Le dépôt de cookies ou autres traceurs sur le terminal d’un utilisateur est soumis à une réglementation stricte.

Pour rappel, la CNIL a publié des Lignes directrices en matière de cookies et a annoncé la publication prochaine d’une Recommandation afin d’accompagner les entreprises sur les modalités pratiques d’application de ces Lignes directrices, notamment en matière de recueil du consentement. Un projet de Recommandation a été publié le 14 janvier 2020, dans le cadre d’une consultation publique ouverte jusqu’au 25 février 2020. Le cabinet participe à cette consultation. Si vous souhaitez faire remonter des éléments, n’hésitez pas à nous les faire parvenir (contact.ntic@marvellavocats.com).

L’utilisation de cookies est soumise à la règlementation spécifique aux communications électroniques mais aussi, lorsque cette utilisation constitue un traitement de données, à la Règlementation applicable en la matière : notamment le Règlement Général sur la Protection des Données n°2016-679 du 27 avril 2016 (RGPD) et la Loi « Informatique et Libertés » n°78-17 du 6 janvier 1978 modifiée (Loi Informatique et Libertés).

Les éditeurs de site internet - considérés comme responsable de traitement au sens du RGPD - sont donc soumis à des obligations lorsqu’ils déposent, eux même ou en faisant appel à un sous-traitant, des cookies sur le terminal des utilisateurs qui naviguent sur le site internet dont ils ont la responsabilité.

Quelles sont mes obligations en fonction du type de cookies utilisé sur mon site internet ?

L’article 82 de la loi du 6 janvier 1978 institue :

• Une obligation d’information claire et complète des utilisateurs sur les témoins de connexion (cookies et autres traceurs) qui sont susceptibles d’être déposés, notamment sous la forme de fichiers, sur leurs appareils de navigation lorsqu’ils visitent un site.
• Les utilisateurs doivent être ainsi informés de l’identité du ou des responsables de traitement, de la finalité de ces cookies et de l’existence du droit de retirer leur consentement et les moyens dont ils disposent pour se faire.
• Une obligation de recueillir le consentement de l’utilisateur avant tout dépôt de cookies sur le terminal grâce auquel ils accèdent à ces services.

 

Toutefois, ces obligations d’information et de consentement au dépôt de cookies ne sont pas applicables lorsque les cookies déposés sont des cookies « techniques » :

- Soit ont pour finalité exclusive de permettre ou de faciliter la communication par voie électronique ;

- Soit sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

A ce sujet, le Conseil d’Etat a eu l’occasion de rappeler, que « ne sont pas concernés par ces obligations les « cookies » qui sont essentiels au fonctionnement technique du site ni ceux qui correspondent à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. »[1].

 

Exemple : dans l’affaire du site Challenges.fr, l’information fournie ne permettaient pas aux utilisateurs ni de différencier clairement les catégories de cookies susceptibles d’être déposés sur leur terminal, ni de s’opposer seulement à ceux dont le dépôt est soumis à leur consentement préalable, ni de connaître les conséquences, en termes de navigation sur le site, attachées à leur éventuelle opposition. La CNIL a donc sanctionné l’éditeur du site au paiement d’une amende de 25 000 €. En pratique : Le paramétrage du navigateur proposé aux utilisateurs n’est pas considéré comme un mode valable d’opposition au dépôt de cookies.

 

Exemple de cookies techniques : La CNIL considère[2] que sont des cookies « techniques », ne nécessitant pas de consentement préalable de l’abonné.

• les cookies « identifiants de session », pour la durée d'une session ;
• les cookies d'authentification ;
• les cookies de session créés par un lecteur multimédia ;
• les cookies de « panier d'achat » pour un site marchand ;
• les cookies persistants de personnalisation de l'interface utilisateur (choix de langue ou de présentation).

 

En revanche, tous les autres cookies, notamment ceux ayant une finalité publicitaire, certains cookies de mesure d’audience et les cookies de réseaux sociaux, sont soumis aux obligations d’information et de recueil du consentement de l’utilisateur.

Par exemple : le Conseil d’Etat a rejeté l’argument selon lequel certains cookies ayant une finalité publicitaire seraient nécessaires à la viabilité économique d’un site et donc « strictement nécessaires à la fourniture » du service en ligne.

De plus, lorsqu’un traitement de données à caractère personnel suit l’opération de lecture ou d’écriture, l’information doit être conforme à l’information prévue par les articles 12 à 14 du RGPD.

Pour ces cookies non techniques, une information complète est donc requise et passe par une Politique cookies et des bandeaux cookies.

Qu’est-ce qu’un bandeau cookies ?

Le bandeau cookies est l’encart qui apparaît lors de la première connexion à un site internet. Cet encart a pour objet d’informer l’internaute sur l’existence de cookies, leur utilité et les moyens possibles pour les accepter, refuser, paramétrer.

Ce bandeau devrait apparaître tous les 13 mois, qui correspond à la durée de conservation des cookies fixée par la CNIL dans ses Lignes directrices publiées le 19 juillet 2019 (article 5). Toutefois cette durée pourrait être ramenée à 6 mois selon la récente Recommandation de la CNIL, 6 mois après le premier dépôt sur le terminal de l’utilisateur faisant suite au paramétrage des cookies par l’internaute.

 

Qu’est-ce qu’une Politique « cookies » ?

La CNIL a rappelé, dans ses Lignes directrices, que tout traitement de données mis en œuvre à partir des données collectées via le dépôt de cookies ou autres traceurs, particulièrement dans le cas de services de régie publicitaire, réseaux sociaux ou des éditeurs de solutions de mesure d’audience, doit respecter la Réglementation en matière de protection des données à caractère personnel.

La Politique « cookies » a donc vocation à informer l’utilisateur sur le terminal duquel vont être déposés les cookies ou autres traceurs des modalités de dépôt de ces cookies ainsi que des modalités de traitement des données à caractère personnel à partir des informations collectées grâce aux cookies.

Un éditeur de site a donc l’obligation de prévoir une telle Politique « cookies », qui doit être accessible, formulée en des termes clairs et compréhensible par tous. A ce sujet, la Politique cookies :

• doit contenir toutes les informations requises au titre du RGPD (article 13 et 14) ;
• doit contenir la liste exhaustive des entités ayant recours à des traceurs (cookies « tiers ») ;
• doit être complète, visible, et mise en évidence au moment du recueil du consentement. Par exemple : un simple renvoi vers des conditions générales d’utilisation ne suffit pas ;
• ne doit pas être formulée en des termes juridiques ou techniques trop complexe.

 

La Politique « cookies », en tant qu’élément essentiel de la conformité d’un site internet ne doit donc pas être négligée par les éditeurs de site internet. Un professionnel du droit peut vous accompagner pour l’élaborer.

 

Attention des mises à jour sont à prévoir très prochainement depuis les Recommandations de la CNIL en matière de cookies.

Pour toute question, vous pouvez nous contacter à contact.ntic@marvellavocats.com. Vous pouvez également suivre nos formations dédiées : https://marvellavocats.com/fr/formation

Et surtout, n’oubliez pas de surveiller notre page LinkedIn car un prochain livre blanc y sera bientôt publié !