Le recueil du consentement aux cookies : la CNIL a publié son projet de recommandation

Suite à la publication de ses lignes directrices sur les cookies et autres traceurs le 4 juillet 2019, la CNIL a souhaité proposer des exemples opérationnels de recueil du consentement.

 

Ce projet de recommandation a été élaboré à la suite d’une concertation avec des représentants des professionnels de la publicité numérique ainsi qu’avec des représentants de la société civile.

Le texte est soumis à consultation publique jusqu’au 25 février 2020.

 

Il est précisé que les paragraphes intitulés « bonnes pratiques » dans le document publié par la CNIL, ne sont pas obligatoirement à être mis en place. La CNIL précise qu’il s’agit de « bonnes pratiques permettant d’aller au-delà des exigences légales. »

 

  1. Périmètre

Cette recommandation concerne tous les environnements web et mobiles, et pas seulement les éditeurs de contenus éditoriaux. Elle concerne tous les traceurs soumis au consentement et pas seulement les cookies publicitaires.

La CNIL liste de manière stricte les cookies non soumis au consentement :

  • les traceurs conservant le choix exprimé par l’utilisateur sur le dépôt de traceurs ou la volonté de celui-ci de ne pas exprimer un choix ;
  • les traceurs destinés à l’authentification auprès d’un service ;
  • les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ;
  • les traceurs de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu par l’utilisateur du service ;
  • les traceurs permettant l’équilibrage de la charge des équipements concourant à un service de communication ;
  • les traceurs permettant aux sites payants de limiter l’accès gratuit à leur contenu à une quantité prédéfinie et/ou sur une période limitée ;
  • les traceurs permettant la mesure d’audience, dans le cadre spécifié par l’article 5 des lignes directrices relatives aux cookies et autres traceurs.

 

Un traceur perd le bénéfice de l’exemption dès lors qu’il est également utilisé pour une autre finalité soumise au consentement.

 

L’obligation de recueillir le consentement est attachée à la finalité du traceur et non aux caractéristiques techniques de sa mise en œuvre.

 

La recommandation s’applique :

 

  • à l’éditeur souhaitant répondre à un besoin qu’il a défini (par exemple, mesurer son audience) et faisant appel pour répondre à cette finalité :
  • à des tiers qui émettent des traceurs, en agissant selon ses seules instructions et pour son compte. Dans ce cas, les tiers agissent en tant que sous-traitants de l’éditeur ;
  • à des traceurs que l’éditeur émet et dont il assure en propre la gestion ;
  • au tiers au site ou à l’application consultés par l’utilisateur, qui dépose des traceurs afin de collecter des données pour une finalité qu’il a déterminée (par exemple, le tiers propose à plusieurs éditeurs un service d’enrichissement des données qu’il collecte à partir de traceurs mis en œuvre sur différents sites ou applications).

 

La présence d’un mécanisme permettant de recueillir le consentement libre, spécifique, éclairé et univoque des utilisateurs relève de la responsabilité de l’éditeur du site ou de l’application, qui a accepté le dépôt de ces traceurs, qu’il s’agisse d’opérations de lecture ou d’écriture.

 

Selon un sondage IFOP de décembre 2019, 95 % des personnes interrogées savent ce qu’est un cookie (67 % prétendent même savoir “précisément” de dont il s’agit) et 70% conviennent du caractère indispensable de la loi imposant aux sites d’obtenir l’accord des utilisateurs pour se servir des données de navigation via des cookies, même si cela prend un peu plus de temps dans la navigation. 90 % “souhaitent savoir quelles sont les entreprises susceptibles de suivre leur navigation et jugent insuffisantes les informations actuellement disponibles à ce sujet”.

 

  1. Consentement éclairé

 

2.1. La Commission recommande que chaque finalité soit mise en exergue dans un intitulé court et mis en évidence, lequel serait accompagné d’un bref descriptif.

 

Ex : pour les cookies de mesure d’audience (lorsque ces traceurs sont soumis au consentement, c’est-à-dire qu’ils ne respectent pas toutes les conditions prévues à l’article 5 des lignes directrices relatives aux cookies et autres traceurs), la finalité peut être décrite comme suit : « Mesure d’audience : Notre site via Google Analytics utilise des traceurs pour mesurer l’audience de notre site ».

 

En plus de ce texte déjà clair, la CNIL recommande un niveau supplémentaire d’informations. Par exemple pour la mesure d’audience, il peut être précisé que les traceurs seront utilisés pour permettre au responsable du ou des traitements de comprendre la façon dont les visiteurs accèdent au site web ou à l’application mobile, ainsi que les parcours réalisés.

Pour la publicité, il peut être précisé que cette finalité englobe différentes opérations techniques telles que l’affichage de la publicité, le plafonnement de l’affichage (parfois appelé « capping publicitaire », consistant à ne pas présenter à un utilisateur une même publicité de manière trop répétitive), la lutte contre la fraude au clic (détection d’éditeurs prétendant réaliser une audience publicitaire supérieure à la réalité), la facturation de la prestation d’affichage, la mesure des cibles ayant plus d’appétences à la publicité pour mieux comprendre l’audience, etc.

 

2.2. L’éditeur du site doit également mettre à disposition une liste des responsables de traitements qui déposent/utilisent des cookies, non seulement dans une « politique cookies » permanente mais aussi, au moment du recueil du consentement.

La liste devra être mise à jour et « en cas d’ajout substantiel, le consentement de l’utilisateur devrait être redemandé avant la poursuite des opérations de lecture et ou d’écriture d’informations sur son équipement terminal. »

 

« Enfin, pour que l’utilisateur soit pleinement conscient de la portée de son consentement, il devrait notamment savoir si ce dernier est valable pour le suivi de sa navigation sur d’autres sites ou applications que ceux depuis lesquels son consentement est recueilli. Une information relative à l’étendue du suivi de navigation permis par les traceurs, indiquant les différents sites et applications concernés devrait être rendue accessible à l’utilisateur avant qu’il n’exprime un choix. »  La Commission recommande d’utiliser une dénomination descriptive et utilisant des termes clairs telle que « liste des sociétés utilisant des traceurs sur notre site / application ».

 

  1. Consentement libre

 

Le mécanisme permettant d’exprimer son consentement devrait se situer au même niveau et être présenté selon les mêmes modalités techniques que le mécanisme permettant d’exprimer son refus.

 

Qu’il s’agisse d’un consentement ou d’un refus, ce choix doit être enregistré par le responsable de traitement de manière à ne pas solliciter à nouveau, pendant un certain laps de temps, le consentement de l’utilisateur.

Cet enregistrement a aussi pour objectif de ne pas solliciter de nouveau l’utilisateur qui aurait refusé. « Cette pression continue serait susceptible de pousser l’utilisateur à accepter par lassitude. Le fait de ne pas enregistrer le refus de consentir pourrait donc avoir comme conséquence d’exercer une pression de nature à influencer son choix, et remettrait ainsi en cause la liberté du consentement qu’il exprime. »

 

La Commission considère que le refus devrait être enregistré (et donc pris en compte) pour une durée au moins identique à celle pour laquelle le consentement est enregistré.

 

La possibilité d’accepter ne doit pas être mise plus en valeur que la possibilité de refuser.

 

Selon le sondage IFOP précité, seuls 22% refusent en général, dont 7% à chaque fois. Cette défiance est plus marquée chez les 65 ans et plus (28% vs 22% en moyenne).

 

Les sites sont autorisés à permettre à l’utilisateur de retarder son choix ou de ne pas faire de choix.

En l’absence de toute manifestation de choix (ni acceptation, ni refus), aucun traceur nécessitant le consentement ne devrait être déposé. L’utilisateur pourrait alors être sollicité de nouveau tant qu’il n’exprime pas de choix.

Le responsable du ou des traitements peut intégrer une croix de fermeture sur l’interface de recueil du consentement, ou permettre à l’utilisateur de faire disparaître celle-ci en cliquant en dehors de l’interface, par exemple.

 

  1. Consentement spécifique

 

Nous savons déjà que la simple acceptation globale de conditions générales d’utilisation ou de vente ne permet pas d’obtenir un consentement spécifique.

 

Mais la Commission considère que l’obligation de recueillir un consentement spécifique ne fait pas obstacle à la possibilité de proposer à l’utilisateur de consentir de manière globale à un ensemble de finalités, à condition :

  • d’avoir présenté à l’utilisateur, au préalable, l’ensemble des finalités ;
  • de permettre également à l’utilisateur de consentir finalité par finalité ;
  • qu’une possibilité de refuser de façon globale soit également fournie au même niveau et dans les mêmes conditions que la possibilité de consentir de façon globale.

 

Afin de s’assurer que l’internaute n’a pas été incité à accepter plutôt qu’à refuser à cause de la représentation graphique, il est recommandé d’utiliser des boutons et une police d’écriture de même taille, offrant la même facilité de lecture, et mis en évidence de manière identique.

 

Il n’est donc plus possible de présenter un gros bouton vert Accepter au côté d’un lien « en savoir plus », ce terme n’étant pas assez explicite pour que l’utilisateur comprenne qu’il aura la possibilité de refuser.

 

Exemple pratique fourni par la CNIL : l’utilisateur pourrait être invité à cliquer sur chaque finalité afin qu’un menu déroulant lui propose des boutons « accepter » ou « refuser ». Il est également possible d’inclure un bouton, sur le même niveau d’information que les liens ou boutons permettant de tout accepter et de tout refuser, et permettant d’accéder au choix finalité par finalité. Dans ce cas, il convient d’utiliser une dénomination descriptive et intuitive afin que les utilisateurs puissent avoir pleinement conscience de la possibilité d’exercer un choix par finalité. A titre d’exemple, un bouton « personnaliser mes choix » ou « décider par finalité » permet d’indiquer clairement cette possibilité.

 

  1. Consentement univoque

 

Une demande de consentement effectuée au moyen de cases à cocher (en opt out évidemment), est considéré comme facilement compréhensible par l’utilisateur. Le responsable du ou des traitements peut également avoir recours à des interrupteurs (« sliders »), désactivés par défaut. L’information accompagnant chaque élément actionnable ne devrait pas être rédigée de telle manière qu’une lecture rapide ou peu attentive pourrait laisser croire que l’option sélectionnée produit l’inverse de ce que l’utilisateur pensait choisir.

 

  1. Retrait et durée du consentement

 

Les utilisateurs doivent être informés de manière simple et intelligible, avant même de donner leur consentement, des solutions mises à leur disposition pour retirer leur consentement, voire de la durée de validité de leur consentement si une telle durée a été définie.

 

Cela signifie-t-il qu’il est possible de ne pas fixer de durée ? Nous ne le pensons pas.

 

La possibilité de retirer son consentement peut par exemple être offerte via un lien accessible à tout moment depuis le service concerné. Il est recommandé d’utiliser une dénomination descriptive et intuitive telle que « module de gestion des cookies » ou « gérer mes cookies » ou bien « cookies », etc

 

Il est étonnant que la CNIL n’impose pas un bouton ou un lien « supprimer mon consentement » !!

 

En tout état de cause, la Commission recommande que le mécanisme permettant de retirer son consentement soit placé dans une zone qui attire l’attention des utilisateurs ou dans des zones où l’utilisateur s’attend à le trouver, et que les visuels utilisés soient les plus explicites possible.

 

Nous considérons que l’utilisateur peut s’attendre à trouver ce mécanisme dans la « Politique cookies », ou dans un lien en pied de page près des mentions légales ou de la Politique de confidentialité.

 

Selon la CNIL, le consentement pourrait être renouvelé tous les 6 mois, même si elle admet que la durée de validité du consentement dépendra du contexte, de la portée du consentement initial et des attentes de l’utilisateur. En conséquence, une société pourra resolliciter un utilisateur ayant refusé les cookies tous les 6 mois également.

 

Le sondage IFOP révèle que 40% des personnes interrogées souhaitent qu’une demande de consentement pour utiliser des cookies interviennent à chaque visite, et 27% environ tous les mois

 

  1. Preuve du consentement

 

Le responsable du ou des traitement(s) doit être en mesure :

  • de rapporter une preuve individuelle du recueil du consentement des utilisateurs ; et
  • de démontrer que le mécanisme mis en place pour collecter le consentement présente bien toutes les caractéristiques permettant de recueillir un consentement valable (libre, spécifique, éclairé et univoque), apportant ainsi une preuve de validité globale du processus de recueil du consentement.

 

En pratique, afin d’apporter la preuve individuelle du consentement, la Commission recommande les mécanismes suivants :

  • L’enregistrement de l’information permettant la bonne prise en compte du consentement pourrait s’effectuer au niveau du mécanisme de recueil du consentement, c’est-à-dire le traceur dans le cas d’un navigateur web, ou bien le paramètre utilisé pour stocker l’information du consentement dans le cas d’une application mobile, etc.
  • Les données ainsi enregistrées pourraient inclure un horodatage du consentement, le contexte dans lequel le consentement a été recueilli (identification du site web ou de l’application mobile), le type de mécanisme de recueil du consentement utilisé, et les finalités auxquelles l’utilisateur a consenti.

 

Heureusement que la CNIL précise en préambule que la recommandation n’est pas prescriptive ni exhaustive.

 

S’agissant de la preuve de validité du consentement, la Commission recommande les modalités suivantes :

  • Une preuve de validité du consentement peut être obtenue par une mise sous séquestre auprès d’un tiers du code informatique utilisé par l’organisme recueillant le consentement, pour les différentes versions de son site ou de son application mobile ; ou
  • Une capture d’écran du rendu visuel affiché sur un terminal mobile ou bureau peut être conservée pour chaque version du site ou de l’application ; ou
  • Des audits réguliers des mécanismes de recueil du consentement mis en œuvre par les sites ou applications depuis lesquels il est recueilli peuvent être mis en œuvre.

 

  1. Modalités d’usage des cookies

 

Bonnes pratiques :

 

  • ne pas avoir recours à des techniques de masquage de l’identité de l’entité utilisant des traceurs, telles que la délégation de sous-domaine ;
  • les noms des traceurs utilisés doivent être explicites et, dans la mesure du possible, uniformisés quel que soit l’acteur à l’origine de leur émission. Ex : nommer le traceur permettant de stocker le choix de l’utilisation « eu-consent » en attachant à chaque finalité une valeur booléenne « vrai » ou « faux » mémorisant les choix effectués.
  • Dans le cas où l’utilisateur n’a pas souhaité s’exprimer, le traceur peut stocker le nombre de pages visualisées par l’utilisateur ou une date de référence afin de limiter la fréquence de présentation de l’interface de recueil de consentement.

 

NB : Une étude vient de souligner que sur les 10 000 sites les plus populaires en Grande-Bretagne, seuls 11, 8 % respectent la règlementation, ce qui signifie que 88,2% utilisent des méthodes trompeuses pour forcer les internautes à accepter le pistage publicitaire (https://arxiv.org/abs/2001.02479).

Charlotte GALICHET

Bookmark the permalink.

Comments are closed