Des cookies et encore des cookies
Dans nos précédents articles sur les cookies, disponibles ici et ici, nous avons successivement évoqué les lignes directrices de la CNIL publiées le 18 juillet 2019, l’arrêt de la Cour de Justice de l’Union Européenne (CJUE) du 1er octobre 2019 ainsi que l’arrêt du Conseil d’Etat du 16 octobre 2019.
Retour sur les principaux évènements de ces derniers mois en matière de cookies
• Les lignes directrices de la CNIL sont venues synthétiser le droit applicable en matière de cookies et autres traceurs. L’apport principal de ce document est l’affirmation que la simple poursuite de la navigation sur un site internet n’est pas une expression valide du consentement au dépôt des cookies sur le poste de l’internaute. A ceci vient s’ajouter le fait que les opérateurs qui exploitent ces traceurs doivent être en mesure de prouver qu’ils ont bel et bien recueilli le consentement de l’internaute préalablement au dépôt des cookies.
• L’arrêt de la CJUE du 1er octobre 2019 impliquant la fédération allemande des organisations de consommateurs ainsi qu’une société allemande proposant des jeux promotionnels, confirme quant à lui la position énoncée par la CNIL dans ses lignes directrices en indiquant par ailleurs qu’une case cochée par défaut ne vaut pas recueil du consentement au dépôt des cookies.
• L’arrêt du Conseil d’Etat du 16 octobre 2019 concerne la contestation par la Quadrature du Net et Caliopen du plan d’action de la CNIL et de l’existence de la période transitoire de mise en conformité. Une échéance jugée raisonnable par le Conseil d’Etat pour laisser le temps aux acteurs de mettre en conformité leurs sites internet. Pour rappel cette période d’adaptation s’achèvera 6 mois après la publication de la future recommandation.
La CJUE comme la CNIL exigent un comportement actif de l’utilisateur et non pas passif traduisant une manifestation de volonté de celui-ci. Ainsi, il doit consentir par un acte positif au dépôt des cookies sur son poste.
Publication du projet de recommandation
C’est ainsi que le 14 janvier 2020, la CNIL a publié quelques minutes avant l’intervention de la présidente de la CNIL, Marie-Laure Denis, lors de la 14ème Université des DPO de l’Association Française des Correspondants à la protection des Données à caractère Personnel (AFCDP), le projet de recommandation sur les modalités pratiques de recueil du consentement prévu par l’article 82 de loi du 6 janvier 1978 modifiée, concernant les opérations d’accès ou d’inscription d’informations dans le terminal d’un utilisateur ou « cookies et autres traceurs« .
La CNIL a lancé une consultation publique jusqu’au 25 février sur ce projet de recommandation qui concerne en particulier les modalités de recueil du consentement de l’internaute. Ce projet propose des recommandations pratiques et des exemples concrets non-exhaustifs afin d’accompagner les entreprises dans leur mise en conformité.
Les retours des organismes seront pris en compte avant une adoption définitive de la recommandation.
Pourquoi s’intéresser à la gestion des cookies ?
Il existe plusieurs raisons expliquant le besoin actuel d’édicter des règles et recommandations plus précises en lien avec la gestion des cookies et autres traceurs. Différentes raisons qui peuvent être appréhendées sous trois angles différents mais complémentaires :
D’un point vue juridique :
Comme l’a souligné la CNIL lors de la publication du projet de recommandation, prendre en compte la question de la gestion des cookies revêt désormais un caractère prédominant pour s’assurer du respect des droits et libertés des personnes.
• Un cadre juridique en évolution
Le RGPD est évidemment venu préciser les règles en matière de renforcement du consentement en particulier au regard des exigences de validité de celui-ci. De fait, la simple poursuite de la navigation sur un site internet ne peut plus valoir acceptation et être considérée comme une expression valide du consentement de l’internaute au dépôt des cookies. Cette autorisation de dépôt doit résulter d’un acte positif de l’internaute, c’est-à-dire un clic, à un endroit précis et spécifique autorisant ou non le recours à l’utilisation de ces cookies.
En outre, les obligations issues du RGPD impliquent que les éditeurs de sites et plus largement les entreprises qui disposent de sites internet, doivent être dans la capacité de produire la preuve qu’ils ont effectivement recueilli le consentement valide de l’internaute.
N’oublions pas également que le texte du règlement e-Privacy doit également paraitre et pourrait apporter de nouveaux éléments concernant la gestion de ces cookies. De nouvelles adaptations devront peut-être être apportées.
• Un enjeu de protection fort pour les personnes
Dans la lignée des travaux de la CNIL, la CNIL rappelle que la pratique du profilage publicitaire en ligne peut être « massif et perçu comme intrusif », d’où l’intérêt la nécessité d’encadre cette technique.
Depuis l’entrée en vigueur du RGPD, la CNIL a fait savoir à plusieurs reprises que le nombre de plaintes individuelles et collectives auprès d’elle a fait un vrai bon en avant, ce qui est aussi le cas pour les plaintes relatives au marketing en ligne. Ce nombre grandissant de plaintes traduit la prise de conscience du public européen quant à l’utilisation et l’exploitation de ses données à caractère personnel par les entreprises. La CNIL comme les autres autorités de contrôle européennes ont participé grandement à cette prise de conscience par les communications régulières afin d’informer les citoyens de leurs droits et de les sensibiliser aux enjeux rattachés à l’utilisation de leurs données personnelles par des entreprises.
Du point de vue du public :
Une étude vient d’être menée par l’Ifop (Institut d’études opinions et marketing en France et à l’international) pour le compte de la CNIL. Le rapport de cette étude intitulé « les français et la règlementation en matière de cookies » date de décembre 2019 et a été publié sur le site de ladite autorité de contrôle. Une étude donc, menée par questionnaire en ligne sur un échantillon de 1 005 français tous âgés de plus de 18 ans tout en préservant la représentativité de cet échantillon (sexe, âge, profession) après stratification par région et catégorie d’agglomération.
Au travers de ce questionnaire en ligne plusieurs thématiques elles-mêmes subdivisées en questions ont été abordées :
La notoriété des cookies ;
Le caractère nécessaire de la demande d’autorisation pour l’utilisation de données de navigation via des cookies ;
La pratique en matière d’accord pour l’utilisation des données de navigation via des cookies ;
L’expérience du dépôt de cookie sans que l’utilisateur soit tout à fait consentant ;
L’efficacité perçue de la demande d’autorisation de dépôt de cookies pour protéger sa vie privée ;
L’acceptation des cookies utilisant les données de navigation selon différentes sollicitations ;
La nécessité perçue de connaissance de l’identité des entreprises susceptibles de suivre la navigation sur le web via des cookies ;
Le caractère suffisant des informations sur les entreprises qui suivent la navigation sur le web via des cookies ;
L’opinion sur la réalisation du paramétrage des cookies en fonction de site visité ou de l’ensemble des comportements de navigation ;
La fréquence idéale à laquelle les sites doivent redemander le consentement ;
Ainsi, « 70 % des personnes interrogées trouvent indispensable que les acteurs obtiennent leur accord avant qu’il soit possible de se servir de leurs données de navigation via des traceurs, même si cela prend un peu plus de temps dans la navigation. Signe supplémentaire de cette volonté de contrôle étroit de l’usage des traceurs, les personnes interrogées se prononcent massivement pour que les sites qu’elles fréquentent souvent leur redemandent un consentement à intervalles réguliers (77 % souhaitent ainsi qu’une nouvelle demande de consentement pour utiliser des traceurs ait lieu au moins tous les 3 mois)« .
Il ressort également du sondage que :
« les personnes donnent leur consentement (76 %), et n’expriment aucune opposition de principe aux cookies en tant que tels, notamment pour la mesure d’audience et la personnalisation du contenu.
65% des personnes indiquent cependant avoir déjà accepté alors qu’elles n’étaient pas tout à fait d’accord ou qu’elles n’arrivaient pas à exprimer leur refus. […] les demandes d’autorisation actuelles ne sont pas jugées efficaces par 65 % des personnes interrogées. Le fait de demander l’autorisation d’utiliser les données de navigation ne suffit pas à régler tous les risques inhérents à la protection de la vie privée.
Elles souhaitent également que la demande de consentement soit renouvelée à intervalle régulier (3/4 des personnes souhaite qu’une nouvelle demande de consentement soit faite tous les 3 mois). »
Du point de vue des entreprises :
Pour les entreprises, l’enjeu rattaché à la prise de connaissance de ces lignes directrices et au respect de celles-ci repose sur deux éléments :
• Les sites internet sont les vitrines des entreprises. Ne pas être en conformité sur un site internet, alors que le public est de plus en plus sensibilisé à ces questions peut avoir des répercussions importantes pour l’image de l’entreprise. Il en sera de même vis-à-vis de ses partenaires commerciaux.
• Il est donc nécessaire pour les entreprises de respecter les principes en matière de cookies et de s’appuyer sur les exemples qui sont apportés dans ces lignes directrices. Ceci permettra en outre aux entreprises de mieux comprendre mieux les obligations résultant du RGPD et de la directive ePrivacy.
Le contenu et les apports du projet de recommandation
Les recommandations complètent les lignes directrices du 4 juillet afin d’expliciter les actions pratiques à mettre en œuvre pour respecter les principes de gestion des cookies et traceurs. Comme le souligne la CNIL, ce projet de recommandation n’est pas prescriptif, mais a plutôt vocation à formuler des recommandations traduisant opérationnellement, par l’intermédiaire d’exemples concrets, les exigences des textes dans la présentation des interfaces utilisateurs.
En outre, ces exemples ne sont pas exhaustifs et constituent des indications de ce qui peut être fait en pratique pour respecter les règles issues des lignes directrices. La CNIL indique ainsi qu’il est possible d’aller au-delà des exemples fournis et que d’autres méthodes de recueil du consentement peuvent être utilisées par les professionnels, sous réserve que celles-ci permettent effectivement d’obtenir un consentement conforme aux exigences des textes applicables.
Enfin, la CNIL rappelle encore que ses bonnes pratiques permettent parfois, au-delà du strict respect des obligations, aux professionnels de se démarquer.
Pour résumer, ce projet de recommandation a principalement vocation à traduire en pratique des principes énoncés dans les lignes directrices et à revenir sur la question du recueil valide du consentement et de ses caractéristiques.
Des recommandations pratiques
La recommandation de la CNIL comprend 9 articles déclinés au travers de 67 paragraphes. Reprenons ici chacun de ces articles en détaillant leurs principaux apports respectifs au travers d’un tableau récapitulatif. A noter que le projet de recommandation présente des visuels afin de rendre plus parlantes certaines recommandations.
Articles du projet de recommandation de la CNIL |
Principaux apports |
Article 1 – Périmètre de la recommandation |
|
Article 1.1 – Environnements concernés |
La recommandation ne se limite pas aux sites internet. Elle concerne aussi les télévisions connectées, consoles de jeux, assistants vocaux… Que l’utilisateur soit authentifié ou non (logué ou non logué). |
Article 1.2 – Traceurs concernés |
La recommandation s’applique seulement aux traceurs nécessitant un consentement. L’article liste des exemptions (page 3). |
Article 1.3 – Acteurs concernés |
L’obligation de recueil du consentement est rattachée à la finalité du traceur. Les éditeurs comme les tiers peuvent être regardés comme responsables des opérations de lecture ou écriture en cause. |
Article 2 – L’exigence d’un consentement éclairé |
|
Article 2.1 – L’information sur les finalités des traceurs |
La finalité doit être mise en exergue dans un intitulé court, mis en évidence et accompagné d’un bref descriptif. La CNIL fournit ici de nombreux exemples (page 5) : contenus des mentions d’information et visuels dans l’application. |
Article 2.2 – L’information sur les responsables de traitement et la portée du consentement |
La liste exhaustive des responsables des traitements doit être mise à la disposition de l’utilisateur. Le consentement peut concerner la navigation sur d’autres sites, mais l’utilisateur doit être informé pour être pleinement conscient de la portée de son consentement. La CNIL fournit des exemples pratiques (page 8). |
Article 3 – L’exigence d’un consentement libre |
L’utilisateur doit exercer librement son choix et le refus de l’utilisateur doit être enregistré. Il peut être aussi laissé la possibilité à l’utilisateur de ne pas faire de choix et de retarder sa décision (à distinguer du refus). Exemple fournit en page 12 du projet de recommandation. |
Article 4 – L’exigence d’un consentement spécifique |
Le consentement doit être donné de manière indépendante et spécifique pour chaque finalité distincte. La CNIL propose des exemples illustrés aux pages 14 & 15. |
Article 5 – L’exigence d’un consentement univoque |
Le consentement doit se manifester par un acte positif clair de l’utilisateur. Ne pas faire appel à des mécanismes de design potentiellement trompeurs comme une grammaire visuelle troublant la compréhension de l’utilisateur quant à la nature de son choix. Il est possible d’avoir recours à des cases décochées par défaut ou des interrupteurs (« sliders« ) désactivés par défaut, si le choix est aisément identifiable. |
Article 6 – Retrait et durée du consentement |
Le consentement doit pouvoir être retiré à tout moment aussi simplement que lorsque celui-ci est donné. Cela peut par exemple passer par un lien disponible à tout moment sur le site nommé par exemple « Module de gestion des cookies » ou « gérer mes cookies » ou via une icône « cookies » située en bas de l’écran. La CNIL recommande de renouveler le consentement à des intervalles appropriés sans attendre que l’utilisateur ait retiré son consentement. La CNIL estime qu’une durée de validité du consentement de 6 mois à partir de l’expression du choix de l’utilisateur est adaptée. |
Article 7 – Preuve du consentement |
Le responsable du traitement doit pouvoir démontrer par le biais d’une preuve que l’utilisateur a donné son consentement. S’agissant de la preuve de validité du consentement, la CNIL recommande les modalités suivantes :
|
Article 8 – Modalités d’usage des cookies : bonnes pratiques |
Privilégier l’utilisation de cookies différents pour chaque finalité distincte. Ne pas masquer l’identité de l’entité utilisant des traceurs, telle que la délégation de sous-domaine. La CNIL recommande que les noms des traceurs soient explicites et si possible uniformisés quel que soit l’acteur à l’origine de leur émission. Nommer le traceur permettant de stocker le choix de l’utilisation « eu-consent » en attachant à chaque finalité une valeur booléenne « vrai » ou « faux » mémorisant les choix effectués. Dans le cas où l’utilisateur n’a pas effectué de choix, le traceur peut stocker le nombre de pages visualisées ou une date de référence afin de limiter la fréquence de présentation de l’interface de recueil de consentement. Utiliser des icônes standardisées afin de permettre une information rapide et efficace des utilisateurs. |
Article 9 – Recueil du consentement via les navigateurs : bonnes pratiques |
La CNIL rappelle que les paramétrages des navigateurs à l’heure actuelle ne permettent pas à l’utilisateur d’exprimer un consentement valide (ce qui pourrait être possible à terme). Pour se faire la CNIL formule plusieurs recommandations adressées aux fournisseurs de navigateurs et systèmes d’exploitation (page 21). |
Et après ?
Deux étapes sur trois du projet de la CNIL sur le profilage publicitaire en ligne sont désormais accomplies :
✔ la publication en juillet 2019 de nouvelles lignes directrices ;
✔ la publication du projet de recommandations sur les modalités de recueil du consentement soumis à consultation publique ;
✘ l’adoption définitive des recommandations sur les modalités de recueil du consentement.
Reste pour la CNIL à attendre la clôture de la consultation publique prévue le 25 février prochain, et à mettre ensuite à jour ses recommandations avant de les publier et veiller à leur bon respect.
Il est recommandé une nouvelle fois de ne pas attendre la publication des recommandations définitives pour prendre en compte ses éléments et amorcer en interne ce chantier de mise en conformité des sites internet. En effet, le délai de 6 mois laissé par la CNIL pourra paraître court pour les responsables de traitement qui devront adapter de nombreux sites à ces exigences.
Consulter le projet de recommandation : https://www.cnil.fr/sites/default/files/atoms/files/projet_de_recommandation_cookies_et_autres_traceurs.pdf
Consulter les résultats du sondage de l’Ifop : https://www.cnil.fr/sites/default/files/atoms/files/les_francais_et_la_reglementation_en_matiere_de_cookies_-_sondage_ifop_pour_la_cnil_-_decembre_2019_.pdf
Derniers articles
Anticipez, réagissez, survivez : élaboration d’un PCA/PRA proactif
Face aux menaces multiples, un PCA bien construit peut être la différence entre la survie et l’effondrement de votre entreprise.
Sécuriser votre environnement cloud : stratégies essentielles et tests d’intrusion
Découvrez les meilleures pratiques pour sécuriser vos données cloud avec des stratégies de protection et des tests d’intrusion efficaces.