Information sur les cookies : la CNIL hausse le ton pour les retardataires

Publicité, marketing, sites marchands, solutions de mesure d’audience… Que ce soit en matière d’information du public ou de recueil de son consentement, il y a encore du travail sur la question des cookies.

La CNIL est formelle : les éditeurs sont loin de solliciter systématiquement l’accord des internautes avant de déposer, sur leurs machines, ces petits « fichiers témoins » utilisés à des fins de traçage.

La Commission l’avait annoncé en octobre 2014 : tous les professionnels du Web qui ne respecteraient pas les dispositions inscrites à l’article 32-II de la loi Informatique et Libertés sur l’usage desdits cookies allaient s’exposer à des sanctions financières d’un montant pouvant atteindre 150 000 euros.

Sa présidente Isabelle Falque-Pierrotin vient d’adresser des mises en demeure à une vingtaine d’éditeurs de sites Internet qui devront se mettre, « dans un délai déterminé » (mais non précisé), en conformité avec les recommandations publiées en décembre 2013.

A l’époque, après concertation avec les principales organisations professionnelles (FEVAD, GESTE, IAB, SNCD, UDA, UFMD), le principe d’opt-in avait été retenu ; c’est-à-dire que l’exploitation de cookies est soumise à approbation préalable de l’utilisateur, qui doit clairement être informé, précise ITespresso.

Les cookies sont mi-cuits

Le bilan des 51 contrôles menés par la CNIL – 24 sur place et 27 en ligne ; le tout additionné de 2 auditions – est mitigé. Certains sites ont bien apposé un bandeau explicatif, mais aucun de ceux examinés n’attend d’avoir recueilli un quelconque consentement avant de déposer des cookies.

Autre constat : fournisseurs de services, régies publicitaires, réseaux sociaux et consorts invitent souvent les internautes à paramétrer leur navigateur pour empêcher le dépôt de cookies. Alors même qu’un tel mécanisme d’opposition n’est valable « que dans des cas très limités ». D’après la CNIL, les premières réponses apportées par les sites mis en demeure « témoignent […] de leur volonté de se mettre en conformité ». En sachant toutefois qu’il existe de nombreuses exceptions.

La variété des cookies complexifie effectivement l’application du règlement. Il a notamment fallu développer un script pour les sites qui exploitent Google DoubleClick et/ou des boutons pour les réseaux sociaux.

La CNIL a aussi publié une liste des cookies « exemptés » de consentement préalable. Il s’agit généralement de ceux qui sont strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur. Illustration avec les paniers d’achats sur les sites e-commerce, les sessions dans les lecteurs multimédias ou encore la personnalisation de l’interface.

On notera l’impasse faite sur le cas du « fingerprinting » (« prise d’empreinte »). Le consentement préalable s’applique aussi à cette méthode alternative aux cookies conçue pour « rattraper » ceux qui cherchent à fuir l’exposition à la publicité.

Lors de la connexion à un site Web, il est demandé au navigateur de dessiner une image invisible pour l’utilisateur. Chaque machine, selon son système d’exploitation, sa configuration logicielle et ses composants, va reproduire le motif différemment. Il suffit alors de convertir cette empreinte en un identifiant unique.

Un système difficile à éliminer, que ce soit en activant une option ad hoc, en vidant le cache ou en installant des extensions comme AdBlock Plus.