Évolution des pratiques du web en matière de cookies : la CNIL évalue l’impact de son plan d’action
Le plan d’action de la CNIL en matière de cookies (2020 à 2022) avait pour objectif de favoriser la conformité des professionnels aux nouvelles règles, tout en s’assurant de la bonne compréhension de celles-ci par les internautes. L’analyse des effets de sa régulation à travers le temps montre que ce plan d’action a eu un fort impact.
Dans le cadre de son plan d’action sur les cookies et autres traceurs, la CNIL a publié ses lignes directrices ainsi qu’une recommandation le 1er octobre 2020, à l’issue d’une concertation avec l’écosystème et d’une consultation publique. Après cette première étape, la CNIL a instauré une période transitoire pour permettre aux éditeurs de site web de se mettre en conformité avec les nouvelles règles, avant de lancer des actions répressives, à partir du mois d’avril 2021.
Par la suite, la CNIL a entamé une démarche d’évaluation de la mise en place de ces lignes directrices et recommandation. L’objectif était d’examiner l’efficacité de ces outils, leur pertinence, leur bonne connaissance par les personnes et les responsables de traitement ainsi que leurs éventuels effets, notamment économiques.
Cette démarche visant à mesurer les effets de ses décisions sur le terrain a reposé sur :
- des sondages réguliers pour évaluer la compréhension et l’utilisation des nouvelles règles par les internautes français ;
- la mise en place d’un observatoire interne pour étudier l’évolution des pratiques du web français en matière de cookies.
Des utilisateurs mieux informés et un taux de refus en hausse
Cinq vagues de sondages ont été menées par l’IFOP, de décembre 2019 à juin 2022, sur des échantillons de plus de 1 000 personnes représentatives de la population française, âgées de 18 ans et plus, par questionnaires auto-administrés en ligne.
Une bien meilleure connaissance de la réglementation
En juin 2022, 95 % des personnes interrogées déclarent savoir ce que sont les cookies et 52 % d’entre elles connaître précisément les évolutions réglementaires récentes sur le sujet (contre 44 % seulement en novembre 2020). Les personnes sont également bien au fait des différents usages des cookies : publicité personnalisée (81 %), mesure d’audience (78 %), ou publicité géolocalisée (78 %) et affichage de vidéos externes (64 %).
Le recueil du consentement et une information suffisamment précise ont incontestablement permis aux internautes de comprendre l’usage qui est fait de leurs données.
Pour autant, malgré ces chiffres, les internautes français ont encore une impression d’opacité : ils considèrent très majoritairement que l’information sur les entreprises de l’écosystème publicitaire est insuffisante ou inexistante (68 %) et sont seulement 32 % à considérer qu’elle est suffisante (+ 8 points vs. 2019).
Qualité de l’information sur les sites faisant du suivi de navigation via des cookies (juin 2022)
En juin 2022, 20 % des répondants considèrent encore que les sites web leur donnent moins de contrôle sur les cookies qu’il y a un an. Cette défiance envers le numérique concerne surtout les moins de 35 ans, les employés, ouvriers et, dans une moindre mesure, les non diplômés
Un taux de refus des cookies en hausse
L’évolution du taux de refus dans le temps accrédite globalement l’existence d’un consommateur-citoyen informé et actif. Si le taux de refus global atteint 39 % en juin 2022, il n’est pas pour autant devenu majoritaire, ce qui n’accrédite pas la thèse d’une « fatigue du consentement » en ligne. Le taux de personnes déclarant paramétrer les cookies passe d’ailleurs de 43 % en novembre 2020 à 49 % en juin 2022 (à l’inverse, les personnes utilisant moins Internet ont tendance à moins paramétrer : plus de 65 ans, personnes passant moins d’1 h par jour à naviguer).
Le taux d’acceptation des cookies, de 59 %, reste élevé et comparable avec celui constaté par le baromètre 2022 du numérique réalisé sur la même population par le CREDOC, à 65 %.
Accepter ou refuser les cookies : un choix décorrélé de la catégorie socio-professionnelle
L’attitude par rapport au refus de cookies dépasse les clivages habituels de catégorie socio-professionnelle, d’âge ou de géographie. Parmi les catégories donnant moins leur accord, au-delà de la marge d’erreur, on trouve les ouvriers, les retraités et les habitants de l’Île-de-France, alors que les 25-34 ans, les habitants du Sud-Est ou d‘une commune rurale donnent plus souvent leur accord que la moyenne. À noter que le refus de donner son accord est néanmoins croissant dans le temps chez les 18-24 ans (+ 5 points entre octobre 2021 et juin 2022, date à laquelle 34 % des moins de 35 ans les refusaient contre 41 % des plus de 35 ans).
Par ailleurs, alors même que les ouvriers et employés ont un usage moins fréquent de l’Internet que les cadres et professions intermédiaires (77% pour les ouvriers, 82% pour les employés contre 95% pour les cadres et 90% pour les professions intermédiaires, selon l’enquête TIC auprès des ménages 2019 de l’INSEE), cette différence d’usage ne se traduit pas par une différence d’attitude envers les cookies : les ouvriers et employés d’une part, les cadres et professions intermédiaires d’autre part, ressortent en moyenne dans les données IFOP à 39 % de refus, comme la moyenne nationale.
Point intéressant, l’effet du diplôme tout comme l’usage d’Internet sont ambigus : si les personnes d’un niveau de diplôme inférieur au CAP/BEP refusent plus fréquemment, les diplômés du supérieur ont un taux de refus systématique plus élevé que la moyenne. De même, un usage peu fréquent d’Internet (moins de 1 h par jour) comme un usage intensif (plus de 4 h par jour) sont associés à un taux de refus supérieur à la moyenne. Ainsi la protection de la vie privée n’apparaît pas ici comme l’apanage des catégories les plus économiquement favorisées mais pourrait également s’interpréter comme un refus de l’exploitation économique qui est faite de leurs données par les catégories les moins économiquement favorisées.
Les finalités les plus acceptées sont la mesure d’audience (61 % de « oui » en juin 2022 contre 59 % en décembre 2019) et la personnalisation du site (56 % contre 55 %), alors que la publicité ciblée est moins acceptée (52 % d’acceptation en juin 2022, contre 44 % en décembre 2019). Par ailleurs, un bon taux d’acceptation de ces finalités va de pair avec leur bonne connaissance par les citoyens.
Observer les évolutions des pratiques des sites web français à travers le temps
Suivant une méthodologie d’analyse des pratiques des sites en matière de cookies, fondée sur la solution CookieViz développée par la CNIL, le Laboratoire d’innovation numérique de la CNIL (LINC) a suivi, de janvier 2021 à août 2022, les pratiques des 1 000 sites à plus forte audience en France. L’analyse n’avait pas pour objectif d’apprécier la conformité de ces sites à la réglementation, mais permettait d’observer le nombre de cookies déposés ou lus par des acteurs tiers avant toute action de l’utilisateur.
Les cookies « tiers » sont les cookies déposés sur des domaines différents de celui du site principal, généralement gérés par des services tiers qui ont été interrogés par le site visité et non pas à l’initiative de l’internaute lui-même : ces cookies peuvent être nécessaires au bon fonctionnement du site mais servent majoritairement au service tiers pour voir quelles pages ont été visitées sur le site en question par un utilisateur et de collecter des informations sur lui, notamment à des fins publicitaires.
Les résultats démontrent que l’action de la CNIL a permis de diminuer l’intensité du traçage publicitaire sur les sites web visités par les français. Ainsi, la part des sites déposant plus de 6 cookies tiers est passée de 24% à 12% entre janvier 2021 et août 2022. Parallèlement, la proportion du nombre de sites ne déposant aucun cookie tiers est passée de 20% à 29%. Dans le même temps, on constate une réduction du nombre moyen de cookies tiers déposés par site (voir ci-dessous), nombre qui doit être croisé avec les pratiques en matière d’information des personnes et de gestion du consentement par les sites avant de conclure à une non-conformité.
Ces résultats montrent des premiers résultats positifs des actions de la CNIL en ce qui concerne la première visite des sites, avant que l'utilisateur n’exprime un choix en matière de traceurs. Les chiffres indiquent toutefois que le traçage des données de navigation par les acteurs de la publicité ciblée, sans consentement des personnes, reste potentiellement important : en conséquence, la CNIL maintiendra ses efforts de mise en conformité sur les sites à forte audience en France.
CookieViz : l’extension de navigateur de la CNIL pour suivre le dépôt de cookies tiers en ligne
Les internautes peuvent également se faire une idée des pratiques des sites qu’ils visitent en matière de cookies en utilisant la solution CookieViz de la CNIL. Cette solution est désormais disponible en tant qu’extension de votre navigateur.
L’extension analyse les cookies déposés sur le navigateur et le nombre de tiers les ayant déposés.
Les contrôles, mises en demeure et sanctions de la CNIL
Depuis la publication de ses lignes directrices et recommandation, la CNIL a procédé à plusieurs vérifications de la bonne mise en conformité des sites visités par les internautes français.
Ces contrôles ont porté sur les sites à plus fortes audiences visités par les internautes français, que l’éditeur du site soit établi en France, dans le reste de l’Europe ou dans un pays tiers. En effet, les nouvelles règles sont applicables à tous les acteurs du web, quels qu’ils soient, à partir du moment où l’internaute est situé en France.
Après une période d’adaptation de six mois, expirant au 31 mars 2021, la CNIL a adressé 94 mises en demeure à des organismes non conformes lors d’une campagne de 125 contrôles en ligne. Au total, trois vagues de mises en demeure ont été lancées (mai 2021, fin juin 2021, décembre 2021), puis ont été closes après la mise en conformité des sites concernés.
Parallèlement, les acteurs majeurs du numérique qui ne pouvaient ignorer l’entrée en vigueur des nouvelles règles et disposaient des moyens de se mettre en conformité, des procédures de sanctions ont été lancées. Ainsi, la CNIL a sanctionné Google (250 M€), Facebook (60 M€) et Amazon (35 M€) en les contraignant à se mettre en conformité dans un délai de trois mois.
Au total, la CNIL a prononcé 8 sanctions de 2020 à 2022 sur la thématique des cookies, pour des manquements tels que le défaut d’information, le dépôt de cookies sans consentement préalable, la défaillance du mécanisme de refus, ou l’impossibilité de refuser les cookies aussi facilement que de les accepter.
Le montant cumulé de ces sanctions atteint 421 millions d’euros. Pour certains acteurs, transnationaux, leur impact a bien souvent dépassé le territoire français, car les entités se sont alors mises en conformité pour l’ensemble de leurs opérations européennes.