C'est quoi, un cookie? Avec Nacera Bekhat (CNIL)
Ils sont presque aussi vieux qu’Internet, mais font gagner des milliards d’euros aux géants de la publicité. On en parle parfois comme des mouchards, sauf qu’ils sont aussi indispensables au bon fonctionnement du Web. Mais au fait, c’est quoi un cookie?
Category
🗞
NewsTranscript
00:00 Ils sont presque aussi vieux qu'internet et font gagner des milliards d'euros aux géants de la publicité en ligne.
00:05 Alors on en parle parfois comme des mouchards, sauf qu'ils sont aussi très importants pour le fonctionnement du web.
00:10 Mais au fait, c'est quoi un cookie sur internet ?
00:14 Bienvenue dans Métadonnée, le podcast qui revient aux fondamentaux de la tech.
00:18 Bonjour Nasser Abekat.
00:24 Bonjour.
00:25 Merci beaucoup d'être avec nous dans Métadonnée.
00:27 Vous êtes chef du service des affaires économiques à l'ACNIL, la Commission Nationale Informatique et Liberté,
00:33 donc le garant de nos libertés fondamentales en ligne.
00:37 Merci d'être dans Métadonnée et vous occupez des affaires économiques, mais en fait un peu de tout ce qui est publicité ciblée.
00:43 Donc vous êtes au bon endroit pour parler de ça.
00:45 Mais je voudrais qu'on revienne un peu aux fondamentaux et expliquer concrètement ce que c'est que ce cookie.
00:51 Quand est-ce que ça a été créé ?
00:52 Est-ce que c'est aussi vieux qu'internet ?
00:53 Justement, comme on le disait.
00:55 En tout cas, merci pour l'invitation.
00:57 Pour répondre à votre question, c'est presque aussi vieux que l'internet.
01:01 Alors le cookie, il a été créé dans les années 90 par des ingénieurs qui travaillaient dans une société informatique qui s'appelle Netscape.
01:11 Je me souviens, je l'avais le navigateur Netscape.
01:14 Ah ben vous avez la chance.
01:15 L'ancêtre de Firefox en fait.
01:16 Exactement.
01:17 C'est ça.
01:18 Tout à fait.
01:18 Et donc du coup, cette société s'occupait de gérer des serveurs web et travaillait notamment avec des clients qui mettaient en oeuvre des solutions de commerce en ligne.
01:27 Et le défi à cette époque, c'était de pouvoir s'assurer que quand je navigue sur un site de e-commerce, je puisse retenir les éléments que je mets dans mon panier.
01:38 Parce qu'à cette époque, internet n'avait pas vraiment de mémoire.
01:42 C'est-à-dire que quand je naviguais de page en page, les opérations que j'effectuais précédemment n'étaient pas retenues.
01:48 C'est-à-dire que juste en gros, j'arrive sur un site qui vend des t-shirts, je mets un t-shirt dans mon panier, il est blanc.
01:55 Je vais aller voir quand même à quoi il ressemble en gris.
01:58 Exactement.
01:59 Dès que je change de page, s'il n'y a pas d'information, il sort de mon panier puisque c'est une nouvelle page et on redémarre à zéro.
02:04 Tout à fait.
02:05 C'est cela.
02:05 Et du coup, pour pallier à cette difficulté, les ingénieurs ont inventé ce qu'on appelle aujourd'hui le cookie, qui est en fait un fichier informatique qui est envoyé par un serveur sur le navigateur de l'internaute
02:18 et qui va permettre de conserver des informations et d'envoyer ces informations lors de ma navigation, de sorte à ce que, en effet, lorsque je vais voir ce même t-shirt en gris ou que je veux l'accompagner dans mes pantalons,
02:32 je puisse conserver dans mon panier les éléments que j'y ai intégrés.
02:36 Et alors très concrètement, c'est un petit bout de code informatique.
02:40 Tout à fait.
02:40 En gros, je ne vais pas le traduire en code informatique, mais c'est tel utilisateur a mis dans son panier le t-shirt en blanc.
02:50 Et donc, quand je me mets sur la nouvelle page, il demande au navigateur au fait, est-ce qu'il y a des choses à raconter sur cet internaute ?
02:56 Oui, justement, il a mis quelque chose dans son panier et du coup, il le réaffiche.
02:59 Tout à fait.
03:00 C'est exactement ça.
03:01 Et question toute bête, mais ça vient d'où le mot cookie ?
03:05 Parce que c'est un petit biscuit, un cookie.
03:07 D'où ça sort cette appellation ?
03:09 Alors, je crois que je ne pourrais pas vous...
03:11 Non, on ne sait pas.
03:12 Je suis désolée, je n'ai pas le...
03:14 D'accord, bon, c'est pas très grave.
03:17 Et donc, ils ont inventé ça.
03:19 Donc finalement, les débuts du cookie, c'est quand même un peu lié au commerce en ligne.
03:23 Tout à fait, exactement.
03:25 Et puis du coup, les débuts du cookie, le cookie a été créé pour un usage qui finalement était vraiment nécessaire
03:33 au service qui était proposé par le site que je visitais.
03:38 Et il y avait des usages non commerciaux aussi pour les cookies ?
03:40 C'est arrivé très vite, vraiment après l'invention du cookie.
03:44 Mais l'usage premier était un usage qu'on appelle essentiel.
03:47 Sauf qu'aujourd'hui, quand vous visitez un site en ligne, vous allez voir deux appellations distinctes.
03:52 On parle souvent de cookies essentiels et de cookies non essentiels.
03:56 Les cookies qui se révèlent être essentiels, c'est ceux qui vous permettent d'avoir des fonctionnalités
04:02 nécessaires au service.
04:04 C'est-à-dire que si on ne les avait plus, on naviguerait sur le site, mais plus rien ne sera enregistré.
04:08 On serait obligé de se réidentifier si on a un compte à chaque page.
04:11 Franchement, ce serait quasiment inutilisable.
04:14 Tout à fait, ça va vraiment dégrader l'expérience de l'utilisateur.
04:17 Donc, on a ce qu'on appelle du coup les cookies de panier d'achat pour obtenir les produits que j'y intègre.
04:22 J'ai les cookies qu'on appelle les cookies d'authentification qui me permettent, lorsque je me connecte à mon compte en ligne,
04:28 de continuer à naviguer en étant enregistré, en étant ce qu'on appelle logué.
04:33 Et il y a aussi des cookies qui vont me permettre d'assurer la sécurité du service,
04:37 pour que le service soit toujours disponible lorsque j'en ai besoin.
04:40 Et d'autres usages se sont développés assez rapidement finalement, après l'invention du cookie,
04:45 qui sont des usages plus optionnels, tels que la publicité ciblée,
04:50 mais aussi la capacité de personnaliser le contenu éditorial.
04:55 C'est-à-dire que je vais identifier que Nasser Abekat consulte beaucoup d'articles en lien avec la protection des données.
05:01 Donc lorsque je vais arriver de nouveau sur la page deux semaines après,
05:04 on va me proposer plutôt des articles en lien avec mes centres d'intérêt.
05:10 - Oui, alors ça, on arrive au cœur du fonctionnement d'internet tel qu'on l'a aujourd'hui,
05:14 c'est-à-dire aussi beaucoup des réseaux sociaux.
05:16 - Tout à fait.
05:17 - Et alors justement, ces cookies non essentiels sont des cookies,
05:21 alors on appelle ça aussi un peu du pistage, quelque part du pistage publicitaire.
05:25 Et comment est-ce qu'ils ont utilisé ces cookies non essentiels
05:28 pour que derrière, Facebook m'affiche la publicité ou le contenu
05:33 qui va être adapté selon ce que j'ai fait par le passé ?
05:36 - Alors déjà, ce qu'il faut savoir, c'est que vous allez avoir deux types de cookies.
05:39 Vous avez des cookies qui sont déposés par le domaine que vous consultez.
05:43 Donc Facebook, par exemple, le monte qui va déposer ses propres cookies.
05:48 Et ensuite, vous avez des cookies qu'on appelle les cookies tiers,
05:51 qui sont déposés par des sociétés tierces, des autres acteurs que le site que vous visitez.
05:58 Et la différence entre ces deux types de cookies,
06:01 c'est que dans le premier cas, je vais pouvoir suivre la navigation,
06:05 mais uniquement sur le domaine consulté.
06:08 Et dans le second cas, je vais pouvoir suivre la navigation complète, globale d'un utilisateur.
06:15 Je vais savoir qu'il a pu aller sur le monde.fr, sur BFMTV, sur Facebook.
06:20 - Ils appartiennent à qui ces cookies tiers ?
06:22 - Ces cookies tiers, en fait, ils appartiennent à des sociétés
06:25 qui peuvent être des régies publicitaires, des courtiers en données.
06:31 En fait, l'écosystème publicitaire est très fragmenté.
06:35 Il est constitué d'une série d'acteurs qui sont beaucoup moins connus,
06:38 voire peu connus du public et qui se chargent finalement de la mécanique
06:43 qu'il y a derrière le ciblage publicitaire.
06:45 - Oui, mais pour être sur un site comme, peu importe, le monde.fr, BFMTV ou je ne sais pas qui,
06:51 il faut... Quel intérêt ont les sites à mettre des cookies tiers, en fait ?
06:57 - Alors, la publicité, elle finance aujourd'hui beaucoup de services en ligne.
07:03 La publicité, elle a finalement toujours financé beaucoup de services aussi hors ligne,
07:08 notamment la télévision.
07:10 Et aujourd'hui, beaucoup de sites, des éditeurs et d'autres sites,
07:15 se financent beaucoup avec la publicité ciblée.
07:18 Donc, ces sites-là vont mettre à la disposition d'annonceurs
07:22 ce qu'on appelle des inventaires publicitaires.
07:25 C'est les bannières que vous voyez sur le côté en haut, en bas.
07:29 Et les annonceurs, leur intérêt, c'est de pouvoir cibler avec leurs produits
07:35 des personnes, des utilisateurs qui ont témoigné d'un intérêt pour leurs produits.
07:41 Donc, il y a vraiment, j'allais dire, un partenariat entre des annonceurs
07:46 qui souhaitent cibler les internautes et des éditeurs
07:49 qui souhaitent monétiser l'espace publicitaire.
07:52 - Juste une question, je me connais, je ne suis pas moi sur Amazon,
07:56 j'ai combien de cookies qui arrivent ?
07:59 - Alors, ce qui est assez intéressant, c'est d'utiliser un outil
08:03 que la CNIL a développé qui s'appelle CookieVise
08:05 et qui va vous permettre de voir lorsque vous arrivez sur un site
08:08 combien de traceurs, enfin de cookies, sont déposés à l'arrivée.
08:13 Et normalement, vous allez pouvoir voir une évolution
08:17 lorsque vous allez, par exemple, choisir de consentir à certains usages,
08:22 vous allez avoir beaucoup plus de traceurs déposés.
08:24 Donc, on peut avoir 10 cookies comme on peut en avoir plus d'une centaine
08:29 sur un site web.
08:31 - Alors justement, vous parliez du consentement pour ces cookies,
08:33 donc on est d'accord, en fait, concrètement,
08:34 on parle de cette petite bande qui s'affiche quand on arrive
08:38 sur les sites web, qui nous propose, et ça d'ailleurs c'est réglementaire,
08:42 c'est une obligation, c'est le RGPD de 2018,
08:45 Règlement européen sur la protection des données.
08:47 Et donc, on a ce petit bandeau, c'est ce fameux bandeau
08:50 où il y a écrit "j'accepte ou pas d'être suivi par les cookies",
08:54 en fait, on est d'accord.
08:56 - Tout à fait. Alors, en fait, c'est un peu plus vieux que le RGPD.
08:58 Les bannières cookie, elles existent à peu près depuis 2013.
09:02 La réglementation qui est venue imposer justement la mise en œuvre
09:06 de ces méthodes de collecte de consentement,
09:08 c'est une réglementation qui est finalement plus ancienne.
09:11 Elle date de 2002, et a été modifiée en 2009.
09:15 Du coup, depuis 2013, lorsque la CNIL a émis des recommandations
09:20 pour aider l'écosystème à se mettre en conformité
09:23 avec cette réglementation, des bandeau,
09:26 ce qu'on appelle les bandeau cookies aujourd'hui,
09:27 sont apparus pour solliciter le consentement des personnes.
09:31 - Et donc, c'est là où je peux choisir entre les cookies essentiels
09:34 et les cookies optionnels, c'est ça ?
09:36 - Alors, c'est surtout quelque chose qui va vous permettre de consentir
09:39 ou de refuser les cookies qui sont optionnels.
09:42 Car pour les cookies qui sont essentiels,
09:44 la réglementation n'impose pas d'aller solliciter le consentement de l'internaute.
09:49 Les internautes, évidemment, doivent être informés du dépôt de ces cookies,
09:52 dans une politique cookie par exemple,
09:54 mais vous n'allez pas avoir besoin d'aller chercher un accord.
09:57 - Oui, parce qu'on juge que c'est légitime dans la mesure où sinon le site ne fonctionne pas.
10:00 Donc, si on va sur le site, c'est qu'on accepte le fonctionnement.
10:03 On a vu d'ailleurs apparaître un truc assez intéressant, je trouve.
10:06 C'est sur ces bannières de cookies, sur certains sites,
10:10 quand on dit "non, je refuse", ils nous disent "ok, il faut payer".
10:13 "Il faut payer 3 euros par mois".
10:15 Ils ont le droit de faire ça ?
10:17 Parce que c'est un consentement un peu forcé quand même.
10:20 - Ces pratiques-là, on les appelle les "cookie wall".
10:23 Ou plutôt, plus précisément, les "paywall".
10:25 C'est-à-dire qu'on va proposer à l'internaute
10:29 soit de consentir finalement à la monétisation de ces données à caractère personnel
10:33 pour accéder au site,
10:35 ou de payer une certaine somme pour pouvoir accéder au site
10:40 sans consentir à l'usage de ces données, notamment à l'intérim publicitaire.
10:44 - Oui, c'est en gros, tu acceptes d'être pisté, si tu n'acceptes pas, moi je perds de l'argent, donc du coup tu payes.
10:48 - Tout à fait. Alors, ces pratiques-là, elles peuvent être licites dans certains cas,
10:52 dans certaines conditions.
10:54 Et la CNIL est venue il y a quelques temps,
10:56 vous avez peut-être vu passer cela, mais
10:58 définir un peu les conditions dans lesquelles les éditeurs
11:01 pouvaient mettre en œuvre ce type de pratiques.
11:04 Donc il y a plusieurs critères qu'il faut prendre en compte,
11:07 notamment le fait d'avoir une alternative
11:09 au consentement à ces données à caractère personnel.
11:13 Donc là, en l'occurrence, ça va être l'abonnement payant.
11:16 Il faut que le tarif soit raisonnable,
11:19 donc l'acteur va devoir évaluer
11:22 finalement la juste rémunération du contenu qu'il propose.
11:25 - Oui, parce que c'est vrai qu'en général, ce n'est pas 15 euros par mois, c'est 2-3 euros.
11:29 - Oui, c'est à peu près ça. - C'est des tarifs qui sont assez bas.
11:32 Ça va dépendre finalement du service qu'on consulte.
11:34 Si c'est un service de presse, c'est souvent peut-être plus onéreux qu'un blog
11:38 ou un forum qu'on va consulter.
11:41 Donc il y a cette idée de tarif raisonnable.
11:43 Et évidemment, lorsque je vais choisir de payer pour accéder au site,
11:47 les cookies publicitaires ne doivent pas être déposés,
11:50 étant donné que j'ai fait le choix de rémunérer finalement le service que je consulte.
11:55 - Le beurre et l'argent du beurre, sinon c'est un peu trop facile.
12:00 Il y a un autre sujet qui est un peu lié, je trouve.
12:02 On parle souvent des pixels.
12:04 Les pixels Facebook, les pixels TikTok par exemple.
12:07 Il y a des petits bouts de code, c'est ce qui est vraiment un pixel,
12:09 qui sont mis sur d'autres sites
12:11 pour qu'ensuite Facebook trace un peu votre historique sur tous ces sites
12:15 qui acceptent de mettre le pixel Facebook
12:17 et puisse vous diffuser de la publicité ciblée selon tous les sites que vous avez consultés.
12:21 Est-ce que ça, c'est une forme de cookie ?
12:23 - Tout à fait. En fait, on parle souvent de cookie de manière générale.
12:27 Mais le pixel, le cookie, le suivi qu'on appelle par ID,
12:32 ce sont des technologies qui permettent de suivre la navigation d'un internaute
12:37 pour plusieurs usages, mais notamment publicitaires,
12:40 et qui sont surtout tous encadrés de la même façon.
12:43 Si je parle de réglementation,
12:45 toutes ces technologies vont nécessiter une information des personnes
12:50 et le recueil du consentement avant de pouvoir être utilisé pour être souhaité de la donner.
12:54 - Quand j'arrive sur un site, moi il ne me dit pas "attention",
12:57 pas forcément "attention" d'ailleurs, mais juste pour vous dire, il y a un pixel Facebook ?
13:00 - On trouve souvent une formulation qui est plus large, ça va être
13:03 "cookie et autres technologies similaires"
13:05 ou "cookie et autres traceurs".
13:07 D'ailleurs, la recommandation de l'ACNIL s'appelle comme ça,
13:09 on appelle la recommandation "cookie et autres traceurs".
13:11 - Et autres traceurs, d'accord. Donc à ce moment-là...
13:13 - Le fonctionnement peut être différent, mais la réglementation est la même.
13:16 Et du coup, la protection que la réglementation accorde à l'utilisateur est similaire.
13:23 - Oui, parce qu'au final, pour qu'on se rende compte un peu,
13:26 les cookies mais les pixels, parce que les géants de la pub en ligne, c'est Facebook et Google,
13:33 donc il y a des pixels Facebook et des pixels Google ou des cookies Google,
13:37 c'est présent quasiment dans tous les sites.
13:40 Il n'y a quasiment aucun site aujourd'hui qui peut se passer de ces cookies et de ces pixels.
13:45 - Très peu, oui. - C'est ça ?
13:46 - Oui, c'est des sociétés qui sont largement majoritaires sur le secteur,
13:50 mais elles ne sont pas les seules.
13:52 En fait, c'est celles qu'on connaît le plus, parce qu'elles sont aussi éditeurs,
13:56 elles vous proposent un service, et du coup, on connaît moins les sociétés "derrière le rideau",
14:02 qui composent l'écosystème publicitaire et qui font marcher, comme je disais tout à l'heure, la mécanique.
14:08 - Mais si j'ai un site, par exemple, un éditeur ou peu importe, qui met un cookie Facebook,
14:13 ça a de l'intérêt pour lui que si derrière, il va faire de la pub sur Facebook ?
14:17 Mais s'il ne fait pas de pub sur Facebook, ça a de l'intérêt quand même d'avoir ce cookie ?
14:21 - Tout à fait, parce que comme je disais tout à l'heure, il y a un partenariat qui permet à l'éditeur d'être rémunéré.
14:26 - D'accord, en fait, il y a une rémunération indépendante pour donner les informations ?
14:30 - Oui, c'est l'intérêt de l'éditeur, c'est d'avoir du coup, de monétiser ses espaces publicitaires
14:35 auprès de Facebook et auprès d'autres sociétés.
14:39 - D'accord.
14:41 - Et c'est d'ailleurs pour ça que quand vous avez le bandeau que vous évoquiez tout à l'heure,
14:44 donc je vais avoir le bandeau qui va me demander soit de consentir, soit de refuser,
14:50 et l'obligation que l'éditeur va avoir, c'est de mettre à la disposition de l'internaute la liste des acteurs
14:57 qui sollicitent votre consentement pour pouvoir déposer ces fameux cookies ou ces pixels.
15:03 Et du coup, en général, je vais pouvoir cliquer sur la liste des partenaires et avoir un fichier.
15:08 - On saura où ça va en fait. - Exactement.
15:09 - Et alors, il y a une question que je me pose aussi tout simplement, c'est moi,
15:13 dans les cookies qui sont sur mon navigateur, quelque part c'est un peu anonyme,
15:18 puisque il n'y a pas mon nom dans le cookie.
15:20 Donc sur le côté données personnelles, dans quelle mesure finalement c'est une donnée personnelle ?
15:25 Puisque, ok, on sait qu'un internaute qui habite Paris a été voir tel site, puis tel site, puis tel site, ok,
15:32 mais il n'y a jamais écrit "C'est Raphaël Grably".
15:35 - On a une appréciation qui est quand même assez large de la donnée à caractère personnel,
15:40 et quand je dis "on", c'est la réglementation.
15:42 Donc une donnée à caractère personnel, c'est une donnée qui peut être liée à un individu,
15:47 soit de manière directement identifiante, soit de manière indirectement identifiante.
15:53 Donc je n'ai pas besoin de savoir que c'est Raphaël Grably qui est derrière ce profil.
15:59 En général, on va utiliser un ID, donc ce sont des données...
16:01 - Une suite de chiffres, hein ? - Exactement, un identifiant unique,
16:05 et qui va permettre de vous identifier pour pouvoir cibler la publicité que je vais vous adresser,
16:12 et ce, c'est de la donnée à caractère personnel.
16:14 Quand on parle de ciblage individuel, on ne peut pas être sur de la donnée qu'on appelle anonyme aujourd'hui.
16:20 On cible bien un individu.
16:22 - Et donc c'est comme ça aussi, c'est avec ce fameux ID,
16:25 que même les réseaux sociaux, Facebook, TikTok ou Twitter,
16:29 ensuite savent, une fois que je suis connecté à mon compte, quelle publicité m'afficher.
16:32 - Tout à fait. - C'est pas forcément mon nom, mais c'est parce qu'ils ont cet ID.
16:36 - Tout à fait. Alors, il y a certaines sociétés qui se trouvent dans ce qu'on appelle les environnements "logués",
16:40 c'est-à-dire que je vais devoir m'authentifier avant d'y accéder,
16:43 donc elles vont avoir des données directement identifiantes,
16:47 mais également des pseudonymes,
16:49 et d'autres sociétés qui sont dans des environnements non-logués,
16:53 et ça va marcher plus avec des identifiants uniques qui vous sont attribués,
16:57 et qui vont vous permettre de construire des profils plus ou moins détaillés sur votre personne,
17:02 et vous proposer de la publicité en lien avec vos centres d'intérêt,
17:06 ou des choses que vous avez déjà vues en naviguant.
17:08 - Et alors tout ça, ce dont on parle, que ce soit les pixels ou les cookies publicitaires de pistage, etc.,
17:13 c'est ce qu'on appelle des "cookies tiers".
17:14 Mais moi j'ai entendu parler, depuis maintenant quelques années, d'une sorte de guerre contre les "cookies tiers",
17:19 déjà par des acteurs qui ne font pas de publicité en ligne, donc qui ont tout intérêt
17:23 à protéger la vie privée, ou en tout cas qui n'ont pas forcément d'intérêt à essayer de
17:28 de monnayer cette donnée, il y a notamment Apple qui n'est pas tellement dans ce business, donc
17:31 c'est aussi un argument marketing.
17:33 Donc sur Safari par exemple, je crois qu'il n'y a plus de "cookies tiers", mais
17:36 ce qui m'a quand même plus étonné, même Google
17:38 dit "on va arrêter avec les cookies tiers", l'échéance d'ailleurs, ils parlaient de 2023, je ne sais pas où ça en est,
17:42 mais on va arrêter les "cookies tiers", mais du coup ça veut dire quoi ?
17:45 C'est la fin du pistage publicitaire, et quel intérêt ils ont,
17:48 Google, leader au monde de la publicité ciblée,
17:50 à aller arrêter les "cookies tiers" ?
17:53 Alors, ce n'est pas du tout la fin du ciblage publicitaire, parce que comme je le disais tout à l'heure,
17:57 les "cookies" ne sont pas la seule technologie qui permette
18:00 de suivre la navigation d'un internaute, et donc du coup de lui adresser des publicités ciblées.
18:04 Et c'est vrai que depuis de longues années, pour certains navigateurs,
18:08 ils mettent en oeuvre des technologies qui permettent de bloquer ces "cookies tiers".
18:13 Donc les acteurs du secteur ont développé, et vont continuer à développer,
18:18 d'autres solutions technologiques qui vont permettre de continuer
18:22 à tracer la navigation pour vous adresser la publicité ciblée.
18:25 On entend beaucoup aujourd'hui, ça va être par exemple ce qu'on appelle des briques SSO,
18:31 des briques d'authentification commune, qui vont permettre à, par exemple,
18:36 un organisme de presse qui a plusieurs sites web, de continuer à vous suivre
18:41 pour vous proposer, sous réserve de votre accord, de la publicité ciblée.
18:45 On va avoir ce qu'on appelle des technologies de "fingerprinting",
18:51 qui vous permettent de collecter différentes données, paramètres,
18:56 de votre terminal, de votre smartphone, de votre ordinateur,
19:00 pour l'identifier de manière unique.
19:02 - Parce que finalement, "fingerprinting", c'est une empreinte digitale ?
19:04 C'est-à-dire qu'en fait, si on croise suffisamment de données,
19:07 on arrive à une information qui est forcément unique ?
19:08 C'est-à-dire, si j'ai un smartphone sous telle version d'Android,
19:12 avec une telle résolution d'écran, avec quelques horaires, etc.
19:16 Finalement, on arrive à une seule personne possible, c'est ça ?
19:18 - Tout à fait, ça peut aller jusqu'à collecter les informations sur le processeur qui est utilisé,
19:24 et de savoir que c'est le même terminal qui se connecte quelques jours après.
19:28 - Dans ce cas, c'est quoi l'intérêt d'arrêter avec les cookies tiers,
19:31 si c'est pour faire la même chose ?
19:33 - Alors, les cookies, c'est une seule technologie, en fait.
19:36 C'est pour ça que les acteurs, pour rebondir,
19:39 trouvent d'autres solutions pour continuer...
19:41 - Pourquoi est-ce qu'on leur demande ça ? C'est quoi, c'est une obligation ?
19:43 Ils n'ont plus le droit d'en utiliser ?
19:45 Pourquoi est-ce qu'ils choisissent d'arrêter,
19:46 ou de dire en tout cas qu'ils vont arrêter les cookies tiers ?
19:49 - Alors, c'est des sociétés qui, du coup, comme ont décidé de mettre en œuvre
19:52 des politiques de protection de la vie privée,
19:55 et de bloquer ces cookies tiers.
19:57 Vous parliez tout à l'heure de Apple,
20:00 qui a mis en œuvre des mesures pour bloquer ces cookies
20:03 dans Safari depuis maintenant quelques années.
20:06 Google va également le faire pour protéger ses utilisateurs.
20:09 - Mais c'est sous pression ?
20:11 Alors bon, Apple, ils n'ont pas grand-chose à perdre,
20:12 ça ne leur coûte pas très cher de faire ça, j'ai envie de dire,
20:14 mais Google, ils vivent de la pub.
20:17 Donc, c'est parce qu'il y a une grosse pression des utilisateurs,
20:22 ou c'est parce qu'il y a une pression aussi réglementaire ?
20:25 - Ça va être les deux.
20:26 On sent depuis, notamment le RGPD, depuis 2018,
20:30 une plus grande inquiétude des utilisateurs
20:33 concernant l'exploitation de leurs données en ligne.
20:35 Cette inquiétude, elle a été aussi beaucoup générée
20:38 par les scandales, quand on pense à Cambridge Analytica, par exemple.
20:42 - D'ailleurs, les révélations Snowden, et puis ensuite...
20:45 - Tout à fait.
20:46 Et nous, à la CNIL, c'est quelque chose qu'on a vraiment visualisé.
20:50 C'est-à-dire que depuis l'entrée en vigueur du RGPD, depuis 2018,
20:55 on a vu arriver de nombreuses plaintes
20:58 qui ont été extrêmement médiatisées,
21:00 et qui visaient plusieurs acteurs de la publicité en ligne,
21:05 suite, justement, aux réponses aux scandales
21:08 qui ont eu lieu sur ces dix dernières années.
21:10 - Oui, vous, justement, à la CNIL, il y a eu, comme ça, des gros dossiers.
21:13 Alors, vous dressez des amendes,
21:16 quand il y a, voilà, non-respect des données personnelles en général,
21:20 mais est-ce que vraiment vous avez constaté, lié au cookie,
21:22 des affaires un peu spécifiques comme ça,
21:24 où il y a eu vraiment un scandale sur du pistage pas autorisé, par exemple,
21:28 ou mal utilisé avec données mal revendues ?
21:31 Est-ce que vous avez eu, comme ça, à condamner des entreprises ?
21:34 - Tout à fait. Alors, la CNIL a lancé un plan d'action en 2019,
21:39 justement, en réponse à cette montée, en fait,
21:44 cette inquiétude croissante des usagers,
21:46 pour, finalement, faire évoluer les pratiques du secteur
21:51 qui était assez opaque jusqu'alors,
21:54 et puis, lancer un plan de mise en conformité
21:58 un peu global, général, pour faire évoluer ces pratiques.
22:01 Donc, ça s'est fait en deux temps.
22:03 En 2018, on a décidé d'accompagner les acteurs
22:07 à mieux appréhender la réglementation,
22:09 et ensuite, on leur a laissé du temps pour pouvoir s'adapter,
22:13 avant de lancer un plan assez structurant
22:17 de contrôle et ensuite de sanctions.
22:20 Donc, en 2019 et en 2020, on a travaillé à l'élaboration d'outils
22:25 qui ont abouti à la publication, en 2020,
22:28 des recommandations cookies.
22:30 On a laissé jusqu'au 1er avril 2021
22:33 pour que le secteur se mette en conformité avec les nouvelles obligations.
22:36 - Et ça, c'était les fameux bandeaux qui sont arrivés,
22:38 les nouveaux bandeaux qui sont arrivés.
22:40 - Tout à fait. Et ensuite, à partir du 1er avril 2021,
22:43 on a lancé un plan de contrôle des sanctions
22:46 qui a abouti à quelques très grosses sanctions
22:49 qui ont été adressées à l'égard des grandes plateformes du numérique.
22:53 - C'est qui les plus gros ?
22:55 - Les megafames.
22:56 Il y a eu plusieurs amendes avec des montants assez importants,
23:00 notamment parce que ces sociétés déposaient des traceurs
23:05 avant toute action de l'utilisateur,
23:07 mais aussi, plus récemment, on a condamné ces mêmes sociétés
23:11 parce qu'elles ne permettaient pas de refuser les traceurs
23:14 aussi facilement que de les accepter.
23:17 C'est-à-dire que je pouvais tout accepter
23:19 sur le 1er niveau du bandeau cookie qui m'était affiché,
23:22 mais pour aller refuser, il fallait que je fasse plusieurs actions
23:27 pour ensuite dire non.
23:29 - C'est en gros comme si on mettait un bouton énorme "oui",
23:31 un tout petit bouton "non", sauf que la règle,
23:33 en fait, c'est d'avoir les deux boutons à peu près identiques.
23:36 - Alors, on n'a pas...
23:37 Le RGPD, la réglementation, ne va pas imposer d'avoir un bouton "tout accepter",
23:42 "tout refuser" au même niveau, sur la même forme.
23:45 C'est fortement recommandé,
23:47 étant donné que ça permet à l'utilisateur
23:49 de comprendre quel choix il a en face de lui.
23:53 Par contre, l'obligation, c'est qu'il soit aussi facile de refuser que d'accepter.
23:57 - Donc, il faut que les deux soient sur le premier niveau.
24:00 - C'est ça, directement sur le bandeau et qu'il ne faille pas cliquer
24:02 d'abord une première fois pour aller ensuite...
24:04 - Exactement. Il faut que ce soit sur le premier niveau d'information
24:07 et il faut que le mécanisme de refus du consentement
24:12 et celui d'acceptation ne soient pas tellement différents
24:17 que mon choix soit orienté.
24:20 C'est ce qu'on appelle les "dark patterns".
24:23 L'acnyl peut sanctionner ce qu'on appelle les "dark patterns"
24:27 parce que ça fait obstacle à la liberté.
24:30 - Un "dark pattern", c'est une interface qui est pensée de façon un peu malicieuse.
24:34 - Tout à fait trompeuse.
24:35 - Trompeuse, pour vous inciter à faire une action,
24:38 par exemple, une case précochée.
24:40 - Alors oui, ça va vraiment plus loin que le "dark patterns".
24:43 D'avoir une case précochée que je dois décocher pour pouvoir refuser,
24:48 c'est interdit par la réglementation car ce n'est pas une action qui est univoque.
24:53 Ce n'est pas un acte qui est positif, qui est clair.
24:56 - Oui, il faut que ce soit décoché et que je coche si je donne mon consentement.
25:02 - Exactement. Le RGPD impose un certain niveau d'exigence pour le consentement.
25:07 Il doit être déjà éclairé, c'est-à-dire que je dois avoir
25:10 toutes les informations qu'il me faut pour faire un choix en connaissance de cause.
25:15 Donc savoir quelles données sont collectées, qui les collecte,
25:18 pourquoi elles vont être utilisées notamment.
25:22 Ensuite, le consentement doit résulter d'un acte positif,
25:26 clair, qui ne va pas laisser de doute finalement sur mon intention.
25:30 - C'est-à-dire que si c'est une case précochée, c'est "j'aurais juste pas vu"
25:32 et donc là, il peut y avoir un doute sur le fait que j'ai bien vu cette case.
25:35 - Il doit être aussi spécifique, c'est-à-dire que je ne peux pas fondre ce consentement
25:38 dans l'acceptation des CGU, par exemple sur un site en ligne.
25:42 - On ne peut pas dire "vous acceptez les CGU et les cookies".
25:44 - Tout à fait. Ça doit être vraiment distinct.
25:47 - Et deux cases différentes. - Tout à fait.
25:49 - Et les plus mauvais élèves, les plus grosses amendes...
25:52 Alors je sais, la CNIL choisit parfois de communiquer le nom des entreprises
25:55 et parfois de ne pas le faire.
25:56 Alors évidemment, ma question porte uniquement sur les noms que vous avez déjà communiqués.
26:00 Mais pour nous rappeler, je ne sais pas, les plus grosses amendes,
26:03 concrètement, ça a concerné qui ?
26:04 C'est-à-dire ceux qui ont mis des cookies sans prévenir les gens ?
26:08 - Quand on a procédé au contrôle et aux sanctions,
26:10 on s'est concentré déjà sur les infractions les plus graves.
26:14 Et les infractions les plus graves, c'est de déposer des cookies
26:17 alors que je n'ai pas consenti,
26:19 ou de ne pas permettre à l'utilisateur aisément de refuser.
26:23 Donc ça a vraiment été le focus sur les premières sanctions que la CNIL a délivrées.
26:27 Et elles ont été...
26:30 Les plus grosses sanctions ont été adressées aux GAFAM que j'évoquais tout à l'heure.
26:33 - Donc c'est quoi ? C'est Facebook, Google ?
26:35 - Tout à fait. Facebook, Google, Amazon.
26:37 - Amazon aussi ?
26:38 - Compte tenu de plusieurs paramètres, ça va être...
26:40 Déjà, les sanctions sont fondées sur le chiffre d'affaires de la société.
26:44 Ça peut aller jusqu'à 4% du chiffre d'affaires.
26:48 Et lorsqu'on va apprécier le montant de la sanction,
26:51 la formation restreinte de la CNIL, qui va délivrer ces amendes,
26:56 va prendre en compte toute une série de paramètres.
26:58 Le chiffre d'affaires, la gravité du manquement que j'évoquais,
27:01 le nombre de personnes concernées,
27:03 la durée pendant laquelle l'infraction a persisté.
27:06 Tout ça va contribuer à évaluer le montant des sanctions.
27:10 - Et qui a pris le plus cher, si je peux me permettre ?
27:13 - Alors, ça va être... C'est assez variable.
27:16 On est allé jusqu'à 100, voire 150 millions d'euros.
27:20 - Ah oui. Ça c'était chez...
27:22 - À l'intention de Google.
27:22 - De Google ?
27:23 - Oui, tout à fait.
27:24 - Et alors, qu'est-ce qu'ils avaient fait de...
27:26 - Alors, c'est vraiment les infractions que j'évoquais.
27:28 - C'est ça, mais c'était quoi ?
27:29 Sur Gmail, sur un service en particulier ?
27:33 - C'était sur...
27:36 Pardon, les sanctions qu'on a délivrées à l'encontre de Google,
27:40 c'était sur Google Search, c'était le service principal qui a été contrôlé.
27:43 - Ils nous déposaient des cookies, et je suppose que depuis ils ont arrêté,
27:45 parce que 150 millions, ça fait un peu de...
27:46 - Tout à fait. Donc du coup, oui.
27:48 Donc ces sanctions ont été assorties de ce qu'on appelle des astreintes.
27:52 Et du coup, ces non-conformités ont ensuite été corrigées.
27:58 - Le tir.
27:59 Dernière question.
28:01 Vous, finalement, la CNIL, vous êtes un peu une VIGI,
28:03 vous voyez arriver les plaintes des internautes, notamment.
28:05 Est-ce que vous trouvez que depuis...
28:07 Justement, on parlait des affaires Snowden, Cambridge Analytica.
28:09 Est-ce que vous trouvez que les gens en France, notamment les Français,
28:12 ont conscience de l'enjeu autour des données personnelles ?
28:15 Est-ce que depuis quelques années, vous avez vu augmenter les nombres de mails,
28:18 de plaintes, de demandes d'informations, d'éclairages ?
28:22 Est-ce que vous le ressentez vraiment, ça, la CNIL ?
28:24 - Complètement. Alors, c'est vraiment ça en commune mesure, avant et post-RGPD.
28:28 Et donc, du coup, on a vraiment senti que le RGPD
28:31 avait permis aux personnes de mieux s'emparer de leurs droits.
28:35 - 1er mai 2018, si je dis pas de bêtises.
28:36 - 25 mai.
28:37 - 25 mai 2018, donc voilà, ça fait maintenant 5 ans.
28:39 - Et pour vous donner une grandeur, enfin un ordre en tout cas,
28:43 on était à moins de 10 000 plaintes,
28:46 plutôt aux alentours de 7 à 8 000 plaintes avant.
28:48 Aujourd'hui... - Par an.
28:49 - Par an, exactement.
28:50 Aujourd'hui, on est à plus de 14 000 plaintes.
28:53 - D'accord.
28:53 - Donc il y a eu vraiment une croissance depuis le 25 mai 2018,
28:57 qui témoigne d'une peut-être plus grande inquiétude
29:01 face au scandale qu'on a pu avoir sur ces 10 dernières années,
29:04 et puis une meilleure connaissance aussi de leurs droits.
29:08 Et la CNIL a vraiment aussi une mission, une fonction
29:12 de sensibilisation des internautes, de ces usagers
29:16 à la protection des données à caractère personnel,
29:18 au respect de leurs droits,
29:20 en plus d'autres fonctions qui sont plus répressives,
29:24 où, évidemment, moi je travaille pour la direction de l'accompagnement juridique,
29:28 et notre rôle c'est d'accompagner les acteurs le plus en amont possible
29:32 pour s'assurer de la mise en œuvre de leur traitement de données,
29:36 de leur projet, dans le respect de la réglementation.
29:39 - Merci beaucoup Nasser Abekat,
29:41 vous êtes chef du service des affaires économiques à la CNIL,
29:44 merci d'être venu dans Métadonnées pour nous parler des cookies,
29:46 et vous retrouvez évidemment Métadonnées sur toutes les plateformes de podcast,
29:50 sur le site Tech&Co, sur Youtube,
29:52 merci beaucoup, à très vite dans Métadonnées !
29:55 [Musique]