Dans un contexte où le Règlement ePrivacy est toujours en état de projet et son entrée en application demeure incertaine, la CNIL poursuit sa volonté d’apporter des solutions pratiques dans l’encadrement des cookies. Un chantier qu’elle a initié en 2013 à travers des « recommandations » « cookies et autres traceurs », qui seront remplacées par des lignes directrices en 2019 pour prendre en compte l’application du Règlement général sur la protection des données (RGPD). Puis, dans son plan d’action sur le ciblage publicitaire, la CNIL actualise ces dernières en adoptant, le 01 octobre 2020 :
Le cookie est un petit fichier déposé sur le terminal de l’internaute, lors de la consultation de certains sites web, et conserve des informations sur celui-ci en vue d’une connexion ultérieure. Son utilisation est encadrée par l’article 82 de la loi « Informatique et Libertés » qui transpose en droit français l’article 5.3 de la directive 2002/58/CE « vie privée et communications électroniques » plus connue sous l’appellation « ePrivacy[1] ».
Cet article dispose en l’occurrence :
« Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :
1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
2° Des moyens dont il dispose pour s’y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. » Article 82
Les termes « cookies et autres traceurs » englobe désormais tous les dispositifs poursuivant le même objectif qu’un cookie (cookies http, cookies flash, fingerprinting, pixels invisibles ou web bugs, identifiant de logiciel ou de système d’exploitation…) et susceptibles d’être visés par l’article 82 . Ce présent article s’applique indépendamment du fait que les données concernées aient un caractère personnel ou non. Le cas échéant, les dispositions du RGPD s’appliqueront en complément de celles du présent article.
En résumé, les dispositions de l’article 82 imposent d’informer et de recueillir le consentement des utilisateurs avant toute opération d’écriture ou de lecture de cookies et autres traceurs (sauf exceptions).
Conformément aux dispositions de l’article 82, le devoir d’information pèse sur le responsable de traitement ou son représentant. Du fait de leur contact direct avec les utilisateurs, ils sont plus à même de porter à leur connaissance les informations liées aux traceurs déposés et de collecter leur consentement. Par conséquent, sont considérés comme responsable de traitement, au sens des lignes directrices, les éditeurs de site ou d’application mobile et les tiers[2] qui utilisent des traceurs sur un service édité par un autre organisme dès lors qu’ils agissent pour leur propre compte.
Afin de transmettre une information claire et précise sur l’utilisation des traceurs, la Commission recommande d’indiquer l’identité, le nombre de responsables du ou des traitements et leurs rôles au premier niveau d’information, à travers un lien hypertexte ou un bouton accessible depuis ce niveau. En regroupant les organismes par catégories et en fonction de la finalité des traceurs utilisés, cette information peut se matérialiser sous forme de liste qui doit être tenue à jour de manière régulière et peut être placée dans des zones de l’écran facilement identifiables par l’utilisateur et pendant toute la durée de navigation.
Le second degré d’information porte sur la finalité des traceurs, le principe est que les utilisateurs doivent donner leur consentement de manière spécifique, c’est-à-dire qu’ils doivent avoir la possibilité de consentir à chaque finalité de manière distincte. Par conséquent, les informations relatives à chaque finalité doivent leur être communiquées avant de recueillir leur consentement.
S’agissant du consentement, il doit être porté à la connaissance des utilisateurs la manière d’accepter ou de refuser les traceurs, les conséquences qui s’y attachent et l’existence de leurs droits notamment celui de retrait du consentement.
En pratique, la CNIL propose de délivrer l’information relative à la finalité des traceurs en deux phases. D’abord, elle propose de faire figurer sur un premier écran la liste des finalités et que chaque finalité soit « mise en exergue dans un intitulé court et mis en évidence, accompagné d’un bref descriptif » comme illustré dans le tableau ci-dessous :
Finalité(s) poursuivie(s)
———————————————
Traceurs utilisés afin d’afficher de la publicité personnalisée.
Formulation(s) conforme(s) aux règles applicables
———————————————————————————————–
« Publicité personnalisée : [nom du site / de l’application] [et des sociétés tierces / nos partenaires] utilise / utilisent des traceurs afin d’afficher de la publicité personnalisée en fonction de votre navigation et de votre profil »
Ensuite, la CNIL recommande qu’une description plus détaillée des finalités soit mise en place, de manière aisément accessible pour l’utilisateur depuis l’interface de recueil du consentement. Cette information peut notamment être affichée, au premier niveau d’information, à travers un bouton de déroulement que l’internaute peut activer directement, ou encore via un lien hypertexte.
Par ailleurs, afin mettre à disposition des utilisateurs toutes les informations nécessaires liées à l’utilisation des cookies et autres traceurs, l’éditeur d’un site web peut fournir aux utilisateurs un module de paramétrage accessible sur toutes les pages du site au moyen d’une icône statique « cookie » toujours visible ou d’un lien hypertexte situé en bas ou en haut de page.
De même, la Commission encourage le développement d’interfaces standardisées, fonctionnant de la même manière et utilisant un vocabulaire uniformisé, de nature à faciliter la compréhension des utilisateurs et recueillir valablement leur consentement.
Les responsables de traitement doivent s’assurer de la présence effective d’un mécanisme permettant de recueillir le consentement des utilisateurs avant le dépôt des traceurs. De la même manière, le consentement de l’utilisateur doit être recueilli sur chacun des sites concernés, lorsque le suivi de navigation va au-delà du périmètre où les traceurs ont été initialement déposés.
Les obligations énoncées dans les lignes directrices concernant le recueil du consentement doivent être lues à la lumière des articles du RGPD relatifs au consentement[3].
En résumé, pour être valable, un consentement doit être donné de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair.
Un consentement libre sous-entend que la personne concernée ne subira pas d’inconvénients majeurs en cas d’absence ou de retrait du consentement. Le principe est que l’utilisateur doit avoir une réelle liberté de choix lorsqu’il donne son consentement. Dans ces conditions, la CNIL estimait, dans ses premières lignes directrices, que l’usage des « cookie walls », i.e. la pratique consistant à bloquer l’accès de l’utilisateur à un site internet ou à une application mobile s’il n’accepte pas les cookies, était donc interdit. A la suite d’une requête, le Conseil d’Etat a prononcé l’annulation partielle des lignes directrices de la CNIL notamment l’interdiction du recours aux « cookie walls ». De fait, le Conseil d’Etat a jugé que l’interprétation de la CNIL était trop restrictive, et que celle-ci n’a pas la compétence requise pour prononcer une telle restriction. Cette décision a conduit la Commission à revoir sa position dans ses nouvelles lignes directrices. Elle soutient maintenant que l’usage des « cookie walls » est susceptible de porter atteinte, dans certains cas, à la liberté du consentement et par conséquent, en cas de mise en place d’un « cookie wall » l’information fournie à l’utilisateur devra clairement lui indiquer les conséquences de ses choix et notamment l’impossibilité d’accéder au contenu ou au service en l’absence de consentement.
Est également susceptible de porter atteinte à la liberté de choix de l’utilisateur et au caractère spécifique du consentement, au sens des nouvelles lignes directrices et conformément à l’article 43 du RGPD, le fait de recueillir de manière simultanée un seul consentement pour plusieurs finalités distinctes (le couplage de finalités) sans donner la possibilité à l’utilisateur d’accepter finalité par finalité.
En pratique, afin de s’assurer du caractère libre du consentement donné, la Commission recommande de demander aux utilisateurs leur consentement de façon indépendante et spécifique pour chaque finalité distincte. Cela ne fait pas toutefois obstacle à la possibilité de proposer aux utilisateurs de consentir de manière globale, sous réserve de leur présenter au préalable, l’ensemble des finalités poursuivies.
Concrètement, il est recommandé d’inclure, dans le premier niveau d’information, de boutons intitulés « tout accepter » et « tout refuser », « j’autorise » et « je n’autorise pas », « j’accepte tout » et « je n’accepte rien » et permettant de consentir ou de refuser, en une seule action, à plusieurs finalités.
Dans le même niveau d’information, un bouton « personnaliser mes choix » ou « décider par finalité » permettrait aux utilisateurs d’accepter ou de refuser finalité par finalité en cliquant par exemple sur chaque finalité afin qu’un menu déroulant leur propose des boutons « accepter » ou « refuser ».
Toutefois, l’acceptation globale des conditions générales d’utilisation ne permettant pas de remplir le caractère spécifique du consentement, elle n’est donc pas autorisée au sens des nouvelles lignes directrices.
Un consentement éclairé suppose d’une part que l’information soit rédigée en des termes simples, clairs et compréhensibles par tous : une terminologie juridique ou technique trop complexe ou un simple renvoi vers les conditions générales d’utilisation ne sont donc pas autorisés. La Commission estime que les informations suivantes doivent à minima être communiquées aux utilisateurs : l’identité du ou des responsables de traitement ; la finalité des opérations de lecture ou écriture des données ; l’existence du droit de retirer son consentement. (cf. Supra)
D’autre part, l’information doit être facilement accessible pour l’utilisateur. A ce titre, la CNIL recommande par exemple la mise en place des titres et menus déroulants pour faciliter le repérage de l’information par la personne concernée.
Un consentement univoque demande une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l’exercer : la simple poursuite de la navigation, utiliser une application ou faire défiler un site internet ne constituent pas, selon la CNIL, « des actions positives claires assimilables à un consentement valable ». Idem pour l’opt-out (l’utilisation des cases pré-cochées[4]) ou une acceptation globale des conditions générales d’utilisation.
La Commission préconise l’usage de cases à cocher opt-in (décochées par défaut) ou le recours à des interrupteurs « sliders », désactivés par défaut. A condition que le choix exprimé par les utilisateurs soit aisément identifiable et que l’information soit facilement compréhensible. Autrement dit, elle ne doit pas nécessiter un effort de concentration de la part de l’utilisateur et la lecture rapide de l’information de sa part, ne doit l’induire en erreur dans ses choix.
Par ailleurs, comme dans ses premières lignes directrices, la CNIL réitère sa position selon laquelle le consentement de l’utilisateur ne peut résulter des paramétrages de son navigateur, qui selon la Commission « ne peuvent, en l’état de la technique, permettre à l’utilisateur d’exprimer la manifestation d’un consentement valide ». Il est donc recommandé aux organismes de recourir à un outil de gestion des préférences.
Conformément au RGPD, les organismes doivent être en mesure de prouver le consentement de l’utilisateur aux cookies et autres traceurs, et de pouvoir l’apporter à tout moment, qu’il s’agisse d’une collecte directe ou indirecte. En cas de collecte indirecte, la seule présence d’une obligation contractuelle[5] de recueillir le consentement de l’utilisateur imposée à l’autre partie ne constitue pas une preuve suffisante. Elle doit prévoir que l’organisme qui recueille le consentement doit également mettre à disposition des autres parties la preuve de ce consentement.
Afin de satisfaire à l’obligation de preuve de la validité du consentement, la Commission recommande notamment les modalités suivantes, non exclusives :
S’agissant de la durée de conservation des choix de l’utilisateur, la Commission juge qu’un délai de 6 mois (acceptation ou refus) constitue une bonne pratique. Il est donc recommandé de renouveler la collecte du consentement de l’utilisateur à l’issue de cette période.
L’expression du refus de l’utilisateur ne doit nécessiter aucune démarche de sa part ou doit pouvoir se traduire par une action présentant le même degré de simplicité que celle permettant d’exprimer son consentement.
Cela peut se matérialiser par l’usage du bouton « tout refuser » à côté du traditionnel bouton « tout accepter », ou de permettre à l’utilisateur de cliquer sur « continuer sans accepter » pour exprimer son refus au dépôt et à la lecture de traceurs. A ce stade, la CNIL interdit toute pratique visant à valoriser un choix plus qu’un autre ou de faire comprendre de manière implicite à l’utilisateur que l’utilisation des services est conditionnée par l’acceptation des cookies.
Le refus peut aussi se matérialiser par l’absence de choix ou d’action de la part de l’utilisateur. Dans ce cas, les modalités de refus doivent être clairement indiquées à l’utilisateur afin qu’il sache que la fermeture de la fenêtre de pop-up ou la poursuite de la navigation entraine un refus des traceurs. Le cas échéant, la Commission recommande que le message sollicitant le consentement de l’utilisateur (la fenêtre ou le bandeau par exemple) disparaisse au bout d’un laps de temps court, de manière à ne pas gêner la navigation de l’utilisateur ou de conditionner son confort de navigation à l’expression de son consentement aux traceurs.
Par ailleurs, conformément à l’article 7.3 du RGPD, il doit être aussi simple de retirer son consentement que de le donner. Les utilisateurs ayant donné leur consentement à l’utilisation de traceurs doivent être mis en mesure de le retirer simplement et à tout moment. Autrement dit, le retrait du consentement ne doit pas nécessiter du temps ou des actions considérables de la part de l’utilisateur.
Afin de permettre facilement aux utilisateurs d’accéder au mécanisme de gestion et de retrait de leur consentement, la Commission préconise l’usage d’une icône « module de gestion des cookies »,
« gérer mes cookies » ou bien « cookies » qui peut être placée en bas à gauche de l’écran et qui attire visuellement l’attention de l’utilisateur.
Elle recommande également aux organismes de permettre l’effectivité de la gestion du retrait du consentement en mettant en place des solutions permettant de garantir l’absence de lecture ou d’écriture des traceurs précédemment utilisés.
Cheikh NDIAYE
[1] Proposition de Règlement du parlement européen et du conseil concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive 2002/58/CE (règlement « vie privée et communications électroniques »)
[2] CJUE, 29 juill. 2019, aff. C-40/17, Fashion ID GmbH & Co. KG c. / Verbraucherzentrale NRW eV, l’éditeur du site ou de l’application mobile et le tiers déposant des traceurs sont réputés être responsables conjoints du traitement dans la mesure où ils déterminent conjointement les finalités et les moyens des opérations de lecture et écriture sur l’équipement terminal des utilisateurs.
[3] Articles 4 (11) et 7 du Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données).
[4] Décision Planet 49 du 1er octobre 2019 (CJUE, 1er oct. 2019, C-673/17).
[5] Le Conseil d’Etat a jugé, dans sa décision du 6 juin 2018, qu’au titre des obligations qui pèsent sur l’éditeur de site, figurent celle de s’assurer auprès de ses partenaires, d’une part, qu’ils n’émettent pas, par l’intermédiaire du site de l’éditeur, des traceurs qui ne respectent pas la règlementation applicable en France et, d’autre part, celle d’effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements.
[6] Conseil d’État, 10ème – 9ème chambres réunies, 06/06/2018, 412589, Publié au recueil Lebon, le fait qu’un traceur soit nécessaire à la viabilité économique du service n’implique pas qu’il soit « strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur ».