Dans son rapport d’activité 2019, la CNIL consacre un chapitre à ses actions menées en matière de cookies.
I. Le cadre juridique
La CNIL rappelle être en charge de l’application du cadre juridique français et européen en matière de cookies, qui se compose de :
- la Directive ePrivacy adoptée en 2002 (et révisée en 2009), qui vise à compléter et préciser le cadre général applicable au traitement des données personnelles.
- la loi « Informatique et libertés » qui transpose en droit français la directive ePrivacy.
II. Les enjeux
La révision de la directive ePrivacy, sous forme de règlement, a été initiée en 2017 pour assurer la bonne articulation avec le RGPD. Toutefois, la date d’adoption de ce nouveau texte étant toujours incertaine et face à la nécessité de clarifier certaines pratiques non respectueuses des droits des personnes, la CNIL a décidé en 2019 « de faire du ciblage publicitaire une priorité ».
L’autorité relève en effet :
- Des enjeux de protection des données très forts pour les personnes par le caractère massif et parfois très intrusif du ciblage publicitaire ;
- Un renforcement des exigences en ce qui concerne les modalités de recueil du consentement, consécutif à l’entrée en vigueur du RGPD ;
- Un grand nombre de plaintes visant le ciblage publicitaire au moyen de cookies et soulevant l’absence de recueil d’un consentement valable ;
- Un souhait des acteurs du secteur de mieux comprendre leurs obligations.
III. Plan d’action de la CNIL
Afin de faire appliquer les règles en France, la CNIL a publié en 2019 des lignes directrices sur les cookies et autres traceurs (ayant fait l’objet d’une décision du Conseil d’Etat), puis adopté un projet de recommandation.
La CNIL a souhaité aussi développer des outils de sensibilisation des citoyens (CookieViz) et d’aide à la mise en conformité pour les organismes (outil PIA, Guide du développeur…).
Sur sa politique répressive, la CNIL précise que :
- Les investigations initiées en 2019 sur la base des plaintes reçues se poursuivent en 2020. Celles-ci visent « le respect des principes en vigueur depuis la révision de la directive ePrivacy intervenue en 2009, inchangés avec le RGPD, notamment le caractère préalable du consentement au dépôt de traceurs, l’information adéquate de l’utilisateur, ou encore la possibilité pour celui-ci de retirer effectivement son consentement. ».
- Une fois la recommandation adoptée (date non-encore définie) et le délai de 6 mois accordé pour se mettre en conformité passé, la CNIL « vérifiera alors le respect plein et entier des obligations de la loi Informatique et Libertés, y compris des nouveautés résultant de l’entrée en application du RGPD, en matière de traceurs et cookies, telles qu’éclairées par cette recommandation. »
Sur l’argument parfois avancé selon lequel la directive ePrivacy favoriserait les géants du numérique qui proposent des univers authentifiés, la CNIL souligne que les mêmes règles s’appliquent à tous les acteurs sans distinction dès lors qu’ils sont établis en Europe ou que leurs utilisateurs le sont.
Elle rappelle à cet égard que : « Le fait que l’utilisateur soit authentifié ne dispense aucunement de recueillir son consentement, dès lors que des traceurs non exemptés de consentement sont utilisés. ». Elle ajoute également que : « le fait d’utiliser un seul traceur pour de multiples finalités n’exonère pas non plus de recueillir le consentement pour les finalités qui le nécessitent. »
Enfin, la CNIL précise échanger régulièrement avec ses homologues européens afin de favoriser une harmonisation des positions dès lors que la directive ePrivacy fait l’objet d’une transposition variable d’un pays à l’autre et que son application est confiée à des autorités différentes. Une position harmonisée ne sera réellement renforcée qu’une fois le futur règlement adopté.
