Les traceurs électroniques ont toujours été ce truc qu’on gérait en mode pilote automatique – une bannière cookie, un bouton vert bien visible, et basta. Mais depuis septembre 2020, la CNIL a changé les règles. Et pas qu’un peu. Fabrice Perbost, avocat associé au cabinet Harlay Avocats et spécialisé en droit des données, est venu démêler tout ça dans le podcast Bannouze. Ce qu’il dit devrait inquiéter pas mal de marketeurs qui pensent être en règle.
Le timing n’est pas anodin. L’épisode est enregistré début mars 2021, soit quelques semaines avant la deadline du 31 mars fixée par la CNIL pour se conformer à ses nouvelles recommandations. Et le tableau que dresse Fabrice Perbost n’est pas franchement rassurant. Entre le mille-feuilles réglementaire européen, les zones de brouillard sur les outils de mesure d’audience, et un modèle économique publicitaire qui vacille – il y a de quoi se poser des questions sérieuses.
Alors voilà. On va essayer de mettre tout ça à plat, sans jargon inutile – enfin, sans plus de jargon que nécessaire.
RGPD et e-privacy : deux textes, deux périmètres, une confusion permanente
Premier truc à clarifier, parce que j’entends encore des marketeurs les confondre : le RGPD et la directive e-privacy ne couvrent pas du tout le même terrain. Fabrice Perbost commence par une précision de vocabulaire qui a son importance.
«Plutôt que de règlement e-privacy, je parlerais de projet de règlement e-privacy car aujourd’hui les institutions européennes, elles sont toujours en train de revoir la directive e-privacy et en attendant, le texte qui est encore applicable, c’est la directive e-privacy.»
Voilà. On parle d’un texte en cours de révision depuis des années – ce qui dit quelque chose sur la vitesse de l’Europe en matière de droit du numérique.
La différence de fond ? Le RGPD se concentre sur les données à caractère personnel des personnes physiques. La directive e-privacy, elle, protège la vie privée dans le cadre des services de communication électronique accessibles au public. Deux logiques différentes, deux champs d’application qui ne se superposent pas toujours.
Fabrice donne un exemple concret que j’ai trouvé éclairant : le numéro de téléphone d’un service client automatisé d’une société – pas une donnée personnelle au sens du RGPD. L’adresse IP d’un photocopieur dans une entreprise – idem. En revanche, un intranet accessible uniquement aux employés échappe à la directive e-privacy, parce que ce n’est pas un service de communication électronique «accessible au public».
Et ça se complique encore. Parce que les deux textes peuvent se chevaucher – notamment sur les traceurs électroniques dans l’e-commerce ou la prospection commerciale. Ce qui veut dire qu’un même cookie peut relever à la fois du RGPD et de la directive e-privacy. Du coup, le travail du marketeur – ou de son juriste – c’est de déterminer laquelle des deux logiques prime, et si les deux s’appliquent en même temps.
Au-delà de ces deux piliers, il y a tout un écosystème réglementaire : les décisions de la Commission européenne, les avis du CEPD (le Comité européen de protection des données, ex-G29), les décisions des autorités nationales, et les lois de transposition propres à chaque pays. Et c’est là que ça devient vraiment épineux pour les campagnes multi-pays.
Le RGPD est censé être d’application directe et uniforme dans toute l’UE – avec quelques marges de manœuvre laissées aux États membres. La directive e-privacy, non : elle doit être transposée en droit national, et cette transposition peut varier d’un pays à l’autre. Exemple concret : le seuil du consentement des mineurs. Le RGPD fixe 16 ans par défaut, mais autorise les États à descendre jusqu’à 13 ans. La France a choisi 15 ans. La Belgique, l’Espagne, le Portugal : 13 ans. Donc si tu lances une campagne en Europe, vérifier la loi française ne suffit pas. (Ce que la plupart des équipes marketing oublient, jusqu’au moment où ça coince.)
Ce que la CNIL a vraiment dit en septembre 2020 sur les traceurs électroniques
Octobre 2020, la CNIL publie sa recommandation sur la gestion des cookies et autres traceurs. La deadline de mise en conformité : 31 mars 2021. Fabrice Perbost distingue deux types de documents produits par la CNIL, et la distinction est utile.
D’un côté, les lignes directrices – une synthèse du droit applicable, censée être objective. De l’autre, la recommandation – «une sorte de guide pratique à l’usage des professionnels, une sorte de todo list, un check des actions de conformité». Tu peux t’écarter légèrement de la recommandation si tu respectes les lignes directrices. Mais si tu suis la recommandation à la lettre, tu es en conformité avec les standards de la CNIL. La garantie maximale, en quelque sorte.
Sur le fond, la recommandation de 2020 durcit les modalités de recueil du consentement sur deux points précis.
«La poursuite de la navigation ne peut plus être considérée comme une expression valide du consentement. Et les acteurs du marketing doivent être en mesure de fournir à tout moment la preuve du recueil valable du consentement.»
C’est exactement le problème. Pendant des années, des dizaines de sites ont considéré que continuer à scroller valait accord. Fini.
Concrètement, ça veut dire quoi ? Que le consentement doit passer par un acte positif clair – cliquer sur «j’accepte», point. Faire défiler une page, continuer à naviguer, laisser la bannière en bas de l’écran : aucune de ces actions ne vaut consentement pour le dépôt de traceurs électroniques.
Et l’autre face du problème – celle qu’on oublie souvent – c’est la preuve. Tu dois pouvoir démontrer, à tout moment, que l’utilisateur a bien consenti. Ce qui implique de stocker ces données de consentement. Ce qui implique des outils. Ce qui implique du budget. (Et là on commence à voir pourquoi la mise en conformité est lourde.)
Mais le point le plus intéressant, c’est peut-être celui sur le refus. La CNIL considère que ne rien faire équivaut désormais à un refus – pas à une acceptation. Et le bouton «tout refuser» doit être présenté avec le même degré de simplicité que le bouton «tout accepter». Même taille, même visibilité.
Fabrice Perbost résume ça avec une formule que j’ai notée :
«On peut même avancer aujourd’hui que désormais, il est plus facile de refuser que d’accepter. Puisque d’un côté, on a pour accepter une seule action possible, c’est-à-dire cliquer sur le bouton accepter, alors que pour refuser, deux actions sont possibles, c’est cliquer sur le bouton refus ou ne rien faire.»
Dit comme ça, ça a l’air simple. Mais les conséquences sur les taux de consentement – et donc sur les revenus publicitaires – sont potentiellement massives.
Le cookie wall : une solution tentante, une légalité bancale
Face à ce durcissement, certains éditeurs ont misé sur le cookie wall. Le principe : tu bloques l’accès au contenu tant que l’utilisateur n’a pas consenti aux traceurs. Ou tu lui proposes une alternative – s’abonner à faible coût, par exemple. Trois options en gros : payer, accepter la pub personnalisée, ou partir.
Sauf que la CNIL n’aime pas vraiment ça. Elle l’avait même interdit – avant d’être retoquée par le Conseil d’État dans une décision du 19 juin 2020. Du coup, le cookie wall n’est pas interdit, mais il est toléré «au cas par cas». La CNIL estime qu’un cookie wall peut porter atteinte à la liberté du consentement. Et dans tous les cas, l’éditeur qui le met en place doit informer l’utilisateur des conséquences de son choix – notamment de l’impossibilité d’accéder au contenu s’il refuse.
Ce qui m’agace un peu dans ce débat, c’est qu’on finit par demander à la CNIL de trancher un problème économique – alors que son rôle est de faire respecter la loi. Fabrice Perbost le dit clairement : «L’objectif de la CNIL, c’est pas de protéger un écosystème. C’est une autorité administrative indépendante, elle est là pour faire respecter la réglementation.»
N’empêche. Le modèle du web gratuit financé par la publicité ciblée est directement visé. Et la pédagogie qu’on voyait apparaître sur certains sites – Les Échos, Le Figaro, qui expliquaient à leurs lecteurs pourquoi les cookies financent le journalisme – ça montre que les éditeurs ont bien compris l’enjeu. Mais expliquer ne suffit pas si l’utilisateur choisit quand même de refuser.
Pour aller plus loin sur la façon dont les acteurs du marketing naviguent face à ces contraintes réglementaires, l’épisode fin des cookies tiers et bilan 2019 donne un bon point de référence sur d’où on vient.
L’intérêt légitime : l’argument magique qui ne marche presque jamais
Voilà le grand classique. Le marketeur qui découvre la notion d’intérêt légitime et qui pense avoir trouvé la porte de sortie. «On a un intérêt légitime à tracer nos utilisateurs, donc on n’a pas besoin de leur consentement.»
Mauvaise pioche, dans la grande majorité des cas.
Fabrice Perbost est prudent dans sa formulation – comme tout bon avocat – mais le message est clair :
«L’intérêt légitime du marketeur n’est pas nécessairement l’intérêt légitime de l’internaute. Et donc quand on fait cette équation, on voit vite que l’intérêt légitime qu’on peut mettre en avant quand on est un acteur du marketing va vite se heurter à l’intérêt légitime de l’internaute. Très souvent, on se retrouve à devoir aller dans l’option du consentement.»
C’est exactement le problème. L’intérêt légitime n’est pas une case qu’on coche – c’est un exercice de balance, une mise en balance entre ton intérêt commercial et les droits de l’utilisateur. Et cet exercice, il faut le documenter, le justifier, l’assumer.
Il existe aussi d’autres bases légales – l’exécution d’un contrat, par exemple – mais elles s’appliquent à des cas très précis. En pratique, pour la grande majorité des usages des traceurs électroniques en marketing digital, le consentement reste la base la plus solide. Et la plus contraignante.
Les implications pour l’écosystème publicitaire sont directes. Sans consentement, pas de publicité ciblée. Sans publicité ciblée, pas de monétisation de l’audience. Et la mise en conformité – outils de recueil du consentement, CMP, développements techniques – coûte du temps et de l’argent. Pour un retour sur investissement qui n’est même pas assuré si les taux de refus explosent.
C’est là que la comparaison de Fabrice Perbost tape juste :
«Le cookie, c’était un peu comme la passerelle de l’avion pour le passager. Indispensable pour monter dans l’avion, mais une fois que l’avion a décollé, la passerelle, plus personne n’y pense. Sauf que la CNIL, elle, a continué à y penser.»
Et maintenant tout le monde doit y penser. Pour ceux qui s’intéressent à la façon dont les données transforment les métiers du marketing, l’épisode avec Romain Bourgois, Analytics Manager chez Criteo, donne une perspective complémentaire sur la data côté annonceur.
Google Analytics et les traceurs électroniques de mesure d’audience : la zone grise
Question directe posée dans le podcast : si un utilisateur refuse les cookies, est-ce qu’il disparaît de Google Analytics ? Réponse de Fabrice Perbost : ça dépend.
Et là on entre dans la zone la plus floue de toute la discussion.
En 2013, la CNIL avait une position simple : tous les traceurs électroniques de mesure d’audience bénéficiaient d’une exemption de consentement. La vie était belle. En 2020, nouveau discours : «ça dépend». Le cas par cas est de retour.
La logique retenue : si le traceur est «nécessaire au service de communication en ligne demandé par l’utilisateur», il peut être exempté. Si le traceur permet de détecter des problèmes de navigation ou de mesurer la performance du service, et qu’il est strictement nécessaire à ce service, pas besoin de consentement.
En revanche, si le traceur permet de suivre les habitudes de consommation de l’utilisateur, de le profiler, de suivre son parcours global – là, le consentement est requis.
La frontière entre les deux ? Pas toujours évidente. Et la CNIL elle-même a reconnu qu’elle allait lancer un appel à participation pour que les acteurs du data marketing présentent leurs solutions de mesure d’audience. L’idée : soumettre un dossier, la CNIL l’analyse, et valide ou non si la solution répond aux critères d’exemption. Ce webinaire avait eu lieu le 26 février 2021 – quelques jours avant l’enregistrement du podcast.
Donc en clair : on est dans le brouillard. Et tant que la CNIL n’a pas validé des solutions spécifiques, personne ne peut garantir que son outil de mesure d’audience est bien exempté de consentement. (Ce qui crée un vrai problème pour les équipes analytics qui s’appuient sur ces données pour piloter leurs campagnes.)
Pour ceux qui suivent de près l’impact de l’IA et des nouvelles technologies sur le marketing, la question des traceurs rejoint en fait une problématique plus large autour de la collecte de données et de l’intelligence artificielle en marketing – deux sujets qui convergent de plus en plus.
Ce que ça change vraiment – et ce que personne ne dit
Bilan honnête de tout ça. La CNIL n’a pas réinventé la loi. Elle a durci les modalités d’application de règles qui existaient déjà. Mais ce durcissement a des effets réels, immédiats, sur des pratiques qui étaient devenues tellement habituelles qu’on avait arrêté de se demander si elles étaient légales.
La «poursuite de la navigation vaut consentement» – combien de sites ont encore ça dans leur implémentation en 2021 ? Beaucoup. Trop. Et le fait que le bouton «tout refuser» doive désormais être aussi visible que le bouton «tout accepter» va mécaniquement faire baisser les taux de consentement. C’est arithmétique.
Ce que ça veut dire concrètement pour un marketeur :
- Revoir l’implémentation de ta CMP pour que le refus soit aussi simple que l’acceptation – et que la preuve du consentement soit stockée correctement.
Réexaminer l’intérêt légitime que tu invoques. Si tu n’as pas fait l’exercice de balance documenté, tu n’as pas d’intérêt légitime – tu as une case cochée. Et enfin, vérifier tes outils de mesure d’audience : Google Analytics dans sa configuration standard n’est probablement pas exempté au sens de la recommandation 2020.
Ce qu’on ne dit pas assez : la mise en conformité des traceurs électroniques n’est pas seulement un coût – c’est aussi une opportunité de repenser la relation avec l’audience. Les sites qui ont fait l’effort pédagogique – expliquer pourquoi les cookies financent le contenu – ont parfois obtenu des taux de consentement meilleurs qu’attendu. Pas toujours. Mais parfois.
Et puis il y a les nouvelles technologies qui émergent pour contourner la dépendance aux traceurs électroniques : ciblage contextuel, cohortes, identifiants alternatifs. La fin du cookie tiers, annoncée par Google pour 2022-2023, pousse toute l’industrie à chercher des alternatives. C’est un chantier massif, et pas encore résolu. Pour ceux qui veulent explorer comment les outils no-code s’insèrent dans cette transformation, l’épisode sur la vague no-code et ses impacts pour le marketing digital donne une perspective intéressante sur les nouvelles boîtes à outils disponibles.
La vraie question – celle que Fabrice Perbost ne tranche pas, parce que ce n’est pas son rôle – c’est de savoir si l’écosystème publicitaire va trouver un modèle viable dans ce nouveau cadre. Il y a des nouvelles technologies, oui. Mais est-ce qu’elles compenseront vraiment la perte de précision du ciblage basé sur les traceurs électroniques individuels ? Et sur quels critères la CNIL validera-t-elle les nouvelles solutions de mesure d’audience soumises dans le cadre de son appel à participation ?
Pour aller plus loin sur les enjeux réglementaires et éthiques qui redéfinissent le marketing digital, notamment sur les questions de transformation des entreprises face à ces contraintes, l’épisode sur les enjeux actuels vus de la tech pose des questions qui dépassent largement le seul sujet des cookies.
Fabrice Perbost peut être suivi via le cabinet Harlay Avocats sur LinkedIn, et via la plateforme Let’s Startup Together, dédiée aux entrepreneurs et startups cherchant un accompagnement juridique sur ces sujets.
