La nouvelle délibération de la CNIL au sujet (sensible) du pistage en ligne était très attendue par les internautes soucieux de la protection de leurs données et par les professionnels qui réclamaient une position claire sur le sujet.
Intervenue le 17 septembre 2020, elle marque une nouvelle étape dans la régulation des cookies, ces petits fichiers installés sur le terminal d’un utilisateur (smartphone, ordinateur, console de jeux vidéo…) afin de suivre sa navigation.
Ils sont dits « techniques » (pour la sécurité du site, la mémorisation des préférences…), « de personnalisation » (utile pour développer des contenus pertinents sans publicité ciblée), « d’audience » (utilisé pour l’optimisation du site…), ou encore « de profilage » (destinés à analyser et prédire le comportement de l’utilisateur).
D’autres technologies sont utilisées à des fins comparables : identifiant publicitaire présent sur nos smartphones, finger-printing (empreinte du navigateur conservée par l’éditeur d’un site), IP-hacking (technologie permettant notamment d’augmenter les prix d’un bien ou service à mesure du temps passé par l’utilisateur sur le site).
La CNIL a rapidement précisé que toutes ces technologies étaient soumises à la règlementation sur les cookies, telle qu’elle résulte notamment de la directive e-privacy[1] modifiée en 2009[2], et qui devrait bientôt être substituée par un règlement dont l’entrée en vigueur se fait attendre[3].
Toutes nécessitent le consentement de l’utilisateur, qui doit être préalable au stockage d’informations sur le terminal ou à l’accès aux informations déjà stockées mais également libre, spécifique, éclairé et univoque (sauf si ces actions sont nécessaires à la fourniture d'un service de communication en ligne demandé par l'utilisateur ou ont pour finalité exclusive de permettre ou faciliter une communication par voie électronique).
Longtemps la CNIL[4] a toléré que la simple navigation puisse les autoriser, ce jusqu’au RGPD qui exige désormais un acte positif clair[5] de l’utilisateur. Le consentement implicite avait été condamné par la CNIL. Dans sa délibération du 4 juillet 2019, la CNIL a condamné le consentement implicite et avait ainsi cru pouvoir tirer de cette règle un principe d’interdiction générale des cookie walls qui conditionnent l’accès au site à l’acceptation des cookies.
Le Conseil d’État y a vu un excès de pouvoir de la part de l’autorité administrative indépendante dont les recommandations ne constituent qu’un instrument de droit souple, et a censuré ce point[6].
Aujourd’hui, la Commission revient donc sur sa position en la matière et laisse 6 mois aux éditeurs de site, application mobile, système d’exploitation, aux régies publicitaires et réseaux sociaux pour s’y conformer, que les cookies portent ou non sur des données personnelles. Elle exclut toutefois de son champ d’application les traitements portant sur les données produites ou collectées via ces cookies qui sont, dès lors qu’elles sont à caractère personnel, soumis au RGPD.
Quelles informations préalables ?
L’utilisateur doit être parfaitement informé des conséquences de ses choix.
Devront donc notamment être indiquées :
La finalité des opérations : Il faudra faire apparaitre directement la finalité principale (publicité personnalisée, géolocalisée, ou encore utilisée pour un partage sur les réseaux sociaux). Une description plus détaillée pourra être accessible à un second niveau par le biais d’un lien hypertexte accessible au premier niveau d’information.
La portée du consentement : L’utilisateur doit connaitre l’ensemble des sites pour lesquels il donne son consentement. Il est recommandé de solliciter un consentement distinct pour chaque site.
L’identité des responsables du traitement des données : Elle pourra être communiquée au second niveau d’information par le biais d’un lien hypertexte.
Comment le consentement doit-il être recueilli ?
Le consentement doit être libre et spécifique - L’utilisateur devra pouvoir accepter ou refuser l’ensemble des opérations de traçage par la mise en place d’un bouton « tout refuser » à côté de l’actuel « tout accepter ». Il doit également pouvoir accepter ou refuser chaque finalité de manière indépendante, mais cela pourra intervenir au second niveau d’information en cliquant sur un lien hypertexte.
Le consentement doit être éclairé – La CNIL rappelle que l’information doit être rédigée en des termes simples et compréhensibles par tous et qu’elle doit permettre aux utilisateurs d’être dûment informés des différentes finalités des traceurs utilisés. Ce qui exclut nécessairement l’emploi de termes juridiques complexes. Par ailleurs, l’information doit être accessible et visible, le renvoi aux CGU ne permettant pas une telle accessibilité. L’information, complète et donc mentionnant les responsables de traitement et coresponsables conjoint, doit être fournie avant le recueil du consentement.
Le consentement doit être univoque - La Commission recommande pour cela de recourir à des moyens simples ne nécessitant pas de réflexion pour l’utilisateur, comme les interrupteurs ou les cases à cocher, qui devront être désactivées par défaut. Elle en profite pour rappeler que le silence ou l’inaction des utilisateurs constitue un refus du paramétrage de cookies sur leur terminal.
Le choix effectué, quel qu’il soit, devra être conservé par les éditeurs de sites - La CNIL conseille à cet égard de conserver le choix pour une durée de 6 mois afin de préserver la liberté de choix des utilisateurs et de conserver la preuve du consentement.
L’utilisateur doit pouvoir à tout moment retirer son consentement - Ce retrait peut notamment se faire via un lien utilisant une dénomination claire (« module de gestion des cookies » ; « gérer mes cookies ») ou une icône « cookies » facilement accessible sur le site.
Que faire des cookie walls ?
Contrainte de reconnaître la validité de principe des cookies walls pour tirer les conséquences de la décision du Conseil d’Etat, la CNIL se montre prudente à leur égard. L’Autorité évaluera désormais au cas par cas leur licéité. Les professionnels devront mettre en avant une information suffisamment claire permettant à l’utilisateur de comprendre que son refus des cookies lui interdira l’accès au site.
Existe-t-il des exceptions ?
Certains traceurs sont exemptés de l’exigence de consentement dans certaines hypothèses définies par la CNIL, essentiellement destinées à faciliter la navigation de l’utilisateur, et notamment :
Les cookies conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
Les cookies destinés à l’authentification auprès d’un service ;
Les cookies visant à garder en mémoire un panier d’achat ;
Ou encore les traceurs de personnalisation de l’interface utilisateur (choix de la langue, par exemple).
Qui sont les acteurs concernés par ces recommandations ?
Dans cet écosystème, si les données concernées sont des données à caractère personnel, seront concernés les éditeurs de site, notamment de réseaux sociaux, les éditeurs d’applications mobiles, les systèmes d’exploitation ou encore les régies publicitaires en qualité de responsables de traitement avec des subtilités toutefois lorsque plusieurs acteurs sont susceptibles d’intervenir sur un même traitement.
Ce sera le cas lorsque l’éditeur d’un site dépose des traceurs pour son propre compte, peu importe qu’il en sous-traite la gestion. Les règles du RGPD relatives à la sous-traitance s’appliqueront.
Le tiers qui dépose des traceurs pour son propre compte sur un service qu’il n’édite pas sera également considéré comme responsable de traitements.
Dans ce dernier cas, dans la mesure où l’éditeur et le tiers déterminent conjointement les finalités et moyens des opérations, l’éditeur du site ou de l’application mobile autorisant le dépôt de cookies et le tiers déposant seront conjointement responsables du traitement[7], et devront veiller à définir de manière transparente leurs obligations respectives[8].
Même si l’éditeur ne maîtrise pas la finalité de ces opérations, il est susceptible d’être considéré comme coresponsable du traitement. Sa responsabilité ne sera pas pour autant équivalente à celle de son partenaire - la répartition devant s’apprécier au cas par cas - mais il conviendra d’être vigilant quant à la licéité des traceurs, notamment concernant le recueil du consentement[9].
*
Ces prescriptions de la CNIL s’inscrivent dans le contexte particulier de la longue attente du règlement e-privacy, principalement critiqué car il serait de nature à compromettre le financement des médias par la publicité en ligne.
[1] Directive 2002/58/CE du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques, transposée à l’article 82 de la loi Informatique et Libertés [2] Directive 2009/136/CE modifiant la directive susvisée [3] Le règlement e-privacy devait initialement entrer en vigueur en même temps que le RGPD. [4] Lignes directrices de la CNIL n° 2013-378 du 5 décembre 2013 [5] Articles 4(11) et 7 du RGPD [6] Conseil d’État, 19 juin 2020, n° 434684 [7] CJUE, Fashion ID GmbH & Co. KG c. / Verbraucherzentrale NRW eV, 29 juillet 2019, C-40/17 [8] Article 26 du RGPD [9] Article 3 des lignes directrices ; Conseil d’État, Challenges, 6 juin 2018, n° 412589