Contexte.
Ce texte abroge la recommandation Cookies du 5 décembre 2013 et le nouveau régime fait suite à l’entrée en application du RGPD le 25 mai 2018, notamment concernant la notion fondamentale sur laquelle repose le Règlement, à savoir le recueil du consentement de la personne physique concernée par le traitement.
Nouvelles règles.
1-Le consentement.
La simple poursuite de la navigation sur un site ne pourra s’analyser en une preuve du consentement de l’intéressé pour le dépôt de cookies et autres traceurs : l’utilisateur doit avoir consenti par une déclaration ou par un acte positif clair, conformément aux exigences du RGPD.
À ce titre, la CNIL affirme que la pratique des « cookie walls », (pratique qui consiste à ne pas autoriser l’accès à un site ou à une application pour les personnes ayant refusé la pose des cookies), est à présent interdite. Les utilisateurs peuvent refuser d’être tracés sans avoir à en subir des conséquences négatives.
2- La preuve du consentement.
Les professionnels qui posent et exploitent des cookies ou autres traceurs doivent être en mesure de prouver le consentement obtenu.
Il leur appartient de mettre en œuvre des mécanismes leur permettant de démontrer qu’ils ont valablement obtenu le consentement des utilisateurs, cette preuve doit pouvoir être apportée à tout moment.
L’acceptation globale de conditions générales d’utilisation ne sera pas suffisante pour prouver le consentement. De même, en cas de finalités multiples, le consentement doit être obtenu par finalité.
3-Le bandeau cookies.
La CNIL abandonne le « bandeau cookie » comme information préalable.
4-Autres mentions.
Le professionnel a l’obligation de publier des mentions d’informations explicites et faciles d’accès, notamment portant sur l’identité du responsable de traitement, la finalité de l’usage des traceurs ou encore de l’existence de traitement.
5- Les traceurs de mesure d’audience.
Les concernant, le consentement exprès n’est pas nécessaire sous réserve du respect des conditions suivantes : les utilisateurs doivent toujours pouvoir s’y opposer et disposer au préalable d’une information sur leur existence et les finalités des dispositifs concernés. Leur durée de conservation ne pourra être supérieure à 13 mois et les informations collectées en tant que telles à 25 mois maximum.
6-Le Contrôle.
Le respect de ces règles reste relativement facile à contrôler compte-tenu du caractère très visible des cookies et de la faculté pour les agents de la CNIL d’opérer un contrôle à distance .
L’échelle de sanctions du RGPD s’appliquera aux contrevenants.
7-Rôles et responsabilités.
La responsabilité pèse sur le responsable de traitement, il s’agira souvent de l’éditeur du site.
La CNIL rappelle qu’est sous-traitant [...] « l’acteur qui inscrit des informations et/ou accède à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, exclusivement pour le compte d’un responsable de traitement et sans réutilisation pour son propre compte des données collectées via le traceur ».
8-Mise en œuvre.
Une période d’adaptation de six mois à compter de la publication de cette future recommandation sera laissée aux professionnels pour leur permettre de s’y conformer. Des échanges avec les différents organisations professionnelles sont prévues dans les prochains mois, notamment pour déterminer les contours du recueil du consentement.
A venir.
En complément du RGPD qui encadre le traitement des données à caractère personnel, le règlement e-Privacy attendu sous peu encadrera, quant à lui, les échanges d’information qui transitent au sein des fournisseurs de service tels que les navigateurs, SMS, emailing et les acteurs tels que Skype, Whatsapp ou Facebook Messenger.
Est en discussion notamment la question de l’activation du consentement aux cookies dans le navigateur qui serait configuré une seule fois et valable pour tous les sites. En offrant cette possibilité de gérer les cookies directement depuis le navigateur, les professionnels craignent une perte de trafic, de données et donc de ciblage potentiel importante.
Référence.
Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs) (rectificatif). JORF n°0166 du 19 juillet 2019, texte n° 92.
