Cookies sans consentement : résolution du contrat de prestation web pour défaut de délivrance conforme

 

Ce qu’il faut retenir

La Cour d’appel de Bordeaux a prononcé la résolution d’un contrat de fourniture de site internet pour non-conformité à la réglementation sur la protection des données et manquements contractuels du prestataire.

Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-cookies-sans-consentement-resolution-du-contrat-de-prestation-web-pour-defaut-de-delivrance-conforme

Orange condamnée à 50M € pour prospection commerciale en l’absence de consentement de ses abonnés

 

Ce qu’il faut retenir

Le consentement de l’utilisateur est au coeur de la protection des données. C’est au nom de ce principe que la CNIL a condamné Orange à une amende de 50 millions d’euros pour avoir envoyé des messages publicitaires à ses abonnés sans leur consentement.

 

 Lire la suite de l'article : https://www.deleporte-wentz-avocat.com/actualite-orange-condamnee-a-50m-pour-prospection-commerciale-en-l-absence-de-consentement-de-ses-abonnes

Les cookie walls validés sous conditions par la CNIL

 

Les règles d’utilisation des cookies doivent être mises à jour par le futur règlement e-privacy, qui n’est toujours pas adopté à ce jour. (1) Toutefois, l’utilisation des cookies est également régie par le RGPD, notamment en ce qui concerne les règles relatives au consentement des internautes.

Suite à l’entrée en application du RGPD, qui a notamment renforcé l’obligation de recueil du consentement des internautes par les responsables du traitement, de nombreux sites web ont mis en place des “cookie walls” (ou “murs de traceurs”) afin d’assurer la perception de revenus publicitaires. L’accès à ces sites est ainsi subordonné soit à l’acceptation des cookies par l’internaute (notamment des cookies de ciblage publicitaire), soit à un paiement ponctuel ou via un abonnement en cas de refus des cookies par l’internaute.

Le 4 juillet 2019, la CNIL a publié des lignes directrices relatives aux cookies et autres traceurs. Ces lignes directrices invalidaient les cookie walls, en précisant notamment que l’accès à un site internet ne pouvait jamais être subordonné à l’acceptation des cookies. Par la suite, le Conseil d’Etat dans sa décision du 19 juin 2020, a partiellement invalidé les lignes directrices de la CNIL concernant l’interdiction des cookie walls. (2)

Dans une recommandation du 16 mai 2022, la CNIL vient de préciser les conditions de validité des cookie walls. (3)


1. L’existence d’alternatives réelles et satisfaisantes

Dans sa recommandation du 16 mai 2022, la CNIL propose des critères d’évaluation pour apprécier la légalité des cookie walls. Comme précisé par le Conseil d’Etat dans sa décision du 19 juin 2020, ces critères doivent prendre en compte l’existence d’alternatives réelles et satisfaisantes en cas de refus des cookies par l’internaute.

Ainsi, l’éditeur qui met en place un cookie wall doit s’assurer que l’internaute qui refuse les cookies dispose d’une d’alternative réelle et équitable, soit pour accéder au site, soit parce qu’il existe un autre site, facile d’accès et sans cookie wall, proposant un contenu similaire.

L’alternative serait inexistante en cas d’exclusivité de l’éditeur sur les contenus ou services proposés, ou lorsqu’il n’y a pas ou peu d’alternatives au service.


2. Le caractère raisonnable de l’accès payant

Quant au prix à payer pour accéder au contenu en cas de refus des cookies, cette contrepartie payante (ou “pay wall”) est soumise à l’évaluation du caractère raisonnable du tarif imposé à l’internaute. Le caractère “raisonnable” du tarif, qui n’est pas fixé par la CNIL, doit être justifié par l’éditeur du site.

La CNIL précise par ailleurs qu’en principe, aucun cookie ne doit être déposé en cas d’accès payant, hormis ceux nécessaires au fonctionnement du site et ceux qui pourraient être imposés pour accéder à un contenu ou service tiers (par exemple, vidéo hébergée sur un site tiers ou boutons de partage sur les réseaux sociaux).

L’analyse de l’existence d’alternatives réelles et du caractère raisonnable du tarif de l’accès au site est réalisée au cas par cas.


    La collecte de données personnelles via un cookie wall, impliquant l’acceptation des cookies ou un accès payant au site web, doit en tout état de cause être conforme aux exigences fixées par le RGPD : recueil du consentement de l’internaute, transparence quant aux données collectées et à la finalité (ou aux finalités) du traitement, minimisation des données collectées par le responsable du traitement.

* * * * * * * * * * *

(1) Proposition de règlement du Parlement européen et du Conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement «vie privée et communications électroniques»)

(2) Conseil d’Etat, décision du 19 juin 2020 sur les lignes directrices relatives aux cookies et autres traceurs

(3) “Cookie walls : la CNIL publie des premiers critères d’évaluation”


Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mai 2022

Lignes directrices de la CNIL en matière de cookies : l’accent est mis sur le consentement de l’utilisateur

Le 4 juillet dernier, la CNIL a adopté de nouvelles lignes directrices relatives aux cookies, et autres traceurs. (1) L’objet de ces lignes directrices, qui abrogent la recommandation du 5 décembre 2013, est de donner un cadre réglementaire à l’utilisation des cookies, conforme au Règlement général sur la protection des données (RGPD), entré en application le 25 mai 2018, à l’article 82 de la loi Informatique et Libertés modifiée, et à la directive Vie privée et communications électroniques de 2002 (directive e-privacy). Les opérateurs restent en effet dans l’attente d’un nouveau règlement e-privacy. Annoncé pour entrer en application à la même date que le RGPD, ce règlement fait l’objet d’âpres débats au niveau communautaire et n’entrera pas en application à court terme. 

 

1. Un périmètre d’application très large

Pour rappel, un cookie est un petit fichier texte, enregistré par le navigateur de l’utilisateur (Google Chrome, Firefox, Safari) sur un ordinateur ou autre dispositif connecté à internet, lorsque l’utilisateur visite un site web.

Les cookies sont utilisés pour des finalités très diverses, telles que l’enregistrement des identifiants de l’utilisateur pour le reconnaître et le connecter automatiquement lors d’une prochaine visite sur le site, l’affichage de publicités ciblées, l’enregistrement du nombre d’affichage d’une publicité ou l’enregistrement des informations pour un service de web analytique par exemple.

La durée de vie d’un cookie est différente suivant sa finalité. Certains cookies disparaissent dès la fin de la session ou de la fermeture du navigateur, d’autres cookies peuvent être conservés pendant plusieurs mois, s’ils n’ont pas été supprimés par l’utilisateur.

Les « lignes directrices cookies » de la CNIL sont d’application très large puisqu’elles s’appliquent à tous types d’opérations impliquant l’utilisation de cookies et autres traceurs (cookies sur tous dispositifs tels que smartphones, tablettes, ordinateurs, et autres objets connectés à internet (consoles de jeux, télévision, véhicule, assistant vocal).

2. La notion renforcée de consentement, conséquence de la mise en conformité au RGPD

Le RGPD, en renforçant les droits des utilisateurs, a renforcé la notion de consentement. La simple poursuite de la navigation sur un site ne peut plus être considérée comme l’expression valide du consentement de l’utilisateur au dépôt de cookies.

Le consentement de l’utilisateur doit être recueilli conformément aux dispositions du RGPD.

Celui-ci doit être manifesté de manière

-       libre : possibilité de donner ou retirer son consentement à tout moment, et de visiter un site web même en cas de refus des cookies. Le blocage au site en cas de refus des cookies  (« cookie walls ») n’est pas conforme au RGPD ;

-       spécifique : le consentement doit être donné de façon indépendante et spécifique pour chaque finalité distincte. L’acceptation des CGU ne vaut pas recueil du consentement pour les cookies ;

-       éclairée :l’utilisateur doit être informé dans des termes simples et compréhensibles pour tous. Le renvoi vers les CGU n’est pas suffisant ; et

-       univoque : le consentement doit se manifester par une action positive de l’utilisateur, préalablement informé.

En pratique, on s’éloigne donc de la pratique du consentement passif par la simple poursuite de la navigation sur un site web, et de la pratique binaire de l’opt-in (case à cocher)/opt-out (case pré-cochée). Désormais, le consentement doit être donné de manière informée et positive, en cochant une case.

On notera que certains types de cookies bénéficient d’une exemption au recueil du consentement, à savoir notamment, les opérations ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique, ou qui sont strictement nécessaires à la fourniture d’un service de communication en ligne, à la demande expresse de l’utilisateur.

3. La responsabilité des éditeurs de sites web et autres opérateurs

Les acteurs utilisant des cookies et traceurs concernant des données à caractère personnel sont tenus de se mettre en conformité avec le RGPD et les « lignes directrices cookies ». Il peut s’agir d’un seul opérateur (éditeur d’un site web), de plusieurs opérateurs (éditeur de site et régie publicitaire) ou d’opérateurs tiers. Il conviendra donc d’analyser le rôle de ces différents opérateurs afin de déterminer s’ils interviennent en qualité de responsable de traitement uniques, conjoints, sous-traitants, ou encore responsables indépendamment de l’éditeur du site.

Par ailleurs, les opérateurs qui exploitent des cookies et traceurs devront être en mesure de prouver le recueil du consentement des utilisateurs, conformément à l’article 7 du RGPD.

Ces « lignes directrices cookies » seront complétées par une nouvelle recommandation de la CNIL précisant les modalités pratiques du recueil du consentement, devant être publiée au premier trimestre 2020. Les opérateurs disposeront alors d’une période de six mois pour se mettre en conformité avec ces lignes directrices.

Les règles édictées par les « lignes directrices cookies » de la CNIL viennent d’être en partie confirmées par un arrêt de la CJUE du 1^er octobre 2019 dans lequel les juges communautaires ont considéré d’une part qu’en matière de consentement sur le stockage de cookies, une case pré-cochées ne constituait pas un consentement valable, d’autre part, que l’opérateur est tenu de donner des informations claires sur la durée des cookies et l’accès par des tiers. (2)

* * * * * * * * * *

(1) Délibération n°2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs)

(2) CJUE, grande chambre, 1^er octobre 2019, Bundesverband des Verbraucherzentralen und Verbraucherverbände contre Planet49 GmbH, aff. C-673/17

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Novembre 2019

---

Internet : les règles de gestion des cookies et de sécurité des données renforcées

L’ordonnance relative aux communications électroniques du 24 août 2011 (1), qui vient transposer les directives dites “paquet télécoms” (2), instaure de nouvelles obligations en matière de gestion des cookies et de sécurité des données personnelles, modifiant deux articles de la loi Informatique et Libertés relatifs aux obligations incombant aux responsables de traitements (3). Ces nouvelles règles concernent, d’une part tous les exploitants de sites web utilisant des cookies, d’autre part les fournisseurs de services de communications électroniques.


1. De nouvelles règles en matière de gestion de cookies

L’ordonnance modifie l’article 32 II de la loi Informatique et Libertés.

Désormais, l’installation de cookies sur l’ordinateur d’un internaute et l’utilisation des informations déjà stockées sont soumises à deux conditions préalables :

    - l’internaute doit avoir été informé de la finalité de l’installation, ou de l’utilisation et des moyens dont il dispose pour s’y opposer, et

    - il doit avoir donné son consentement (opt-in) à l’installation du cookie et à l’utilisation de ses données. Jusqu’à présent les internautes pouvaient s’opposer aux cookies, mais uniquement postérieurement à leur installation, sauf à paramétrer leur navigateur de façon à refuser tous les cookies.

Avec cette nouvelle mesure, le consentement de l’internaute n’est pas nécessairement requis pour toute nouvelle installation de cookie. Le texte prévoit que le consentement peut provenir de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle, à savoir par exemple en paramétrant son logiciel de navigation.

Ces dispositions s’appliquent principalement aux cookies de traçage et de ciblage des utilisateurs. Elles ne s’appliquent ni aux cookies ayant pour principale finalité de permettre ou faciliter la communication par voie électronique, ni aux cookies strictement nécessaires à la fourniture d’un service à la demande de l’utilisateur.

Ces nouvelles règles s’imposent à tous types de prestataires sur internet, fournisseurs de services de communications électroniques comme éditeurs de services de communication au public en ligne (éditeurs de sites de e-commerce par exemple), à partir du moment où ces prestataires utilisent ces catégories de cookies pour collecter des informations sur leurs utilisateurs.


2. Une obligation renforcée de sécurité des données à caractère personnel

L’article 34 de la loi Informatique et Libertés impose une obligation de sécurité au responsable du traitement, à savoir, “prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.”

L’ordonnance crée un nouvel article 34 bis, instaurant une obligation de notification à la charge des fournisseurs de services de communications électroniques, en cas de violation de sécurité des données à caractère personnel.

Ainsi, les fournisseurs de services de communications électroniques (à savoir, les opérateurs de télécommunications et FAI notamment) sont désormais contraints de notifier sans délai à la Commission nationale de l’informatique et des libertés (CNIL), toute faille de sécurité “entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel (…).”

De plus, le fournisseur doit avertir sans délai l’intéressé dès lors que cette violation est susceptible de porter atteinte aux donnés à caractère personnel ou à la vie privée de celui-ci. Toutefois, cette obligation de notification n’est pas nécessaire si la CNIL a constaté que des mesures de protection ont été mises en oeuvre par le fournisseur (ex: mesures rendant les données inutilisables à toute personne non autorisée à y avoir accès). La CNIL peut également, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d’informer l’intéressé.

Tout manquement à cette obligation de notification est puni de 5 ans d’emprisonnement et 300.000€ d’amende.

Enfin, le fournisseur doit tenir à jour un inventaire comportant la liste des failles de sécurité, leurs modalités, leurs effets et les mesures adoptées pour y remédier. Cet inventaire doit être mis à la disposition de la CNIL.

Cette obligation de notification s’impose à toute violation de sécurité, qu’elle soit accidentelle ou illicite (intrusion non autorisée par un tiers dans les systèmes du fournisseur de services).

Enfin, il est à noter que cette obligation s’impose aux fournisseurs de services de communications électroniques. Ne sont pas concernés les éditeurs de services de communication au public en ligne, tels les éditeurs de sites de commerce en ligne par exemple.

* * * * * * * * * * *

(1) Ordonnance n° 2011-1012 du 24 août 2011 relative aux communications électroniques.
(2) Directive 2009/136/CE du Parlement Européen et du Conseil du 25 novembre 2009, modifiant la directive
2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement (CE) n°2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs.
(3) Loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés, modifiée.


Bénédicte DELEPORTE  -  Avocat
Betty SFEZ  -  Avocat

Deleporte Wentz Avocat
www.dwavocat.com
Octobre 2011

* Article publié sur le Journal du Net (http://www.journaldunet.com) le 4 octobre 2011