CMP : CONFORMITE ET REALITE


Synthèse sur les entreprises qui recueillent le consentement de l'utilisateur, les CMP.



Publié le 28 février 2023



Les bannières de consentement aux cookies sont légions sur Internet. Mais l'affichage de ces bannières est souvent lié à un service sous-traité. Focus sur les organismes qui proposent ce service : les CMP.



Qu'est-ce qu'une CMP ?


CMP signifie "Consent Managment Platform" : plateforme de gestion de consentement. Il s'agit d'un organisme ou d'une entité chargée de recueillir et conserver le consentement des Internautes aux dépôt de cookies et traceurs, lorsque celui-ci est requis. Par abus de langage, on a tendance à désigner les CMP comme les bannières en elles-mêmes. En septembre 2020, la CNIL a émis sur ce thème deux délibérations importantes : l'une définissant des lignes directrices, l'autre des recommandations d'ordre plus technique. Ces délibérations, si elles ne constituent pas en elles-mêmes une loi au sens strict du terme, n'en sont pas moins l'interprétation directe de l'article 82 de la loi "informatique et libertés" de 1978. Ainsi, le responsable du traitement des données d'un site doit, pour reprendre les termes de la CNIL, "être en mesure de démontrer à tout moment que la personne a consenti dans des conditions valides."
Il apparaît que plusieurs entreprises se sont développées pour proposer de recueillir et conserver ces césames. Ces bannières sont sujettes à caution dans la mesure où beaucoup d'usagers les considèrent ennuyeuses et inutiles. Si ces observations peuvent être légitimement fondées, et si la forme de recueil de consentement pourrait être revue et / ou réfléchie, il ne faut pas oublier qu'elles n'en restent pas moins un symbole fort de la liberté de l'utilisateur et de sa possibilité de refuser d'être traqué par les organismes publicitaires entre autres, ne serait-ce que dans sa forme. Delphine Sabattier, journaliste et présentatrice sur B-smart a émis sur le sujet un avis dans le numéro de novembre 2022 de Bastille Magazine que l'on partage pleinement et dont nous vous recommandons la lecture (attention, lien vers Twitter, donc avec traceurs).



Quelle est l'évolution des bannières de consentement ces derniers mois ?


Il faut le souligner : de façon très générale, les bannières de consentement ont une (très, voire trop) lente tendance à se rapprocher de la conformité, au moins dans leur forme. Il faut dire que parfois, on part de très loin. Vous l'aurez remarqué, certaines fenêtres sont volontairement trompeuses et on peut affirmer sans trop extrapoler que le consentement n'est non pas recueilli, mais plutôt extorqué au moyen de diverses méthodes destinées à tromper l'usager. Néanmoins, les nombreuses plaintes et réclamations déposées par les particuliers comme par les ONG permettent d'impulser cette tendance vers la conformité. Voici ci-dessous l'exemple caractéristique d'une fenêtre de consentement qui a été récemment modifiée dans le bon sens. Cet exemple est, et cela est heureux, de plus en plus appliqué.




Il n'empêche : les design trompeurs (on parle de "darkpattern") existent toujours en nombre, et plusieurs plaintes ont été déposées par nos soins à ce sujet (voir notre tableau de procédures). Mais nous sommes de biens faibles acteurs : rappelons que l'ONG None Of Your Business (NOYB) a pas moins de 700 plaintes en cours à travers l'Europe sur ce thème. Ces plaintes font état de tromperies, ou à tout le moins de manque manifeste de loyauté dans le design des fenêtres et dans l'interpétation juridique du recueil de consentement. Estimant ces plaintes fondées et au regard de l'ampleur du phénomène, l' "European Data Protection Board" (EDPB, ex groupe article 29) a estimé utile d'émettre en janvier 2023 un rapport sur ces pratiques trompeuses et de rappeler la juste interprétation du RGPD en la matière.

Pour la petite histoire, la dernière mise en conformité notoire imposée par la CNIL au cours du premier semestre 2022 concerne les géants Google et Meta. A titre d'exemple, au sujet de Google, l'utilisateur qui souhaitait refuser les cookies devait cliquer 19 fois ! La fenêtre de consentement présentait alors deux options : "j'accepte" et "en savoir plus". Bilan : une amende de 100 millions d'euros, confirmée par le Conseil d'Etat, et une mise en conformité exigée. Il est important de savoir que cette mise en conformité, bien qu'étant respectée aujourd'hui dans sa forme (présence désormais d'un bouton "accepter" et "refuser" de même importance et de même allure), ne l'est toujours pas sur le fond, et les directives RGPD sont habilement contournées par le G de GAMAM. On renvoie le lecteur intéressé aux pertinentes observations de l'Internaute PixeldeTracking sur le sujet (attention, lien également vers Twitter.) Nous en profitons du reste pour vous recommander très vivement (toujours dans le même thème) la lecture de l'un de ses articles, fouillé, travaillé, précis, et d'une grande richesse. Cet article permet de mettre en lumière l'ensemble des problématiques liées aux fenêtres de consentement, et entre autres deux sujets d'importance : l'IAB TCF sur lequel nous allons nous étendre un peu et l'utilisation de l'intérêt légitime comme base légale, point sur lequel EDPB s'est récemment exprimé, et qui devrait permettre à terme de faire évoluer les choses dans la bonne direction pour l'usager. Mais notre propos porte sur les organismes qui proposent ces fenêtres et non sur les fenêtres en elles-même.



Nous allons spécifiquement nous intéresser aux CMP les plus utilisées en France. On peut d'ores et déjà dire que globalement, aujourd'hui, six CMP se partagent (âprement) le marché : Didomi, Trustcommander, OneTrust, Axeptio, Sirdata, SBFX. Nous y reviendrons plus loin.



Quel est le rôle de la CMP ?



Au regard de ce qui précède, les utilisateurs naïfs que nous sommes pourraient penser que les CMP sont précisément là pour aider l'éditeur à se conformer à la réglementation. C'est du reste l'argumentation qu'elles utilisent, comme le montre par exemple la page d'accueil de Didomi, CMP qui détient une écrasante part de marché.




Ainsi, les CMP pourraient être considérées comme les gardiennes de la galaxie du consentement, inspirant la confiance des utilisateurs. La réalité est un peu moins romantique. En effet, le caractère ultra concurrentiel du marché fait que les arguments de vente se sont rapidement travestis. Il ne s'agit plus de se présenter comme conseil et support technique de recueil de consentement, mais comme performeur de recueil, comme le montrent (aussi !) les pages d'accueil de Didomi (un peu plus bas) et Trustcommander.





L'objectif de la CMP, si elle souhaite acquérir de nouveaux contrats, consiste donc à défendre en définitive un taux élevé de conversion au consentement. L'enjeu est de taille, car l'usager consentant est un usager dont les données seront collectées et utilisées (notamment) à des fins publicitaires. Pour l'utilisateur, ce travestissement est regrettable, car il serait logique de penser que la CMP serait une entreprise "neutre" de mise en conformité. Le marché en décide bien évidemment tout autrement.


Mais il y a plus sérieux.



Il y a le moment où la CMP, censée rester une plateforme de conseil et/ou technique, devient pour ainsi dire pleinement un véritable collaborateur du marché de la publicité programmatique. Il est donc temps de s'attarder sur la problématique liée à l'emploi de ce qui constitue souvent une sorte de "sous-partie" des bannières de consentement : le "Transparency Consent Framework" de l' Interactive Advertising Bureau, plus connu sous le sigle : IAB TCF. Une fois encore, nous renvoyons le lecteur qui souhaite approfondir le sujet à l'article de Pixeldetracking que nous avons cité plus haut.



L'IAB TCF : le dévoiement des Cookies banners.


L'Interactive Advertising Bureau se définit comme "une association dont la mission est triple : structurer le marché de la communication sur Internet, favoriser son usage et optimiser son efficacité". Par "communication sur Internet", il faut clairement entendre : publicité programmatique. D'aucuns considèrent clairement cette organisation comme un lobby de l'Adtech. Sans aller si loin dans ces considérations, on peut voir cette association comme une entité dont l'objectif consiste à défendre, promouvoir et structurer la publicité programmatique. L'IAB est particulièrement prégnante, influente et organisée : il existe entre autres une IAB France, une IAB Europe et une IAB US. Globalement et mondialement reconnue dans l'écosystème de la publicité programmatique, elle définit et élabore ses propres standards, très largement adoptés. Parmi ces standards, on peut trouver sa propre bannière de consentement ainsi que le recueil de ceux-ci : le "Transparency Consent Framework", le TCF.

Le lecteur pourra rapidement saisir la situation de distortion qu'implique ce TCF : l'utilisateur va faire face à une bannière de consentement aux cookies conçue et proposée par un acteur majeur de la publicité en ligne. On peut légitimement se poser la question : Est-ce là vraiment son rôle ? Un peu de technique devient nécessaire pour saisir les difficultés qu'engendre une telle bannière. Ce TCF recueille les consentements des usagers et les partage avec une myriade (au sens étymologique du terme) d'organismes utilisant le système d'enchères en ligne pour afficher de la publicité ciblée : le "Real Time Bidding", ou RTB (enchères en temps réel). Ainsi, lorsque vous cliquez sur "tout accepter" dans une bannière de consentement utilisant le TCF (et elles sont extrêmement nombreuses), vous accordez votre consentement au tracking d'un millier d'organismes publicitaires, qu'ils soient ou non partenaires du site visité.



Problème : le TCF ne fait donc pas que recueillir le consentement de l'utilisateur : il l'exploite de manière automatisée et le transmet à des partenaires publicitaires qui à leur tour l'utilisent et affichent des publicités ciblées. Pour information, ce traitement de données est, entre autres, stocké dans un fichier nommé "Tc_string", à l'origine de la principale controverse. Ainsi, les annonceurs publicitaires sont potentiellement susceptibles d'accéder à de nombreuses données personnelles.



Tout cela s'appelle du traitement automatisé de données, et dans un tel cas, une responsabilité est engagée.



C'est en tous cas ce que considère l'autorité de protection des données (APD) Belge. Si donc l'IAB, qui édite le TCF, exploite des données, elle doit être considérée comme "responsable du traitement des données". Or, il n'existe aux yeux de l'APD belge ni fondement juridique viable (appelé "base légale") justifiant de procéder à de telles opérations, ni de délégué à la protection des données (DPO) nommé par l'IAB, et un manque de transparence manifeste sur cette méthode est mis en relief par ailleurs. Ainsi, en février 2022, l'APD a sommé l'IAB de revoir sa copie concernant le TCF. Coup de tonnerre dans le monde de l'Adtech pour lequel le TCF constitue une véritable réréfence, pour ne pas dire un socle majeur. La sanction prononcée en février 2022 est à hauteur de 250 000 euros ; en voici le résumé, début de citation :



A la suite d’une sanction à hauteur de 250 000 €, l’IAB EUROPE doit fournir un plan d’actions de 6 mois à l’APD dans un délai de 2 mois à compter de la décision (assorti d’une astreinte de 5 000 € par jour de retard), afin de :

Rendre le TCF conforme aux obligations de licéité et loyauté par les moyens suivants :
Etablir une base juridique valable pour le traitement et le partage des préférences des utilisateurs dans le cadre du TCF, sous la forme d’une TC String et d’un cookie euconsent-v2 ;
Supprimer toute donnée collectée au moyen d’une TC String jusqu’au jour de sa décision, et qui ne serait plus prise en charge par IAB EUROPE ;
Interdire l’utilisation de l’intérêt légitime comme fondement juridique du traitement par les organisations participantes du TCF dans son format actuel, au moyen des conditions d’utilisation du TCF.

Rendre le TCF conforme aux obligations de transparence et d’information en exigeant des CMP qu’elles adoptent une approche harmonisée et conforme au RGPD concernant les informations fournies aux utilisateurs.

Rendre le TCF conforme aux obligations d’intégrité et de sécurité, et de protection des données dès la conception et par défaut par les moyens suivants : Inclure des mesures de contrôle techniques et organisationnelles efficaces pour faciliter l’exercice des droits des personnes concernées et pour garantir l’intégrité de la TC String, par exemple au moyen d’un processus de vérification strict pour les organisations participant au TCF ; Interdire par ses conditions d’utilisation aux organisations participantes à la version actuelle du TCF d’activer un consentement par défaut, et d’utiliser l’intérêt légitime comme base légale des traitements.

Assurer la conformité du registre des traitements effectués dans le cadre du TCF en y incluant le traitement des préférences et du consentement des utilisateurs sous la forme d’une TC String, et le placement du cookie euconsent-v2 sur leurs terminaux.

Réaliser une analyse d’impact relative à la protection des données concernant les traitements réalisés dans le cadre du TCF, ainsi que les conséquences de ces traitements sur le traitement ultérieure effectué sur la base du protocole OpenRTB.

Désigner un délégué à la protection des données.

Fin de citation.



Autant dire qu' IAB Europe conteste vivement cette décision, et a fait appel. L'affaire est désormais entre les mains de la Cour européenne de Justice (CJUE), la décision finale risque de prendre du temps. Sans en préjuger, on comprendra que l'existence d'une telle interface de consentement pose problème.



CMP et responsabilité, bilan.



Il faut relever que la CMP n'est pas responsable de la conformité du site : c'est bel et bien son éditeur qui, in fine, décide de sa forme et de son effectivité, et en porte la responsabilité.
Par exemple, un éditeur peut très bien décider de ne pas proposer de bouton "tout refuser", mais la mention "continuer sans accepter", etc. Il en va de même pour ce qui concerne le profilage publicitaire. Les CMP font donc plus office de conseil et d'interface de bannières de consentement que l'éditeur du site peut redessiner à loisir.
Et l'on sent très bien, en auditant les sites, que la pression sur les CMP par les éditeurs est très forte. Par ailleurs, il est important de préciser que la nature même des sites contribue à la conformité globale de la bannière de consentement. On comprendra aisément qu'il est plus simple d'être en conformité avec un site étatique ou public qu'avec un site privé monétisé. On oberve cependant avec déception que parfois, des sites fournissant un service public se comportent de manière analogue à un site privé monétisé, ce qui est bien dommage. En revanche, on peut être en droit d'attendre des CMP un rôle d'audit et de conseil, ce qui du reste est fait dans l'ensemble. Enfin, les CMP n'ignorent pas les difficultés lorsqu'une décision de nature à remettre en cause un point de conformité tombe. Ainsi, Didomi et Sirdata communiquent avec précision sur leurs sites les difficultés liées à la décision de l'APD concernant le TCF, ainsi que celles liées à l'emploi de Google Analytics, et ont même fait des propositions à titre conservatoire (plus ou moins contestables à notre sens selon le cas, mais ceci est une autre histoire). Dans le même esprit, Axeptio et Trustcommander communiquent largement avec leurs clients sur ces sujets.
Il existe cependant des cas particuliers pour lesquels les CMP, par éthique, interviennent de façon plus active. Ainsi, et sans vouloir transformer cet article en publi-rédactionnel, on peut saluer Axeptio qui a fait le courageux choix de ne pas inclure le TCF dans son offre. Dans le même ordre d'idées, Trustcommander recommande vivement de ne pas utiliser l'intérêt légitime comme base légale pour des organismes publicitaires. Ces choix ne sont pas sans conséquences en termes de part de marché. Par ces exemples, on peut relever le délicat positionnement d'une CMP, censée à la fois être garante de conformité, et concomitamment soumise aux volontés et aux exigences de l'éditeur.
On pourra relever cependant que d'autres CMP sont moins scrupuleuses et éditent sans complexe de magnifiques darkpatterns ; celui-ci est toujours en place au demeurant, avec le même principe que celui corrigé et montré plus haut.




Mais de façon générale, les conseils prodigués sont-ils appliqués ? Pas toujours.



Nous avons donc souhaité examiner les Cookies Banners de plus près en nous posant plusieurs questions pratiques dont la liste suit :



1 - Le design est-il conforme à la réglementation ? Bien souvent la mention "continuer sans accepter" apparaît (et ceci est légal), mais les recommandations précisent que celle-ci doit apparaître avec une mise en valeur de même niveau que "Tout accepter", à minima une police de même taille. On pourra constater que ce n'est pas toujours le cas. De façon beaucoup plus nette, le darkpattern ci-dessus consitue un exemple plus flagrant de non-conformité.



2 - Existe-t-il des options pré-cochées défavorables pour l'utilisateur ? Ces cases pré-cochées apparaissent surtout lorsque l'usager choisit l'option "paramétrer mes choix", une nouvelle fenêtre apparaît alors avec la liste des finalités et / ou des partenaires associés aux finalités. Certaines options sont parfois pré cochées à la défaveur de l'usager.



3 - Ce qu'on se permet de nommer la "conformité Google" : en cas d'acceptation, le site est-il conforme aux recommandations européennes : Google Analytics (3) ne doit pas être utilisé sous une certaine forme. Ce même Google analytics est-il déclenché avant le consentement de l'utilisateur ? Par ailleurs, l'emploi de Google Fonts a fait l'objet d'une sanction par l'APD allemande, lorsqu'il est employé directement sous forme d'interface par le site. Google Fonts est-il employé de cette façon sur le site audité ? Idem enfin pour le REcaptcha de Google.



4 - Des données personnelles sont-elles collectées avant le consentement de celui-ci ? Nota important à ce sujet : certains organismes de publicité en utilisent dans leur technologie. On peut notamment citer Xandr, ex société AppNexus et désormais bras armé pubicitaire de Microsoft, qui collecte l'adresse IP dès le chargement de la première page sur certains sites : on peut raisonnablement considérer que les CMP sont là pour conseiller d'éviter ce genre de difficulté. Idem pour Hubvisor (organisme d'optimisation publicitaire orienté mobile) et certains éditeurs vidéo (Youtube et Vimeo notamment). En effet, le visionnage de vidéos non hébergées sur le site en lui-même est soumis au consentement, précisément pour éviter la collecte de données personnelles. Nous précisons sur ce point que nous parlons d'IP conservées en corps de balise.



5 - Des cookies non strictement nécessaires au fonctionnement du site ou des scripts (lignes de code) d'organismes publicitaires sont-ils déposés dès la première page avant le consentement de l'utilisateur ? NOTA : il est important de souligner que le chargement d'un script ne signifie pas pour autant que l'utilisateur est traqué, contrairement à certains cookies "non techniques". Toutefois, ces scripts permettent de réaliser une pré-enchère publicitaire avant consentement. Attention, ce point n'est pas forcément illégal, car la pré-enchère peut concerner l'impression de publicité non ciblée en cas de refus de traceurs par l'utilisateur. Nous estimons cependant, et on reconnaît au passage que ce point est partial (nous laisserons donc le lecteur juge), qu'il n'existe pas d'obstacle technique à charger ces scripts APRES le consentement ou le refus de l'usager.



6 - Le refus de traceurs est-il réel? In extenso, des données à caractère personnel soumises à consentement sont-elles collectées même quand l'utilisateur refuse les cookies et traceurs ?



7 - Enfin, et ce point, nous devons le dire, ne peut être pleinement objectif car nous prenons position sur un sujet non encore tranché par la CJUE : le TCF est-il utilisé ? Nous considérons pour les raisons évoquées plus haut, que l'utilisation du TCF est délétère pour l'usager et rejoignons la position de l'APD belge..



Pour chacune des CMP, site par site (une vingtaine par CMP), nous avons examiné ces items, en attribuant 3 points par item respecté (items 1 à 5). L'item 6, compte tenu de son importance, est noté sur 4, et le dernier item (relatif au TCF), sur 1, ce qui nous donne une note sur 20. Cette note est subjective, il existerait quantité d'autres item qui pourraient être audités, de même que les critères de notations le sont tout autant.
Le but consiste à donner une idée d'ensemble du respect des critères sus-cités, et de la valeur réelle et globale de conformité. Il faut retenir qu'une bannière, pour être considérée commme acceptable en termes de conformité au regard de nos critères de notation, doit avoir une note supérieure ou égale à 15. En deçà de cette note, on peut considérer que les entorses sont soit trop nombreuses, soit trop sérieuses. Puis, sur l'ensemble des sites examinés, par CMP, nous avons retenu 3 notes : la plus faible, la plus haute, et la note moyenne correspondant à la majorité des sites. Il ne s'agit pas d'une moyenne arithmétique, mais de la valeur moyenne correspondant à l'écart-type de l'ensemble des notes relevées. A notre sens, c'est cette valeur qui est de loin la plus significative, car elle reflète l'appréciation portée sur la plus grande majorité de sites audités. Voici donc, CMP par CMP, les résultas globaux obtenus.






Que retenir de ces mesures?



De tristes conclusions. On relèvera que les colonnes bleues sur les différents graphiques sont plutôt basses et sont dans l'ensemble les mêmes. Les CMP font donc à peut près toutes la même chose. Outre le fait qu'elles sont capables de faire du très bon comme du très mauvais, cela signifie donc que l'immense majorité des bannières de consentement est, encore aujourd'hui, assez loin de ce qu'on est en droit de considérer comme "conformité acceptable". D'autre part, on peut constater qu'aucune CMP ne se distingue significativement d'une autre. A défaut d'excuses, les explications sont simples : la CMP a besoin de clients pour vivre, et les client ont besoin, pour certains, de monétiser pour exister. A notre sens, tant que cet écosystème demeurera totalement privé et restera soumis à la loi du marché, peu de choses changeront. Les seules actions impulsant les CMP dans le bon sens restent plutôt agressives, puisqu'elles consistent en dépôt(s) de plaintes et / ou signalement CNIL,et ce sont du reste les éditeurs (et non les CMP) qui devront appliquer cette conformité. Il est dommage que leur éventuelle évolution positive ait ces actions pour seul moteur. Un statut réglementaire spécifique aux CMP, leur attribuant un caractère plus contraingnant vis-à-vis des éditeurs, ne serait-il pas souhaitable ? A titre de comparaison (assez triviale reconnaissons-le), une entreprise de contrôle technique automobile peut réaliser des bénéfices, tout en étant astreinte à de strictes normes de conformité. Pourquoi n'en serait-il pas de même pour les CMP ? On peut penser que l'EDPB a un rôle à y jouer.



En tout état de cause, l'éternel contournement de conformité, ou à tout le moins l'éternel positionnement en limite de législation des bannières de consentement par les éditeurs, cautionnée à marche forcée par des CMP qui subissent la pression du marché, sont à terme délétères pour tous, parce qu'ils décrédibilisent l'existence et l'efficacité même de ces bannières.
Comment ne pas penser, lorsqu'on est usager, que "ces fenêtres ne servent à rien et qu'on perd du temps", ainsi que le formulent de nombreux Internautes ? Pour être tout-à-fait honnête, il faut reconnaître que le seul mérite qu'ont ces pop-ups à l'heure actuelle est d'exister. Mais si cela doit changer, (et cela doit à notre sens changer) le principe du recueil de consentement "libre, éclairé, spécifique et univoque" (pour reprendre les termes du RGPD) doit perdurer. Il s'agit là d'un enjeu lié aux droits fondamentaux de l'utilisateur. Nous jouons notre liberté numérique sur ce point.



Dignilog.