Comment les éditeurs se moquent de la CNIL

Le RGPD et ePrivacy sont de très bonnes législations. Encore faut-il se donner les moyens de les faire respecter

Publié par Pixel de Tracking le 9 juin 2021

3 ans pour se préparer

En application de la directive ePrivacy, les internautes doivent être informés et donner leur consentement préalablement au dépôt et à la lecture des traceurs "non essentiels". Depuis l'entrée en vigueur du RGPD il y a déjà 3 ans, les exigences en matière de validité du consentement ont été renforcées.

Le 1er octobre 2020, la CNIL a publié des lignes directrices modificatives et sa recommandation sur les cookies et autres traceurs. Elle a également accordé 6 mois aux éditeurs pour se conformer aux règles.

Comme nous avions pu le voir sur ce blog, les anciennes lignes directrices, pourtant laxistes, n'étaient déjà pas respectées. Voici quelques articles pour illustrer l'impunité :

Qu'en est-il des nouvelles lignes directrices ?

La CNIL recommande un "Dark pattern" pour "optimiser" le taux de consentement

En lisant la recommandation de la CNIL, on y découvre une première proposition de design de l'interface de consentement :

standard

Page 9, Figure 4 : une interface claire, un choix aisé pour l'utilisateur.

Ainsi que des considérations générales sur l'interface (j'ai mis les passages clés en gras) :

  • "Le responsable de traitement doit offrir aux utilisateurs tant la possibilité d’accepter que de refuser les opérations de lecture et/ou d’écriture avec le même degré de simplicité."
  • "Ainsi, la Commission recommande fortement que le mécanisme permettant d’exprimer un refus de consentir aux opérations de lecture et/ou d’écriture soit accessible sur le même écran et avec la même facilité que le mécanisme permettant d’exprimer un consentement."
  • "Par exemple, au stade du premier niveau d’information, les utilisateurs peuvent avoir le choix entre deux boutons présentés au même niveau et sur le même format, sur lesquels sont inscrits respectivement «tout accepter» et «tout refuser», «autoriser» et «interdire», ou «consentir» et «ne pas consentir», ou toute autre formulation équivalente et suffisamment claire."

Lorsque l'on continue la lecture du document, on voit une deuxième proposition de design :

dark

Page 10, Figure 5 : recommandation de la CNIL ! Le "Continuer sans accepter" peut facilement être loupé.

Juste au-dessous de ce design trompeur, la CNIL se contredit :

  • "Afin de ne pas induire en erreur les utilisateurs, la Commission recommande que les responsables de traitement s’assurent que les interfaces de recueil des choix n’intègrent pas de pratiques de design potentiellement trompeuses laissant penser aux utilisateurs que leur consentement est obligatoire ou qui mettent visuellement plus en valeur un choix plutôt qu’un autre."
  • "Il est recommandé d’utiliser des boutons et une police d’écriture de même taille, offrant la même facilité de lecture, et mis en évidence de manière identique."

Ce "Dark pattern" a rapidement été "évangélisé" auprès des éditeurs :

optimiser

Conseils de Converteo (agence conseil data et techno) aux éditeurs : suivez la "marge de manœuvre" proposée par la CNIL !

Le 1er avril 2021, c'est le grand jour, les sites et applications doivent enfin être en conformité comme le rappelle la CNIL :

lancement

Celle-ci n'a pas ménagé les efforts d'éducation, comme rappelé sur son site :

  • Dix-huit webinaires pour les professionnels du secteur privé et public.
  • De nombreux conseils pratiques et outils disponibles sur le site de la CNIL.
  • Une campagne de sensibilisation des organismes publics et privés.

Pour quels résultats ? C'est ce que nous allons regarder via quelques threads Twitter (cliquez sur les liens pour dérouler les nombreux exemples).

L'interface de consentement, une calamité

La plupart des éditeurs ont bien compris comment "optimiser les taux de consentement", avec l'aide de la CNIL :

pattern

Le "Dark pattern" de la CNIL, interface standard sur les sites médias.

Vous en redemandez ? Voici le "Dark pattern" de la CNIL en version App :

dark

Gare aux gros doigts !

Autre option, assez largement adoptée, se moquer de la réglementation :

moque

Facebook se fiche de la loi, mais il n'est pas seul.

Mention spéciale à Google :

Google

5 étapes pour refuser la surveillance, mais évidemment cela ne marche pas.

Sur les Apps, ce n'est pas mieux :

app

Un pari sur le fait que la CNIL n'audite pas les Apps ?

Si vous refusez de donner votre consentement, certains sites décident de pourrir votre expérience de lecture :

pourrir

Nos éditeurs ont du talent.

Autre option pour vous surveiller, prétendre "l'intérêt légitime" :

legitime

Bien sûr, la pratique est illégale.

Il faut le souligner, quelques éditeurs proposent une interface respectueuse :

conforme

Une interface propre, encore faut-il que vos choix soient respectés.

Quelques rares exceptions également sur les Apps :

exceptions

Message à rallonge, mais choix clair (passez sur Twitter pour la capture d'écran complète).

Les cookie walls, un chantage aux données personnelles

Adopté par certains éditeurs comme Webedia ou Prisma Media, le cookie wall en a énervé plus d'un :

wall

Chantage aux données personnelles, bonjour.

On retrouve également le cookie wall sur Apps :

wallapp

Chantage aux données personnelles, suite.

Le cookie wall est-il légal ? La CNIL a voulu l'interdire, sans succès :

Le « cookie wall » consiste à bloquer l'accès à un site web ou à une application mobile pour l’utilisateur qui ne donnerait pas son consentement. Dans certains cas, cette pratique, également appelée « pay wall », conditionne cet accès à une contrepartie financière, comme un abonnement.

Le Conseil d'État a estimé, le 19 juin 2020, que la CNIL ne pouvait pas interdire, par principe, cette pratique.

Dans l’attente d’une clarification pérenne sur cette question par le législateur européen, la CNIL appliquera les textes en vigueur, tels qu’éclairés par la jurisprudence, pour déterminer au cas par cas si le consentement des personnes est libre et si un cookie wall est licite ou non. Elle sera, dans ce cadre, très attentive à l’existence d’alternatives réelles et satisfaisantes, notamment fournies par le même éditeur, lorsque le refus des traceurs non nécessaires bloque l’accès au service proposé.

On attend donc impatiemment les premières décisions de la CNIL... D'ici là, vous pouvez lire ces excellents articles :

Un consentement fictif

Vous pourriez vous dire : OK, ce n'est pas si facile de refuser la surveillance, mais j'ai maintenant le choix. Encore faut-il que les éditeurs respectent ce choix... Dans la vraie vie, c'est rarement le cas :

  • Nombreux sont les éditeurs qui fuitent vos données personnelles avant même que vous ayez donné (ou refusé) votre consentement.
  • Nombreux sont les éditeurs qui fuitent vos données personnelles alors que vous avez refusé de donner votre consentement.

Longue illustration :

fuite

L'hypocrisie des éditeurs qui font semblant de respecter la loi.

Sur les Apps, ce n'est pas mieux :

avant

Sur les Apps, souvent le Far West.

Regardons les données personnelles qui fuitent :

apps

Via le logiciel Charles Proxy, il est possible d'observer toutes les requêtes.

À noter qu'Apple ATT n'empêche pas la fuite de données personnelles, seulement le tracking (la surveillance multi-Apps).

Cook

Apple vous protège bien mieux que Google contre la surveillance publicitaire, mais si vous voulez éviter toutes les fuites de données personnelles, il vous faudra passer par un bloqueur de traceurs tel que NextDNS.

Comment faire respecter la loi ?

La CNIL a récemment annoncé une vingtaine de mises en demeure :

demeure

Au vu de l'historique de l'organisme, je suis circonspect. Lisez par exemple le retour d'expérience de la Quadrature du Net : "Les GAFAM échappent au RGPD, la CNIL complice".

Noyb va néanmoins tenter l'aventure auprès des différentes CNIL européennes :

noyb

Pendant que la CNIL envoie péniblement une vingtaine de mises en demeure, Noyb prévoit d'envoyer 10.000 plaintes. On parle ici d'une petite association avec quelques bénévoles : preuve que la CNIL ne manque pas de moyens mais surtout de volonté politique.

Alors, aucun espoir ? Pas si sûr, les avancées les plus importantes pourraient venir des autorités de la concurrence, comme le décrit bien cet article. On croise les doigts et d'ici là, protégez-vous.