Les règles à respecter dans le dépôt et l'utilisation de cookies
Si la législation antérieure reposait sur une logique déclarative ou d’autorisation, depuis le Règlement général sur la protection des données (ci-après « RGPD »), nous sommes entrés dans une logique de responsabilité. La Commission nationale de l’informatique et des libertés (ci-après « Cnil ») estime que le site qui mitraille les postes de cookies doit pouvoir démontrer à chaque instant avoir recueilli le consentement des internautes en respectant les grands principes de la réglementation sur les données à caractère personnel.
La Cnil a constaté que les règles contenus dans les textes étaient trop abstraites pour aider les entreprises concernées à se mettre en conformité et a décidé de fournir des exemples pratiques, contenues dans des lignes directrices, complétées par une recommandation du 17 septembre 2020.
Il convient alors de s’assurer du respect des règles et de pouvoir en apporter la preuve à tout moment.
Recommandation Cnil du 17 septembre 2020
Le projet de recommandation de la Cnil a été publié le 14 janvier 2020 et une consultation publique sur ce projet a été lancée jusqu’au 25 février 2020. L’adoption par la Cnil de la version définitive de la recommandation, faisant suite à la consultation publique, était initialement prévue pour début avril 2020, mais en raison de la Covid-19 la présentation du projet de recommandation a été reportée. La recommandation de la Cnil a finalement était adoptée le 17 septembre 2020.
Contenu de la recommandation
Les grandes lignes de la recommandation adoptée par la Cnil le 17 septembre 2020 sont les suivantes :
- Il est nécessaire d’obtenir un consentement éclairé :
-
La simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute à l’utilisation de traceurs.
-
Au contraire, le refus « peut être manifesté par la poursuite de la navigation ». En poursuivant la navigation sans faire de choix, l’utilisateur manifeste ainsi son refus implicite et le bandeau cookie doit disparaître « au bout d’un laps de temps court, de manière à ne pas gêner l’utilisation du site ou de l’application et à ne pas, ainsi, conditionner le confort de navigation de l’utilisateur à l’expression de son consentement au traceur ».
-
Les personnes doivent consentir au dépôt de traceurs par un acte positif clair. Sinon, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur leur appareil.
-
La recommandation suggère différentes modalités pratiques de recueil du consentement ainsi que du refus de l’internaute permettant de garantir la liberté du choix exprimé et de ne pas renouveler la demande à l’internaute avant un certain laps de temps.
-
La Cnil permet d’afficher sur une croix de fermeture permettant à l’utilisateur de ne pas faire de choix et de retarder sa décision.
-
La recommandation présente plusieurs façons permettant aux acteurs de fournir l’identité des responsables du ou des traitements auxquels la personne donne son consentement.
-
Elle vient préciser les modalités par lesquelles les responsables du ou des traitements qui déposent des traceurs peuvent apporter une preuve du consentement.
-
Un consentement « global », valant pour plusieurs sites, peut-être donné : il est possible pour tout éditeur de site ou d’application mobile de demander un consentement pour un groupe de sites plutôt qu’individuellement pour chaque site dont il est propriétaire, par exemple dans le cadre d’un groupement d’éditeurs.
-
Il est également possible pour un acteur de l’écosystème publicitaire d’obtenir un consentement valable sur l’ensemble des sites sur lesquels il serait présent.
-
L’éditeur du site ou de l’application mobile dont la visite déclenche le dépôt et l’utilisation de traceurs doit s’assurer de la présence d’un mécanisme permettant de recueillir un consentement valide.
- Il doit être aussi simple d’accepter que de refuser le dépôt de cookies : il faut placer le même bouton « accepter » que « refuser » et« tout refuser » que le bouton « tout accepter ».
- L’utilisateur doit pouvoir revenir sur sa décision à tout moment.
- Il est nécessaire de proposer un choix par finalité :
-
La Cnil renforce l’information des personnes : elle recommande que chaque finalité soit mise en exergue dans un intitulé court et mis en évidence, accompagné d’un bref descriptif, depuis l’interface de recueil du consentement.
-
Lorsque la finalité du cookie est de mesurer l'audience sur un site, ce cookie peut être exempté du recueil de consentement, lorsque plusieurs conditions sont réunies.
Cas spécifique des cookies analytics
La Cnil fournit une liste de traceurs exemptés en fonction de leurs finalités, par exemple ceux qui conservent le choix ou l’absence de choix, d’authentification auprès d’un service, qui mémorisent le contenu d’un panier d’achat, qui permettent la personnalisation de l'interface (choix de la langue, présentation d’un service, etc.), les traceurs permettant les mesures d’audience, dans le cadre spécifié dans les lignes directrices relatives aux cookies et autres traceurs.
Dans ses lignes directrices du 4 juillet 2019, la Cnil avait déjà revu et précisé les conditions cumulatives que doivent respecter les cookies de mesure d'audience pour être exemptés de demande de consentement, confirmé dans les lignes directives du 17 septembre 2020 :
-
ils doivent être mis en œuvre par l'éditeur du site ou bien par son sous-traitant ;
-
la personne doit être informée préalablement à leur mise en œuvre ;
-
elle doit disposer de la faculté de s'y opposer par l'intermédiaire d'un mécanisme d'opposition facilement utilisable sur l'ensemble des terminaux, des systèmes d'exploitation, des applications et des navigateurs web. Aucune opération de lecture ou d'écriture ne doit avoir lieu sur le terminal depuis lequel la personne s'est opposée ;
-
la finalité du dispositif doit être limitée à :
-
la mesure d'audience du contenu visualisé afin de permettre l'évaluation des contenus publiés et l'ergonomie du site ou de l'application ;
-
la segmentation de l'audience du site web en cohortes afin d'évaluer l'efficacité des choix éditoriaux, sans que cela ne conduise à cibler une personne unique et la modification dynamique d'un site de façon globale ;
-
les données à caractère personnel collectées ne doivent pas être recoupées avec d'autres traitements (fichiers clients ou statistiques de fréquentation d'autres sites, par exemple) ni transmises à des tiers. L'utilisation des traceurs doit également être strictement cantonnée à la production de statistiques anonymes. Sa portée doit être limitée à un seul éditeur de site ou d'application mobile et ne doit pas permettre le suivi de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web ;
-
l'utilisation de l'adresse IP pour géolocaliser l'internaute ne doit pas fournir une information plus précise que la ville. L'adresse IP collectée doit également être supprimée ou anonymisée une fois la géolocalisation effectuée ;
-
les traceurs utilisés par ces traitements ne doivent pas avoir une durée de vie excédant treize mois et cette durée ne doit pas être prorogée automatiquement lors des nouvelles visites. Les informations collectées par l'intermédiaire des traceurs doivent être conservées pendant une durée de 25 mois maximum.
-
Ces conditions sont confirmées dans les lignes directrices de 2020, lesquelles précisent que les traceurs dont la finalité se limite à la mesure de l’audience du site ou de l’application, pour répondre à différents besoins (mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de l’ergonomie, estimation de la puissance des serveurs nécessaires, analyse des contenus consultés, etc.) sont strictement nécessaires au fonctionnement et aux opérations d’administration courante d’un site web ou d’une application et ne sont donc pas soumis, en application de l’article 82 de la loi « Informatique et Libertés », à l’obligation légale de recueil préalable du consentement de l’internaute.
Caractère contraignant de la recommandation du 17 septembre 2020
La recommandation n’a pas vocation à être prescriptive. Elle vise essentiellement à formuler des recommandations pratiques sur la manière de traduire opérationnellement les exigences des textes dans la présentation des interfaces utilisateurs.
Elle a également pour objectif de proposer des exemples concrets de mise en œuvre de la réglementation. Ces exemples ne sont pas non plus exhaustifs.
Les bonnes pratiques vont au-delà des exigences posées par la règlementation. La Cnil souhaite favoriser ces pratiques en ce qu’elles permettent d’offrir une protection renforcée aux utilisateurs. Les acteurs ne sont donc pas susceptibles de faire l’objet d’actions répressives de la Cnil pour non mise en œuvre de ces bonnes pratiques.
Les cookies et autres traceurs feront l’objet d’actions de mise en conformité au cours de l’année 2021. Comme annoncé en juillet 2019, le plan d’action de la Cnil comportera deux phases :
-
une première étape à partir de la publication de ces lignes directrices et cette recommandation du 17 septembre 2020, pendant laquelle les actions de la Cnil seront limitées au respect des principes antérieurs à la recommandation de 2020. Des mesures correctrices, y compris des sanctions, pourront être adoptées en cas de non-respect des obligations dont le périmètre est précisé depuis 2013 et qui perdurent dans la nouvelle recommandation ;
-
des missions de contrôle seront ensuite réalisées à la fin de la période d’adaptation annoncée par la Cnil, soit 6 mois après la publication de la recommandation et des lignes directrices la Cnil sanctionnera non pas au regard de la recommandation mais de la réglementation en matière de cookies.
Lignes directrices du 17 septembre 2020
Le 4 juillet 2019, la Cnil a ainsi adopté des lignes directrices rappelant le droit applicable. Celles-ci ont été ajustées le 17 septembre 2020 pour tirer les conséquences de la décision rendue le 19 juin 2020 par le Conseil d’Etat.
Dans cette décision du 19 juin 2020, le Conseil d’État a validé les dispositions relatives au recueil du consentement des internautes aux cookies et autres traceurs mais a annulé la disposition des lignes directrices prohibant de façon générale et absolue la pratique des « cookie walls ».
Les cookies wall sont (étaient?) une pratique des éditeurs de sites consistant à bloquer l’accès à un site internet en cas de refus des cookies et autres traceurs de connexion.
Le Comité européen de protection des données personnelle (CEPD) ayant estimé que l’accès à un site internet ne pouvait pas être subordonné à l’acceptation des cookies, la Cnil a suivi ce courant.
Le Conseil d’Etat a cependant considéré qu’en se fondant sur le RGPD pour déduire cette interdiction générale au cookies wall, la Cnil était allée au-delà de ses pouvoirs.
Les lignes directrices du 17 septembre 2020 reviennent donc sur ce point afin de se conformer avec la déicsion du Conseil d'Etat.
Pourquoi des lignes directrices en plus de la recommandation ?
La recommandation n’est pas contraignante et a pour unique objectif d’aider les professionnels concernés dans leur mise en conformité, notamment grâce à des exemples concrets leur permettant d’obtenir le consentement des utilisateurs conformément à la législation applicable (article 82 de la loi Informatique et Libertés).
Les lignes directrices quant à elles rappellent la règle de droit applicable au dépôt ou à l’utilisation des cookies dans le terminal de l’utilisateur.
Finalement, quelles nouveautés ?
La recommandation de la Cnil met en avant les bonnes pratiques à adopter pour déposer des cookies conformément aux exigences de la réglementation sur les données personnelles.
Ainsi, tant les lignes directrices que la recommandation n’apportent pas particulièrement de nouveautés mais visent à aider les sociétés concernées, à savoir celles qui peuvent effectivement gérer le dépôt de cookie, dans leur mise en conformité.
Les règles concernant les cookies a finalité analytique sont inchangés et seuls les cookies respectant les prescriptions de la Cnil sont exemptés de consentement.
La Cnil considère qu’il revient toujours à l’éditeur du site ou de l’application mobile dont la visite déclenche le dépôt et l’utilisation de traceurs de s’assurer de la présence d’un mécanisme permettant de recueillir un consentement valide.
Les tiers qui ne déposent pas ces cookies mais qui en bénéficient doivent s’enquérir auprès des déposants de leur respect de la réglementation.
Les principales nouveautés par rapport à la recommandation de 2013 sont les suivantes :
-
la simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute à l’utilisation de traceurs ;
-
la recommandation propose différentes modalités pratiques de recueil du consentement ainsi que du refus de l’utilisateur et plusieurs façons permettant aux acteurs de fournir l’identité des responsables du ou des traitements auxquels la personne donne son consentement et d’en conserver la preuve.
Si la recommandation en elle-même n’est pas contraignante, il en résultera toutefois que la Cnil sera beaucoup moins tolérante en cas de non-conformité à la réglementation concernant les cookies, en raison des exemples et de l’aide pratique apportée aux sociétés pour se mettre en conformité.
Par Debora Cohen - 12 octobre 2020