Depuis six mois, la Commission nationale de l'informatique et des libertés multiplie ses contrôles dans l’écosystème publicitaire. Pour quel objectif?
Isabelle Falque-Pierrotin. Nous avons rencontré en mai dernier les principaux responsables des organisations professionnelles de la publicité, des médias, etc. L’idée était d’avoir une bonne connaissance de tous les acteurs de cet écosystème, qui est compliqué à appréhender. Nous avons procédé à une dizaine de contrôles supplémentaires dans cet univers. Cela nous a permis d’acquérir une profondeur de champ et de bien comprendre les liens professionnels entre chacun de ces acteurs - régies, agences, data broker -, les responsabilités des uns et des autres. Une fois que nous aurons terminé ces contrôles, début octobre, nous réfléchirons à la bonne stratégie à adopter et aux actions à mener.
Les cookies sont-ils menacés?
I.F.-P. La surexploitation des cookies a conduit à une réaction des consommateurs: ils ont adopté une stratégie d’évitement et téléchargé massivement des bloqueurs de publicité. Nous devons offrir aux internautes davantage de transparence et la possibilité de garder la maîtrise de leurs informations. Depuis 2013, au niveau français, nous avons fait tout ce que nous pouvions pour une application de l’opt-in sur les cookies la plus souple possible. Nous avons travaillé avec les professionnels, les avons aidés à créer des petits bouts de logiciels. Et nous avons aussi accepté le principe que certains cookies - statistiques - ne soient pas concernés par l’opt-in. Aujourd’hui, nous devons faire appliquer la loi telle qu’elle existe à tous les acteurs de cet écosystème, y compris ceux qui sont derrière les sites, c’est-à-dire les plateformes et les éditeurs de logiciels.
La question du «premier cookie» cristallise les tensions…
I.F.-P. Cela fait trois ans que l’on explique aux éditeurs de sites web qu’ils doivent supprimer les cookies qui s’affichent dès le début de la première connexion d’un internaute, avant même que celui-ci ait pu donner son consentement. Les éditeurs nous disent que cela va leur faire perdre beaucoup de recettes publicitaires, mais la loi n’a pas changé, donc notre position non plus. D’ailleurs, depuis les mises en demeure prononcées ces derniers mois, de nombreux acteurs de l'e-commerce se sont mis en conformité ainsi qu'un grand groupe média. A mon sens, les sites d’information devraient être exemplaires en matière de traitement des données sensibles et devraient même en faire la promotion à leurs lecteurs.
Vos pouvoirs de sanction ont récemment été renforcés…
I.F.-P. Effectivement, les amendes maximales sont passées de 150 000 à 3 millions euros. Mais le règlement européen, applicable en mai 2018, prévoit des amendes pouvant s’établir entre 2 et 4% du chiffre d’affaires mondial de l’entreprise concernée. C’est un signal politique fort aux groupes: prenez désormais le traitement des données au sérieux. Aujourd’hui, la Cnil réalise 450 à 500 contrôles annuellement, et prononce 10 à 15 sanctions. Ces contrôles ont pour but principal de faciliter la mise en conformité. Et, d’ailleurs, nous apportons une assistance pour y parvenir.
Lire aussi notre enquête «Menace sur les cookies»
