Publications

Ce qu’il faut retenir des nouvelles lignes directrices de la CNIL sur les cookies et autres traceurs
Publié le 26 juillet 2019

Dans un contexte plus qu’incertain concernant l’entrée en application du règlement ePrivacy, la CNIL a publié le 18 juillet dernier de nouvelles lignes directrices[1]sur les cookies et autres traceurs qui viennent abroger ses recommandations de 2013[2]sur le sujet.

Pour rappel, c’est l’article 82 de la loi Informatique et libertés qui transpose en droit français la directive 2002/58/CE « vie privée et communication électronique », plus connue sous l’appellation « ePrivacy » et qui sera à terme remplacée par le règlement du même nom.

Cet article dispose en l’occurrence :

« Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

2° Des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. »[3]

Il doit bien évidemment désormais être lu à la lumière du Règlement général sur la protection des données (RGPD), et notamment ses articles relatifs au consentement[4]qui imposent une interprétation beaucoup plus stricte de la validation de ce dernier.

 

Un champ d’application très large

 

Les lignes directrices de la CNIL portent sur « toutes les opérations visant à accéder, par voie de transmission électronique, à des informations déjà stockées dans le terminal de l’abonné ou de l’utilisateur ou à inscrire des informations dans cet équipement ». Etant précisé que « terminal » englobe aussi bien les tablettes ou autres smartphones mais aussi une console de jeux vidéo, une télévision ou encore un véhicule connecté.

Une autre précision non négligeable sur le champ d’application de cette directive est que la directive, et par conséquent l’article 82, s’appliquent indépendamment du fait que les données concernées soient à caractère personnel ou non. L’article doit donc être couplé avec les dispositions du RGPD lorsque des données personnelles sont traitées, qu’elles soient directement identifiantes (adresse email par exemple) ou indirectement identifiantes (adresse IP, empreinte digitale en cas de « fingerprinting »).

 

Des modalités spécifiques du recueil du consentement

 

Sans revenir en détail sur les spécificités du consentement, il doit être rappelé que pour être valide ce consentement doit avoir été donné de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair.

Un consentement libre sous-entend que la personne concernée ne subira pas d’inconvénients majeurs en cas d’absence ou retrait du consentement[5] : bloquer l’accès de l’utilisateur à un site internet ou à une application mobile s’il n’accepte pas les cookies est donc interdit. En pratique, cela implique donc de proposer à l’utilisateur une version « dégradée » du site/de l’application s’il refuse les cookies et autres traceurs.

Un consentement spécifique implique la possibilité de donner son consentement de façon indépendante et spécifique pour chaque finalité. Si l’acceptation globale des conditions générales d’utilisation n’est pas autorisée, un consentement global peut être proposé à condition que la personne concernée puisse avoir la possibilité en plus de consentir distinctement à chaque finalité.

Un consentement éclairé suppose une information rédigée en des termes simples et compréhensibles par tous : une terminologie juridique ou technique trop complexe ou un simple renvoi vers les conditions générales d’utilisation ne sont donc pas autorisés. La CNIL rappelle que les informations devant être communiquées sont à minima :

  • l’identité du ou des responsables de traitement ;
  • la finalité des opérations de lecture ou écriture des données ;
  • l’existence du droit de retirer son consentement.

Un consentement univoque demande une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l’exercer : poursuivre sa navigation, utiliser une application ou faire défiler un site internet ne constituent pas, selon la CNIL, « des actions positives claires assimilables à un consentement valable ». Idem pour les cases pré-cochées ou une acceptation globale des conditions générales d’utilisation. Des solutions « conviviales et ergonomiques » sont ainsi préconisées par l’autorité de contrôle pour permettre le recueil du consentement de manière adaptée.

Une autre spécificité apportée par le RGPD, et qui complique fortement le sujet, est la nécessité de conserver la preuve du consentement de l’utilisateur aux cookies et autres traceurs, et de pouvoir l’apporter à tout moment. Une problématique additionnelle que l’on retrouve dans toute collecte indirecte de données est que les organismes qui ne recueillent pas directement le consentement doivent eux aussi être en mesure de prouver cette collecte, la seule présence d’une obligation contractuelle imposée à l’autre partie n’étant pas suffisante.

Il doit aussi être aussi facile de refuser ou retirer son consentement que de le donner. Ici aussi la CNIL préconise des « solutions conviviales » pour permettre à l’utilisateur de retirer son consentement à tout moment et de manière simple.

 

Un paramétrage du terminal nécessaire

 

Si le paramétrage du navigateur était jusqu’ici une option majoritairement retenue par les entreprises qui ne souhaitaient pas souscrire à un outil spécifique, cette option n’est désormais plus admise au regard des spécificités abordées plus haut.

En effet, la CNIL indique que « ces paramétrages du navigateur ne peuvent, en l’état de la technique, permettre à l’utilisateur d’exprimer la manifestation d’un consentement valide ». Selon elle, les informations fournies par les navigateurs ne sont tout d’abord pas exprimées de manière suffisamment claire pour être considérées comme assurant une information préalable valide. L’impossibilité de distinguer les types de cookies en fonction de leurs finalités ne répond pas non plus à la condition d’un consentement spécifique de la personne concernée. Enfin, seuls les cookies sont concernés par le paramétrage des navigateurs, excluant ainsi d’autres techniques comme le « fingerprinting » de suivi de la navigation.

Un outil de gestion des préférences semble donc quasiment indispensable pour les entreprises qui n’auront plus la possibilité de passer par ce paramétrage. La CNIL semble cependant ouverte à une évolution des navigateurs pour permettre d’intégrer des mécanismes aptes à recueillir le consentement conformément au RGPD : cette évolution remplirait la double possibilité de faciliter la navigation des internautes tout en laissant la possibilité aux éditeurs de se reposer sur de tels mécanismes.

 

Autres précisions

 

Dans ses guidelines, la CNIL rappelle aussi que si les technologies concernées par l’obligation de recueil du consentement n’impliquent pas systématiquement de traitement de données à caractère personnel, ce sera souvent le cas pour les opérations de lecture ou écriture, les soumettant ainsi à la règlementation sur la protection des données et à la nécessité de qualifier les parties concernées.

Une qualification de responsables de traitement « uniques », responsables conjoints ou sous-traitants devra être donnée en fonction des différents acteurs qui interviennent dans la réalisation de ces opérations de lecture ou d’écriture en fonction de leur marge de manœuvre sur les opérations, de leur degré de responsabilité et de leur capacité à déterminer les finalités et moyens du traitement.

Les traceurs de mesures d’audience sont un autre sujet sur lequel la Commission s’est prononcée en restant dans sa position initiale selon laquelle ils pouvaient être considérés comme nécessaires à la fourniture du service expressément demandé par l’utilisateur, peu intrusifs et donc exemptés du recueil du consentement sous certaines conditions. Ces traceurs servent par exemple à mesurer l’audience en faisant des statistiques de fréquentation ou bien de tester les performances de différentes versions d’un même site web pour détecter des problèmes de navigation ou organiser les contenus.

Les traceurs ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou étant strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur ne sont pas non plus soumis au consentement préalable et ce dans tous les cas. S’il n’est donc pas requis de permettre à l’utilisateur de pouvoir s’y opposer, cela n’exempte pas l’entreprise de son obligation de transparence et d’ainsi les informer de l’existence et de la finalité de ces traceurs dans leur politique de confidentialité.

Ces lignes directrices, mêmes si attendues dans le contexte du règlement ePrivacy et nécessaires pour l’évolution de la doctrine française sur le sujet notamment par rapport aux doctrines des autres autorités de contrôle européennes, restent des éléments extrêmement utiles pour aider les entreprises à se mettre en conformité sur le sujet. Elles seront accompagnées (et complétées) par une recommandation début 2020 ayant pour vocation d’apporter une aide pratique aux opérateurs sur la preuve du consentement – leur laissant ainsi 6 mois pour s’adapter à compter de leur publication.

[1]https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038783337

[2]https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000028380230&categorieLien=id

[3]Article 82 de la Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

[4]Articles 4 (11) et 7 du Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

[5]Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs) (rectificatif)

 

 

Par Kimberley Lobry

 

Suivez-nous sur Linkedin, Twitter et Facebook