Facebook se conforme (discrètement) aux exigences de la Cnil sur les cookies pub
par Nicolas Jaimes
- La Cnil demande depuis le 1er avril 2021 aux éditeurs de site Internet qu'il soit aussi facile d'accepter que de refuser les cookies publicitaires.
- La plupart des sites français s'étaient conformé à cette exigence... mais pas Facebook et Google, sanctionnés de 60 et 150 millions d'euros d'amende début 2022.
- Facebook est finalement rentré dans le rang avec une interface qui satisfera le gendarme des données personnelles.
Sanctionné d’une amende de 60 millions d’euros par la Cnil début janvier, Facebook avait trois mois pour revoir sa politique en matière de cookies… Il lui en aura fallu finalement moins de deux pour le faire, puisque son site (de même que celui d'Instagram) permet désormais à tout nouvel arrivant de refuser les cookies non-essentiels dès le premier niveau (là où par le passé, il fallait cliquer sur un bouton “personnaliser” au premier niveau).
La plateforme adopte néanmoins une approche originale puisque là où l’essentiel du marché a privilégié une configuration “tout accepter” - “tout refuser” (et parfois une troisième alternative “continuer sans accepter”), elle propose à ses utilisateurs d’autoriser uniquement les cookies essentiels (et donc exemptés de consentement) ou d’autoriser les cookies essentiels et optionnels (en incluant les cookies pub et tracking).
La finalité reste, dans tous les cas, la même (il est, comme le lui demandait la Cnil, désormais aussi facile de refuser les cookies non essentiels que de les accepter) et c’est donc la fin d’un long bras de fer puisqu’on rappelle que le gendarme des données personnelles a mis en place cette obligation le 1er avril 2021. Un exigence qui avait fait grincer bien des dents à l’époque, la publicité ciblée étant au cœur du modèle économique de la plupart des médias sur le Web. Mais à laquelle les éditeurs français s’étaient finalement rapidement pliés.
Ca aura été plus compliqué du côté des plateformes américaines qui ont longtemps fait le dos rond, invoquant une subtilité introduite par le RGPD. Ce dernier instaure en effet un mécanisme de guichet unique qui permet aux organisations établies dans plusieurs pays de l’Union Européenne de ne choisir qu’une seule autorité (celle où est situé leur établissement principal) comme interlocuteur. Le plus souvent la Cnil irlandaise, qui est beaucoup plus souple que son homologue française. La Cnil française ne l’a bien évidemment pas entendu de cette oreille, assurant de son côté que directive eprivacy sur les traceurs, lui donnait toute latitude pour sévir.
"Netflix a été le premier à céder, en introduisant un bouton “tout refuser” à l’été 2021, suivi par Twitter en décembre dernier. Facebook aura lui attendu que la Cnil tape du poing pour passer à l’action"
Netflix a été le premier à céder, en introduisant un bouton “tout refuser” à l’été 2021, suivi par Twitter en décembre dernier. Facebook aura lui attendu que la Cnil tape du poing pour passer à l’action. Cette dernière a rappelé, à l’occasion de l’officialisation de sa sanction, que “le mécanisme de refus plus complexe (mis en place par Facebook, ndlr) revient, en réalité, à décourager les utilisateurs de refuser les cookies et à les inciter à privilégier la facilité du bouton de consentement aux cookies figurant dans la première fenêtre.” Un reproche également formulé à l’encontre de Google, sanctionné, lui, d’une amende de 150 millions d’euros. Le géant de la publicité n’a, en revanche, pour l’instant rien changé à sa politique de récolte du consentement. Il faut toujours cliquer sur un premier bouton “personnaliser” pour pouvoir exprimer son refus, dans un second niveau. On notera par ailleurs que WhatsApp, qui appartient au même groupe que Facebook, n'est lui toujours pas conforme, contrairement à TikTok, qui n'a lui pas attendu d'être sanctionné par la Cnil pour proposer à ses utilisateurs de “tout accepter” ou “tout refuser”.