menu
Actualités
Publié le 30 janvier 2020 par Laure Marolleau

Recommandation de la CNIL sur les cookies

Dans le cadre de son plan d’action sur le ciblage publicitaire, la CNIL propose une consultation sur un projet de recommandation concernant des modalités pratiques de recueil du consentement de l’internaute pour les opérateurs utilisant des traceurs[1].

Suite aux lignes directrices rappelant le droit applicable aux cookies et autres traceurs adoptées le 4 juillet 2019[2], elle a conduit une concertation pendant l’automne 2019 afin d’élaborer un projet de recommandation proposant des modalités opérationnelles de recueil du consentement. Ce projet est soumis à consultation publique jusqu’au 25 février 2020. À l’issue de cette période, une nouvelle version du projet de recommandation sera présentée pour adoption définitive.

Adaptation au droit

L’application du règlement général sur la protection des données[3] (RGPD) a renforcé les exigences en matière de validité du consentement. La simple poursuite de la navigation sur un site web ne peut plus être regardée comme une expression valide du consentement au dépôt de cookies, qui doit désormais résulter d’un acte positif univoque de l’internaute. Par ailleurs, le RGPD prévoit expressément que les acteurs doivent être en mesure de prouver qu’ils ont effectivement recueilli un consentement valide des internautes.

Le risque associé au recueil de ce consentement étant significatif (le RGPD prévoit la possibilité de prononcer une amende jusqu’à 4 % du chiffre d’affaires de l’entreprise prise en faute), la CNIL a annoncé un plan d’action pour aligner ses recommandations avec les nouvelles règles de consentement applicables en matière de placement de cookies et autres traceurs permettant la mesure d’audience, l’établissement de profils d’utilisateurs, ainsi que la publicité ciblée.

La recommandation n’a pas vocation à être prescriptive. Son objectif est de proposer des exemples concrets de mise en œuvre de la réglementation. Quelques-uns d’entre eux sont présentés ici.

Recueil du consentement
  • Consentement éclairé :

Les finalités des traceurs doivent être présentées à l’utilisateur avant que celui-ci se voie offrir la possibilité de consentir ou de ne pas consentir à leur utilisation.

L’utilisateur doit pouvoir prendre connaissance de l’identité de l’ensemble des responsables du ou des traitements avant de pouvoir donner son consentement ou refuser.

  • Consentement libre :

Le consentement ne peut être valide que si l’utilisateur est en mesure d’exercer librement son choix, dans les conditions rappelées par les lignes directrices.

En pratique, une demande de consentement pourrait prendre la forme de cases que l’utilisateur peut choisir de cocher pour exprimer son consentement. L’utilisateur peut également avoir le choix entre deux boutons présentés au même niveau et sur le même format, sur lesquels sont inscrits respectivement « accepter » et « refuser » par exemple.

Par ailleurs, afin de permettre à l’utilisateur de ne pas faire de choix, le responsable du ou des traitements peut intégrer une croix de fermeture sur l’interface de recueil du consentement, ou permettre à l’utilisateur de faire disparaître celle-ci en cliquant en dehors de l’interface.

  • Consentement spécifique :

L’utilisateur doit se voir offrir la possibilité de donner son consentement de façon indépendante et spécifique pour chaque finalité distincte.

Par exemple, la simple acceptation globale de conditions générales d’utilisation ou de vente ne permet pas d’obtenir un consentement spécifique.

Il est possible de proposer à l’utilisateur de consentir de manière globale à un ensemble de finalités mais à certaines conditions.

  • Consentement univoque :

Le consentement doit se manifester par un acte positif clair de l’utilisateur.

Concrètement, par sa présentation, le mécanisme de recueil du consentement doit permettre à la personne concernée d’avoir conscience de l’objectif et de la portée de l’acte qui lui permet de signifier son accord ou son désaccord.

Exemption

La CNIL rappelle que l’exigence de consentement ne s’applique pas aux opérations qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique, ou sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Elle indique qu’ « en l’état des pratiques portées à la connaissance de la Commission, les traceurs suivants peuvent, en particulier, être regardés comme exemptés:

  • les traceurs conservant le choix exprimé par l’utilisateur sur le dépôt de traceurs ou la volonté de celui-ci de ne pas exprimer un choix;
  • les traceurs destinés à l’authentification auprès d’un service;
  • les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand;
  • les traceurs de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu par l’utilisateur du service;
  • les traceurs permettant l’équilibrage de la charge des équipements concourant à un service de communication;
  • les traceurs permettant aux sites payants de limiter l’accès gratuit à leur contenu à une quantité prédéfinie et/ou sur une période limitée;
  • les traceurs permettant la mesure d’audience, dans le cadre spécifié par l’article 5 des lignes directrices relatives aux cookies et autres traceurs. »
Retrait et durée du consentement

Les utilisateurs ayant donné leur consentement à l’utilisation de traceurs doivent être en mesure de le retirer à tout moment. La Commission rappelle qu’il doit être aussi simple de retirer que de donner son consentement.

Dans la mesure où le consentement peut être oublié par les personnes qui l’ont manifesté à un instant donné, la Commission recommande que celui-ci soit renouvelé à des intervalles appropriés sans attendre que l’utilisateur ait retiré son consentement. La durée de validité du consentement dépendra du contexte, de la portée du consentement initial et des attentes de l’utilisateur.

De manière générale, la Commission estime qu’une durée de validité de six mois à partir de l’expression du choix de l’utilisateur est adaptée.

Preuve du consentement

Les responsables du ou des traitements doivent être en mesure de démontrer que l’utilisateur a donné son consentement.

En pratique, elle recommande les mécanismes suivants :

  • L’enregistrement de l’information permettant la bonne prise en compte du consentement pourrait s’effectuer au niveau du mécanisme de recueil du consentement, c’est-à-dire le traceur dans le cas d’un navigateur web, ou bien le paramètre utilisé pour stocker l’information du consentement dans le cas d’une application mobile, etc.
  • Les données ainsi enregistrées pourraient inclure un horodatage du consentement, le contexte dans lequel le consentement a été recueilli (identification du site web ou de l’application mobile), le type de mécanisme de recueil du consentement utilisé, et les finalités auxquelles l’utilisateur a consenti.
Calendrier

A partir de début 2020, les actions de la CNIL seront, au début, limitées au respect des principes précédemment exposés dans la recommandation de 2013. Des mesures correctrices, y compris des sanctions, pourront être adoptées en cas de non-respect des obligations dont le périmètre est précisé depuis 2013 et qui perdurent dans la nouvelle recommandation.

Des missions de contrôle sur l’application du nouveau cadre seront ensuite réalisées à la fin de la période d’adaptation annoncée par la CNIL, soit 6 mois après la publication définitive de la recommandation. Ces contrôles porteront notamment sur les acteurs ayant un impact particulièrement important sur le quotidien des citoyens et dont les pratiques posent de sérieuses questions de conformité.

Compétence

La CNIL indique être compétente pour contrôler et, le cas échéant, sanctionner les dispositions de l’article 82 de la loi « informatique et libertés » pour tous les services qui déposent et accèdent à des cookies ou traceurs sur des terminaux situés en France.


[1] https://www.cnil.fr/fr/cookies-et-autres-traceurs

[2] Cf. article intitulé Nouvelles lignes directrices de la CNIL sur les cookies publié sur notre Blog en septembre 2019. Si la CNIL a mis fin avec ses lignes directrices au consentement valablement rendu par la poursuite de la navigation, elle a décidé de tolérer jusqu’à la mi-2020 cette pratique. Cette décision a fait l’objet d’une requête en référé demandant au Conseil d’État la suspension de son exécution et d’une requête en annulation. Ces requêtes ont respectivement été rejetées par ordonnance en date du 14 août 2019 et arrêt du 16 octobre 2019.

[3] Cf. article intitulé RGPD : comment se mettre en conformité d’ici le 25 mai 2018 ? publié sur notre blog en mars 2018