Cookies : Lignes directrices et recommandations

Le sujet des cookies[1] est (toujours) d’actualité ! Ainsi, en témoigne la confirmation en 2022 par le Conseil d’Etat [2]de la sanction (amende de 100 millions d’euros) prononcée en décembre 2020 par la CNIL[3] à l’encontre de GOOGLE LLC et GOOGLE IRELAND LIMITED[4] pour le dépôt de cookies publicitaires sur les ordinateurs d’utilisateurs de google.fr sans consentement préalable ni information satisfaisante (sur le dépôt, sur les finalités et sur les moyens de refuser le dépôt).

 

En outre, le Conseil d’État a également confirmé la compétence de la CNIL à prendre des sanctions sur les cookies sur le fondement de l’article 82 de la loi Informatique et Libertés en dehors du mécanisme de guichet unique (mécanisme issu du RGPD mais non applicable pour les cookies).

Récemment, une procédure reprochant aux entreprises la difficulté pour l’internaute de refuser le dépôt de cookies a également abouti à sanctionner FACEBOOK IRELAND LIMITED d’une amende de 60 millions d’euros[5] et une nouvelle fois GOOGLE LLC et GOOGLE IRELAND LIMITED (150 millions d’euros) [6]. Le mécanisme de refus des cookies nécessitait plusieurs clics alors que leur acceptation n’en requérait qu’un seul.

Dès lors, il est nécessaire de rappeler les règles applicables, leur contenu et notamment les cas particuliers et concrets, enrichis de décisions de justice récentes (comme par exemple sur les cookies walls ou encore les cookies de cashback) .

Sommaire :

1. Le contexte juridique

2. Cookies : Les recommandations de la CNIL

#1 Le consentement de l'utilisateur informé

#2 Les cas particuliers

#3 Le retrait de consentement


1. Le contexte juridique

Pour mémoire, voici le cadre en vigueur et la chronologie : 

Le 4 juillet 2019, la CNIL a abrogé sa recommandation sur les traceurs de 2013 et a adopté des lignes directrices sur les cookies et autres traceurs précisant les règles applicables et prenant en considération :

  • l’art. 82 de la loi informatique et libertés provenant des dispositions de la directive e-Privacy de 2002 ;

  • le RGPD[7] et notamment la définition du consentement présente au sein de l'art. 4 Nr. 11 et les conditions applicables au consentement décrites à l'art. 7

  • Les lignes directrices du Comité européen de protection des données sur le consentement.

❕ Attention :

les lignes directrices de la CNIL ne couvrent que les opérations de lecture et d’écriture sur le terminal de l'utilisateur. Concernant les données à caractère personnel collectées à la suite de ces opérations, il convient de respecter les dispositions du régime applicable (RGPD) et notamment pour le traitement des données, les principes de licéité, transparence, la minimisation des données, la limitation de la conservation et des finalités et les garanties à mettre en place en cas de transferts de données en dehors de l’UE.

En effet, la CNIL est compétente pour enquêter et sanctionner des manquements à ces principes[8].

Par une décision du 19 juin 2020 (Nr. 434684), le Conseil d’Etat a validé la plupart des règles contenues dans les lignes directrices de la CNIL, sauf celles sur les cookie walls (plus d’explications dans la suite de cet article).

Résumé des fondements et de l’activité de la CNIL sur les cookies :

Source : CNIL 

2. Les recommendations de la CNIL

Les recommandations de la CNIL n’ont pas de valeur contraignante. Elles ont seulement pour objectif de proposer une traduction concrète des lignes directrices de la CNIL.

 #1 Le consentement de l’utilisateur informé

  • Le détail des informations à fournir à l'internaute

Sauf exceptions, le dépôt de cookies/traceurs est possible seulement quand le professionnel dispose du consentement de l'utilisateur informé sur les traceurs.

L'information doit donc être fournie à l'utilisateur avant le dépôt de cookies nécessitant un consentement (art. 2 de la Délibération).

Les informations à fournir à l'internaute doivent lui permettre de comprendre le fonctionnement des cookies et connaitre la portée de son consentement.

Les éléments à fournir pour une information « claire et complète » sont les suivants pour chaque cookies/traceurs :

- le nom de chaque cookie/traceur utilisé

- l'identité du responsable du traitement

- les finalités du dépôt, et si un traitement de données à caractère personnel[9] suit l'opération de dépôt, les finalités du traitement.

Ainsi, par exemple, la CNIL propose des textes d’informations type concernant l'information de l'internaute sur les finalités.

Retrouvez ci-dessous un exemple de la CNIL (recommandation Article 2 point Nr 13) :

Si le ou les traceurs sont utilisés afin d’afficher de la publicité personnalisée, cette finalité peut être décrite de la manière suivante : « Publicité
personnalisée : [nom du site / de l’application] [et des sociétés tierces /
nos partenaires] utilise / utilisent des traceurs afin d’afficher de la publicité
personnalisée en fonction de votre navigation et de votre profil »

- les destinataires des données ou les catégories de destinataires de données. Il convient d'informer l'utilisateur de toutes les entités ayant recours aux traceurs et donc à cet effet de lui fournir une liste complète et à jour de ces entités.

- la durée de fonctionnement des cookies ou lorsque ce n'est pas possible les critères pour déterminer cette durée

- la possibilité et les moyens de s'opposer aux traceurs

- la possibilité et les moyens de demander leur retrait sans subir d'inconvénient.

  • Moment du recueil du consentement

Il est nécessaire de recueillir le consentement avant tout accès aux informations présentes dans le terminal de l'utilisateur et stockage sur ce dernier, sauf exceptions.

  •  Caractères du consentement

Au regard des exigences du RGPD (art. 4 et 7), le consentement doit présenter les caractéristiques suivantes (art. 2 de la Délibération) :

libre : l'utilisateur ne doit pas être désavantagé en s’opposant à la mise en ; œuvre de traceurs ou en retirant son consentement à leur mise en œuvre.

spécifique : le consentement doit être donné spécifiquement pour chaque finalité. Cependant, il peut être donné de manière globale, en complément d´un consentement spécifique par finalité.

éclairé : l'utilisateur doit être informé en des termes clairs et compréhensibles. L'information doit être visible au moment du recueil du consentement.

univoque : il doit résulter d'une manifestation de volonté c'est-à-dire une déclaration ou un acte positif clair. Les actions suivantes ne constituent pas l'expression d´un consentement :

- l'acceptation globale des conditions générales d’utilisation

 - faire défiler une page web/application ;

- la poursuite de la navigation sur un site web ;

RAPPEL :
le bandeau/la bannière... « En poursuivant votre navigation sur ce site, vous acceptez l'utilisation des cookies »  qui permettait le recueil implicite et général du consentement via la simple poursuite de la navigation (faire défiler une page, cliquer sur une page, consulter un site internet et effectuer une recherche au sein de celui-ci) et que l’on voit encore sur internet était conforme à la recommandation de 2013 mais n’est plus conforme actuellement aux règles applicables !


Focus sur l'arrêt Planet 49 de la CJUE :

Aux termes de l'arrêt Planet 49, la CJUE considère que le consentement donné par le biais d'une case pré-cochée par défaut (il faut donc décocher la case pour refuser de donner son consentement) ne constitue pas un acte positif clair et dès lors ne peut être valable. Le consentement nécessite une manifestation de volonté induisant donc un comportement actif (une case cochée par défaut ne remplit pas cette condition, que les données soient à caractère personnel ou non ne modifie pas la condition). Cet arrêt se fonde notamment sur les dispositions du RGPD et en particulier cite le considérant 32 lequel précise « Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d'inactivité ».Sur le fond, la position de la CNIL sur les cookies ne diffère pas de celle exprimée au sein de l'arrêt Planet 49 puisque le consentement implicite n´est plus autorisé dans les lignes Directrices.


  •  Exceptions au recueil du consentement préalable

L'art. 5 de la Délibération liste les opérations pour lesquelles le recueil préalable du consentement n´est pas nécessaire. La CNIL en présente également d’autres dans sa FAQ sur les traceurs (cf; partie B sur les cas particuliers).

Il s'agit de celles ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou celles « strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur » (pour les boutiques en ligne, il s'agit en particulier des cookies panier et session de l'utilisateur ou des cookies de préférence linguistique).

L'internaute doit cependant être informé de l'utilisation de ces traceurs et de leur finalité, par exemple dans la Déclaration de protection des données.

#2 Les cas particuliers

  • Le cas des traceurs de mesure d'audience - les tests A/B

La mise en œuvre des traceurs peut être exemptée du recueil du consentement préalable si les conditions suivantes sont remplies (art. 5 de la Délibération) :

-mise en œuvre des traceurs par l'éditeur du site ou son sous-traitant ;

-information de l'utilisateur préalable à la mise en œuvre des traceurs ;

-l'utilisateur doit pouvoir s'opposer sur tous les terminaux, les applications et les navigateurs web… ;

- la finalité du dispositif est limitée à : « (i) la mesure d'audience du contenu visualisé afin de permettre l'évaluation des contenus publiés et l'ergonomie du site ou de l'application, (ii) la segmentation de l'audience du site web en cohortes afin d'évaluer l'efficacité des choix éditoriaux, sans que cela ne conduise à cibler une personne unique et (iii) la modification dynamique d'un site de façon globale » ;

- aucun recoupement des données à caractère personnel collectées avec d'autres traitements (fichiers clients ou statistiques de fréquentation d'autres sites) ni transmission à des tiers ;

- l'utilisation des traceurs est limitée à un seul éditeur de site / d'application mobile et à la production de statistiques anonymes. Elle ne doit pas permettre le suivi de la navigation de l'utilisateur sur différents sites web ou sur différentes applications ;

- l'adresse IP peut être utilisée pour géolocaliser l'internaute (mais pas plus détaillé que la ville).

- suppression ou anonymisation de l'adresse IP une fois la géolocalisation effectuée ;

- durée de vie des traceurs : treize mois (pas de prorogation automatique lors de nouvelles visites) ;

- conservation des informations collectées par les traceurs : 25 mois maximum.

  • Le cas des «cookies de cashback»

Dans le domaine des traceurs d’affiliation[10], certains sont des cookies de cashback [11], la CNIL a changé sa position à la suite d’une décision du CE [12]. A l’origine, la CNIL exigeait le consentement de l’internaute au dépôt de cookies de cashback. Une question (et même un problème) s’est alors posée : si on exigeait que l’internaute donne son consentement au dépôt de traceurs et qu’il refusait de le donner, alors l’opération de cashback devenait impossible alors même que l’internaute la souhaitait…

Dès lors, la décision du CE reconnaît le caractère strictement nécessaire du dépôt de traceurs dans ce contexte. Dorénavant, pour ces cookies, et il s’agit d’une exception à la règle s’appliquant pour les cookies d’affiliation, le recueil du consentement de l’internaute n’est pas nécessaire (exemption au sens de l’art. 82 de la loi informatique et libertés)

  • Le cas des «cookies walls /pay walls»

Il s’agit en pratique de la situation suivante : l’internaute accédant au site voit s’afficher une fenêtre de gestion des consentements (CMP ou Consent Management Platform). En fonction des paramètres des sites visités, l’internaute choisit ensuite entre différentes options: « tout accepter », « tout refuser », « continuer sans accepter », « paramétrer les cookies », « refuser et souscrire un abonnement pour voir le site/ payer X euros pour voir le site » (dans ce dernier cas, il s’agit d’un « pay wall »). Dans un deuxième temps, il peut également se voir proposer de «Changer d’avis et accepter les cookies ».

Ces cookies doivent faire l’objet d’une attention particulière puisque le positionnement de la CNIL a récemment évolué sur le sujet.

Dans ses lignes directrices de 2019, la CNIL avait prohibé cette pratique[13] soulignant que le fait de conditionner l’accès à un site internet à l’acceptation du dépôt de cookies pouvait porter atteinte à la liberté du consentement. Cependant, le Conseil d'Etat a invalidé partiellement cette interdiction [14]. Il a considéré que l'interdiction générale et absolue de la pratique des cookie walls n’avait pas sa place dans les lignes directrices de la CNIL et l’a annulée. Nuance cependant, le principe même de l'interdiction des cookie walls n’a pas été directement remis en cause par le Conseil d'Etat. Ce dernier a simplement considéré qu’il fallait réaliser une analyse au cas par cas , en tenant compte notamment de l’existence d’alternative réelle et satisfaisante proposée en cas de refus des cookies et qu'une telle interdiction ne pouvait figurer dans des lignes directrices, qui sont un instrument de « droit souple », à l'inverse d’instruments contraignants tels que par exemple les lois et décrets.

La CNIL a alors modifié sa position et a récemment déterminé des critères d’évaluation pour apprécier la légalité des cookie walls et des pay walls. Au cas par cas, il convient alors de se poser les questions suivantes :

- L’internaute refusant les traceurs dispose-t-il d’une alternative équitable pour accéder au contenu ? Selon la CNIL, une telle alternative peut être présente soit lorsqu’il est possible d’accéder au site sans avoir à consentir (« continuer sans accepter ») soit lorsque l’éditeur peut démontrer que le contenu est accessible sans cookie wall auprès d’un autre site. Attention, dans ce dernier cas, la CNIL souligne l’importance de s’assurer qu’il n’existe pas de déséquilibre entre l’éditeur et l’internaute, si ce dernier ne dispose pas d’un réel choix. Ainsi, l’éditeur devra veiller à la facilité d’accès à l’alternative pour l’utilisateur. Il existe un risque de déséquilibre lorsque le contenu est exclusif (services administratifs en ligne, « fournisseurs de services dominants ou incontournables »).

- Un éditeur peut proposer une alternative payante (« Refuser et s’abonner »). Le tarif de l’alternative payante est-il raisonnable ? Aucun seuil n’est fixé par la CNIL et une analyse au cas par cas est là aussi nécessaire. Cependant, la CNIL souligne que le tarif doit être « raisonnable ». La création d’un compte pour payer et accéder au contenu doit respecter les principes de transparence et de limitation des données.

- Un cookie wall ou un pay wall peut-il conduire à systématiquement imposer à l’internaute l’acceptation de l’intégralité des traceurs ? non, L’éditeur doit informer les internautes, de manière claire, des finalités pour lesquelles il est nécessaire - ou non - de consentir pour accéder au service. L’éditeur devra démontrer que le cookie wall est « limité aux finalités qui permettent une juste rémunération du service proposé ». Seul le consentement à cette finalité devra être rendu nécessaire pour accéder au contenu, pas aux autres.

Lorsque l’internaute choisit l’accès payant au contenu, sans consentir aux cookies, quels sont les cas limités dans lesquels des traceurs peuvent être utilisés ? Même dans l’hypothèse où l’internaute choisit l’alternative payante, des traceurs peuvent être déposés ; les traceurs nécessaires au fonctionnement du site internet. En revanche, aucun cookie soumis au consentement ne devrait être déposé sur le terminal de l’internaute ayant opté pour l’alternative. La CNIL nuance cependant son propos et indique qu’ « au cas par cas » un consentement pourrait être demandé à l’internaute « lorsque les traceurs sont imposés pour accéder à un contenu hébergé sur un site tiers (visionnage de vidéos par exemple) ou fournir un service demandé par l’internaute (boutons de partage sur les réseaux sociaux). 

#3 Le retrait du consentement

Une fois son consentement donné, l'utilisateur doit disposer d'un dispositif de retrait de ce dernier facile d’accès et d’usage.Toutes ces règles sont susceptibles de changer et feront l’objet d’une actualisation en fonction de l’évolution de la législation européenne (règlement européen ePrivacy) et de la jurisprudence.

New call-to-action


[1] Les cookies sont des traceurs déposés et lus, par exemple, lors de la consultation d'un site internet sur un ordinateur, un smartphone ou une tablette… L'usage des cookies permet notamment de cibler le comportement des internautes et ainsi, par exemple, de leur proposer une page personnalisée.

[2] Conseil d'État, N° 449209, 28.01.2022

[3] La CNIL (Commission Nationale Informatique et Libertés) est une autorité administrative indépendante en charge d´informer, de contrôler et de sanctionner en matière de données personnelles.

[4] CNIL, Délibération SAN-2020-012, 07.12.2020

[5] CNIL, Délibération SAN-2021-024, 31.12.2021

[6] CNIL, Délibération SAN-2021-023, 31.12.2021

[7] Le Règlement général sur la protection des données (RGPD) s'applique depuis le 25 mai 2018 : Il contient des règles contraignantes notamment pour les professionnels concernant le traitement des données à caractère personnel sur le territoire de l’Union européenne.

[8] CE, 16 oct. 2019, n° 433069, Rec.

[9] CJUE (question préjudicielle) Aff. C-673/17, 01.10.2019. CJUE : la Cour de justice de l'Union européenne assure "le respect du droit dans l'interprétation et l'application" des traités. La question préjudicielle permet à la CJUE d´interpréter le droit de l'Union à la demande des juges nationaux

[10] Définition de la CNIL : « (…) technique de publicité ne reposant pas sur la collecte des données de navigation des utilisateurs. Un site web proposant des contenus (…) va ainsi proposer à ses lecteurs des liens d’achat directs vers des plateformes de e-commerce spécifiques pour des produits dont il fait la promotion. Si le lecteur souhaite faire un achat, il est alors redirigé vers cette plateforme et l’éditeur touche une commission sur l’achat. Le site web sera alors « affilié » à la plateforme de e-commerce ». => Les traceurs utilisés pour la facturation des opérations d’affiliation nécessitent un consentement. Ils ne sont pas exemptés puisqu’ils ne remplissent pas les conditions de l’art. 82 loi informatique et libertés.

[11] Définition de la CNIL  sur les cookies liés à des services de remboursement (« cashback ») ou de récompense (« reward ») : « Les pratiques dites de « cashback » ou de « reward » consistent à faire bénéficier des internautes, qui se sont inscrits pour ce type de services sur un site partenaire, d’un remboursement partiel ou d'un avantage (bons de réduction, tarifs préférentiels, etc.) lorsqu'ils effectuent un achat sur un site marchand auquel il se sont connectés à partir d'un lien figurant sur ce site partenaire. »

[12] CE, n°452668, 08.04.2022

[13] En accord avec :

- les lignes directrices du G29 sur le consentement
- les lignes directrices 05/2020 (point Nr. 39) du Comité européen de protection des données (CEPD): « In order for consent to be freely given, access to services and functionalities must not be made conditional on the consent of a user to the storing of information, or gaining of access to information already stored, in the terminal equipment of a user (so called cookie walls) ».

14] CE, n° 434684, 19.06.2020

14-06-22
Select Country: