Cookies et autres traceurs : les nouvelles lignes directrices de la CNIL.

Suivant deux délibérations du 17 septembre 2020, la CNIL adopte de nouvelles lignes directrices et recommandations visant à mettre en conformité le recours aux cookies et autres traceurs.

Source : Délibération du 17 septembre 2020, n°2020-091 et n°2020-092 de la CNIL

 

En application de la directive 2002/58/CE dite « directive ePrivacy », les internautes doivent être informés et donner leur consentement préalablement au dépôt de certains traceurs, tandis que d’autres sont dispensés du recueil de ce consentement.

 

Les traceurs sont définis comme toutes les opérations visant à accéder, par voie de transmission électronique, à des informations déjà stockées dans l’équipement terminal d’un abonné ou d’un utilisateur d’un service de communication électronique ou à inscrire des informations dans celui-ci.

 

Ainsi, le consentement préalable de l'utilisateur est requis avant le stockage d'informations sur son terminal ou l'accès à des informations déjà stockées sur celui-ci, sauf si ces actions sont strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l'utilisateur ou ont pour finalité exclusive de permettre ou faciliter une communication par voie électronique.

 

L’article 82 modifié de la loi « Informatique et Libertés » du 6 janvier 1978 transpose ces dispositions en droit français.

 

L'obligation de recueil du consentement s’impose notamment aux éditeurs de sites web et d'applications mobiles, aux régies publicitaires ou encore aux réseaux sociaux.

 

Le consentement doit se manifester par une action positive de la personne préalablement informée des conséquences de son choix et des moyens d’accepter, de refuser et de retirer son consentement.

 

Sont visés en premier lieu les cookies liés aux opérations relatives à la publicité personnalisée ou aux réseaux sociaux.

 

Certains traceurs sont cependant exemptés du recueil de consentement, comme par exemple les traceurs destinés à l’authentification auprès d’un service, ceux destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand, certains traceurs visant à générer des statistiques de fréquentation, ceux permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs ou encore ceux gérant la préférence linguistique de l’utilisateur.

 

La CNIL précise que ces lignes directrices ne concernent pas la collecte de données à caractère personnel, ces traitements étant spécifiquement soumis au Règlement Général sur la Protection des Données (RGPD) entré en vigueur le 25 mai 2018.

 

En synthèse, ces lignes directrices et recommandations stipulent :

 

  S’agissant du consentement des utilisateurs :

 

  La simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute ;

 

  Les personnes doivent consentir au dépôt de traceurs par un acte positif clair (comme le fait de cliquer sur « j’accepte » dans une bannière cookie). Si elles ne le font pas, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur leur appareil ;

 

  Les utilisateurs devront être en mesure de retirer leur consentement, facilement, et à tout moment ;

 

  Refuser les traceurs doit être aussi aisé que de les accepter.

 

  S’agissant de l’information des personnes :

 

  Elles doivent clairement être informées des finalités des traceurs avant de consentir, ainsi que des conséquences qui s’attachent à une acceptation ou un refus de traceurs ;

 

  Elles doivent également être informées de l’identité de tous les acteurs utilisant des traceurs soumis au consentement ;

 

  Les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.

 

Par ailleurs la CNIL recommande que l’interface de recueil du consentement ne comprenne pas seulement un bouton « tout accepter » mais aussi un bouton « tout refuser ».

 

Elle suggère que les sites internet, qui généralement conservent pendant une certaine durée le consentement aux traceurs, conservent également le refus des internautes pendant une certaine période, afin de ne pas réinterroger l’internaute à chacune de ses visites.

 

En outre, pour que l’utilisateur soit bien conscient de la portée de son consentement, la CNIL recommande que, lorsque des traceurs permettent un suivi sur des sites autres que le site visité, le consentement soit recueilli sur chacun des sites concernés par ce suivi de navigation.

 

La CNIL exprime son souhait que le délai de mise en conformité aux nouvelles règle ne dépasse pas six mois, soit au plus tard à la fin du mois de mars 2021.

 

Vianney DESSENNE