A la une
Banque - Finance

Cookies et autres traceurs : la CNIL a modifié ses lignes directrices et publié sa recommandation

02/10/2020
Après une phase de consultation publique de janvier à février 2020 qui a permis de rassembler plus de 760 contributions, la CNIL a publié sa recommandation sur les cookies et autres traceurs. Elle a également adopté des lignes directrices, qui abrogent celles qu'elle avait adoptées en juillet 2019, partiellement censurées par le Conseil d'État l'été dernier.

En juillet 2019, la CNIL avait adopté de nouvelles lignes directrices sur les cookies et autres traceurs (Délib. CNIL n° 2019-093, 4 juill. 2019), qui résultaient des dispositions de la directive 2002/58/CE dite ePrivacy, transposée en droit français à l'article 82 de la loi Informatique et libertés, et de la définition du consentement de l'article 4 du RGPD. Mais retoquée par le Conseil d'Etat par décision du 19 juin 2020, qui a estimé qu'en « déduisant une interdiction générale et absolue des cookie walls de la seule exigence d'un consentement libre posée par le RGPD, la CNIL a excédé ce qu'elle peut légalement faire, dans le cadre d'un instrument de droit souple », la Commission s'est donc vue contrainte de réviser ses lignes directrices. 

Des lignes directrices révisées, notamment à propos des cookie walls

C'est par délibération du 17 septembre que la CNIL a adopté des lignes directrices actualisées, qui abrogent la délibération du 4 juillet 2019. Elles reviennent sur le droit applicable aux opérations de lecture et/ou d'écriture d'informations (les traceurs) dans l'équipement terminal de communications électroniques de l'abonné ou de l'utilisateur, et notamment à l'usage de témoins de connexion (les cookies). 

Pour rappel, le consentement préalable de l'utilisateur est obligatoire pour toute opération des stockage d'informations ou d'accès aux informations stockées dans son terminal (ordinateur, tablette, smartphone, console de jeux vidéos, télévision connectée, etc.).

Les cookie walls sont susceptibles de porter atteinte à la liberté du consentement

Désormais, la formulation de la Commission sur la pratique des cookie walls est plus souple et prévoit que « le fait de subordonner la fourniture d’un service ou l’accès à un site web à l’acceptation d’opérations d’écriture ou de lecture sur le terminal de l’utilisateur  est susceptible de porter atteinte, dans certains cas, à la liberté du consentement. En cas de mise en place de cookie wall, et sous réserve de la licéité de cette pratique qui doit être appréciée au cas par cas, l’information fournie à l’utilisateur devrait clairement indiquer les conséquences de ses choix et notamment l’impossibilité d’accéder au contenu ou au service en l’absence de consentement ». Cette pratique n'est donc pas expressément décrite comme non conforme au RGPD, comme c'était le cas dans les lignes directrices de juillet 2019.

Informations à fournir à minima à la personne concernée

A propos du caractère éclairé du consentement, exigence exprimée par l'article 4.11 du RGPD, les lignes directrices précisent que les informations à fournir à l'utilisateur sont, à minima, les suivantes :

  • identité du ou des responsables de traitement des opérations de lecture ou écriture des données ;

  • finalité des opérations ;

  • manière d'accepter ou de refuser les traceurs (nouveauté) ;

  • conséquences qui s'attachent au refus ou à l'acceptation des traceurs (nouveauté) ;

  • existence du droit de retirer son consentement.

Le refus du consentement peut se déduire du silence de l'utilisateur

La CNIL précise dans ses lignes directrices mises à jour que « si le consentement doit se traduire par une action positive de l'utilisateur, le refus de ce dernier peut se déduire de son silence. L'expression du refus de l'utilisateur ne doit donc nécessiter aucune démarche de sa part ou doit pouvoir se traduire par une action présentant le même degré de simplicité que celle permettant d'exprimer son consentement ».

Traceurs exemptés de recueil du consentement

La Commission estime que les traceurs suivants sont exemptés de recueil du consentement :

  • les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;

  • les traceurs destinés à l’authentification auprès d’un service ;

  • les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer à l’utilisateur le ou les produits et/ou services achetés ;

  • les traceurs de personnalisation de l'interface utilisateur, lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;

  • les traceurs permettant l'équilibrage de la charge des équipements concourant à un service de communication ;

  • les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs ;

  • certains traceurs de mesure d’audience (strictement limités à la seule mesure d'audience sur le site ou l'application pour le compte exclusif de l'éditeur).

Des recommandations ni prescriptives, ni exhaustives

Pour compléter ses lignes directrices, la CNIL a également adopté par délibération du 17 septembre des recommandations qu'elle ne considère ni « prescriptives » ni « exhaustives », mais dont l'objet est de présenter des exemples de bonnes pratiques et des modalités concrètes de recueil du consentement de l'utilisateur. Elles ont été finalisées après la consultation publique organisée par la Commission entre le 14 janvier et le 25 février 2020, qui a permis d'obtenir les retours de 762 contributeurs, parmi lesquels 16% de DPO. 

La CNIL y précise que ne sont pas seulement concernés les cookies ; la recommandation vise « des technologies qui nécessitent d'accéder à des informations déjà stockées ou à inscrire des informations dans l'équipement terminal de l'utilisateur » : cookies flash, local storage, identification par calcul d'empreinte du terminal, identifiants générés par les systèmes d'exploitation, identifiants matériels, identifiant publicitaire, etc.

Elle recommande le développement d'interfaces standardisées avec l'emploi d'un vocabulaire uniformisé, dans un souci de transparence et de compréhension vis-à-vis de l'utilisateur. 

Chaque finalité doit notamment être « mise en exergue dans un intitulé court et mis en évidence, accompagné d'un bref descriptif ».

Exprimer son refus aussi facilement que son consentement

La CNIL précise qu'il est possible de proposer des boutons d’acceptation et de refus globaux au stade du premier niveau d’information, via par exemple la présentation de boutons intitulés « tout accepter » et « tout refuser », « j’autorise » et « je n’autorise pas », « j’accepte tout » et « je n’accepte rien » et permettant de consentir ou de refuser, en une seule action, à plusieurs finalités. Elle considère qu'il s'agit d'un moyen simple et clair pour permettre à l’utilisateur d’exprimer son refus aussi facilement que son consentement.

En tout état de cause, il est recommandé d'utiliser des boutons et une police d'écriture de même taille, offrant la même facilité de lecture, et mis en évidence de manière identique.

Délai de mise en conformité

La CNIL estime que le délai de mise en conformité aux nouvelles règles ne devra pas dépasser 6 mois, soit au plus tard fin mars 2021.

Pendant cette période, elle accompagnera les opérateurs mais se réservera la possibilité de sanctionner tout manquement, en particulier en cas d'atteinte grave au droit au respect de la vie privée.

Amélie Renard, Smart Action Protection des données personnelles
Ecrit par
Amélie Renard, Smart Action Protection des données personnelles