Jeudi 1er octobre, la CNIL a publié ses lignes directrices et recommandations[1] sur l’information et le consentement des internautes relatifs au dépôt des cookies.

En abrogeant la délibération n°2019-093 du 4 juillet 2019, la délibération du 17 septembre 2020 ajuste le cadre de référence et tire notamment les conséquences de la décision du Conseil d’Etat rendue le 19 juin 2020 sur les « cookie walls » dont la CNIL précise que la légalité doit être traitée au cas par cas.

La délibération de la CNIL clarifie l’état du droit s’agissant de 5 principaux sujets : l’information aux internautes (1), les conditions de validité de leur consentement (2), l’archivage du consentement (3), la responsabilité des acteurs (4) et les cookies non soumis au consentement (5).

1. Des recommandation concrètes quant à l’information des internautes

Concernant la transparence des informations fournies aux internautes, la CNIL rappelle que chaque finalité des traceurs doit être formulées : « de manière intelligible, dans un langage adapté et suffisamment clair pour permettre aux utilisateurs de comprendre précisément ce à quoi ils consentent ».

La CNIL recommande en effet que chaque finalité soit détaillée et expliquée dans un « bref descriptif » « en fonction de la finalité du traceur (publicités personnalisées ou non, mesure de l’audience, partage de données sur les réseaux sociaux…) qui doit être complété par les noms des sociétés tierces qui sont amenés à obtenir les données captées par les traceurs. » La CNIL propose d’ailleurs des modèles de descriptifs des finalités les plus répandues.

Enfin, dans un souci de transparence, la CNIL préconise aux éditeurs de rendre accessible leur identité avant que l’internaute exprime son consentement, en rendant par exemple accessible l’ensemble des informations sur l’éditeur et sur les sociétés qui utilisent les traceurs sur le site via un lien hypertexte.

2. L’expression du consentement : le gage de protection de l’internaute

Concernant la protection des internautes, la Commission s’en tient à sa position, clarifiée l’année dernière, selon laquelle le silence ou l’inaction de l’internaute doit être considéré comme un refus. Ainsi, elle déclare : « l’absence de consentement des utilisateurs est désignée par le terme « refus ». Toute inaction ou action des utilisateurs autre qu’un acte positif signifiant son consentement doit être interprétée comme un refus ».

Par ailleurs, la CNIL recommande que soit proposé, en alternative équivalente au bouton d’acceptation générale des cookies, la présence d’un bouton permettant de « tout refuser » : « le mécanisme permettant d’exprimer un refus de consentir (…) soit accessible sur le même écran et avec la même facilité que le mécanisme permettant d’exprimer un consentement ».

Enfin, sans surprise, la CNIL confirme que ce le consentement doive être personnalisé, en permettant à l’internaute de d’exprimer son consentement finalité par finalité. Ainsi la CNIL propose-t-elle d’inclure un bouton « personnaliser mes choix » ou « décider par finalité ».

3. Organiser la preuve du consentement : la condition sine qua non

Enfin, la CNIL rappelle que les responsables de traitement exploitant des traceurs sont soumis au principe général d’accountability et qu’ils doivent à ce titre être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.

Il est précisé qu’une telle obligation ne saurait être remplie par la seule présence d’une clause contractuelle engageant l’une des parties à recueillir un consentement valable pour le compte de l’autre partie, dans la mesure ou une telle clause ne permet pas de garantir en toutes circonstances l’existence d’un consentement valide.

En conséquence, il est recommandé qu’une telle clause soit complétée pour préciser que l’organisme qui recueille le consentement doit également mettre à disposition des autres parties la preuve du consentement, afin que chaque responsable de traitement souhaitant s’en prévaloir puisse en faire effectivement état.

4. L’éditeur du site internet, seul responsable du traitement ?

La CNIL précise que dans la plupart des cas, les opérations de lecture ou écriture (utilisation de cookies) concerneront des données à caractère personnel, dont le traitement doit être soumis aux dispositions générales de la loi « Informatique et Libertés » et du RGPD.

Or, si l’utilisation de traceurs fait parfois intervenir une seule entité (qui est donc unique responsable du traitement concerné), elle fait souvent intervenir plusieurs acteurs qui contribuent à la réalisation des opérations de lecture ou écriture (par exemple, en cas de recours à une régie publicitaire qui dépose des traceurs lors de la consultation du site web de l’annonceur).

Dans ces cas, la CNIL avertit qu’il conviendra de déterminer la qualification des acteurs intervenant dans les différentes opérations entourant le dépôt de cookies : information, recueil du consentement, utilisation ultérieure des données recueillies, exercice des droits etc.

5. Le cas des cookies non soumis au consentement

La CNIL rappelle que l’exigence de consentement ne s’applique pas aux opérations qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse des utilisateurs.

La CNIL cite en exemple le cookie d’authentification, déposé sans le consentement de l’internaute, dans la mesure où il est indispensable pour un service fourni depuis une plate-forme nécessitant l’authentification des usagers (« univers logué »).

La CNIL liste par ailleurs d’autres traceurs qui ne sont pas soumis au consentement :

« … les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;

  • les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer à l’utilisateur le ou les produits et/ou services achetés ;
  • les traceurs de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
  • les traceurs permettant l’équilibrage de la charge des équipements concourant à un service de communication ;
  • les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ; · certains traceurs de mesure d’audience, sous les réserves mentionnées ci-après.»

La CNIL invite dès lors tous les acteurs concernés à s’assurer de la conformité de leurs pratiques aux exigences du RGPD et de la directive ePrivacy. Elle estime que le délai de mise en conformité aux nouvelles règles ne devra pas dépasser six mois, soit au plus tard à la fin du mois de mars 2021.

 

Claudia Weber, avocat fondateur du Cabinet ITLAW Avocats, expert Contrats IT et négociations 

& Arthur Poirier, avocat collaborateur en charge de l’activité emarking

 

Vous avez des questions concernant la mise en conformité de vos projets informatiques avec le RGPD ou la directive ePrivacy ? Vous souhaitez mettre à jour votre politique de confidentialité cookies ou contractualiser avec une agence marketing, une régie publicitaire ou avoir recours aux services d’un réseau social ?

Le Cabinet ITLAW Avocats, fort de son expertise depuis plus de 25 ans en matière de nouvelles technologies et de protection des données personnelles est à votre disposition pour répondre à vos questions et trouver les solutions adaptées à votre contexte et vos besoins.

ITLAW Avocats mobilise ses talents et son expertise en matière de protection des données personnelles ,  de projets informatiques complexes  de contrats, d’innovation et de propriété intellectuelle   ainsi que sa connaissance de l’écosystème IT et son expertise en matière de négociation pour vous accompagner dans la sécurisation de vos projets complexes, tels que les projets e-marking.

Nous contacter

 

[1] Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs »

Nous contacter