Le 4 juillet dernier, la CNIL a adopté de
nouvelles lignes directrices relatives aux cookies, et autres traceurs. (1) L’objet de ces lignes directrices, qui abrogent la recommandation du 5 décembre
2013, est de donner un cadre réglementaire à l’utilisation des cookies, conforme
au Règlement général sur la protection des données (RGPD), entré en application
le 25 mai 2018, à l’article 82 de la loi Informatique et Libertés modifiée, et
à la directive Vie privée et communications électroniques de 2002 (directive
e-privacy). Les opérateurs restent en effet dans l’attente d’un nouveau
règlement e-privacy. Annoncé pour entrer en application à la même date que le
RGPD, ce règlement fait l’objet d’âpres débats au niveau communautaire et
n’entrera pas en application à court terme.
1. Un
périmètre d’application très large
Pour rappel, un cookie est un petit fichier texte,
enregistré par le navigateur de l’utilisateur (Google Chrome, Firefox, Safari)
sur un ordinateur ou autre dispositif connecté à internet, lorsque l’utilisateur
visite un site web.
Les cookies sont utilisés pour des finalités
très diverses, telles que l’enregistrement des identifiants de l’utilisateur
pour le reconnaître et le connecter automatiquement lors d’une prochaine visite
sur le site, l’affichage de publicités ciblées, l’enregistrement du nombre
d’affichage d’une publicité ou l’enregistrement des informations pour un service de web analytique
par exemple.
La durée de vie d’un cookie est différente suivant
sa finalité. Certains cookies disparaissent dès la fin de la session ou de la
fermeture du navigateur, d’autres cookies peuvent être conservés pendant
plusieurs mois, s’ils n’ont pas été supprimés par l’utilisateur.
Les « lignes directrices cookies » de
la CNIL sont d’application très large puisqu’elles s’appliquent à tous types
d’opérations impliquant l’utilisation de cookies et autres traceurs (cookies sur
tous dispositifs tels que smartphones, tablettes, ordinateurs, et autres objets
connectés à internet (consoles de jeux, télévision, véhicule, assistant vocal).
2. La notion renforcée de consentement,
conséquence de la mise en conformité au RGPD
Le RGPD, en renforçant les droits des
utilisateurs, a renforcé la notion de consentement. La simple poursuite de la
navigation sur un site ne peut plus être considérée comme l’expression valide
du consentement de l’utilisateur au dépôt de cookies.
Le consentement de l’utilisateur doit être
recueilli conformément aux dispositions du RGPD.
Celui-ci doit être manifesté de manière
-
libre : possibilité de donner ou retirer son consentement à
tout moment, et de visiter un site web même en cas de refus des cookies. Le
blocage au site en cas de refus des cookies
(« cookie walls ») n’est pas conforme au RGPD ;
-
spécifique : le consentement doit être donné de
façon indépendante et spécifique pour chaque finalité distincte. L’acceptation
des CGU ne vaut pas recueil du consentement pour les cookies ;
-
éclairée :l’utilisateur doit être informé dans des
termes simples et compréhensibles pour tous. Le renvoi vers les CGU n’est pas
suffisant ; et
-
univoque : le consentement doit se manifester par
une action positive de l’utilisateur, préalablement informé.
En pratique, on s’éloigne donc de la pratique
du consentement passif par la simple poursuite de la navigation sur un site
web, et de la pratique binaire de l’opt-in (case à cocher)/opt-out
(case pré-cochée). Désormais, le consentement doit être donné de manière
informée et positive, en cochant une case.
On notera que certains types de cookies
bénéficient d’une exemption au recueil du consentement, à savoir notamment, les
opérations ayant pour finalité exclusive de permettre ou faciliter la
communication par voie électronique, ou qui sont strictement nécessaires à la
fourniture d’un service de communication en ligne, à la demande expresse de
l’utilisateur.
3. La responsabilité des éditeurs de sites web et
autres opérateurs
Les acteurs utilisant des cookies et traceurs
concernant des données à caractère personnel sont tenus de se mettre en
conformité avec le RGPD et les « lignes directrices cookies ». Il
peut s’agir d’un seul opérateur (éditeur d’un site web), de plusieurs opérateurs
(éditeur de site et régie publicitaire) ou d’opérateurs tiers. Il conviendra
donc d’analyser le rôle de ces différents opérateurs afin de déterminer s’ils
interviennent en qualité de responsable de traitement uniques, conjoints,
sous-traitants, ou encore responsables indépendamment de l’éditeur du site.
Par ailleurs, les opérateurs qui exploitent des
cookies et traceurs devront être en mesure de prouver le recueil du
consentement des utilisateurs, conformément à l’article 7 du RGPD.
Ces « lignes directrices cookies »
seront complétées par une nouvelle recommandation de la CNIL précisant les
modalités pratiques du recueil du consentement, devant être publiée au premier
trimestre 2020. Les opérateurs disposeront alors d’une période de six mois pour
se mettre en conformité avec ces lignes directrices.
Les règles édictées par
les « lignes directrices cookies » de la CNIL viennent d’être en
partie confirmées par un arrêt de la CJUE du 1er octobre 2019 dans
lequel les juges communautaires ont considéré d’une part qu’en matière de
consentement sur le stockage de cookies, une case pré-cochées ne constituait
pas un consentement valable, d’autre part, que l’opérateur est tenu de donner
des informations claires sur la durée des cookies et l’accès par des tiers. (2)
* * * * * * * * * *
(1) Délibération n°2019-093 du 4 juillet 2019 portant adoption de lignes
directrices relatives à l’application de l’article 82 de la loi du 6 janvier
1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un
utilisateur (notamment aux cookies et autres traceurs)
(2) CJUE,
grande chambre, 1er octobre 2019, Bundesverband des
Verbraucherzentralen und Verbraucherverbände contre Planet49 GmbH, aff.
C-673/17
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
Novembre 2019