Cookies et autres traceurs: la CNIL publie de nouvelles lignes directrices
Publié le 19th Jul 2019
Le 4 juillet 2019 la CNIL a adopté des lignes directrices sur les cookies et autres traceurs similaires (exemple, les « local shared objects », systèmes de « fingerprinting », « local storage » mis en œuvre au sein du HTML 5 » etc.), renforçant les modalités d’obtention du consentement. Ces lignes directrices seront complétées, début 2020, par une recommandation afin d’éclairer les opérateurs sur les modalités pratiques de recueil du consentement de l’internaute.
Quel est le contexte actuel?
L’article 82 de la loi « Informatique et Libertés » transpose en droit français la directive 2002/58/CE « vie privée et communications électroniques » (ou « ePrivacy »). Cet article prévoit notamment l’obligation, sauf exception, de recueillir le consentement des utilisateurs avant toute opération d’écriture ou de lecture de cookies et autres traceurs. La CNIL avait adopté, en 2013, une recommandation pour guider les opérateurs dans l’application de cet article. Selon cette recommandation, le consentement pouvait être valablement recueilli en mettant en place un bandeau lors de la première navigation sur le site informant les utilisateurs qu’en poursuivant leur navigation, ils consentaient à l’utilisation de cookies. Ce bandeau devait renvoyer à une page permettant aux utilisateurs d’en savoir plus et de paramétrer leurs cookies.
L’entrée en application du Règlement Général sur la Protection des Données (RGPD), le 25 mai 2018, est cependant venue renforcer les exigences en matière de validité du consentement.
Aussi, à l’instar de l’ICO (l’autorité de protection des données anglaise), sans attendre le futur règlement « vie privée et communications électroniques », actuellement en discussion au niveau européen et dont l’adoption a été repoussée, la CNIL a décidé d’abroger sa précédente recommandations de 2013 afin d’établir de nouvelles règles compatibles avec les nouvelles dispositions du RGPD.
Qu’est ce qui change principalement?
Deux nouveautés:
- la poursuite de la navigation n’est plus considérée comme une expression valide du consentement au dépôt de cookies. Les utilisateurs doivent manifester leur volonté de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair (e.g. une case à cocher, un bouton à activer, etc.).
- les opérateurs qui exploitent des traceurs doivent prouver qu’ils ont bien recueilli le consentement.
Le fait que les informations (stockées et/ou consultées) soient ou non des données à caractère personnel au sens du RGPD n'est pas une condition préalable à l'application de ces lignes directrices.
Quel est l’impact pratique?
Les sites internet vont devoir modifier leurs systèmes de recueil du consentement, à savoir « la bannière cookies » afin de permettre aux utilisateurs d’accepter préalablement l’utilisation des cookies, en fonction de leurs finalités. La « politique cookie » de ces sites devra également être enrichie pour y inclure à minima:
- l'identité du ou des responsables de traitement;
- la finalité des opérations de lecture ou écriture des données; et
- l'existence du droit de retirer son consentement.
Dans sa recommandation, la CNIL précise notamment qu’une liste exhaustive et régulièrement mise à jour des entités ayant recours à des traceurs doit être affichée à l'utilisateur directement lors du recueil de son consentement.
Quel calendrier de mise en œuvre?
Les lignes directrices adoptées le 4 juillet seront suivies d’une nouvelle recommandation de la CNIL qui précisera les modalités pratiques de recueil du consentement. Le projet de recommandation sera élaboré à l’issue d’une concertation avec les professionnels, qui se déroulera d’ici la fin de l’année. Il fera ensuite l’objet d’une consultation publique. La recommandation définitive sera publiée au premier trimestre 2020.
Les entreprises disposent donc d’encore environ un an pour se mettre en conformité, la CNIL a de nouveau affirmé sur son site qu’une période d’adaptation, s’achevant six mois après la publication de la future recommandation, sera laissée aux acteurs afin de leur donner le temps d’intégrer les nouvelles règles.
Le paramétrage des navigateurs peut-il suffire à recueillir valablement le consentement?
Non, les lignes directrices du 4 juillet indiquent clairement que ces paramétrages du navigateur ne peuvent, en l'état de la technique, permettre à l'utilisateur d'exprimer la manifestation d'un consentement valide.
Existe-t-il toujours des exceptions au recueil du consentement?
Oui, les exceptions classiques sont toujours d’actualité concernant les cookies suivants:
- ceux ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique; et
- ceux strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur;
Les internautes devront être préalablement informés de leur existence et de leur finalité en intégrant, par exemple, une mention dans la politique de confidentialité ou la politique « cookies ».
Enfin, les cookies de mesure d’audience peuvent dans ces certains cas être exemptés, à condition de remplir des conditions strictes (pas de recoupement avec d’autres traitements, production de statistiques anonymes, durée de vie limitée etc.).