Nous ne sommes pas sans savoir que la CNIL est la commission nationale de l’informatique et des libertés. C’est donc sans surprise que nous devinons le rôle qu’elle a à jouer dans le tournant majeur qu’est la disparition des cookies tiers.
Par ailleurs, elle a été vivement critiquée par neuf grandes associations du secteur publicitaire composé du : Groupement des éditeurs de services en ligne (Geste), le Syndicat des régies internet (SRI), l’Union des entreprises de conseil et d’achat média (Udecam), l’Union des marques, ainsi qu’IAB France, MMAF, AACC, Fevad, et SNCD.
Ces derniers ont déposé un recours au Conseil d’Etat en septembre 2019, car ils estiment que la CNIL fait de « L’excès de zèle » et se montre « Plus royaliste que le roi », Les Echos.
Pour faire court, on reproche au gendarme français des données de « surinterpréter » les textes de la RGPD concernant le consentement des utilisateurs dans le cadre marketing. Plus précisément, selon le site spécialisé Mind Média, en deux points :
- « Les solutions actuellement sur le marché devraient être profondément revues au profit de mécanismes très aléatoires à mettre en œuvre sur le plan opérationnel sur les sites et les applications mobiles, sans pour autant mieux protéger la vie privée. De plus, ces lignes directrices pourraient avoir un effet négatif injustifié sur le caractère concurrentiel du marché de la communication et du marketing digital. »
- « Ces lignes directrices purement franco-françaises pourraient aussi venir préempter des solutions protectrices actuellement discutées dans le cadre de la proposition de Règlement e-privacy, qui doit trancher uniformément au niveau européen le statut des cookies et autres traceurs (position sur les cookies wall, rôle des navigateurs, valeur probatoire de l’information délivrée aux utilisateurs) ».
De plus, rappellent que « Les règles relatives aux cookies ne relèvent en effet pas du RGPD – que la Cnil est chargée de faire appliquer – mais du futur règlement européen ePrivacy. »
Par exemple l’interdiction du « cookie wall » par la CNIL, illustre parfaitement ces propos. A savoir que le « cookie wall », d’après la définition du Conseil d’Etat : pratique qui consiste à bloquer l’accès à un site internet en cas de refus des cookies.
À la suite de ce recours le Conseil d’Etat à délibéré et en a déduit que (ci-dessous un extrait du communiqué de presse) : Par la décision du 19 juin 2020, le Conseil d’État juge qu’en déduisant une telle interdiction de la seule exigence d’un consentement libre de l’utilisateur au dépôt de traceurs, posée par le règlement général sur la protection des données (RGPD), la CNIL a excédé ce qu’elle pouvait légalement faire dans le cadre d’un acte dit « de droit souple ». Le Conseil d’État juge que le passage contesté des lignes directrices se borne à rappeler cette exigence, sans imposer aux opérateurs des modalités techniques particulières (consentement global ou finalité par finalité) pour le recueil du consentement.
Le Conseil d’Etat confirme par ailleurs la légalité des autres points contestés des lignes directrices, concernant notamment la facilité de refus ou de retrait du consentement aux cookies, la durée recommandée de conservation des cookies ou l’information des utilisateurs sur les cookies non soumis au consentement préalable.
Ce qui légitime la CNIL dans son imposition « aux sites d’informer préalablement les utilisateurs sur les finalités et les moyens de s’opposer aux traceurs. En outre, elle exige leur consentement avant la mise en route de ce suivi. Ainsi, la poursuite de la navigation ne vaudra pas expression de ce consentement. », d’après Next impact.
Après des réclamations des professionnels du marketing, la CNIL a prévu d’éditer pour septembre 2020 des recommandations. Selon L’UsineDigitale, « Face à la crise sanitaire, l’autorité française a dû reporter la publication de la version définitive de ses recommandations sur les cookies publicitaires. Malgré l’impatience des associations, le document ne devrait pas sortir avant septembre 2020. »
Des chercheurs du Massachusetts Institute of Technology (MIT), de l’université d’Aarhus et du London’s Global University, ont publié une étude qui portait sur 10 000 sites Britaniques le 8 janvier 2020, qui montre que seulement 11,8 % des sites respecteraient les règles de le RGPD, soit 1 site sur 10 !