Cookies – la poursuite de la navigation ne vaut plus acceptation.

Analyse de la Délibération CNIL n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives aux cookies et autres traceurs publiée le 19 juillet 2019.

Ces lignes directrices annulent la recommandation CNIL n°2013-378 du 5 décembre 2013.

Cette délibération qui impose de recueillir un consentement conforme au RGPD, s’applique à toute sorte de traceur et peu importe le terminal ou les systèmes d’exploitation, y compris les adresses MAC.

 Rappelons tout d’abord que l’article 82 de la loi « Informatique et Libertés » prévoit le consentement des personnes dans les termes suivants :

« Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

2° Des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. »

Cet article prévoit donc une information préalable et un droit d’opposition (1), ainsi qu’un consentement spécifique (2). Seuls certains cookies sont exemptés de consentement (3).

1. L’information préalable

Avant de consentir ou d’accepter les cookies, la personne doit être informée (a minima) :

– de l’identité du ou des responsables de traitement ;

– de la finalité ou des finalités des cookies ;

– de l’existence du droit de retirer son consentement.

Ce qui était communément appelé le « bandeau cookies » doit donc évoluer afin d’y ajouter la possibilité de retirer son consentement.

La Commission rappelle qu’afin que le consentement soit éclairé, l’utilisateur doit pouvoir identifier l’ensemble des entités ayant recours à des traceurs avant de pouvoir y consentir. Ainsi, « la liste exhaustive et régulièrement mise à jour de ces entités doit être mise à disposition » par exemple au moyen d’un lien renvoyant vers une « cookies policy » ou vers les mentions légales du site.

 

2. Le consentement

Les traceurs nécessitant un recueil du consentement ne peuvent être utilisés en écriture ou en lecture « tant que l’utilisateur n’a pas préalablement manifesté son consentement de manière libre, spécifique, éclairée et univoque ». Il doit s’agir d’un acte positif clair, telle qu’une case à cocher ou un bouton « j’accepte ».

Nouveau : le fait de continuer à naviguer sur un site web, d’utiliser une application mobile ou bien de faire défiler la page d’un site web ou d’une application mobile ne constituent plus « des actions positives claires assimilables à un consentement valable ».

L’acceptation globale de conditions générales d’utilisation ne peut davantage être une modalité valable de recueil du consentement. Les cases pré-cochées sont également à proscrire.

Le consentement doit être spécifique : un utilisateur peut consentir aux cookies de mesures d’audiences et refuser les cookies publicitaires. Cela implique de prévoir plusieurs boutons d’acceptation.

Le refus des cookies ne doit pas entraîner de conséquences négatives pour l’utilisateur : la pratique qui consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas à être suivi, n’est pas conforme au RGPD.

L’article 7 du RGPD impose que le consentement soit démontrable, ce qui signifie que les sociétés exploitant des traceurs doivent mettre en œuvre des mécanismes leur permettant de démontrer :

  • qu’ils ont valablement recueilli le consentement des utilisateurs ;
  • qu’un utilisateur qui s’est opposé au dépôt de cookies n’est pas suivi ;
  • qu’un utilisateur qui a retiré son consentement n’est plus suivi.

L’article 82 de la loi précise que le consentement peut résulter de paramètres appropriés du dispositif de connexion de la personne ou de tout autre dispositif placé sous son contrôle. Cependant, la CNIL considère que ces paramétrages du navigateur « ne peuvent, en l’état de la technique, permettre à l’utilisateur d’exprimer la manifestation d’un consentement valide », et ce pour 3 raisons :

  • les navigateurs web ne permettent pas d’assurer un niveau suffisant d’information préalable des personnes ;
  • les navigateurs ne permettent pas de distinguer les cookies en fonction de leurs finalités, ce qui signifie que l’utilisateur n’est pas en mesure de consentir de manière spécifique pour chaque finalité ;
  • les paramétrages du navigateur ne permettent pas aujourd’hui d’exprimer un choix sur d’autres technologies que les cookies (telle que le fingerprinting par exemple).

Si une société spécialisée inscrit des informations et/ou accède à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, exclusivement pour le compte d’un responsable de traitement et sans réutilisation pour son propre compte des données collectées via le traceur, cette société est sous-traitant de données. En conséquence, le responsable de traitement et le sous-traitant doivent établir un contrat précisant les obligations de chaque partie, dans le respect des dispositions de l’article 28 du RGPD.

3. Exceptions au recueil du consentement

A. Certains cookies de mesure d’audience sont exemptés de recueil du consentement. Ils doivent remplir les conditions suivantes :

– ils doivent être mis en œuvre par l’éditeur du site ou bien par son sous-traitant ;

– la personne doit être informée préalablement à leur mise en œuvre ;

– la personne doit pouvoir s’y opposer par l’intermédiaire d’un mécanisme d’opposition facilement utilisable ;

– la finalité du dispositif doit être limitée à (i) la mesure d’audience du contenu visualisé afin de permettre l’évaluation des contenus publiés et l’ergonomie du site ou de l’application, (ii) la segmentation de l’audience du site web en cohortes afin d’évaluer l’efficacité des choix éditoriaux, sans que cela ne conduise à cibler une personne unique et (iii) la modification dynamique d’un site de façon globale. Les données à caractère personnel collectées ne doivent pas être recoupées avec d’autres traitements (fichiers clients ou statistiques de fréquentation d’autres sites, par exemple) ni transmises à des tiers. L’utilisation des traceurs doit également être strictement cantonnée à la production de statistiques anonymes. Sa portée doit être limitée à un seul éditeur de site ou d’application mobile et ne doit pas permettre le suivi de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web ;

– l’utilisation de l’adresse IP pour géolocaliser l’internaute ne doit pas fournir une information plus précise que la ville. L’adresse IP collectée doit également être supprimée ou anonymisée une fois la géolocalisation effectuée ;

– les traceurs utilisés par ces traitements ne doivent pas avoir une durée de vie excédant 13 mois et cette durée ne doit pas être prorogée automatiquement lors des nouvelles visites. Les informations collectées par l’intermédiaire des traceurs doivent être conservées pendant une durée de 25 mois maximum.

Si le cookie de mesure d’audience ne respecte pas toutes ces conditions cumulatives, les internautes doivent l’accepter expressément.

B. L’article 82 prévoit que l’exigence du consentement préalable ne s’applique pas si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

– a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; ou

– est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Toutefois, même pour les cookies non soumis au consentement, l’information préalable (« bandeau cookies ») est obligatoire.

Enfin, il est important de rappeler que les informations tirées des cookies sont souvent utilisées dans des traitements de données dont la finalité a pour but le marketing ou une meilleure connaissance du client, voir le profilage. Les modalités de traitement de ces données déduites des cookies doivent respecter l’ensemble des dispositions légales applicables, en fonction de la finalité.

Charlotte GALICHET

Bookmark the permalink.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *