Si vous avez déjà l'impression que les sites Web ont transformé le simple fait de rejeter les cookies de suivi en une tâche labyrinthique qui implique une lecture attentive de plusieurs boîtes de dialogue, alors l'agence française de protection des données est là pour vous. Le chien de garde (CNIL) a infligé une amende de 150 millions d'euros à Google (170 millions de dollars) et à Facebook de 60 millions d'euros (68 millions de dollars) pour avoir rendu trop confus le refus des cookies par les utilisateurs. Les entreprises ont désormais trois mois pour changer leurs habitudes en France.
Avec Facebook, la CNIL constate que pour refuser les cookies, les utilisateurs français doivent d'abord cliquer sur un bouton intitulé « Accepter les cookies » (c'est nous qui soulignons). Un tel étiquetage « génère forcément de la confusion », précise la CNIL, laissant croire aux utilisateurs qu'ils n'ont pas le choix en la matière.
Avec Google, le problème est l'asymétrie plutôt que l'étiquetage erroné. La CNIL rappelle que les sites Internet de la société (y compris YouTube) permettent aux utilisateurs d'accepter tous les cookies en un seul clic. Mais, pour les rejeter, ils doivent cliquer sur plusieurs éléments de menu différents. De toute évidence, les utilisateurs sont orientés dans une direction particulière qui profite justement à Google. (Je suis bien conscient que The Verge n'offre pas non plus de bouton de cookie “Tout rejeter” en un seul clic.)
Google et Facebook utilisent des motifs sombres pour pousser les cookies sur les utilisateurs
Le droit de l'UE stipule que lorsque les citoyens transmettent des données en ligne, ils doivent le faire librement et en pleine compréhension du choix qu'ils font. Le jugement de la CNIL est que Google et Facebook trompent essentiellement leurs utilisateurs, en déployant ce que l'on appelle des « modèles sombres » – un style de conception d'interface utilisateur subtilement coercitive – pour falsifier le consentement et ainsi enfreindre la loi. D'où les amendes et l'exigence que les entreprises modifient la conception de l'interface utilisateur des cookies dans les trois mois. Ne pas le faire risque des amendes supplémentaires de 100 000 € par jour, précise la CNIL.
Pour tous ceux qui s'intéressent particulièrement aux détails de la réglementation Internet européenne (pauvres imbéciles), l'affaire est également intéressante dans la mesure où la CNIL agit sous l'autorité d'une partie de la législation européenne connue sous le nom de directive ePrivacy, plutôt que de la directive générale plus récemment introduite. Règlement sur la protection des données (RGPD).
Chez TechCrunch, Natasha Lomas offre une excellente explication de la raison, que je ferai de mon mieux pour condenser. Le problème est que l'application du RGPD passe par le chien de garde des données d'Irlande, où de nombreuses entreprises technologiques américaines installent leur siège européen. Cette agence en particulier s'est avérée un peu lente à traiter de telles plaintes, ce qui – seul un cynique pourrait le suggérer – fait partie intégrante de l'environnement réglementaire amical cultivé par l'État irlandais pour attirer l'argent technologique américain en premier lieu.
Ainsi, afin d'obtenir une application rapide (ou toute application), le chien de garde des données de la France s'est tourné vers l'ancienne directive ePrivacy, qui permet aux agences nationales de surveiller directement leur propre territoire. C'est une solution de contournement efficace, et la CNIL a déjà utilisé ePrivacy pour infliger une amende à Google et Amazon sur des problèmes similaires. Pendant ce temps, comme le souligne Lomas, Google n'a pas encore fait face à une seule sanction réglementaire de la part du chien de garde des données irlandais en vertu du RGPD.
Quel est le résultat de tout cela ? Eh bien, si vous habitez en France, vous aurez peut-être une option légèrement plus simple pour rejeter les cookies de Google et Facebook dans le futur. Ce qui est bien, bien sûr, mais c'est loin d'être le genre d'action décisive qui – si vous êtes d'accord avec le désir déclaré d'une réglementation fracturée et multidirectionnelle des données de l'UE – est censée corriger le déséquilibre de pouvoir entre les entreprises technologiques et les consommateurs moyens. Mais c'est comme ça que les cookies s'effritent.