1. Les cookies sont des fichiers témoins enregistrés sur un ordinateur ou un autre terminal (smartphone, tablette, objet connecté) et contenant des informations recueillies, notamment, à l’occasion de la consultation par l’utilisateur d’un site internet. Ces informations sont, par la suite, accessibles à l’éditeur du site lors de connexions ultérieures de l’utilisateur au moyen du même terminal. Elles permettent d’identifier les utilisateurs, ainsi que de mémoriser leurs habitudes et préférences, de sorte que les cookies constituent un procédé très efficace de ciblage publicitaire.
L'encadrement normatif de la pratique des cookies
Prise en compte par la Cnil de l'entrée en vigueur du RGPD
2. La pratique des cookies est actuellement encadrée par la directive européenne 2002/58/CE du 12 juillet 2002, dite « directive vie privée et communications électroniques » (modifiée par la directive 2009/136/CE du 25-11-2009). La loi 78-17 du 6 janvier 1978, dite loi Informatique et libertés, a transposé cette directive (art. 82). Elle vise les opérations par lesquelles l’éditeur d’un site web stocke certaines informations dans le terminal d’un utilisateur et y accède. Elle insiste essentiellement sur le droit au consentement des intéressés (Loi de 1978 art. 82, al. 1 à 4). Ces dispositions concernent toutes les sortes d’informations, et pas seulement les données à caractère personnel.
3. Lorsque les traceurs présentent également le caractère de données personnelles, il est nécessaire de combiner les dispositions de l’article 82 de la loi de 1978 avec celles applicables en matière de données personnelles.
Ceci explique pourquoi l’entrée en vigueur du RGPD, le 25 mai 2018, a conduit la Cnil à actualiser sa politique en matière de cookies, qui datait de 2013, et à adopter de nouvelles lignes directrices dans une délibération du 4 juillet 2019 (2019-093 : BRDA 17/19 inf. 17).
Le Conseil d’Etat ayant invalidé les dispositions de cette délibération concernant la pratique des « cookies walls » (CE 19-6-2020 n° 434684 : BRDA 14/20 inf. 19), la Commission les amende pour en tirer les conséquences : c’est l’objet de la délibération 2019-091 du 17 septembre 2020, qui modifie la délibération du 4 juillet 2019 sur ce point. Les autres dispositions sont reprises sans changement substantiel. La Cnil apporte toutefois des précisions quant aux responsables de traitements (Délib. 2020-091 art. 3).
Ajustements liés à la question de l'interdiction des « cookies walls »
4. La pratique des « cookies walls » consiste à bloquer l’accès au contenu d’un site pour l’utilisateur qui n’accepte pas globalement le dépôt de cookies ou la consultation des cookies déjà enregistrés par l’éditeur du site. En pratique, un bandeau de la page d’accueil demande à l’internaute de cliquer sur le bouton « J’accepte les cookies ». A défaut, l’accès au contenu est impossible.
Dans ses précédentes lignes directrices, la Cnil avait considéré « que le consentement ne peut être valable que si la personne concernée est en mesure d’exercer valablement son choix et ne subit pas d’inconvénients majeurs en cas d’absence ou de retrait du consentement » (Délib. 2019-093 art. 2, al. 4).
Estimant que cette disposition équivalait à une « interdiction générale et absolue » de la pratique des « cookies walls », alors même qu’aucune disposition de la loi de 1978 ni du RGPD ne l’interdit, le Conseil d’Etat avait jugé que la Commission excédait ainsi ce qu’elle pouvait légalement faire dans le cadre d’un instrument de « droit souple » (CE 19-6-2020 précité).
5. Les lignes directrices modificatives reviennent donc sur l’interdiction de la pratique des cookies walls.
6. La Cnil définit d’abord cette pratique comme celle qui subordonne la fourniture d’un service ou l’accès à un site web à l’acceptation d’opérations d’écriture ou de lecture sur le terminal de l’utilisateur. Elle estime que cette pratique est susceptible de porter atteinte, dans certains cas, à la liberté du consentement (Délib. 2020-091 art. 2).
La licéité des cookies walls appréciée au cas par cas
7. Elle précise qu’en cas de mise en place de cookie wall, et sous réserve de la licéité de cette pratique, qui doit être appréciée au cas par cas, l’information fournie à l’utilisateur devrait clairement indiquer les conséquences de ses choix et notamment l’impossibilité d’accéder au contenu ou au service en l’absence de consentement.
8. Il appartiendra donc à la Cnil de préciser ce qui est permis ou pas au fil de ses délibérations. Ainsi, on peut se demander ce qu’il en sera si l’opérateur qui veut subordonner l’accès au contenu de son site au dépôt de cookies permet à l’internaute d’opter, à titre alternatif, pour un accès au contenu, moyennant paiement par exemple.
Les modalités pratiques de mise en conformité des opérateurs
9. Dans une autre délibération du même jour (Délib. 2020-092 du 17-9-2020), la Cnil adopte par ailleurs une recommandation proposant aux opérateurs des modalités pratiques de mise en conformité, notamment en ce qui concerne l’information qu’ils doivent délivrer et les modalités concrètes de recueil du consentement des utilisateurs. La recommandation vise à guider les professionnels concernés dans leur démarche mais ses prescriptions ne s’imposent pas à eux.
Recommandations générales
10. La Cnil rappelle tout d’abord que toute inaction ou action des utilisateurs autre qu’un acte positif signifiant leur consentement (la poursuite de la navigation ne constituant pas un tel acte) doit être interprétée comme un refus de consentir (Délib. 2020-092 art. 2, § 9 à 11 ; Délib. 2020-091 art. 2, § 27).
11. En ce qui concerne la forme de l’information, elle insiste sur le fait que l’information transmise aux utilisateurs doit être compréhensible et ne doit pas induire en erreur. A cet égard, les opérateurs doivent notamment, au travers du design choisi et de l’information délivrée, s’assurer que les utilisateurs prennent la pleine mesure des options qui s’offrent à eux. Pour la Commission, l’utilisation d’une terminologie juridique ou technique trop complexe est susceptible de rendre incompréhensible cette information par les utilisateurs (Délib. 2020-091 art. 2, § 22).
Ainsi, la Cnil encourage le développement d’interfaces standardisées, fonctionnant de la même manière et utilisant un vocabulaire uniformisé, notamment en ce qui concerne l’information sur les finalités.
Information sur les finalités
12. On sait que l’utilisateur doit être informé sur les différentes finalités des traceurs avant tout recueil de son consentement (Loi 78-17 art. 82), ce consentement devant en principe être donné finalité par finalité (RGPD considérant 43).
13. A cet effet, la Commission recommande que chaque finalité soit mise en exergue dans un intitulé court et mis en évidence, accompagné d’un bref descriptif (Délib. 2020-092 art. 2.1) et, pour faciliter la tâche des opérateurs, fournit plusieurs modèles d’information.
Elle donne, par exemple, un modèle d’information sur l’utilisation des traceurs pour :
- afficher de la publicité personnalisée (« Publicité personnalisée : [nom du site / de l’application] [et des sociétés tierces / nos partenaires] utilise / utilisent des traceurs afin d’afficher de la publicité personnalisée en fonction de votre navigation et de votre profil ») ;
- adapter l’information en fonction de la géolocalisation de l’internaute (« Publicité géolocalisée : [nom du site / de l’application] [et des sociétés tierces / nos partenaires] utilise / utilisent des traceurs pour vous adresser de la publicité en fonction de votre localisation »).
14. La Cnil recommande en outre d’ajouter à ce premier niveau d’information, fourni sur un premier écran, une information plus détaillée sur les finalités, pouvant par exemple être affichée sous un bouton de déroulement que l’internaute peut activer directement depuis le premier niveau d’information, ou rendue disponible en cliquant sur un lien hypertexte présent à ce premier niveau.
Expression du consentement ou du refus de l'utilisateur
15. L’utilisation de traceurs nécessite que l’internaute ait manifesté son consentement de manière libre, spécifique, éclairée et univoque, par une déclaration ou par un acte positif clair (Loi 78-17 art. 8 ; RGPD art. 4 ; Délib. 2020-091 art. 2).
La Cnil donne à ce titre un certain nombre d’exemples concrets de recueil de consentement répondant à ces exigences (Délib. 2020-092 art. 2). Nous en citons ici quelques-uns.
Caractère univoque du consentement
16. Le consentement sera univoque s’il est demandé au moyen de cases à cocher, décochées par défaut ou d’interrupteurs décochés par défaut, si le choix est aisément identifiable. Les lignes directrices précisent en revanche que continuer à naviguer ou faire défiler la page d’un site web ne sera pas considéré comme un acte positif clair.
Caractère libre du consentement
17. La validité du consentement pourra être affectée s’il est recueilli de manière simultanée et unique pour plusieurs opérations de traitement répondant à des finalités distinctes, sans possibilité d’accepter ou de refuser finalité par finalité (Délib. 2020-091 art. 2, § 19) . La Cnil recommande, pour garantir que le consentement donné l’a été librement, de le demander à l’internaute pour chaque finalité poursuivie. L’internaute pourra quand même y consentir globalement, si toutes les finalités lui ont été toutes présentées. La Cnil autorise donc les boutons « Tout accepter » et « Tout refuser ». Pour permettre le consentement par finalité, à ces deux boutons pourra être ajouté, au même niveau, un bouton « Personnaliser mes choix ». Il est également possible de proposer d’accepter ou de refuser finalité par finalité, ou encore qu’un menu déroulant propose les boutons « Accepter » et « Refuser » à chaque fois que l’on clique sur une finalité.
Modalités de refus
18. Le refus des traceurs peut se déduire du silence de l’utilisateur ; il ne doit donc nécessiter aucune démarche de ce dernier ou doit pouvoir se traduire par une action présentant le même degré de simplicité que celle permettant d’exprimer son consentement (Délib. 2020-091 art. 2, § 30) : le mécanisme de refus doit être accessible sur le même écran que celui qui permet de consentir ; les boutons « Tout accepter » et « Tout refuser » doivent de même être présentés au même niveau et sur le même format.
Il doit aussi être indiqué clairement, si cela est le cas, que le refus peut se manifester par la fermeture de la fenêtre de recueil de consentement ou l’absence d’interaction avec celle-ci pendant un certain temps, afin que l’internaute comprenne qu’aucun traceur ne sera alors utilisé. Là encore, la Cnil recommande un design et une information appropriés pour rendre les options compréhensibles.
19. Pour que l’internaute n’ait pas à manifester ses choix à chaque visite sur le site, ceux-ci peuvent être enregistrés pendant un certain temps, même s’il est nécessaire que le recueil du consentement soit renouvelé à intervalles réguliers. La Cnil recommande donc une durée de conservation des choix de consentement ou de refus pendant six mois.
Le consentement donné doit pouvoir être retiré à tout moment de manière aisément accessible, par exemple, comme le mentionne la Cnil, par le biais d’un lien dénommé « Gérer mes cookies » ou « Cookies » accessible à tout moment depuis le service concerné (Délib. 2020-092 art. 3) .
Retrait et gestion du consentement
20. Les utilisateurs ayant donné leur consentement doivent pouvoir le retirer à tout moment et doivent être informés de manière simple et intelligible des solutions mises à leur disposition pour le retirer (Délib. 2020-092 art. 3).
La Cnil suggère que la simplicité de ces solutions peut se mesurer au temps passé et au nombre d’actions nécessaires pour effectivement retirer le consentement.
21. Cette faculté peut par exemple être offerte via un lien accessible à tout moment. Là encore, la Commission insiste sur la nécessité d’une terminologie descriptive et intuitive, telle que « Module de gestion des cookies » ou « Gérer mes cookies » ou bien « Cookies » (Délib. 2020-092 art. 3, § 42).
Traceurs exemptés
22. Il existe certains traceurs pour l’installation desquels il n’est pas nécessaire de recueillir de consentement de l’internaute (Délib. 2020-091 art. 5 ; Délib. 2020-092 art. 5).
La Cnil relève en effet que les utilisateurs n’ont pas à être informés sur l’existence d’opérations de lecture et écriture non soumises à consentement préalable, par exemple un cookie stockant la préférence linguistique de l’utilisateur, qui n’est pas un traitement de données personnelles.
Peuvent également être cités comme exemptés : les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt des traceurs, ceux destinés à l’authentification auprès d’un service ou à garder en mémoire le contenu d’un panier d’achat ou à facturer l’utilisateur d’un produit ou d’un service acheté ou encore ceux permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu.
La Cnil recommande que les utilisateurs soient néanmoins informés de l’existence de ces traceurs et de leur finalité.
23. Les traceurs dont la finalité est strictement limitée à la mesure d’audience peuvent également être exemptés du recueil du consentement car ils sont strictement nécessaires au fonctionnement et opérations d’administration courante d’un site web ou d’une application, comme la détection de problèmes de navigation, l’estimation de la puissance des serveurs nécessaire ou l’analyse des contenus consultés. La Cnil recommande notamment que les utilisateurs soient informés de la mise en œuvre de ces traceurs, que leur durée de vie soit limitée (une durée de treize mois est indiquée comme durée permettant une comparaison pertinente des audiences dans le temps), et que les informations collectées par le biais de ces traceurs ne soient pas conservées plus de vingt-cinq mois.
24. Si un même traceur est utilisé pour plusieurs finalités, dont certaines ne sont pas exemptées, le recueil du consentement préalable est requis.
Délai de mise en conformité
25. La Cnil a indiqué sur son site internet (https://www.cnil.fr/fr/cookies-et-autres-traceurs-la-cnil-publie-des-lignes-directrices-modificatives-et-sa-recommandation) que les opérateurs disposent d’un délai de six mois pour se mettre en conformité avec ces nouvelles règles, soit jusqu’à fin mars 2021. La Commission précise que, pendant cette période, elle privilégiera l’accompagnement des opérateurs, même si elle se réserve la possibilité de poursuivre notamment les atteintes particulièrement graves à la vie privée, et qu’elle continuera de poursuivre les manquements aux règles antérieures au RGPD relatives aux cookies.
Pour en savoir plus sur cette question : voir Mémento Concurrence Consommation n°1702
Suivez les dernières actualités juridiques et assurez la reprise de l’activité pour vos clients ou votre entreprise avec Navis :
Vous êtes abonné ? Accédez à votre Navis à distance.
Pas encore abonné ? Nous vous offrons un accès au fonds documentaire NAVIS toutes matières pendant 10 jours.