Cookies : le consentement des internautes doit se faire directement sur le site web, exige la Cnil

Selon nos informations, la Cnil demande aux professionnels de la publicité sur Internet et du marketing direct de ne pas déposer de cookies publicitaires lors
de la première visite des sites web, tant que l’internaute n’a pas poursuivi sa navigation, ni d’en déposer lors de la lecture d’e-mails.

Il y a près d’un an, en avril 2012, la puissante Union française du marketing direct et digital (UFMD) – regroupant plusieurs organisations et associations de la publicité ou du e-commerce (1) – publiait un « Guide de bonnes pratiques concernant l’usage des cookies publicitaires » destinés aux professionnels et au grand public (2).

Les cookies sont-ils mortels ?

L’actualité bruisse à nouveau de vives discussions sur le statut des cookies, ces fichiers textes de faible taille (4 Ko environ) transmis par les serveurs pour être mémorisés par le navigateur de l’internaute. Des abus auraient été signalés faisant état d’une nouvelle génération de cookies visant à les détourner de leur fonction initiale. Comme en 2011, année où apparurent des « bittersweet cookies » (cookies doux-amers), il s’agit pour leurs développeurs de proposer, plus ou moins furtivement, des cookies permettant d’identifier l’utilisateur de manière persistante. Des cookies de plus en plus dévoreurs de données, cela pose en effet la question de leur nature même et plus largement du droit des internautes à contrôler la diffusion et la conservation de leurs traces sur le Net. Les cookies sont aussi vieux que l’Internet : ils étaient déjà utilisés
en informatique, sous le terme de « magic cookies », avant que deux ingénieurs de Netscape n’aient l’idée de les intégrer, dès 1994, dans le pionnier des navigateurs.
A l’époque, les cookies visaient très simplement à savoir si les visiteurs de Netscape étaient déjà venus auparavant. Puis, cette modeste innovation fut promise à un grand destin. A la base de services en ligne indispensables, les cookies sont de plus en plus souvent vécus comme intrusifs. Or nous nous passerions difficilement de ces discrets serviteurs, lesquels simplifient notre vie sur la Toile. Pour la gestion de nos sessions,
il est en effet bien plus rapide de ne pas avoir à s’identifier à chaque retour sur les mêmes sites. Ce petit « mouchard » enregistre également nos préférences et la configuration de notre ordinateur. Les services apportés en termes de personnalisation sont en revanche plus ambiguës, telles les publicités vues, pour lesquelles la présence du cookie permet de ne pas proposer indéfiniment la même bannière à l’internaute.

« Consentement préalable (opt-in) : l’édifice, encore
fragile, de la pub en ligne – au sommet duquel trône Google – en fut ébranlé, mais la profession s’y résigna ».

Guide pratique sur les cookies et charte OBA en vue

En fait. Le 27 mars, le président d’IAB France, Jérôme de Labriffe, titre son édito
« De nouveaux challenges réglementaires en 2012 », suite à l’ordonnance du
24 août 2011 sur les cookies et à la réforme européenne sur les données personnelles. L’UFDM, elle, va publier son « Guide pratique des cookies ».

En clair. Selon nos informations, l’Union française du marketing direct et digital (UFMD) – qui regroupe plusieurs organisations et associations de la publicité ou du e-commerce (UDA, Fevad, AACC, MMA, BVP, …) – va officialiser le 10 avril avec Eric Besson, ministre en charge de l’Economie numérique, la publication d’un « Guide pratique des cookies » destinés aux professionnels et au grand public. Il sera ensuite présenté au Groupement des éditeurs de contenus et services en ligne (Geste) le 13 avril prochain. De son côté, l’Interactive Advertising Bureau (IAB) prône l’autorégulation des professionnels de la publicité et des médias plutôt que la législation et la réglementation.
Il y a un an, l’IAB Europe – auquel est affiliée IAB France – a présenté la charte d’autorégulation de la publicité en ligne ou OBA(Online Behavioural Advertising).
Ce « Guide de la publicité comportementale » impose d’ici au 30 juin 2012 à l’ensemble des publicitaires, régies et annonceurs d’estampiller leurs publicités sur Internet d’une icône « Adchoice », pour signifier aux internautes et mobinautes que leur consentement est respecté. Cette icône redirigé l’utilisateur vers le site web paneuropéen Youronlinechoices.eu, lequel détaille les engagements d’OBA (1) et informe notamment sur la façon dont fonctionnent les cookies (2). Un outil permet – après le déclenchement d’une vérification automatique de son navigateur (3) – de gérer en ligne ses préférences quant aux traitements faits de ses données personnelles. « Vous pouvez sélectionner
ou désélectionner d’un coup toutes les sociétés, ou définir vos préférences société par société », indique-t-on. Une cinquantaine d’entreprises de l’e-pub en Europe jouent ainsi le jeu, dont 24/7 Real Media, AOL, Google, Microsoft Advertising, NextPerformance, Smart AdServer, ValueClick Media ou encore Yahoo. « L’année dernière, la transposition du paquet télécom et l’ordonnance du 24 août sur les cookies, nous avait amenés à proposer une initiative d’autorégulation du marché, pour offrir aux utilisateurs plus de transparence et de contrôle. L’icône Adchoice et la plateforme de gestion des cookies publicitaires Youronlinechoices.eu sont en phase d’implémentation et dans les délais impartis », explique le président d’IAB France, Jérôme de Labriffe (4). En cas de besoin, l’utilisateur peut envoyer un e-mail à avis@iabfrance.com. @

Viviane Reding : « C’est à la Cnil de décider s’il faut sanctionner Google sur ses nouvelles règles »

La vice-présidente de la Commission européenne, en charge de la Justice,
des Droits fondamentaux et de la Citoyenneté, répond aux questions de Edition Multimédi@ sur la réforme de la protection des données personnelles, les règles
de confidentialité de Google, le « cloud » ou encore l’ACTA.

Propos recueillis par Charles de Laubier

Edition Multimédi@ : Vous avez fait le 25 janvier deux propositions législatives sur la protection des données personnelles en Europe, pour remplacer les législations nationales qui constituent un patchwork : des Etats contestent-ils votre projet ?
Viviane Reding :
La réforme soumise par la Commission européenne met à jour et modernise les principes inscrits
dans la directive de 1995 sur la protection des données, afin
de garantir à l’avenir les droits en matière de respect de la vie privée. La réforme comprend deux propositions législatives : un règlement définissant
un cadre général de l’Union européenne pour la protection des données, et une directive relative à la protection des données à caractère personnel traitées à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière, ainsi que d’activités judiciaires connexes (1) . Depuis que la Commission a annoncé sa proposition de réforme, les réactions des États membres ont été dans l’ensemble positives, mais ils sont toujours en train de prendre position. On en saura plus une fois que la réforme sera discutée – en juin prochain – au Conseil Justice et Affaires intérieures (JAI), qui regroupe les ministres européens concernés.

De la neutralité du Net et du consentement préalable

En fait. Le 25 mars, il ne restera plus que deux mois au gouvernement pour transposer rapidement par ordonnance – c’est-à-dire sans débat parlementaire – diverses dispositions européennes, dont les directives liées aux communications électroniques – ou « Paquet télécom ». Et ce, avant le 25 mai.

En clair. Bien que le Paquet télécom concerne tous les internautes et soulève de nombreux enjeux de société (neutralité des réseaux, respect de la vie privée, protection des données, couverture du territoire, …), sa transposition accélérée par la France
le dispense malheureusement de débats parlementaires. Après les ajustements en commission mixte paritaire, l’Assemblée nationale et le Sénat ont adopté – respectivement le 8 et le 9 mars – le projet de loi qui autorise notamment le gouvernement à transposer par ordonnance les directives européennes du Paquet télécom. C’est ainsi que le principe de la neutralité du Net se retrouvera inscrite a minima dans le code des postes et des communications électroniques où est insérée une petite phrase : « [Le ministre chargé des communications électroniques et l’Arcep veillent] à l’absence de discrimination, dans des circonstances analogues, dans les relations entre opérateurs et fournisseurs de services de communications au public en ligne pour l’acheminement du trafic et l’accès à ces services » (lire p. 7). Le pouvoir du régulateur est ainsi renforcé (1). « Il s’agissait simplement d’encourager un Internet qui demeure un bien stratégique collectif, qui ne soit ni privatisé, ni balkanisé. (…) L’idée d’un Internet ouvert est fondamentale pour l’avenir du Web en France et dans le
monde », avait déclaré le 9 mars le sénateur Bruno Retailleau. Mais la notion de
qualité minimale prévue dans la directive « Accès » n’est pas prise en compte dans la loi. Tout au plus est-il prévu que l’Arcep « remette au gouvernement et au Parlement, au plus tard un an suivant la date de la promulgation de la présente loi, un rapport portant sur : les instruments et les procédures de suivi de la qualité de service de l’accès à l’Internet ; la situation des marchés de l’interconnexion de données et leurs perspectives d’évolution ; les pratiques de gestion de trafic mises en oeuvre par les opérateurs de communications électroniques ». Autrement dit, le niveau de qualité minimale (2) ne sera pas défini avant le printemps 2012. Autre disposition d’importance pour l’internaute prévue par ordonnance : une meilleure information et protection des consommateurs sur Internet, prévues par la directive « Service universel et droits
des utilisateurs ». Il est prévu que l’internaute ou le mobinaute puissent donner leur
« consentement préalable » avant toute exploitation – par des cookies à caractère publicitaire par exemple – de leurs données personnelles en ligne. Là aussi, un débat approfondi aurait été nécessaire. @