3 ans pour se préparer
En application de la directive ePrivacy, les internautes doivent être informés et donner leur consentement préalablement au dépôt et à la lecture des traceurs "non essentiels". Depuis l'entrée en vigueur du RGPD il y a déjà 3 ans, les exigences en matière de validité du consentement ont été renforcées.
Le 1er octobre 2020, la CNIL a publié des lignes directrices modificatives et sa recommandation sur les cookies et autres traceurs. Elle a également accordé 6 mois aux éditeurs pour se conformer aux règles.
Comme nous avions pu le voir sur ce blog, les anciennes lignes directrices, pourtant laxistes, n'étaient déjà pas respectées. Voici quelques articles pour illustrer l'impunité :
- "Le recueil du consentement sur internet : un mensonge généralisé".
- "Le Figaro, emblème du tracking publicitaire invasif des sites médias français".
- "La grande braderie de vos données personnelles sur Le Bon Coin".
Qu'en est-il des nouvelles lignes directrices ?
La CNIL recommande un "Dark pattern" pour "optimiser" le taux de consentement
En lisant la recommandation de la CNIL, on y découvre une première proposition de design de l'interface de consentement :
Page 9, Figure 4 : une interface claire, un choix aisé pour l'utilisateur.
Ainsi que des considérations générales sur l'interface (j'ai mis les passages clés en gras) :
- "Le responsable de traitement doit offrir aux utilisateurs tant la possibilité d’accepter que de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité."
- "Ainsi, la Commission recommande fortement que le mécanisme permettant d’exprimer un refus de consentir aux opérations de lecture et/ou d’écriture soit accessible sur le même écran et avec la même facilité que le mécanisme permettant d’exprimer un consentement."
- "Par exemple, au stade du premier niveau d’information, les utilisateurs peuvent avoir le choix entre deux boutons présentés au même niveau et sur le même format, sur lesquels sont inscrits respectivement «tout accepter» et «tout refuser», «autoriser» et «interdire», ou «consentir» et «ne pas consentir», ou toute autre formulation équivalente et suffisamment claire."
Lorsque l'on continue la lecture du document, on voit une deuxième proposition de design :
Page 10, Figure 5 : recommandation de la CNIL ! Le "Continuer sans accepter" peut facilement être loupé.
Juste au-dessous de ce design trompeur, la CNIL se contredit :
- "Afin de ne pas induire en erreur les utilisateurs, la Commission recommande que les responsables de traitement s’assurent que les interfaces de recueil des choix n’intègrent pas de pratiques de design potentiellement trompeuses laissant penser aux utilisateurs que leur consentement est obligatoire ou qui mettent visuellement plus en valeur un choix plutôt qu’un autre."
- "Il est recommandé d’utiliser des boutons et une police d’écriture de même taille, offrant la même facilité de lecture, et mis en évidence de manière identique."
Ce "Dark pattern" a rapidement été "évangélisé" auprès des éditeurs :
Conseils de Converteo (agence conseil data et techno) aux éditeurs : suivez la "marge de manœuvre" proposée par la CNIL !
Le 1er avril 2021, c'est le grand jour, les sites et applications doivent enfin être en conformité comme le rappelle la CNIL :
Celle-ci n'a pas ménagé les efforts d'éducation, comme rappelé sur son site :
- Dix-huit webinaires pour les professionnels du secteur privé et public.
- De nombreux conseils pratiques et outils disponibles sur le site de la CNIL.
- Une campagne de sensibilisation des organismes publics et privés.
Pour quels résultats ? C'est ce que nous allons regarder via quelques threads Twitter (cliquez sur les liens pour dérouler les nombreux exemples).
L'interface de consentement, une calamité
Le "Dark pattern" de la CNIL, interface standard sur les sites médias.
Vous en redemandez ? Voici le "Dark pattern" de la CNIL en version App :
Gare aux gros doigts !
Autre option, assez largement adoptée, se moquer de la réglementation :
Facebook se fiche de la loi, mais il n'est pas seul.
5 étapes pour refuser la surveillance, mais évidemment cela ne marche pas.
Sur les Apps, ce n'est pas mieux :
Un pari sur le fait que la CNIL n'audite pas les Apps ?
Nos éditeurs ont du talent.
Autre option pour vous surveiller, prétendre "l'intérêt légitime" :
Bien sûr, la pratique est illégale.
Il faut le souligner, quelques éditeurs proposent une interface respectueuse :
Une interface propre, encore faut-il que vos choix soient respectés.
Quelques rares exceptions également sur les Apps :
Message à rallonge, mais choix clair (passez sur Twitter pour la capture d'écran complète).
Les cookie walls, un chantage aux données personnelles
Adopté par certains éditeurs comme Webedia ou Prisma Media, le cookie wall en a énervé plus d'un :
Chantage aux données personnelles, bonjour.
On retrouve également le cookie wall sur Apps :
Chantage aux données personnelles, suite.
Le cookie wall est-il légal ? La CNIL a voulu l'interdire, sans succès :
Le « cookie wall » consiste à bloquer l'accès à un site web ou à une application mobile pour l’utilisateur qui ne donnerait pas son consentement. Dans certains cas, cette pratique, également appelée « pay wall », conditionne cet accès à une contrepartie financière, comme un abonnement.
Le Conseil d'État a estimé, le 19 juin 2020, que la CNIL ne pouvait pas interdire, par principe, cette pratique.
Dans l’attente d’une clarification pérenne sur cette question par le législateur européen, la CNIL appliquera les textes en vigueur, tels qu’éclairés par la jurisprudence, pour déterminer au cas par cas si le consentement des personnes est libre et si un cookie wall est licite ou non. Elle sera, dans ce cadre, très attentive à l’existence d’alternatives réelles et satisfaisantes, notamment fournies par le même éditeur, lorsque le refus des traceurs non nécessaires bloque l’accès au service proposé.
On attend donc impatiemment les premières décisions de la CNIL... D'ici là, vous pouvez lire ces excellents articles :
- "Cookie wall : quand vont-ils arrêter de nous prendre pour des abrutis ?" de Numendil.
- "Consent Wall et Cookie Wall" de Romain Bessuges-Meusy, le PDG de la CMP Axeptio.
- "Cookie walls et autres tracking walls : légal, pas légal ?" de Marc Rees.
Un consentement fictif
Vous pourriez vous dire : OK, ce n'est pas si facile de refuser la surveillance, mais j'ai maintenant le choix. Encore faut-il que les éditeurs respectent ce choix... Dans la vraie vie, c'est rarement le cas :
- Nombreux sont les éditeurs qui fuitent vos données personnelles avant même que vous ayez donné (ou refusé) votre consentement.
- Nombreux sont les éditeurs qui fuitent vos données personnelles alors que vous avez refusé de donner votre consentement.
L'hypocrisie des éditeurs qui font semblant de respecter la loi.
Sur les Apps, ce n'est pas mieux :
Sur les Apps, souvent le Far West.
Regardons les données personnelles qui fuitent :
Via le logiciel Charles Proxy, il est possible d'observer toutes les requêtes.
À noter qu'Apple ATT n'empêche pas la fuite de données personnelles, seulement le tracking (la surveillance multi-Apps).
Apple vous protège bien mieux que Google contre la surveillance publicitaire, mais si vous voulez éviter toutes les fuites de données personnelles, il vous faudra passer par un bloqueur de traceurs tel que NextDNS.
Comment faire respecter la loi ?
La CNIL a récemment annoncé une vingtaine de mises en demeure :
Au vu de l'historique de l'organisme, je suis circonspect. Lisez par exemple le retour d'expérience de la Quadrature du Net : "Les GAFAM échappent au RGPD, la CNIL complice".
Noyb va néanmoins tenter l'aventure auprès des différentes CNIL européennes :
Pendant que la CNIL envoie péniblement une vingtaine de mises en demeure, Noyb prévoit d'envoyer 10.000 plaintes. On parle ici d'une petite association avec quelques bénévoles : preuve que la CNIL ne manque pas de moyens mais surtout de volonté politique.
Alors, aucun espoir ? Pas si sûr, les avancées les plus importantes pourraient venir des autorités de la concurrence, comme le décrit bien cet article. On croise les doigts et d'ici là, protégez-vous.