Alors que la CNIL a publié des recommandations relatives aux cookies et autres traceurs à la fin de l’année 2013, la plupart des sites Internet français n’en ont pas toujours tenu compte.

Quasiment tous les sites Internet français ne respectent pas les obligations relatives aux traceurs, et ce même pour des sites officiels appartenant au gouvernement.

Depuis ces derniers mois, la plupart des sites Internet français se sont mis à afficher un avertissement en ce qui concerne l’utilisation des cookies, obligeant les internautes à se débarrasser de cette petite fenêtre Ô combien irritante (cf. ci-dessus) en cliquant sur un bouton OK ou une croix.

Que se passe-t-il sur la plupart des sites Internet si vous ne validez pas cet avertissement ? Le site a tout de même récolté des informations sur vous via des cookies comportementaux (publicités Adsense, outils de statistiques, affichage des boutons de partage sur les réseaux sociaux…) comme si de rien n’était.

Sauf que cela va clairement à l’encontre de ce qui a été édicté par la CNIL :

L’article 2 de la recommandation du 5 décembre 2013 indique que « sauf consentement préalable de l’internaute, le dépôt et la lecture de cookies ne doivent pas être effectués : si l’internaute se rend sur le site (page d’accueil ou directement sur une autre page du site à partir d’un moteur de recherche, par exemple) et ne poursuit pas sa navigation : une simple absence d’action ne saurait être en effet assimilée à une manifestation de volonté ».

Interdiction donc de suivre les visites des internautes n’ayant pas validé l’acceptation de l’utilisation de cookies comportementaux. Interdiction d’afficher des publicités Adsense basées sur le comportement des internautes, ou d’utiliser la plupart des boutons de partage sociaux, tous ces usages demandant l’utilisation de cookies traqueurs.

Comment la CNIL juge que l’internaute donne son accord ? Cela semble être « qui ne dit mot consent », mais c’est finalement un peu plus subtile que ça…

Les cookies, conformément à l’article 32-II de la loi, ne peuvent être, par définition, déposés qu’une fois ledit consentement recueillit. Ce dernier doit « se manifester par le biais d’une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l’exercer ».  Qu’il s’agisse du fait de cliquer sur une image ou de faire défiler intentionnellement la première page consultée, l’internaute doit avoir pleinement conscience des conséquences de son action pour que celle-ci traduise son accord au dépôt de cookies.

Un clic sur OK ou le fait de faire défiler une page est donc considéré comme un accord de l’internaute pour l’utilisation des cookies comportementaux. Sauf que, si un site souhaite respecter les recommandations de la CNIL, les cookies comportementaux ne doivent pas être utilisés avant que l’internaute n’est consenti et, actuellement, ce n’est pas du tout comme cela que ça se passe.

Selon le blog de Axe-Net, une agence Web et référencement s’intéressant à ces sujets et qui a demandé à la CNIL ce qu’il en était pour une douzaine des plus gros sites français, ces derniers sont clairement hors-la-loi.

Voyages-SNCF, CDiscount, Rue du Commerce, Air France, Le Monde, Le Parisien, L’Express, le Huffington Post, Gouvernement.fr, Service-public.fr, France.fr et Culturecommunication.gouv.fr… Ces sites ne font qu’afficher un message d’information, jugeant que cela est bien suffisant pour installer chez les internautes une flopée de cookies traqueurs.

Mais la CNIL le dit clairement : « la seule information préalable est insuffisante ».

Pour se rendre conformes à la loi, quasiment tous les sites Internet français vont devoir trouver un moyen de ne pas déposer de cookies de tracking avant que l’internaute n’ait consenti. La CNIL avait annoncé qu’elle commencerait à réaliser des contrôles à partir du mois d’octobre 2014. Depuis cette déclaration… plus rien. La CNIL aurait-elle baissé les bras face à l’immense majorité de contrevenants en France ?

Source