Cookies et publicité : la CNIL étend ses contrôles aux partenaires des éditeurs
L'été sera chaud, l'été sera chaud...
Le 27 juillet 2016 à 12h45
7 min
Internet
Internet
La CNIL passe la seconde concernant ses enquêtes sur les cookies et traceurs en s'intéressant désormais aux partenaires des éditeurs. Ainsi, tous les acteurs de la chaîne de valeur publicitaire sont désormais concernés. De nouvelles recommandations sont attendues ainsi que d'éventuelles sanctions.
Voilà plusieurs années que la CNIL et les éditeurs s'opposent sur la question des cookies et autres traceurs. Comme évoqué dans une précédente analyse, suite à une première série d'enquêtes menée depuis 2014, la Commission avait décidé de rencontrer les éditeurs en mars dernier.
Cookies et traceurs : les éditeurs ne veulent pas être les seuls à payer pour les dérives
De là, une sorte de moratoire avait été mis en place, laissant aux éditeurs jusqu'à la rentrée pour se mettre en conformité, de nouvelles recommandations étant attendues pour l'été. Mais surtout, une question importante avait été soulevée : les cookies diffusés par les sites, à travers leurs espaces publicitaires, notamment en programmatique, sont-ils exclusivement de leur responsabilité ou aussi de leurs prestataires (plateformes, régies, agences, etc.) ?
Sur la problématique, on pourra revoir cette émission d'Arrêt sur images, mais retenons que la plupart des sites n'ont plus vraiment le contrôle sur ce qui est diffusé sur leurs pages. Les publicités étant achetées et diffusées de manière automatisée, les dérives ont été démultipliées, chaque maillon de la chaîne rajoutant ses propres traceurs, chargeant d'autant la barque.
C'est ce qui explique les relevés que l'on peut faire sur certains sites encore aujourd'hui, mais aussi les redirections « surprise » vers l'App Store et quelques cas de diffusion de malwares.
Le Monde et L'Express > Melty pic.twitter.com/8SM67gJoW3
— David Legrand (@davlgd) 18 juillet 2016
Lors de la publication du rapport annuel de la Commission en avril dernier, 40 contrôles concernant les cookies avaient été signalés pour 2015. Surtout, se confirmait qu'une approche visant l'ensemble de l'écosystème publicitaire allait être mise en mouvement.
La CNIL prépare sa rentrée
Aujourd'hui, la CNIL en donne des précisions, tout en retraçant l'historique des discussions avec les éditeurs, histoire de bien montrer son implication. Elle part d'un constat simple : « Le marché de la publicité en ligne s’est profondément métamorphosé au cours des trois dernières années, passant d’un ciblage massif de population par grandes catégories sociodémographiques au ciblage individualisé. La publicité ciblée nécessite une connaissance précise des préférences, comportements et liens sociaux des internautes qui se traduit par des techniques de traçage et une exploitation toujours plus fine des données par les intermédiaires de la chaine de valeur ».
Pour autant, les règles actuelles n'ont pas été respectées : la manifestation d'un consentement par le biais d'une action positive, en ayant pleine connaissance de la finalité, et la possibilité de révoquer à tout moment ce consentement. Il faut dire que dans l'esprit des éditeurs, une telle mise en œuvre génèrerait une perte de revenus importante, d'autant qu'ils ne sont pas à l'origine de la majorité des cookies et traceurs.
Responsabilité partagée entre les éditeurs et l'écosystème publicitaire
Côté CNIL, pas question de les exonérer de leur responsabilité, partagée entre les différents acteurs, qu'ils déposent ou participent à la diffusion des cookies et traceurs. « Les données collectées par l’intermédiaire des cookies « tiers » sont en effet traitées et exploitées pour des finalités et dans des conditions que ces sociétés tierces ou partenaires définissent. En tant que responsables du traitement, ces sociétés sont tenues de respecter la loi Informatique et Libertés, et notamment le principe du consentement préalable de l’internaute au dépôt du traceur recueillant ses informations. À défaut, d’un tel consentement, la collecte des données traitées par ces tiers est illicite » rappelle l'autorité indépendante.
Pour elle, la mise en conformité doit donc viser l'ensemble de la chaîne, si le secteur souhaite « construire des modèles de publicité ciblée pérennes, c’est-à-dire respectueux des droits des personnes ». La Commission a donc décidé d'étendre ses contrôles au-delà des seuls éditeurs de sites, et donc « auprès des professionnels non éditeurs qui émettent des cookies. L’objectif étant de promouvoir une solution globale de conformité sur l’ensemble de la chaîne de la publicité en ligne ».
De nouvelles règles en attendant le règlement européen
Concernant les recommandations qui devraient suivre, quelques pistes sont déjà tracées. Les éditeurs restant le premier point de contact des internautes, « il pourrait être prévu en pratique et a minima » :
- qu'une liste actualisée à intervalles réguliers des partenaires soit mise à disposition sur le site visité pour identifier les responsables de traitements ;
- que cette liste comporte pour chaque partenaire un lien hypertexte renvoyant à une page dédiée, expliquant en des termes clairs :
- la nature des données utilisées et la finalité des traitements opérés ;
- la manière d’exercer les droits, notamment d’opposition, concernant ces traitements ;
- le cas échéant, la liste de sociétés rendues destinataires des informations.
Une manière de viser une information plus claire aux internautes, trop souvent renvoyés aux réglages de leur navigateur sans vraiment plus de détails. Les éditeurs devraient néanmoins s'étrangler devant la perspective de lister la centaine d'intervenants potentiels dans le ciblage de leurs publicités. Seule alternative alors : proposer des mécanismes de gestion du consentement unifiés... ou réduire le nombre de prestataires.
Il sera aussi intéressant de voir si les évolutions concerneront le cas de la première visite. C'est en effet un autre point de tension, notamment pour les relevés d'audience. Un visiteur qui ne viendrait qu'une fois sans forcément donner son consentement ne serait ainsi jamais comptabilisé. De quoi revoir drastiquement à la baisse les chiffres des sites qui décideraient de jouer le jeu. Si des outils comme Piwik ou une offre spécifique d'AT Internet ne nécessitent pas de consentement préalable sous certaines conditions, ils n'ont pas la préférence des éditeurs, du moins ceux vissés à leurs rapports Google Analytics, Chartbeat, etc.
Pour la CNIL, en tout cas, « les conséquences des contrôles menés sur l’ensemble de la chaîne seront tirées par la CNIL au cours des prochains mois ». Une action qui apparaîtra aux yeux de certains bien tardive.
De son côté, le règlement européen relatif à la protection des données personnelles, programmé pour 2018 sera plus strict sur ces questions (voir notre analyse). Notamment, « les partenaires devront aussi communiquer l’origine des informations qu’ils utilisent ainsi que leur durée de conservation et préciser si un profilage est mis en œuvre et la logique sous-jacente en cas de prise de décision automatisée ».
Le monde de la publicité ciblée et automatisée, habitué aux usines à gaz, va devoir se mettre à la simplicité et à la transparence. De quoi permettre à certains acteurs d'émerger, mais à d'autres de passer des mois difficiles dans les deux ans qui viennent.
Cookies et publicité : la CNIL étend ses contrôles aux partenaires des éditeurs
-
Cookies et traceurs : les éditeurs ne veulent pas être les seuls à payer pour les dérives
-
La CNIL prépare sa rentrée
-
Responsabilité partagée entre les éditeurs et l'écosystème publicitaire
-
De nouvelles règles en attendant le règlement européen
Commentaires (11)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 27/07/2016 à 21h33
Le 02/08/2016 à 10h17
Cest moi ou ya un grand vide sur les moyens de garantir la libre concurrence, la présence de boites foss/fr dans les appels d’offres, l’avenir des “tech iciens de Surface” formés à la chaîne par l’ÉN…
oK pour la gestion, mtnt où est le politique ?
PS je moukine pour commenter depuis androïde ‘:-/>
Le 27/07/2016 à 12h56
Cela fait plus de 8 ans que je trouve ces cookies lourdes et chiantes et ça existait déjà avant. c’est fou que c’est seulement maintenant qu’ils les remarquent et semblent les sanctionner
Le 27/07/2016 à 13h03
C’est le problème avec les gros et vieux organismes, ils ne ce rendent compte qu’ils ce sont déjà fait dévorer une patte entière que bien trop tard …
Le 27/07/2016 à 13h18
" /> Mes débuts sur windows XP et un antivirus m’avait permis de faire une sélection de ces cookies par essais à la fin, il y en avait tellement sur les sites que j’ai laissé tomber
Le 27/07/2016 à 13h54
Même si c’est tard, il est bon que la CNIL se soit rendu compte du problème. On va bien rire dans les prochains mois " />
Le 27/07/2016 à 14h07
Le 27/07/2016 à 17h21
Oui bon, cocher la case “bloquer les cookies tiers” dans les préférences du navigateur, c’est pas compliqué.
Le 27/07/2016 à 17h31
Le 27/07/2016 à 17h42
Oui mais ça revient aussi à considérer que tous les cookies tiers sont néfastes. C’est comme les cookies classiques, ce n’est pas forcément le cas ;) Tout bloquer n’est jamais la bonne solution. Mais le plus simple n’est que rarement le mieux.
Le 27/07/2016 à 18h17