La CNIL vient de publier le bilan de la situation en commençant par le profilage publicitaire en ligne, qui peut être perçu comme massif et intrusif par le public. Elle fait aussi état de nombreuses plaintes individuelles et collectives.
De leurs côtés, les professionnels du métier ont fait état de difficultés pratiques à appréhender les obligations légales, issues notamment du RGPD et de la directive vie privée et communications électroniques (directive ePrivacy, texte encadrant les opérations de dépôt et de lecture de traceurs).
D'une manière générale, elle a relevé un manque de lisibilité, la complexité de l’écosystème de la publicité en ligne (entre les mails, les sites web et les applications mobiles ; ou encore la nature privée ou publique des intervenants). Aussi, elle a décidé d'une action commune en deux étapes : l'adoption de lignes directrices (celle de juillet dernier), puis l'élaboration de recommandations opérationnelles.
Rappelons que le 4 juillet dernier, la Commission avait publié des lignes directrices sur l’application de la loi du 6 janvier 1978, et plus précisément de l’article 82 qui encadre les actions visant à accéder ou à inscrire des informations dans le terminal d'un utilisateur (dont les cookies). Dans son communiqué du 28 juin, elle annonçait une concertation à l’automne 2019 pour établir de nouvelles recommandations tenant compte du RGPD.
Dans une étude IFOP réalisée auprès de 1000 Français, beaucoup disent majoritairement savoir ce que sont les cookies (avec un étonnant 95%), ils évoquent là encore un besoin de transparence et de contrôle. Par ailleurs, 70% estiment qu’il est indispensable de leur demander leur accord pour utiliser leurs données de navigation via les cookies, même si cela prend un peu plus de temps.
En revanche, 90 % aimeraient connaître l'identité des entreprises susceptibles de suivre leur navigation, estimant insuffisantes les informations disponibles. En outre, 65% ont tout de même précisé avoir accepté alors qu’elles n’étaient pas tout à fait d’accord ou qu’elles n’arrivaient pas à exprimer leur refus. De plus, 75% aimeraient un renouvellement régulier du consentement, tous les 3 mois .
Ces remarques se retrouvent d'ailleurs outre-Atlantique. Les sites Web qui opèrent en Europe avouent avoir du mal à appliquer le RGPD. Selon une étude intitulée Dark Patterns menée par des chercheurs du MIT, de l'UCL et de l'Université d'Aarhus, il serait beaucoup plus difficile de rejeter tout suivi que de l'accepter. Dans les faits, seulement 11,8% des 10 000 sites vérifiés satisferaient aux exigences minimales fixées sur la base du droit européen.
Les futures recommandations envisagées se destineraient aux organismes privés et publics. Comme son nom l'indique, il s'agirait de simples prescriptions, un guide des bonnes pratiques en quelque sorte. Toutefois si elles ne sont pas coercitives, leur non application pourrait être qualifiée d'infraction aux normes en vigueur. Pour clarifier la situation, elles devraient s'accompagner d'exemples pratiques, notamment au niveau du recueil du consentement.
Pour élaborer ces dernières, la CNIL ouvre donc une consultation publique pendant 6 semaines (jusqu'au 25 février). À l’issue de cette période, une nouvelle version du projet de recommandation sera présentée et discutée en séance plénière...
