CNIL & Cookies : Nouvelles lignes directrices et recommandations [+Templates]

La CNIL a publié ses nouvelles lignes directrices et ses recommandations[1] concernant les traceurs et notamment les cookies. Elles abrogent et remplacent les lignes directrices de 2019 sur le sujet. Vous avez jusqu'à mars 2021 pour vous mettre en conformité ! Dans cet article, nous détaillerons les règles en vigueur, les conseils de la CNIL, ainsi que le calendrier applicable.

cookies cnil rcommandation

Il convient de rappeler que les recommandations présentées par la CNIL ne constituent pas des contraintes mais des conseils de mise en œuvre des lignes directrices. Elles ont seulement pour objectif d’aider les professionnels à respecter les obligations d’information et de recueil d’un consentement éclairé de l’utilisateur (qui sont, elles, contraignantes et sanctionnées).

Cet article s’inscrit dans le prolongement de nos deux précédents articles concernant les cookies et autres traceurs.

1. Cookies & traceurs – Les nouvelles lignes directrices de la CNIL (2019)
2.
Cookies : point de situation sur lignes directrices de la CNIL

1. Champs d’application

1.1 Les traceurs concernés

Les lignes directrices concernent :

« toutes les opérations visant à accéder, par voie de transmission électronique, à des informations déjà stockées dans l’équipement terminal de l’abonné ou de l’utilisateur d’un service de communications électroniques ou à inscrire des informations dans celui-ci ».

🔹Sont donc concernés par exemple :

  • tablette

  • smartphone

  • ordinateur

  • console de jeux vidéo

  • télévision connectée

  • véhicule connecté

  • assistant vocal

  • Etc.

🔹Les cookies visés sont notamment :

  • Cookies HTTP, « local shared objects » appelés parfois « cookies Flash »

  • ldentifiants générés par les systèmes d’exploitation (qu’ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.)

  • Etc. 

Les lignes directrices s’appliquent indépendamment du fait que les traceurs concernent des données à caractère personnel ou non au sens du RGPD.

1.2 Les traceurs exclus

Les traceurs ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou ceux « strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur » sont exclus des lignes directrices.

🔹La CNIL fournit une liste de traceurs exclus du recueil du consentement :

  • ceux conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;

  • ceux destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification ;

  • ceux destinés à garder en mémoire le contenu d’un panier d’achat ou aux fins de facturation ;

  • Les traceurs de personnalisation de l'interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;

  • Les traceurs permettant l'équilibrage de la charge des équipements concourant à un service de communication ;

  • Les traceurs de paywall permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et sur une période limitée).

  • Certains traceurs de mesures d’audience (cf. point 1.3)

⚠️Lorsqu’un traceur est utilisé pour plusieurs finalités, dont certaines ne sont pas exemptées, alors il conviendra de recueillir préalablement le consentement des personnes concernées.

💡Recommandations pratiques de la CNIL :

  • malgré l’exclusion, la CNIL recommande d’informer l’utilisateur de l’existence d’un tel traceur et de limiter son application à une période raisonnable.

  • durée de vie des traceurs : 13 mois (pas de prorogation automatique lors de nouvelles visites)

  • durée de conservation des informations collectées par leur intermédiaire : maximum 25 mois. 


💡 Vous aimerez aussiGaranties - Que peuvent exiger vos clients de votre part ?


1.3 Le cas des traceurs de mesure d’audience

Les traceurs de mesure d’audience utilisés pour mesurer des performances, détecter des problèmes de navigation, optimiser les performances techniques etc. « strictement nécessaires au fonctionnement et aux opérations d’administration courante »

🔹Ils sont ont exclus à condition :

  • Que leur finalité soit strictement limitée

  • qu’ils servent « uniquement à produire des données statistiquement anonymes » et à condition que les données à caractère personnel collectées ne puissent être recoupées ou transmises à des tiers

  • qu’ils ne permettent pas le suivi de la navigation des utilisateurs à travers plusieurs sites internet ou applications 

2. Les caractéristiques d’un consentement valable au dépôt de cookies sur le fondement de l’art. 4 Nr. 11 RGPD.

2.1 libre

Le consentement doit être libre, non contraint.

🔹Le cas des cookies walls

La CNIL a tenu compte de l’arrêt du Conseil d’Etat sur les cookies walls et modifié ses lignes directrices en ce sens. Ils ne sont plus interdits de manière générale. La CNIL indique qu’il faut procéder à une analyse au cas par cas de la licéité des « cookie walls ».

En tout état de cause, il convient d’informer l’utilisateur sur les conséquences d’un refus des cookies et donc notamment sur l’impossibilité d’accéder au site.

2.2 spécifique

Un consentement spécifique signifie que le consentement est donné pour une finalité déterminée.

🔹A l’inverse, ne constitue pas un consentement spécifique :

  • une acceptation globale des conditions générales d’utilisation ;

  • renvoyer vers le paramétrage du navigateur

  • regrouper ensemble plusieurs finalités incompatibles et sans lien entres elles.

💡Recommandations pratiques de la CNIL :

  • informer l’utilisateur de chaque finalité
  • éviter le couplage de finalités

  • obtenir un consentement pour chacune d’entre elles

  • il est possible de proposer un bouton « tout accepter » ou « tout refuser » toutes les finalités sous réserve de compléter cette démarche par le recueil d’un consentement pour chaque finalité avec un bouton d’accès « personnaliser mes choix » permettant une acceptation spécifique.

2.3 éclairé

L’information sur la nature et la finalité des cookies doit être accessible et rédigée de manière simple et compréhensible par tous

💡Recommandations pratiques de la CNIL :

🔹 éviter un design et une rédaction entraînant une confusion pour l’utilisateur (cas des dark patterns)

🔹 liste des informations à fournir a minima à l’utilisateur avant de recueillir son consentement, afin qu’il soit valable :

  • L’identité du ou des responsables de traitement (liste complète et actualisée ) ;

  • La finalité des cookies ;

  • La manière d’accepter ou de refuser les cookies ;

  • Les conséquences attachées à un refus ou une acceptation ;

  • Le droit de retirer le consentement donné à tout moment.

fournir ces informations au moment du premier niveau d’information à destination de l’utilisateur dans un court paragraphe.

Modèle de la CNIL :

  • Si le ou les traceurs sont utilisés afin d’afficher de la publicité personnalisée :

« Publicité personnalisée : [nom du site / de l’application] [et des sociétés tierces / nos partenaires] utilise / utilisent des traceurs afin d’afficher de la publicité personnalisée en fonction de votre navigation et de votre profil »

  • Si le ou les traceurs ne sont utilisés que pour afficher la publicité et mesurer son audience, sans la sélectionner sur la base de données personnelles :

« Affichage de publicité : [nom du site/ de l’application] [et des sociétés tierces/ nos partenaires] utilise/ utilisent des traceurs dans le but d’afficher de la publicité [sur le site ou l’application], sans vous profiler ».

  • Si la publicité est personnalisée en fonction de la géolocalisation précise (avec une précision supérieure à l’échelle d’une ville ou plus d’une décimale de précision dans la latitude/longitude) de l’utilisateur: 

« Publicité géolocalisée : [nom du site/ de l’application] [et des sociétés tierces/ nos partenaires] utilise / utilisent des traceurs pour vous adresser de la publicité en fonction de votre localisation ».

  • Si les traceurs sont utilisés pour personnaliser le contenu éditorial ou les produits et services fournis affichés par l’éditeur :

« Personnalisation de contenu : Notre site / application [et des sociétés tierces] utilise / utilisons des traceurs pour personnaliser le contenu éditorial [de notre site / application] en fonction de votre utilisation », ou « Notre site / application [et des sociétés tierces] utilise / utilisons des traceurs pour personnaliser l’affichage de nos produits et services en fonction de ceux que vous avez précédemment consultés [sur notre site / application] »).

  • Si les traceurs sont utilisés afin de partager des données sur les réseaux sociaux :

« Partage sur les réseaux sociaux : Notre site / application utilise des traceurs pour vous permettre de partager du contenu sur les réseaux sociaux ou plateformes présents [sur notre site / application] ».

🔹 fournir une description plus détaillée des finalités en plus de celle présente au premier niveau.

2.4 univoque

Un consentement suppose une action positive[2]. Pour la CNIL, à défaut il s’agit d’un refus.

⚠️Attention 

Auparavant, la bannière cookies :

« En poursuivant votre navigation sur ce site, vous acceptez l'utilisation des cookies »

valait comme consentement implicite au dépôt de cookies
. C’est désormais un refus !
La simple poursuite de la navigation (silence ou inaction) n’est plus considérée comme un consentement, ni même comme l’absence d’un consentement valide, mais comme un refus.

L’utilisation de cases pré-cochées ne constituent pas non plus une action positive.

💡Recommandations pratiques de la CNIL :

  • utilisation de cases à cocher décochées par défaut par le professionnel
  • utilisation d’interrupteurs (sliders) désactivés par défaut par le professionnel

  • le message sollicitant le consentement (fenêtre ou bandeau) devrait disparaître après un court moment afin d’éviter de forcer l’utilisateur à consentir pour ne pas être gêné dans sa navigation.

3. Les choix de l’utilisateur

3.1 Le refus de consentement

Le refus ne doit nécessiter aucune démarche et doit « pouvoir se traduire par une action présentant le même degré de simplicité que celle permettant d’exprimer son consentement ». Il peut se déduire du silence de l’utilisateur.

💡Recommandations pratiques de la CNIL :

  • éviter de compliquer le refus. Exemple à éviter : forcer l’utilisateur à effectuer de nombreuses actions pour exprimer le refus alors que vous proposez une seule action à réaliser pour accepter.
  • utilisation d’un bouton « refuser tout », « interdire », avec le même habillage graphique que « tout accepter », « autoriser ».

  • conserver le refus six mois

3.2 Le retrait du consentement

Selon la CNIL,  il « doit être aussi simple de retirer son consentement que de le donner ». Les solutions permettant le retrait du consentement devraient figurer dans un endroit aisément accessible à tout moment et gratuitement.

💡Recommandations pratiques de la CNIL :

  • utilisation d’ un lien « Gérer mes Cookies », « Module de gestion des Cookies », « Cookies » dirigeant vers un mécanisme de recueil du consentement.

4. Conservation des choix de l’utilisateur (refus et acceptation) - la preuve du consentement

Le professionnel devra prouver l’information et le recueil du consentement.

💡Recommandations pratiques de la CNIL :

La recommandation propose des solutions permettant la conservation de cette preuve notamment par exemple dans le cas d’un Consent Management Plateform (solution de recueil du consentement), les informations peuvent être conservées, de façon horodatée, par les tiers éditant ces solutions.

De manière générale :

  • prouver que l’utilisateur a donné un consentement, prouver le choix de l’utilisateur (aussi le refus)
  • durée de conservation de six mois (mais effectuer une analyse au cas par cas en fonction de la nature du site internet ou de l'application et des spécificités de son audience,

  • renouveler le recueil du consentement à intervalles appropriés (tous les 6 mois mais effectuer une analyse au cas par cas)

5. Calendrier d’application

La CNIL a annoncé qu’elle effectuera des contrôles sur l’application des lignes directrices 6 mois après leur publication, c’est-à-dire à partir de fin mars 2021.

⚠️Il reste donc 6 mois aux professionnels pour se mettre en conformité.

 L'adoption du règlement e-Privacy actuellement en cours de discussion, fera l'objet d'une actualisation de cet article.

En résumé :

Avant fin mars 2021, il convient que chaque professionnel, aidé des recommandations pratiques de la CNIL, trouve le moyen adapté pour informer sur chaque cookie, recueillir un consentement valide lorsque cela est nécessaire, conserver la preuve du recueil de ce consentement, d’un refus, et en permettre le retrait.

RGPD impact e-commerçants


[1] Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019. Lignes directrices n° 2020-091 et recommandation n° 2020-092, adoptées le 17 septembre 2020 et publiées au Journal officiel du 2 octobre 2020.
[2] Conforme à l’arrêt Planet49 (CJUE 1er oct. 2019, aff. C-673/17)


 

0 Commentaires