Cookies : Mise en demeure d’une vingtaine d’organismes par la Cnil
Les différentes catégories de cookies
Les cookies, également appelés « traceurs en ligne », sont des fichiers qui sont déposés sur le terminal de l’internaute à l’occasion de la visite d’un site ou de l’installation d’un logiciel. Sur son site internet, la Commission nationale de l’informatique et des libertés (ci-après la « Cnil ») recense les différentes catégories de cookies :
- Les cookies « nécessaires » : Ils ont pour finalité « d’enregistrer des informations entre deux consultations d’un même site web sur un même appareil ». Leur utilisation n’est pas subordonnée au consentement des internautes. Ils servent, par exemple, à enregistrer un panier d’achat ou des identifiants de connexion.
- Les cookies « statistiques » : Ils « permettent de suivre les actions d’un internaute sur un site web ». Le consentement de l’utilisateur n’est pas requis lorsque les statistiques sont anonymes.
- Les cookies « internes » ou « first-party » : Ils sont utilisés par le site web et « peuvent être utilisés pour collecter des données personnelles, suivre le comportement de l’utilisateur et servir à des finalités publicitaires ».
- Les cookies « tiers », « tierce partie » ou « third party » : Ils sont « déposés par (ou pour) un site B (souvent une régie publicitaire) sur un site A : cela permet au site B de voir quelles pages ont été visitées sur le site A par un utilisateur et de collecter des informations sur lui ».
Le cadre juridique
Leur utilisation est régie par l’article 82 de la loi informatique et libertés qui transpose l’article 5(3) de la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (ci-après la « directive Eprivacy ») et dont le respect est assuré par la Cnil.
L’article 82 dispose que :
« Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :
1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
2° Des moyens dont il dispose pour s'y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.
Ces dispositions ne sont pas applicables si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :
1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
2° Soit, est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur. »
Le recueil du consentement de l’utilisateur est ainsi nécessaire pour le dépôt de cookies, sauf si les cookies sont nécessaires à la fourniture du service ou ont pour seule finalité de faciliter la communication par voie électronique.
La recommandation de la Cnil
Une recommandation sur « des modalités pratiques de mise en conformité en cas de recours aux cookies et aux traceurs » a été publiée le 17 septembre 2021 par la Cnil et illustre le cadre légal applicable aux cookies par des exemples pratiques. Sur ce point, vous pouvez consulter l’article sur « Les règles à respecter dans le dépôt et l’utilisation des cookies ».
La Cnil a accordé aux éditeurs de sites et applications un délai raisonnable de mise en conformité dont l’échéance est arrivée le 31 mars 2021. Passé ce délai, la Cnil sanctionne une gestion des cookies contraire à la réglementation (paragraphe 3 du communiqué de la Cnil).
Les organismes mis en demeure
Suite à des vérifications effectuées auprès de plusieurs organismes, la présidente de la Cnil a adressé, le 18 mai 2021, une vingtaine de mises en demeure.
Il est reproché aux organismes concernés de ne pas permettre aux utilisateurs de refuser les cookies aussi facilement que de les accepter, ce qui contrevient aux règles en matière de dépôt et d’utilisation des cookies.
Ces organismes, appartenant principalement au secteur du numérique, disposent d’un délai d’un mois pour se mettre en conformité, c’est-à-dire jusqu’au 18 juin 2021, sous peine de « sanctions pécuniaires pouvant aller jusqu’à 2% du chiffres d’affaires mondial ».
Cette campagne de vérification de conformité des cookies est la première depuis l’expiration du délai laissé aux entreprises pour se mettre en conformité dont l’échéance a eu lieu le 31 mars 2021. La Cnil a précisé que des contrôles identiques sont envisagés prochainement.
La mise en conformité des organismes mis en demeure
Dans un communiqué en date du 29 juin 2021, la Cnil a indiqué qu’ « un mois après leur mise en demeure, la vingtaine d’organismes qui ne permettaient pas aux internautes de refuser les cookies aussi facilement que de les accepter se sont tous mis en conformité. ».
Par ailleurs, la présidente de la Cnil a indiqué qu’elle entendait poursuivre cette compagne de vérifications, en effet dans son communiqué du 2 mars 2021, la Cnil a annoncé que les cookies serait l’un des thèmes prioritaires de contrôle pour l’année 2021.
Par Debora Cohen - 16 juin 2021 mis à jour le 2 juillet 2021