Comprendre l'enjeu des "cookie walls"

Depuis quelques semaines, les éditeurs de sites web (notamment la presse mais pas que) s'agitent pour prendre en compte la dernière version des recommandations de la CNIL relatives aux pisteurs en ligne, dont les fameux cookies. Ces recommandations viennent durcir une position qui ennuyait déjà fortement les publicitaires et n'était que partiellement appliquée la plupart du temps.

Au menu des changements, la CNIL insiste fortement sur une possibilité de refuser les cookies de façon aussi simple et claire que ne l'était déjà l'acceptation. En théorie, fini le "Tout accepter" en un clic et mis en avant, et le "Paramétrer vos choix" qui demande 15 clics et un massacre de molette de souris. On aurait dû voir apparaître un bouton "Tout refuser", quoi.

Sauf que la publicité en ligne, ça rapporte. C'est même tout le modèle économique de nombreux sites. Vous connaissez déjà l'avis de votre serviteur sur le sujet : "HELL". Pour moi, un modèle économique basé uniquement sur la publicité, c'est un mauvais modèle. Cela pouvait fonctionner avec la presse papier (notamment la presse quotidienne et régionale -PQR pour la suite), mais en ligne c'est plus compliqué, puisque (là encore, en théorie...) :

  • le visiteur peut refuser la publicité ciblée (et on retombe sur de la publicité classique, qui rapporte moins -on y revient ensuite) ;
  • le visiteur peut utiliser un bloqueur de publicités (et il ne rapporte plus rien), voire même un bloqueur comme AdNauseam qui en plus pourrit le profil qu'on pourrait dresser de lui.

De ce bref exposé découle un constat simple : les brouzoufs sont proportionnels au taux de consentement. Or le GESTE, qui regroupe beaucoup d'éditeurs et régies pub (de Deezer à Google en passant par M6 ou encore Mediapart, voir ici), ne voyait clairement pas d'un bon oeil les nouvelles recommandations de la CNIL et estimait que les taux de consentement, si les "bandeaux cookies" respectaient à la lettre les instructions du gendarme des données personnelles, risquaient de chuter des 95-98% de moyenne de l'époque sous la barre des 50%. Et c'était le scénario optimiste. D'où une "presque nécessité" de s'arranger avec le texte. Le GESTE meurt, mais ne se rend pas.

Après, GESTE ou pas, c'est la même musique, hein. Je cite le GESTE uniquement parce qu'il représente le secteur en France, pas parce qu'il ferait pire qu'un autre, ni parce que j'aurais une hypothétique dent contre lui.

Le Conseil d'Etat tacle la CNIL

Saisie, l'instance a eu à se prononcer sur les "cookie walls", qui existaient déjà (mais étaient cependant très minoritaires) mais ont été perçus comme la meilleure façon de maintenir un revenu publicitaire "décent" en incitant à consentir au suivi de la navigation. Ben oui : le bandeau classique ne peut pas prendre moitié de l'écran, et cliquer sur un lien ou poursuivre sa navigation n'est pas une action positive valant consentement. Il faut donc l'obtenir, ce consentement ! Un message qui empêche de lire, c'est frustrant, on s'en débarrasse au plus vite...

Par le passé, on a usé et abusé du "si vous voulez refuser les cookies, paramétrez votre navigateur". Pour pas mal de raison (notamment le fait que le réglage n'est pas spécifique à un site : on peut légitimement vouloir refuser les publicités ciblées de JeuxVideo.com sans pour autant se faire jeter de sa banque en ligne parce qu'on rejette les cookies), cela fait aussi partie des dispositifs qu'on ne peut plus utiliser depuis la décision du Conseil d'Etat (toujours lui) dans l'affaire opposant la CNIL aux Editions Croque Futur.

Bref, le cookie wall, c'est la solution. Sauf que la CNIL (et d'autres autorités européennes), suivant l'avis du CEPD sur ce point, l'a explicitement interdit. Des dents ont grincé, le Conseil d'Etat a été saisi de la question, et il a estimé que la CNIL ne pouvait pas interdire systématiquement cette pratique : elle devra faire du cas par cas.

Et comme souvent, ce qui n'est pas explicitement interdit est considéré comme autorisé. Donc on se retrouve avec ça :

Le cookie wall de JeuxVideo.com, proposant d'accepter le suivi publicitaire, ou de payer.

Les exemples sont nombreux, j'en ai pris un au hasard, mais @PixelDeTracking en a fait une liste plus complète.

Est-ce légal ?

Réponse courte : oui et non.

Pour être valable, un consentement doit respecter 4 critères :

  • être libre : le visiteur doit avoir le choix, sans que ce choix ne soit contraint ou influencé ;
  • être éclairé : on doit savoir à quoi on consent ;
  • être univoque : le choix doit se manifester par une action "positive", voulue. Typiquement, scroller ne vaut pas consentement, tout comme cliquer sur un lien vers une autre page du site. Ces procédés, connus sous le nom de "soft consent", ne sont plus autorisés ;
  • être spécifique : on consent à un traitement, une finalité à la fois. Pas à un gros gloubi-boulga de traitements.

Dans le cas qui nous occupe, c'est globalement bon sur les aspects éclairé/univoque/spécifique. La question réside dans le caractère libre ou non du consentement face à un cookie wall vous demandant de payer ou d'accepter le suivi.

Et plutôt que de refaire le très bon travail fait par les copains, je vous invite à vous rendre chez Numendil, qui a abordé le sujet avec force détails tout en restant comme à son habitude clair et accessible. C'est par ici.

A la place, on va parler de ce qu'il se passe "derrière nos écrans" quand vous acceptez le suivi.

Les cookies analytics, cancer du Web

C'est principalement là que se trouve le nerf de la guerre, celle qui rapporte à l'éditeur (et à toute la chaîne derrière, que vous allez découvrir dans cette partie). A quoi servent donc ces cookies ?

  • A déterminer vos centres d'intérêts et comportements, votre localisation ;
  • A suivre votre parcours sur le site / l'application mobile que vous visitez ;
  • A mesurer la fréquentation de telle ou telle partie du site / de l'appli ;
  • A personnaliser les contenus des sites et applications mobiles ;
  • A suivre les campagnes de publicité, pour mesurer le nombre d'affichages d'une pub, le nombre de clics dessus et in fine les sommes dues à la régie.

En gros, à mieux vous connaître, pour "proposer du contenu adapté", souvent en liant vos identités "navigateur Web" et "smartphone".

Ces cookies sont très majoritairement déposés par des tiers, notamment par l'omniprésent Google Analytics, qui lie aussi votre profil sur le Site A avec ce que vous avez vu sur le Site B, puis l'appli C. On a donc une partie de vos centres d'intérêts et habitudes, mais pas seulement sur un site isolé : on parle bien de l'ensemble de votre navigation. Et je ne parle même pas des cookies liés aux réseaux sociaux...

Comment est "ciblée" la publicité ?

Dans mon métier, on parle plus souvent de "publicité programmatique" voire d' "achat programmatique". L'idée du processus, c'est de faciliter la mise en relation entre acheteur et vendeur. Il faut donc que ce soit rapide, automatisé, et précis. Donc plus on vous connaît, mieux c'est, et plus la probabilité que vous cliquiez sur une pub est grande.

Quand je dis "rapide", je ne plaisante pas. On appelle ça des enchères en temps réel, ou Real-Time Bidding (RTB).

Le RTB en un coup de crayon - Source : inconnue, mais le dessin est cool, si c'est le vôtre signalez-vous :)

Voilà comment ça se passe :

  1. Vous arrivez sur une page Web
  2. L'impression publicitaire (l'emplacement, de taille déterminée) est mis au enchères auprès des annonceurs
  3. Les acheteurs intéressés par ce que vous représentez (profil, historique de navigation...) font une offre
  4. Le meilleur enchérisseur remporte l'impression
  5. La bannière publicitaire est affichée sur la page où vous êtes

Oh, et le tout se fait nécessairement dans une fenêtre de... 120 millisecondes max.

L'écosystème de la publicité est énorme

Avant d'arriver dans votre navigateur, la publicité peut transiter par une grande variété d'acteurs : des agences média et des "trading desks" (spécialistes de l'achat d'espaces publicitaires), des plate-formes d'échange (un genre de Tinder de la pub : on trouve des espaces en vente, et des acheteurs ; la plate-forme fait et facture la mise en relation)... et les bien trop défavorablement connus "courtiers en données personnelles" (data brokers).

Et ça en fait du monde, vous pensez ? Eh bien oui. C'est la jungle. La société LUMA a d'ailleurs travailler à cartographier cet écosystème :

L'écosystème de la publicité - Source : LUMA

Un tel écosystème est-il compatible avec le RGPD ? Pas certain. Les précédentes mises en demeure de la CNIL, notamment à l'encontre de Teemo, Fidzup, Singlespot ou Vectaury (des acteurs de cet écosystème) mettent à mal son modèle.

La société Brave Software, qui édite le navigateur Brave, a également saisi les autorités de protection des données personnelles irlandaise et britannique sur ces thématiques de RTB. La chronologie est dispo ici.

Et le partage social ?

Oh, tant qu'à faire long et flippant, hein. Prenons quelques minutes pour parler de ça aussi. Parce que si le RTB est un des cancers du Web, là on tape dans l'AVC.

Comme pour le RTB, à part les acteurs incontournables dont forcément Twitter et Facebook, il y a qui ? Eh bien... moitié de la planète :

L'écosystème social - Source : LUMA

Oui, ça picote hein ? Et encore, à l'époque on ne parlait pas des "nouveaux" RS comme TikTok ou autres ClubHouse.

Rappelons au passage le son de cloche côté CJUE : si vous ajoutez un lien actif avec un réseau social, vous êtes responsable conjoint de cette phase du traitement de données personnelles. Pas toujours simple à gérer/assumer.

Des centaines de tiers, donc ?

Vu l'écosystème, quand vous cliquez sur "tout accepter", avec qui partagez-vous des données ? Tout l'écosystème ? Une sous-partie ?

C'est là qu'arrive l'IAB (pour Interactive Advertising Bureau), une organisation internationale qui vise à structurer et normer le marché de la publicité (et uniquement de la publicité) en ligne. Parmi ses nombreux travaux, on retiendra :

  • le développement du TCF (pour Transparency and Consent Framework), en version 2 à ce jour ;
  • la "certification" des outils de recueil du consentement (CMP, pour Consent Management Platform) comme étant conformes au TCFv2. Le listing est public.

Disons que sans ça, l'éditeur va galérer à mort pour avoir un consentement qui fonctionne avec l'ensemble des régies partenaires. Là, au moins, on fait le truc une fois, proprement, et ça fonctionnera avec tous les partenaires sans se poser de questions. Charge à l'éditeur de sélectionner les siens et d'en constituer une liste (la "vendorslist").

L'avantage pour les annonceurs : un éditeur qui utilise le TCF, c'est la presque garantie d'un consentement valablement obtenu. Si l'éditeur fait trop n'importe quoi avec le recueil et ses modalités, l'IAB ferme le robinet, et le revenu publicitaire chute tout net. C'est arrivé à un client, et dans ces cas-là on débloque tout de suite.

Autre avantage pour l'éditeur, au-delà des "connecteurs" clé-en-main : l'information propre à chaque finalité, les textes descriptifs pour chaque tiers, les liens vers la politique de confidentialité... Tout est fourni. D'ailleurs, ne pas utiliser lesdits textes descriptifs est un motif de fermeture du robinet, là aussi. Testé et approuvé ;)

Le vrai souci, c'est que par flemme, inattention ou juste parce qu'ils y voient une possibilité de maximiser le revenu publicitaire, de nombreux éditeurs intègrent l'intégralité des vendors, et ça fait du monde ! Au moment de l'écriture, la liste comprend 720 entrées.

Un exemple au hasard d'éditeur qui a intégré toute la liste (regardez la taille de l'ascenseur...) :

En effet, belle priorité.

Alors certes, le consentement est valablement obtenu (ou presque : même si la CMP est théoriquement compatible avec le RGPD, on peut aussi la configurer pour ne pas le respecter, évidemment), mais on perd nettement en contrôle. J'ai déjà croisé des vendorslists avec tout pré-activé, et sans bouton "tout désactiver". Qui décocherait 720 tiers avant de naviguer ? Personne. Vraiment.

Note importante aux éditeurs, histoire que ce soit posé noir sur blanc (ou l'inverse selon vos paramètres) : ce n'est pas parce que vous utilisez une CMP "du commerce" conforme (ou pas) au TCFv2 que cela garantit la conformité au RGPD. C'est un élément essentiel pour atteindre une conformité satisfaisante, soit, mais ce n'est pas suffisant. Si vos choix de configuration sont en contradiction avec le RGPD, il ne faudra pas blâmer Didomi, Chandago ou autre OneTrust.

Le mot de la fin

Voilà, on en a terminé avec cette excursion derrière nos écrans, dans le monde finalement assez secret de l'adtech, que j'ai pu pratiquer tant côté éditeurs que côté autorité de contrôle. Vous comprenez (je l'espère) un peu mieux pourquoi se pose la question de trouver un compromis entre vie privée et revenu publicitaire. Les dernières recos de la CNIL (et au global, le RGPD et ePrivacy) sont venues chambouler une situation figée qui était au désavantage (clairement) de l'internaute. Chercher un revenu similaire à la PQR papier, mais sur Internet, c'est compliqué, et quand on a pas mieux on est prêt à toutes les cochonneries pour maintenir cette manne qui, effectivement, permet à certains titres d'exister.

Certains éditeurs m'ont confié il y a plusieurs mois chercher à pousser à la création de compte sur leurs sites, l'idée étant de se passer du consentement, en basculant la base légale de ces traitements sur la fourniture d'un contrat (vous auriez de fait accepté des CGU-CGV en créant un compte), que ce soit gratuit ou non. C'est ce qu'a fait France Télévisions, service public, qui conditionne le visionnage de ses chaînes en direct à la création d'un tel compte, et que je désapprouve.

Et c'est ce que font certains avec des cookie walls incitant à payer, en espérant que même après paiement, on ne soit pas pistés, ce qui est loin d'être garanti comme l'expérience nous l'a montré.

Rappelez-vous que c'est en partie vos choix qui font le monde, même numérique. Bonne navigation !

Maxime
Grand-Est