Le délai pour mettre en conformité les sites et applications mobiles aux règles en matière de cookies a pris fin le 31 mars 2021.

C’est l’occasion de revenir sur quelques règles que l’éditeur d’un site ou d’une application doit respecter :

• Les internautes doivent être clairement informés des finalités des cookies ; l’ensemble des usages liés aux cookies doit être présenté à l’utilisateur au moment où celui-ci doit faire son choix ; pour des raisons de clarté et de concision, une première description peut être limitée à une brève présentation des objectifs poursuivis par les cookies suivis par une description plus détaillée ;
• Refuser les cookies doit être aussi simple que les accepter : le consentement doit être donné par un acte positif clair ; comme le fait de cliquer sur « j’accepte » dans une bannière cookie ; le silence de l’utilisateur, qui peut passer par la simple poursuite de la navigation, doit dorénavant s’interpréter comme un refus ; la CNIL a également estimé que l’intégration d’un bouton « Tout refuser » sur le même niveau et sur le même format que le bouton « Tout accepter » permet d’offrir un choix clair et simple pour l’internaute ;
• La pratique des cookies walls n’est pas interdite, mais la Cnil sera très attentive à l’existence d’alternatives réelles et satisfaisantes, notamment fournies par le même éditeur, lorsque le refus des traceurs non nécessaires bloque l’accès au service proposé.

Ces règles sont contraignantes lorsque l’on souhaite générer des revenus avec son site internet ou son application mobile puisque l’utilisateur peut naviguer sur le site, sans que des cookies tiers ne soient déposés (Les cookies tiers sont ceux qui permettent à des tiers d’afficher dans les pages internet leur service : exemple YouTube, Facebook, Amazon, Fnac ou toutes autre marque qui présenterait dans une bannière directement une publicité de son produit, ou indirectement par le biais d’un mandataire qui dispose de l’espace publicitaire du site) ; rendant ainsi impossible à un éditeur tiers de proposer des publicités adaptées, et à l’éditeur du site sur lequel l’utilisateur navigue de générer un revenu lié à cette navigation.

C’est pourquoi certains grands groupes essaient de développer de nouvelles technologies pour une alternative aux cookies tiers. Google a développé une API dénommée « Federated Learning of Cohorts » ou “FLoC” dans ce but.

Google qualifie cette API comme un mécanisme permettant de préserver la vie privée et de permettre d’activer la publicité basée sur les centres d’intérêt. Cette API se fonde sur la notion de cohorts qui est un groupe d’utilisateur avec des intérêts similaires (Le livre blanc de Google est disponible sur internet à l’adresse suivante : https://github.com/google/ads-privacy/blob/master/proposals/FLoC/FLOC-Whitepaper-Google.pdf) Plusieurs méthodes sont mises en œuvre dont celles de tenir compte de l’historique des navigateurs pour créer des profils.

Or, l’historiques des navigateurs, s’ils sont anonymisés, ne sont pas des données à caractère personnel, en revanche, l’anonymisation sur la base d’un élément permettant d’identifier le navigateur d’un utilisateur pourrait être considéré comme des données à caractère personnel.

C’est pourquoi une analyse de conformité aux réglementations RGPD très précise de cette alternative devra être effectuée avant de l’utiliser afin d’éviter tout risque de sanction et avant de définitivement abandonner les cookies tiers dont le cadre juridique est aujourd’hui clair et dont les risques d’utilisation sont identifiés.