Memo Cookies Informatiques

Le 19 juillet 2019, la CNIL a publié une première partie de ses lignes directrices qui ont pour objet de rappeler le droit applicable aux « opérations de lecture et écriture dans le terminal d’un utilisateur », et notamment l’usage des cookies et autres traceurs.
Il s’agit de la Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d'un utilisateur (notamment aux cookies et autres traceurs).
Au titre de cette délibération, la CNIL rappelle que dès lors que ces traceurs collectent des données personnelles, il convient de respecter l’ensemble des dispositions du RGPD.
En outre, la CNIL précise que ces traceurs nécessitent un recueil préalable du consentement libre, spécifique, éclairé et univoque.
Aux termes de son arrêt du 19 juin 2020, le Conseil d’Etat a validé pour l’essentiel les lignes directrices relatives aux cookies et aux traceurs adoptées par la CNIL le 4 juillet 2019.
En revanche, le Conseil d’État a annulé la disposition des lignes directrices prohibant de façon générale et absolue la pratique des « cookie walls » qui consiste à bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas à être suivi, en jugeant qu’une telle interdiction ne pouvait figurer dans un acte de droit souple.
La CNIL a pris acte de cette décision et va ajuster en conséquence ses lignes directrices.


Par ailleurs, ainsi que l’a exprimé le Conseil d’État, les lignes directrices ne précisent pas les modalités concrètes selon lesquelles il est recommandé aux professionnels de recueillir le consentement aux cookies. Ces modalités doivent être précisées dans une future recommandation de la Commission, qui a fait l’objet d’une consultation publique : https://www.cnil.fr/sites/default/files/atoms/files/projet_de_recommandation_cookies_et_autres_traceurs.pdf
L’ajustement des lignes directrices et l’adoption de cette recommandation devraient intervenir après la rentrée de septembre 2020, selon un calendrier qui reste à préciser.
Nous souhaitons en conséquence vous rappeler ci-après les principes contenus dans les lignes directrices qui n’ont pas été censurés par le Conseil d’Etat.
En outre, nous ne manquerons pas de vous tenir informés de l’adoption par la CNIL de la nouvelle version des lignes directrices et de la recommandation.
 

S'agissant du caractère libre du consentement

La Commission considère que le consentement ne peut être valable que si la personne concernée est en mesure d'exercer valablement son choix et ne subit pas d'inconvénients majeurs en cas d'absence ou de retrait du consentement.
 

S'agissant du caractère spécifique du consentement

La Commission rappelle que la personne concernée doit être en mesure de donner son consentement de façon indépendante et spécifique pour chaque finalité distincte.
Le fait d'offrir par ailleurs à la personne la possibilité de consentir de manière globale est acceptable, à condition que cela s'ajoute, sans la remplacer, à la possibilité de consentir spécifiquement à chaque finalité.
A ce titre, l'acceptation globale de conditions générales d'utilisation ne peut être une modalité valable de recueil du consentement, dans la mesure où celui-ci ne pourra être donné de manière distincte pour chaque finalité.
 

S'ag​issant du caractère éclairé du consentement

La Commission rappelle que l'information doit être rédigée en des termes simples et compréhensibles pour tous, et qu'elle doit permettre aux utilisateurs d'être parfaitement informés des différentes finalités des traceurs utilisés.

La Commission rappelle que l'information doit être complète, visible, et mise en évidence au moment du recueil du consentement.
Un simple renvoi vers les conditions générales d'utilisation ne saurait suffire.
Les informations devant être portées à la connaissance des utilisateurs, préalablement au recueil du consentement, sont à minima :
- l'identité du ou des responsable(s) de traitement ;
- la finalité des opérations de lecture ou écriture des données ;
- l'existence du droit de retirer son consentement.
En outre, l'utilisateur doit pouvoir identifier l'ensemble des entités ayant recours à des traceurs avant de pouvoir y consentir. Ainsi, la liste exhaustive et régulièrement mise à jour de ces entités doit être mise à disposition auprès de l'utilisateur directement lors du recueil de son consentement.


S'agissant du caractère univoque du consentement

La Commission souligne que le consentement doit se manifester par le biais d'une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l'exercer.
Le fait de continuer à naviguer sur un site web, d'utiliser une application mobile ou bien de faire défiler la page d'un site web ou d'une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable.
Elle considère également que l'utilisation de cases pré-cochées, tout comme l'acceptation globale de conditions générales d'utilisation, ne peuvent être considérées comme un acte positif clair visant à donner son consentement.
Des systèmes adaptés doivent donc être mis en place pour recueillir le consentement selon des modalités pratiques qui permettent aux utilisateurs de bénéficier de solutions conviviales et ergonomiques.
En outre, la CNIL considère que les paramétrages du navigateur ne peuvent, en l'état de la technique, permettre à l'utilisateur d'exprimer la manifestation d'un consentement valide.
Sur le retrait du consentement
La Commission rappelle qu'il doit être aussi facile de refuser ou de retirer son consentement que de le donner.
Des solutions conviviales doivent donc être mises en oeuvre pour que les personnes puissent retirer leur consentement aussi facilement qu'elles ont pu le donner.


Exemption

  • Cas spécifique des traceurs de mesure d’audience

Les traceurs d’audience sont ceux qui permettent de mesurer l'audience d’un site web ou d’une application, ou bien de tester des versions différentes d’un site Internet afin d'optimiser les choix éditoriaux en fonction de leurs performances respectives.
La CNIL rappelle que ces dispositifs peuvent, dans certains cas, être regardés comme nécessaires à la fourniture du service explicitement demandé par l'utilisateur, sans présenter de caractère particulièrement intrusif pour ceux-ci, et ainsi être exemptés du recueil du consentement.
Ainsi, peuvent bénéficier de cette exemption au recueil du consentement, les traitements respectant les conditions suivantes :
- ils doivent être mis en oeuvre par l'éditeur du site ou bien par son sous-traitant ;
- la personne doit être informée préalablement à leur mise en oeuvre ;
- elle doit disposer de la faculté de s'y opposer par l'intermédiaire d'un mécanisme d'opposition facilement utilisable sur l'ensemble des terminaux, des systèmes d'exploitation, des applications et des navigateurs web. Aucune opération de lecture ou d'écriture ne doit avoir lieu sur le terminal depuis lequel la personne s'est opposée ;
- la finalité du dispositif doit être limitée à o la mesure d'audience du contenu visualisé afin de permettre l'évaluation des contenus publiés et l'ergonomie du site ou de l'application, o et/ou la segmentation de l'audience du site web en cohortes afin d'évaluer l'efficacité des choix éditoriaux, sans que cela ne conduise à cibler une personne unique o et/ou la modification dynamique d'un site de façon globale. Les données à caractère personnel collectées ne doivent pas être recoupées avec d'autres traitements (fichiers clients ou statistiques de fréquentation d'autres sites, par exemple) ni transmises à des tiers.
- L'utilisation des traceurs doit également être strictement cantonnée à la production de statistiques anonymes. Sa portée doit être limitée à un seul éditeur de site ou d'application mobile et ne doit pas permettre le suivi de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web ;
- l'utilisation de l'adresse IP pour géolocaliser l'internaute ne doit pas fournir une information plus précise que la ville. L'adresse IP collectée doit également être supprimée ou anonymisée une fois la géolocalisation effectuée ;
- les traceurs utilisés par ces traitements ne doivent pas avoir une durée de vie excédant treize mois et cette durée ne doit pas être prorogée automatiquement lors des nouvelles visites. Les informations collectées par l'intermédiaire des traceurs doivent être conservées pendant une durée de vingt-cinq mois maximum.

  • Cas spécifique des traceurs permettant la communication en ligne

La CNIL rappelle que l'exigence du consentement préalable ne s'applique pas si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :
- a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; ou
- est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.
La loi n'impose pas non plus d'offrir la possibilité de s'opposer à l'utilisation des traceurs permettant ou facilitant la communication par voie électronique, ou encore strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.
Toutefois, afin d'assurer une transparence pleine et entière sur ces opérations, les utilisateurs doivent être informés de leur existence et de leur finalité en intégrant, par exemple, une mention dans la politique de confidentialité des organisations y ayant recours.
 

Sur les rôles et responsabilités des acteurs.

La CNIL rappelle que si, dans un certain nombre de cas, l'utilisation de traceurs fait intervenir une seule entité qui est donc pleinement responsable de l'obligation de recueillir le consentement (par exemple un éditeur de site web qui a recours à des traceurs pour réaliser lui-même les statistiques d'usage de son service), dans d'autres cas, plusieurs acteurs contribuent à la réalisation des opérations de lecture ou écriture visées par les présentes lignes directrices (par exemple un éditeur de site web et une régie publicitaire déposant des cookies lors de la consultation du site web).
Dans ce dernier cas, ces entités peuvent être considérées comme responsables de traitement « uniques », responsables conjoints ou comme sous-traitants. La Commission constate que, dans d'autres cas, les tiers ayant recours à des traceurs seront pleinement et indépendamment responsables des traceurs qu'ils mettent en oeuvre, ce qui signifie qu'ils devront assumer indépendamment l'obligation de recueillir le consentement des utilisateurs. Dans le cas d'une responsabilité conjointe, dans laquelle les responsables déterminent conjointement les finalités et les moyens du traitement, la Commission rappelle qu'aux termes de l'article 26 du RGPD, ils devront définir de manière transparente leurs obligations respectives aux fins d'assurer le respect des exigences du RGPD, en particulier en ce qui concerne le recueil et la démonstration, le cas échéant, d'un consentement valable. Enfin, est qualifié de sous-traitant un acteur qui inscrit des informations et/ou accède à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur, exclusivement pour le compte d'un responsable de traitement et sans réutilisation pour son propre compte des données collectées via le traceur.

La Commission rappelle que si une relation de sous-traitance est établie, le responsable de traitement et le sous-traitant doivent établir un contrat ou un autre acte juridique précisant les obligations de chaque partie, dans le respect des dispositions de l'article 28 du RGPD.