Dure loi des cookies
En Grande-Bretagne, les sites web affichant des bandeaux publicitaires encourent une amende de 500 000 livres. En France, l'amende est de 300 000 euros. Une directive européenne oblige maintenant les sites à demander aux internautes la permission d'envoyer des "cookies" dans leurs ordinateurs. Inapplicable, la loi n'est… pas appliquée. Mais fait trembler le marketing et la pub en ligne.
Ce 26 mai 2012, tous les sites web anglais ne respectant pas la nouvelle loi relative à la défense de la vie privée sur le web seront passibles de poursuites et d’amendes pouvant atteindre la modique somme de 500 000 livres. L’effet d’annonce est renversant, au moins autant que le constat : la loi est inapplicable.
Consentement
Cette nouvelle législation récemment rappelée par la Cnil, issue du Parlement européen, a pour but affiché une harmonisation des règles pour tous les pays de l’UE afin de garantir aux citoyens un meilleur niveau de protection de leurs données personnelles. Si la directive s’applique à tous les pays de l’UE, elle laisse toutefois une marge de manÅ“uvre quant à sa transposition.
Selon l’adaptation britannique de la loi, tous les sites web devraient à partir du 26 mai passer en “opt in”. Autrement dit, obtenir le consentement préalable de l’internaute sur les cookies transitant par leur plateforme avant que ces derniers ne puissent recueillir des informations. Le texte vise tous ceux qui servent d’une manière ou d’une autre, à recenser les données personnelles d’un internaute (exceptées les données de navigation).
Les cookies, ce sont ces petits fichiers textes qui aident à stocker et à organiser les informations des internautes. S’ils stockent des données en tous genres (mot de passe, langue choisie, etc.) censées faciliter la navigation, ils permettent également de constituer un profil de l’utilisateur en recensant les sites web qu’il visite, ses goûts, les publicités auxquelles il est le plus sensible, etc. C’est également ce qui permet à tout le secteur de la publicité comportementale en ligne de prospérer en proposant des annonces ciblées.
Le responsable légal du site sera donc obligé par n’importe quel moyen de demander à l’internaute qui arrive sur la page d’accueil s’il accepte ou non les cookies. Il devra également détailler leurs buts précis et la société qui en est à l’origine. Le gros problème, c’est qu’actuellement, aucun navigateur n’est techniquement en mesure de faire la distinction entre les différents types de cookies.
Autrement dit, il ne peut reconnaitre ceux qui servent à rassembler les données personnelles de l’utilisateur pour le compte d’une régie publicitaire de ceux qui servent à retenir vos mots de passe et la résolution de votre vidéo.
Date limite
Il serait bien sûr possible de mettre en place une banderole demandant l’autorisation à l’internaute pour chacun des cookies présent sur un site, mais l’opération risquerait de le perturber, de lui poser des questions qu’il ne comprend pas forcément, et d’aboutir finalement à un refus des cookies par l’utilisateur.
On comprend mieux dès lors, le peu d’engouement des éditeurs de sites à appliquer la loi.
En effet, en dehors de certains sites comme “youronlinechoices” ou de l’option “do not track” sur certains navigateurs qui limitent l’utilisation par un tiers de ses données personnelles, aucun outil technique ne semble actuellement au point pour respecter ces directives.
On ne peut pas reprocher au gouvernement anglais d’avoir précipité la mise en Å“uvre de la loi. Cette dernière, qui devait normalement s’appliquer en août 2011, avait été repoussée d’un an pour laisser le temps aux différents acteurs de se mettre en conformité.
Malgré ce délai, Christopher Graham, le patron de l’Information Commissioner Office (la Cnil Britannique)1 a annoncé il y a peu que la majorité des sites publics comme privés ne seront pas à même de respecter la date limite imposée.
Apparemment embarrassé, M. Graham a également précisé que son organisation ne s’engagerait pas dans une croisade contre les sites illégaux au matin du 27, mais prendrait des sanctions au cas par cas si aucun effort allant dans le sens de la loi n’avait été engagé par les responsables légaux. Une déclaration qui se veut rassurante. En même temps, la majorité des sites du gouvernement anglais eux-mêmes ne seront pas en règle à la date prévue…
En France, c’est dans l’ignorance la plus totale que la même loi (en fait deux directives et un règlement) dite “Paquet télécom” a été transposée et mise en application il y a presque un an2.
Elle stipule (c’est la Cnil qui le précise) “qu’il faut, tout d’abord, informer la personne de la finalité du cookie (ex : publicité), puis lui demander si elle accepte qu’un cookie soit installé sur son ordinateur en lui précisant qu’elle pourra retirer à tout moment son consentement“. Comme l’explique Sophie Nerbonne, directrice adjointe des affaires juridiques à la Cnil :
La loi s’applique à tous les sites notamment aux réseaux sociaux et aux boutons like et tweet des sites partenaires de Twitter et Facebook (pour diffuser un article une vidéo, etc). Par contre, l’obligation de recueil de consentement ne s’applique pas aux cookies liés aux préférences linguistiques, à la mise en mémoire d’un mot de passe, à la résolution d’une vidéo visionnée online, à un cookie flash ou encore à la mémoire relative à un panier d’achat. En effet, ces informations sont directement liées à une demande de l’utilisateur et ont pour finalité exclusive de faciliter la communication.
L’immense majorité des sites web français sont donc également dans l’illégalité la plus totale et risquent des sanctions financières pouvant aller jusqu’à 300 000 euros.
À la différence de la Grande-Bretagne, la transposition en droit français implique qu’au lieu d’avoir des cookies en “opt in”, les internautes doivent être informés par les éditeurs de sites “de manière claire et complète de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement”.
Concrètement, les responsables de plateformes françaises ont l’obligation de placer une bannière sur leur page d’accueil renvoyant à une note qui explique en détail à quoi servent précisément les cookies, d’où ils proviennent et comment faire pour les refuser.
La Cnil, dont le rôle est de faire respecter la loi, doit donc chasser tous les sites qui dans un coin n’ont pas affiché un bordereau ou un moyen d’informer les internautes, ce qui est matériellement impossible. En témoigne Sophie Nerbonne :
Nous savons pertinemment que la majorité des sites sont dans l’illégalité et il faudra évidemment des mois pour trouver les solutions et pour les faire rentrer dans la conformité. C’est compliqué car certains d’entre eux ont aujourd’hui tellement de cookies qu’ils ne savent même plus à quoi ils servent. Sur le plan des moyens, la Cnil peut s’auto-saisir et nous avons déjà procédé à des contrôles et à des mises en demeure même si nous nous montrons compréhensifs. En réalité, nous comptons surtout sur la persuasion et la prise de conscience des internautes et des professionnels quant aux enjeux cruciaux du respect de la vie privée sur le web. Nous comptons également sur le développement prochain des moyens techniques permettant de mettre les sites en conformité
En dehors des plaintes de particuliers concernant certains sites, la Cnil est donc obligée de s’attaquer aux plus gros acteurs sans être aucunement en mesure de faire respecter la loi à court ni même à moyen terme pour les millions de site actuellement hors la loi.
Équilibre
Les enjeux économiques de l’application de la loi sont, eux aussi, motif de friction. Si les internautes décidaient massivement de refuser les cookies pour protéger leurs données personnelles, c’est l’ensemble des acteurs de la publicité comportementale et, par extension, les éditeurs de sites web, qui seraient privés d’une partie non négligeable de leurs revenus comme l’explique Fabienne Granowski du Syndicat national de la communication directe à Owni:
Nous voulons trouver l’équilibre entre l’aspect économique et la protection des données personnelles. Nous n’avons vraiment pas intérêt à brader la vie privée parce que nous serions perdants vis à vis de la confiance des internautes. Si l’“opt in” cookie passait en France il nous serait strictement impossible de travailler car nous n’aurions plus de données personnelles.
Dans un communiqué de Presse du 5 Mai 2012, le SNCD annonçait une perte potentielle de 60% des emplois du marketing direct et une augmentation de plus de 16% de demandeurs d’emplois en cas d’application de la loi . Ces chiffres, issus de leur propre étude, sont de nature à justifier les protestations du secteur. Mais Sophie Nerbonne relativise :
Nous comprenons les inquiétudes mais nous avons eu les mêmes protestations des sociétés liées à la communication directe en 2004 lors de la loi sur la confiance en l’économie numérique. A l’époque, les acteurs avaient peur d’un effondrement du système et de pertes d’argent colossales ce qui n’a pas eu lieu. Ethiquement, il n’est pas possible de continuer à faire prospérer un système économique sur de la récolte de données personnelles alors que l’internaute n’est pas au courant de ce que l’on en fait précisément. Il est nécessaire de développer des techniques efficaces permettant aux internautes d’être conscients de ce qu’on fait de ses informations sans que cela pèse pour autant sur l’économie de la publicité ciblée.
Par ailleurs, le développement de logiciels et d’interfaces permettant de gérer les cookies et de trouver des solutions peut représenter une manne financière non négligeable
Images : You Don’t Wanna Steal Wookies Cookies CC by-nc-sa Pedro Vezini, et you ate my heart CC by-nc-nd Adam Foster | Codefor
- L’Information Commissioner Office est une organisation semi gouvernementale anglaise financée par le ministère de la Justice et chargée de faire respecter les mesures en matière de protection des données et de libertés informatiques [↩]
- Adopté par le Parlement et le Conseil européen le 25 novembre 2009 et transposé en droit français par l’ordonnance du 24 août 2011 [↩]
Laisser un commentaire