Lignes directrices et recommandation de la CNIL. Du nouveau du côté des cookies ?
-
Sujets :
- compliance,
- consentement,
- cookies,
- RDGP,
- CNIL,
- DPO,
- privacy,
- conformité
Cette fois nous y sommes. La CNIL vient d’adopter ses lignes directrices et sa recommandation « cookies et autres traceurs ». Les deux documents ont fait l’objet d’une délibération le 17 septembre 2020 avant d’être officiellement publiés le 1er octobre sur le site de la CNIL.
Pour rappel, l’adoption de ces deux nouveaux documents fait d’abord suite à l’adoption le 4 juillet 2019 par la CNIL de lignes directrices rappelant le droit applicable en matière de cookies et traceurs (abrogeant par la même occasion la recommandation de 2013). Ces lignes directrices viennent donc d’être modifiées au regard notamment de la décision rendue par le Conseil d’État le 19 juin 2020. Dans l’intervalle, la CNIL a établi un projet de recommandation qui a fait l’objet d’une consultation publique débutée au mois de janvier 2020 auprès des professionnels du secteur mais aussi de la société civile. Les apports de cette consultation publique ont permis d’aboutir à l’adoption de la version de la recommandation du 17 septembre 2020 qui joue un rôle de guide pratique pour les différents acteurs utilisant des traceurs.
Pour résumer :
– Les lignes directrices visent à rappeler le droit applicable aux opérations de lecture ou d’écriture dans le terminal d’un internaute , qu’il s’agisse d’un smartphone, d’un ordinateur, d’une tablette ou encore d’une télé connectée.
– La recommandation a pour objectif de guider les professionnels concernés par ces problématiques dans la démarche de mise en conformité de leurs dispositifs, ceci sans revêtir un caractère obligatoire. A ce titre, la recommandation présente des exemples pratiques sur les modalités de recueil du consentement de manière conforme.
Ce cadre de référence nouvellement adopté présente donc l’évolution des règles applicables pour ce qui a trait aux « cookies et autres traceurs » et aux modalités de recueil du consentement de l’utilisateur. L’objectif poursuivi par ces documents qui marquent « un tournant tant pour le secteur de la publicité en ligne que pour les internautes », est de pouvoir exercer un meilleur contrôle sur les traceurs en ligne.
Que faut-il donc retenir de ces documents?
– Informer les utilisateurs
Bien entendu, la première étape à suivre dans le cadre d’un dispositif impliquant l’utilisation de cookies est de s’assurer que les utilisateurs se voient présenter toutes les finalités des traceurs avant qu’ils puissent avoir la possibilité de consentir ou refuser leur dépôt.
Cela passe dans un premier temps par l’affichage d’un bandeau d’information lors de la première connexion au site qui informe l’utilisateur de tous les cookies utilisés sur le site.
Pour faciliter la lecture de ces finalités, la CNIL recommande que chacune des finalités soit « mise en exergue dans un intitulé court et mis en évidence, accompagné d’un bref descriptif« . Voici quelques exemples fournis par la CNIL dans sa recommandation pouvant être utilisés pour décrire les finalités :
Pour l’utilisation de traceurs afin d’afficher de la publicité personnalisée :
«Publicité personnalisée: [nom du site/ de l’application] [et des sociétés tierces/ nos partenaires] utilise/ utilisent des traceurs afin d’afficher de la publicité personnalisée en fonction de votre navigation et de votre profil».
Pour l’utilisation de traceurs afin d’afficher de la publicité en fonction de la géolocalisation précise de l’utilisateur :
Si la publicité est adaptée en fonction de la géolocalisation précise, cette finalité peut être décrite de la manière suivante: «Publicité géolocalisée: [nom du site/ de l’application] [et des sociétés tierces/ nos partenaires] utilise/ utilisent des traceurs pour vous adresser de la publicité en fonction de votre localisation».
Si les traceurs sont utilisés afin de partager des données sur les réseaux sociaux :
«Partage sur les réseaux sociaux : Notre site/ application utilise des traceurs pour vous permettre de partager du contenu sur les réseaux sociaux ou plateformes présents [sur notre site/ application]».
Par ailleurs, la CNIL recommande de faire figurer « en complément de la liste des finalités présentées sur le premier écran, une description plus détaillée de ces finalités, de manière aisément accessible depuis l’interface de recueil du consentement. Cette information peut, par exemple, être affichée sous un bouton de déroulement que l’internaute peut activer directement au premier niveau d’information (cf. capture ci-dessous). Elle peut également être rendue disponible en cliquant sur un lien hypertexte présent au premier niveau d’information qui permet alors d’afficher le module de gestion des cookies« . Un renvoi doit également être effectué vers la politique complète de gestion de cookies (qui doit présenter l’ensemble des informations obligatoires pour informer les utilisateurs des traitements mis en place).

Au sujet du consentement de l’utilisateur au dépôt de cookies, plusieurs principes sont présentés par la CNIL.
Tout d’abord, il doit être tout aussi facile pour l’utilisateur d’accepter les cookies que de les refuser, lorsqu’ils ne sont pas strictement nécessaire au fonctionnement du site/au service demandé par l’internaute (dans ce cas le cookie est exempté de cette exigence).
Ainsi, le refus doit pouvoir se traduire par une action aussi simple que celle permettant d’accepter. A défaut d’action de la part de l’utilisateur, la CNIL ajoute que le refus peut également se déduire du silence de l’internaute. C’est sur ces éléments que la position de la CNIL a pu évoluer depuis la publication du projet de recommandation jusqu’à son adoption.
En effet, dans le projet de recommandation l’intégration d’une « X » afin de permettre à l’utilisateur de fermer le module de cookies, signifiait que l’utilisateur avait la possibilité de ne pas prendre de décision quant à l’acceptation ou le refus du dépôt des cookies. Ce qui laissait alors à l’éditeur la possibilité de réafficher régulièrement le bandeau afin de permettre à l’internaute de prendre sa décision (voir capture ci-dessous).

Désormais, la CNIL illustre cette possibilité de refuser les cookies avec l’une ou l’autre de ces possibilités :

Ce qu’il faut comprendre c’est que le bouton « continuer sans accepter » équivaut au bouton « tout refuser » : ceux-ci se traduisent indifféremment par le refus de consentir au dépôt des cookies. Ainsi, en l’absence de consentement exprimé par un acte positif clair, l’utilisateur est présumé refuser l’accès à son terminal ou l’inscription d’informations dans ce dernier. L’utilisateur n’a plus la possibilité de ne pas prendre de décision. Ce changement de paradigme trouve probablement sa justification dans le fait de vouloir conférer une protection accrue aux droits des personnes mais aussi de faciliter la gestion des cookies et de leurs modalités de mise en œuvre par les éditeurs.
En conséquence, intégrer, au stade du premier niveau d’information de l’internaute, un bouton « tout refuser », au même niveau et dans les mêmes formes que le bouton « tout accepter », constitue un moyen clair et simple pour permettre à l’utilisateur d’exprimer ses choix.
Ainsi, comme le souligne la CNIL dans sa F.A.Q, continuer à naviguer sur un site web, à utilise une application mobile ou bien faire défiler la page d’un site web ou d’une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable.
Enfin, ce qu’il faut retenir de ces textes concernant le consentement de l’utilisateur, c’est qu’un site web ne peut pas renvoyer au paramétrage du navigateur pour collecter le consentement de l’utilisateur. La CNIL indique ainsi qu’ « en l’état de l’art, et sous réserve d’éventuelles évolutions futures, les possibilités de paramétrage des navigateurs et des systèmes d’exploitation ne peuvent, à eux seuls, permettre à l’utilisateur d’exprimer un consentement valide« .
Sur le retrait du consentement, l’utilisateur est libre de revenir sur sa décision à tout moment. En pratique, il est recommandé que les solutions mises en place permettant à l’utilisateur de gérer et de retirer son consentement soient aisément accessibles tout au long de sa navigation. Il peut s’agir de :
○ la mise à disposition d’un lien accessible à tout moment depuis le service concerné qui portera une dénomination descriptive telle que « gérer mes cookies » ;
○ un module de paramétrage accessible sur toutes les pages du site au moyen d’un icône « cookie » (située par exemple en bas à gauche de l’écran.
– La preuve du consentement
C’est dans ses lignes directrices que la CNIL intervient d’abord sur la question de la preuve du consentement en rappelant que le « RGPD impose que les organismes exploitant des traceurs, responsables du ou des traitements, soient en mesure de fournir, à tout moment, la preuve du recueil du consentement libre, éclairé, spécifique et univoque de l’utilisateur ».
Dans sa recommandation, la CNIL fournit quant à elle des modalités pratiques pour le recueil du consentement conformément aux règles applicables. Elle rappelle d’abord que « dans le cas où ces organismes ne collectent pas eux-mêmes le consentement des utilisateurs (notamment pour les traceurs dits «cookies tiers»), la Commission estime qu’une telle obligation ne saurait être remplie par la seule présence d’une clause contractuelle engageant l’une des parties à recueillir un consentement valable pour le compte de l’autre partie, dans la mesure où une telle clause ne permet pas de garantir, en toutes circonstances, l’existence d’un consentement valide. A cet égard, la Commission recommande qu’une telle clause soit complétée pour préciser que l’organisme qui recueille le consentement doit également mettre à disposition des autres parties la preuve du consentement, afin que chaque responsable de traitement souhaitant s’en prévaloir puisse en faire effectivement état.«
Suite à ce rappel, la CNIL présente une liste non limitative d’exemples permettant de recueillir la preuve de validité du consentement :
○ Les différentes versions du code informatique utilisé par l’organisme recueillant le consentement peuvent être mises sous séquestre auprès d’un tiers, ou, plus simplement, un condensat (ou «hash») de ce code peut être publié de façon horodatée sur une plate-forme publique, pour pouvoir prouver son authenticité a posteriori ;
○ Une capture d’écran du rendu visuel affiché sur un terminal mobile ou fixe peut être conservée, de façon horodatée, pour chaque version du site ou de l’application ;
○ Des audits réguliers des mécanismes de recueil du consentement mis en œuvre par les sites ou applications depuis lesquels il est recueilli peuvent être mis en œuvre par des tiers mandatés à cette fin ;
○ Les informations relatives aux outils mis en œuvre et à leurs configurations successives (tels que les solutions de recueil du consentement, également connues sous l’appellation CMP, pour «Consent Management Plateform») peuvent être conservées, de façon horodatée, par les tiers éditant ces solutions.
Une solution envisageable afin de répondre à cette exigence pourrait en pratique être constituée par la sauvegarde régulière du code source du site par exemple via la wayback machine (site web mis à disposition par Internet Archive afin d’ouvrir un accès à des clichés instantanés de pages web stockés par l’organisme). Il s’agit donc ici de publier le code de façon horodatée sur une plate-forme publique ce qui permettra d’attester qu’à un moment donné le script utilisé ne permet pas à un utilisateur d’être exposé à des cookies sans avoir consenti à leur utilisation.
– Le cas des cookies dispensés de consentement
Il existe un cas où les règles relatives au consentement que viennent d’être exposées ne trouveront pas à s’appliquer. Sont ainsi estimés comme étant dispensés de consentement les traceurs suivants :
○ Les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
○ Les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues ;
○ Les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer à l’utilisateur le ou les produits et/ou services achetés ;
○ Les traceurs de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
○ Les traceurs permettant l’équilibrage de la charge des équipements concourant à un service de communication ;
○ Les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
○ Certains traceurs de mesure d’audience.
Concernant les traceurs de mesure d’audience il est nécessaire de s’y attarder afin d’appréhender les modalités d’exemption de recueil de consentement. Les traceurs listés ci-après dont la finalité se limite à la mesure de l’audience du site ou de l’application, pour répondre à différents besoins sont considérés comme étant strictement nécessaires au fonctionnement et aux opérations d’administration courante d’un site web ou d’une application et ne sont pas donc pas soumis à l’obligation légale du recueil du consentement de l’internaute :
○ Les mesures de performances ;
○ La détection de problèmes de navigation ;
○ L’optimisation des performances techniques ou de l’ergonomie ;
○ L’estimation de la puissance des serveurs nécessaires,
○ L’analyse des contenus consultés, etc.
Ces traceurs doivent avoir uniquement pour objectif la mesure de l’audience sur le site ou l’application pour le compte exclusif de l’éditeur. Il est précisé que ces traceurs ne doivent par ailleurs pas permettre le suivi global de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web et doivent uniquement servir à produire des données statistiques anonymes.
En tout état de cause, les utilisateurs doivent toujours être informés de la mise en œuvre de ces traceurs, au travers par exemple de la politique de confidentialité du site ou de l’application mobile.
Attention toutefois, la CNIL indique qu’en pratique les offres de mesure d’audience n’entrent pas dans le périmètre de l’exemption notamment lorsque les fournisseurs indiquent réutiliser les données pour leur propre compte. « C’est le cas notamment de plusieurs grandes offres de mesure d’audience disponibles sur le marché (voir notamment les politiques de confidentialité de Google Analytics, de Quantcast Analytics ou encore de Facebook Analytics. Dans certains cas il peut être possible de configurer ces outils pour désactiver la réutilisation des données ». Dans ce cas, ces éléments doivent être vérifiés, et il est également possible de vérifier auprès du fournisseur de l’outil qu’il s’engage contractuellement à ne pas réutiliser les données collectées.
– Pour aller plus loin : apports divers
○ Conservation des données
Avec ces nouveaux textes, la CNIL fait évoluer ses recommandations en matière de conservation du choix des utilisateurs. Elle considère ainsi comme étant une bonne pratique de conserver ces choix, tant le consentement que le refus, pendant une durée de 6 mois. Jusqu’à maintenant une période de 13 mois était préconisée (et est toujours possible).
Par ailleurs, la CNIL recommande aussi désormais que les informations collectées par l’intermédiaire de ces traceurs soient conservées pour une durée maximale de vingt-cinq mois.
○ Pratique du cookie wall
Dans ses lignes directrices, la CNIL revient également sur la pratique du cookie wall qui consiste à subordonner la fourniture d’un service ou l’accès à un site web à l’acceptation d’opérations d’écriture ou de lecture sur le terminal de l’utilisateur. L’accès à un site web pourrait alors être bloqué pour l’utilisateur ne donnerait pas consentement au dépôt des cookies.
Cette pratique du cookie wall est susceptible, dans certains cas et sous certaines conditions, de porter atteinte à la liberté du consentement. La CNIL indique que la licéité du recours à un cookie wall doit être appréciée au cas par cas. En tout état de cause, et sous réserve de la licéité de ce dispositif, l’information fournie à l’utilisateur devra clairement lui indiquer les conséquences de ses choix et notamment l’impossibilité d’accéder au contenu ou au service en l’absence de consentement.
Comme elle l’avait annoncé déjà annoncée, la CNIL estime que le délai de mise en conformité aux nouvelles règles ne devra pas dépasser six mois, soit au plus tard fin mars 2021.
La Commission a indiqué qu’elle tiendra compte des difficultés opérationnelles des opérateurs pendant cette période durant laquelle elle privilégiera l’accompagnement sur les contrôles. Elle se réserve également la possibilité, conformément à la jurisprudence du Conseil d’Etat, de poursuivre certains manquements, notamment en cas d’atteinte particulièrement grave au droit au respect de la vie privée (CE, 16 octobre 2019, n° 433069, Rec.). En outre, la CNIL continuera à poursuivre les manquements aux règles relatives aux cookies antérieures à l’entrée en vigueur du RGPD, éclairées par sa recommandation du 5 décembre 2013.
Sources :
Derniers articles

Conformité DORA : Tout savoir pour une mise en œuvre efficace
Comprendre et appliquer DORA est essentiel pour maintenir la conformité et la résilience des institutions financières. Cet article détaille la portée de DORA, propose un guide pour un plan de conformité efficace, et explore les défis et stratégies pour les surmonter.

Digitemis réussit une nouvelle fois l’audit de surveillance PASSI (ANSSI)
Nous sommes fiers d’annoncer que nous avons brillamment réussi notre audit de surveillance (PASSI), qui intervient tous les 18 mois.