PROJET AUTOBLOG

Pixellibre.net

Site original : Pixellibre.net

⇐ retour index

Mise à jour

Mise à jour de la base de données, veuillez patienter...

Cookie wall : quand vont-ils arrêter de nous prendre pour des abrutis ?

jeudi 8 avril 2021 à 18:18

Fin mars 2021, le délai pour mettre en conformité les sites web et les applications mobiles aux nouvelles règles en matière de cookies expirait. Cette expiration s’est manifestée par un changement des pratiques des sites internet, comme vous l’avez sans doute constaté, non sans énervement. Beaucoup de questions découlent de ce changement : est-ce légal ? Est-ce normal de nous faire payer 2€ (ou plus) pour ne pas subir de publicité ciblée ? Et le RGPD dans tout ça, il dit quoi ? Entre malhonnêteté intellectuelle et flou juridique, je vous explique tout ça.  

Un cookie wall, c’est quoi ?

Avant d’entrer dans le vif du sujet, quelques rappels utiles. Un cookie wall est un dispositif technique par lequel un éditeur va pouvoir conditionner l’accès à son contenu au fait que vous consentiez au dépôt de cookie sur votre terminal (ordinateur, mobile, tablette, …) à différentes fins, généralement publicitaires ou de suivi. C’est donc une barrière sur un contenu, qui limite l’accès aux personnes qui refusent le dépôt des cookies.

L’avis de la CNIL sur le sujet

En 2019 dans sa recommandation sur les cookies, la CNIL considérait que le cookie wall était contraire au RGPD car il entravait l’utilisateur à consentir librement à donner, ou non, ses données à caractère personnel. Dans une décision rendue par le Conseil d’État, sur laquelle j’ai déjà pu écrire, le passage spécifique au cookie wall de cette recommandation était annulé, le Conseil d’État jugeait que la CNIL avait outrepassé ses capacités en déclarant cette pratique illicite.

Pour résumer : un gros bordel juridique est né de tout ceci.

Bordel dans lesquels les éditeurs, publicitaires et autres acteurs s’engouffrent.

Remettons un peu de clarté dans tout ceci, en repartant de la base (légale).

Le consentement

On ne sait pas (à cette étape de l’article) si la pratique du cookie wall est licite ou pas… on sait cependant qu’elle repose sur le consentement. Que dit le RGPD pour qu’un consentement soit considéré comme valide ?

Le règlement dit qu’il doit satisfaire quatre critères :

Et … le cookie wall respecte ces points ?

En résumé : c’est compliqué.

En détail… Le consentement est univoque car il est nécessaire d’appuyer sur un bouton pour manifester son accord. Sur ce point donc, pas de problèmes.

Il est aussi éclairé puisqu’on sait – normalement – ce à quoi on va consentir, à savoir la publicité et le partage des informations avec les partenaires en charge de cette publicité.

Il est également spécifique, puisqu’il correspond à un seul traitement et que lorsque ce n’est pas le cas, il y a une granularité plus fine pour qu’on consente ou non à certains traitements.

Ici, trois finalités différentes (analytique, marketing et relative aux préférences), donc trois actes positifs clairs auxquels il est possible de consentir.

Est-il libre ?

On peut se contenter de dire que non, cette pratique est totalement illégale et « basta » mais, dans ce cas, pourquoi autant d’éditeurs ont décidé de procéder ainsi ?

La réalité est un peu plus complexe. Dans quelle mesure le fait de mettre en place un cookie wall constitue une entrave au caractère libre du consentement ?

Libre ou pas libre selon vous ?

Alors, est-ce qu’un cookie wall, c’est légal ?

Tentons d’y voir plus clair et reformulons… est-ce conditionner l’accès à un contenu et demander un paiement (en données personnelles ou en argent), est-ce légal ?

Sur ce point, pas de débat. La directive 2019/770 relative à certains aspects concernant les contrats de fourniture de contenus numériques et de services numériques reconnaît l’existence de contrats de service dans lesquels le consommateur s’engage à fournir des données à caractère personnel (article 3.1)

Seulement, la directive ne prévaut pas sur les autres textes (article 3.7) donc, en cas de conflit entre cette directive et une autre disposition d’un autre acte de l’Union, c’est la seconde qui prévaudra.

Autrement dit, le RGPD prime sur cette directive. On peut donc avoir un contrat où le consommateur s’engage à fournir des données à caractère personnel mais ce dernier doit impérativement respecter le RGPD.

En résumé, le principe de « paiement avec des données personnelles » est donc légal, tant qu’il respecte d’autres dispositions de l’Union.

Que dit le RGPD, alors ?

L’article 7 du RGPD est consacré au consentement…seulement, il ne donne pas de définition relative au caractère libre du consentement. Le considérant 43, en revanche, donne un peu plus de détails : « Le consentement est présumé ne pas avoir été donné librement si un consentement distinct ne peut pas être donné à différentes opérations de traitement des données à caractère personnel bien que cela soit approprié dans le cas d’espèce, ou si l’exécution d’un contrat, y compris la prestation d’un service, est subordonnée au consentement malgré que celui-ci ne soit pas nécessaire à une telle exécution. »

Le passage mis en gras nous dit la chose suivante : un consentement n’est pas considéré comme ayant été donné librement s’il a été nécessaire de consentir à un traitement autre pour obtenir l’objet de la prestation initiale.

Autrement dit : lorsque vous vous voulez accéder à un contenu sur un site (un article, le contenu initial), le fait que ce dernier vous demande de consentir avant d’accéder au contenu représente une entrave à la liberté de consentement et donc, contrevient au RGPD.

Ah ! Enfin une piste intéressante.

Cette piste est confirmée par le Comité Européen de la Protection des Données, qui écrit, dans sa ligne directrice (en anglais) relative au consentement (page 12, point 39) : Pour considérer qu’un consentement est librement donné, l’accès au service et aux fonctionnalités ne doit pas être conditionné au consentement de l’utilisateur pour le stockage d’informations ou pour obtenir un accès aux informations déjà stockées dans l’équipement terminal d’un utilisateur (les dénommés cookie walls) (attention : traduction non officielle).

Le CEPD dit également que, tant que la fourniture d’un service ou d’une prestation n’est pas soumis à l’acception d’un consentement à d’autres finalités (la publicité, au hasard), il n’y a pas de problèmes.

On peut donc sérieusement s’interroger sur la licéité d’un cookie wall… puisqu’il faut impérativement le passer pour obtenir du contenu.

Mais pourquoi les publicitaires continuent de faire ça, si ce n’est pas légal ?

La version courte : parce que la loi ne l’interdit pas explicitement.

La version détaillée : les lignes directrices de la CNIL et du CEPD n’ont pas valeur de loi mais d’interprétation de cette dernière, c’est ce que l’on appelle du droit souple. Ce sont des documents, des textes complémentaires qui permettent d’expliquer une vision, d’apporter des interprétations complémentaires de la loi, qu’elle soit nationale ou européenne.

Le constat est donc le suivant : d’un côté le CEPD s’oppose au cookie wall, il considère que c’est contre le RGPD. La CNIL et d’autres autorités de supervision, en Europe, s’y opposent également… mais cette opposition ne fait pas loi.

De l’autre, une directive explique qu’il est possible de conditionner l’accès à un service en « payant » en données personnelles, tout en disant que les autres dispositions européennes prévalent sur ce point… mais les autres dispositions, comme le RGPD par exemple, n’interdisent pas explicitement les cookie walls.

Il en résulte une sorte de flou juridique, de « tolérance », faute d’avoir une loi interdisant explicitement toute forme de cookie wall… et les publicitaires – avec une bonne dose de malhonnêteté intellectuelle – se sont engouffrés dedans, puisque ce n’est pas explicitement interdit (et pour rappel : globalement, tout ce qui n’est pas explicitement interdit par la loi est, par définition, autorisé).

Les publicitaires, les régies, les éditeurs et les autres acteurs du secteur profitent de la situation pour imposer leurs désirs et leurs visions, tout en flirtant avec les limites de la légalité, en l’absence de consensus clair et précis.

C’est un peu comme si une personne avait fait une chose très désagréable devant vous et était en train de vous narguer, mais que vous ne puissiez rien faire contre car ce n’est pas illégal.  

Comment en sommes-nous arrivés là ?

Tant qu’à faire, autant essayer de comprendre le problème à sa source : pourquoi et comment en sommes-nous arrivés à cette situation ?

La raison est simple, selon moi : le modèle économique de beaucoup d’acteurs du secteur est mauvais. Qu’ils soient éditeurs de presse, sites généralistes ou spécialisés, diffuseurs de vidéos ou autre, le modèle économique le plus répandu est celui de la publicité programmatique (et ciblée) pour générer du revenu. Si cela vous intéresse, je vous renvoie à mes articles sur la publicité en ligne, pour tout comprendre.

Ce modèle économique, qui échappe totalement aux éditeurs qui ne peuvent plus contrôler la publicité « à l’ancienne » est devenu la norme, il faut la faire passer à tout prix. Avec l’arrivée de ce modèle est arrivé le bloqueurs de publicité … on a donc vu naître des « anti anti-trackers »

Source : https://www.davduf.net/Quand-un-site-veut-me-faire

Puis des anti-trackers d’anti-trackers, etc… Puis plus récemment des approches plus brutales : les cookies walls avec une impossibilité d’accéder au site sans accepter au préalable le dépôt de ces derniers.

Pas d’accord ? Tu n’auras pas accès au contenu.

La suite, vous la connaissez et la subissez sans doute de nombreuses fois par jour. On vous demande – au mieux – d’accepter le dépôt de cookie, quand ils ne sont pas – au pire – déjà déposés sur votre terminal avant même d’avoir accepté ou refusé leur dépôt. Bref, les internautes bloquent, les éditeurs bloquent les bloqueurs et ainsi de suite, c’est le jeu du chat et de la souris. On pourrait également parler de l’univers de la publicité sur mobile, mais ce sujet mérite à lui seul un article entier….

Je vois se profiler un problème de société dans les cookie walls qui proposent d’accepter d’être traqué ou alors de payer pour ne pas l’être : les personnes dans des situations précaires n’auront pas nécessairement la capacité financière à payer 2€ par site, ou plus, pour ne pas être traquées. Cela signifie que le respect de la vie privée devient une chose monnayable et réservée à celles et ceux qui peuvent se l’offrir. Bref… une grosse rupture d’égalité liée à des décisions purement arbitraires, décidées par des opérateurs privés et, sans entrer dans le détail, un bon nombre de problèmes au regard du respect des droits fondamentaux.

Les éditeurs et publicitaires sont parfaitement conscients de la situation, pour beaucoup d’entre eux, cela se résume à un simple calcul économique, comme on peut le lire dans le Journal du Net, où globalement tout est affaire d’argent. Les éditeurs préférant perdre des internautes qui refuseraient les publicités ciblées plutôt que de proposer un modèle plus vertueux… j’aurais sans doute l’occasion d’aborder ceci dans un prochain billet.

Mais, des mauvais élèves… il y en a tant que ça ?

On trouve très difficilement un éditeur qui respecte les règles du jeu… Je vous laisse en déduire que oui. Petit florilège des (pires) sites en la matière.

Exemple : « la CNIL recommande que l’interface de recueil du consentement ne comprenne pas seulement un bouton « tout accepter » mais aussi un bouton « tout refuser ».

Démonstration de ce respect chez…

Les échos
Le Figaro
La Croix
Ouest France

Vous ne voyez pas le bouton « tout refuser » ? C’est normal, il n’existe pas. Pour refuser, il faut cliquer sur « Continuer sans accepter » … Pourtant la CNIL déclarait qu’afin de ne pas induire en erreur les utilisateurs, les interfaces de recueil des choix ne devraient pas intégrer de pratiques de design qui mettent visuellement plus en valeur un choix plutôt qu’un autre…

Libération ne semble pas non plus avoir compris
France Info – (C’est pire ici, le continuer sans accepter étant encore moins visible)
La FNAC

Magique, puisqu’ici le bandeau dit « En poursuivant la navigation, vous acceptez la politique Cookies, le dépôt de cookies et technologies similaires … » alors que le fait de continuer de naviguer n’est pas une manifestation explicite du consentement et donc… n’est pas conforme au RGPD.

Coté maison – Oui, la recommandation de la CNIL a tout simplement été ignorée.
Verif.com (appartient au groupe BFM)
Marmiton, version mobile
L’internaute, version mobile
Ici, le refus semble pris en considération… mais l’expérience de navigation est, disons, fortement dégradée.

Ça fait déjà beaucoup d’exemples, si vous en voulez plus, c’est par ici que ça se passe, merci à @pixeldetracking à qui j’ai pris quelques copies d’écran

Il serait possible de détailler les mauvais élèves, mais ça fera potentiellement l’objet d’un autre billet. En résumé : certains jouent sur le design (on parle alors de dark patterns), d’autre sur la tournure et les pires sont ceux qui vous proposent d’accepter ou de refuser le dépôt de cookies… alors qu’ils ont déjà déposé les cookies. Si vous vous posez la question, oui ! C’est parfaitement contraire au RGPD, nous ne sommes absolument pas dans une zone floue ici.

Que faire pour faire changer les choses ?

On brûle tout. Et les publicitaires avec.

Plus sérieusement, je pense qu’il existe des solutions pour assainir tout ceci. Premièrement, il est tout à fait possible de mettre en place des publicités non ciblées, contextualisées au contenu du site, voire de l’article quand tout est correctement paramétré. Les éditeurs ne souhaitent pas faire cela car les espaces de publicité non ciblée rapportent moins, se vendent moins… mais ça reste possible.

Entendons-nous bien : je conçois que les sites cherchent un modèle économique viable. Ce modèle était précédemment basé sur la publicité ciblée, la revente d’espaces publicitaires et de données à caractère personnel. La loi change, le monde change et évolue, il serait temps de réfléchir à un modèle plus sain.

Chers éditeurs publicitaires, vous devriez passer plus de temps à chercher de nouvelles solutions plus vertueuses, et moins à essayer de garder le marché malsain tel qu’il est, au détriment des internautes, des expériences de navigation, de la loi et de tout le reste.

Étant convaincu que ces éditeurs ne joueront jamais le jeu, je pense que d’autres solutions sont envisageables, à commencer par la sanction. Il serait bon que la CNIL tape un très grand coup sur la tête de ces éditeurs, malhonnêtes pour certains, qui se moquent de tout.

On pourrait enfin imaginer quelque chose de beaucoup plus brutal : inscrire, de façon claire et intelligible, ce qui représente une entrave au consentement libre et ce qui est dans les clous, on pourrait, au niveau européen, avoir une mesure de « droit dur » (la loi, pour généraliser), contraignant, qui interdise une bonne fois pour toutes les cookie walls et l’ensemble de ces pratiques.

Tout ceci n’étant pas encore d’actualité… que faire dès maintenant ?

Deux solutions semblent s’offrir à nous : celle de s’adresser à la CNIL… cette dernière est débordée, coule sous les plaintes et il faudra sans doute prendre votre mal en patience, mais c’est possible. Cela serait cohérent car, au niveau européen, les autorités néerlandaise, britannique, espagnole et italienne considèrent les cookie walls illégaux… on peut décemment imaginer un consensus entre l’ensemble des autorités européennes.

L’autre solution consiste à porter l’affaire devant la justice, au tribunal. Cela ira probablement plus vite qu’à la CNIL, mais cela ne résoudra pas tout, comme le bilan d’application du RGPD a pu le décrire.

La seule solution que je vois actuellement est mauvaise, car technique et non accessible à chacun : utiliser des bloqueurs de scripts et de cookies. Cela permet de bloquer le cookie wall d’une part et, de l’autre, d’accepter uniquement ce qu’on souhaite accepter… en somme, ce que les éditeurs devraient proposer.

Je pense qu’il faudra encore quelques mois, au mieux, pour assainir cette situation malsaine et clivante.

Et vous, quel est votre avis ? Qu’en pensez-vous ?