Combien de fois par jour acceptons-nous les cookies sans lire et comprendre leurs conditions ? Savons-nous seulement que ce geste quotidien participe à la construction de notre identité numérique ? Considérons-nous ces cookies comme des éléments essentiels à la protection de nos droits fondamentaux ?
Un sondage de la CNIL révélait en décembre 2019 que sur les 76 % d’internautes acceptant les cookies, 65 % ne sont en réalité « pas tout à fait d’accord » pour réaliser ce dépôt[1]. Pas tout à fait d’accord ? Dans le même temps, Capgemini réalisait une étude sur l’application du RGPD (Règlement général pour la protection des données personnelles) par les entreprises européennes, dont seul un tiers serait en conformité avec la règlementation[2]. Pas tout à fait conforme ? Et puis, il y a la CNIL, l’organe de contrôle et de protection des données, qui manque cruellement de moyens pour assurer la bonne application des dispositions européennes[3]. Pas tout à fait protectrice ?
Alors que nous passons en moyenne plus de deux heures par jour sur internet[4], que cliquer sur « accepter ou refuser les cookies » est devenu un geste quotidien, comment sensibilise-t-on à la protection de l’identité numérique des entreprises et individus ? Car il ne s’agit en réalité que de cela : ces cookies, de petits mouchards qui gardent en mémoire le parcours de notre visite digitale, sont des éléments de construction de ce que nous sommes virtuellement. En un mot, de notre identité numérique, que la juriste professeur Danièle Bourcier définit comme « l’ensemble des traces numériques qui se rapportent à un individu, qu’il s’agisse de traces profilaires (ce que je dis de moi), des traces navigationnelles (ce que je consulte) et des traces inscriptives ou déclaratives (ce que je pense ou partage sur les réseaux) »[5].
En captant ces informations, les cookies sont le lien, visible mais incompréhensible de l’utilisateur, entre sa vie physique et sa vie numérique. Il est essentiel de comprendre que « vivre à l’ère digitale » signifie la connexion de ces deux mondes et donc une lecture croisée de nos droits numériques et de nos libertés fondamentales. Ce continuum physique-numérique, consacré par la Cour Européenne des droits de l’Homme[6], est régulièrement rappelé par la CNIL. Dès lors, tout défaut de vigilance à l’égard des principes fondamentaux évoqués dans le RGPD, c’est accepter que nos droits fondamentaux (particulièrement notre liberté d’expression et de communication, ou celle d’aller et venir…) soient fragilisés à court terme voire paralysés à long terme.
Les acteurs de la technologie ressassent depuis plusieurs années les notions de transparence et de confiance. Le RGPD les a consacrées. La fenêtre cookies les a détournées. Son contenu, disons-le, indigeste, est l’interprétation qui en a été faite : fournir de l’information, toujours plus, sans outil de compréhension. Résultat, nombre d’entre nous distinguent mal quels sont les enjeux et les finalités de notre choix.
En réalité, deux nécessités absolues résident au cœur de notre droit à l’information et au consentement éclairé[7] : l’intelligibilité et la lisibilité. Elles sont les conditions du développement d’une bonne hygiène numérique. Entendons par là, un ensemble de gestes et de mesures qui permettent de contrôler et de maîtriser l’exploitation de nos données personnelles. Cette hygiène numérique exige la prise de connaissance, de manière claire et accessible, des modalités du fonctionnement de notre vie numérique.
Dans ce cadre, la fenêtre (pop-up window) cookies doit être la clé de déchiffrage des tenants et aboutissements de leur acceptation ou non. Vecteur indispensable pour garantir notre liberté, elle mobilise notre capacité de jugement et devient la balise de sécurité dans le monde ouvert de la navigation. Cette fenêtre est donc l’instrument quotidien de nos droits et c’est pourquoi elle a fait l’objet de nouvelles recommandations de la part de la CNIL, en octobre 2020[8].
Nous nous devons de les évoquer ici et de rappeler que certains abus lexicaux, dans cette fenêtre cookies, participent – sciemment ? – au brouillard digital.
Dans cette fenêtre, nous sommes frappés en premier lieu par la promesse d’une « expérience optimale de notre navigation », sans rattachement clair et visible aux conséquences de notre acceptation. Nous comprenons bien que collecter nos données permet de faciliter et d’améliorer notre visite virtuelle. Ce qui est moins clairement présenté, c’est que cette collecte sert également d’autres fins, publicitaires ou commerciales. Pour assurer une meilleure compréhension et lisibilité pour l’utilisateur, la CNIL recommande donc que « les finalités (de la collecte de données et du cookie) doivent être formulées de manière intelligible, dans un langage adapté et suffisamment clair pour permettre à l’utilisateur de comprendre précisément ce à quoi il consent »[9]. Une collecte pour une seule finalité, c’est l’expression aboutie de notre droit d’information et de notre droit de disposer comme on l’entend de nos données. Cela demande de ne pas confondre intelligibilité et transparence car cette dernière notion, érigée en grand principe de l’ère digitale, conduit en fait à un déluge d’informations qui favorise au final l’opacité complète.
Ce qui frappe en deuxième point, c’est l’absence de bouton « Refuser ». Le plus souvent, nous disposons de deux options : « Consentir » ou « Réglages ». Le droit au consentement éclairé implique ici le droit à faire un choix libre et non à consentir par défaut, comme c’est le cas sur de nombreux sites. La CNIL rappelle que la capacité d’exprimer un refus doit se faire aussi aisément que la capacité à tout accepter ou accepter sous conditions. Pour revenir sur la différence lisibilité et transparence, nous devons être en mesure de connaître le cycle de vie des données que nous fournissons, de leur collecte à leur traitement, en passant par leur stockage, afin de pouvoir réaliser un vrai choix.
Ce qui interpelle, enfin, c’est aussi la rapidité avec laquelle nous balayons ce pop-up d’un click. Est-ce une forme de lassitude, de reconnaissance de notre impuissance, un abandon volontaire et désabusé de nos droits ? Sur un tout autre sujet, Simone Veil disait : « la mauvaise conscience générale permet à chacun de se gratifier d’une bonne conscience individuelle : ce n’est pas moi qui suis responsable, puisque tout le monde l’est ». Cette décharge est symptomatique de la résignation qui semble s’emparer de l’internaute devant un écosystème numérique indispensable et omnipotent. Il s’est accommodé de l’adage « si c’est gratuit, c’est toi le produit ». C’est là tout l’enjeu de ce réveil de notre devoir de vigilance, nous rappeler que nous avons la responsabilité, individuellement et collectivement, de l’avènement d’une ère digitale respectueuse de l’individu, de l’entreprise et de l’État.
Ysens de France ( article également disponible sur le site d’Aivancity dont l’auteur est professeur associé)
[1] CNIL, Les Français et la réglementation en matière de cookies, Ifop pour la CNIL, RB/DP n° 116921, décembre 2019 : https://www.cnil.fr/sites/default/files/atoms/files/les_francais_et_la_reglementation_en_matiere_de_cookies_-_sondage_ifop_pour_la_cnil_-_decembre_2019_.pdf
[2] CAPGEMINI RESEARCH INSTITUTE, Championing Data Protection and Privacy- a Source of Competitive Advantage in the Digital Century, 26 septembre 2019 : https://www.capgemini.com/fr-fr/news/rapport-sur-la-rgpd/
[3] ASSEMBLÉE NATIONALE, Rapport d’information sur l’identité numérique, 8 juillet 2020 : http://www.assemblee-nationale.fr/dyn/15/rapports/micnum/l15b3190_rapport-information
[4] INSTITUT MEDIAMÉTRIE : https://www.mediametrie.fr/fr/node/63
[5]ASSEMBLÉE NATIONALE, Rapport d’information sur l’identité numérique, 8 juillet 2020 : http://www.assemblee-nationale.fr/dyn/15/rapports/micnum/l15b3190_rapport-information
[6] CEDH, S.et Marper c/Royaume-Uni, n°30562/04 et 30566/04, 4 décembre 2008. Pour rappel, la CEDH a déduit de l’article 8 de la Convention européenne de sauvegarde des droits de l’Homme et des libertés fondamentales, la protection des données personnelles.
[7] Article 4 et 7 du RGPD.
[8] CNIL, Cookies et autres traceurs : la CNIL publie des lignes directrices modificatives et sa recommandation, lien suivant : https://www.cnil.fr/fr/cookies-et-autres-traceurs-la-cnil-publie-des-lignes-directrices-modificatives-et-sa-recommandation
[9] CNIL, Projet de recommandation, Sur les modalités pratiques du recueil du consentement prévu par l’article 82de la loi du 16 janvier 1978 modifiée, concernant les opérations d’accès ou d’inscription d’informations dans le terminal d’un utilisateur ( recommandation « cookies et traceurs »), 14 janvier 2020, lien suivant : https://www.cnil.fr/fr/reglement-europeen-protection-donnees/chapitre2#Article5