L’autorité de contrôle sur la protection des données personnelles a lancé sa campagne de contrôle des sites internet sur la réglementation cookies en mettant en demeure 20 acteurs majeurs de l’économie numérique française de se conformer à la nouvelle réglementation devenue contraignante depuis le 1er avril 2021.

Ces acteurs risquent une sanction allant jusqu’à 2% de leur chiffre d’affaires mondial, s’ils représentent une entreprise ou une amende de 10 millions d’euros pour les autres organisations.
Cette campagne de contrôle est réalisée à distance, à l’instar du client mystère dans les commerces, et s’inscrit au cœur de la stratégie de contrôle de la CNIL pour l’année 2021-2022. L’autorité souhaite ainsi envoyer un message fort aux acteurs du web afin de renforcer la protection des droits des consommateurs et leur confiance dans l’économie numérique.
Le monde de l’internet nous a habitués à recevoir une large gamme de produits et de services gratuits. Pourtant, ce marché mondial pèse aujourd’hui plus de 189 milliards de dollars dans le monde et poursuit sa croissance annuelle de 13 % [1] .

Les grands acteurs du net ont désormais le pouvoir incroyable de s’adresser en un clic à la moitié de la population mondiale, tels Google ou Facebook avec leur 2 milliards d’utilisateurs. Ils peuvent également personnaliser le message qu’ils adressent à chacun d’entre eux dont ils connaissent, grâce à la traçabilité de leur navigation, les principaux centres d’intérêts.

Toutefois, c’est surtout grâce à la technologie très répandue des cookies présente sur tous les sites internet qu’ils peuvent collecter une grande partie des données. Celles-ci leur permettent d’avoir une perception fine et en temps réel du comportement de chaque utilisateur .

Pour ce faire, ils proposent des outils gratuits et en libre accès qui vont enrichir le contenu et les fonctionnalités des sites internet, tels Google Analytics qui permet de mesurer l’audience d’un site, Facebook qui facilite l’intégration de post sur une page d’accueil ou encore Youtube qui propose l’implémentation de vidéos sur le site grâce à ses balises iFrame.

Or, pour interagir avec le site internet et notamment se rémunérer, ces acteurs tiers vont utiliser les cookies (mais aussi d’autres technologies de stockage similaires) et, ainsi, collecter les données de l’utilisateur, sa localisation et/ou son historique de navigation. Ils vont décider de la nature des données collectées, de leur fréquence et de leur volume, et les utiliser à des fins publicitaires, publicités sur lesquelles repose principalement leur modèle économique.

Pourtant, juridiquement, c’est bien l’éditeur du site qui est responsable de toutes les données collectées depuis son site internet, alors même qu’il n’a aucun contrôle sur l’usage qui en est fait. Après avoir intégré l’application sur son site, ce dernier ne va recevoir qu’une partie des données collectées pour les fonctionnalités auxquelles il a souscrit tout en étant mal informé, voire pas du tout, sur l’usage réel qu’il sera fait des données ainsi collectées via son site.

Certains tiers jouent le jeu et limitent l’usage des données uniquement aux services qu’ils proposent. Véritables sous-traitants, ils n’ont pas l’usage en propre des données qu’ils collectent. Dans ce cas, la CNIL les exonère de la réglementation sur les cookies et le consentement n’est pas requis.

Toutefois, des acteurs majeurs tels que Google Analytics ou les outils développés sur les réseaux sociaux utilisent au contraire ces données pour leur propre en compte avec pour objectif : la commercialisation et la rentabilité. Ce sont donc bien eux qui sont visés par cette nouvelle réglementation qui souhaite ainsi protéger l’internaute et limiter l’implication de l’éditeur du site internet sur un marché au sein duquel il ne peut tirer aucun profit des données qu’il a collectées.

En conclusion, cette réglementation vise à informer les propriétaires de sites web qu’obtenir le consentement de l’internaute leur permet de s’assurer qu’il est bien conscient qu’en naviguant sur le site ses données vont être réutilisées à des fins publicitaires.

Comment se mettre en conformité avec la réglementation sur les cookies?

La mise en conformité avec cette réglementation est accessible et rapide. Certaines solutions sur le marché permettent de gérer le consentement des utilisateurs et de bloquer, le cas échéant, l’activation des cookies. L’intégration d’une politique de confidentialité et de gestion des cookies incluant les nouvelles exigences réglementaires doit également être accessible sur le site web.

La problématique est similaire lors de l’animation des pages sur les réseaux sociaux. En effet, les données collectées à travers ces pages, même dans les espaces de discussions privés, alimentent la base de données des éditeurs pour mieux cibler les centres d’intérêt des internautes et leur proposer des publicités adaptées. Pourtant, le propriétaire/créateur d’une page sur un réseau social est également responsable juridiquement de tout ce qui est collecté depuis sa page. En conséquence, il est également recommandé d’intégrer une politique de confidentialité qui limite la responsabilité de l’éditeur de la page exclusivement aux données sur lesquelles il a un réel pouvoir de contrôle.

[1] IDC, Worldwide semiannual big data spending guide 2019, https://www.idc.com/getdoc.jsp?containerId=prUS44998419

[2] Etude de l’université de Liévin et Facebook sur le bouton « j’aime » de 2015

Retrouvez tous nos articles chaque mois dans l’AJD, l’Actualité Juridique des Décideurs. Abonnez-vous ! 👇