La Commission européenne serait en train de préparer une modification majeure du RGPD, laquelle vise à simplifier la gestion des cookies. Fini les popups interminables : le consentement passerait directement par le navigateur web ou le système d'exploitation.
Lukasz Olejnik, qui se présente comme un chercheur en cybersécurité, rapporte que la Commission européenne travaille sur un nouveau cadre réglementaire. Et si ce dernier voit le jour, il pourrait bien mettre fin à l'une des plus grandes frustrations des internautes européens : les bannières de consentement cookies. Le projet, baptisé Digital Omnibus, modifierait en profondeur le fonctionnement du RGPD et de la directive ePrivacy pour replacer la gestion du consentement au niveau des navigateurs web et des systèmes d'exploitation.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Une liste d'exceptions pour sortir du cauchemar des pop-ups
Le projet de texte introduit un article 88a au RGPD. Ce dernier définit quatre cas précis où le traitement de données personnelles ne nécessite plus de consentement explicite.
- Premier cas : la transmission pure et simple de données envoyées par l'internaute.
- Deuxième cas : la fourniture d'un service expressément demandé par l'utilisateur, comme un panier d'achat en ligne.
- Troisième cas : la création d'informations agrégées pour mesurer l'audience d'un service en ligne, à condition que le responsable du traitement les conserve uniquement pour son propre usage.
- Quatrième et dernier cas : le maintien ou la restauration de la sécurité du service du responsable du traitement ou du terminal utilisé pour la fourniture de ce service.
Avec cette liste, l'idée est donc de clarifier ce qui relève du fonctionnement normal d'un site web et ce qui nécessite un accord de l'utilisateur. Le texte interdit explicitement toute réutilisation ultérieure des données collectées dans ce cadre pour d'autres finalités. Les sites qui se contentent de cookies de session ou qui mesurent leur audience de manière agrégée pour leur usage exclusif n'auraient donc plus à afficher de bannière de consentement.
En revanche, dès qu'un site utilise des technologies publicitaires tierces ou des analyses externes servant à construire des profils inter-services (Oui, vous, Meta, et Google) le consentement reste obligatoire.
Vers une renaissance du Do Not Track ?
La modification impose aux sites web de reconnaître et de respecter des signaux de consentement ou de refus émis de manière automatisée. Ces derniers pourraient être configurés directement dans les paramètres du navigateur web, du système d'exploitation mobile qui définit les règles pour les applications collectant des données, voire au sein du futur portefeuille d'identité numérique européen.
La mise en œuvre n'est pas sans rappeler le fameux paramètre Do Not Track, c'est-à-dire avec l'envoi d'un en-tête HTTP transmis à chaque requête, contenant des informations structurées sur les préférences de l'utilisateur. Ce dernier pourrait préciser s'il accepte ou refuse le partage des cookies, selon différents cas d'usage et pour une période donnée. Si le signal Do Not Track du W3C est tout simplement ignoré à ce jour, cette fois, il ferait partie d'une régulation et l'industrie publicitaire ne pourrait tout simplement plus fermer les yeux. Le texte prévoit une exemption pour les fournisseurs de services de médias : ils ne seraient pas obligés de reconnaître les signaux automatisés de consentement. Cependant, cela ne les dispenserait pas de l'obligation d'obtenir un consentement explicite pour les cookies tiers.
Lorsque le consentement reste nécessaire, ce projet, visiblement à l'état de brouillon, impose deux règles de conception pour simplifier l'expérience. L'utilisateur doit pouvoir accepter ou refuser par un simple clic ou un geste équivalent. Les sites doivent respecter ce choix pendant au moins six mois et ne peuvent redemander un consentement pour la même finalité durant cette période.
En cas d'infraction, les sanctions pour non-respect de ces signaux automatisés peuvent atteindre 20 millions d'euros ou 4% du chiffre d'affaires mondial annuel, soit les mêmes niveaux que pour les violations du RGPD.
Reste à savoir comment évoluera ce projet de loi, et d'ailleurs, s'il survivra en l'état avant d'entrer en vigueur. Si c'est le cas, les navigateurs Web, les systèmes d'exploitation et les sites Web devront s'y plier pour finalement mettre fin à ces fameuses cookie banners.
