Cookies & Traceurs - Les nouvelles lignes directrices de la CNIL

Les cookies sont des traceurs déposés et lus, par exemple, lors de la consultation d'un site internet sur un ordinateur, un smartphone ou une tablette… L'usage des cookies permet notamment de cibler le comportement des internautes et ainsi, par exemple, de leur proposer une page personnalisée.

blogTitle-Geo-Blocking_regulation

Le ciblage publicitaire en ligne est annoncé sujet prioritaire de la CNIL [1]pour 2019-2020.

Jusqu'à présent, le bandeau/la bannière...

« En poursuivant votre navigation sur ce site, vous acceptez l'utilisation des cookies » 

... Prévoyant un consentement implicite au dépôt de cookies et récurrent sur internet  était conforme. Il répondait aux règles issues de la recommandation de la CNIL de 2013 portant sur les cookies et autres traceurs qui permettaient le recueil implicite et général du consentement via la simple poursuite de la navigation (faire défiler une page, cliquer sur une page, consulter un site internet et effectuer une recherche au sein de celui-ci) .

Toutefois, ce procédé n'est plus conforme.

Il ne satisfait pas aux exigences du RGPD[2] et aux nouvelles lignes directrices de la CNIL relatives aux opérations de lecture ou d’écriture dans le terminal d'un utilisateur en particulier les cookies et traceurs.

En effet, le 4 juillet 2019, la CNIL a abrogé sa recommandation de 2013 et a publié une nouvelle Délibération, prenant en considération :

Les nouvelles lignes directrices de la CNIL ne couvrent que les opérations de lecture et d’écriture sur le terminal de l'utilisateur. Concernant les données à caractère personnel collectées à la suite de ces opérations, il convient de respecter les dispositions légales applicables.

Revenons donc en détails sur les points de cette Délibération (I) avant d'aborder sa mise en œuvre par les professionnels (II).

Les dispositions de la Délibération relative aux cookies et autres traceurs

A- Le consentement de l’utilisateur informé

  • Le détail des informations à fournir à l'internaute

Sauf exceptions, le dépôt de cookies/traceurs est possible seulement quand le professionnel dispose du consentement de l'utilisateur informé sur les traceurs.

L'information doit donc être fournie à l'utilisateur avant le dépôt de cookies nécessitant un consentement (art. 2 de la Délibération).

   Les informations à fournir à l'internaute doivent lui permettre de comprendre le fonctionnement des cookies et connaitre la portée de son consentement.

Les éléments à fournir pour une information « claire et complète » sont les suivants pour chaque cookies/traceurs :

- le nom de chaque cookie/traceur utilisé

- l'identité du responsable du traitement

- les finalités du dépôt, et si un traitement de données à caractère personnel[3] suit l'opération de dépôt, les finalités du traitement

- les destinataires des données ou les catégories de destinataires de données. Il convient d'informer l'utilisateur de toutes les entités ayant recours aux traceurs et donc à cet effet de lui fournir une liste complète et à jour de ces entités.

- la durée de fonctionnement des cookies ou lorsque ce n'est pas possible les critères pour déterminer cette durée

- la possibilité et les moyens de s'opposer aux traceurs

- la possibilité et les moyens de demander leur retrait sans subir d'inconvénient.

  • Moment de recueil du consentement

Il est nécessaire de recueillir le consentement avant tout accès aux informations présentes dans le terminal de l'utilisateur et stockage sur ce dernier, sauf exceptions.

  •  Mode de recueil du consentement

Selon la CNIL, en l'état actuel de la technique (et notamment au regard de la diversité de l'information à fournir et de la distinction des finalités des cookies), le paramétrage du navigateur (prévu par l'art. 82 de la loi Informatique et libertés) ne suffit pas pour recueillir valablement le consentement de l'utilisateur et lui permettre de former opposition au dépôt des cookies. 

  •  Caractères du consentement

Au regard des exigences du RGPD (art. 4 et 7), le consentement doit présenter les caractéristiques suivantes (art. 2 de la Délibération) :

  • libre : l'utilisateur ne doit pas être désavantagé en s’opposant à la mise en œuvre de traceurs ou en retirant son consentement à leur mise en œuvre.

  • spécifique : le consentement doit être donné spécifiquement pour chaque finalité. Cependant, il peut être donné de manière globale, en complément d´un consentement spécifique par finalité.

  • éclairé : l'utilisateur doit être informé[4] en des termes clairs et compréhensibles. L'information doit être visible au moment du recueil du consentement.

  • univoque : il doit résulter d'une manifestation de volonté c'est-à-dire une déclaration ou un acte positif clair. Les actions suivantes ne constituent pas l'expression d´un consentement :

-la poursuite de la navigation sur un site web ;

-l'utilisation d´une application mobile ;

-faire défiler une page web/application ;

-l'utilisation de cases pré-cochées ;

-l'acceptation globale des conditions générales d'utilisation.

  •  Exceptions au recueil du consentement préalable

L'art. 6 de La Délibération liste les opérations pour lesquelles le recueil préalable du consentement n´est pas nécessaire.

Il s'agit de celles ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou celles «strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur » (pour les boutiques en ligne, il s'agit en particulier des cookies panier et session de l'utilisateur).

L'internaute doit cependant être informé de l'utilisation de ces traceurs et de leur finalité, par exemple dans la Déclaration de protection des données.

  • Le cas des traceurs de mesure d'audience - les tests A/B

La mise en œuvre des traceurs peut être exemptée du recueil du consentement préalable si les conditions suivantes sont remplies (art. 5 de la Délibération) :

-mise en œuvre des traceurs par l'éditeur du site ou son sous-traitant ;

-information de l'utilisateur préalable à la mise en œuvre des traceurs ;

-l'utilisateur doit pouvoir s'opposer sur tous les terminaux, les applications et les navigateurs web… ;

- la finalité du dispositif est limitée à: « (i) la mesure d'audience du contenu visualisé afin de permettre l'évaluation des contenus publiés et l'ergonomie du site ou de l'application, (ii) la segmentation de l'audience du site web en cohortes afin d'évaluer l'efficacité des choix éditoriaux, sans que cela ne conduise à cibler une personne unique et (iii) la modification dynamique d'un site de façon globale » ;

- aucun recoupement des données à caractère personnel collectées avec d'autres traitements (fichiers clients ou statistiques de fréquentation d'autres sites) ni transmission à des tiers ;

- l'utilisation des traceurs est limitée à un seul éditeur de site / d'application mobile et à la production de statistiques anonymes. Elle ne doit pas permettre le suivi de la navigation de l'utilisateur sur différents sites web  ou sur différentes applications ;

- l'adresse IP peut être utilisée pour géolocaliser l'internaute (mais pas plus détaillé que la ville).

- suppression ou anonymisation de l'adresse IP une fois la géolocalisation effectuée ;

- durée de vie des traceurs : treize mois (pas de prorogation automatique lors de nouvelles visites) ;

- conservation des informations collectées par les traceurs : 25 mois maximum.

  •  Le refus et le retrait du consentement

Il n'est pas licite de bloquer l'accès à un site ou à une application lorsque l'utilisateur exprime sa volonté et refuse de donner son consentement (cookies wall).  L'utilisateur ne doit pas être pénalisé dans ce cas et doit pouvoir avoir la possibilité d’accéder au service. Une fois son consentement donné, l'utilisateur doit disposer d'un dispositif de retrait de ce dernier facile d’accès et d’usage.

[1] La CNIL (Commission Nationale Informatique et Libertés) est une autorité administrative indépendante en charge d´informer, de contrôler et de sanctionner en matière de données personnelles.


[2] Le Règlement général sur la protection des données (RGPD) s'applique depuis le 25 mai 2018 : Il contient des règles contraignantes notamment pour les professionnels concernant le traitement des données à caractère personnel sur le territoire de l’Union européenne.


[3] Toute opération portant sur des données à caractère personnel (enregistrement, conservation, modification, transmission, etc. ) (art. 4.2 RGPD)

[4]
Pour le contenu de l´information : voir la partie « Le détail des informations à fournir à l´internaute ».

Nouveau call-to-action

Mise en œuvre de la Délibération

La CNIL laisse aux professionnels une période transitoire de 12 mois pour prendre connaissance des nouvelles lignes directrices et mener de son côté une consultation auprès des acteurs du secteur.

Elle annonce la publication, en 2020, de recommandations sectorielles qui décriront les modalités pratiques de recueil du consentement et qui feront l'objet de contrôles des professionnels après une phase transitoire de 6 mois.

Ainsi, au regard de ce calendrier et jusqu'à mi-2020, la poursuite de la navigation reste un mode valable de recueil du consentement.

Question de timing 

 Le calendrier de la CNIL validé par le Conseil d'État

La décision de la CNIL de fixer une période transitoire et de reporter l'application de ses lignes directrices a fait l'objet d'un recours devant le Conseil d’Etat par des associations de protection des droits fondamentaux dans l'environnement numérique invoquant une violation du principe de prévisibilité de la loi, du droit à la vie privée et du droit à la protection des données à caractère personnel.

La requête de ces associations sollicitait l'annulation de la décision de report de la CNIL et ce faisant souhaitaient l'application immédiate des nouvelles lignes directrices. Elle se fondait notamment sur le RGPD et son interdiction du consentement tacite. Par deux arrêts du 14 août (référés-Nr. 433070) et du 16 octobre 2019 (au fond-Nr. 433069), le Conseil d’Etat a rejeté la requête.

Il a tout d'abord souligné que la décision de report prise par la CNIL entrait dans ses compétences et relevait de ses pouvoirs de contrôle et de sanction. Le Conseil d´Etat a ensuite souligné que le délai laissé aux professionnels permet à ces derniers d´être accompagnés par la CNIL dans leur mise en conformité et ne constituait pas un renoncement de la CNIL à sanctionner pendant la phase transitoire les violations graves et le non-respect des règles en vigueur notamment sur les cookies.

Articulation avec la position de la CJUE[5] au de l'arrêt Planet 49

Aux termes de l'arrêt Planet 49 rendu le 1er octobre 2019 (question préjudicielle[6] - aff. C-673/17), la CJUE considère que le consentement donné par le biais d'une case pré-cochée par défaut (il faut donc décocher la case pour refuser de donner son consentement) ne constitue pas un acte positif clair et dès lors ne peut être valable.

Le consentement nécessite une manifestation de volonté induisant donc un comportement actif  (une case cochée par défaut ne remplit pas cette condition, que les données  soient à caractère personnel ou non ne modifie pas la condition).

Cet arrêt se fonde notamment sur les dispositions du RGPD et en particulier cite le considérant 32 lequel précise « Il ne saurait dès lors y avoir de consentement en cas de silence, de cases cochées par défaut ou d'inactivité ».

[5] La CJUE : la Cour de justice de l'Union européenne assure "le respect du droit dans l'interprétation et l'application" des traités.

[6] La question préjudicielle permet à la CJUE d´interprète le droit de l'Union à la demande des juges nationaux.

RGPD impact e-commerçants

Sur le fond, la position de la CNIL ne diffère pas de celle exprimée au sein de l'arrêt Planet 49 puisque le consentement implicite n´est plus autorisé dans les nouvelles lignes Directrices.

Cependant, la décision de report de la CNIL est critiquable en ce qu'elle autorise les professionnels pendant une certaine période à se satisfaire d'un consentement implicite, ce qui est exclu au sein de l´arrêt Planet 49 et du RGPD.

Néanmoins, cette phase transitoire permet en pratique aux professionnels en France de se familiariser avec les nouvelles règles et, in fine, au plus tard à partir de mi-2020, d´ y être conforme.

Un professionnel qui continuerait de recueillir un consentement implicite pendant la phase transitoire ne devrait pas avoir de craintes (sous réserve du respect des autres dispositions en vigueur notamment la question du moment du dépôt des cookies qui ne doit pas précéder celui du recueil du consentement) puisque la CNIL, autorité en charge du respect de ces règles, est celle qui les a édictées (elle est aussi en charge du contrôle de l´application du RGPD).  

La responsabilité de la France, quant à elle, relève d'une analyse juridique qui sort du cadre de cet article.

Tant l'adoption du règlement e-Privacy[7], actuellement en cours de discussion, que la publication des nouvelles règles sectorielles en 2020 feront l'objet d'une actualisation de cet article.

En résumé et en pratique

Calendrier

  1. A ce jour : la poursuite de la navigation (consentement implicite) demeure l'expression valable d´un consentement selon la CNIL

  2. Début 2020 : publication par la CNIL des règles sectorielles

  3. A partir de mi-2020 : la poursuite de la navigation (consentement implicite) n'est plus tolérée par la CNIL comme mode de consentement valable. Début des contrôles de la CNIL à ce sujet.

Mise en application

  1. Sur le fond : dans l'attente de recommandations précises, il convient, en tout état de cause, d'informer l'utilisateur dès à présent et avant tout dépôt de cookies nécessitant un consentement.

  2. Sur la forme : l'utilisation d'une bannière ou d'un bandeau cookies n'est pas en soi une obligation. Il convient bien plus que chaque professionnel trouve le moyen adapté pour informer sur chaque cookie, recueillir le consentement, conserver la preuve du recueil de ce consentement et permettre son retrait (un outil de type consent manager par exemple). En outre, il convient d´actualiser la politique de protection des données à ce sujet.

[7] Considérants 20 à 21 a et art. 4a et 8 de la proposition de Règlement e-Privacy dans sa version du 17 octobre 2019

Des questions ? Contactez nos experts en cliquant sur la bannière ci-dessous : 

Contactez Trusted Shops

0 Commentaires