Messages les plus consultés

vendredi 22 novembre 2019

Lignes directrices de la CNIL en matière de cookies : l’accent est mis sur le consentement de l’utilisateur



Le 4 juillet dernier, la CNIL a adopté de nouvelles lignes directrices relatives aux cookies, et autres traceurs. (1) L’objet de ces lignes directrices, qui abrogent la recommandation du 5 décembre 2013, est de donner un cadre réglementaire à l’utilisation des cookies, conforme au Règlement général sur la protection des données (RGPD), entré en application le 25 mai 2018, à l’article 82 de la loi Informatique et Libertés modifiée, et à la directive Vie privée et communications électroniques de 2002 (directive e-privacy). Les opérateurs restent en effet dans l’attente d’un nouveau règlement e-privacy. Annoncé pour entrer en application à la même date que le RGPD, ce règlement fait l’objet d’âpres débats au niveau communautaire et n’entrera pas en application à court terme.

1. Un périmètre d’application très large



Pour rappel, un cookie est un petit fichier texte, enregistré par le navigateur de l’utilisateur (Google Chrome, Firefox, Safari) sur un ordinateur ou autre dispositif connecté à internet, lorsque l’utilisateur visite un site web.



Les cookies sont utilisés pour des finalités très diverses, telles que l’enregistrement des identifiants de l’utilisateur pour le reconnaître et le connecter automatiquement lors d’une prochaine visite sur le site, l’affichage de publicités ciblées, l’enregistrement du nombre d’affichage d’une publicité ou l’enregistrement des informations pour un service de web analytique par exemple.



La durée de vie d’un cookie est différente suivant sa finalité. Certains cookies disparaissent dès la fin de la session ou de la fermeture du navigateur, d’autres cookies peuvent être conservés pendant plusieurs mois, s’ils n’ont pas été supprimés par l’utilisateur.



Les « lignes directrices cookies » de la CNIL sont d’application très large puisqu’elles s’appliquent à tous types d’opérations impliquant l’utilisation de cookies et autres traceurs (cookies sur tous dispositifs tels que smartphones, tablettes, ordinateurs, et autres objets connectés à internet (consoles de jeux, télévision, véhicule, assistant vocal).




2. La notion renforcée de consentement, conséquence de la mise en conformité au RGPD



Le RGPD, en renforçant les droits des utilisateurs, a renforcé la notion de consentement. La simple poursuite de la navigation sur un site ne peut plus être considérée comme l’expression valide du consentement de l’utilisateur au dépôt de cookies.



Le consentement de l’utilisateur doit être recueilli conformément aux dispositions du RGPD.

Celui-ci doit être manifesté de manière

-       libre : possibilité de donner ou retirer son consentement à tout moment, et de visiter un site web même en cas de refus des cookies. Le blocage au site en cas de refus des cookies  (« cookie walls ») n’est pas conforme au RGPD ;

-       spécifique : le consentement doit être donné de façon indépendante et spécifique pour chaque finalité distincte. L’acceptation des CGU ne vaut pas recueil du consentement pour les cookies ;

-       éclairée :l’utilisateur doit être informé dans des termes simples et compréhensibles pour tous. Le renvoi vers les CGU n’est pas suffisant ; et

-       univoque : le consentement doit se manifester par une action positive de l’utilisateur, préalablement informé.



En pratique, on s’éloigne donc de la pratique du consentement passif par la simple poursuite de la navigation sur un site web, et de la pratique binaire de l’opt-in (case à cocher)/opt-out (case pré-cochée). Désormais, le consentement doit être donné de manière informée et positive, en cochant une case.



On notera que certains types de cookies bénéficient d’une exemption au recueil du consentement, à savoir notamment, les opérations ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique, ou qui sont strictement nécessaires à la fourniture d’un service de communication en ligne, à la demande expresse de l’utilisateur.



3. La responsabilité des éditeurs de sites web et autres opérateurs



Les acteurs utilisant des cookies et traceurs concernant des données à caractère personnel sont tenus de se mettre en conformité avec le RGPD et les « lignes directrices cookies ». Il peut s’agir d’un seul opérateur (éditeur d’un site web), de plusieurs opérateurs (éditeur de site et régie publicitaire) ou d’opérateurs tiers. Il conviendra donc d’analyser le rôle de ces différents opérateurs afin de déterminer s’ils interviennent en qualité de responsable de traitement uniques, conjoints, sous-traitants, ou encore responsables indépendamment de l’éditeur du site.



Par ailleurs, les opérateurs qui exploitent des cookies et traceurs devront être en mesure de prouver le recueil du consentement des utilisateurs, conformément à l’article 7 du RGPD.



Ces « lignes directrices cookies » seront complétées par une nouvelle recommandation de la CNIL précisant les modalités pratiques du recueil du consentement, devant être publiée au premier trimestre 2020. Les opérateurs disposeront alors d’une période de six mois pour se mettre en conformité avec ces lignes directrices.





Les règles édictées par les « lignes directrices cookies » de la CNIL viennent d’être en partie confirmées par un arrêt de la CJUE du 1er octobre 2019 dans lequel les juges communautaires ont considéré d’une part qu’en matière de consentement sur le stockage de cookies, une case pré-cochées ne constituait pas un consentement valable, d’autre part, que l’opérateur est tenu de donner des informations claires sur la durée des cookies et l’accès par des tiers. (2)


* * * * * * * * * *


(1) Délibération n°2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs)

(2) CJUE, grande chambre, 1er octobre 2019, Bundesverband des Verbraucherzentralen und Verbraucherverbände contre Planet49 GmbH, aff. C-673/17

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2019