Dans notre utilisation quotidienne d’internet, nous sommes désormais habitués aux fenêtres qui nous assaillent continuellement pour nous demander notre consentement. Mais notre consentement à quoi ?

Dans la plupart des cas, il s’agit d’autoriser l’éditeur du site visité à déposer des cookies sur notre ordinateur, notre tablette ou notre smartphone.

Exemple de fenêtre pop-up de recueil du consentement vous invitant à accepter le dépôt de cookies sur votre terminal.

Ce qui soulève nécessairement une question : pouvons-nous refuser le dépôt de cookies sur notre terminal, et, si oui, quelles en sont les conséquences ?

Vous constaterez, dans l’exemple ci-dessus, que la possibilité de refuser ne nous est même pas offerte ; c’est le cas pour de nombreux sites. Mais rassurez-vous ! Même lorsque cette option est proposée, elle aboutit sensiblement au même résultat : l’impossibilité d’accéder au service.

Pour désigner cette pratique, utilisée par l’immense majorité des exploitants de sites, on parle des “cookie walls”, littéralement, les murs de cookies. Ces derniers sont à l'origine d’une passe d’arme entre l’autorité de contrôle française, la CNIL, et plusieurs groupements d’exploitants de services numériques, devant le Conseil d’État.

Pour bien tout comprendre, un petit retour en arrière s’impose.

Une vieille recette de cookies

Les cookies, sont de petits fichiers déposés sur votre terminal lorsque vous visitez un site internet. Ils ont vocation à remplir de nombreuses fonctions, pour certaines essentielles au bon fonctionnement des services et à l’expérience utilisateur. Mais ils sont aussi devenus les pièces maîtresses du ciblage publicitaire et de l’analyse du comportement des internautes. Créés en 1994, les très commodes et discrets cookies, rapidement plébiscités par les exploitants de services numériques, se sont ainsi imposés comme une solution clée dans la publicité en ligne. Les enjeux sont de tailles puisque le digital serait, depuis 2018, le premier support publicitaire en termes d’investissements en France ; les recettes mondiales du secteur sont, elles, estimées à plus de 5000 milliards d’euros.

Les cookies et autres traceurs sont aussi efficaces et utilisés qu’ils sont intrusifs et opaques. C’est pourquoi ils sont, pour l'essentiel, concernés par la législation relative aux données personnelles et à la vie privée et, notamment, par la nécessité de recueillir le consentement de l’internaute issue du RGPD.

Les exploitants de sites numériques se sont pliés à ces nouvelles exigences, notamment en systématisant le recueil du consentement des internautes au moment de l’accès à leurs services. Le problème, nous l’avons vu, c’est qu’ils considèrent pour la plupart que, si l’internaute souhaite pouvoir bénéficier de leurs services, il n’a d’autre choix que d’accepter le dépôt de cookies sur son terminal et l’utilisation de ses données personnelles ; en d’autres termes, en cas de refus, la personne ne pourra pas accéder auxdits services : nous voilà à nouveau au pied de ces fameux cookie walls.

C’est justement cette pratique que la CNIL a remis en cause dans ses nouvelles lignes directrices relatives aux cookies et, plus largement, aux traceurs de connexion. Elle considère ainsi que l’exigence d’un consentement libre et éclairé implique que les personnes n’aient pas à “subir d’inconvénients majeurs” en cas de refus ou de retrait du consentement. En d’autres termes, le refus de l’internaute ne devrait pas se traduire par une impossibilité pure et simple d’accéder au service. Loin de faire cavalier seul, l’autorité de contrôle reprend ici la position adoptée par le Comité Européen de la Protection des Données (CEPD) dans ses propres lignes directrices.

C’est là qu'intervient le Conseil d’État...

Neuf associations professionnelles ont saisi la plus haute juridiction administrative française d’une requête tendant à l’annulation de plusieurs points litigieux de ces lignes directrices. Ce dernier vient de rendre sa décision qui, si elle conforte l’essentiel des positions défendues par la CNIL, constitue tout de même un sérieux revers pour cette dernière, en invalidant son interdiction de la pratique des cookies walls.

Sur ce dernier point, le Conseil d’État a en effet donné satisfaction aux associations, non pas en se prononçant sur le fond de l’affaire mais en considérant que la CNIL ne pouvait énoncer une telle interdiction, générale et absolue, dans le cadre de lignes directrices relevant du droit souple, c’est-à-dire non-contraignant.

Cette décision, portant sur la compétence de la CNIL se défend, d’un point de vue strictement juridique. On peut toutefois s’interroger sur les véritables motivations du Conseil d’État, qui ne semble pas s’opposer à cette décision que sur “la forme”. C’est en tout cas ce que suggère les prises de position du rapporteur public du Conseil d’État, M. Alexandre Lallet, en amont de la décision, qui considérait que la CNIL “allait trop loin sur [l’encadrement des cookie walls] par rapport aux législations européennes et nationales”, et qu’il serait “hasardeux” de conclure que les internautes seraient “systématiquement privés de leur liberté” si on leur refusait l’accès à un site ; un “désagrément” comme la privation d’accès à un site ne constituant pas nécessairement “un préjudice”.

En tout état de cause, la CNIL a pris acte de cette décision du Conseil d’État et va modifier ses lignes directrices pour la respecter. On peut donc, sans trop de risque, affirmer que les cookie walls ne seront plus interdits par la CNIL, mais, au mieux, déconseillés.

Et nous, on en pense quoi ?

L’espace de liberté, de dialogue et d'échange gratuit qu’était internet est derrière nous. Tous les espaces sont conquis par le marché mais il faut, comme partout, défendre nos convictions, notre liberté, notre vie privée : nos libertés fondamentales. Certes, beaucoup de sites internet sont des place de marché, des espaces utilisés par des entreprises pour la promotion et la vente de leurs services et produits. Et, si nous n'acceptons pas les conditions d’accès à ces espaces, nous devrions nous passer d’eux. Mais pour les médias, le droit à l’information, les divertissements… Si nous n’avons pas les moyens de payer le service, ou que nous ne le faisons pas via la cession de notre vie privée, alors ce service nous sera refusé et nous devrons, serons contraint de trouver et d’utiliser un service concurrent.

Contrairement à sa récente décision sur la liberté de manifester, le Conseil d’Etat penche ici bien plus vers la défense d’une position théorique que pragmatique. L’utilisation des services numériques relèvent bien, en principe, du libre choix des utilisateurs : libre à nous de ne pas recourir aux plus populaires d’entres eux. Mais peut-on pour autant ignorer qu’à l’heure de Facebook et de Linkedin, choisir de ne pas utiliser certains services peut fortement pénaliser un individu, par exemple dans sa recherche d’emploi ? Le confinement a d’ailleurs montré les limites de ce raisonnement : de quelle marge de manoeuvre disposons nous, par exemple, quand un enseignant ou un employeur nous invite à participer à des échanges sur des plateformes privées, telles que Zoom, Facebook, ou à télécharger des documents depuis Google Drive ou un service concurrent ? Le libre choix des utilisateurs n’a de sens que si les utilisateurs peuvent disposer d’alternative crédibles (offrant les mêmes fonctionnalités, aussi simples d'utilisation...). Aujourd’hui, la décision de ne pas recourir aux services ultra-dominants, quand il est possible, ne relève pas tant du choix rationnel d’un consommateur éclairé que d’un choix essentiellement militant.

Quelles perspectives ?

Les cookies, nous l’aurons compris, sont à l’heure actuelle essentiels pour les éditeurs de site comme pour les annonceurs. Or, leur caractère systématique et intrusif en font aussi l’un des enjeux majeurs de la protection des données des internautes. Ces deux facettes, contradictoires, soulignent toute la difficulté qu’il y a à trouver un équilibre satisfaisant dans l’encadrement des traceurs. Les multiples rapports de forces, couplés à un lobbying intensif et à un abondant contentieux expliquent en grande partie le retard pris par les États et l’Union Européenne dans leur réglementation. En définitive, la responsabilité de ce flou, de cette inertie, doit, à nos yeux, être imputée, avant tout à ces mêmes acteurs qui saisissent le Conseil d’Etat, alors que la CNIL et les sondages conduits auprès des internautes français sont clairs : les cookies sont des outils publicitaires intrusifs, insuffisamment encadrés et source de vives préoccupations.

On pourrait nous rétorquer qu’il n’y a rien d’anormal à ce que les exploitants défendent leur sésame et leurs intérêts économiques en freinant des quatres fers face aux durcissements de la réglementation. Mais il faut se montrer vigilant à l’égard du numérique et ne pas négliger le fossé qui sépare le temps juridique, très lent, (à plus forte raison quand il s’agit de règles européennes), du temps technologique, beaucoup plus rapide, et en constante mutation.

Pour preuve, s’il en fallait une, l’annonce de Google en début d’année, de sa volonté d’abandonner les cookies comme solution publicitaire à l’horizon 2022. À l’heure où l’on imaginait voir la régulation des traceurs publicitaires -si lente à mettre en place et difficile à mettre en oeuvre- être, enfin, strictement appliquée, le géant de la publicité en ligne nous invite à un nouveau jeu du chat et de la souris ; inutile de préciser qui, dans l’espace numérique, a toujours eu l’avantage à ce petit jeu là...

Dossier réalisé par Xenyce et Jack