Chamboulé le mois dernier avec l’entrée en vigueur des nouvelles lignes directrices de la CNIL, le modèle du « cookie wall » a évolué vers celui du « cookie alternative wall ». Une solution à mi-chemin entre la défense du modèle publicitaire du Web, et le consentement offert aux internautes.
Depuis le mois d’avril, vous aurez sans doute remarqué du changement quant à la politique de consentement en matière de cookies publicitaires, au gré de vos visites sur différents sites internet. Dans les cas les plus extrêmes, deux solutions s’offrent à vous. Soit vous consentez à accepter le dépôt de cookies publicitaires, et vous pouvez poursuivre votre navigation sans « surcoût ». Soit vous refusez le dépôt de ces traceurs (sauf ceux étant considérés comme indispensables à la bonne marche d’un site ou service), et vous êtes alors invité·e à payer pour avoir accès au contenu sans cookies publicitaires. Ce sont les fameux « cookie walls », ou murs de traceurs.
Cette pratique découle en fait des nouvelles règles recommandées par la CNIL, qui doit se résoudre, après avoir été corrigée par le Conseil d’État en juin 2020, à faire du cas par cas. Alors, quelles sont les différentes « variations » adoptées par les médias français aujourd'hui ? La politique du « payer ou accepter le tracking publicitaire » est-elle légale ? Les cookiez walls sont-ils destinés à perdurer ? Et qu’en pensent les délégués à la protection des données (DPO) ?
Pour répondre à ces nombreuses questions, et pour vous fournir les éléments les plus précis possibles, toujours en faisant preuve de pédagogie, nous avons pu discuter avec des représentants ou des porte-paroles de la CNIL, du groupe Webedia - premier groupe média français sur le divertissement online -, de l’AFCDP (Association française des Correspondants à la Protection des Données à caractère Personnel), et avec Guillaume Tollet, spécialiste des sujets de privacy et ex-DPO Dentsu.
Qu'est-ce qu'un cookie wall ?
Suivant le principe du cookie wall, ou « mur de traceurs », un éditeur va restreindre ou bloquer l’accès à un site internet ou à une application mobile à tout utilisateur ne donnant pas son consentement pour être suivi par le biais de cookies publicitaires ou autres traceurs de connexion.
Depuis près de deux ans, l’écosystème a connu bien des chamboulements. Tout a commencé le 4 juillet 2019, lorsque la CNIL a adopté ses nouvelles lignes directrices concernant les cookies et traceurs. Le gendarme des données estimait en effet que l’accès à un site Web ne pouvait pas être subordonné à l’acceptation des cookies. Autrement dit, pour la CNIL, l’internaute ne devait pas subir « d’inconvénients majeurs en cas d’absence ou de retrait du consentement ». L’autorité s’était donc positionnée contre le principe du cookie wall, prohibant ce dernier.
Un an plus tard, le Conseil d’État s’en mêlait, annulant la disposition de la CNIL, qui, pour la haute juridiction administrative, avait statué au-delà de ses compétences. La CNIL a donc dû revoir sa copie, jugeant alors la licéité du cookie wall au cas par cas. Nous y reviendrons un peu plus tard.
Depuis, et encore plus particulièrement depuis une déclaration du Comité européen de la Protection des Données (CEPD), liée au futur règlement e-Privacy, les éditeurs sont surveillés. S’agissant des « cookies walls », la CNIL a rappelé que « pour déterminer au cas par cas si le consentement des personnes est libre et si un cookie wall est licite ou non, elle sera très attentive à l’existence d’alternatives réelles et satisfaisantes, notamment fournies par le même éditeur, lorsque le refus des traceurs non nécessaires bloque l’accès au service proposé », nous dit la CNIL.
Quels cookies sont exemptés de consentement ? 🍪
Tous les cookies publicitaires ou dits « non essentiels au fonctionnement du service » nécessitent, par principe, le consentement de l’utilisateur. D’autres vont être exemptés. C’est le cas des traceurs destinés à l’authentification auprès d’un service ; ceux qui permettent de garder en mémoire le contenu d’un panier sur un site de e-commerce ; ou encore ceux utilisés pour la mesure d’audience. On notera que pour ces derniers, seul l’éditeur doit pouvoir avoir accès à ces informations.
Les différentes tendances de « cookies alternative walls »
Comme le souligne Guillaume Tollet, Consulting Associate Director chez fifty-five (ex-DPO Dentsu), le phénomène observé sur de très nombreux sites depuis début avril d'apparente davantage à un « cookie alternative wall », qu'à un « cookie wall. » Le spécialiste des sujets de privacy voit ici une nuance subtile mais essentielle, « car il s’agit d’un nouveau pacte que les médias mettent en place avec les internautes. »
« Le choix est donné entre accepter les cookies, permettant aux médias de vendre de la publicité à plus forte valeur, et s’abonner, sans cookies et sans publicité. On propose ici une alternative à l’utilisateur, alors que le "cookie wall" propose seulement d’accepter les cookies, sans cela il n’est pas possible d’accéder au contenu », synthétise l’expert.
1. Webedia en mode « cookies alternative walls » :
Webedia (Allociné, Jeuxvideo.com, PureMédias, Terrafenima, PureBreak ou encore Easyvoyage) a fait le choix des cookies alternative walls. En l’état, le groupe propose en effet, pour l’ensemble de ses sites, les deux fameuses solutions : soit l’accès sans cookie publicitaire moyennant une somme mensuelle TTC (2 euros par mois pour le cas d’Allociné, le montant variant selon les sites), soit un accès gratuit en acceptant les cookies publicitaires.
D’un point de vue éthique, la démarche peut poser question. Certains l’assimileront à du chantage, puisqu’une sorte de « quitte ou double » est proposé à l’utilisateur. Mais au final, l'alternative semble bien reprendre l’idée du « pacte » dont parlait plus tôt Guillaume Tollet.
D'ailleurs, Webedia, qui a joué le jeu de répondre à nos questions (ce que d’autres n’ont pas fait, disons-le en toute transparence), se défend de son choix. « La création de contenus, le développement, et le maintien de sites gratuits et de qualité, a un coût important que tous les utilisateurs n’ont pas nécessairement en tête. Il s’agit aujourd’hui d’un enjeu de survie économique : si le business model des sites consistant à recourir à des cookies pour monétiser l’audience auprès des annonceurs et permettant la gratuité des contenus n’est plus possible, il faut alors passer à un modèle payant pour l’utilisateur. Toutefois, l’alternative d'accès équivalente fondée sur le modèle historique existe toujours : accepter les cookies publicitaires permet l'accès gratuit au site. L'utilisateur garde le choix de le faire pour certains sites et pas pour d'autres ».
L’argumentaire de Webedia a du sens. Quoi qu’on en dise, l’utilisateur garde le choix. Patrick Blum, le délégué général de l’AFCDP, défend lui aussi ce choix. « Pourquoi les sites offrant des services seraient-ils toujours gratuits ? Pourquoi, ce qui est payant dans le monde réel, deviendrait-il gratuit dans le monde numérique ? », se demande-t-il. Et ce dernier d’ajouter : « L’adage "si c’est gratuit, c’est que c’est vous produit" semble avéré. Il n'apparaît donc pas absurde de devoir accepter une dichotomie de l’offre : soit payer et ne pas avoir de publicité ciblée (donc pas de traçage), soit bénéficier d’un service gratuit avec de la publicité ciblée ».
2. Tout accepter ou tout refuser : les bons élèves (aux yeux de la CNIL)
Dans ses recommandations et lignes directrices, la CNIL pose un principe : refuser les traceurs doit être aussi simple que les accepter. En soi, dans une bannière, le gendarme des données suggère de faire cohabiter un bouton « Tout accepter » avec un bouton « Tour refuser », sur le même niveau. L’intention, ici, est d’offrir à l’utilisateur un choix clair et simple. On peut donc dire des sites et médias qui proposent ce choix qu’ils sont les bons élèves de la classe.
Le groupe TF1, par exemple, propose directement ce choix sur ses plateformes de contenus MyTF1 et Salto, mais pas sur sa galaxie de médias numériques. Même chose pour le site internet de France Culture.
3. La nécessité du second bandeau et les adeptes du « bandeau de rattrapage »
Au cours de notre navigation, on peut observer des pratiques différentes selon les groupes médias.
On retrouve un premier bandeau sur la totalité. Lors de l’arrivée sur le site, un mur s’ouvre en proposant deux options majeures : « Accepter » (souvent mieux mise en valeur) ; « Paramétrer les cookies » (ou « en savoir plus ») ; et, toujours en plus petit et dans le coin, l’option « Continuer sans accepter », qui équivaut, au sens de la CNIL, à un refus des cookies publicitaires, même si elle est moins mise en valeur.
Si vous cliquez sur « Paramétrer » (une option que la CNIL impose), une seconde fenêtre s’ouvre. Pour beaucoup, comme sur Clubic, Cdiscount, CNet, France Culture, Le Monde, La Provence, Les Numériques, ou BFMTV, les boutons « Tout refuser » et « Tout accepter » apparaissent sur ce second bandeau plus détaillé.
« En parallèle des exemples donnés de "cookies alternative walls", d'autres médias ont préféré mettre en place un "bandeau de rattrapage", qui s’affiche a posteriori en cas de refus du côté de l’internaute », explique Guillaume Tollet.
Comme le souligne notre expert, certains sites ne s'arrêtent pas au second bandeau. Sur L'Obs, en cliquant sur « Continuer sans accepter » (en premier bandeau) ou sur « Tout refuser » (en second bandeau), le fameux bandeau de rattrapage s'affiche alors. Et il vous poursuit partout durant votre navigation : en scrollant, en changeant de page, jusqu'à ce que vous acceptiez, ou que vous vous abonniez. Une stratégie intrusive, que l'on retrouve aussi sur des sites comme L'Équipe ou Le Monde, qui a pour but de vous faire craquer.
4. Le choix mais pas le choix, la sélection manuelle… : les autres propositions
Certains sites vont quelque peu « forcer la main » des internautes. Si Webedia annonce la couleur, en proposant d’emblée un choix 1 et un choix 2, des sites comme Marmiton ; Doctissimo ou aufeminin (tous trois du groupe TF1) créent, au départ l’illusion du choix entre « J’accepte tout », « Je n’accepte rien » ou « Paramétrer ». Formidable n’est-ce pas ?
Eh bien pas vraiment, car en cliquant sur « Je n’accepte rien », un bandeau de rattrapage s’affichage vous proposant de changer d’avis et d’accepter tous les cookies, ou de vous abonner, pour un forfait mensuel.
Il existe toutefois une dernière subtilité, notamment aperçue sur certains sites de la galaxie Prisma Media (Geo, Capital, Business Insider France, Voici, Gala). Au menu cette fois : un bouton « Accepter », un bouton « Réglages », et en plus petits caractères en haut à gauche du mur, l’option « Refuser et s’abonner ». On pourrait alors comprendre qu’il faut soit consentir aux traceurs publicitaires, soit payer, mais la subtilité réside ici dans le bouton « Réglages ».
En effet, en cliquant sur ce dernier, une fenêtre aux multiples options s’ouvre. Plusieurs onglets (finalités ; fonctionnalités ; partenaires) sont affichés. Deux crans sont proposés : « Consentement utilisateur », qui permet de donner manuellement et ligne par ligne son choix (« Oui » ou Non »), et « Intérêt légitime ». Autrement dit, si vous voulez faire sans les cookies non essentiels, mieux vaut rester sur le cran « Consentement utilisateur », où le refus est sélectionné par défaut. Un moindre mal.
Un utilisateur, plus « produit » que jamais ?
Plus haut dans ce dossier, Patrick Blum, délégué général de l’AFCDP, affirmait que l’adage « si c’est gratuit, c’est que c’est vous le produit » était mis en évidence par cette nouvelle pratique. Mais il n’a jamais été tenu secret que les sites se financent grâce à la publicité et aux cookies. « L’utilisation de cookies publicitaires n’est pas illicite par nature et n’est pas une nouveauté », nous répond ainsi Webedia. « Elle est encadrée par une législation stricte en matière de protection des données personnelles, et structure de façon très importante les revenus « programmatiques » des sites internet (y compris Clubic…). Il ne s’agit donc pas d’avouer un secret ou une pratique illégale, mais de rappeler à tous la réalité du marché publicitaire en ligne ».
La CNIL nous indique également que « les données à caractère personnel des internautes sont, depuis longtemps, utilisées par les acteurs de l’Internet pour financer les services qu’ils proposent, notamment via la publicité en ligne ». L’autorité rappelle que cette exploitation des données demeure encadrée, outre la nécessité d’un consentement.
Patrick Blum, lui, estime que « la gratuité se paie. Au prix, non pas d’un renoncement à la protection des données, mais au prix de leur divulgation partielle » … Il y a aussi la question de la qualité et du maintien de l’information, comme le soutient Guillaume Tollet. « Dans un sens, cela permet aux médias de réaffirmer aux internautes que le contenu de qualité a de la valeur, et que cette valeur doit être rémunérée. À l’heure où les individus se renseignent plus sur Internet que dans la presse écrite, il est essentiel que les groupes de presse puissent se rémunérer correctement afin de financer leurs journalistes, et de garder leur indépendance. Il en va de même pour les éditeurs de contenus », avance l’expert.
Quel délai pour à nouveau demander aux utilisateurs leur consentement ?
« En principe, il est nécessaire de conserver les choix exprimés par l’utilisateur, qu’il s’agisse de son consentement ou de son refus », affirme l’autorité. Cela signifie que le choix donné à l’entrée doit valoir pour toutes les pages.
Aujourd’hui, la CNIL recommande aux éditeurs de respecter un délai de six mois avant de redemander à l’internaute de revoir son choix. « Une bonne pratique » selon elle, qu’il s’agisse de l’acceptation ou du refus d’ailleurs.
Cette durée de conservation – qui n’est pas obligatoire – de six mois (notamment en cas d’acceptation des cookies) est en tout cas suivie par les médias. Là aussi, la CNIL mènera une appréciation au car par cas, « au regard de la nature du site Web ou de l’application concernée et des spécificités de son audience », note l’autorité.
Comme le précise Guillaume Tollet, « il est tout à fait possible de dissocier la durée de conservation du refus de celle de l’acceptation […] à condition de ne pas tomber dans une sursollicitation des internautes, qui serait contre-productive ».
On pourrait alors imaginer une conservation du choix d’un mois en cas de refus, et de six mois en cas d'acceptation. « Le délai actuellement en place sur les sites du groupe Webedia est de un mois avant de remander un nouveau choix au visiteur. Et il sera amené à évoluer en fonction de nos analyses d’usage, dans le respect des recommandations de la CNIL », nous informe le groupe de divertissement.
Les cookies walls, l'enfer des DPO ?
Il ne fait nul doute que les délégués à la protection des données, les fameux DPO, ont du pain sur la planche en ce moment. « Le DPO a le rôle difficile de protéger les données des personnes, tout en restant loyal à son employeur », rappelle Patrick Blum, délégué général de l’AFCDP. « La question des cookies entre inévitablement dans ce cadre : le DPO doit contribuer à assurer l’équilibre entre les intérêts légitimes du responsable de traitement, et la protection de la vie privée et des données personnelles », ajoute-t-il.
Tandis que la CNIL relaie le comportement « attentif » des DPO, Guillaume Tollet, justement ancien DPO de Dentsu, rappelle la complexité de leur tâche. « Selon moi aujourd'hui, trop peu d'entreprises ont compris la valeur ajoutée d'avoir un bon DPO pour les conseiller et les aiguiller stratégiquement ».
La pratique du cookie wall va-t-elle perdurer ?
C’est le point final de notre dossier. Les cookies walls sont-ils l’avenir des traceurs publicitaires ? S’agissant de Webedia, on nous affirme qu’il n’est « pas prévu de faire évoluer la technologie du dispositif mis en place ». La position du représentant de l’AFCDP semble rejoindre celle de Webedia. Pour Patrick Blum, « en l’absence de position contraire de la CNIL, il ne semble pas que le système […] doive disparaître. À moins qu’il n’ait pour vocation de faire pression sur la CNIL pour qu’elle révise sa position sur le sujet ».
Guillaume Tollet semble bien moins certain de l’avenir de la pratique. « Il est certain que plusieurs "cookies alternative walls" seront amenés à changer dans les semaines et mois à venir », assure l’expert en privacy. Si les éditeurs ont tous pris un virage à 90° il y plus d’un mois, il estime qu’en fonction des performances et des différentes cibles, « ils seront nécessairement amenés à affiner leur stratégie, marque par marque, quitte à faire machine arrière pour certains ».
La CNIL promet de sont côté de « poursuivre les contrôles sur l’utilisateur des traceurs et cookies », faisant même de cette thématique une priorité de contrôle pour 2021. De potentielles mesures correctrices, voire des sanctions (mise en demeure, sanction pécuniaire, etc.) pourront être prises, en cas de non respect des lignes directrices… En restant toujours dans l'optique de faire du cas par cas !
L’avenir du cookie publicitaire peut aussi être discuté. C’est en tout cas le point de vue, intéressant, de Patrick Blum. « Mon sentiment est que si Google réussit à imposer FLoC, les cookies pourraient disparaitre en partie. Avec deux écosystèmes : celui de Chrome et associés, sans cookies, et celui de Firefox et autres, avec cookies. Avec une incertitude sur la pérennité de cet équilibre ».
Quoi qu'il en soit, le modèle de l'usage de la donnée personnelle et de sa puissance pécuniaire promet de connaître encore bien des chamboulements…
On nous vante aujourd'hui FLoC comme LE dispositif qui va succéder aux célèbres cookies tiers, lesquels permettent un traçage individuel publicitaire des internautes. Mais de quoi parlons-nous réellement ? Clubic vous propose de découvrir et décrypter les détails de ce nouveau concept, avec des témoignages exclusifs.
FLoC, la saga, by Clubic
