Le monde de la publicité en ligne est soulagé, même s’il reste vigilant. Le gendarme français des données personnelles, la Cnil, a publié jeudi 1er octobre sa « recommandation » définitive sur le consentement à la publicité ciblée. Un dossier repoussé en raison de la crise sanitaire, mais qui arrive après dix mois de discussions tendues entre l’interprofession publicitaire et la Cnil, et qui a demandé l’intervention du Conseil d’État (lire Stratégies n°2043). L’interprofession a été pourtant à l’origine des demandes de précisions à la Cnil, pour savoir à quoi s’en tenir et interpréter correctement le RGPD, et afin de prévenir et éviter ses sanctions. Mais les premières recommandations de janvier avait été un coup de tonnerre dans le milieu, notamment en interdisant les « cookies wall », c’est à dire « la subordination de l’accès au contenu d’un site internet au consentement de l’utilisateur à l’égard des cookies », selon les textes.
Chaque internaute refusant de livrer ses informations de consultations en ligne aurait pu avoir accès à tous les contenus sans compensation pour l’éditeur, si ce n’est de la publicité contextuelle. Mais les sages du Palais-Royal avait finalement estimé qu’ils ne pouvaient pas être « interdits » si des alternatives existaient (comme payer à l’article, une proposition d’abonnement, etc.). La Cnil a ainsi tenu compte de la décision du Conseil d’État dans la nouvelle mouture de son rapport. Le régulateur appréciera désormais la « licéité » des cookies wall « au cas par cas », en vérifiant par exemple la présence de telles alternatives. Les sites devront par ailleurs « clairement indiquer les conséquences » du refus du consentement, valorisant ainsi le sens du terme « consentement éclairé » de l’internaute dans le RGPD.
Design des CMP
L’autre bonne surprise était inattendue. Elle est venue du côté du design des Consent Management Platform, ces interfaces que tout internaute doit voir en arrivant sur un site internet afin d’exprimer clairement son accord pour le dépôt de cookies. Si la Cnil interdit toujours la poursuite de navigation (scrolling) comme valeur de consentement, elle détaille de manière précise plusieurs designs de CMP. Le gendarme des données avait recommandé en janvier dernier, dans le cas d’un recueil non granulaire (c’est-à-dire sans détailler les choix des types de cookies à accepter) de mettre les deux boutons « accepter tout » et « refuser tout » au même niveau. Mais une nouveauté apparaît dans ces nouvelles recommandations : une figure (la figure 5) laissant apparaître, en haut de l’écran du CMP, un bouton « continuer sans accepter » à l’écart, favorisant ainsi les éditeurs. Mais les professionnels du secteur, qui doivent se mettre au pas dans les six mois, restent vigilants. « Nous saluons l'écoute de la Cnil, mais il faut constater que la France reste le pays avec l’interprétation la plus stricte du RGPD en Europe », souligne Nicolas Rieul, président de l’IAB. Avant que le règlement européen e-Privacy n’arrive pour harmoniser tout cela.
