La Cnil a adressé une vingtaine de mises en demeure à des organismes ne permettant pas aux internautes de refuser les cookies aussi facilement que de les accepter. Parmi eux figurent des acteurs internationaux de l’économie numérique et plusieurs organismes publics. Ils ont un mois pour se mettre en conformité.

Visualisation par la Cnil des échanges d'informations à travers la lecture et l'écriture de cookies qui ont eu lieu au cours de la première visite d'un site © Cnil

La Cnil a mis en place un observatoire des cookies pour évaluer l'application des politiques d'utilisation des données des internautes, souvent appelées politique de confidentialité. Pour mémoire, les cookies sont des informations inscrites dans les navigateurs web et transmises à chaque communication avec le domaine qui les a stockées dans ces navigateurs. Lorsqu’une communication est associée à un ou plusieurs cookie(s), il est alors possible d'identifier le terminal de l'individu à l'origine de cette communication et de lier entre elles les différentes communications d’un internaute sur ce terminal. Certaines techniques permettent par ailleurs de lier entre eux les différents terminaux (ordinateur, tablette, smartphone) ou navigateurs d’un même internaute pour reconstituer un historique global de sa navigation. C’est par ces mécanismes de traçage que les régies publicitaires collectent les données de navigation des internautes afin de construire des profils de consommateurs.

La Cnil surveille les politiques dites de confidentialité

Selon l'observatoire des cookies qui scrute les comportements de mille sites Internet, l’analyse effectuée le 20 janvier 2021, montre qu'une majorité des sites dépose des cookies tiers à la première visite. Sur certains d'entre deux, on compte jusqu'à 79 sites tiers pouvant accéder à vos informations de navigation au chargement d'une page Web. Chaque cookie écrit et lu par un domaine tiers peut permettre d'initier un mécanisme d'identification de votre navigateur ainsi qu'un suivi de votre navigation depuis et hors du site que vous visitez. Par exemple, la Cnil relève que 79 sites tiers lisent des cookies depuis le site l'étudiant.fr, 57 depuis xboxyben.com, 37 depuis Yvelines.fr, ou 28 depuis 01net.com.

Parmi les sites tiers, les plus présents sont Google.fr, Google.com, Facebook.com, doubleclick.net. Ils ont déclaré dans leur politique d'utilisation des données, la finalité publicitaire sur les cookies déposés lors de l’analyse, cette finalité publicitaire pouvant être combinée avec d’autres utilisations.

La Cnil a donc décidé de mettre en demeure une vingtaine d’organismes ayant des pratiques contraires à la législation sur les cookies. Ils ont un mois pour se mettre en conformité et encourent des sanctions pécuniaires pouvant aller jusqu’à 2% de leur chiffre d’affaires si ce délai n’est pas respecté. Parmi les organismes mis en demeure figurent également des acteurs publics. Pour rappel, en décembre 2020, la formation restreinte de la Cnil a infligé aux sociétés Google et Amazon des amendes de 100 millions d’euros et 35 millions d’euros pour leurs pratiques en matière de cookies.

"On répondra avec malice", dit Benjamin Benoit, juriste au sein de la société RGPD Express qui accompagne les entreprises dans leur mise en conformité avec le RGPD (règlement général sur la protection des données), "que la Cnil elle-même a eu besoin d'un temps certain avant d'arriver à mettre son propre site en conformité avec le RGPD".

"Il faut mettre un bouton 'Refuser les cookies' tout simplement"

Plus sérieusement, Benjamin Benoit explique que "la Cnil a pris une position très sévère en matière de cookies très tôt, au point même d'avoir été retoquée par le Conseil d'État sur certains points", note le juriste. "En fait, ses mises en demeure sont pas surprenantes d'un point de vue purement juridique, dans le sens où, depuis le départ, la Cnil insiste sur le fait qu'on doit pouvoir accepter et refuser les cookies de la même façon. Or les nouveaux bandeaux de cookies mis en ligne sur les sites web ont facilité l'acceptation des cookies et ont mis quelques freins au refus des cookies. Évidemment, personne n'empêche le refus, mais c'est pas aussi facile que l'acceptation. Et la Cnil, en fait, adopte une position qui n'est pas en soi extrêmement linéaire au niveau européen et surtout, qui n'est pas complètement prévue, imposée par le RGPP, mais c'est la sienne depuis le début."

Pour l'avocat, la réponse à adopter par les entreprises est simple : "mettre un bouton 'refuser' aussi important que le bouton 'accepter' et que celui qui inviter à paramétrer les cookies".

"La question est de savoir si les sites font des utilisations raisonnées des données, c'est le cas de la plupart, ou bien excessives comme certains réseaux sociaux", estime Thierry Decroix, co-fondateur de RGPD-Express. "Aujourd'hui les internautes ont compris ces nuances, ils savent bien que pour obtenir un service de qualité et un suivi de leurs achats et un bon service après-vente, les données clients sont utiles".

La bataille juridique est à venir

Le juriste Benjamin Benoit s'attend désormais à "une deuxième salve de la part de la Cnil", mais aussi à une bataille juridique sévère. "Ce n'est pas pour rien que certains grands sites marchands n'ont pas encore adopté le bouton "refuser les cookies", aussi visibles que celui "accepter les cookies". Face à cette injonction de la Cnil, il faut s'attendre à ce que les juridictions administratives soient saisies".

Thierry Decroix renchérit en faisant remarquer que la possibilité de refuser les cookies purement et simplement, cela revient pour certains sites à perdre 40% de datas, "c'est comme si 4 clients sur 10 dans une grande surface étaient des hommes invisibles. Pour des sites gratuits, dont le modèle économique repose sur la publicité, ce n'est pas jouable".