Quelles avancées dans la doctrine de la CNIL sur les cookies ?

Le 28 juin dernier, la CNIL a annoncé qu’elle allait modifier sa doctrine en matière de cookies. Depuis quelques temps en effet, il était précisé sur les pages de son site internet dédiées aux cookies que leur contenu était obsolète et en cours de mise à jour.

Elle a adopté un plan d’actions en deux temps qui consiste en :

– l’adoption prévue de nouvelle lignes directrices en juillet 2019 ;
– l’adoption de recommandations sur les modalités de recueil du consentement prévue fin 2019/début 2020.

L’évolution de la doctrine de la CNIL en matière de cookies

La CNIL a donc décidé de ne pas attendre l’adoption du Règlement e-Privacy pour modifier sa doctrine.

Rappelons en effet, que la Directive e-Privacy est en cours de révision pour être remplacée par un règlement dont l’adoption tarde. Ce texte devait initialement s’appliquer en même temps que le RGPD. E-privacy est une règlementation spécifique qui concerne notamment la prospection commerciale et les cookies. Les règles spécifiques qui y sont définies l’emportent sur les dispositions générales contenues dans le RGPD.

Cette décision de la CNIL s’explique également par les demandes de clarification des acteurs du secteur du marketing en ligne sur les règles applicables et par les nombreuses réclamations individuelles et collectives reçues.

La CNIL a donc annoncé officiellement que sa recommandation relative aux cookies de 2013 va être abrogée. De nouvelles lignes directrices vont venir la remplacer. Elles seront publiées en juillet 2019.
Une période transitoire d’un an sera cependant laissée aux organismes pour se conformer aux principes qui divergent de sa précédente recommandation.

La CNIL profite également de cette communication pour préciser aux organismes qu’il n’est désormais plus possible de considérer que la poursuite de la navigation est une modalité valable de recueil du consentement aux dépôt de cookies. De nouvelles modalités de recueil du consentement devront donc à terme être mises en place.

La politique de contrôle de la CNIL sur les cookies

La CNIL insiste également sur le fait qu’elle continuera à effectuer des contrôles sur les cookies. Ces contrôles ne porteront pas dans un premier temps sur les nouveaux principes dégagés.

Toutefois, elle pourra contrôler le respect des principes contenus dans sa recommandations de 2013 non modifiés par les nouvelles lignes directrice et, en particulier, qu’aucun cookie n’est déposé avant que l’internaute n’ait poursuivi sa navigation.

Il est donc important de ne pas considérer que la CNIL stoppe tout contrôle sur le sujet cookies durant la période transitoire.

La question des modalités de recueil du consentement

La CNIL va par la suite organiser des sessions de travail avec les associations représentatives des différents acteurs afin de définir des modalités pratiques de recueil du consentement.

A l’issue de ces travaux, la CNIL adoptera en fin d’année une recommandation qui sera soumise à consultation publique. Une nouvelle période transitoire de 6 mois sera laissée aux acteurs pour s’y conformer. Cette période démarrera suite à son adoption définitive probablement mi-2020. Ainsi, il semble raisonnable de penser que les acteurs devront avoir mis en place des modalités de recueil du consentement d’ici fin 2020.

L’exemple de la CNIL et de son homologue britannique

Afin de donner l’exemple, la CNIL a d’ores et déjà modifié ses modalités de recueil du consentement au dépôts des cookies. Elle a donc supprimé le bandeau cookies de son site internet. Les personnes qui souhaitent accepter le dépôt des cookies doivent désormais se rendre sur la page dédiée qui se présente comme suit :

Fenêtre de gestion des préférences sur les cookies

Il incombe donc à l’internaute d’aller chercher la page dédiée aux cookies pour les accepter. Un pop-up n’apparait donc pas lors de son arrivée sur le site internet. Une solution radicale mais qui a l’avantage de ne pas obliger l’internaute à répondre pour continuer sa navigation sur le site.

L’ICO (l’autorité de protection des données anglaise) a, quant à elle, choisi une solution différente dans la mesure où la page apparait lors de la première connexion. L’internaute est obligé de répondre pour continuer sa navigation. En revanche, une étiquette « c » dans l’angle demeure sur chaque page du site qui permet ainsi à l’internaute de revenir facilement sur son choix.

ICO cookies policy

Les étapes à retenir

Les organismes ont donc trois grandes étapes à retenir en matière de documentation produite par la CNIL :

– la publication en juillet 2019 de nouvelles lignes directrices ;
– la publication du projet de recommandations sur les modalités de recueil du consentement ;
– l’adoption définitive des recommandations sur les modalités de recueil du consentement.

Les trois périodes clés à retenir pour la mise en conformité des sites sont quant à elles :

– juillet 2020 pour se conformer aux nouvelles lignes directrices ;
– aux alentours de fin 2020 pour mettre en place des modalités de recueil du consentement conformes aux recommandations de la CNIL.

Il est enfin recommandé de rester également en veille sur les avancées du règlement e-Privacy.

Je partage

Derniers articles

Sécuriser votre environnement cloud : stratégies essentielles et tests d’intrusion

Découvrez les meilleures pratiques pour sécuriser vos données cloud avec des stratégies de protection et des tests d’intrusion efficaces.

Lire l'article

L’évolution marquante du métier de DPO en 2024 : chiffres clés et nouvelles tendances

Le métier de DPO connaît une croissance fulgurante de 64% et une diversification des profils en 2024. Entre défis et opportunités, découvrez les chiffres clés et les dernières tendances de cette profession essentielle dans la protection des données personnelles.

Lire l'article