Contribution du GESTE à la consultation publique

 

Accéder à la version PDF de la réponse du GESTE à la consultation publique de la CNIL

 

Le GESTE, Groupement des éditeurs de contenus et de services en ligne, rappelle qu’il a participé aux 4 ateliers organisés par la CNIL entre septembre et novembre 2019 et estime donc avoir déjà contribué activement et avoir fait connaître ses observations à l’occasion de cette phase de “concertation préalable”.

Le GESTE constate à regret que les points centraux et majeurs relevés par l’interprofession lors de cette “concertation préalable” ne se reflètent pas dans le projet de recommandation soumis à consultation publique. Ce projet de recommandation a davantage été élaboré suite à une consultation des représentants de l’interprofession que suite à une “concertation” comme précisé au point 5 du préambule. Le GESTE refuse en conséquence de se porter caution du projet de recommandation en l’état actuel de sa rédaction.

Le GESTE insiste particulièrement sur les points suivants :

1 / La nécessaire reprise de la Consent Management Platform proposée par l’interprofession

L’interprofession a proposé, lors de la “concertation préalable” avec la CNIL, une CMP permettant de recueillir le consentement valide de l’utilisateur. Celle-ci est complète et conforme au RGPD et à la Directive ePrivacy en vigueur. De surcroît, elle excède les exigences de la plupart des régulateurs homologues de la CNIL.

La proposition de CMP permet à l’utilisateur d’exercer ses droits de manière simple, granulaire et transparente.

Pour rappel, cette CMP propose à l’utilisateur sur le premier écran un texte clair et concis décrivant l’ensemble des finalités poursuivies par le traitement de données personnelles, un bouton « tout accepter » ou un bouton « paramétrer mes choix » renvoyant à un deuxième niveau.

De cette manière, l’utilisateur peut donner son consentement de manière libre, spécifique, éclairé et univoque, par un acte positif clair et rapide, mais peut également s’opposer à tout ou partie des traitements. Cette CMP, tout en respectant l’exigence de consentement définie par le RGPD, permet aux éditeurs de se prémunir contre des refus massifs et en bloc des cookies, qui ne sont pas envisagés par la Directive ePrivacy et qui pourraient s’avérer préjudiciables pour leurs activités. A terme, les mécanismes de refus pourraient se retourner contre l’utilisateur lui-même (Fin de l’internet ouvert et gratuit, atteinte à la pluralité et à la diversité de la presse et de l’information).

Les conséquences d’un refus peuvent s’avérer en réalité plus néfastes pour l’utilisateur qu’une acceptation encadrée par les règles contraignantes et protectrices issues du RGPD.

En effet, le “Oui” des utilisateurs oblige les éditeurs à prendre toutes les précautions protectrices de l’utilisateur et nécessaires au regard du RGPD. Pour sa part, le “Non” tue progressivement les éditeurs de contenus, sans pour autant protéger les utilisateurs. Le GESTE s’oppose ainsi fermement au bouton « tout refuser » sur la première page, lequel n’est d’ailleurs pas exigé par le RGPD ni par la Directive ePrivacy.

2 / La création d’une exemption du consentement, entre autres, pour l’ensemble des cookies de comptage, de facturation et de capping qui sont avantageux pour les utilisateurs en ce qu’ils leur permettent de ne pas revoir la même publicité trop souvent.

3 / La possibilité pour les éditeurs d’un affichage de la liste de destinataires par catégorie : une catégorisation des destinataires (en lieu et place de leur identité) contribue à une meilleure compréhension et, partant, une meilleure information de la personne concernée et ainsi, à une meilleure protection des individus. Elle constitue une option librement ouverte par le RGPD en cas de pluralité de responsables de traitement ou de destinataires de données, sans que le collecteur des données n’ait à justifier de son choix autrement que par l’objet d’une information pertinente des personnes au regard de leurs droits.

4 / L’inopportunité de l’enregistrement du refus pour la même durée que celle du consentement : Le GESTE s’oppose à cette obligation qui n’est pas prévue par le RGPD ni par la Directive ePrivacy et n’a été imaginée par aucun homologue de la CNIL. Il appartient à l’éditeur du site de déterminer la fréquence à laquelle il souhaite solliciter le consentement sans nuire à l’accès à ses services.

5 / L’indispensable reconnaissance du cookie wall : les traceurs nécessaires à la personnalisation de la publicité peuvent également être nécessaires au contrat conclu avec l’utilisateur, lorsque la viabilité du service en dépend. Outre le fait que l’interdiction posée par la CNIL n’est pas issue du RGPD ni de la Directive ePrivacy (droit positif actuel, qui fonde tant les lignes directrice que le projet de recommandation et qui, dans sa dernière version du 21 février 2020, exonère les cookies wall du consentement dès lors qu’ils sont nécessaires au financement d’un service d’information), il est indiscutable qu’aucun modèle économique n’est viable sans contrepartie. L’acceptation des cookies publicitaires constitue pour les éditeurs la contrepartie nécessaire à l’accès au contenu des sites gratuits et de qualité financés par la publicité. Pour la plupart des éditeurs en ligne “pure players”, la part du financement par la publicité digitale dépasse 90%.

6 / L’incitation du paramétrage directement via les navigateurs : La proposition de la CNIL, (qui se revendique étrangère aux considérations économiques et géopolitiques) de faire gérer par les éditeurs de logiciels d’exploitation d’un téléphone ou de logiciels de navigation à internet l’autorisation ou l’interdiction absolue des cookies et traceurs consiste, in fine, à confier un monopole de gestion de l’accès aux données, non pas à l’utilisateur, mais à l’acteur qui lui présente les paramètres de ses choix. Une telle proposition est inespérée pour les géants américains et asiatiques de l’informatique.