Lignes directrices et recommandation de la CNIL. Du nouveau du côté des cookies ?

Cette fois nous y sommes. La CNIL vient d’adopter ses lignes directrices et sa recommandation “cookies et autres traceurs”. Les deux documents ont fait l’objet d’une délibération le 17 septembre 2020 avant d’être officiellement publiés le 1er octobre sur le site de la CNIL.

Pour rappel, l’adoption de ces deux nouveaux documents fait d’abord suite à l’adoption le 4 juillet 2019 par la CNIL de lignes directrices rappelant le droit applicable en matière de cookies et traceurs (abrogeant par la même occasion la recommandation de 2013). Ces lignes directrices viennent donc d’être modifiées au regard notamment de la décision rendue par le Conseil d’État le 19 juin 2020. Dans l’intervalle, la CNIL a établi un projet de recommandation qui a fait l’objet d’une consultation publique débutée au mois de janvier 2020 auprès des professionnels du secteur mais aussi de la société civile. Les apports de cette consultation publique ont permis d’aboutir à l’adoption de la version de la recommandation du 17 septembre 2020 qui joue un rôle de guide pratique pour les différents acteurs utilisant des traceurs.

Pour résumer :

– Les lignes directrices visent à rappeler le droit applicable aux opérations de lecture ou d’écriture dans le terminal d’un internaute , qu’il s’agisse d’un smartphone, d’un ordinateur, d’une tablette ou encore d’une télé connectée.

– La recommandation a pour objectif de guider les professionnels concernés par ces problématiques dans la démarche de mise en conformité de leurs dispositifs, ceci sans revêtir un caractère obligatoire. A ce titre, la recommandation présente des exemples pratiques sur les modalités de recueil du consentement de manière conforme.

Ce cadre de référence nouvellement adopté présente donc l’évolution des règles applicables pour ce qui a trait aux “cookies et autres traceurs” et aux modalités de recueil du consentement de l’utilisateur. L’objectif poursuivi par ces documents qui marquent “un tournant tant pour le secteur de la publicité en ligne que pour les internautes”, est de pouvoir exercer un meilleur contrôle sur les traceurs en ligne.

Que faut-il donc retenir de ces documents?

Informer les utilisateurs

Bien entendu, la première étape à suivre dans le cadre d’un dispositif impliquant l’utilisation de cookies est de s’assurer que les utilisateurs se voient présenter toutes les finalités des traceurs avant qu’ils puissent avoir la possibilité de consentir ou refuser leur dépôt.

Cela passe dans un premier temps par l’affichage d’un bandeau d’information lors de la première connexion au site qui informe l’utilisateur de tous les cookies utilisés sur le site.

Pour faciliter la lecture de ces finalités, la CNIL recommande que chacune des finalités soit “mise en exergue dans un intitulé court et mis en évidence, accompagné d’un bref descriptif“. Voici quelques exemples fournis par la CNIL dans sa recommandation pouvant être utilisés pour décrire les finalités  :

Pour l’utilisation de traceurs afin d’afficher de la publicité personnalisée :

«Publicité personnalisée: [nom  du  site/ de l’application] [et des sociétés  tierces/ nos partenaires] utilise/ utilisent des traceurs afin d’afficher de la publicité personnalisée en fonction de votre navigation et de votre profil».

Pour l’utilisation de traceurs afin d’afficher de la publicité en fonction de la géolocalisation précise de l’utilisateur :

Si la publicité est adaptée en fonction de la géolocalisation précise, cette finalité peut être décrite de la manière suivante: «Publicité géolocalisée: [nom du site/ de l’application] [et des sociétés tierces/ nos partenaires] utilise/ utilisent des  traceurs  pour  vous  adresser  de  la  publicité  en  fonction  de  votre localisation».

Si les traceurs sont utilisés afin de partager des données sur les réseaux sociaux :

«Partage  sur  les réseaux  sociaux : Notre  site/  application  utilise des  traceurs  pour  vous permettre  de  partager  du contenu  sur  les  réseaux  sociaux  ou  plateformes présents [sur notre site/ application]».

Par ailleurs, la CNIL recommande de faire figurer “en complément de la liste des  finalités  présentées  sur  le  premier  écran,  une  description  plus  détaillée  de  ces finalités, de manière aisément accessible depuis l’interface de recueil du consentement. Cette information peut, par exemple, être affichée sous un bouton de déroulement que l’internaute  peut  activer  directement  au  premier  niveau  d’information (cf. capture ci-dessous). Elle  peut également être rendue disponible en cliquant sur un lien hypertexte présent au premier niveau d’information qui permet alors d’afficher le module de gestion des cookies“. Un renvoi doit également être effectué vers la politique complète de gestion de cookies (qui doit présenter l’ensemble des informations obligatoires pour informer les utilisateurs des traitements mis en place).

Au sujet du consentement de l’utilisateur au dépôt de cookies, plusieurs principes sont présentés par la CNIL.

Tout d’abord, il doit être tout aussi facile pour l’utilisateur d’accepter les cookies que de les refuser, lorsqu’ils ne sont pas strictement nécessaire au fonctionnement du site/au service demandé par l’internaute (dans ce cas le cookie est exempté de cette exigence).

Ainsi, le refus doit pouvoir se traduire par une action aussi simple que celle permettant d’accepter. A défaut d’action de la part de l’utilisateur, la CNIL ajoute que le refus peut également se déduire du silence de l’internaute. C’est sur ces éléments que la position de la CNIL a pu évoluer depuis la publication du projet de recommandation jusqu’à son adoption.

En effet, dans le projet de recommandation l’intégration d’une “X” afin de permettre à l’utilisateur de fermer le module de cookies, signifiait que l’utilisateur avait la possibilité de ne pas prendre de décision quant à l’acceptation ou le refus du dépôt des cookies. Ce qui laissait alors à l’éditeur la possibilité de réafficher régulièrement le bandeau afin de permettre à l’internaute de prendre sa décision (voir capture ci-dessous).

Désormais,  la CNIL illustre cette possibilité de refuser les cookies avec l’une ou l’autre de ces possibilités :

Ce qu’il faut comprendre c’est que le bouton « continuer sans accepter » équivaut au bouton « tout refuser » : ceux-ci se traduisent indifféremment par le refus de consentir au dépôt des cookies. Ainsi, en l’absence de consentement exprimé par un acte positif clair, l’utilisateur est présumé refuser l’accès à son terminal ou l’inscription d’informations dans ce dernier. L’utilisateur n’a plus la possibilité de ne pas prendre de décision. Ce changement de paradigme trouve probablement sa justification dans le fait de vouloir conférer une protection accrue aux droits des personnes mais aussi de faciliter la gestion des cookies et de leurs modalités de mise en œuvre par les éditeurs.

En conséquence, intégrer, au stade du premier niveau d’information de l’internaute, un bouton « tout refuser », au même niveau et dans les mêmes formes que le bouton « tout accepter », constitue un moyen clair et simple pour permettre à l’utilisateur d’exprimer ses choix.

Ainsi, comme le souligne la CNIL dans sa F.A.Q, continuer  à  naviguer  sur  un  site  web,  à  utilise  une application mobile ou bien faire défiler la page d’un site web ou d’une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable.

Enfin, ce qu’il faut retenir de ces textes concernant le consentement de l’utilisateur, c’est qu’un site web ne peut pas renvoyer au paramétrage du navigateur pour collecter le consentement de l’utilisateur. La CNIL indique ainsi qu’ “en l’état de l’art, et sous réserve d’éventuelles évolutions futures, les possibilités de paramétrage des navigateurs et des systèmes d’exploitation ne peuvent, à eux seuls, permettre à l’utilisateur d’exprimer un consentement valide“.

Sur le retrait du consentement, l’utilisateur est libre de revenir sur sa décision à tout moment. En pratique, il est recommandé que les solutions mises en place permettant à l’utilisateur de gérer et de retirer son consentement soient aisément accessibles tout au long de sa navigation. Il peut s’agir de :

○ la mise à disposition d’un lien accessible à tout moment depuis le service concerné qui portera une dénomination descriptive telle que « gérer mes cookies » ;

○ un module de paramétrage accessible sur toutes les pages du site au moyen d’un icône « cookie » (située par exemple en bas à gauche de l’écran.

La preuve du consentement

C’est dans ses lignes directrices que la CNIL intervient d’abord sur la question de la preuve du consentement en rappelant que le « RGPD impose que les organismes exploitant des traceurs, responsables du ou des traitements, soient en mesure de fournir, à tout moment, la preuve du recueil du consentement libre, éclairé, spécifique et univoque de l’utilisateur ».

Dans sa recommandation, la CNIL fournit quant à elle des modalités pratiques pour le recueil du consentement conformément aux règles applicables. Elle rappelle d’abord que “dans  le  cas  où  ces  organismes  ne  collectent  pas  eux-mêmes  le  consentement  des utilisateurs (notamment pour les traceurs dits «cookies tiers»), la Commission estime qu’une telle obligation ne saurait être remplie par la seule présence d’une clause contractuelle engageant l’une des parties à recueillir un consentement valable pour le compte de l’autre partie, dans la mesure où une telle clause ne permet pas de garantir, en  toutes  circonstances,  l’existence  d’un  consentement  valide.  A  cet  égard,  la Commission  recommande  qu’une  telle  clause  soit  complétée  pour  préciser  que l’organisme qui recueille le consentement doit  également  mettre  à  disposition  des autres parties la preuve du consentement, afin que chaque responsable de traitement souhaitant s’en prévaloir puisse en faire effectivement état.

Suite à ce rappel, la CNIL présente une liste non limitative d’exemples permettant de recueillir la preuve de validité du consentement :

○ Les différentes versions du code informatique utilisé par l’organisme recueillant le consentement peuvent être mises sous séquestre auprès d’un tiers, ou, plus simplement,  un  condensat  (ou  «hash»)  de  ce  code  peut  être  publié  de  façon horodatée sur une plate-forme publique, pour pouvoir prouver son authenticité a posteriori ;

○ Une capture d’écran du rendu visuel affiché sur un terminal mobile ou fixe peut être   conservée,   de   façon   horodatée,   pour   chaque   version   du   site   ou   de l’application ;

○ Des audits réguliers des mécanismes de recueil du consentement mis en œuvre par les sites ou applications depuis lesquels il est recueilli peuvent être mis en œuvre par des tiers mandatés à cette fin ;

○ Les informations relatives aux outils mis en œuvre et à leurs configurations successives  (tels  que  les  solutions  de  recueil  du  consentement,  également connues sous l’appellation CMP, pour «Consent  Management  Plateform») peuvent être conservées, de façon horodatée, par les tiers éditant ces solutions.

Une solution envisageable afin de répondre à cette exigence pourrait en pratique être constituée par la sauvegarde régulière du code source du site par exemple via la wayback machine (site web mis à disposition par Internet Archive afin d’ouvrir un accès à des clichés instantanés de pages web stockés par l’organisme). Il s’agit donc ici de publier le code de façon horodatée sur une plate-forme publique ce qui permettra d’attester qu’à un moment donné le script utilisé ne permet pas à un utilisateur d’être exposé à des cookies sans avoir consenti à leur utilisation.

Le cas des cookies dispensés de consentement

Il existe un cas où les règles relatives au consentement que viennent d’être exposées ne trouveront pas à s’appliquer. Sont ainsi estimés comme étant dispensés de consentement les traceurs suivants :

○ Les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;

○ Les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues ;

○ Les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer à l’utilisateur le ou les produits et/ou services achetés ;

○ Les traceurs de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;

○ Les traceurs permettant l’équilibrage de la charge des équipements concourant à un service de communication ;

○ Les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;

○ Certains traceurs de mesure d’audience.

Concernant les traceurs de mesure d’audience il est nécessaire de s’y attarder afin d’appréhender les modalités d’exemption de recueil de consentement. Les traceurs listés ci-après dont la finalité se limite à la mesure de l’audience du site ou de l’application, pour répondre à différents besoins sont considérés comme étant strictement nécessaires au fonctionnement et aux opérations d’administration courante d’un site web ou d’une application et ne sont pas donc pas soumis à l’obligation légale du recueil du consentement de l’internaute :

○ Les mesures de performances ;

○ La détection de problèmes de navigation ;

○ L’optimisation des performances techniques ou de l’ergonomie ;

○ L’estimation de la puissance des serveurs nécessaires, 

○ L’analyse des contenus consultés, etc.

Ces traceurs doivent avoir uniquement pour objectif la mesure de l’audience sur le site ou l’application pour le compte exclusif de l’éditeur. Il est précisé que ces traceurs  ne  doivent  par ailleurs pas  permettre  le  suivi  global  de  la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web et doivent uniquement servir à produire  des données statistiques anonymes.

En tout état de cause, les utilisateurs doivent toujours être informés de la mise en œuvre de ces traceurs, au travers par exemple de la politique de confidentialité du site ou de l’application mobile.

Attention toutefois, la CNIL indique qu’en pratique les offres de mesure d’audience n’entrent pas dans le périmètre de l’exemption notamment lorsque les fournisseurs indiquent réutiliser les données pour leur propre compte. « C’est le cas notamment de plusieurs grandes offres de mesure d’audience disponibles sur le marché (voir notamment les politiques de confidentialité de Google Analytics, de Quantcast Analytics ou encore de Facebook Analytics. Dans certains cas il peut être possible de configurer ces outils pour désactiver la réutilisation des données ». Dans ce cas, ces éléments doivent être vérifiés, et il est également possible de vérifier auprès du fournisseur de l’outil qu’il s’engage contractuellement à ne pas réutiliser les données collectées.

Pour aller plus loin : apports divers

Conservation des données

Avec ces nouveaux textes, la CNIL fait évoluer ses recommandations en matière de conservation du choix des utilisateurs. Elle considère ainsi comme étant une bonne pratique de conserver ces choix, tant le consentement que le refus, pendant une durée de 6 mois. Jusqu’à maintenant une période de 13 mois était préconisée (et est toujours possible).

Par ailleurs, la CNIL recommande aussi désormais que les informations collectées par l’intermédiaire de ces traceurs soient conservées pour une durée maximale de vingt-cinq mois.

Pratique du cookie wall

Dans ses lignes directrices, la CNIL revient également sur la pratique du cookie wall qui consiste à subordonner la fourniture d’un service ou l’accès à un site web à l’acceptation d’opérations d’écriture ou de lecture sur le terminal de l’utilisateur. L’accès à un site web pourrait alors être bloqué pour l’utilisateur ne donnerait pas consentement au dépôt des cookies.

Cette pratique du cookie wall est susceptible, dans certains cas et sous certaines conditions, de porter atteinte à la liberté du consentement. La CNIL indique que la licéité du recours à un cookie wall doit être appréciée au cas par cas. En tout état de cause,  et sous réserve de la licéité de ce dispositif, l’information fournie à l’utilisateur devra clairement lui indiquer les conséquences de ses choix et notamment l’impossibilité d’accéder au contenu ou au service en l’absence de consentement.

Comme elle l’avait annoncé déjà annoncée, la CNIL estime que le délai de mise en conformité aux nouvelles règles ne devra pas dépasser six mois, soit au plus tard fin mars 2021.

La Commission a indiqué qu’elle tiendra compte des difficultés opérationnelles des opérateurs pendant cette période durant laquelle elle privilégiera l’accompagnement sur les contrôles. Elle se réserve également la possibilité, conformément à la jurisprudence du Conseil d’Etat, de poursuivre certains manquements, notamment en cas d’atteinte particulièrement grave au droit au respect de la vie privée (CE, 16 octobre 2019, n° 433069, Rec.). En outre, la CNIL continuera à poursuivre les manquements aux règles relatives aux cookies antérieures à l’entrée en vigueur du RGPD, éclairées par sa recommandation du 5 décembre 2013.

Sources :

https://www.cnil.fr/fr/evolution-des-regles-dutilisation-des-cookies-quels-changements-pour-les-internautes

https://www.cnil.fr/fr/questions-reponses-sur-les-lignes-directrices-modificatives-et-la-recommandation-cookies-et-autres

Je partage

Derniers articles

article_transferts_données_EDPB

Privacy

L’EDPB lance une consultation publique pour son projet de recommandations sur les transferts de données.

La CJUE a rappelé en juillet 2020 dans son arrêt « Schrems II », ayant notamment invalidé le dispositif de « Privacy Shield » autorisant, sous certaines conditions, les transferts de données vers les États-Unis, que la protection dont bénéficient les données personnelles au sein de l’Espace Économique européen (EEE) doit voyager avec elles et qu’il appartenait aux exportateurs […]

Lire l'article

article_unlock_your_brain_2020

Cybersécurité

Retour sur l’événement Unlock Your Brain

L’événement Unlock your Brain est dédié à la sécurité informatique. Cette année, c’est la 5éme édition de ce dernier. Au programme, il y a eu lieu un workshop, des conférences et un CTF « Capture the flag ». Compte tenu des conditions sanitaires, l’événement Unlock your Brain s’est déroulé en visioconférence cette année. Toutes les conférences étaient en […]

Lire l'article