IT and data

Cookies et autres traceurs : la CNIL publie de nouvelles recommandations et ouvre une consultation publique

Publié le 28th Jan 2020

RMT_business_woman

Le 4 juillet 2019, la CNIL (Commission Nationale de l’Informatique et des Libertés) adoptait de nouvelles lignes directrices sur les cookies et autres traceurs. Toujours dans le cadre de son plan d’action sur le ciblage publicitaire, et comme annoncé dans son communiqué du 28 juin 2019, la CNIL a conduit pendant l’automne 2019 une consultation publique afin d’élaborer ce projet de recommandations offrant des modalités opérationnelles et des exemples pratiques de recueil du consentement pour le dépôt de cookies.

Pourquoi un projet de recommandation en plus de lignes directrices ?

Ce projet de recommandation a vocation à être un outil pratique pour tous les acteurs du secteur public comme privé du ciblage publicitaire. Ce projet vise à accompagner ces acteurs en illustrant les recommandations d’exemples concrets afin de leur faciliter ce travail de mise en conformité avec la réglementation en vigueur, à savoir en France l'article 82 de la loi dite « loi Informatique et libertés » (loi n° 78-17 du 6 janvier 1978 modifiée), qui transpose en droit français l'article 5(3) de l'actuelle directive ePrivacy (dir. 2002/58/CE, 12 juill. 2002) et qui impose, sauf exceptions, de recueillir le consentement des utilisateurs avant toute opération d'écriture ou de lecture de cookies ou autres traceurs (cookies HHTP, les cookies Flash, le local storage, les identifiants matériels, etc.).

Bref rappel sur les nouvelles règles applicables aux cookies issues des lignes directrices de juillet 2019 :

En juillet 2019, les lignes directrices de la CNIL apportaient deux changements majeurs au cadre juridique applicable :

  • la poursuite de la navigation n’est plus considérée comme une expression valide du consentement au dépôt de cookies. Les utilisateurs doivent manifester leur volonté de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair (e.g. une case à cocher, un bouton à activer, etc.).
  • les opérateurs qui exploitent des traceurs doivent prouver qu’ils ont bien recueilli le consentement.

Le fait que les informations (stockées et/ou consultées) soient ou non des données à caractère personnel au sens du RGPD n’est pas une condition préalable à l’application de ces lignes directrices.

En pratique, cela suppose pour les sites internet de modifier leurs systèmes de recueil du consentement, à savoir « la bannière cookies » afin de permettre aux utilisateurs d’accepter préalablement l’utilisation des cookies, en fonction de leurs finalités et de modifier la « politique cookie » de ces sites pour y inclure de nouvelles informations (identité du ou des responsables de traitement, la finalité des cookies etc.)

Quelles sont les principaux apports de ce projet de recommandation ?

1. des précisions sur les cookies nécessitant un consentement préalable et ceux exemptés.

Tous les cookies ne nécessitent pas de recueillir le consentement préalable de l’internaute. Ainsi, le consentement n’est pas exigé pour les opérations qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique, ou sont strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur. La CNIL précise que les traceurs suivants peuvent ainsi être exemptés (à condition qu’ils ne soient pas utilisés pour d’autres finalités) :

  • les traceurs conservant le choix exprimé par l’utilisateur sur le dépôt de traceurs ou la
    volonté de celui-ci de ne pas exprimer un choix ;
  • les traceurs destinés à l’authentification auprès d’un service ;
  • les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site
    marchand ;
  • les traceurs de personnalisation de l'interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu par l’utilisateur du service ;
  • les traceurs permettant l'équilibrage de la charge des équipements concourant à un service de communication ;
  • les traceurs permettant aux sites payants de limiter l’accès gratuit à leur contenu à une quantité prédéfinie et/ou sur une période limitée ;
  • les traceurs permettant la mesure d’audience, dans le cadre spécifié par l’article 5 des lignes directrices relatives aux cookies et autres traceurs.

2. Des exemples et méthodes concrètes de recueil du consentement et d’affichage de l’information

Afin d’aider les acteurs dans leur mise en conformité avec l’exigence de consentement éclairé de l’article 82 de la loi « Informatique et Libertés », la recommandation donne plusieurs exemples du langage qui pourrait être utilisé sur les sites pour recueillir le consentement, en fonction de plusieurs finalités possibles. Ces exemples montrent une volonté de simplification de lecture pour l’internaute avec :

  • Des finalités détaillées dès le premier niveau de lecture. Un exemple :
    « Publicité personnalisée : [nom du site / de l’application] [et des sociétés tierces / nos partenaires] utilise / utilisent des traceurs afin d’afficher de la publicité personnalisée en fonction de votre navigation et de votre profil »
  • Des responsables de traitement regroupés par catégorie.

La CNIL recommande de livrer les informations par strates : en complément de la liste des finalités présentées sur un premier écran, les sites devraient par exemple donner facilement accès (menu déroulant, lien hypertexte…) vers une description plus détaillée de ces finalités de manière aisément accessible depuis l’interface de recueil du consentement.

Ce consentement doit être « libre ». La CNIL propose ainsi par exemple d’utiliser des boutons « accepter / refuser » ou des « sliders » à actionner. L’internaute doit pouvoir être libre de ne pas choisir, c’est-à-dire de fermer l’interface de demande de consentement (ce qui vaudra absence de consentement). Les « cookie walls » bloquant l’accès au site en l’absence de choix de l’utilisateur sont donc à proscrire.

3. Quelques exemples de bonnes pratiques et autres recommandations

  • L’utilisateur doit pouvoir prendre connaissance de l’ensemble des responsables de traitement et de l’étendue du suivi de la navigation. Si la liste des responsables de traitement devait évoluer substantiellement, il faudrait redemander le consentement de l’internaute.
  • Il est possible de mettre en place des modules permettant le refus ou l’acceptation de manière globale sans nuire au caractère spécifique du consentement tant que la possibilité de détail par finalité est maintenue.
  • Le consentement doit être renouvelé périodiquement et la CNIL recommande d’abaisser à six mois cette durée de validité du consentement.
  • Les responsables du ou des traitements doivent être en mesure de démontrer que (i) l’utilisateur a donné son consentement et (ii) qu’ils ont valablement recueilli le consentement des utilisateurs concernés. Il conviendra d’être attentif sur le choix de son prestataire de solution de gestion de consentement (CMP – Consent Management Platform) afin que celui-ci offre toutes les garanties attendues (horodatage, etc.).

Quelles sanctions et quel calendrier ?

La CNIL précise sur son site que cette recommandation n’a pas valeur obligatoire, elle n’est pas contraignante, mais vise simplement à apporter de la sécurité juridique aux responsables de traitement en leur indiquant quelles sont les pratiques respectueuses de la réglementation. Les acteurs peuvent mettre en place d’autres bonnes pratiques tant qu’elles respectent la règlementation.

La consultation publique ouverte le 14 janvier 2020 sera close le 25 février 2020. Les membres de la CNIL se réuniront alors afin d’adopter la version définitive du projet de recommandation.

Cette version définitive devrait voir le jour dans le courant du premier trimestre 2020.

Comme annoncé en juillet 2019, le plan d’action répressif de la CNIL comportera deux phases :

  • à partir de début 2020, les actions (et potentielles sanctions) de la CNIL seront limitées au respect des principes précédemment exposés dans la recommandation de 2013 (et qui perdurent dans la nouvelle recommandation).
  • 6 mois après la publication définitive de la recommandation, des nouveaux contrôles seront réalisés et ils porteront notamment sur les acteurs ayant un impact particulièrement important sur le quotidien des citoyens et dont les pratiques posent de sérieuses questions de conformité.
Partager

* This article is current as of the date of its publication and does not necessarily reflect the present state of the law or relevant regulation.

Interested in hearing more from Osborne Clarke?