Délibérations « cookies » de la CNIL : nouvelle fournée !
La CNIL a publié le 1er octobre 2020, par voie de délibérations datées du 17 septembre 2020, des lignes directrices — auxquelles il n’est pas possible de déroger — et des recommandations — auxquelles il est possible de déroger de façon documentée — pour rappeler et expliciter le droit applicable aux opérations de dépôt, lecture et utilisation de « traceurs » (communément désignés « cookies ») sur le terminal d’un internaute (tablette, ordinateur, smartphone, console de jeux, télévision connectée, véhicule connecté ou encore assistant vocal…).
1) UN CONSENTEMENT OBLIGATOIRE ET ÉCLAIRÉ
La CNIL rappelle que l’usage de traceurs est soumis au consentement libre, univoque et éclairé de l’utilisateur.
a) Les modalités de recueil du consentement
Pour recueillir un consentement éclairé, la CNIL met à dispositions différents modèles et rappelle l’obligation de présenter une information intelligible et compréhensible aux utilisateurs et recommande de développer des interfaces standardisées et d’utiliser un vocabulaire uniformisé, dans le but de permettre à l’utilisateur d’exprimer facilement son consentement ou son refus sans effort de concentration ou d’interprétation.
Toutefois, la CNIL exige une information particulièrement détaillée. Ainsi, à titre d’exemple, chaque finalité devrait être mise en exergue dans une liste avec un intitulé court et un descriptif bref, pour permettre d’obtenir le consentement indépendant et spécifique pour chaque finalité distincte. Dans le même sens, les acteurs participants au dépôt et/ou à la lecture de cookies doivent être clairement identifiés par les utilisateurs, au premier niveau d’information et par la mise à disposition d’une liste de façon permanente sur le site ou l’application en question.
La CNIL ne s’oppose pas à la mise en place de boutons d’acceptation et de refus globaux au premier niveau d’information. Elle ajoute que pour éviter de biaiser le consentement de l’utilisateur, les boutons « tout accepter » et « tout refuser » devraient se retrouver au même niveau et sur le même format.
Comme répété de nombreuses fois par l’Autorité de contrôle, l’absence de choix (en particulier la poursuite de la navigation) ne vaut pas consentement.
b) La conservation et la preuve du choix de l’utilisateur
La CNIL recommande de conserver le choix de l’utilisateur de manière à ne pas le solliciter pendant un certain temps, 6 mois constituerait alors une bonne pratique (à laquelle il est possible de déroger de manière documentée). Il doit être tout aussi simple à l’utilisateur de retirer son consentement que de le donner, en lui permettant de « gérer ses cookies » par un lien accessible à tout moment sur le support concerné.
La preuve de l’obtention du consentement de l’utilisateur doit être fournie à tout moment et la CNIL recommande diverses modalités, bien que ce soit l’usage d’une consent management platform qui semble privilégié par les acteurs du secteur de la publicité afin d’aboutir à ces fameuses « interfaces standardisées ».
2) LES TRACEURS EXEMPTES DE CONSENTEMENT
La Commission vient apporter des exceptions relatives à l’obligation de recueil de consentement.
La CNIL estime ainsi que sont exemptés de recueil de consentement :
les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs
les traceurs destinés à l’authentification les traceurs gardant en mémoire le panier d’achat sur un site marchand
les traceurs permettant l’équilibrage de la charge des équipements concourant à un service de communication
les traceurs de personnalisation de l’interface utilisateur, les traceurs permettant aux sites payants de limiter l’accès gratuit
- certains traceurs de mesures d’audience (sous certaines conditions) sont exemptés du consentement de l’utilisateur.
Bien que ce ne soit pas obligatoire, la CNIL recommande toutefois aux acteurs d’informer de façon claire les utilisateurs de l’existence de ces traceurs, de leurs finalités, de leurs durées de vie, les données traitées ainsi que la durée de conservation de ces données.
3) MISE À JOUR PARTICULIÈRE SUR LA PRATIQUE DITE DU « COOKIE-WALL »
Suite à la décision du Conseil d’État du 19 juin 2020 rappelant que la CNIL n’avait pas la faculté d’interdire la pratique du cookie-wall (pratique qui consiste à bloquer l’accès à un site Internet ou à une application pour l’internaute qui ne donnerait pas son consentement) l’autorité de contrôle considère désormais humblement que « La mise en œuvre d’un “cookie wall” est susceptible, dans certains cas et sous certaines conditions, de porter atteinte à la liberté du consentement. Ainsi, la licéité du recours à un “cookie wall” doit être appréciée au cas par cas. » ce qui laisse tout à la fois place à la créativité et à l’insécurité juridique.
* * *
Le délai de mise en conformité aux nouvelles règles ne devra pas dépasser six mois, soit au plus tard fin mars 2021, mais la CNIL se réserve la possibilité de la poursuite de certains manquements « en cas d’atteinte particulièrement grave au droit au respect de la vie privée » (l’attente grave n’étant pas définie) et en cas de « manquements aux règles relatives aux cookies antérieures à l’entrée en vigueur du RGPD ».
Pour plus d’information, contactez notre équipe Economie Numérique et Données
Jean-Christophe Chevallier et Cyril Fabre
Ydès – Droit des affaires
Lyon – Paris – Avignon – Bourg-en-Bresse – Londres – Bruxelles