4 juillet 2019

Quelles avancées dans la doctrine de la CNIL sur les cookies ?

Le 28 juin dernier, la CNIL a annoncé qu’elle allait modifier sa doctrine en matière de cookies. Depuis quelques temps en effet, il était précisé sur les pages de son site internet dédiées aux cookies que leur contenu était obsolète et en cours de mise à jour. Elle a adopté un plan d’actions en deux […]

CNILGDPRRGPD
Logo

Le 28 juin dernier, la CNIL a annoncé qu’elle allait modifier sa doctrine en matière de cookies. Depuis quelques temps en effet, il était précisé sur les pages de son site internet dédiées aux cookies que leur contenu était obsolète et en cours de mise à jour.

Elle a adopté un plan d’actions en deux temps qui consiste en :

  • l’adoption prévue de nouvelle lignes directrices en juillet 2019 ;
  • l’adoption de recommandations sur les modalités de recueil du consentement prévue fin 2019/début 2020.

L’évolution de la doctrine de la CNIL en matière de cookies

La CNIL a donc décidé de ne pas attendre l’adoption du Règlement e-Privacy pour modifier sa doctrine.

Rappelons en effet, que la Directive e-Privacy est en cours de révision pour être remplacée par un règlement dont l’adoption tarde. Ce texte devait initialement s’appliquer en même temps que le RGPD. E-privacy est une règlementation spécifique qui concerne notamment la prospection commerciale et les cookies. Les règles spécifiques qui y sont définies l’emportent sur les dispositions générales contenues dans le RGPD.

Cette décision de la CNIL s’explique également par les demandes de clarification des acteurs du secteur du marketing en ligne sur les règles applicables et par les nombreuses réclamations individuelles et collectives reçues.

La CNIL a donc annoncé officiellement que sa recommandation relative aux cookies de 2013 va être abrogée. De nouvelles lignes directrices vont venir la remplacer. Elles seront publiées en juillet 2019.
Une période transitoire d’un an sera cependant laissée aux organismes pour se conformer aux principes qui divergent de sa précédente recommandation.

La CNIL profite également de cette communication pour préciser aux organismes qu’il n’est désormais plus possible de considérer que la poursuite de la navigation est une modalité valable de recueil du consentement aux dépôt de cookies. De nouvelles modalités de recueil du consentement devront donc à terme être mises en place.

La politique de contrôle de la CNIL sur les cookies

La CNIL insiste également sur le fait qu’elle continuera à effectuer des contrôles sur les cookies. Ces contrôles ne porteront pas dans un premier temps sur les nouveaux principes dégagés.

Toutefois, elle pourra contrôler le respect des principes contenus dans sa recommandations de 2013 non modifiés par les nouvelles lignes directrice et, en particulier, qu’aucun cookie n’est déposé avant que l’internaute n’ait poursuivi sa navigation.

Il est donc important de ne pas considérer que la CNIL stoppe tout contrôle sur le sujet cookies durant la période transitoire.

La question des modalités de recueil du consentement

La CNIL va par la suite organiser des sessions de travail avec les associations représentatives des différents acteurs afin de définir des modalités pratiques de recueil du consentement.

A l’issue de ces travaux, la CNIL adoptera en fin d’année une recommandation qui sera soumise à consultation publique. Une nouvelle période transitoire de 6 mois sera laissée aux acteurs pour s’y conformer. Cette période démarrera suite à son adoption définitive probablement mi-2020. Ainsi, il semble raisonnable de penser que les acteurs devront avoir mis en place des modalités de recueil du consentement d’ici fin 2020.

L’exemple de la CNIL et de son homologue britannique

Afin de donner l’exemple, la CNIL a d’ores et déjà modifié ses modalités de recueil du consentement au dépôts des cookies. Elle a donc supprimé le bandeau cookies de son site internet. Les personnes qui souhaitent accepter le dépôt des cookies doivent désormais se rendre sur la page dédiée qui se présente comme suit :

Fenêtre de gestion des préférences sur les cookies

Il incombe donc à l’internaute d’aller chercher la page dédiée aux cookies pour les accepter. Un pop-up n’apparait donc pas lors de son arrivée sur le site internet. Une solution radicale mais qui a l’avantage de ne pas obliger l’internaute à répondre pour continuer sa navigation sur le site.

L’ICO (l’autorité de protection des données anglaise) a, quant à elle, choisi une solution différente dans la mesure où la page apparait lors de la première connexion. L’internaute est obligé de répondre pour continuer sa navigation. En revanche, une étiquette « c » dans l’angle demeure sur chaque page du site qui permet ainsi à l’internaute de revenir facilement sur son choix.

ICO cookies policy

Les étapes à retenir

Les organismes ont donc trois grandes étapes à retenir en matière de documentation produite par la CNIL :

  • la publication en juillet 2019 de nouvelles lignes directrices ;
  • la publication du projet de recommandations sur les modalités de recueil du consentement ;
  • l’adoption définitive des recommandations sur les modalités de recueil du consentement.

Les trois périodes clés à retenir pour la mise en conformité des sites sont quant à elles :

  • juillet 2020 pour se conformer aux nouvelles lignes directrices ;
  • aux alentours de fin 2020 pour mettre en place des modalités de recueil du consentement conformes aux recommandations de la CNIL.

Il est enfin recommandé de rester également en veille sur les avancées du règlement e-Privacy.

Blog

Nos actualités cybersécurité

Cybersécurité

Panorama de la cybermenace 2025 : ce que révèle le rapport de l’ANSSI sur l’état de la menace en France

L’ANSSI a publié le 11 mars 2026 son Panorama de la cybermenace 2025. Comme chaque année, ce rapport constitue la référence pour comprendre l’évolution des menaces qui pèsent sur les organisations françaises. Et cette édition ne rassure pas.

23 mars 2026

Cybersécurité

Cybersécurité du mainframe : pourquoi et comment sécuriser le cœur de vos systèmes d’information

Souvent perçu comme une relique technologique, le mainframe reste pourtant l’épine dorsale des organisations les plus critiques au monde. Banques, assurances, industries, administrations : ces systèmes traitent chaque jour des milliards de transactions et concentrent les données les plus sensibles. Pourtant, leur sécurité est rarement auditée avec la rigueur qu’ils méritent. Décryptage d’un angle mort majeur de la cybersécurité.

20 mars 2026

Cybersécurité

Cybersécurité des ETI : comment passer du réflexe défensif à une stratégie structurée

En 2025, 34 % des ETI ont subi au moins une cyberattaque significative. Le chiffre peut sembler modéré en comparaison des grandes entreprises (50 %), mais il masque une réalité plus brutale : parmi les organisations touchées, 81 % ont constaté un impact direct sur leur activité – perturbation de la production, perte d’image, compromission de données stratégiques ou perte de chiffre d’affaires (sondage OpinionWay pour CESIN, janvier 2026).

10 mars 2026
Découvrez tous les articles

informations

Contactez-nous

Une question ou un projet en tête ? Remplissez le formulaire, nous reviendrons vers vous rapidement pour un premier échange.

    *Informations obligatoires

    Les informations recueillies à partir de ce formulaire sont traitées par Digitemis pour donner suite à votre demande de contact. Pour connaître et/ou exercer vos droits, référez-vous à la politique de Digitemis sur la protection des données, cliquez ici.

    Ce site est protégé par reCAPTCHA. La politique de confidentialité et les conditions d'utilisation de Google s'appliquent.

    Index