Le gendarme français des données personnelles a publié mardi un projet de recommandation portant sur les modalités du consentement à la publicité ciblée sur internet, et prévoit le début des contrôles à l’automne.
Ce projet est désormais soumis à consultation publique jusqu’au 25 février.
Le texte définitif, prévu en mars, ne sera pas contraignant, mais fixera un cadre de bonnes pratiques, a précisé la Commission nationale de l’informatique et des libertés (Cnil).
Ce processus suit la publication par le régulateur, en juillet, des lignes directrices qui prenaient en compte l’évolution de la législation européenne sur le sujet, notamment l’entrée en application du Règlement général sur la protection des données (RGPD) le 25 mai 2018.
S’en est suivie une période de concertation pendant laquelle les professionnels de la publicité en ligne et les associations de défense des usagers ont fait entendre leurs positions sur le sujet, accusant le régulateur de surinterpréter les règles européennes ou au contraire de repousser trop loin la date de début des contrôles. Celle-ci est finalement fixée à l’automne prochain, soit six mois après la publication des recommandations définitives, afin de laisser le temps aux éditeurs de sites internet d’apporter des modifications.
«Le résultat de la concertation est très, très léger, a critiqué Arthur Messaud, juriste à l’association la Quadrature du net, interrogé mardi par l’AFP. Ce sont essentiellement des choses déjà présentes dans le RGPD, déjà dites par la Cnil, et ce n’est pas si clair que ça. On a donc le sentiment d’avoir perdu un an (avant le début des contrôles) pour rien.» L’association avait fait un recours contre le sursis accordé aux éditeurs, rejeté en octobre par le Conseil d’État.
«Ce qui est intéressant, c’est que la Cnil ne prend pas seulement le rôle du contrôleur qui sanctionne, mais se charge aussi de publier des guides pour l’industrie», analyse de son côté Hervé Ysnel, vice-président de CGI et expert des problématiques de mise en conformité RGPD des entreprises.
«La très grande majorité des sites web et des applications mobiles est concernée par ces questions de conformité, qu’ils soient édités par des acteurs publics ou privés», énonce la Cnil dans un communiqué.
Selon une étude de l’Ifop commandée pour l’occasion, les demandes d’autorisation figurant actuellement sur les sites ne sont pas jugées efficaces par 65% des personnes interrogées, qui acceptent donc des conditions qui ne leur conviennent pas.
Dans son projet, la Cnil souhaite que l’interface de recueil du consentement offre la possibilité d’accepter ou de refuser le dépôt de traceurs avec le même degré de simplicité et sans utiliser de «pratiques de design potentiellement trompeuses» qui reviendraient à mettre plus en évidence le bouton «Accepter» que celui permettant de refuser le partage des données.
L’utilisateur ne devrait pas non plus subir de préjudice s’il refuse d’être tracé et doit être en mesure de retirer son consentement à tout moment.
Le régulateur rappelle aussi que le consentement n’est pas exigé lorsque le dépôt de traceurs est strictement nécessaire à la fourniture d’un service de communication en ligne, dont par exemple ceux destinés à l’authentification, à sauvegarder un panier d’achat, à mesurer l’audience, à limiter l’accès gratuit à un contenu payant (une pratique courante sur les sites d’actualité)… ou à conserver le choix de l’utilisateur sur le dépôt des traceurs.
La Cnil recommande enfin de ne pas recourir à des techniques de masquage de l’origine des traceurs, telles que la délégation de sous-domaine qui s’est récemment développée dans l’industrie.
