La Commission nationale de l’informatique et des libertés (CNIL) a publié le 17 septembre dernier une recommandation pratique en matière de cookies et autres traceurs, pour compléter des lignes directrices adoptées un peu plus tôt, le 4 juillet 2019.

Article actualisé par son auteure en novembre 2020.

L’objectif de cette recommandation est d’indiquer aux opérateurs les modalités pratiques pour recueillir le consentement des internautes, lorsque cela est nécessaire, au dépôt de cookies sur leurs appareils (ordinateurs, tablettes, mobiles etc).

Les opérateurs disposent désormais d’un délai de six mois pour s’adapter à ces nouvelles exigences de conformité.

Le présent article se propose d’esquisser les actions concrètes à mener pour se mettre en conformité en matière de traceurs.

La recommandation couvre une gamme relativement large de traceurs (I), et propose des solutions permettant de recueillir un consentement éclairé, libre, spécifique et univoque des utilisateurs (II). Les modalités de retrait et de preuve du consentement sont mieux définies (III), ainsi que celles relatives à l’usage des cookies et au recueil du consentement de l’utilisateur via les navigateurs (IV).

I- Un vaste champ des cookies.

La CNIL définit le cookie comme

« un petit fichier informatique, un traceur, déposé et lu par exemple lors de la consultation d’un site internet, de la lecture d’un courrier électronique, de l’installation ou de l’utilisation d’un logiciel ou d’une application mobile et ce, quel que soit le type de terminal utilisé (ordinateur, smartphone, liseuse numérique, console de jeux vidéo connectée à Internet, etc) ».

A- Neutralité technologique.

La recommandation de la CNIL a été élaborée dans le respect du principe de neutralité technologique selon lequel une régulation doit être pourvue d’un caractère général et technologiquement neutre lors de la définition de son périmètre afin de s’appliquer à toutes les technologies existantes et futures.

Compte tenu de ce principe, le champ de la recommandation ne dépend pas de l’environnement dans lequel sont placés les traceurs. C’est-à-dire que d’un point de vue technique, la recommandation couvre les environnements web et les applications mobiles, mais également d’autres environnements a priori moins évidents lorsque l’on évoque le sujet, comme les environnements non logués dans lesquels les utilisateurs ne sont pas authentifiés (tels que les consoles de jeux vidéo, les télévisions connectées, ou encore les assistants vocaux).

B- Les cookies fonctionnels écartés de la recommandation.

La recommandation ne concerne pas tous les types de cookies. Ainsi, les cookies fonctionnels tels que ceux permettant l’authentification, la mémorisation des préférences de l’utilisateur (en ce qui concerne le choix de langue et de présentation du service), la navigation d’une page à une autre, le panier d’achat, et cætera n’entrent pas dans le périmètre de la recommandation, leur utilisation ne nécessitant pas le recueil du consentement préalable de l’utilisateur. Chaque exemption devra toutefois être étudiée au cas par cas afin de s’assurer que la dispense de consentement est bien applicable.

II- Une information permettant un consentement éclairé, libre, spécifique, et univoque des utilisateurs.

La CNIL rappelle que les dispositions prévues par l’article 82 de la loi « Informatique et Libertés » s’appliquent. Elles prévoient l’obligation, pour le responsable d’un traitement de données personnelles, de recueillir le consentement des utilisateurs avant toute opération d’écriture ou de lecture de cookies et autres traceurs. Dans le cas des sites internet, les responsables de traitement sont bien souvent les éditeurs desdits sites, mais il se peut que certains tiers autorisés déposent directement de tels traceurs et encourent la qualification de responsables de traitement.

Une analyse minutieuse des conditions de dépôt et de la gestion des cookies doit être réalisée au cas par cas afin de déterminer les rôles et responsabilités des éditeurs de sites et autres partenaires susceptibles de tracer les internautes.

En tout état de cause et avant de consentir ou non au dépôt de cookies sur son appareil, l’utilisateur doit recevoir des informations sur :
 la finalité des traceurs ;
 les responsables de traitement ;
 la portée de son consentement.

La CNIL précise que les finalités doivent être formulées de manière intelligible, dans un langage adapté et suffisamment clair et synthétique pour l’utilisateur.

Elle recommande donc que chaque finalité soit mise en exergue dans un intitulé court accompagné d’un bref descriptif. Plusieurs exemples de courtes phrases explicatives pouvant accompagner le court intitulé sont présentés dans la recommandation.

Une des applications concrète de cette nouvelle exigence serait par exemple que l’éditeur n’aura plus la possibilité de se contenter d’informer l’utilisateur du site internet ou de l’application mobile de l’utilisation de cookies à des fins publicitaires, il devra maintenant également indiquer si la publicité est contextuelle ou ciblée, et si elle utilise des données de localisation.

L’identité de l’ensemble des responsables du ou des traitements doit également être à la disposition de l’utilisateur avant qu’il ne puisse consentir ou non à leur utilisation, au même titre qu’il doit nécessairement avoir pleine conscience de la portée de son consentement avant de le donner. Afin de respecter cette exigence, le texte recommande de présenter au visiteur du site une liste exhaustive des responsables du traitement lors du recueil de son consentement.

Par ailleurs, l’éditeur du site internet ou de l’application mobile doit être en mesure d’établir une liste de l’ensemble des prestataires auxquels il fait appel qui seraient susceptibles de déposer des cookies et autres traceurs sur les terminaux des utilisateurs. Il devra donc notamment y figurer les prestataires qui proposent de la publicité ciblée, ceux qui proposent des outils d’analyse ou encore les réseaux sociaux lorsqu’un module de réseau social permettant la communication de données à caractère personnel est incorporé dans le site internet ou l’application mobile. La liste des responsables du traitement doit être accessible de manière permanente.

Dans la plupart des cas, une simple mise à jour de la liste est suffisante en cas de modification, à condition que les utilisateurs soient en mesure d’en prendre connaissance.

Toutefois, il est nécessaire d’obtenir à nouveau le consentement des utilisateurs lorsque la liste des responsables des traitement fait l’objet d’ajout qualitativement ou quantitativement substantiel.

Il est recommandé, uniquement à titre de bonne pratique, d’indiquer le nombre de responsables du ou des traitements au premier niveau d’information et de les regrouper en catégories définies en fonction de leur activité et de la finalité des traceurs exploités afin que l’utilisateur ait une meilleure compréhension de leurs rôles.

III- Un consentement conditionné.

La recommandation insiste sur le fait que la possibilité de consentir ou de ne pas consentir à l’utilisation des cookies doit être présentée à l’utilisateur sur le même plan. Cela signifie que les cases à cocher ou les boutons permettant de choisir entre « autoriser » et « interdire », ou entre « accepter » et « refuser » doivent être au même niveau et de même couleur. Il ne sera plus admis d’utiliser un design trompeur qui inciterait l’utilisateur à accepter l’utilisation des traceurs. Il n’est également plus possible de ne proposer à l’utilisateur que le choix d’accepter l’utilisation des traceurs ou de cliquer sur un lien le renvoyant à une autre page sur laquelle il peut refuser l’utilisation des cookies.

L’article 2.4 de la recommandation admet la possibilité de recueillir un consentement global de l’utilisateur à trois conditions :
 Que l’ensemble des finalités des traceurs ait préalablement été présenté à l’utilisateur ;
 Que l’utilisateur puisse, s’il le souhaite, consentir distinctement à chaque traceur selon la finalité ;
 Que l’utilisateur puisse refuser de manière globale au même niveau et dans les mêmes conditions l’utilisation des traceurs.

L’article 2.4 de la recommandation évoque aussi le caractère univoque que doit revêtir le consentement de l’utilisateur, confirme que le recueil du consentement au moyen d’une case pré-cochée ne constitue pas un recueil du consentement valable.

Cette recommandation va plus loin que les lignes directrices du 4 juillet 2019 qui disposent que la poursuite de la navigation n’est pas suffisante à établir un consentement de la part de l’utilisateur et rappelle que le consentement doit se manifester par un acte positif clair de l’utilisateur.

La CNIL considère qu’une demande de consentement effectuée au moyen de cases qui seraient décochées par défaut ou d’interrupteurs (dits « sliders ») désactivés par défaut serait un mécanisme de recueil conforme, dans la mesure où il permet à la personne concernée d’avoir conscience de l’objectif ainsi que de la portée de l’acte lui permettant de signifier son accord ou non. Chaque élément actionnable doit cependant être accompagné d’une information facilement compréhensible afin de permettre à l’utilisateur d’exprimer son consentement ou son refus.

L’article 4 dispose que la preuve du consentement de l’utilisateur doit être rapportée par la démonstration que le mécanisme de recueil est conforme aux exigences permettant de recueillir un consentement éclairé, libre, spécifique et univoque, ainsi que par une preuve individuelle du consentement.

La CNIL propose plusieurs moyens de prouver la conformité du mécanisme de recueil du consentement comme la mise en place d’un système d’audit de code par la mise sous séquestre du code informatique auprès d’un tiers, des captures d’écran du rendu visuel tel qu’il s’affiche pour chacune des versions du site internet, ou bien la réalisation régulière d’audits portant sur le mécanisme de recueil du consentement de l’utilisateur. La recommandation fait peser cette obligation sur l’organisme en charge de recueillir le consentement.

L’article 3 de la recommandation de la CNIL, qui traite des modalités de retrait et de la gestion, prévoit que l’utilisateur soit informé sur les moyens de retirer son consentement ainsi que sur la durée de sa validité, et ce avant de consentir à l’utilisation des traceurs. La CNIL recommande de rendre le plus simple possible le retrait du consentement de l’utilisateur à l’aide d’un lien ou d’une icône statique facilement accessible et intitulée « gérer mes cookies ».

La CNIL propose à l’article 2.4, en guise de bonne pratique de renouveler le recueil du consentement de l’utilisateur tous les six mois.

N’étant préconisé qu’à titre de bonne pratique, la non-application de cette recommandation ne peut, en principe, pas avoir d’influence sur la conformité du traitement. Toutefois, il convient de rappeler que le consentement de l’utilisateur ne saurait être considéré comme valable pour une durée indéfinie. Dans la mesure où, alors que la durée de validité maximale du consentement n’a pas été définie légalement, il est pour l’heure impossible d’établir avec certitude cette durée, il serait plus judicieux pour les opérateurs de se conformer à cette bonne pratique afin de se mettre à l’abri d’une éventuelle sanction de la Commission.

IV- Les modalités d’usage et de recueil du consentement via le navigateur.

L’article 6 de la recommandation de la CNIL présente uniquement des bonnes pratiques. Cela signifie que leur non-application ne peut, en principe, pas avoir d’influence sur la conformité du traitement.

La CNIL conseille d’utiliser des cookies différents pour chaque finalité afin d’assurer une meilleure transparence et de faciliter la vérification de la bonne prise en compte du consentement de l’utilisateur. La Commission encourage également la standardisation des noms des traceurs ou des icônes qui permettrait d’informer rapidement et efficacement l’utilisateur.

La CNIL espère ainsi inciter les fournisseurs de navigateurs ainsi que les systèmes d’exploitation à rendre plus simple l’intégration de mécanismes de recueil de consentement qui permettraient de mémoriser les choix de l’utilisateur et d’en informer les sites internet ainsi que les applications mobiles.

La CNIL invite donc, à titre de bonne pratique, les fournisseurs de navigateurs ainsi que les systèmes d’exploitation à :
 Permettre aux utilisateurs de consentir ou non aux opérations de lecture ou d’écriture lors du premier usage du navigateur, et ce dans des conditions d’information qui leur permettent de faire un choix éclairé ;
 Intégrer un dispositif qui permettent aux éditeurs de sites d’applications mobiles de demander et d’obtenir un consentement conforme à la réglementation ;
 Appliquer le consentement de l’utilisateur en autorisant les entités disposant de ce consentement à réaliser les opérations de lecture et d’écriture lorsque l’utilisateur a explicitement consenti au travers du mécanisme évoqué ci-dessus.

Sont notamment visés par ces dispositions les « cookies tiers », c’est à dire les traceurs qui ne sont pas directement générés par l’éditeur d’un site internet ou d’une application mobile, mais qui sont hébergés par un serveur tiers. Les cookies tiers visent généralement à recueillir des informations sur le comportement du visiteur afin de pouvoir, par la suite, avoir recours à de la publicité ciblée. La CNIL, qui ne juge pas les cookies tiers comme étant des traceurs nécessaires, recommande sur son site internet aux utilisateurs de refuser par défaut leur utilisation.

Certains ont d’ailleurs décidé de prendre certaines dispositions en la matière indépendamment (ou du moins avant) l’adoption de la recommandation elle-même de septembre 2020. Google Chrome a ainsi annoncé le 14 janvier dernier que le logiciel du navigateur ne supportera plus les cookies tiers d’ici 2022.

Le navigateur développé par Apple, Safari, a mis à jour son logiciel au mois de mars 2020 de telle sorte que les cookies tiers sont désormais bloqués par défaut dans tous les domaines, sans aucune exception. Il en est de même pour le navigateur Firefox qui, pour sa part, bloque par défaut l’utilisation des cookies tiers depuis septembre 2019.

A la lumière de cette recommandation, qui témoigne d’une interprétation stricte et d’une volonté ferme de la CNIL d’assurer la protection des données personnelles des utilisateurs, il sera à l’avenir plus simple pour les utilisateurs de donner, ou non, leur consentement libre, éclairé, spécifique et univoque à l’utilisation des traceurs. Ceci d’autant plus que la CNIL a annoncé qu’elle fera de l’une de ses priorités le respect des dispositions applicables aux cookies et autres traceurs en renforçant les contrôles sur ces nouvelles obligations en 2020 et en 202I.

Il est par ailleurs prévu que le respect des dispositions applicables aux traceurs et deux autres thématiques définies comme prioritaires représenteraient ensemble environ 20% des procédures formelles de contrôle menées en 2020. Cette recommandation et la dynamique actuelle poursuivie par la CNIL devrait donc être accueilli favorablement si l’on se place du point de vue de l’utilisateur.

Néanmoins, cette recommandation aura inévitablement un effet négatif pour tout un pan de l’économie du marketing digital. En effet, les professionnels du secteur prévoient, avec ces nouvelles dispositions, une baisse significative du nombre d’utilisateurs consentant à l’utilisation de cookies. C’est tout le business model d’un grand nombre de sociétés s’appuyant sur la publicité ciblée en ligne qui se voit aujourd’hui menacé. Pour ces entreprises qui recourent uniquement à la publicité ciblée, il semble peu probable que le délai de six mois jusqu’à mars 2021 à compter de l’adoption de la recommandation soit suffisant pour leur permettre de radicalement changer leur modèle économique.

Cette recommandation de la CNIL aura donc un impact certain sur un marché de la publicité en ligne qui représentait en 2019 5 862 milliards d’euros en France. Il ne fait nul doute que la CNIL a la pleine connaissance de l’enjeu économique derrière cette recommandation, ce qui signifie qu’elle semble avoir, à l’issue d’un arbitrage, privilégié la protection de l’utilisateur au détriment du marché de la publicité ciblée.

Julie Prost Avocat au Barreau de Paris IMPALA AVOCATS https://www.impala-avocats.com