Cookies et autres traceurs : lignes directrices modificatives et recommandation de la CNIL

Évolution des cadres de référence

Pourquoi des lignes directrices « modificatives » ? Plusieurs associations et syndicats professionnels de la publicité en ligne, de l’e-commerce et des médias ont saisi le Conseil d’État afin qu’il évalue la conformité au droit français et au droit européen de la délibération de la CNIL du 4 juillet 2019 sur les cookies et autres traceurs.

Dans sa décision du 19 juin 2020, le Conseil d’État a validé pour l’essentiel les lignes directrices sauf pour ce qui concerne la prohibition générale et absolue de la pratique des « cookies walls » (consistant à bloquer l’accès à un site internet en cas de refus des cookies) en jugeant qu’une telle interdiction ne pouvait figurer dans des lignes directrices soit un instrument de « droit souple ». La CNIL a pris acte de cette décision en adoptant le 17 septembre 2020 ses lignes directrices modificatives (abrogeant celles du 4 juillet 2019) et sa recommandation.

Clarification des règles applicables

Conformément à l’article 82 de loi Informatique et Libertés, les internautes doivent être informés et donner leur consentement préalablement au dépôt et à la lecture de certains cookies, tandis que d’autres sont dispensés du recueil du consentement.

Qui doit recueillir le consentement ?

Cette obligation s’impose aux responsables de traitement (décidant, seuls ou conjointement, de la finalité et des moyens des opérations de lecture et/ou d’écriture des traceurs) et donc notamment aux éditeurs de sites web et d’applications mobiles, aux régies publicitaires, aux réseaux sociaux qui fournissent des modules de partage sur les réseaux sociaux.

Quels cookies nécessitent le recueil du consentement ?

Tous les cookies dont l’unique finalité n’est pas de permettre ou faciliter la communication par voie électronique ou de fournir un service de communication en ligne expressément demandé par l’utilisateur. Exemple : cookies liés aux opérations de publicité personnalisée, cookies des réseaux sociaux notamment générés par des boutons de partage.

A l’inverse, les traceurs non soumis au consentement sont notamment ceux :

• conservant le choix exprimé par l’utilisateur sur le dépôt des cookies ;
• destinés à l’authentification auprès d’un service ;
• destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ;
• de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue) lorsque la personnalisation constitue un élément intrinsèque et attendu par l’utilisateur du service ;
• permettant l’équilibrage de la charge des équipements concourant à un service de communication ;
• permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs ;
• permettant la mesure d’audience sous certaines conditions (finalité strictement limitée à la seule mesure d’audience du site pour le compte exclusif de l’éditeur, ne produire que des données statistiques anonymes, etc.).

Comment recueillir un consentement valide ?

Le consentement doit être :

• Libre

Le consentement n’est valide que si la personne exerce un choix réel. A ce titre, refuser les traceurs doit être aussi aisé que de les accepter (ex : par le biais d’un lien accessible à tout moment sur le service concerné dont la dénomination est intuitive telle que « module de gestion des cookies », « gérer mes cookies » ou bien « cookies »).

Concernant les « cookies walls », leur licéité doit s’apprécier au cas par cas et doit comprendre une information sur les conséquences du refus (notamment l’impossibilité d’accéder au contenu ou au service en l’absence de consentement). 

• Spécifique

La CNIL recommande que le consentement soit recueilli de façon spécifique et indépendante pour chaque finalité distincte. A ce titre, il ne peut être valablement recueilli via une acceptation globale de conditions générales d’utilisation ou de vente. Toutefois, il est possible de proposer à l’internaute de consentir de manière globale à un ensemble de finalités, en intégrant par exemple des boutons « tout accepter » ou « tout refuser », à condition que l’ensemble des finalités soit présenté préalablement.

• Éclairé

Les internautes doivent être clairement informés des finalités des traceurs avant de consentir. Recommandation : les formuler dans un intitulé court et mis en évidence accompagné d’un bref descriptif et faire un renvoi vers un complément d’information par le biais d’un lien hypertexte ou d’un bouton de déroulement « En savoir plus ».

Ils doivent également être informés des conséquences qui s’attachent à une acceptation ou un refus de traceurs et de l’identité des responsables de traitement. Recommandation : La liste des responsables de traitement devrait être régulièrement actualisée et mise à la disposition des utilisateurs de manière permanente à un endroit aisément accessible.

Enfin, la CNIL recommande que lorsque des traceurs soumis au consentement sont déposés par d’autres entités que l’éditeur du site/application mobile où ceux-ci sont initialement déposés, le consentement soit recueilli sur chacun des sites ou applications concernées par ce suivi de navigation.

• Univoque et préalable

Les internautes doivent consentir, préalablement au dépôt et/ou à la lecture des cookies, par un acte positif clair (ex : en cliquant sur « j’accepte » dans une bannière cookies, en cochant des cases décochées par défaut). Toute inaction ou action autre qu’un acte positif doit être interprété comme un refus de consentir.

Comment prouver le recueil du consentement ?

 À tout moment, les responsables de traitement doivent être en mesure d’apporter la preuve du recueil valide du consentement. Ils peuvent utiliser les modalités suivantes : la mise sous séquestre auprès d’un tiers du code informatique utilisé pour son recueil, une capture d’écran du rendu visuel affiché sur un terminal mobile ou fixe, des audits réguliers des mécanismes de recueil employés, les informations relatives aux outils mis en œuvre et à leurs configurations successibles.

Faut-il renouveler le consentement ?

Dans la mesure où le consentement pourrait être oublié par les internautes, celui-ci devrait être renouvelé à des intervalles appropriés selon le contexte, la portée du consentement initial et les attentes de l’utilisateur. D’une manière générale, la CNIL estime qu’une durée de validité de 6 mois à partir de l’expression du choix de l’utilisateur est adaptée.

En savoir plus sur le RGPD