.svg)
Qu’on se le dise une bonne fois pour toutes, sans faire trop de détours, l’été est une invention malveillante. Et les vacances qui vont avec, de juillet à août, ne sont qu’un des pires moments à passer au cours d’une existence, un parmi tant d'autres. Toutes les vacances en vrac, toutes prises en général ou en particulier, du bassin d’Arcachon aux plages du Lavandou, de l’île de Ré aux Pouilles, tout projet récréatif estival mérite d’être abominé allègrement, sans retenue. À la grande rigueur, peut-être qu’un séjour en Bretagne, dans le Finistère, pourra nous faire éviter le pire, et encore à condition qu’il soit bref et que la température n’y dépasse pas les 20 degrés, qu’un Kway soit a minima requis. Car l’été est ce moment hostile de l’année où l’on fait semblant d’être en pause, semblant d’aimer le rosé piscine, ou pire encore le “vin orange”, en tout cas où l’on fait suffisamment semblant de quelque chose pour douter tout à fait d’un truc aussi impensable que le concept de civilisation.
Par chance, cette année, la CNIL, autorité compétente, a eu la bonne idée de sortir un nouveau projet de recommandation, cette fois-ci sur les pixels dans les emails. Pas de vacances en 2025, donc, pour les professionnels de la protection des données personnelles, pas de paquet d’olives dénoyautées, pas de chorizo criollo à la parrilla sans une arrière-pensée tendant vers cet objet administratif neuf qui entend se faire une place parmi nos congés. Même la pétanque, cette saison, se joue sous le regard de l’autorité compétente, laquelle nous souffle, dans le recoin du cou, alors qu’un cochonnet roule sur la terre battue, le murmure de l’article 6.1.f du RGPD.
La CNIL a tué l’été 2025. Si j’avais son 06, je lui paierais mon merci.
Consultation sur coin de barbeuc
Commentons la forme d’abord, la forme de cette consultation, j’entends. Car c’est toujours par la forme qu’on apprend de quoi sera fait le fond, au moins depuis 2011, au moins depuis l’invention d’Instagram.
Là, il faut citer Goethe, ne serait-ce que parce que ça fait toujours sérieux de mentionner un auteur allemand du 19e siècle, toujours. À un jeune poète absolutiste qui lui disait : « Je ne veux rien savoir de ce qu’on a dit avant moi ! », Goethe répondit : « Si je comprends bien, vous vous suffisez à vous-même pour être un complet imbécile ». Il était marrant, quand même, le vieux Goethe.
Quoi qu’il en soit, avec sa consultation, laquelle on n’en doute pas suscitera des contributions multiples, la CNIL semble se refuser à toute association avec un quelconque jeune poète, fut-il d’origine allemande. Contrairement à lui, elle veut tout savoir de ce qu’on a dit avant elle, tout savoir de ça. Qu’on ne se méprenne pas sur ses intentions, elle sera à l’écoute des professionnels et des amateurs de la protection des données personnelles, elle ne fera pas les choses comme elle l’entend, à la place elle tiendra compte de tous les retours qui lui seront faits, tous sans exception. Je consulte, tu consultes, nous consultons.
Néanmoins, on ne saurait trop conseiller aux professionnels de la privacy, aux privacy pros comme on les appelle, de se préparer à ce que le texte définitif de la CNIL (qu’on imagine publié entre novembre et décembre 2025) ressemble comme deux gouttes d’eau au projet qui a été proposé en consultation en juin. Pourquoi, se demandera le lecteur attentif ? Eh bien pour la raison que la CNIL, comme elle l’indique dans son communiqué de presse du 12 juin dernier, a élaboré ce projet de recommandation “après des échanges avec des professionnels et des associations de la société civile”. Les discussions avaient notamment pour objectif de mieux comprendre les usages et d’appréhender les enjeux juridiques, techniques et sociétaux.”
Ni nourrisson du lycée Lakanal, pas même pousse précoce de l’école républicaine, je sais pourtant, à l’occasion, lire entre les lignes. Et là, c'est plié. Les discussions ont déjà eu lieu, au moins depuis cinq ans. La consultation de la CNIL n’en est pas une véritable.
Pour vous faire une idée de l’impasse, imaginez-vous un mariage auquel vous êtes convié depuis des mois, quand ce n’est pas des années. Les invitations ont été envoyées, les menus imprimés, les assiettes posées. Les demoiselles d’honneur sont toutes alignées dans la même nuance de rose poudré, les témoins du marié ont quant à eux assorti leurs nœuds papillons, achetés dans la même boutique du troisième arrondissement (Le Colonel), quelle bande de blaireaux. Bref, tout est prêt au moment où le prêtre se penche vers l’assemblée, mine saoulée de celui qui n’attend plus rien des êtres humains, pour demander si quelqu’un quelque part s’oppose à cette union. On connaît la chanson, il ne s’agit pas d’une vraie question, c’est un rite, un passage obligé, une manière polie de rappeler qu’il est bien sûr trop tard, même pour l’amoureux éconduit qui trépigne au bout de l’Église. Personne ne se lève jamais, sauf dans les films américains, et encore, pas les bons. Eh bien, cette consultation de la CNIL, c’est exactement ça : une question fermée qui n’accepte pas la forme négative, une lucarne ouverte sur une façade murée.
On pourra à la grande rigueur y faire bouger une virgule, on n’en fera cependant pas mordre la poussière à la doctrine sous-jacente. Le consentement sera requis pour les pixels contenus dans les emails, et la preuve du consentement devra être rapportée au coup par coup. Alors certes c’est l’été et il y a un peu d’ambiance, on joue à la pétanque d’accord, c’est dans l’esprit, certes c’est “sympatoche”. En revanche, c’est la CNIL qui lance toutes les boules, Capito bene, tutti quanti? (comme ils disent dans les Pouilles où c’est invivable l’été, sauf à Lecce qui est la plus belle ville d’Italie, car bien que ce ne soit pas le sujet, puisque le sujet c’est le simulacre estival de consultation de la CNIL, c’est quand même autre chose que Florence, Venise ou Rome – Lecce je veux dire – on y retrouve pas l’ennui et le vernis touristique des autres villes italiennes, ces mondaines easyjet).
Un bon ennemi est un ennemi nommé : le pixel voleur d’âme
La morale est un machin compliqué et bringuebalant qu’on n’a pas réussi à aligner correctement depuis au moins Socrate, ce qui commence à faire un bail tout de même. Pour ma part, je n’utilise aucune tech mal configurée, fût-elle conçue pour distinguer le bien du mal. Alors si vous vous attendez à lire ici des considérations sophistiquées sur les vertus ou les vices du projet de la CNIL, autant vous prévenir que vous êtes sur la voie d’un léger malaise, du genre qui s’installe sur une terrasse en bois du Cap Ferret lorsqu’un invité, oubliant où il est, commence à disserter sur la situation du budget de la France devant des gens qui veulent seulement lire du Françoise Sagan pénard entre deux virées à bicyclette. Non, l’idée ici est beaucoup plus modeste, ce projet de recommandation, qu’il soit justifié ou non moralement, ne sera pas étudié à la loupe de ses bienfaits ou de ses méfaits, il sera analysé simplement pour constater que ce document administratif existe, qu’il a été mis au monde, et qu’il produira bientôt des effets très concrets.
Contrairement à moi, en revanche, on devine chez les agents de la CNIL une tendresse persistante pour la morale, cet outil à géométrie variable qui fait du mauvais droit. Dès les premières lignes du texte, dans la section Périmètre (partie 2, page 3), elle glisse, mine de rien, que « dans le contexte des courriels, les pixels de suivi » sont « parfois appelés pixels espions ».
Pixel espion ? Mais qui les appelle comme ça ? À part la CNIL elle-même, qui ? Le pixel, pour 99,99% des gens qui savent que ce mot existe (c’est-à-dire 99,99% de pas grand monde finalement), c’est le truc qui rend un selfie net ou flou, pas tout à fait le portrait robot d’un agent du FSB.
Si j’avais un retour à faire à la CNIL, puisqu’elle nous y invite tous avec cette consultation, je demanderais à ce que ce passage introductif soit révisé. À sa place, je jouerais franchement la carte du tragique, je chargerais à fond, sans retenue, façon JT de TF1 en période de canicule. Pourquoi se contenter de « pixels espions » ? Il faut nommer l’ennemi tant qu’il est là. Ainsi, à la suite de « Dans le contexte des courriels, les pixels de suivi » j’ajouterais entre parenthèses « aussi parfois appelés pixel voleur d’âme, pixel bactérie, tumeur optique miniaturisée, mouchard millimétrique mais totalitaire, stigmates de la société de contrôle, agents dormants du capital ». Ça aurait le mérite de vraiment faire peur, de véritablement nommer l’ennemi. Ça aurait de la gueule dès la phase de cadrage. Et puis ça se lirait bien au bord de la piscine à la place d’un roman de Joël Dickers, ce Jean-Jacques Rousseau de l’abonnement Kindle, cette Lumière du droit à ne pas bronzer totalement idiot.
Concrètement, ça dit quoi ce projet ?
Eh bien, que toute utilisation d’un pixel dans un email devra désormais s’accompagner d’un consentement. Il y a bien sûr des exceptions, comme dans toutes les grandes épopées réglementaires, mais celles-ci sont si discrètes, si symboliques, si effacées, qu’on pourrait les confondre avec des clauses de style. Autrement dit, pour le marketeux moyen, elles n’ont tout simplement aucun intérêt. Partons plutôt du postulat que le consentement est requis à chaque coup, pour n’importe quelle finalité, ce sera plus simple. Ce d’autant que dans la vie, il faut simplifier, parce que sinon on finit par couper les cheveux en quatre, et c’est un coup à se retrouver avec de la charge mentale, et la charge mentale c’est pas bon si j’ai bien tout suivi, ça oblige à faire du yoga et de la méditation pour compenser ; et moi vivant, je ne porterai pas de legging.
La CNIL, également soucieuse de notre santé mentale, précise d’ailleurs qu’il vaut mieux « privilégier un recueil du consentement au moment de la collecte de l’adresse électronique ». En clair, n’allez pas coller ça dans la bannière de consentement aux cookies à l’arrivée sur votre site ou votre application. La CNIL sait que vous êtes des petits malins, elle a tout prévu, et ça ne marchera pas.
Toujours dans l’esprit de nous alléger mentalement, la CNIL nous dit à quoi devra ressembler l’information de l’utilisateur. Elle dit en parlant d’elle à la troisième personne, dans un style qui rappelle feu Alain Delon : « La CNIL recommande que chaque finalité soit mise en avant dans un intitulé court (sic) et mis en évidence, accompagné d’un bref (sic) descriptif. »
Court et bref, ¿Lo entendisteis bien, todos? (comme ils disent à Séville où l’été est une punition constante, car bien que ce ne soit pas le sujet, puisque le sujet c’est la farce protocolaire de la consultation de la CNIL, à Séville il fait trop chaud, toujours). Court et bref, donc.
Là, il faut être honnête, on soupçonne la CNIL de présenter un désordre de type bipolaire. Car au moment où elle insiste sur du bref et du court, elle enchaîne avec un pâté de mentions obligatoires qui foutrait le tourni à n’importe quelle toupie. Le court et le bref, dans l’univers mental de la CNIL, ça fait vingt lignes, minimum. Vingt lignes d’un français qui donne envie, dans un geste de désespoir, de lire un roman de Joël Dickers (en entier) pour se laver les yeux, un peu comme on prendrait du liquide vaisselle pour se laver les cheveux. Un français à bout de souffle donc, qui tente des phrases à coup de « terminal », « fréquence d’envoi », « canaux de communication », « courriels ». Elle fait tellement d’efforts, cette langue française-là, qu’on a l’impression qu’elle va se casser une jambe à chaque virgule, on prend peur pour elle.
En français du 21e siècle, on appelle ça une injonction contradictoire : « Faites du court mais mettez tout ce qu’il faut. Faites du bref, mais n’oubliez rien de l’intégralité du tout. Faîtes tenir l’éternité dans l’éphémère, minuscules vers de terre que vous êtes, humains trop humains » dans le style de Nietzsche. Qu’on ne s’étonne plus que la charge mentale des DPOs dépasse depuis longtemps la tour Eiffel en envergure. Parce que Nietzsche, que la chose soit dite en passant, il s’y connaissait pas mal en matière de burn-out, on pourrait même aller jusqu’à dire qu’il a poussé un peu loin l’exercice.
Enfin ça ressemblera à quelque chose comme ça, quelque chose de léger :
C’est en tout cas ce qu’on se devra de faire pour les nouveaux encartés, les personnes qui s’enregistreront après l’entrée en vigueur des recommandations de la CNIL. Seulement que faire des bases d’emails existantes ? Tous ces emails qui n’ont pas dit oui ou non à leur pixel espion ? Que faire, que faire ?
Patron, j’ai glissé sur du droit souple
Les recommandations de la CNIL entrent dans la catégorie fourre-tout qu’on appelle le droit souple. L’avantage du droit souple, c’est que lorsqu’il dit n’importe quoi, quand il nous envoie l’impraticable en guise de remède, on peut toujours essayer d’être plus créatif que lui s’agissant de se contorsionner. Contrairement au droit dur, le droit souple n’interdit pas, il n’oblige pas. À la place, il précise, il recommande. Alors bien entendu dans « recommande » il y a « commande », ce qui n’encourage pas tellement à explorer les limites infinies du concept de liberté. Seulement, en latin, recommandare signifie « confier avec insistance ». Il y a insistance, certes, à ce qu’on aille se baigner là où la baignade est autorisée, mais il y a aussi un peu de place pour le bain au-delà des bouées. On prend évidemment un petit risque en s’éloignant de la recommandation, un risque comparable à celui de faire du vélo sans casque, d’éternuer ailleurs que dans son coude ou de refuser un vaccin parce qu’on a déjà eu la varicelle à Biarritz en 2013. Tout cela est sans doute très mal, très très mal, sans doute, seulement c’est autorisé. Et dans le cas qui nous occupe, il y a fort à parier que nombre d’entreprises prendront un chemin de traverse et s’éloigneront de la recommandation de la CNIL.
Pourquoi ? Pour la bonne raison que, si elles décidaient de suivre les recommandations de la CNIL, à savoir envoyer un email à un être humain du 21ème siècle pour obtenir son consentement à un pixel nommé “voleur d’âme”, ces société ne recevront rien d’autre que du mépris et de l’indifférence, c’est à dire ce qu’on donne en général quand on n’a plus le temps de rien, entre les cours d’escalade et de poterie, le remplacement du pneu arrière du vélo cargo, la summer party de l’école privée des enfants. On a rarement le temps de dire oui ou non à un pixel qui fait du rififi quand la vie est une grande machinerie administrative qui, pour un non ou pour un oui, nous pousse à jouir du moment présent par le truchement d’extases brèves (messages whatsapp, messages Insta, etc.).
À la place, on pourrait imaginer qu’au lieu d’envoyer un email implorant le consentement à un pixel affublé d’un nom de science-fiction dystopique, on choisisse un autre moment. Un moment qui a du sens, qui s’inscrit un peu plus au moment propice où l’attention de l’utilisateur. Par exemple, au moment du login. L’utilisateur est là, en train de se connecter, conscient, pas en train de surveiller la cuisson de la côte de bœuf ou que sais-je encore. À ce moment-là, on pourrait très bien lui afficher une bannière, une bannière qui s’intègre dans son parcours, dans son user journey comme on dit. Un truc un peu bien foutu. Et on lui dirait : écoutez, on sait déjà que vous êtes partant pour recevoir des emails de notre part, des promos, des actus, des trucs, c’est parfait. Mais est-ce qu’en plus vous seriez également d’accord pour qu’on sache si vous les ouvrez ? Si on peut, grâce à un petit pixel bien élevé, vous proposer des contenus qui collent un peu mieux à ce que vous aimez. Pas de curiosité déplacée, pas de grand méchant code. Juste un peu d’intelligence appliquée avec mesure.
Alors évidemment, le texte précis sera à définir, à ajuster, à valider par quinze personnes. On parle de conformité ici, de compliance, on n’est pas en train de choisir l’endroit où planter son parasol. Mais au moins, avec ça, après ça, on ne sera pas à 1% de taux de réponse, comme le propose la CNIL avec son idée du mail-aveu. Là, on aura du 100%. Oui, 100% de réponse. Peut-être pas 100% de « oui », mais 100% de quelque chose. Et si on le fait proprement, design élégant, moment bien choisi, formulation non culpabilisante, que peut-on espérer ? Entre 50 et 80% de consentement, à peu près ce qui se pratique sur les cookies et traceurs. Ce qui n’est pas rien, ce qui est même très encourageant. Et ce qui, surtout, permet de continuer. Et dans ce monde, c’est déjà beaucoup. Si ça se trouve, sans le savoir, on vient de sauver la peau d’un DPO.
Bon, à part ça, il y a une typo dans le dernier paragraphe de la partie 2, un double espace entre « déclencher » et « par ». Ci-joint ma contribution à la consultation, et je vous fais le pari qu’on ne le trouvera plus dans la version finale du texte, ce double espace. Comme quoi on arrive toujours à faire bouger les lignes. Qui, après cet article, pourra encore se permettre de prétendre qu’il est impossible, même à la marge, de changer le monde ? Qui donc, qui donc ?
