noyb Blog | Updates

Même en refusant les cookies, votre vie privée peut s’émietter

Déc 10, 2019

Cdiscount, Webedia, Condé Nast, Facebook, AppNexus et PubMatic ont tous participé à la mise en place illégale de cookies publicitaires alors que les utilisateurs les ont expressément rejetés. noyb.eu dépose trois plaintes auprès de la CNIL liées au consentement de l’utilisateur à l’installation de cookies.

Quick Links:

Communiqué de Presse (PDF)

Plaintes: CDiscount (PDF), Allocine.fr (PDF) and Vanity Fair (PDF)

S’appuyant sur l’extension open source “Cookie Glasses développée par des chercheurs de l’institut national de recherché en sciences du numérique (Inria), noyb a identifié de nombreuses violations de la législation européenne et française en matière de protection des données de la part de du site de vente en ligne Cdiscount, du guide de cinéma AlloCiné et du magazine de mode en ligne Vanity Fair. Bien que les utilisateurs se sont assurés que tous les cookies proposés étaient désactivés sur chaque site, ces trois entreprises ont signalé à des centaines de sociétés spécialisées dans le ciblage publicitaire que ceux-ci avaient accepté d’être suivis en ligne au moyen de cookies. noyb a donc déposé trois plaintes devant la CNIL le 10 décembre 2019.

Cookies : les cookies correspondent à une suite d’information, au format texte ou numérique, stockés dans l’équipement terminal d’un utilisateur, qui peut être transmis au navigateur lorsqu’est visité un site internet par l’utilisateur.

Les cookies sont souvent utilisés par des sociétés spécialisées dans le ciblage publicitaire afin de suivre l’activité en ligne des utilisateurs. Les données collectées par ce type de cookie peuvent souvent conduire à l’identification de l’utilisateur en enregistrant ses préférences, son adresse IP ou sa localisation.

Les conditions concernant les cookies installés sur l’équipement terminal de l’utilisateur : l’interaction entre la directive « vie privée et communications électroniques » et la définition du consentement du RGPD. D’après la directive « vie privée et communications électroniques »  et tel qu’interprété par la Cour de justice dans son arrêt Planet49, avant l’installation de tout cookie chaque utilisateur doit donner son consentement. Ce dernier doit être conforme aux exigences de l’article 7 du RGPD et doit être libre, spécifique, éclairé et univoque.

Les bandeaux d’information (bandeau de cookies) concernés par nos plaintes sont développés par plusieurs plateformes de gestion du consentement (en anglais, Consent Management Plateform, dit CMP), dans le cadre du Cadre de transparence et de consentement (en anglais, transparency and consent framework, dit TCF), lancé en avril 2018 par l’association internationale regroupant les acteurs de la publicité sur internet (en anglais, the Interactive Advertising Bureau Europe, dit IAB). Ce cadre a été développé en collaboration avec des organisations et des professionnels, dans le but originel d’aider les éditeurs dans la manière dont la publicité en ligne s’organise sur leurs plateformes.

3 plaintes mettant en jeu une pluralité d’acteurs : plusieurs entreprises participent à la collecte de données :

  • Les éditeurs des sites Web testés lors du déploiement de bandeaux de cookies ;
  • Les entreprises exploitant un CMP, qui enregistrent le consentement des utilisateurs et le met à la disposition de leurs partenaires commerciaux via le TCF de l’IAB.
  • Les partenaires commerciaux des sites visités, entreprises tierces spécialisées dans l’activité de ciblage publicitaire et installant parfois illégalement des cookies à visée publicitaire.

Ce qu’il se passe lors de la visite des sites internet visés suite au refus des cookies : l’utilisateur a visité les sites Cdiscount.com, Allocine.fr et Vanifyfair.fr et a constaté que non seulement les informations contenues dans les bandeaux de cookies n’étaient pas claires et étaient incomplètes, mais également que des centaines d’entreprises tierces avaient reçu l’autorisation de placer des cookies et autres traceurs. Quelques secondes après que l’utilisateur croit avoir rejeté tous les cookies, il est déjà possible de constater que des cookies à visée publicitaire ont été installés illégalement sur son équipement terminal.

Le déploiement des bandeaux de cookies collectant le « faux consentement » de l’utilisateur viole la Loi informatique et Libertés qui résulte de la transposition de l’article 5, paragraphe 3 de la directive « vie privée et communications électroniques ». Dans les trois plaintes, la Personnes Concernée représentée par noyb, a refusé le placement de tous les cookies sur son équipement terminal. Pourtant, l’utilisation de l’extension « Cookies Glasses » a démontré qu’un « faux consentement » été mis à disposition de centaines de partenaires commerciaux spécialisés dans le ciblage publicitaire. Cette action a entrainé l’autorisation de placement de témoins de connexion en toute ignorance du refus de l’utilisateur, et a constitué les prémices d’une violation confirmée par la preuve de l’installation de cookies publicitaires de la part de Facebook, AppNexus et PubMatic.

Les conditions pour un placement légal de cookies en droit français : L’article 82 de la loi informatique et libertés prévoit que le responsable du traitement doit veiller à ce que des informations claires et complètes soient transmises à l’utilisateur sur les finalités des cookies et sur les moyens mis à sa disposition pour les refuser. Il est important de noter que cet article prévoit également que l’accès par le biais de cookies et d’autres technologies de suivi ne devrait pas avoir lieu avant que les utilisateurs ne donnent leur consentement. Ce n’est que lorsque les cookies sont mis en place dans le seul but de permettre ou de faciliter la communication ; ou lorsqu’ils sont strictement nécessaires à la fourniture d’un service en ligne à la demande expresse de l’utilisateur que le consentement n’est pas requis.

CDiscount, Webedia et Condé Nast sont susceptibles d’avoir commis des faits délictuels en laissant installer des cookies publicitaires sur l’appareil des consommateurs. L’article 226-18 du code pénal est clair : lorsque des entreprises traitent les données à caractère personnel d’un utilisateur de manière frauduleuse, déloyale ou illicite, elles sont pénalement responsables d’une amende pouvant atteindre 1,5 million d’euros. L’utilisation de bandeaux d’information permettant aux entreprises partenaires d’installer des cookies publicitaires en dépit du refus des consommateurs ne saurait être tolérée et doit faire l’objet de sanction de la part de la CNIL.

Malgré la période de transition décidée par la CNIL en juillet dernier pour laisser aux entreprises le temps de se conformer aux règles applicables en matière de cookies, ces infractions vont bien au-delà d’une simple incompréhension des mécanismes de consentement prévus dans le RGPD : les entreprises visées réalisent des bénéfices en trompant les consommateurs.

Le droit de chaque utilisateur de recevoir une information claire concernant le dépôt de cookies sur son appareil ne saurait être bafoué. Chaque responsable de traitement doit s’assurer du respect du choix de l’utilisateur et s’assurer que le refus ou l’acceptation d’un tel dépôt est effectivement pris en compte.