CONTACT

Nouvelles lignes directrices de la CNIL sur les cookies

26 septembre 2019 | Derriennic Associés|

Tenant compte de la nouvelle définition du consentement introduite par le RGPD, ainsi que des lignes directrices du CEPD sur le sujet, la CNIL a adopté de nouvelles lignes directrices, datées du 4 juillet 2019, relatives à l’application l’article 82 de la loi informatique et liberté aux opérations de lecture ou d’écriture dans le terminal d’un utilisateur.

  1. La CNIL a adopté le 4 juillet 2019 de nouvelles lignes directrices sur les cookies, modifiant ainsi sa position quant à la façon de recueillir le consentement. Ces lignes directrices ont vocation à s’appliquer quels que soient les systèmes d’exploitation, les navigateurs ou les terminaux utilisés (y compris consoles de jeux vidéo, télévision connectée, véhicule connectée, assistant vocal, etc.).

Pour rappel, avant l’adoption de ces nouvelles lignes directrices, la CNIL recommandait de faire apparaitre un bandeau sur le site internet utilisant des cookies. Ce bandeau devait indiquer la finalité des cookies, ainsi que le fait que la poursuite de la navigation sur le site valait consentement à leur utilisation. Un lien vers une page permettant de paramétrer l’utilisation des cookies devait également apparaitre.

  1. Dans ces nouvelles lignes directrices, la CNIL indique que le consentement, qui doit être conforme à la définition et aux conditions prévues aux articles 4 (11) et 7 du RGPD, doit, tout d’abord, demeurer libre. En conséquence, il « ne peut être valable que si la personne concernée est en mesure d’exercer valablement son choix et ne subit pas d’inconvénient majeurs en cas d’absence ou de retrait du consentement». Ainsi, « la pratique qui consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (« cookie walls ») n’est pas conforme au RGPD ».

Afin, ensuite, d’assurer le caractère spécifiquedu consentement, la personne concernée doit être en mesure de consentir « spécifiquement à chaque finalité ». Ainsi, « l’acceptation globale de conditions générales d’utilisation ne peut être une modalité valable de recueil du consentement, dans la mesure où celui-ci ne pourra être donné de manière distincte pour chaque finalité ».

Par ailleurs, afin d’assurer le caractère éclairédu consentement, l’information doit être rédigée en des termes « simples et compréhensibles par tous ». Elle doit en effet permettre aux utilisateurs d’être « parfaitement informés des différentes finalités des traceurs utilisés » et « l’utilisation d’une terminologie juridique ou technique trop complexe ne répond pas à l’exigence d’information préalable ». Cette information qui doit être complète, visible et mise en évidence au moment du recueil du consentement, doit informer les utilisateurs sur :

  • l’identité du ou des responsables de traitement ;
  • la finalité des opérations de lecture ou d’écriture des données ;
  • l’existence du droit de retirer son consentement.

La CNIL ajoute que l’utilisateur doit pouvoir identifier l’ensemble des entités ayant recours à des traceurs avant de pouvoir y consentir. La liste de ces entités doit ainsi être mise à disposition de l’utilisateur « directement lors du recueil de son consentement ».

Enfin, afin d’assurer le caractère univoquedu consentement, « le fait de continuer à naviguer sur un site web, d’utiliser une application mobile ou bien de faire défiler la page d’un site web ou d’une application mobile » ne s’analyse pas comme « des actions positives claires assimilables à un consentement valable ». De même, l’utilisation de cases pré-cochées ne saurait être considérée comme un acte positif clair visant à donner son consentement.

  1. La CNIL ajoute que les organismes exploitant des traceurs doivent « mettre en œuvre des mécanismes permettant de démontrer, à tout moment, qu’ils ont valablement recueilli le consentement des utilisateurs».

Quant aux personnes ayant donné leur consentement à l’utilisation de traceurs, elles doivent être en mesure de le retirer à tout moment, ce qui implique la mise en œuvre de « solutions conviviales » permettant de retirer le consentement aussi facilement qu’il a été donné.

La CNIL considère encore que les paramétrages du navigateur ne peuvent, en l’état de la technique, permettre à l’utilisateur d’exprimer la manifestation d’un consentement valide. Les raisons avancées par la CNIL sont :

  • un niveau insuffisant d’information préalable des personnes ;
  • l’absence de distinction des cookies par finalité ;
  • l’impossibilité d’exprimer un choix sur d’autres technologies que les cookies (telle que le fingerprint par exemple) à des fins de suivi de la navigation.
  1. Ces lignes directrices seront suivies d’une nouvelle recommandation qui précisera les modalités pratiques du recueil du consentement. Cette recommandation définitive sera publiée au premier trimestre 2020.

Comme la CNIL l’a indiqué, une période d’adaptation, s’achevant six mois après la publication de la future recommandation, sera laissée aux acteurs afin de leur donner le temps d’intégrer les nouvelles règles.

Liens vers la délibération : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038783337&categorieLien=id