Accueil > Médias & Audiovisuel > L'après-cookies > [Info mind] Pose des cookies par les éditeurs et régies en ligne : vers des sanctions par la CNIL ? [Info mind] Pose des cookies par les éditeurs et régies en ligne : vers des sanctions par la CNIL ? La CNIL, l’institution qui protège les données personnelles et la vie privée en ligne, reproche aux éditeurs de contenus et services en ligne et aux régies de violer la loi dans la pose des cookies. Elle établit deux griefs : la pose de traceurs dès la première page consultée sans information complète au préalable et l’absence de consentement des internautes. Les professionnels, eux, évoquent des concepts inadaptés aux réalités de leur activité et du marché publicitaire en ligne. Certaines procédures sont très avancées et des sanctions attendues. Qui sont les éditeurs concernés ? Que leur r eproche-t-on exactement et quelles sont leurs positions ? Quelles peuvent êtr e les sanctions prononcées ? Par . Publié le 13 mars 2016 à 22h55 - Mis à jour le 13 mars 2016 à 22h55 Ressources La CNIL passe à l’offensive. Si, en matière de traceurs publicitaires, l’institution chargée de protéger la vie privée s’est contentée de discuter et de négocier en 2013 et 2014 avec Le Geste, le SRI, l’IAB, la FEVAD, etc. (lire notre encadré sur l’historique des relations entre la CNIL et les éditeurs en page suivante), elle a passé la vitesse supérieure à partir du printemps 2015 : selon nos informations, sa présidente, Isabelle Falque-Pierrotin, a prononcé 40 mises en demeure à l’encontre de sociétés éditant des sites internet en France (sites médias, pures players, sites marchands…) et de régies. Certaines des procédures entamées sont maintenant dans leur dernière ligne droite. L’instance l’avait déjà constaté dans des contrôles effectués fin 2014 (24 sur place, 27 en ligne, et 2 auditions, selon son rapport d’activité présenté en avril 2015) : selon elle, c’est presque l’intégralité des grands sites internet qui n’informent pas suffisamment les internautes et ne recueillent pas réellement leur consentement avant de déposer des cookies de tracking publicitaire et de mesure d’audience. Depuis cette première salve, la CNIL a intensifié ces contrôles, en se concentrant sur les sites générant le plus d’audience, estimant qu’ils posaient le plus de problèmes pour la vie privée des internautes. Selon nos informations, au moins une dizaine de régies ou grands éditeurs sont maintenant concernés par des procédures relativement avancées, parmi lesquels Le Monde, Le Figaro, Lagardère Active et L’Express. En 2015, la CNIL a prononcé 40 mises en demeure à l’encontre de sociétés éditant des sites internet en France ou posant des traceurs. Une information parcellaire et un consentement absent ? Concrètement, la CNIL reproche aux éditeurs et aux régies publicitaires de ne pas respecter sa délibération du 5 décembre 2013 sur deux points majeurs : l’information et le consentement des internautes. Premier litige soulevé par la CNIL : l’information délivrée aux internautes. Si les éditeurs affichent effectivement sur leur site un bandeau informant que la poursuite de la navigation vaut accord pour l’installation et la lecture de cookies, l’information délivrée n’est pas complète puisque ce bandeau n’informe presque jamais l’internaute de la possibilité, au sein de son navigateur, de paramétrer au cas par cas et de manière fine les autorisations accordées au site. La deuxième critique formulée par la CNIL aux grands éditeurs de sites en France concerne le consentement des internautes préalablement à l’insertion des cookies. Les éditeurs ne peuvent plus, en théorie, placer et utiliser un cookie sur un ordinateur dès la première page vue par l’internaute, mais attendre d’avoir recueilli son consentement, et, le cas échéant, placer un cookie à partir de la deuxième page vue. La nature de ce “consentement” a été négociée âprement en 2014 entre les associations professionnelles et la CNIL : il peut s’agir d’une action de l’internaute pour fermer le bandeau publicitaire, d’un clic sur le site ou d’un scroll sur la page. Mais quid de la situation où l’internaute se contente de consulter le premier écran et de lire le titre et le début de l’article – et d’être exposé aux publicités au-dessus de la ligne de flottaison – sans réaliser aucune action ? Pour la CNIL, cet internaute n’a pas donné son consentement et cela justifie le principe selon lequel un cookie ne peut être délivré que lors d’une deuxième page consultée. Pour les éditeurs, cela n’a pas de sens et va à l’encontre à la fois du comportement des utilisateurs en ligne et des réalités du marché publicitaire en ligne. D’abord concernant la mesure d’audience. Le Geste, l’association professionnelle qui rassemble les principaux éditeurs de contenus et services en ligne en France, avait d’ailleurs publiquement annoncé dès septembre 2014 que “les éditeurs n’attendront pas l’accord de l’utilisateur pour déposer un cookie de mesure d’audience lors de sa première visite”. “Le taux de rebond est très élevé sur la plupart des sites à forte audience, peu de pages sont consultées. Nous avons besoin de mesurer l’audience dès la première page vue et quelle est-elle”, souligne un éditeur. La CNIL recommande certes l’utilisation d’un outil de mesure d’audience qui n’enfreint pas ses recommandations – Piwik – mais les éditeurs le disent inadapté à leurs besoins. Outre la difficulté de mesurer correctement et précisément leurs audiences, les éditeurs affirment que ne pas pouvoir placer de cookie dès la première page vue par l’internaute est nuisible à leur activité publicitaire : “nous avons besoin de placer des cookies de tracking publicitaire rapidement car c’est la première page vue sur un site qui se monétise le mieux auprès des annonceurs. Cela nous causerait un préjudice économique énorme et c’est difficile techniquement”, estime un éditeur. La CNIL souligne être dans son rôle et ne faire qu’appliquer la loi Novembre 2009 : Le Parlement européen vote la législation “Paquet Télécom” qui durcit le cadre légal de la collecte et la gestion des données personnelles en ligne, transposée par la France en août 2011. 5 décembre 2013 : La CNIL s’adapte à cette évolution et publie la délibération n°2013-378 : sauf exceptions, les traceurs (cookies ou autres) ne peuvent être déposés ou lus sur le terminal d’un internaute tant que celui-ci n’a pas donné son consentement. 16 décembre 2013 : La CNIL publie une recommandation qui précise les bonnes pratiques pour se mettre en conformité avec sa délibération relative aux cookies et autres traceurs, notamment la mise en place d’un bandeau informant l’internaute que la poursuite de sa navigation vaut accord (pendant 13 mois) pour l’installation et la lecture de cookies. Ce bandeau doit mentionner les finalités des cookies utilisés et informer de la possibilité de s’y opposer via un lien vers une page dédiée du site. 8 janvier 2014 : Le Geste conseille aux éditeurs de suivre les recommandations de la Cnil et de placer ce bandeau dès la première visite sur leur site. Le bandeau sera effectivement installé. 1er septembre 2014 : Le Geste annonce que “les éditeurs n’attendront pas l’accord de l’utilisateur pour déposer un cookie de mesure d’audience lors de sa première visite”. Octobre 2014 : Début des contrôles de la CNIL pour vérifier la conformité des acteurs de la publicité en ligne à sa recommandation du 16 décembre 2013 relative aux cookies et autres traceurs. Avril 2015 : La CNIL annonce avoir réalisé, entre octobre et décembre 2014, 24 contrôles sur place, 27 en ligne et 2 auditions, selon son rapport d’activité. A partir du printemps / été 2015 : Les discussions entre les grands éditeurs et la CNIL se tendent et tombent dans une impasse. Les éditeurs ne veulent pas se plier aux interprétations de la CNIL. Les procédures se multiplient. 10 mars 2016 : La CNIL indique à mind-Satellinet que sa présidente a prononcé 40 mises en demeure à l’encontre de l’ensemble des sites internet en France (sites médias, pures players, sites marchands…). Un dialogue de sourds Les infractions constatées par la CNIL ont donc débouché sur plusieurs dizaines de mises en demeure prononcées par sa présidente depuis août 2014. Il s’agit d’injonctions à se conformer à ses recommandations avant sanction. Si le dialogue perdure avec les éditeurs (par des échanges de lettres, des auditions…), les discussions sont dans une impasse, chacun campant sur ses positions. L’attitude de la CNIL est jugée incompréhensible par les éditeurs – qui estiment avoir fait le maximum possible – et parfois qualifiée de “jusqu’au-boutiste”. “””Cela fait plusieurs mois que nous discutons de ces sujets avec la CNIL. Il y a eu un temps pour les négociations, on entre dans celui des sanctions.”” Un familier du dossier La direction du Groupe Le Monde aurait d’ailleurs envoyé un courrier très offensif à la CNIL, l’accusant de s’immiscer dans son modèle économique basé sur la publicité. “Elle prend en otage les éditeurs français avec une posture radicale que ses homologues en Europe n’ont pas, estime un autre éditeur. On a le sentiment qu’elle se rabat sur les éditeurs français parce qu’elle n’arrive pas à coincer Google et Facebook, dont l’importance sur le marché publicitaire et le tracking des internautes sont autrement plus importants que ce que nous faisons. C’est à se demander s’il n’y a pas une trajectoire politique ou carriériste derrière ces décisions.” Des sanctions, mais lesquelles ? “Cela fait plusieurs mois que nous discutons de ces sujets avec la CNIL. Il y a eu un temps pour les négociations, on entre dans celui des sanctions”, nous confie un proche du dossier. Pour prendre des sanctions, l’instance siège dans une formation spécifique composée de cinq membres et d’un président distinct du président de la CNIL. Ce n’est donc pas Isabelle Falque-Pierrotin qui dresse les sanctions, lesquelles peuvent être diverses : avertissement, sanction pécuniaire, mise en demeure sectorielle avec communication publique etc. Selon un familier de la CNIL interrogé par mind-Satellinet, c’est peut-être cette dernière option que va enclencher l’institution ces prochains mois. Autrement dit, la CNIL pourrait attendre la fin de plusieurs procédures actuellement menées contre des éditeurs et régies avant de publier un avis collectif de mise en demeure, avec l’obligation de se conformer à la loi sur la vie privée dans un délai de trois mois sous peine de sanction. C’est ce type de décision que l’organe a rédigé à l’encontre de sites de rencontres en juillet 2015 Certains éditeurs interrogés par mind-Satellinet, dont les procédures en cours sont déjà avancées, se disent, eux, plus pessimistes et s’attendent à être sanctionnés de manière individuelle. Si c’est le cas, que risquent-ils ? Un précédent permet de se faire une idée : en janvier 2014, la formation restreinte de la CNIL avait prononcé une amende de 150 000 euros à l’encontre de Google, l’obligeant également à l’insertion d’un communiqué relatif à cette décision sur le site google.fr pendant 48 heures. Parmi les griefs reprochés par la CNIL, le non-respect de “l’obligation d’obtenir le consentement des utilisateurs préalablement au dépôt de cookies sur leurs terminaux”. A leur niveau, les éditeurs qui seront éventuellement sanctionnés par la CNIL peuvent donc s’attendre à des amendes de quelques dizaines de milliers d’euros et l’insertion d’un communiqué sur leur page d’accueil. Quelles que soient les sanctions prononcées, les éditeurs, pour l’instant démunis, ne savent pas comment réagir. Le Geste estime pour sa part qu’il n’est pas de son ressort de mener la fronde. Faut-il en faire une affaire publique et/oui sensibiliser le législateur à ce que les éditeurs estiment un réel danger pour leur activité publicitaire ? C’est une possibilité avancée par l’un deux, mais la CNIL est une autorité administrative indépendante. Comment fonctionne la CNIL ? La CNIL élit son président parmi ses membres ; elle ne reçoit d’instruction d’aucune autorité. Les ministres, autorités publiques, dirigeants d’entreprises, publiques ou privées, ne peuvent s’opposer à son action. Le président de la CNIL recrute librement ses collaborateurs. La CNIL comprend un collège pluridisciplinaire de 17 membres : 4 parlementaires (2 députés, 2 sénateurs), 2 membres du Conseil économique, social et environnemental, 6 représentants des hautes juridictions (2 conseillers d’État, 2 conseillers à la Cour de cassation, 2 conseillers à la Cour des comptes), 5 personnalités qualifiées désignées par le Président de l’Assemblée nationale (1 personnalité), le Président du Sénat (1 personnalité), en Conseil des Ministres (3 personnalités). Le mandat des commissaires est de 5 ans ou, pour les parlementaires, d’une durée égale à leur mandat électif. Les dossiers sont examinés en séances plénières Les membres de la CNIL se réunissent en séances plénières une fois par semaine sur un ordre du jour établi à l’initiative de son président. Une partie importante de ces séances est consacrée à l’examen de projets de loi et de décrets soumis à la CNIL pour avis par le gouvernement. La CNIL autorise également les traitements les plus sensibles. Les sanctions sont prononcées en formation restreinte Pour prendre des mesures à l’encontre des responsables de traitement qui ne respectent pas la loi informatique et libertés, la CNIL siège dans une formation spécifique composée de 5 membres et d’un président distinct du Président de la CNIL. A l’issue de contrôles ou de plaintes, elle peut prononcer diverses sanctions qui peuvent être rendues publiques : avertissement, sanction pécuniaire, etc. Source : site internet de la CNIL CNILCookiesDonnées personnelles Besoin d’informations complémentaires ? Contactez le service d’études à la demande de mind essentiels Nos synthèses et chiffres sur les principales thématiques du marché Les mutations du search à l'ère de l'IA générative L'application inaboutie de la loi sur les droits voisins Google vs DOJ : tout ce qu'il faut savoir sur le procès qui pourrait redéfinir l'adtech L’essentiel sur les identifiants publicitaires La transformation du marché publicitaire en 2024 2023 : le marché publicitaire doit se préparer à la fin du tracking utilisateur Comment l’intelligence artificielle générative bouleverse les médias Les enjeux réglementaires des médias en 2023 analyses Les articles d'approfondissement réalisés par la rédaction Adtech : pourquoi la Commission européenne sanctionne Google de près de 3 milliards d’euros Retail media : une consolidation indispensable des régies pour répondre aux attentes des acheteurs publicitaires IA et monétisation des contenus : comment l’IAB Tech Lab veut contrôler les robots crawlers Droits voisins : l’Apig veut introduire une plainte contre Meta devant l'Autorité de la concurrence Paul Boulangé (Starcom France) : "Nous sommes en train de déployer Captiv8 en France, notre solution d'automatisation du marketing d'influence" Claire Léost devient DG de CMA Média, WPP Media promeut Stéphanie Robelus… Comment les SSP généralistes investissent le secteur du retail media Bénédicte Wautelet (Le Figaro) : “Toute solution qui utilise de l’IA en rapport avec nos contenus doit y être autorisée et nous rémunérer” Aides à la presse : combien les éditeurs ont-ils perçu en 2024 ? Le New York Times affiche toujours une croissance très robuste portée par le numérique data Les baromètres, panoramas et chiffres sur l'évolution du marché Le classement des éditeurs français qui ont le plus d'abonnés purs numériques Les données récoltées par les acteurs de la publicité en ligne La liste des sociétés présentes dans les fichiers ads.txt des éditeurs français Les gains de budget des agences médias Opt-out : quels éditeurs français interdisent les robots crawlers de l'IA générative ? Le panorama des sociétés spécialisées dans les technologies de l’e-retail media La liste des outils utilisés par les équipes éditoriales, marketing et techniques des éditeurs français Le détail des aides à la presse, année par année La liste des CMP choisies par les principaux médias en France Digital Ad Trust : quels sites ont été labellisés, pour quelles vagues et sur quel périmètre ?
