Deux minutes pour comprendre : La nouvelle recommandation de la CNIL sur les cookies

12/10/20
Deux minutes pour comprendre : La nouvelle recommandation de la CNIL sur les cookies

La CNIL a publié jeudi 1er octobre des lignes directrices modificatives et une recommandation sur la question sensible du suivi en ligne[1]. Ces lignes directrices actualisent le droit applicable à l’usage des cookies et autres traceurs, ainsi qu’au consentement à la publicité ciblée sur Internet.

 

Ces nouvelles recommandations du 1er octobre invitent tous les acteurs concernés à s’assurer de la conformité de leurs pratiques aux exigences de ces textes.

 

Le délai de mise en conformité aux nouvelles règles est de six mois = La CNIL commencera à effectuer des actions de contrôle à compter du 1er avril 2021.

 

Les cookies concernés

Il existe différentes sortes de cookies : les cookies propriétaires (cookies fonctionnels) qui garantissent le bon fonctionnement du site auquel vous accédez et les cookies tiers déposés par des sociétés tierces sur les sites afin de recueillir des informations sur le comportement et les préférences des utilisateurs.

 

La recommandation de la CNIL a pour but d’encadrer ces cookies tiers[2].Les sociétés de publicité en ligne utilisent ces cookies tiers afin de diffuser aux internautes des publicités ciblées ou de mesurer la performance des campagnes publicitaires. Leur utilisation est subordonnée au recueil d’un consentement éclairé, libre, univoque et spécifique.

La recommandation : les modalités pratiques du recueil de consentement

La CNIL estime que l’utilisateur d’un site Web, d’une application ou d’un jeu vidéo qui utilise des cookies doit pouvoir :

  • mieux comprendre le traitement qui sera fait de ses données ;
  • choisir sans contrainte d’accepter ou non ce traitement ; et
  • changer d’avis librement et à tout moment.

 

Une information claire et simple de l’utilisateur sur les cookies

L’objectif des cookies doit être présenté à l’utilisateur avant qu’il n’ait la possibilité de consentir ou non à leur utilisation. En outre, l’utilisateur doit pouvoir connaître l’identité de tous les responsables du traitement des données, par exemple par le biais d’un lien hypertexte ou d’un bouton accessible depuis la première couche d’information.

 

Un bouton « Tout refuser » au même niveau et au même format que le bouton « Tout accepter » ?

La CNIL recommande de proposer un choix symétrique entre acceptation et refus de l’utilisation des cookies (caractères de même taille, même facilité de lecture). Ici, il faut s’attendre à l’ingéniosité de certains éditeurs pour appliquer la mesure tout en cherchant à ne pas freiner l’expérience utilisateur.

 

Consentement et Cookie Wall

Le consentement doit en principe résulter d’une action positive de la personne concernée (par exemple un clic, ou une case cochée). Aussi, la poursuite de la navigation ne doit plus valoir acceptation ! La CNIL estime que le refus pourra être exprimé en fermant la fenêtre de l’interface ou, par exemple, ou par un bouton « continuer sans accepter » en haut de la fenêtre, ou en n’interagissant pas avec elle pendant un certain temps.

 

Or, cette recommandation devra être analysée au regard de la pratique des éditeurs de contenu, et notamment avec la problématique des « Cookie Wall ». Cette pratique consiste à faire apparaitre un affichage sur toute la page web, empêchant de visionner ou d’accéder à un site internet.

 

Pour mémoire, aux termes de la décision rendue le 19 juin 2020 par le Conseil d’État[3], la position des précédentes lignes directrices prohibant de façon générale et absolue la pratique des « cookie walls » avait été annulée, en jugeant qu’une telle interdiction ne pouvait figurer dans un acte de droit souple.

 

Les nouvelles recommandations de la CNIL ont donc pour objet de revenir sur cette interdiction. Toutefois, il apparait que la CNIL ne tranche pas et indique que « La mise en œuvre d’un « cookie wall » est susceptible, dans certains cas et sous certaines conditions, de porter atteinte à la liberté du consentement. Ainsi, la licéité du recours à un « cookie wall » doit être appréciée au cas par cas ».

 

Un consentement spécifique, finalité par finalité

Dans le cadre d’un traitement qui comporterait plusieurs finalités (ex : publicité personnalisée, publicité géolocalisée, suggestion de partage sur les réseaux sociaux, etc.), chaque finalité devra pouvoir être acceptée ou refusée indépendamment. Et, lorsque des traceurs permettent un suivi sur des sites autres que le site visité, la CNIL recommande que le consentement soit recueilli sur chacun des sites concernés par ce suivi de navigation.

 

La preuve du recueil du consentement

Les éditeurs de sites web ou d’applications doivent être en mesure de prouver à tout moment qu’ils ont obtenu un consentement valable. La CNIL suggère que les éditeurs gardent en mémoire le refus des internautes pendant une durée de six mois, afin d’éviter de les réinterroger à chacune de leurs visites.

 

L’utilisateur doit être libre de revenir sur sa décision à tout moment

La recommandation fournit des préconisations pratiques concernant la gestion et le retrait du consentement des internautes lors de leur navigation (lien hypertexte en bas de page, icône statique “cookies” en bas de page, bandeau “Gérer mes cookies” mis en valeur visuellement).

Quelles conséquences, quelles sanctions ?

Même si elle est dépourvue de force obligatoire, cette démarche pédagogique venant de la CNIL constitue le socle en cas de contrôle.

 

Les précisions apportées par la CNIL vont pousser tous les éditeurs et fournisseurs de contenu, dont le business model repose largement sur la publicité personnalisée, à adapter leurs pratiques, sous peine de s’exposer à des sanctions[4].

 

Avec cette nouvelle recommandation, les éditeurs et les annonceurs craignent bien évidemment que la majorité des utilisateurs refusent les cookies tiers, qui constituaient souvent la contrepartie de la gratuité de services financés par les revenus de la publicité ciblée.

 

Il sera intéressant de scruter l’attitude des éditeurs de contenu et des acteurs de la publicité en ligne dans la recherche des limites acceptables au regard de leur activité.

 

Ailleurs en Europe : les positions discordantes des états membres de l’Union

En mai 2020, le Comité Européen de la Protection des Données (CEPD) avait précisé et renforcé les conditions d’un consentement valide au regard du RGPD[5].

 

De manière générale, les recommandations de la CNIL vont vers une interprétation stricte des directives européennes. Certains États membres, comme la Belgique et l’Irlande[6] sont alignées avec la position française.

 

En revanche, l’Espagne a opté, dans un guide publié en juillet 2019[7], pour une position plus libérale, estimant que le consentement n’est pas requis pour certains cookies non fonctionnels, et que l’accès à une autre section du site ou le défilement de la page peut caractériser une manifestation de volonté claire de la part de l’internaute valant acceptation au dépôt et à la collecte de cookies.

 

Le suivi en ligne des internautes devra à terme être totalement harmonisé, pour ne pas laisser des divergences de pratique dans un espace qui ne connait en pratique pas de frontières.

 

Ce sera l’une des fonctions du futur règlement e-Privacy qui était initialement attendu en même temps que le RGPD, soit en mai 2018 et qui n’a cessé d’être repoussé faute d’accord, notamment en raison des dispositions sur les Cookies. C’est maintenant aux gouvernements européens au sein du Conseil de trancher.

 

Une chose est sûre, nous n’avons pas fini d’entendre parler de Cookies…jusqu’à l’indigestion ?

 

 

[1] Une première version de ces consignes avait été attaquée en justice en 2019 par les professionnels de la publicité en ligne. Ces nouvelles prescriptions ont donc été établies à l’issue d’une concertation publique nationale avec les professionnels et avec la société civile.

[2] Les termes de « cookie » ou « traceur » recouvrent par exemple : les cookies HTTP, les cookies « flash », le résultat du calcul d’une empreinte unique du terminal dans le cas du » fingerprinting » (calcul d’un identifiant unique du terminal basée sur des éléments de sa configuration à des fins de traçage), les pixels invisibles ou » web bugs « , tout autre identifiant généré par un logiciel ou un système d’exploitation (numéro de série, adresse MAC, identifiant unique de terminal (IDFV).

[3] Cf. La décision du Conseil d’État français qui a annulé la disposition des lignes directrices de la CNIL de juillet 2019 interdisant de manière générale et absolue la pratique des « murs de cookies »

[4] Au regard du RGPD, l’autorité protectrice de la vie privée peut en effet prononcer des sanctions à l’égard des responsables de traitements. Le montant de l’amende peut s’élever jusqu’à 20 millions d’euros ou dans le cas d’une entreprise jusqu’à 4% du chiffre d’affaires annuel mondial.

[5] CEPD, Lignes directrices 5/2020 du 4 mai 2020

[6] Data protection commission (Irlande), Rapport du 6 avr. 2020.

[7] https://www.aepd.es/es – « Guía sobre el uso de las cookies »

To go further