Cnil_logoLa CNIL a enfin (!) tranché sur le contexte de l'utilisation des cookies en transposant une directive européenne avec la délibération 2013-378 du 5 décembre 2013 et les recommandations de mise en oeuvre.

Les impacts de cette délibération sont importants, la mise en oeuvre semble immédiate (il n'est pas précisé de période d'adaptation) et on y trouve quelques surprises :

  • La délibération porte sur les cookies mais aussi sur les autres traceurs qui sont explicitement cités par la CNIL (Fingerprint, Cookie Flash…) et sur tous les périphériques (smartphones, consoles de jeux…).
  • Le consentement pour le dépôt du cookie est obligatoire dans les cas suivants :

    • les cookies liés aux opérations relatives à la publicité ciblée (retargeting, personnalisation publicité…),
    • les cookies générés par les "boutons de partage de réseaux sociaux". C'est l'une des surprises de loi qui va donc impacter tous les dispositifs de partage des informations, like des réseaux sociaux,
    • certains cookies de mesure d'audience et, en fait, surtout Google Analytics. C'est un caillou déposé dans la (grande) chaussure de Google, car son outil gratuit de webanalytique est installé sur quasiment tous les sites. Or, celui-ci dépose un cookie qui est largement utilisé dans les solutions publicitaires de Google (AdWords, AdSense…). La CNIL l'a donc considéré comme cookie presque "publicitaire".
  • La mise en place d'un bandeau d'information/d'opposition sur l'utilisation des cookies sur tous les sites web est quasi obligatoire et devra associer un droit d'opposition. Sur ce point, rien de nouveau : cette pratique, même si elle a un coût de mise en place important, est banalisée dans beaucoup de pays européens.
  • Il est interdit de déposer un cookie dès la "première visite" sur le site. Il faut attendre que l'internaute, après avoir eu le bandeau d'information, passe sur une autre page. Le site de la CNIL dit clairement :
    "les cookies ne peuvent pas être installés ou lus si l'internaute ne poursuit pas sa navigation, ou s'il clique sur le lien présent dans le bandeau pour paramétrer les cookies et, le cas échéant, refuse le dépôt de ceux-ci." 
    Beaucoup d'impacts autour de cette mesure, notamment l'impossibilité de mesurer un vrai taux de rebond, mais aussi de graves difficultés pour la génération de trafic à la performance.
  • Bonne surprise, la CNIL fournit :
  • quelques codes javascript pour gérer le consentement cookie avec Google Analytics, propose de passer sur un autre outil (Piwik),
  • suggère un outil de partage sur les réseaux sociaux qui ne génère pas de cookie (Social Share Privacy),
  • et enfin, fournit un code javascript pour Doubleclick et effectue une analyse des régies offrant des solutions d'opt-out au traçage par cookie.

Au final, beaucoup de travail pour les webmasters qui utilisent Google Analytics, soit à peu près tous les sites français.

Autre surprise, le monde de l'emailing est concerné !

En effet, le site de la CNIL précise : "sont concernés les traceurs déposés et lus, par exemple, lors de la consultation d'un site internet, de la lecture d'un courrier électronique, de l'installation ou de l'utilisation d'un logiciel…".

Si l'on souhaite respecter la loi, il faudra donc demander une autorisation à déposer un cookie lors de l'ouverture de l'email, car c'est un cookie publicitaire (interprétation à confirmer).  Le dépôt du cookie lors du clic sur un lien me semble aussi concerné.

Or, informer un internaute du dépôt du cookie est possible sur un texte au sein de l'email, mais lui proposer de s'y opposer est compliqué. En effet, contrairement au navigateur Web, les interfaces de lecture des emails (Webmail, Outlook…) permettent difficilement ce type d'échange ou de recueil.

Autant le site de la CNIL détaille ce qu'il faut réaliser pour un navigateur, autant pour l'email, la CNIL est muette sur les modalités pratiques de mise en oeuvre. La CNIL a-t-elle bien mesuré les impacts de mise en oeuvre sur le canal email de ses "recommandations" ?

Au sens strict de la délibération, tous les acteurs qui réalisent de l'emailing sont donc hors la loi (!), en attendant de trouver une solution pour la respecter. 

  • Faut-il remonter, lors du recueil du consentement à recevoir des emails publicitaires (optin), le consentement à recevoir des cookies ?
  • Faut il prévoir un bandeau d'information au sein des emails pour prévenir du dépôt du cookie ?
  • Comment s'opposer au dépôt du cookie tout en recevant des emails ?
  • Les plateformes d'emailing devront-elles s'adapter à des internautes qui ouvrent et cliquent mais pour lesquels il ne faut pas déposer de cookies ?

Après une lecture attentive, on se retrouve avec une délibération CNIL qui va être compliquée à mettre en oeuvre sur le canal email et va nécessiter du temps pour la transposer concrètement.

Qu'en pensez-vous ?