Cookies: publication par la CNIL de ses nouvelles lignes directrices
Le 4 juillet 2019, la Cnil a adopté des lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (délibération n° 2019-093).
Une des mesures principales de ces lignes directrices consistait en l’interdiction de la pratique dite des « cookie walls », c’est-à-dire le fait de bloquer l’accès à un site internet en cas de refus par un internaute du dépôt de cookies et traceurs de connexion sur son terminal.
Le conseil d’État a cependant jugé, par une décision du 19 juin 2020, que la CNIL ne pouvait légalement fixer une telle interdiction dans des lignes directrices.
Suite à cette décision, la Cnil a publié début octobre 2020 des lignes directrices modifiées (Délibération n° 2020-091) ainsi qu’une recommandation relative aux modalités de collecte du consentement au dépôt des cookies (Délibération n° 2020-092). Cette recommandation doit permettre aux acteurs du secteur de mieux comprendre les modalités de recueil du consentement des internautes.
Cookies: points de vigilance à avoir
La Cnil insiste tout particulièrement sur trois éléments : la nécessité d’un acte positif à l’origine du consentement des internautes au dépôt, l’importance d’informer les internautes de la portée de leurs choix et celle de leur permettre de refuser à tout moment le dépôt des cookies.
Tout d’abord, la Cnil rappelle que le consentement au dépôt doit être matérialisé par un acte positif et univoque, tel que le fait de cliquer sur le bouton « j’accepte ».
Elle relève par ailleurs que : « si le consentement doit se traduire par une action positive de l’utilisateur, le refus de ce dernier peut se déduire de son silence. L’expression du refus de l’utilisateur ne doit donc nécessiter aucune démarche de sa part ou doit pouvoir se traduire par une action présentant le même degré de simplicité que celle permettant d’exprimer son consentement. ».
Le refus du dépôt des cookies doit donc être aussi facile que son acceptation. La Cnil considère à ce titre que, lorsque plusieurs clics sont nécessaires pour paramétrer les cookies et qu’un unique clic suffit pour les accepter tous, il existe un risque que l’internaute souhaitant accéder rapidement au contenu du site soit influencé dans son choix par la facilité d’une acceptation globale et immédiate.
Les éditeurs de sites Internet et les professionnels du secteur devront s’assurer que le refus du dépôt de l’ensemble des cookies est réalisable simplement, sans paramétrage « complexe et donc dissuasif » selon les termes de la Cnil. Ce refus doit pourvoir s’exprimer à tout moment, y compris postérieurement au recueil initial du consentement.
Par ailleurs, les Lignes directrices insistent sur la nécessité de communiquer aux internautes une information claire et synthétique. Avant toute acceptation des cookies, le site doit informer l’internaute de leur utilisation future (publicité personnalisée, géolocalisée, contenu personnalisé, etc.). Les finalités distinctes doivent être acceptées de manière séparées.
Cookies Walls
Concernant les « cookies walls », la Cnil précise que si leur licéité ne peut être écartée dans tous les cas, les internautes doivent être clairement informés des conséquences de leurs choix (notamment, de l’impossibilité d’accéder au contenu du site en l’absence de consentement).
La principale conséquence de ces rappels est que les personnes éditant des sites Internet devront porter une attention accrue à la clarté des informations fournies lors du recueil du consentement au dépôt des cookies. Il s’agit en effet de s’assurer que les internautes comprennent à quoi servent les traceurs publicitaires avant de cliquer sur « accepter ».
La Cnil retient que les options de paramétrage offertes par les navigateurs et systèmes d’exploitation ne sont pas suffisantes pour garantir l’expression d’un consentement valide par l’utilisateur. Les mécanismes actuels ne fourniraient en effet pas aux utilisateurs un degré d’information conforme aux exigences légales et réglementaires.
Enfin, les lignes directrices et la recommandation rappellent que la collecte du consentement au dépôt des traceurs strictement nécessaires à la fourniture d’un service expressément demandé par les utilisateurs, (ou tels que des traceurs de mesure d’audience) n’est pas nécessaire.
Ces cookies et traceurs doivent cependant répondre à une unique finalité. Ils ne doivent notamment pas permettre le suivi global de la navigation et doivent se limiter à la production de données anonymes.
Les éditeurs de site Internet et les professionnels utilisant des cookies et des traceurs doivent donc faire preuve de la plus grande vigilance et vérifier que leur mécanisme de collecte du consentement au dépôt des cookies est conforme aux principes établis par la Cnil et leur permet de démontrer à tout moment cette conformité.
Les recommandations adoptées par la Cnil proposent à ce titre des mécanismes permettant de démontrer que le consentement des utilisateurs a été valablement recueilli.
La Cnil a pour le moment fixé la date limite de mise en conformité des acteurs concernés à la fin mars 2021.
