Cookies et autres traceurs : Les conseils de la CNIL
La CNIL a adopté des lignes directrices modificatives ainsi qu’une recommandation portant sur l’usage de cookies et autres traceurs. L’évolution des règles applicables marque un tournant pour les internautes, qui pourront désormais exercer un meilleur contrôle sur les traceurs en ligne.
L’article 82 de la loi Informatique et Libertés transpose en droit français l’article 5.3 de la directive 2002/58/CE « vie privée et communications électroniques » (ou « ePrivacy »). Il prévoit notamment l’obligation, sauf exception, de recueillir le consentement des internautes avant toute opération d’écriture ou de lecture de cookies et autres traceurs.
Les grandes étapes
En 2013, la CNIL adoptait une première recommandation pour guider les acteurs dans la mise en œuvre des textes régissant à l’époque les opérations de lecture et d’écritures par des cookies.
Le 25 mai 2018, l’entrée en application du règlement général sur la protection des données (RGPD) est venue renforcer les exigences en matière de validité du consentement, rendant obsolète une partie de cette recommandation.
Dans le cadre de son plan d’action sur le ciblage publicitaire, la CNIL a donc entrepris d’actualiser en deux temps ses cadres de référence.
Le 4 juillet 2019, la CNIL a ainsi adopté des lignes directrices rappelant le droit applicable. Celles-ci ont été ajustées le 17 septembre 2020 pour tirer les conséquences de la décision rendue le 19 juin 2020 par le Conseil d’Etat.
En parallèle, la CNIL a également décidé d’établir, à l’issue d’une concertation avec les professionnels et la société civile, un projet de recommandation. Sans être prescriptive, la recommandation joue le rôle de guide pratique destiné à éclairer les acteurs utilisant des traceurs sur les modalités concrètes de recueil du consentement de l’internaute.
L’évolution des règles applicables
L’évolution des règles applicables, clarifiées par les lignes directrices et la recommandation, marque un tournant tant pour le secteur de la publicité en ligne que pour les internautes, qui pourront désormais exercer un meilleur contrôle sur les traceurs en ligne.
Les grands principes confirmés par la CNIL
- Concernant le consentement des utilisateurs :
- la simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute ;
- les personnes doivent consentir au dépôt de traceurs par un acte positif clair (comme le fait de cliquer sur « j’accepte » dans une bannière cookie). Si elles ne le font pas, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur leur appareil.
- Les utilisateurs devront être en mesure de retirer leur consentement, facilement, et à tout moment.
- Refuser les traceurs doit être aussi aisé que de les accepter.
- Concernant l’information des personnes :
- elles doivent clairement être informées des finalités des traceurs avant de consentir, ainsi que des conséquences qui s’attachent à une acceptation ou un refus de traceurs ;
- elles doivent également être informées de l’identité de tous les acteurs utilisant des traceurs soumis au consentement.
- Les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.
Les traceurs exemptés du recueil de consentement
Certains traceurs sont cependant exemptés du recueil de consentement, comme par exemple les traceurs destinés à l’authentification auprès d’un service, ceux destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand, certains traceurs visant à générer des statistiques de fréquentation, ou encore ceux permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs.
Les recommandations de la CNIL
Par ailleurs la CNIL recommande que l’interface de recueil du consentement ne comprenne pas seulement un bouton « tout accepter » mais aussi un bouton « tout refuser ».
Elle suggère que les sites internet, qui généralement conservent pendant une certaine durée le consentement aux traceurs, conservent également le refus des internautes pendant une certaine période, afin de ne pas réinterroger l’internaute à chacune de ses visites.
En outre, pour que l’utilisateur soit bien conscient de la portée de son consentement, la CNIL recommande que, lorsque des traceurs permettent un suivi sur des sites autres que le site visité, le consentement soit recueilli sur chacun des sites concernés par ce suivi de navigation.
Afin de répondre aux questions des acteurs concernés et des internautes, la CNIL propose une FAQ accompagnement la publication des lignes directrices et de la recommandation.
Vers une mise en conformité des acteurs concernés
La CNIL invite tous les acteurs concernés à s’assurer de la conformité de leurs pratiques aux exigences du RGPD et de la directive ePrivacy.
Comme elle l’avait annoncé, elle estime que le délai de mise en conformité aux nouvelles règles ne devra pas dépasser six mois, soit au plus tard fin mars 2021.
Si la CNIL tiendra compte des difficultés opérationnelles des opérateurs pendant cette période durant laquelle elle privilégiera l’accompagnement sur les contrôles, elle se réserve la possibilité, conformément à la jurisprudence du Conseil d’Etat, de poursuivre certains manquements, notamment en cas d’atteinte particulièrement grave au droit au respect de la vie privée (CE, 16 octobre 2019, n° 433069, Rec.). En outre, la CNIL continuera à poursuivre les manquements aux règles relatives aux cookies antérieures à l’entrée en vigueur du RGPD, éclairées par sa recommandation du 5 décembre 2013.
Références
Evolution des règles d’utilisation des cookies : quels changements pour les internautes ? (01/10/2020)
Conseils pratiques de la CNIL : Cookies & traceurs : outils et codes sources > Site web, cookies et autres traceurs
Documents
Lignes directrices « cookies et autres traceurs »
Délibération n° 2020-091 du 17 septembre 2020 portant
adoption de lignes directrices relatives à l’application de
l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations
de lecture et écriture dans le terminal d’un utilisateur
(notamment aux « cookies et autres traceurs ») et abrogeant la
délibération n° 2019-093 du 4 juillet 2019
Recommandation « cookies et autres traceurs »
Délibération n° 2020-092 du 17 septembre 2020 portant
adoption d’une recommandation proposant des modalités
pratiques de mise en conformité en cas de recours aux « cookies
et autres traceurs »
Synthèse des contributions de la consultation publique sur le projet de recommandation “cookies et autres traceur”
Consultation publique sur le projet de recommandation « cookies et autres traceurs » – Synthèse des contributions
Nous accompagnons les organismes et les DPO dans leur démarche de mise en conformité avec le RGPD et de mise en sécurité de leurs données.
Que ça soit sous forme de mise en place de la démarche de mise en conformité, de formation, d’accompagnement de votre DPO ou de formation de votre personnel (n° formateur + datadock), nous adaptons notre démarche à votre organisme.
Je suis Denis JACOPINI – Consultant / Formateur CYBER et RGPD, Expert Informatique et régulièrement formé par la CNIL depuis 2012.
J’ai pris connaissance de ces informations et je trouvais utile de les partager avec vous.
J’espère qu’elles vous seront utiles et que vous les apprécierez.
- Vous souhaitez réagir ?
Profitez-en pour laisser un commentaire ci-dessous.
- Vous souhaitez mettre votre établissement en conformité avec le RGPD ?
Consultez nos bons conseils, contactez-nous, demandez-nous un devis.
- Vous êtes futur ou actuellement DPO et souhaitez être rassuré ou accompagné dans vos démarches ? Nous proposons des accompagnements sur mesure
- Vous souhaitez mettre en place des démarches pour améliorer votre cybersécurité ? Nous pouvons vous accompagner