La recette des cookies double pépites : Privacy et Accessibilité

Bonjour et bienvenue à vous qui consultez ces quelques mots.

Aujourd’hui, j’ai décidé de prendre ma plume et de vous emmener avec moi dans une réflexion qui m’intéresse depuis maintenant un certain temps : le lien entre la privacy et l’accessibilité numérique. Et quoi de mieux que le cas terrible des cookies pour illustrer tout ça ? Voilà le plat du jour.

Mais d’abord, commençons par l’entrée en posant le décor : « elle parle de quoi la dame quand elle dit Accessibilité ou Privacy ? »

D’un côté, l’Accessibilité numérique…

En France, il existe une réglementation qui précise un certain nombre de règles afin de permettre à toute personne d’accéder aux bâtiments sans discrimination. Par exemple, on retrouve la présence de cabinet d’aisance adapté, une largeur des portes suffisante, etc.

Attardons-nous sur l’exemple de la largeur minimale des portes. Celle-ci permet le passage d’une personne utilisant un matériel, tel qu’un fauteuil roulant, pour se déplacer. Construire une largeur de porte insuffisante reviendrait alors à créer une situation de handicap où la personne ne pourrait plus (ou difficilement) accéder au bâtiment.

Là vous vous demandez peut-être pourquoi je vous parle construction et bâtiment alors que nous sommes sur une thématique web ?

Tout simplement parce que c’est exactement la même chose pour l’accessibilité des services numériques. Il est nécessaire de respecter des règles techniques qui, en France, sont regroupées dans le Référentiel Général d’Amélioration de l’Accessibilité (RGAA 4) afin de produire un service numérique accessible à tous. Dans le cas contraire, par exemple, une personne malvoyante utilisant un lecteur d’écran pour naviguer en toute autonomie pourrait être dans l’impossibilité d’utiliser un site Internet ou une application mobile.

D’ailleurs, pour utiliser la comparaison avec le bâtiment jusqu’au bout, la largeur des portes de votre future maison ne se décide pas au moment de la crémaillère. C’est pareil pour l’accessibilité de votre service numérique. Il faut y penser dès le début et pas uniquement à la mise en production.

Maintenant, arrêtez-moi si je me trompe, mais théoriquement, un éditeur de service numérique devrait avoir pour objectif qu’il soit le plus utilisé et le plus apprécié possible par ses utilisateurs, non ? Donc cela paraîtrait plutôt logique que l’accessibilité numérique soit une priorité, surtout en sachant qu’au moins 20% des personnes en France sont concernées.

Cependant, à ce jour, les estimations du pourcentage de sites considérés comme accessibles sont tellement basses que je ne préfère pas les citer. Pourtant, la réglementation est là. La Loi 2005-102 de février 2005 pour l’égalité des droits et des chances, la participation et la citoyenneté des personnes handicapées et le décret 2019–768 de juillet 2019 relatif à l’accessibilité aux personnes handicapées des services de communication au public en ligne, complétés par le RGAA, encadrent la question et imposent à tout organisme public et tout organisme privé de plus de 250 millions d’euros de chiffre d’affaires de s’engager dans une démarche de mise en accessibilité numérique.

Mais le chemin est encore très long et le numérique reste semé d’embûches pour un grand nombre de personnes.

De l’autre, la Privacy

En France, la protection des données personnelles est principalement régie par le Règlement Général sur la Protection des Données 2016679 (RGPD) et la Loi Informatique et Libertés 78–17 du 6 janvier 1978 (LIL) (oui oui, vous avez bien lu, 1978 !).  Ces textes ont pour mission d’encadrer la manière dont les organismes de toute taille, qu’ils soient privés ou publics, doivent traiter les données personnelles. Nos données personnelles. Pour simplifier mon propos, je résumerai cela sous le terme de « Privacy » dans la suite de l’article.

Nos données sont donc traitées d’innombrables fois, quotidiennement, par une multitude d’entités. De quoi se sentir rapidement dépassé et écrasé, surtout face aux grands géants du web.

La Privacy nous donne pourtant des armes pour nous aider à reprendre le contrôle de nos données. Par exemple en renforçant le principe du consentement, en rendant la transmission des informations obligatoire pour savoir ce qui va réellement être fait de nos données, ou encore en complétant la palette de droits à disposition des personnes.

Ah ! J’entends quelques grognements venir de derrière l’écran. Oui, ça c’est la théorie. En pratique, ce n’est pas forcément toujours si simple. Il peut y avoir un effet David contre Goliath face aux GAFAM. Mais essayons de rester positifs et encourageants.

Les règles existent et des autorités de protection sont là pour épauler particuliers et professionnels dans chaque pays de l’Union Européenne. En France, il s’agit de la CNIL, la Commission Nationale de l’Informatique et des Libertés qui accompagne, informe, contrôle et parfois sanctionne.

Autre maillon indispensable à la Privacy mis en place par le RGPD : le poste de Délégué à la Protection des Données (ou DPO, Data Protection Officer en anglais). Il s’agit de la personne chargée d’orchestrer la démarche Privacy au sein des organismes.

Maintenant, mélangeons les deux !

Le RGPD prévoit dans son article 12 que la transmission d’informations, l’exercice des droits et l’information en cas de violation de données, soient effectués « d’une façon concise, transparente, compréhensible et aisément accessible, en des termes clairs et simples ».

Il y a donc un effort de la part des rédacteurs du RGPD pour demander aux organismes, généralement via leur DPO, de parler ou d’écrire de manière à ce que tout le monde puisse comprendre et exercer ses droits en toute connaissance de cause.

Même si cela pose également des problématiques d’accessibilité, je ne vais pas m’attarder sur l’idée de faire s’exprimer des DPO en des termes « clairs et simples » parce que j’imagine que vous avez lu toutes les politiques de confidentialité de tous les services que vous utilisez (non ?). Vous savez donc qu’on en est encore loin et qu’il s’agit d’un chantier à part entière. Mais si cela vous intéresse, je vous invite à lire le dossier dédié à la communication claire réalisé par le LINC (Laboratoire d’Innovation Numérique de la CNIL). Pour la suite, je vais plutôt me concentrer sur le reste de la définition et sur l’exemple de l’information.

En complément de l’article 12, les articles 13 et 14 imposent de transmettre un certain nombre d’informations sur le traitement de données réalisé (quel traitement, pour qui, par qui, pendant combien de temps, etc.) auprès de la personne concernée, ou plutôt devrais-je dire de toutes les personnes concernées.

Ainsi, si mon information n’est pas « aisément accessible », alors je ne respecte pas l’article 12. Par effet de domino, mon traitement ne peut alors pas strictement respecter l’obligation de droit à l’information définie aux articles 13 et 14. Et cela constitue un non-respect du RGPD exposant à une sanction pouvant s’élever jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial.

Et là ma question est la suivante : peut-on réellement considérer qu’une information est « aisément accessible » si une partie non négligeable des personnes utilisatrices ne peut pas consulter correctement et pleinement le service numérique, incluant de fait ces informations ?

Ce qui nous amène aux cookies double pépites

Je vais maintenant appliquer la logique des paragraphes précédents au cas concret des cookies. Afin de déposer des cookies sur les terminaux des personnes utilisant un service, il faut, dans la majorité des cas, demander un consentement préalable. Pour que ce consentement soit valable, l’utilisateur doit notamment avoir accès à plusieurs informations dont les finalités, les destinataires, les durées de validité.

Imaginons un bandeau de cookies, intégrant un premier niveau d’informations et renvoyant via un lien vers une politique de confidentialité précisant l’ensemble des informations nécessaires. Côté RGPD, aucun problème. Cette manière de présenter l’information est proposée au sein de la recommandation de septembre 2020 de la CNIL concernant les cookies et donc conforme.

Mais il se peut que mon lien ne soit pas accessible pour tous. Par exemple si :

  • Le lien n’est pas visible par rapport au texte environnant (critère 10.6 du RGAA). Le lien n’est ni souligné, ni d’une couleur contrastée par rapport au texte et n’a pas de signe distinctif. Il se peut alors que je ne l’identifie pas visuellement en tant que lien. Comment savoir qu’il ne s’agit pas uniquement d’un texte simple ?
  • Le lien est visible par rapport au texte environnant car il est souligné, mais il est mis en forme dans une couleur insuffisamment contrastée par rapport à la couleur de fond du bandeau (critère 3.2 du RGAA). Il se peut que je ne distingue pas ou que je n’arrive pas à lire le texte du lien. Comment identifier la présence d’informations complémentaires si je ne distingue pas le lien ?
  • Le bandeau de cookies n’est pas accessible en naviguant au clavier (critère 7.3 du RGAA). Je n’arrive pas à accéder aux éléments du bandeau à l’aide de mon clavier uniquement. Je ne peux donc pas activer le lien et consulter les informations. Cela implique d’ailleurs également que je ne peux pas activer de consentement et suis donc potentiellement privée des fonctionnalités personnalisées proposées.
  • Un autre lien dans la page porte le même nom accessible (critère 6.1 du RGAA). En naviguant avec un lecteur d’écran, imaginez une liste de liens « En savoir plus » sans autre indication pour vous aider à sélectionner celui que vous souhaitez. Comment « deviner » que l’un d’entre eux vous amènera vers l’information sur les cookies et lequel ?

Dans tous ces exemples, la conformité Privacy du bandeau de cookies pourrait (devrait ?) alors à mon sens être remise en question.

Et comme une mise en situation vaut mille mots, je vous invite à consulter cette vidéo (en anglais) de Léonie Watson intitulée « Screen readers and cookie consents » qui démontre la difficulté de consulter les bandeaux de cookies en utilisant un lecteur d’écran.

J’ai fait le choix lors de la rédaction de cet article de ne pas réaliser un benchmark des plateformes de gestion des consentements pour les cookies (désolée !). Pourquoi ? Parce qu’il y en a pléthore, que celles-ci évoluent régulièrement, que cela dépend du paramétrage et de la personnalisation, etc. J’ai donc décidé de mettre en avant le raisonnement et d’inviter à adopter le réflexe d’associer l’analyse accessibilité dans la conformité RGPD des services numériques plutôt que de prôner une solution.

(Ceci étant dit, je tiens tout de même à souligner un travail réalisé par Empreinte Digitale dans la création de leur outil de gestion de cookies Orejime, qui prend en compte l’accessibilité.)

Et si vous faites une indigestion de cookies, un mot rapide sur les formulaires. Prenons un formulaire de contact, avec des mentions d’informations complètes mais situées sous le bouton « Envoyer » et hors de la balise <form>. Lorsque l’on visualise l’écran et les informations de la page, on fait naturellement le lien entre les deux. Pas de soucis. Mais lorsque l’on navigue avec un lecteur d’écran, on atteint le bouton « Envoyer » et la fin du formulaire sans même avoir eu le moindre indice que des informations complémentaires étaient disponibles.

Une conclusion, qui n’en est pas vraiment une

En conclusion, pour obtenir un bon cookie, il faut y intégrer de multiples pépites. Ici nous avons vu l’exemple de l’alliance des saveurs Privacy et Accessibilité.

Mais il est important de ne pas s’arrêter là. On peut penser par exemple à l’écoconception et à la sécurité. Vous voyez où je veux en venir ? Le Numérique Responsable, bien sûr.

Différents thèmes, constituant chacun des chantiers à part entière, qui se complètent et ne sont pas forcément entièrement indépendants les uns des autres. Le tout pour nous mener vers des services numériques plus responsables, dans tous les sens du terme.

Et tout cela me fait penser au proverbe africain :

Il faut tout un village pour élever un enfant.

Finalement c’est un peu pareil pour mettre au monde un service numérique responsable.

PS : J’allais oublier la cerise sur le cookie

Quand vous avez lu Cookies, vous vous êtes très probablement posé la question « Mais du coup, ces bannières qui me demandent d’accepter de donner mes données ou de payer qui pullulent depuis quelques mois, c’est vraiment légal ?! ».

Et comme vous avez lu l’article jusqu’ici (et que je suis une DPO sympa), voici la réponse : oui mais…

J’imagine que cela ne vous suffit pas comme réponse ? Je vais donc développer un peu.

Ce n’est effectivement pas vraiment l’esprit du RGPD. Mais pour l’instant, cette pratique n’est pas contraire à la loi. Ces bannières qui bloquent l’accès aux sites sont appelées « cookie walls ». C’est la version ultimatum du cookies : dis-moi oui ou pars/paie.

Dans un premier temps, en se basant sur les analyses du Comité Européen de la Protection des Données (CEPD), la CNIL avait défini qu’un tel consentement ne pouvait être considéré comme valide puisque non libre.

Cependant, le Conseil d’État a jugé le 19 juin 2020 que la CNIL ne pouvait interdire par défaut tous les cookie walls en considérant que l’impossibilité d’accéder à un site Internet, en cas d’absence ou de retrait du consentement, constituait un inconvénient majeur.

La CNIL doit alors se prononcer au cas par cas sur la validité de chaque cookie wall. La question est donc bien plus complexe qu’il n’y paraît.

Un futur règlement européen nommé ePrivacy est actuellement en cours d’élaboration et devrait permettre d’affiner les règles en la matière.

Cette problématique met également en lumière les questions éthiques liées à la monétisation des données. Mais c’est une toute autre histoire…

Pour en savoir plus, découvrez l’article dédié aux cookie walls et à la monétisation des données de la CNIL.

2 commentaires sur cet article

  1. Nicolas Lœuillet, le jeudi 2 décembre 2021 à 14:47

    Merci Harmonie pour cet article très instructif.

  2. Ségo, le jeudi 2 décembre 2021 à 19:46

    Merci Harmonie, article très intéressant et enrichissant !