Internet - Cookies et traceurs : la Cnil édicte de nouvelles règles pour les sites web

La recrudescence des cookies et autres traceurs pour suivre les moindres faits et gestes des internautes, souvent à leur insu et à des fins publicitaires, porte atteinte à la vie privée. Aussi pour clarifier les règles d'usage de ces outils de plus en plus prisés par les acteurs du e-commerce, la Commission nationale de l'informatique et des libertés (Cnil) - dont Isabelle Falque-Pierrotin a été réélue présidente ce 4 février - a publié à la mi-décembre une série de recommandations exécutoires, qui ne sont pas sans conséquences, y compris pour les sites web des collectivités territoriales.

Cookies et "fingerprinting"

La mise sous surveillance des internautes se généralise. Le dessein ici est principalement commercial. Chaque fois qu'un usager se connecte sur un site, via son ordinateur, sa tablette ou son smartphone, il laisse des traces de son passage et peut ainsi être identifié. Le mouchard est généralement installé sur son propre appareil. Lorsqu'un site ou une page sont consultés, l'éditeur récupère des informations sensibles, soit par l'intermédiaire de cookies, sorte de petits traceurs déposés ou lus sur l'ordinateur de l'usager (1), soit via des technologies d'identification plus discrètes, comme le "fingerprinting" (2). Lorsque l'éditeur est un réseau social - Facebook - ou un moteur de recherche - Google - ou un opérateur de e-commerce - Amazon -, qui tous trois s'appuient sur des partenaires, notamment pour la publicité, ces technologies permettent d'identifier les centres d'intérêt comme les besoins personnalisés de chaque consommateur et de "pousser" ainsi les messages publicitaires les plus adaptés à la personne. Amazon, le géant mondial de l'édition, va déjà très loin en annonçant son intention d'effectuer des livraisons d'ouvrages au plus près de ses clients avant même que ces derniers n'aient passé commande. Cette anticipation devenant possible grâce à une connaissance pointue des habitudes de consommation de sa clientèle.

Législation fondée sur l'information et la liberté de choix

Généralement, ces technologies sont ignorées du grand public. La législation européenne encadrant les dispositions relatives aux cookies et aux traceurs (directive 2002/58/CE) ne prévoyait qu'une simple information, généralement proposée dans les conditions générales d'utilisation, en bas de page du site, ainsi qu'un droit d'opposition. Estimant les dispositions insuffisantes, le législateur a changé de cap en 2009 (directive 2009/136/CE) en posant un principe plus clair : avant le dépôt et la lecture de cookies, l'utilisateur doit être averti explicitement et il doit ensuite être en capacité de donner son consentement ou son refus. En droit français, cette directive a modifié la loi Informatique et Libertés à la mi-2011 (3). Ce n'est donc que deux ans plus tard, le 5 décembre 2013, que la Cnil a publié une délibération précisant le nouveau mode opératoire.

Mode d'emploi

La cinématique proposée se déroule en deux étapes. En page d'ouverture, l'internaute est informé via un bandeau : s'il poursuit sa navigation, des cookies ou d'autres technologies de traçage pourront être utilisées pour suivre ses mouvements. Mais il peut souhaiter en savoir plus. Pour décider en toute connaissance de cause, la seconde étape doit étendre son information et permettre à l'usager, via une série de boutons cliquables, d'accepter ou de refuser le dépôt de ces mêmes traceurs sans "s'exposer à des conséquences négatives". Un refus ne doit pas entraver sa navigation sur le site. Ces règles ont trois conséquences : le consentement est préalable à l'insertion ou à la lecture de cookies et traceurs, il résulte d'une information compréhensible et sans ambiguïtés dans sa formulation et n'est valide "que si la personne exerce un choix réel".
Trois familles de cookies sont visées par la délibération : les cookies liés aux opérations relatives à la publicité ciblée, qui en principe ne devraient pas concerner directement les collectivités territoriales, les cookies des réseaux sociaux générés par leurs boutons de partage, mais uniquement lorsqu'ils collectent des données personnelles (4) et les cookies de mesures d'audience, plus fréquemment utilisés dans le secteur public.

Les effets parfois inattendus des outils web analytics

Les collectivités territoriales semblent plébisciter les systèmes de mesure d'audience de type "web analytics". Généralement gratuits, ils sont proposés par de grands opérateurs comme Google (Google Analytics) ou Amazon (Alexa) et quelquefois aussi par des entreprises spécialisées comme le français AT Internet (Xiti). La plupart d'entre eux sont aujourd'hui visés par la Cnil et requièrent donc le consentement préalable des internautes. Particulièrement efficaces, ils apportent aux webmestres des outils de pilotage statistiques et d'aide à la décision jugés souvent indispensables. En contrepartie, les données de navigation des visiteurs sont exploitées par ces mêmes opérateurs pour l'affichage de publicités contextuelles. Rien de grave si après avoir consulté la rubrique "développement durable" d'un site public, l'usager reçoit, lors de ses consultations ultérieures sur internet, des publicités associées à l'écologie. C'est un peu plus gênant lorsque, comme le signale le journal en ligne Reflet, le ministère de la Santé propose des informations relevant de l'intimité, comme la page consacrée à l'interruption volontaire de grossesse (IVG), et qu'on découvre qu'elle est associée à un tracker de Google Analytics. On peut imaginer les conséquences possibles et exprimer de sérieux doutes sur la confidentialité des pages en question, même lorsqu'elles signalent qu'aucune information personnelle n'est conservée ni transmise. On le voit, ces informations exploitées dans le cadre d'un service public peuvent avoir des conséquences inattendues. Il est donc important que l'usager en soit clairement informé et, au-delà, que le webmestre du site et la collectivité puisse accroître sa vigilance active sur les effets potentiels des outil qu'il utilise au quotidien.

Boîte à outils Cnil pour alléger la charge de mise en conformité

La mise en oeuvre de la délibération n'est pas sans conséquences sur les adaptations à effectuer. Il ne s'agit pas simplement d'apposer un message de mise en garde mais bien d'éviter, au niveau du site de la collectivité, tout dépôt de cookies avant le consentement explicite de l'usager. Ce qui suppose l'écriture de lignes de codes pour une mise en conformité. Afin de faciliter cette tâche, la Cnil propose sur son site une véritable boîte à outils comprenant des fiches modes d'emploi consacrées aux mises à jour ainsi que des lignes de codes source en téléchargement. La Cnil a privilégié les outils les plus répandus, notamment ceux de Google, en proposant une solution pour la régie publicitaire DoubleClick et pour Google Analytics dans la "case" mesure d'audience. Pour se mettre en règle, il suffit généralement à l'éditeur de "copier-coller" les lignes de code source dans le modèle utilisé pour toutes les pages de son site. Bien que d'autres solutions soient également proposées, certaines collectivités seront sans doute tenues d'écrire ou faire écrire les routines adaptatives nécessaires. De nouveaux prestataires spécialisés font leur apparition. Ils proposent des solutions pour protéger les données personnelles des visiteurs et commencent à aider les éditeurs de sites publics et privés à se mettre en conformité avec la loi (5). Solution plus radicale, certains webmestres pourront également changer d'outil. Mais, à ce jour, Piwik est le seul service de web analytics (issu du libre) ne requérant qu'un léger paramétrage pour être conforme à la réglementation, recommandé par la Cnil.

Un texte jugé consensuel par les professionels

Le tracking sur internet est un phénomène à prendre au sérieux. Certes, il ne s'agit pas de porter atteinte au commerce en ligne en prenant des dispositions de protection draconiennes. En organisant, préalablement à la diffusion de sa délibération, une concertation de plusieurs mois avec l'Union française du marketing digital (UFMD) qui regroupe les principales associations professionnelles du secteur, la Cnil a su trouver un compromis accepté par tous. Les associations professionnelles ont d'ailleurs salué le résultat final. Qualifié dans un communiqué publié fin 2013 "d'avancée importante dans la voie d'une approche équilibrée de la réglementation", le travail de la Cnil semble donc assez bien refléter le consensus entre les partisans d'une protection plus rigoureuse des usagers et ceux qui ne manquent jamais de rappeler la réalité économique et technique de l'internet. Les administrations, moins concernées, devront donc faire avec… et peut être même aller plus loin en veillant notamment à ne pas livrer par ignorance ou naïveté des informations qui pourraient se révéler dangereuses pour des usagers qui font a priori confiance au service public.

Philippe Parmantier / EVS

(1) Les cookies recouvrent différents types : cookies http, Flash, mais aussi toutes les techniques utilisées pour identifier un terminal.
(2) Le fingerprinting est une technologie reposant sur le croisement d'informations comme la taille de l'écran, la définition de l'image, certains codes d'identification (MAC), l'utilisation de polices de caractère, la version du système d'exploitation… L'addition de ces différentes informations permet de construire une identité indiscutable du terminal afin d'assurer les mêmes fonctions que le cookie.
(3) Ordonnance n°2011 du 24 août 2011.
(4) Attention ce point peut prêter à confusion. Ne sont concernés que les sites ayant intégré des boutons de partage de type "like" sur Facebook , "+1" ou "G+" sur Google. L'installation de ces boutons sur un site entraîne systématiquement la dépose d'un cookie à l'insu de l'internaute dès l'ouverture d'une page. Point n'est besoin de "liker" pour être tracé, ce qui explique pourquoi le simple achat d'un billet d'avion va générer des publicités en relation avec la destination retenue. Dans ce cas la Cnil impose au site d'accueil une procédure de consentement préalable. Lorsque les boutons de partage sont de simples liens renvoyant par exemple au compte Facebook de l'internaute - comme sur le site de la CNIL-, le fait de cliquer donne bien lieu à l'installation ou à la lecture d'un cookie. Mais dans ce cas, l'internaute ayant basculé sur son compte, l'information et le consentement relèvent de Facebook. Le site www.educnum2014.fr fournit une illustration de la manière d'organiser le consentement dans le premier cas de figure.
(5) Certains sont déjà en phase d'homologation auprès de la Cnil.

Agenda et déploiement : quelques semaines de sursis

Deux mois après la publication du texte, quelques sites internet se sont mis en conformité. Il s'agit principalement d'entreprises multinationales anglo-saxonnes (comme Hewlett Packard, British Telecom) qui alignent leurs sites européens sur les règles déjà appliquées en Grande-Bretagne. Les sites d'origine française sont encore loin du compte à quelques rares exceptions près. Sur le secteur public, nos recherches n'ont pas abouti, pas même sur le site de l'Elysée ou sur ceux des ministères. Et même plus, des sites de création récente comme celui de lafrenchtech.net, ouvert le 29 janvier, proposent encore la formulation ancienne issue de la directive européenne de 2002.
Les collectivités locales peuvent donc se rassurer, elles n'ont pas le couteau sous la gorge, mais ne devront pas pour autant rester dans une position attentiste. En effet, après une phase d'information et de sensibilisation de quelques mois, la Cnil s'attend une intensification des mises à jour d'ici la fin de l'année 2014 avec à la clé les premiers contrôles. Le régulateur s'appuiera sur les procédures et l'arsenal de sanctions existant : contrôles, demandes éventuelles de modification de certaines pratiques, mise en demeure, sanctions financières et avertissement public en cas de refus ou de manquement grave.
Ph.P.