opérations de lecture ou d’écriture dans leur terminal, il n’apparaît pas que cette décision aurait pour conséquence, d’ici à la date rapprochée de l’audience, de porter aux intérêts que les requérants entendent défendre ou à l’intérêt public une atteinte de nature à regarder la condition d’urgence, requise par l’article L. 521-1 du code de justice administrative pour justifier sa suspens10n immédiate, comme satisfaite. ».

La décision finale du Conseil d’État sera particulièrement importante. Nous y reviendrons certainement !

Axel Beelen Juriste et webmaster du site www.ipnews.be