La Commission nationale de l’informatique et des libertés (Cnil) a décidé de s’attaquer aux cookies, ces petits programmes implantés par des sites dans les ordinateurs des internautes, via une série de « recommandations » qui sonnent comme un rappel à l’ordre à destination des éditeurs de site qui se refusent à appliquer la réglementation en vigueur.
« Sauf exceptions, les traceurs (cookies ou autres) ne peuvent être déposés ou lus sur le terminal d’un internaute, tant que celui-ci n’a pas donné son consentement », écrit notamment la Cnil.
Les cookies, souvent qualifiés de mouchards, ont été inventés au milieu des années 1990 pour faciliter les achats en ligne en permettant d’identifier plus facilement un internaute et ainsi gérer ses visites, son panier d’achat, son historique, ou encore de personnaliser les contenus proposés. Mais, au fil des années, cette technologie a connu un développement spectaculaire et a donné naissance à des cookies toujours plus performants utilisés à outrance par de nombreux acteurs.
On a vu par exemple apparaître la possibilité pour des sites d’installer des « cookies tierce partie », c’est-à-dire envoyant des informations à une autre société que le site visité, via des images ou des « boutons » sur lesquels l’internaute clique. On peut également citer les « cookies zombies » capables de se « re-créer » après avoir été supprimés par l’utilisateur. Ces différents outils sont aujourd’hui notamment utilisés par les agences de publicité en ligne. Ils permettent en théorie de pister vos activités sur internet quel que soit le site visité, et offrent la possibilité de récolter et recouper vos différentes informations personnelles.
Face à ces dérives, la Cnil tente depuis des années « d’imposer » à certains acteurs le recueil préalable de l’accord des internautes avant de placer un cookie sur son ordinateur. Les secteurs visés sont les « éditeurs de sites, de système d’exploitation, et d’applications », les « régies publicitaires », les « réseaux sociaux » et les « éditeurs de solutions de mesure d’audience ».
Toutes les utilisations ne sont pas concernées par cette obligation qui se limite aux « cookies liés aux opérations relatives à la publicité ciblée », « les cookies des réseaux sociaux générés par les "boutons de partage des réseaux sociaux" ». La Cnil exclut de ses recommandations ceux « ayant pour finalité exclusive de permettre, ou de faciliter la communication par voie électronique » et ceux « strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur ».
Cette prise de position de la Cnil n’est cependant pas nouvelle. Le 25 décembre 2009, le Parlement et le Conseil européens avaient adopté une directive, dans le cadre du « Paquet Telecom », traitant spécifiquement des cookies. Ce texte avait été transposé en droit français par une ordonnance publiée le 24 août 2011, prévoyant d’imposer peu ou prou les mêmes mesures.
« Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète (…) de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement », stipulait l’ordonnance. Le texte prévoyait encore que « ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son accord. »
Cette ordonnance avait fait l’objet d’une querelle d’interprétation entre la Cnil et les professionnels du net qui souhaitent garder un maximum de liberté dans leur surveillance des internautes. Le texte prévoit en effet que le consentement de l’usager « peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle ». Pour les régies publicitaires et éditeurs de site, cette disposition signifie que le seul fait de ne pas avoir configuré son navigateur vaut ainsi « consentement ».
Une interprétation rejetée par la Cnil qui, au mois d’avril 2012, avait mis les points sur les « i » dans un communiqué intitulé « Ce que le Paquet Telecom change pour les cookies ». « Il faut, tout d’abord, informer la personne de la finalité du cookie (ex : publicité), puis lui demander si elle accepte qu’un cookie soit installé sur son ordinateur », rappelait ainsi la Cnil, qui listait ensuite différents moyens pour informer et récolter l’avis de l’internaute. « Une bannière en haut d’une page web », « une zone de demande de consentement », « des cases à cocher »…
Des recommandations qui, en plus d’un an, n’ont été que très peu suivies. Si la notion de « consentement » est le point le plus contesté, on ne peut que constater que très peu de sites respectent les autres obligations prévues par la loi, à commencer par celles d’information des internautes. À l’occasion de la publication de l’ordonnance de 2011, la Cnil avait lancé un dialogue avec les professionnels du secteur, un dialogue reconduit à l’occasion du communiqué d’avril 2012. Les « recommandations » publiées lundi sonnent donc avant tout la fin de cette procédure de dialogue tout en faisant un geste d'ouverture à destination des professionnels. En effet, si la Cnil réaffirme le principe d'un accord en deux temps, tout d'abord information puis consentement de l'internaute, elle concède que ce dernier ne doit pas être forcément explicite. Ainsi, si l'usager, après avoir été informé, ne prend pas la peine de visiter la page dédiée et choisit de poursuivre sa navigation sans refuser les cookies, il sera réputé avoir donné son accord.
« Il y avait des différences d’interprétation et une nécessité de clarifier les règles », confirme Judicaël Phan, coordinateur du pôle affaires économiques et nouvelles technologies à la Cnil. Pour offrir aux éditeurs de sites tous les moyens nécessaires pour se mettre en conformité, la commission propose même « en plus de la recommandation, des outils professionnels, c’est-à-dire des codes informatiques, ainsi que des outils pour les internautes » leur permettant de vérifier quels cookies sont installés sur leur ordinateur. « Le but était de trouver une solution à la fois conviviale et respectueuse de la vie privée », explique Judicaël Phan, à la CNIL.
Désormais, les professionnels n’auront plus d’excuses. « Effectivement, il s’agit de la fin de la période de consultation », poursuit le coordinateur de la Cnil, qui souligne que les discussions avec les professionnels se poursuivront. Mais parallèlement, le gendarme de la vie privée se réserve le droit d’appliquer des sanctions dont les éditeurs de site ont jusqu’à présent été exonérés. « Nous allons laisser un délai de quelques mois, pour que tout le monde ait le temps de se mettre en conformité et d’assimiler les codes. Ils pourront également proposer leurs propres solutions. Mais à partir de maintenant, la Cnil pourra utiliser les outils juridiques à sa disposition pour sanctionner. Cela peut aller de l’avertissement public à la mise en demeure, en passant par la sanction pécuniaire. »
BOITE NOIREMediapart, comme la plupart des sites de presse, ne respecte pas totalement l’ordonnance de 2011. Il faut cependant préciser que nous n’utilisons aucun cookie publicitaire ni n’utilisons cette technologie dans un but commercial. Parmi les utilisations pour lesquelles la Cnil exige le consentement de l’internaute, Mediapart n’utilise que ceux liés à la mesure d’audience, et ceux générés par les « boutons de partage de réseaux sociaux ».
Remplacer ces derniers nécessiterait un développement, en interne, de nos propres outils, un chantier auquel nous nous attellerons dans les prochains mois. De même, à terme, Mediapart mettra un place un système de recueil du consentement de ses lecteurs, conformément aux recommandations de la Cnil.
A lire aussi sur le blog de Tuxicoman : Fichier des empreintes génétiques