Cookies : la CNIL se prononce !

La Commission Nationale de l’Informatique et des Libertés (CNIL) a publié hier son Projet de Recommandation[1] sur les modalités pratiques d’utilisation des cookies, qui doit servir à éclairer les entreprises concernant l’information et le recueil du consentement des utilisateur, notamment pour le traçage en ligne à des fins publicitaires.

Ce Projet de Recommandation était attendu par les acteurs du secteur et fait l’objet d’une consultation publique jusqu’au 25 février 2020.

Contexte : la CNIL a décidé d’adapter les règles applicables en matière de cookies et autres traceurs aux dispositions du RGPD (Règlement Général sur la Protection des Données), entré en vigueur il y a plus d’un an et demi. Dans ce cadre la CNIL avait publié des Lignes directrices[2] et annoncé la publication future d’une Recommandation sur le sujet.

Ce Projet, dans l’attente d’une publication définitive de la Recommandation, dévoile les nouvelles attentes de la CNIL, en 73 points, auxquelles les éditeurs de site et les acteurs de la publicité en ligne, notamment, vont devoir se conformer. 

 

La CNIL peut-elle sanctionner sur le fondement de ces règles ?

En pratique, la CNIL pourra sanctionner sur le fondement des Lignes directrices et de la Recommandation à partir de septembre 2020 (soit 6 mois après la date prévue de publication définitive de la Recommandation), ce qui laisse un délai aux entreprises pour se mettre en conformité.

 

Quelles sont les nouveautés ?

 

La liste des cookies exemptés de recueil du consentement évolue

Le recueil du consentement n’est pas exigé pour les « opérations qui ont pour finalité exclusive de permettre ou faciliter l’usage d’un service en ligne » ou qui sont « strictement nécessaires à la fourniture d’un service en ligne à la demande expresse de l’utilisateur ».

La CNIL a mis à jour la liste des cookies « techniques » dont l’utilisation ne nécessite pas le recueil du consentement de l’utilisateur. Ainsi, les cookies conservant la trace du consentement de l’utilisateur, les cookies permettant de limiter l’accès gratuit à des sites payants ou encore les cookies permettant l'équilibrage de la charge des équipements concourant à un service de communication, font désormais partie des cookies exemptés de recueil du consentement.

 

Responsabilité : l’éditeur a une responsabilité pour les cookies tiers

La personne qui décide du dépôt d’un cookie et de ses finalités sur le terminal d’un utilisateur est, par principe, responsable de cette opération.

Toutefois, la CNIL considère que l’éditeur du site ou de l’application mobile qui autorise le dépôt de traceurs par des tiers doit s’assurer de la présence d’un mécanisme de consentement valide des utilisateurs.

 

Information des utilisateurs : maintien d’une information à deux niveaux 

La CNIL conserve le principe d’information « à deux niveaux » sur la forme, toutefois l’obligation d’information sur le fond est significativement renforcée.

Pour le premier niveau (fenêtre pop-up par exemple), la CNIL donne des exemples d’information à fournir en fonction du type de cookies. L’utilisateur doit être informé de la finalité du cookie, des cookies tiers, et des moyens de retirer son consentement.

Ensuite, l’information de second niveau doit être accessible depuis l’interface de recueil du consentement (ex : lien hypertexte ou texte déroulant) ET accessible facilement depuis le site (ex : icone statique ou lien en bas de page du site). L’utilisateur doit alors être informé de manière détaillée sur les finalités de cookies, et avoir accès à la liste des sociétés utilisant des traceurs sur le site (regroupés par catégorie et régulièrement mise à jour) et à la liste des sites web sur lesquels le consentement recueilli sera également valide (ex : dans le cadre d’un éditeur qui édite plusieurs sites).

La CNIL recommande également d’informer l’utilisateur sur les catégories de données collectées pour chaque finalité.

 

Evolution des pratiques de recueil du consentement

Avec la publication des Lignes directrices, la CNIL a définitivement enterré la poursuite de la navigation comme moyen de recueil du consentement.

Elle apporte des éclairages sur les nouvelles mesures de recueil du consentement. Nous pouvons retenir les éléments suivants :

  • Le refus doit être aussi visible que l’acceptation pour l’utilisateur et l’utilisateur ne doit subir aucun préjudice en cas de refus. Le refus doit notamment être pris en compte dans la durée au même titre que l’acceptation.
  • L’utilisateur doit pouvoir donner son consentement par finalité (publicité ciblée, affichage publicitaire, mesure d’audience, réseaux sociaux…) et, si possible, par responsable de traitement, de manière univoque : cases à cocher, grammaire et design simple.
  • Il est possible de proposer à l’utilisateur d’accepter ou de refuser le dépôt de cookies de manière « globale », par exemple en proposant des boutons « Accepter » et « Refuser » ;
  • La CNIL considère également que l’utilisateur peut ne pas faire de choix, l’outil de gestion des cookies doit donc pouvoir se fermer. Dans ce cas aucun cookie ne peut être déposé mais le consentement pourra être redemandé à la prochaine visite.

 

Retrait du consentement :

La CNIL ne s’était jamais expressément prononcée sur les modalités de retrait du consentement. C’est chose faite !

Le consentement n’est valide que si un mécanisme simple et facilement accessible du retrait du consentement est mis à disposition de l’utilisateur. A ce sujet, le paramétrage du navigateur ne suffit plus et il faudra donc prévoir un moyen ergonomique (par exemple, à l’aide d’un lien ou d’une icône renvoyant vers un module de paramétrage).

De plus, pour la CNIL et de manière générale, le consentement de l’utilisateur a une durée de 6 mois. Il sera possible de choisir une autre durée à condition de la justifier.

 

Preuve du consentement :

A des fins d’accountability, la personne responsable du dépôt de cookies devra pouvoir prouver de manière individuelle le consentement de l’utilisateur. Cela suppose l’utilisation d’un traceur de consentement ou d’un mécanisme de recueil du consentement (horodatage du consentement par finalités, contexte et mécanisme utilisé).

Le responsable doit aussi pouvoir prouver que le mécanisme utilisé permet un consentement conforme. A cette fin la CNIL propose, à titre d’exemple, la mise sous séquestre du code informatique utilisé par l’organisme qui recueil le consentement, la capture d’écran ou encore l’audit régulier des sites.

 

Evolution des pratiques

Pour finir, la CNIL invite les acteurs du secteur et les éditeurs de navigateur web à mettre en place des bonnes pratiques en matière d’utilisation des cookies et de recueil du consentement à partir du navigateur. L’objectif étant de maximiser la transparence vis-à-vis des utilisateurs.

 

Tous les éditeurs de site internet sont concernés par ces nouvelles règles et doivent, dès à présent, préparer un plan d’action pour être en conformité au plus tard en septembre 2020. 


Quoi

IT | IP | Data
• CNIL et Data Management



A propos de l'auteur