Décidément, ce début d’année 2021 ne ressemble pas aux autres. Par une série de courriers d’observation pour la mise en conformité qu’elle vient d’adresser aux 100 acteurs les moins conformes de son observatoire des 1 000 sites français à plus forte audience, la CNIL a frappé fort et informé lesdits acteurs qu’ils ne respectaient pas les principes des lignes directrices et sa recommandation concernant l’usage des cookies et autres traceurs [1]. Hasard ou action concertée, à quelques jours d’intervalle le 10 février 2021, les représentants des 27 États membres s’accordaient sur un mandat de négociation en vue de la refonte du règlement e-privacy, bloqué depuis 2017.
L’épisode 1 "RGPD, la fête est finie ! (Episode 1) Cookies, Consentement et Prospection Commerciale, nous sommes tous concernés." est à lire ici

Ce qu’il faut retenir :
 Avec un envoi de courriers ciblés et personnalisés, massif et sans précédent, la présidente de la CNIL rappelle que le délai raisonnable de mise en conformité des acteurs aux lignes directrices modificatives relatives aux cookies et autres traceurs ne saurait dépasser six mois, soit jusqu’au 31 mars 2021.

 En s’appuyant sur des outils « maison » développés par son laboratoire, le LINC, la CNIL confirme qu’elle dispose désormais d’outils qui vont lui permettre d’agir massivement et rapidement.

 La CNIL s’engage à ne pas laisser perdurer des situations non-conformes et donne un signal fort aux 1 000 sites français à plus forte audience, qui orientent les pratiques de marché, en écrivant notamment : "la présence d’un bouton « Paramétrer » en complément du bouton « Tout accepter » tend, en pratique, à dissuader le refus et ne permet pas de se mettre en conformité avec les exigences posées par le RGPD.".

 La CNIL indique qu’elle prendra ses responsabilités en sanctionnant les acteurs non-conformes, même si pour certains d’entre eux la mise en conformité aura pour conséquence une remise en cause drastique de leur modèle économique, dans une période où crises économique et sanitaire risquent de cohabiter quelques temps.

 Cette remise en cause des pratiques sera d’autant plus profonde et durable, qu’en même temps, les 27 représentants des États membres de l’Union Européenne viennent de s’accorder le 10 février 2021 sur un mandat de négociation en vue de la refonte du règlement e-privacy, après 4 ans de blocage le temps de laisser aux organisations digérer l’entrée en application du RGPD.

 Le texte du communiqué de presse accompagnant cette annonce [2], le projet de règlement et la feuille de route de la refonte du règlement e-privacy, est sans ambiguïté : « Pour éviter la lassitude du consentement aux cookies, un utilisateur final pourra donner son consentement à l’utilisation de certains types de cookies en inscrivant sur une liste blanche un ou plusieurs fournisseurs dans ses paramètres de navigation. Les fournisseurs de logiciels seront encouragés à faire en sorte que les utilisateurs puissent facilement établir et modifier des listes blanches sur leurs navigateurs et retirer leur consentement à tout moment. ». Les navigateurs seront autorisés à bloquer les cookies et autres traceurs, à bon entendeur …

I - L’observatoire du LINC, un regard disruptif sur la « révolution numérique ».

Tout d’abord connaissez-vous le LINC ? Au sein de la DTI (Direction des technologies et de l’innovation) de la CNIL, le LINC (Laboratoire d’Innovation Numérique de la CNIL) est un dispositif de réflexion, d’information et de partage sur les tendances émergentes d’usage du numérique et des données ; de conduite de projets d’expérimentation et de prototypage d’outils, de services ou de concepts autour des données.

Le LINC propose un regard différent en mettant en avant les activités d’innovation de la CNIL qui, au-delà de son action de régulation, participe et catalyse des débats sur les enjeux reliant éthique, libertés, données et usages du numérique.

C’est aussi un espace de création de liens avec les acteurs – entreprise, institutions, associations et membres de la société civile – qui participent à la « révolution numérique ». La CNIL vue dans son miroir en quelque sorte.
Sur cet espace éditorial linc.cnil.fr, les équipes de la CNIL partagent leur veille, leurs réflexions et racontent leurs explorations de sujets émergents ainsi que leurs expérimentations.

En matière de Cookies et autres traceurs, le LINC a analysé les pratiques des 1 000 sites web à plus forte audience en France sur la base du top Alexa [3]

Comme à son habitude, le LINC a rendu publique son analyse et mis à disposition des éditeurs de sites les outils leur permettant de reproduire son analyse. Il a ensuite édité le 4 février 2021, les résultats de son analyse sous le titre un brin facétieux de « Observer les pratiques cachées du WEB ».

En réalisant automatiquement cette analyse depuis CookieViz, le LINC et, plus directement, la CNIL montrent qu’ils ont pris la mesure de la situation et développé des outils leurs permettant de mettre en place des actions de régulation à grande échelle.

Tout cela est réalisé en totale transparence avec les acteurs économiques : chacun peut télécharger l’outil Cookie Viz proposé par la CNIL pour identifier les cookies déposés lors de la visite d’un site. Concernant certaines catégories de cookies utilisés pour la mesure d’audience et qui peuvent, sous certaines conditions, être exemptés de consentement de l’utilisateur, la CNIL proposera, dans les semaines à venir des éléments complémentaires concernant les outils de mesure d’audience pouvant prétendre à l’exemption sous réserve d’un paramétrage conforme.

Elle illustre son propos d’exemples concrets, montrant notamment qu’un très grand nombre de tiers (jusqu’à 79) peuvent potentiellement avoir accès à vos informations de navigation, dont certains peuvent être en capacité de suivre votre navigation en ligne sur près de la moitié des sites web du top 1.000 français Alexa. Elle donne pour exemple le domaine google.com présent sur 42.86% des sites analysés, qui a déposé et lu les cookies suivants CONSENT, NID, _Host -GAPS, OTZ.

Cette étude montre enfin que ce suivi se déroule majoritairement pour des fins publicitaires et que finalement les grands gagnants sont toujours les mêmes, à savoir Google et Facebook.

Cette analyse permet de réaliser l’ampleur du traçage publicitaire auquel l’utilisateur est soumis. Si les cookies sont utilisés pour de multiples finalités, la finalité de ciblage publicitaire est présente pour une grande majorité des cookies déposés.

II - Le règlement européen « e-privacy », bloqué depuis 2017 au Conseil de l’UE, enfin débattu au Parlement européen.

Après 4 ans de blocage, pour laisser le temps aux organisations de digérer le RGPD, les États membres ont approuvé le 10 février 2021, lors d’une réunion du Conseil de l’Europe un mandat de négociation en vue de la révision des règles en matière de protection de la vie privée et de la confidentialité dans l’utilisation des services de communications électroniques. Ces règles actualisées "vie privée et communications électroniques" définiront les situations dans lesquelles les fournisseurs de services sont autorisés à traiter des données de communications électroniques ou à avoir accès à des données stockées sur les appareils des utilisateurs finaux.

L’utilisateur final devrait avoir véritablement la liberté de choisir s’il accepte ou non les cookies ou des identifiants similaires. Le fait de subordonner l’accès à un site web au consentement à l’utilisation de cookies à d’autres fins en tant que solution alternative à un verrou d’accès payant sera autorisé si l’utilisateur est en mesure de choisir entre cette offre et une offre équivalente du même fournisseur qui n’implique pas le consentement aux cookies.

Pour éviter la lassitude du consentement aux cookies, un utilisateur final pourra donner son consentement à l’utilisation de certains types de cookies en inscrivant sur une liste blanche un ou plusieurs fournisseurs dans ses paramètres de navigation. Les fournisseurs de logiciels seront encouragés à faire en sorte que les utilisateurs puissent facilement établir et modifier des listes blanches sur leurs navigateurs et retirer leur consentement à tout moment.

En tout cas, le projet de texte est en ligne [4], aux acteurs du lobbying de jouer…

III - A l’approche du 31 mars 2021, un envoi de courriers ciblés, massif et sans précédent.

Difficile d’imaginer la réaction des 100 acteurs et « heureux destinataires » des courriers ciblés et personnalisés du détail des manquements adressés fin janvier par la présidente de la CNIL. A n’en pas douter, certains ont découvert avec plus ou moins de bonheur que leur site faisait partie des 1 000 sites français à plus forte audience, et que leurs différents faits et gestes feraient désormais l’objet d’une surveillance particulièrement attentive de la CNIL.

Dans ce courrier, la présidente de la CNIL, avec cette tonalité qui est maintenant sa marque de fabrique, en profite pour présenter l’observatoire du LINC, ses principaux résultats et la méthodologie de l’observatoire, en leur donnant l’adresse afin que les « destinataires » ne puissent pas indiquer qu’ils n’étaient pas au courant et qu’ils ne disposaient pas des éléments nécessaires. [5]

En pratique, la présidente de la CNIL invite, plus particulièrement lesdits acteurs, à s’assurer des éléments suivants :
•"le bandeau cookies, apparaissant sur la page d’accueil de votre site web, doit détailler les finalités pour lesquelles ces cookies sont déposés sur les terminaux des utilisateurs. En effet, la seule présence d’informations générales telles que « Ce site utilise des cookies » ou « Des cookies sont utilisés pour améliorer l’efficacité des services qui vous sont proposés » ne permet pas de se mettre en conformité avec les exigences posées par les textes ;
• l’utilisateur doit pouvoir accepter ou refuser le dépôt et/ou la lecture des cookies avec le même degré de simplicité. A cet égard, la Commission a eu l’occasion de rappeler que l’intégration d’un bouton « tout refuser » sur le même niveau et sur le même format que le bouton « tout accepter » permettrait d’offrir un choix clair et simple à l’utilisateur. Il en va de même, par exemple, du fait d’offrir explicitement à l’utilisateur la possibilité de refuser les traceurs via la fermeture du bandeau cookies."

Mais surtout, elle écrit :
"En revanche, la présence d’un bouton « Paramétrer » en complément du bouton « Tout accepter » tend, en pratique, à dissuader le refus et ne permet pas de se mettre en conformité avec les exigences posées par le RGPD."

Ce paragraphe est essentiel, car il devrait mécaniquement conduire à un refus quasi systématique des cookies et autres traceurs par les utilisateurs.

Sur ces bases, la présidente indique qu’elle va procéder à des contrôles formels à compter du mois d’avril 2021. S’il était constaté que le consentement des internautes à l’utilisation de traceurs n’était pas valablement recueilli, un manquement à la loi « informatique et libertés » serait caractérisé. La CNIL se réserverait alors la possibilité de faire usage de l’ensemble de ses pouvoirs, y compris, de sanction.

A cet égard, elle invite vivement à procéder à un audit des traceurs utilisés sur votre site web afin, le cas échéant, de prendre les mesures nécessaires pour respecter la règlementation sur ce point.

Par ailleurs, concernant certaines catégories de cookies utilisés pour la mesure d’audience et qui peuvent, sous certaines conditions, être exemptés de consentement de l’utilisateur, la CNIL proposera, dans les semaines à venir, des éléments complémentaires concernant les outils de mesure d’audience pouvant prétendre à l’exemption sous réserve d’un paramétrage conforme.

Elle précise que le courrier, ne s’inscrit pas à ce stade dans le cadre d’une procédure formelle et n’appelle pas de réponse de la part des entreprises.

Enfin, la présidente ne manquant pas d’humour, elle conclue en indiquant que :
« Les services de la Commission ne sont pas en mesure d’accompagner individuellement l’ensemble des acteurs éditant un ou plusieurs sites web. Néanmoins, vous trouverez sur notre site de nombreux conseils pratiques permettant de vous conformer à ces nouvelles dispositions [6]. »

Décidément, et sans vouloir se répéter, la fête est finie !
A suivre...

Philippe Gabillault Expert en protection des données - certifié IAPP CIPP/E Ancien Directeur Juridique Co-Fondateur de Citizen Shield