Cookies et RGPD : la CNIL siffle la fin de la récréation

“La simple poursuite de la navigation sur un site ne peut plus être regardée comme une expression valide du consentement au dépôt de cookies.” 

Ces quelques lignes publiées le 18 juillet dernier sur le site de la CNIL mettent en émoi les différents acteurs du digital pour lesquels le cookie est la pierre angulaire technologique du business model : sites éditeurs, écosystème adtech, éditeurs de solutions analytics ou d’A/B Testing…

“Un big-bang se prépare”, “La CNIL durcit le ton”, “A quelle sauce la CNIL va manger les cookies ? “… Voici un florilège de phrases glanées ça et là en préparant la rédaction de cet article.

Peut-être qu’un big-bang se prépare et oui, la CNIL durcit le ton… Mais elle met surtout fin à une grande hypocrisie ! Cette annonce est en effet, selon nous, la suite naturelle du mouvement autour de la protection des données personnelles dont le recueil d’un consentement éclairé est un pilier fondamental :

• En 2009, la directive européenne “Paquet Telecom” (appelée également e-privacy) obligeait les sites à informer les internautes sur le dépôt des cookies et à obtenir leur consentement préalable.
• En 2013, la CNIL avait adopté une recommandation ayant pour objectif d’aider les acteurs dans l’application de la directive “Paquet Telecom” de 2009. Les bandeaux cookies faisaient ainsi leur apparition.
• En 2018, le RGPD est venu renforcer les exigences en matière de validité du consentement.
• En 2019, la CNIL abroge la loi de 2013 qui n’était plus compatible avec les nouvelles dispositions du RGPD.
• En 2020, la CNIL publiera sans attendre le futur règlement eprivacy en discussion au niveau européen et à l’issue d’une concertation avec les professionnels, une recommandation définitive précisant les modalités pratiques de recueil du consentement.
• Une période d’adaptation de 6 mois sera accordée aux différents acteurs pour s’adapter aux nouvelles règles.

La fin du soft opt-in était écrite tant elle allait à l’encontre du principe de recueillir un consentement explicite et éclairé.
Comme l’a illustré notre dernier baromètre “RGPD & Cookies”, la plupart des annonceurs mettent en effet tout en oeuvre – et c’est de bonne guerre – pour rendre le bandeau cookie le plus discret possible et ainsi collecter le consentement à la poursuite de navigation ou au scroll :

• près de 2 sur 3 des bandeaux cookies sont en bas de page,
• ils sont peu visibles (moins de 5% de la hauteur de la page, sans bouton ni de couleur qui le différencie du reste de la charte du site),
• la plupart disparaît dès le scroll ou au clic sur un lien.

Si les intentions de la CNIL sont claires, les recommandations opérationnelles qui seront fournies début 2020 suscitent de nombreuses interrogations et de nombreuses inquiétudes (légitimes) chez certains acteurs directement dépendants du cookie :

• Est-ce que la CNIL imposera la présence d’un bouton “Je refuse” directement sur chaque bandeau cookie (actuellement présent sur 2% des bandeaux selon notre baromètre) ?
• Est-ce que le traitement graphique du bouton “Je refuse” devra être équivalent à celui du bouton “J’accepte” ?
• Est-ce que la personnalisation des préférences par catégories de cookies devra être possible directement depuis le bandeau et non après plusieurs clics ?
• …

Toutes ces modalités vont faire l’objet d’âpres négociations au cours des prochains mois, tant les conséquences d’un monde sans cookies peuvent être grandes :

• Les publicités seraient forcément moins personnalisées ;
• Le retargeting serait de plus en plus compliqué ;
• L’A/B Testing resterait possible mais s’exposerait à de nombreux biais statistiques (un même internaute pourrait voir les 2 variantes d’une même page) ;
• Les données Analytics collectées pourraient se réduire comme peau de chagrin, sauf à faire appel à des solutions exemptées de consentement comme AT Internet ou Matomo (ew-Piwik).

Comme nous l’avions évoqué dans un récent article sur l’avenir de l’Analytics, aucune solution alternative (fingerprinting, local storage…) satisfaisante n’existe à ce jour.

Outre le RGPD, la survie du cookie est également remise en cause par les évolutions technologiques des navigateurs comme Safari qui limite la durée de vie des cookies first party via son protocole ITP 2.2

C’est donc toute une industrie qui risque de payer pour des pratiques publicitaires abusives qui ont provoqué un sentiment de défiance chez l’internaute.

Mais vu les enjeux économiques et la capacité de lobbying de certains acteurs, nous ne pouvons croire que la CNIL impose des recommandations qui inciteraient 100% des internautes à refuser le dépôt des cookies.

L’éducation du grand public sur ces problématiques par les acteurs de l’industrie publicitaire sera donc un enjeu clé au cours des prochains mois, afin d’inciter les utilisateurs à accepter le dépôt des cookies.
Sans cookie, la pérennité économique des sites médias vivant de la publicité pourrait être menacée.

Au final, ce qui est sûr, c’est qu’il y aura un avant/après et que si ces évolutions réglementaires permettent d’éradiquer définitivement certaines pratiques de cow-boy, de respecter un peu plus l’utilisateur et de contester par la même occasion certains monopoles, ce sera malgré tout une très bonne chose.