VOTRE VIE PRIVÉE EST (RAREMENT) NOTRE PRIORITÉ




Consent Framework : 82 % des 95 sites les plus visités en France ne respectent pas les recommandations du RGPD



Sur les réseaux sociaux, un nombre non négligeable de personnes se plaignent régulièrement de l’absence de conformité des fenêtres de consentement aux cookies sur certains sites. La CNIL affirme recevoir un nombre impressionnant de plaintes à ce sujet. Cà et là, on remarque par exemple sur ces “frames” un item “continuer sans accepter” apparaissant avec une police bien plus petite que celle utilisée sur le gros bouton bien coloré “Tout accepter” (entre autres).



Dignilog a voulu faire le point. Nous avons analysé les fenêtres de consentement aux cookies et traceurs des cent sites réputés les plus visités en France (source Semrush, et en réalité 95 pour être plus extact). Pour réaliser cette synthèse, nous nous sommes posés trois questions :

- Le design de la fenêtre de consentement est-il conforme aux recommandations de la CNIL ?
- Le fait de refuser les cookies et traceurs est-il réel et effectif ?
- Des traceurs ou des balises non exemptées par la CNIL sont-ils déjà déposés sur le navigateur avant même l’apparition de la fenêtre de consentement ?


Nous rappelons ici que cette étude ne porte que sur les fenêtres de consentement, et non sur la sécurité globale du site ou ses failles éventuelles en termes de protection des données



Le constat est sans appel : dans leur globalité, 82,1 % des sites sus évoqués ne respectent pas les recommandations du RGPD, et pour 14,7 % de ces sites, on peut raisonnablement considérer que l’éditeur cherche profondément à tromper l’utilisateur, soit par le design de la fenêtre, soit par l’absence de réalité du refus des cookies par l’utilisateur. Les graphiques ci-dessous répondent en proportion à nos trois questions.




Pour plus de 45% des sites, un ou plusieurs traceurs sont déposés avant tout consentement. Ces traceurs n'appartiennent pas à la liste des exemptions délivrées par la CNIL. Le cas particulier des traceurs de Google Analytics, lorsqu'ils sont déposées avant tout consentement, n'est volontairement pas pris en compte dans ces statistiques compte tenu des mesures en cours prises par la CNIL à l'encontre des plateformes utilisant cette solution, et pour lesquelles un mise en conformité a été demandée,et n'est pas encore totalement achevée.




Le cas de non conformité le plus fréquent : le design de la fenêtre. Il est prévu et indiqué par la CNIL qu'une option "continuer sans accepter" apparaisse en coin de fenêtre. En revanche, la CNIL précise bien que le design de cette mention doit être de même nature et de même importance que celui appliqué pour l'otion "tout accepter". Ce n'est pas le cas pour 51,6 % des sites. Parmi ceux-ci, 5,3% réalisent un design volontairement conçu pour berner l'utilisateur.




Enfin, et malheureusement, on observe que le refus des traceurs n'est pas forcément suivi des faits. Pour un site sur quatre environ, des traceurs continuent à être déposés dans le navigateur de l'utilisateur après un refus exprimé, soit de façon licite, soit de façon tout simplement illégale. Lorsque le dépôt est licite, les plateformes utilisent l'argument de l'intérêt légitime. L'utilisateur, s'il souhaite ne recevoir aucun cookie, doit alors préciser site tiers après site tiers son choix. Un proposition de plateforme globale appelée "Your Online Choice" existe bien, mais elle reste très peu connu du grand public. Plus particulièrement, le temps passé par l'utilisateur pour finaliser ses choix devient complètement disproportionné, ceci avant même d'accéder à la première page du site visité.



(Le détail site par site est consultable, avec commentairesici.En cliquant sur l’étiquette de chaque site, vous accédez à ces détails.)



Sur cet ensemble, on observe de nettes tendances.
Premièrement : les sites les plus respectueux en termes de fenêtre de consentement (nous ne parlons pas ici de sécurité ou de fuite de données liées à la sécurité du site) sont de façon générale des sites étatiques.
Deuxièmement, on peut remarquer que certaines CMP (Consent Managment Platform : plateformes de gestion de consentement qui sont "sous-traitées", en quelque sorte, par le site visité) sont plus vertueuses que d’autres.
Enfin, tendance de plus en pus marquée : les sites pallient le refus de traceurs publicitaires par une proposition d'abonnement.


Un abonnement payant pour un “montant raisonnable”



Sur cette dernière tendance, il faut savoir que la CNIL s’est récemment prononcée en faveur de l’alternative imposée par certains sites à l’utilisateur, qui consiste soit à accepter les cookies, soit à s’abonner. Le montant de l’abonnement doit alors être “raisonnable”, et chaque situation doit être étudiée au “cas par cas”. Inutile de revenir sur le caractère “raisonnable” du montant de l’abonnement, qui peut être interminablement discuté. On peut néanmoins formuler d’autres observations.



Pour commencer : certaines plateformes, tout particulièrement les plateformes médiatiques et les plateformes de services, proposent un contenu immatériel et facilement accessible. Il paraît dès lors légitime et équitable de vendre, sinon de monétiser, un contenu qui a demandé du temps et du travail. En revanche, beaucoup de sites marchands, ou pour lesquels un abonnement est requis, sur-monétisent leur plateforme en y incluant des publicités, ciblées ou non, ce qui est d’un point de vue éthique devint plus discutable.
Mais à bien y réfléchir, il y a peut-être pire.



Payer pour ne pas être tracké




En effet, quelques plateformes détaillent (de façon tout-à-fait licite et transparente au demeurant) que le refus des cookies n’implique pas de facto l’absence d’impression de publicité ; simplement, celles-ci ne sont pas ciblées dans la mesure où elles n'utilisent pas de données personnelles. En se fondant sur ce postulat, nous pouvons considérer en définitive que :



“ L’utilisateur, lorsqu’il décide de s’abonner, ne fait finalement que payer le respect de sa vie privée par l’absence de son tracking.”



Adopter ce point de vue n’est pas si aberrant : il y a bien là une angle de vue pas forcément anticipé par le législateur. On observe ces derniers temps une (très) forte augmentation du nombre de sites autrefois gratuits, et aujourd’hui payants (Marmiton, Allôciné, Doctissimo, etc.). Ainsi donc, l’utilisateur va devoir payer s’il ne souhaite pas être “tracké”. Mais quand bien même il paye, est-ce bien le cas ?



Certaines plateformes le précisent : le refus de cookies ne concerne que les cookies publicitaires et non les cookies de mesure d’audience et d’analyse comportementale. Les données personnelles, notamment comportementales (i.e. éléments attirant l’attention, heatmaps, vidéos visionnées, etc.) ne font pas systématiquement l’objet du refus de l’utilisateur. Par ailleurs, comme évoqué plus haut, le très-peu-connu intérêt légitime permet à certaines plateformes de prospecter des données personnelles, même avec refus de l’utilisateur.



C’est ainsi que les plateformes de gestion de données et de relation client peuvent s’en donner à coeur joie. En revanche, les dites données sont censées dans ce contexte être totalement anonymisées. Mais comment aujourd’hui l’éditeur peut-il réellement garantir et prouver l’absence de recueil de données personnelles au regard de toutes les méthodes de traçage en cours (pixels, requêtes, failles, fingerprinting…), sans une investigation profonde et minutieuse de la part de l’autorité compétente, qui, au regard du nombre de vérifications à réaliser, n’en aura jamais réellement ni le temps ni les moyens ?



On semble, d’un autre côté, saluer la fin du cookie tiers. Mais ne sommes-nous pas en train d'observer un simple déplacement du "méchant-cookie-tiers" vers un combo “gentil-cookie-first-party + balise", ce qui en définitive revient au même résultat pour l’utilisateur ?



Pour finir, quid de l’avenir de ces fenêtres de consentement, car vient l’heure où les cookies vont bientôt totalement disparaître au profit d’autres méthodes de tracking bien plus discrètes et bien moins décelables. L’année 2023, avec la mise en place de la “Privacy Sandbox” de Chrome, utilisée par environ quatre-vingts pour cent de la planète, nous semble ainsi bien incertaine, et cela tant pour les utilisateurs du Net que pour les acteurs de l’Adtech.



Dignilog.