Si les médias français ont été prompts à se mettre en règle avec les nouvelles lignes directrices de la Cnil, entrées en vigueur le 1^er avril dernier, on ne peut en dire autant des GAFA. Pas plus Google, qu'Amazon, Facebook ou Apple n'ont, une semaine après cette échéance, répondu aux exigences du gendarme des données personnelles, qui impose désormais à tous les sites et applications de permettre à leurs visiteurs d'exprimer leur refus des cookies d'un seul clic.

Il faut en effet cliquer sur le bouton "personnaliser" de l'interface qu'affiche Google aux nouveaux arrivants pour désactiver, dans un second niveau, l'affichage de publicités personnalisées au sein des services maisons, dont le moteur de recherche et Youtube. Même processus du côté d'Amazon, où il faut cliquer sur l'onglet "personnaliser les cookies" pour paramétrer ses préférences. Chez Facebook, c'est le bouton "Gérer les paramètres de données" qui permet d'atterrir au sein d'une interface où on ne peut… qu'accepter les cookies ! Reste enfin Apple où les publicités personnalisées affichées au sein des applications natives sont toujours activées par défaut. Une pratique qui contrevient directement à la directive eprivacy, comme le dénonce l'association France Digitale, à l'origine d'une plainte à ce sujet auprès de la Cnil.

Bien sûr, les GAFA ont l'habitude de jouer au chat et à la souris avec le gendarme des données personnelles. Mais le plus surprenant c'est qu'ils ne sont, cette fois, pas les seuls. Pas plus Twitter que Pinterest, Twitch, TikTok ou Microsoft ne permettent à l'internaute de refuser les cookies publicitaires au premier niveau. Le seul gros acteur américain à se plier aux nouvelles règles de la Cnil est Yahoo, filiale de Verizon Media. Mais pourquoi une telle désinvolture chez les autres ? Pour le comprendre, il faut rappeler une subtilité introduite par le RGPD. Il prévoit qu'un organisme établi dans plusieurs pays de l'Union Européenne peut bénéficier du mécanisme du guichet unique pour avoir comme seul interlocuteur l'autorité du pays où est situé son établissement principal. Chez la plupart des acteurs mentionnés plus haut, il s'agit, essentiellement pour des raisons fiscales, de l'Irlande.

"Si la Cnil française a décidé de durcir sensiblement les recommandations qu'elle avait publiées en 2013 pour les mettre en conformité avec le RGPD, son homologue irlandais n'a pas la même interprétation"

"Or, si la Cnil française a décidé de durcir sensiblement les recommandations qu'elle avait publiées en 2013 concernant la dépose de traceurs publicitaires, pour les mettre en conformité avec le RGPD, son homologue irlandais n'a pas la même interprétation", rappelle Nicolas Rieul, patron de l'IAB France. "Si vous déployez un bouton 'accepter' sur votre bannière, vous devez donner autant de visibilité et de place à une option qui permet à l'utilisateur de refuser les cookies ou d'aller gérer ses préférences en la matière, dans un second niveau", écrit la Cnil Irlandaise, la DPC, dans des recommandations publiées ce 8 avril. Pas d'obligation, donc, de permettre à l'utilisateur de refuser au premier niveau, comme l'impose la Cnil.

GAFA et médias français ne sont donc pas logés à la même enseigne. Et cela a le don d'agacer la plupart des patrons de régie. "La position extrêmement conservatrice de la Cnil française génère une vraie distorsion de concurrence entre les acteurs français et leurs concurrents opérant dans plusieurs pays", s'émeut l'un d'entre eux. L'introduction de l'obligation de la possibilité d'un refus de l'internaute dès le premier niveau n'est pas sans conséquence pour le modèle économique des médias, avec une chute du taux de consentement entre 10 et 20 points… et autant de chiffre d'affaires en moins. "Est-ce qu'on a vraiment besoin de ce boulet supplémentaire alors que les GAFA ont déjà pour eux la taille, la finesse de la data et des avantages fiscaux indéniables ?", dénonce un autre.

Les plateformes américaines jouent néanmoins un jeu risqué, car la Cnil pourrait invoquer une autre législation pour les sanctionner. Il s'agit de la directive eprivacy de 2002, qui régit la manière dont les sites traitent des données à caractère personnel. C'est en invoquant cette dernière, pour laquelle il n'y a pas de mécanique de guichet unique, que la Cnil a prononcé des sanctions de 100 millions à l'encontre de Google et 35 million contre Amazon, en décembre dernier. Elle leur reprochait de déposer des traceurs publicitaires sur l'ordinateur de l'internaute sans que ce dernier ait préalablement donné son accord. Ainsi qu'un défaut d'information et des failles dans la mécanique d'opposition. Google a modifié son interface en conséquence en mars 2021, en permettant à l'internaute de désactiver l'ensemble des cookies de personnalisation, sans jamais quitter la bannière de consentement.

"La Cnil française pourrait à nouveau sanctionner les acteurs américains qui ne mettent pas de bouton refuser au premier niveau parce qu'elle estime que c'est indispensable à la validité du consentement au dépôt de traceur, tel qu'il est défini par eprivacy", assure Stéphane Petitcolas, expert en données personnelles chez CDLV Conseils et… ancien de la Cnil. Une analyse qui n'est pas partagée par tous, notamment les GAFA qui ont, il est vrai, les moyens de s'engager dans un marathon judiciaire. "Pour ces mastodontes, il est rationnel de risquer une amende infligée par le régulateur plutôt que d'enregistrer une perte sèche de revenus liée aux 20 à 30% d'utilisateurs qui refuseraient la dépose de cookies", constate le fondateur de la plateforme de gestion du consentement SFBX, Bruno Delcombel-Delbos. La balle est désormais dans le camp du régulateur. Avec comme prochaine étape la transposition de la directive eprivacy en un règlement qui permettra d'uniformiser l'avis des Cnil européennes sur le refus des cookies. Cela aurait dû se faire en même temps que l'arrivée du RGPD, il y a près de trois ans. Cela arrivera peut-être d'ici la fin de l'année, ou l'année prochaine…