Dans le monde avant Digital omnibus, les utilisateurs expriment leurs choix en matière de traceurs et cookies via les bannières de consentement qui apparaissent sur chaque site web visité. Néanmoins, la prolifération de ces fenêtres a engendré ce que l’on appelle la « fatigue du consentement ». Submergés de sollicitations répétitives, les utilisateurs cliquent machinalement sans réellement comprendre les enjeux des dispositifs de suivi en ligne. Face à ce constat, la Commission européenne a proposé de limiter ces bannières en centralisant l’expression des préférences directement au niveau du navigateur. Cette idée n’est pas nouvelle. Elle avait déjà été avancée lors des discussions sur le projet de règlement ePrivacy, finalement abandonné en cours de route, (p. 26). Elle a d’ailleurs suscité de vives critiques de la part des acteurs, notamment les éditeurs et les régies publicitaires. Même la CNIL a émis certaines réserves face à ce dispositif. Pourtant, la proposition Digital Omnibus rebat les cartes en réintroduisant cette mesure contestée.
1. Que dit l’article 88 ter du Digital omnibus ?
L’article 88 ter de la proposition Digital Omnibus entend centraliser le paramétrage des signaux automatisés de consentement, de refus ou d’opposition des utilisateurs aux usages des traceurs pour réduire la prolifération des bannières de consentement. Il vise à rendre opérables nativement des signaux standardisés lisibles par machine, paramétrables via le navigateur et transmissibles vers les sites web. Les fournisseurs de navigateurs non-PME devront permettre l’émission de ces signaux et les responsables de traitement devront les respecter dans leurs interfaces en ligne. Ce dispositif technique ne concerne pas les services de médias, qui pourront ignorer les signaux et solliciter directement le consentement (via une bannière de consentement ?).
2. Qu’induit l’article 88 ter du Digital omnibus ?
L’article 88 ter est particulièrement mal rédigé et n’apporte en l’état aucune réponse claire sur le devenir des modalités de recueil des choix des personnes concernées sur l’usage des traceurs.
a) Risque de créer une nouvelle dépendance technologique
Le dispositif introduit par l’article 88 ter reste particulièrement vague sur les configurations techniques qui feront l’objet d’une normalisation technique. Le paragraphe 6 vise les fournisseurs de navigateurs (à l’exclusion des PME). Autrement dit, des acteurs bénéficiant d’une position quasi-monopolistique tels que le navigateur Chrome de Google, auront la charge de centraliser les préférences des citoyens européens et les transmettre aux autres acteurs.
La proposition interpelle d’emblée dans la mesure ou aucune garantie n’est prévue par le texte pour prévenir un éventuel abus des fournisseurs de navigateurs. Un renvoi aux obligations du Digital Markets Act (DMA) aurait été le bienvenu pour prévenir les comportements anti-concurrentiels de ces acteurs. Cette dépendance à l’égard de géants numériques majoritairement américains soulève des interrogations sur la souveraineté numérique européenne. Le considérant 46 mentionne par ailleurs une solution technique alternative : the EU Digital Identity Wallet prévu par le règlement eIDAS. Cette alternative, qui pourrait incarner la souveraineté numérique de l’UE, n’est pas reprise dans l’article 88 ter. Ainsi, le texte proposé ne permet pas d’appréhender précisément la portée technique réelle du mécanisme.
b) Validité très discutable du consentement via navigateur
Si les navigateurs permettent l’expression d’un refus « universel » dans la lignée des approches américaines (e.g., Opt Out signal en Californie), cette approche semble contraire au principe du consentement libre, spécifique, informé (et, le cas échéant, explicite) requis dans la tradition européenne. La CNIL a déjà considéré dans ses lignes directrices de 2020 ( Délibération n° 2020-091 du 17 septembre 2020, p.8, pt.44 et s.) que les réglages via navigateur ne permettent « pas d’assurer un niveau suffisant d’information préalable des personnes » et (…) « de distinguer les traceurs en fonction de leurs finalités, alors même que cette distinction peut s’avérer nécessaire pour garantir la liberté du consentement ».
En l’état, les signaux émis par le navigateur semblent surtout destinés à permettre l’expression d’un refus universel. Par ailleurs, on notera qu’aucun signal ne semble visiblement prendre en compte le retrait du consentement après une acceptation préalable. On s’éloigne ainsi de l’ADN du RGPD qui pose le principe d’un consentement retirable (Art.7.3 du RGPD). En parallèle, la Commission développe d’une manière assez contestable le régime du refus qui jusque-là n’était pas appréhendé par le texte.
c) Incohérence dans l’applicabilité du dispositif
L’exception pour les médias : maintien des si redoutées bannières de consentement ?
Le paragraphe 3 exempte les services de médias de l’obligation d’honorer les signaux de consentement. Cette exemption est justifiée par la préservation du droit à l’information et de la liberté de presse. Cela suggère que les tant redoutées bannières seraient maintenues pour les sites médias.
Une protection en trompe-l’œil pour les médias
Si les services de médias échappent à l’obligation d’honorer les signaux, tous leurs partenaires y sont soumis. Ces partenaires incluent les annonceurs (e.g., sites e-commerce) qui financent majoritairement leur modèle économique. Si un utilisateur clique sur une publicité diffusée par un site média, après avoir consenti sur la bannière de consentement, le média peut normalement être rémunéré lorsque l’utilisateur effectue ensuite une action sur le site de l’annonceur (par exemple un achat). Cette rémunération suppose toutefois que certains traceurs puissent être déposés sur le site de l’annonceur afin d’identifier l’origine du clic et de mesurer l’action. Si l’utilisateur refuse le dépôt de ces traceurs sur le site de l’annonceur, il devient alors difficile d’établir le lien entre la publicité et l’action réalisée. La rémunération du média peut, dans ces conditions, être compromise.
L’exception n’est donc pas aussi protectrice qu’elle n’y paraît pour les médias. Seule une catégorie d’acteurs ne semble pas impactée par ces changements : les réseaux sociaux qui ne sont pas tributaires des règles sur les cookies et traceurs et captent pourtant l’essentiel de la valeur sur le marché.
d) Et la personne concernée ?
La centralisation technique des choix des personnes concernées constitue indéniablement une piste prometteuse pour lutter contre la fatigue du consentement. Toutefois, les modalités de mise en œuvre proposées génèrent des frictions indépendantes de la volonté des personnes concernées. Au lieu de consacrer une exception trompe l’œil pour les médias, il aurait fallu introduire un mécanisme de listes blanches (whitelist) qui permet aux personnes concernées de donner un feu vert pour les sites de confiance. Malgré son potentiel initial, le dispositif dans sa forme actuelle ne parvient pas à accomplir ce qui devrait en constituer le cœur : redonner aux personnes concernées une véritable maîtrise sur leur identité numérique.
Feryel Lehdhili, doctorante en droit au Cr2D, consultante RGPD Digital DPO
blogdroiteuropéen 