La CNIL a finalisé ses recommandations en matière de cookies en adoptant le 17 septembre 2020 deux délibérations[1].
La première délibération constitue les lignes directrices relatives au recueil obligatoire du consentement des personnes (elle abroge la délibération n° 2019-093 du 4 juillet 2019). Le second texte porte sur les modalités pratiques de mise en œuvre.
J’aborde ici les différents points en commençant par ceux qui, je pense, vont vous intéresser le plus :
Les cookies exemptés de consentement :
L’exigence de consentement ne s’applique pas aux opérations qui :
– ont pour finalité exclusive de permettre ou de faciliter la communication par voie électronique ou,
– sont strictement nécessaires à la fourniture d’un service de communication en ligne demandé expressément par l’utilisateur.
Une information de l’utilisation de ces cookies via la politique de confidentialité du site ou de l’application mobile suffit.
La liste des cookies exemptés est la suivante :
- les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
- les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues ;
- les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer à l’utilisateur le ou les produits et/ou services achetés ;
- les traceurs de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
- les traceurs permettant l’équilibrage de la charge des équipements concourant à un service de communication ;
- les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
- certains traceurs de mesure d’audience, sous les réserves mentionnées ci-après.
La question est de savoir si cette liste est exhaustive.
Attention, l’utilisation d’un même traceur pour plusieurs finalités, dont certaines n’entrent pas dans le cadre de ces exemptions, nécessite de recueillir préalablement le consentement des personnes concernées.
Les cookies de mesure d’audience exemptés :
La CNIL admet que les statistiques de fréquentation et/ou de performance sont « dans de nombreux cas indispensables au bon fonctionnement du site ou de l’application et donc à la fourniture du service ». Sont donc exemptés de consentement, les traceurs dont la finalité se limite à la mesure de l’audience du site ou de l’application, pour répondre à différents besoins (mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de l’ergonomie, estimation de la puissance des serveurs nécessaires, analyse des contenus consultés, etc.) La présence du « etc » est importante.
Ces traceurs exemptés doivent avoir une finalité strictement limitée à la seule mesure de l’audience pour le compte exclusif de l’éditeur. Ces traceurs ne doivent notamment pas permettre le suivi global de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web. De même, ces traceurs doivent uniquement servir à produire des données statistiques anonymes, et les données à caractère personnel collectées ne peuvent pas être recoupées avec d’autres traitements ni transmises à des tiers. Si tel est le cas, l’exigence de consentement réapparait.
A contrario, si le cookie de mesure d’audience ne bénéficie pas exclusivement à l’éditeur, s’il permet de suivre la navigation sur plusieurs sites, si les données produites ne sont pas strictement anonymes (or, la mesure d’audience est souvent liée à un ID), ou si les données sont recoupées avec d’autres traitements, un consentement sera nécessaire.
Autres exigences concernant les cookies de mesure d’audience exemptés :
- les utilisateurs doivent être informés de la mise en œuvre de ces traceurs, par exemple via la politique de confidentialité du site ou de l’application mobile ;
- la durée de vie des traceurs doit être limitée à 13 mois, et ne doit pas être prorogée automatiquement lors des nouvelles visites ;
- les informations collectées par l’intermédiaire de ces traceurs ne peuvent être conservées que pour une durée maximale de vingt-cinq mois ;
- les durées de vie et de conservation ci-dessus mentionnées doivent faire l’objet d’un examen périodique.
La CNIL recommande que les traceurs précédemment listés comme étant exemptés du recueil du consentement ne soient utilisés que pour une seule et même finalité, afin que l’absence de consentement des utilisateurs soit sans effet sur l’usage des traceurs nécessaires à leur navigation.
Le consentement :
Il est rappelé que pour les cookies et traceurs soumis au consentement, les règles de validité et de preuve du consentement s’appliquent à tous les traceurs, qu’ils impliquent ou non des données à caractère personnel au sens du RGPD.
A la date d’adoption des lignes directrices, la CNIL estime que les possibilités de paramétrage des navigateurs et des systèmes d’exploitation ne peuvent pas, à eux seuls, permettre à l’utilisateur d’exprimer un consentement valide, d’autant qu’ils ne permettent pas, à ce jour, de distinguer les traceurs en fonction de leurs finalités.
Au sens du RGPD, l’utilisateur est réputé consentir à un type de cookies s’il exprime sa volonté de manière libre, spécifique, éclairée et univoque, par une déclaration ou par un acte positif clair.
Le silence et l’inaction équivalent à un refus[2].
Afin de s’assurer du caractère libre du consentement donné, la Commission recommande de demander aux utilisateurs leur consentement de façon indépendante et spécifique pour chaque finalité distincte.
Le consentement devant être donné en toute connaissance de cause (« consentement éclairé »), la Commission distingue toujours 2 niveaux d’informations possibles :
Elle évoque un premier écran permettant de connaître :
- l’identité du ou des responsables de traitement des opérations de lecture ou écriture[3] ;
- la liste courte des finalités des opérations de lecture ou écriture des données[4] ;
- les conséquences qui s’attachent à un refus ou une acceptation des traceurs ;
- l’existence du droit de retirer son consentement ;
- la manière d’accepter ou de refuser les traceurs (par ex : les boutons « accepter » et « refuser » ou « tout accepter », « tout refuser »).
Et un deuxième écran, qu’elle appelle aussi « l’interface de recueil du consentement », présentant :
- une description plus détaillée des finalités ;
- la possibilité d’accepter ou de refuser chaque finalité ;
- les informations spécifiques sur les autres responsable de traitement(s) : identité, lien vers leur politique de traitement des données à caractère personnel ;
- les boutons « tout accepter » et « tout refuser ».
Lorsque des traceurs soumis au consentement, déposés par d’autres entités que l’éditeur du site ou de l’application mobile, permettent un suivi de la navigation de l’utilisateur au-delà du site ou de l’application mobile où ceux-ci sont initialement déposés, la Commission recommande fortement que le consentement soit recueilli sur chacun des sites ou applications concernés par ce suivi de navigation.
Concernant la description plus détaillée des finalités, la CNIL donne les exemples suivants pour la finalité publicitaire : « le plafonnement de l’affichage (parfois appelé « capping publicitaire », consistant à ne pas présenter à un utilisateur une même publicité de manière trop répétitive), la lutte contre la « fraude au clic » (détection d’éditeurs prétendant réaliser une audience publicitaire supérieure à la réalité), la facturation de la prestation d’affichage, la mesure des cibles ayant plus d’appétences à la publicité pour mieux comprendre l’audience, etc. »
Les traceurs destinés à partager des données sur les réseaux sociaux :
Leur finalité peut être décrite de la manière suivante : « Partage sur les réseaux sociaux : Notre site / application utilise des traceurs pour vous permettre de partager du contenu sur les réseaux sociaux ou plateformes présents [sur notre site / application] ».
Si l’éditeur a choisi de mettre en place un mécanisme permettant de ne déclencher ces traceurs que lorsque l’utilisateur souhaite effectivement partager des données avec les réseaux sociaux concernés (et qu’ils interagissent avec la fonctionnalité ou le bouton permettant cette interaction), l’information et le recueil du consentement peut n’apparaitre que lorsque l’utilisateur décide de déclencher ladite fonctionnalité de partage.
Présentation des boutons :
Il est possible de proposer des boutons d’acceptation et de refus globaux au stade du premier niveau d’information, ainsi qu’un bouton « personnaliser mes choix » ou « décider par finalité ».
Attention, le mécanisme permettant d’exprimer un refus de consentir aux opérations de lecture et/ou d’écriture doit être accessible sur le même écran et avec la même facilité que le mécanisme permettant d’exprimer un consentement[5].
Lorsque la personne poursuit sa navigation sans consentir (ce qui équivaut à un refus), la CNIL demande que le message sollicitant le consentement (par exemple, la fenêtre ou le bandeau) disparaisse au bout d’un laps de temps court, de manière à ne pas gêner l’utilisation du site ou de l’application.
La Commission recommande également que le mécanisme permettant de gérer et de retirer son consentement soit placé dans une zone qui attire l’attention des utilisateurs ou dans des zones où ils s’attendent à le trouver, et que les visuels utilisés soient les plus explicites possibles.
Preuves :
La preuve de l’existence du consentement : les éditeurs doivent conserver, pour chaque cookie et chaque personne, la preuve de l’acceptation des traceurs. La Commission considère, de manière générale, que la conservation du consentement et du refus pendant une durée de 6 mois constitue une bonne pratique.
Dans le cas où un éditeur ne collecte pas lui-même le consentement des utilisateurs (notamment pour les traceurs dits « cookies tiers »), la seule présence d’une clause contractuelle engageant l’une des parties à recueillir un consentement valable pour le compte de l’autre partie ne suffit pas, l’éditeur doit exiger du tiers qui recueille le consentement de lui donner accès à la preuve du consentement.
Enfin, la Commission encourage les professionnels à nommer le traceur permettant de stocker le choix des utilisateurs « eu-consent », en attachant à chaque finalité une valeur booléenne « vrai » ou « faux » mémorisant les choix effectués.
La preuve de la validité du consentement : la CNIL va assez loin en recommandant les pratiques suivantes :
- Les différentes versions du code informatique utilisé par l’organisme recueillant le consentement peuvent être mises sous séquestre auprès d’un tiers, ou, plus simplement, un condensat (ou « hash ») de ce code peut être publié de façon horodatée sur une plate-forme publique, pour pouvoir prouver son authenticité a posteriori ;
- Une capture d’écran du rendu visuel affiché sur un terminal mobile ou fixe peut être conservée, de façon horodatée, pour chaque version du site ou de l’application ;
- Des audits réguliers des mécanismes de recueil du consentement mis en œuvre par les sites ou applications depuis lesquels il est recueilli peuvent être mis en œuvre par des tiers mandatés à cette fin ;
- Les informations relatives aux outils mis en œuvre et à leurs configurations successives (tels que les solutions de recueil du consentement, également connues sous l’appellation CMP, pour « Consent Management Plateform ») peuvent être conservées, de façon horodatée, par les tiers éditant ces solutions.
Champ d’application des recommandations de la CNIL :
Les recommandations portent, en particulier, sur l’utilisation des cookies HTTP, par lesquels ces actions de lecture ou écriture sont le plus souvent réalisées, mais également d’autres technologies telles que les « local shared objects » appelés parfois les « cookies Flash », le « local storage » mis en œuvre au sein du standard HTML 5, les identifications par calcul d’empreinte du terminal ou « fingerprinting », les identifiants générés par les systèmes d’exploitation (qu’ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.), les identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d’un appareil), etc.
La CNIL vous laisse 6 mois pour vous mettre en conformité. A votre disposition pour la mise en place.
Charlotte GALICHET
01.42.36.53.91
c.galichet@avocatspi.com
[1] Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée, aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019 ; Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs ».
[2] La simple poursuite de la navigation ne vaut plus acceptation. Le refus peut aussi être manifesté par la simple fermeture de la fenêtre de recueil du consentement ou encore par l’absence d’interaction avec celle-ci pendant un certain laps de temps.
[3] Les utilisateurs doivent pouvoir prendre connaissance de l’identité de l’ensemble des responsables du ou des traitements, y compris les responsables de traitement conjoints, avant de donner leur consentement ou de refuser. L’éditeur du site ou de l’application mobile et le tiers déposant des traceurs sont réputés être responsables conjoints du traitement s’ils déterminent conjointement les finalités et les moyens des opérations de lecture et écriture sur l’équipement terminal des utilisateurs. Pour les autres RT et les RT conjoint, possibilité de ne préciser que le nombre et une description de leur rôle par catégorie puis lien vers la liste exhaustive.
[4] Exemples : publicité personnalisée, publicité non personnalisée, publicité géolocalisée, personnalisation de contenu
[5] Une interface de recueil du consentement qui nécessite un seul clic pour consentir tandis que plusieurs actions sont nécessaires pour « paramétrer » un refus de consentir est vivement déconseillé.