Afin de se mettre en conformité avec la loi, la recommandation de la CNIL stipulait que les cookies publicitaires, les cookies des réseaux sociaux et certains cookies de mesure d’audience obtiennent l’aval de l’internaute avant d’être installés.
Les cookies techniques, notamment utilisés pour stocker le contenu d’un panier, authentifier un internaute ou encore identifier une session utilisateur, n’étaient pas concernés par cette mesure.
La CNIL a proposé aux éditeurs de recueillir le consentement de l’internaute en deux étapes :
- première étape : informer clairement l’internaute via un bandeau qui précise la finalité des cookies utilisés et la possibilité de s'y opposer (via un lien vers une page dédiée du site) ;
- seconde étape : informer l’internaute de « manière simple et lisible » des moyens mis à sa disposition pour accepter ou refuser tout ou partie des cookies.
Une manœuvre qui n’a sans doute pas été suffisante puisque l’année suivante la CNIL a entrepris de mener une première série d’enquêtes, amorçant le bras de fer entre les éditeurs de sites et l’autorité.
En avril dernier, la CNIL a présenté son rapport de l’année 2015 dans lequel elle a indiqué avoir effectué 501 contrôles dont 155 en ligne et 87 sur la vidéoprotection, qui ont abouti à 93 mises en demeure (dont 28 pour des contrôles effectués en ligne). Concernant les mises en demeure, 40 concernent la réglementation sur les cookies, tous sites confondus.
La question des cookies et autres traceurs qui opposent la CNIL aux éditeurs date donc de plusieurs années.
Cette fois-ci, l’autorité a décidé d’étendre ses contrôles au-delà des éditeurs de sites. Pour justifier cette décision, elle explique « qu’afin de tenir compte de la complexité et des évolutions de l’écosystème de la publicité en ligne, la CNIL engage des contrôles auprès des professionnels non éditeurs qui émettent des cookies. L’objectif étant de promouvoir une solution globale de conformité sur l’ensemble de la chaîne de la publicité en ligne »
La CNIL rappelle que le législateur européen a modifié les règles applicables aux « traceurs » en passant d’un principe de droit de « refus » (dit d’opposition) à un principe de consentement préalable conditionnant l’usage de ces traceurs (opt-in), dans l’optique de donner plus de maîtrise aux internautes sur leurs données.
La CNIL note que « le marché de la publicité en ligne s’est profondément métamorphosé au cours des trois dernières années, passant d’un ciblage massif de population par grandes catégories sociodémographiques au ciblage individualisé. La publicité ciblée nécessite une connaissance précise des préférences, comportements et liens sociaux des internautes qui se traduit par des techniques de traçage et une exploitation toujours plus fine des données par les intermédiaires de la chaîne de valeur ».
L’autorité rappelle le principe clé de l’aval de l’internaute concernant les cookies, précisant que l’accord doit être exprimé avant le dépôt de cookie, de façon libre et en connaissant la finalité des cookies déposés. De plus, cet accord étant révocable, la commission indique qu’un moyen simple doit être proposé aux utilisateurs pour supprimer les cookies déjà déposés ou tout simplement bloquer la lecture et le dépôt de nouveaux cookies.
Et quelle est la part de responsabilité des partenaires des éditeurs de sites ? La commission estime qu’en tant que responsables du traitement, les sociétés tierces ou les partenaires sont tenus de respecter la loi informatique et libertés, et notamment le principe du consentement préalable de l’internaute au dépôt du traceur recueillant ses informations. À défaut, d’un tel consentement, la collecte des données traitées par ces tiers est illicite.
« En pratique, cela signifie que la collecte des données par un cookie déposé avant l’acceptation de l’internaute (qui peut s’exprimer en déroulant la page visitée) est susceptible d’engager tant la responsabilité des éditeurs que celle des sociétés tierces, en accord avec le principe de coresponsabilité prévu par la législation européenne et rappelé par la CNIL dans sa recommandation du 5 décembre 2013 ».
La commission note que par ailleurs, les données collectées par l’intermédiaire des traceurs peuvent faire l’objet de plusieurs traitements par les différents partenaires comme :
- utiliser les informations collectées sur le comportement de navigation des internautes afin de constituer des profils ;
- prendre des décisions relatives aux publicités qui seront affichées en fonction de ce profil ;
- définir des algorithmes permettant de réaliser le profilage.
Aussi, la commission envisage une mise en conformité qui va viser l'ensemble de la chaîne, si le secteur souhaite « construire des modèles de publicité ciblée pérennes, c’est-à-dire respectueux des droits des personnes ». Raison pour laquelle elle a décidé d'étendre ses contrôles au-delà des seuls éditeurs de sites, et donc « auprès des professionnels non éditeurs qui émettent des cookies. L’objectif étant de promouvoir une solution globale de conformité sur l’ensemble de la chaîne de la publicité en ligne ».
Source : CNIL
Voir aussi :
Des sites se servent de l'API AudioContext pour obtenir une empreinte audio des internautes et pister les utilisateurs sans passer par les cookies
Les cookies publicitaires pourraient permettre de vous identifier, selon une étude menée par des chercheurs de l'université de Princeton
iOS 9.2.1 : Apple colmate une faille critique vieille de plus de deux ans qui aurait permis à des attaquants de subtiliser les cookies de navigation