Tectonique des clics, tectonique des claques

Alors que la proposition de règlement ePrivacy publiée en janvier 2017 est toujours débattue devant le Conseil européen(1), la CNIL profite des atermoiements du législateur européen pour préempter ses décisions et expérimenter en France sa propre vision de la régulation des cookies et autres traceurs.

Ces recommandations, qui se prétendent « non prescriptives » afin d’échapper à un recours devant le Conseil d’État, risquent toutefois d’anéantir, par la seule « crainte du gendarme », le modèle économique des services numériques français financés par la publicité, au premier rang desquels, celui des éditeurs de contenus en ligne, des médias électroniques et de la presse.

Nul doute que cette irruption réglementaire nationale, qu’elle qu’en soit les causes, les objectifs, la portée et les répliques ultérieures, entraîne d’ores et déjà un déplacement des pouvoirs, des territoires et des ressources disponibles. Deux autres séismes, qui incarnent le déséquilibre entre acteurs européens et américains, se sont produits simultanément à la publication de ce projet de recommandations. D’une part, Google annonçait le 14 janvier que son navigateur Chrome bloquerait d’ici deux ans les cookies émanant de tiers au service visité par l’utilisateur. D’autre part, signe de l’insécurité juridique ambiante, l’action en bourse de Critéo, licorne française de la publicité ciblée, s’est effondrée de près de 16 %.

L’instrumentalisation des exigences de la CNIL au service des stratégies industrielles des géants de l’internet s’étale au grand jour, mais ni l’une, ni les autres, ne pourront garantir que cette tectonique des « clics » et des « claques » servira, même un peu, à protéger la vie privée de nos concitoyens.

La guerre des mondes entre « l’Open Internet » et les « Walled Gardens » des géants américains n’est pas un combat pour ou contre la vie privée, mais pour une souveraineté numérique européenne. Quelle protection de la vie privée des européens pourrons-nous garantir quand l’Europe n’aura plus les moyens économiques de ses ambitions politiques ?

I - La CNIL : régulateur ou législateur ?

La CNIL est « une autorité administrative indépendante. Elle est l’autorité de contrôle nationale au sens et pour l’application du [RGPD] règlement (UE) 2016/679 du 27 avril 2016 »(2). Pourtant, la CNIL sort très largement de ce rôle de contrôle et s’octroie des prérogatives de création législative.

En premier lieu, comme elle l’avait fièrement annoncé dans un communiqué du 28 juin 2019, la CNIL a réuni de septembre à novembre 2019 des représentants de la société civile, d’une part, et des métiers du numérique, d’autre part. Cette concertation annoncée avait pour but d’aboutir à des positions communes sur ce projet de recommandations.

À la lecture de ces recommandations, la CNIL n’a retenu aucune des propositions principales soumises par les représentants des 7 000 entreprises françaises directement concernées, relégués ainsi à un rôle d’idiots utiles… à la CNIL. Pourtant, ces entreprises avaient élaboré ensemble, dans une concertation inédite par sa diversité et par sa convergence, une solution de recueil du consentement dépassant les exigences du RGPD et de la directive ePrivacy en vigueur et les surenchères les plus avant-gardistes du moment.

Par ailleurs, la liste des cookies que la CNIL estime exemptés de consentement n’est pas représentative des discussions nouées avec les professionnels. Au prétexte de son indépendance, la CNIL ignore les réalités techniques et juridiques du marché de la publicité en ligne : obligations de comptage, facturation, transparence tarifaire découlant de la loi « Sapin », lutte contre les fraudes publicitaires, etc. La Commission néglige au passage l’intérêt de l’utilisateur servi par les cookies de « capping », qui sont destinés à plafonner la diffusion de publicités, en les soumettant à un consentement supplémentaire à celui nécessaire pour le dépôt de cookies publicitaires.

En deuxième lieu, la CNIL martèle que ce projet de recommandations n’est ni « prescriptif » ni « exhaustif » et n’a pour but que de guider les professionnels, tandis que d’autres méthodes que celles qui sont recommandées pourront être utilisées (pt 3). Force est de constater, depuis 42 ans, qu’une recommandation de la CNIL évolue toujours en application contraignante, comme un entonnoir doctrinaire. Tel a notamment été le cas pour certaines normes simplifiées et autres référentiels publiés par la CNIL, devenus au fil du temps des instruments à l’appui de sanctions.

En troisième lieu, la CNIL n’accorde guère d’importance aux différences d’impact qu’ont les différentes formes de publicités sur la vie privée des personnes, ni au degré d’intrusivité d’une publicité ciblée ou non. À cet égard, la CNIL indique nébuleusement (pt 19 du projet de recommandations), que les traceurs utilisés aux fins de permettre le simple déclenchement de l’affichage d’une publicité, doivent faire l’objet d’un consentement… Sans distinguer en fonction de la nature ciblée ou non de la publicité. Ses compétences de contrôleur des données personnelles semblent ainsi s’étendre à des prérogatives de juge de la publicité digitale.

II - De l’internet gratuit à la vie privée des riches

Chargée de définir la validité du recueil et du retrait du consentement, la CNIL créé un droit au refus des cookies (pt 34), qui n’existe nullement dans le RGPD ni la directive ePrivacy en vigueur, et qui n’a été imaginé par aucun autre régulateur européen au regard des conséquences que la CNIL en tire. Selon l’autorité française, si l’utilisateur refuse l’utilisation de cookies, il devient interdit de solliciter son consentement et ce, pendant une période aussi longue que celle du consentement qui n’a pas été recueilli (pt 36), soit une durée préconisée de six mois (pt 59). En substance, il deviendrait donc interdit, en France, de solliciter le consentement que le RGPD impose de solliciter en Europe (sic !).

Dans son envolée créatrice, la CNIL précise qu’un cookie peut être enregistré pour démontrer le refus… des cookies (pt 37). Avec cette logique imparable, la CNIL impose en substance aux entreprises françaises de collecter systématiquement les données de personnes qui ne souhaitent pas que leurs données soient collectées.

Si les utilisateurs français sont systématiquement obligés d’exprimer leur refus ou leur accord au dépôt de cookies ou d’autres traceurs avant tout accès à chaque site internet, ils refuseront. Systématiquement. Et c’est toute l’économie numérique française qui en souffrira : de la presse en ligne qui offre la lecture gratuite de ses contenus grâce à la publicité ; aux sites internet qui proposent des services financés par l’affichage de publicités.

En définitive, en créant un droit au refus, la CNIL remet en cause l’ensemble du modèle gratuit de l’internet, financé par la publicité, au profit d’un internet pour les riches, ceux qui paient un service dénué de publicité.

Nul doute que les acteurs suffisamment puissants et autonomes pour modifier leur positionnement technologique et concurrentiel, pourront tirer parti de cette éblouissante inventivité qui leur sert sur un plateau le désœuvrement des annonceurs, la peur des éditeurs et la disparition des intermédiaires publicitaires qui subsistaient encore.

III - Le déplacement de la responsabilité vers les éditeurs de services profite aux intermédiaires publicitaires

Le RGPD applique la responsabilité des traitements au « responsable du traitement ». Basique.

Par ses recommandations, la CNIL se détache de ce principe pourtant élémentaire. Elle estime qu’il incombe à l’éditeur du site ou de l’application de s’assurer de la présence d’un mécanisme valable de recueil du consentement aux cookies et traceurs, y compris si ces derniers sont opérés par des tiers (pt 14). En somme, la responsabilité du recueil valable du consentement et de l’information des personnes pèserait uniquement sur l’éditeur du service visité, même si ce dernier ne détermine pas les finalités des cookies, ne choisit pas les acteurs qui les utilisent, ni les technologies employées par ces derniers (pt 14).

La responsabilité de ces tiers n’est même pas envisagée par la CNIL, alors que la Cour de justice de l’Union européenne a jugé à plusieurs reprises en 2019, qu’elle doit être répartie en fonction du rôle, de la connaissance, des objectifs et des moyens mis en œuvre par chacun. Il aurait par exemple été judicieux, si un mécanisme de recueil du consentement était non conforme à la règlementation, d’imposer aux tiers émetteurs de cookies de les retirer ou de fournir à l’éditeur davantage d’information sur leur usage, plutôt que de reporter la responsabilité sur l’éditeur.

IV - La CNIL, admirative de la puissance monopolistique des géants mondiaux de l’informatique pour l’utilisateur

La CNIL incite les navigateurs et systèmes d’exploitation à intégrer au stade de leurs paramétrages, des mécanismes de recueil du consentement. Elle préempte ainsi les discussions sur le futur règlement ePrivacy en restaurant en France une proposition constamment écartée par le Conseil de l’Union européenne depuis qu’il a été saisi en novembre 2017 après le vote du Parlement européen.

Désigner le logiciel d’exploitation d’un téléphone ou le logiciel de navigation à internet pour gérer en un point unique l’autorisation ou l’interdiction absolue des cookies et traceurs, peut sembler être la consécration ultime de la libre volonté éclairée de l’individu tout-puissant. Une telle proposition, émanant d’un régulateur qui se revendique étranger aux considérations économiques et géopolitiques, consiste à confier un monopole de gestion de l’accès aux données, non pas à l’utilisateur, mais à l’acteur qui lui présente les paramètres de ses choix. Une telle proposition est inespérée pour les géants mondiaux de l’informatique. On aurait voulu leur confier les clés de l’économie numérique européenne et des données de nos concitoyens, qu’on ne s’y prendrait pas mieux.

Au lieu de laisser transférer le consentement de nos concitoyens entre les mains du concepteur de leur terminal – américain ou chinois –, il est plus qu’urgent que le gouvernement français s’attèle à protéger efficacement leurs données personnelles dans les débats législatifs en cours, sans attendre ni leur consentement, ni un effondrement des acteurs français de l’économie numérique précipité par des expérimentations franco-françaises hasardeuses.