Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Protection des données : la CNIL publie de nouvelles lignes directrices sur les cookies et autres traceurs

septembre 2019 par Nadège Martin, Avocat au barreau de Paris, Aassociée du cabinet Norton Rose Fulbright

Le 4 juillet dernier, la CNIL a publié ses nouvelles lignes directrices relatives aux cookies et autres traceurs, abrogeant ainsi sa recommandation cookies de 2013 dans un souci de mise en conformité avec les nouvelles exigences du RGPD sur le consentement. Elles seront complétées, au cours du premier trimestre 2020, par des recommandations sectorielles visant à fournir aux acteurs des modalités pratiques de recueil du consentement. Les points clés à retenir de ces nouvelles lignes directrices sont exposés ci-dessous.

1. Les lignes directrices ne s’appliquent pas uniquement aux cookies

Les règles s’appliquent aux opérations visant à accéder, par voie de transmission électronique, à des informations déjà stockées dans le terminal de l’abonné ou de l’utilisateur ou à inscrire des informations dans cet équipement.
Par conséquent, les lignes directrices portent sur l’utilisation des cookies HTTP mais ont également vocation à s’appliquer à d’autres techniques telles que les « local shared objects » (ou « cookies Flash »), le « local storage » (ou stockage local) mis en œuvre au sein du HTML 5 ou encore les systèmes de calcul d’empreinte (ci-après désignés collectivement par « les traceurs »).
Les lignes directrices précisent également que les règles s’appliquent aux dispositifs couramment utilisés tels que les smartphones, les tablettes, les ordinateurs fixes ou mobiles, les véhicules connectés, les consoles de jeux vidéo, les télévisions connectées ou encore les assistants vocaux lorsque des traceurs sont utilisés.
Enfin, comme indiqué dans sa recommandation de 2013, la CNIL rappelle que les informations (stockées et/ou consultées) n’ont pas à être des données à caractère personnel pour que les règles sur le consentement s’appliquent.

2. Modalités de recueil du consentement

Deux changements clés sont à noter :
 Le consentement implicite ne peut plus être invoqué. En pratique, cela signifie que le fait de continuer à naviguer sur un site web ou d’utiliser une application mobile ne constitue plus une expression valide du consentement. Le consentement doit être donné par un acte positif clair par lequel l’utilisateur manifeste de façon libre, spécifique, éclairée et univoque son accord (par exemple, cocher une case sera valable, ce qui ne sera pas le cas des cases pré-cochées). Par ailleurs, les lignes directrices indiquent clairement que les paramétrages du navigateur ne peuvent, en l’état actuel de la technique, permettre à l’utilisateur d’exprimer la manifestation d’un consentement valide ; et
 les acteurs exploitant des traceurs doivent mettre en oeuvre des mécanismes leur permettant de démontrer, à tout moment, qu’ils ont valablement recueilli le consentement des utilisateurs.

Parmi les autres points clés à retenir sur le consentement :
 les « cookie walls » (à savoir la pratique consistant à empêcher l’accès à un site web ou à une application mobile pour les individus qui ne consentent pas à être suivis) sont généralement interdits ;
 l’acceptation globale de conditions générales d’utilisation ne peut constituer une modalité valable de recueil du consentement dans la mesure où celui-ci ne pourra pas être donné de manière distincte pour chaque finalité ;
 l’information doit être rédigée en des termes simples et compréhensibles pour tous et doit permettre aux utilisateurs d’être parfaitement informés des différentes finalités des traceurs utilisés. L’information doit être complète, visible, et mise en évidence au moment du recueil du consentement. Un simple renvoi vers les conditions générales n’est pas suffisant. En pratique, les utilisateurs devront recevoir, préalablement à la collecte de leur consentement et a minima, les informations suivantes : (i) l’identité du ou des responsables de traitement, (ii) la finalité des activités de traitement des données, et (iii) l’existence du droit de retirer son consentement.

Compte tenu de ce qui précède, la CNIL précise qu’une liste exhaustive et régulièrement mise à jour des entités utilisant des traceurs doit être mise à disposition de l’utilisateur au moment de la collecte de son consentement ; et La CNIL publie de nouvelles lignes directrices sur les cookies et autres traceurs.

 Il doit être aussi facile de retirer son consentement que de le donner. Des solutions faciles à utiliser doivent en conséquence être mises en oeuvre (les lignes directrices ne fournissent toutefois aucun conseil pratique à ce sujet).

3. Exceptions aux règles sur le consentement

Les mêmes exceptions que celles prévues en 2013 continueront à s’appliquer aux traceurs suivants :
 ceux qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique (ex. les cookies ayant la capacité de détecter les erreurs de transmission ou les pertes de données) ; et
 ceux qui sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur (ex. les cookies de « panier d’achat » pour un site marchand ou les cookies d’authentification).

Toutefois, les utilisateurs doivent être informés de leur existence et de leur finalité avec, par exemple, une mention relative à l’utilisation de ces cookies dans la politique de confidentialité ou dans la politique cookies du site web.

Dans certains cas, les traceurs de mesure d’audience (« analytics ») peuvent être considérés comme nécessaires à la fourniture du service explicitement demandé par l’utilisateur, sans présenter de caractère particulièrement intrusif et ainsi être exemptés du recueil du consentement. A titre d’exemples, les statistiques de fréquentation et les tests visant à évaluer la performance de différentes versions d’un même site web permettent aux éditeurs de détecter des problèmes de navigation sur leur site ou application.

Pour bénéficier de cette exemption, les lignes directrices fournissent une liste stricte d’exigences à respecter, parmi lesquelles :
 (i) les utilisateurs doivent être informés de l’utilisation de ce type de traceurs avant leur utilisation ;
 (ii) l’utilisation des traceurs doit être strictement limitée à la production de statistiques anonymes et la durée de vie des traceurs doit être limitée ; et
 (iii) les données à caractère personnel collectées ne doivent pas être recoupées avec d’autres traitements (ex. fichiers clients ou statistiques de fréquentation d’autres sites) ni être transmises à des tiers.

4. Statut des différents acteurs ayant recours aux traceurs

Les lignes directrices distinguent plusieurs situations dans lesquelles différentes parties utilisent des traceurs et traitent à ce titre des données à caractère personnel conformément au RGPD :
 Lorsque l’utilisation des traceurs implique une seule entité, cette dernière est pleinement responsable de l’obligation de recueillir le consentement (ex. un éditeur de site web utilise des traceurs pour réaliser des statistiques d’usage de son service) et sera le seul responsable du traitement des données personnelles traitées par le biais de ces traceurs ;
 Lorsque plusieurs acteurs contribuent aux opérations de lecture ou écriture des traceurs visées par les lignes directrices (ex. un éditeur de site web et une régie publicitaire déposent des traceurs lors de la consultation du site web), les lignes directrices indiquent simplement que ces entités peuvent être considérées comme responsables de traitement « uniques », responsables conjoints ou sous-traitants ; et
 Les tiers ayant recours à des traceurs sont pleinement et indépendamment responsables des traceurs qu’ils mettent en oeuvre et doivent à ce titre obtenir le consentement des utilisateurs, bien qu’en pratique ils puissent exiger contractuellement de l’éditeur du site web qu’il recueille le consentement pour leur compte.

Une entité est qualifiée de sous-traitant lorsqu’elle inscrit des informations et/ou accède à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, pour le compte exclusif d’un responsable de traitement et sans réutilisation des données collectées via le traceur pour son propre compte. Dans ce cas, un contrat conforme à l’article 28 du RGPD devra être conclu.Les T&IPs de la semaine

Recommandations de Nadège Martin

Ces nouvelles lignes directrices suivent de très près les lignes directrices sur les cookies mises à jour par l’ICO le 3 juillet dernier. Certains points essentiels sont en ligne avec les guidelines de l’autorité britannique : (i) le consentement implicite n’est plus valable, (ii) les conditions générales ne constituent pas une modalité valable de recueil du consentement, et (iii) les utilisateurs doivent être en mesure d’identifier toutes les parties plaçant des traceurs pour que le consentement soit éclairé.
Bien que la CNIL ait annoncé, dans son communiqué de presse du 28 juin 2019, un « délai de grâce » de 12 mois pour se conformer à ces nouvelles règles (qui seront par ailleurs complétées en 2020), il conviendrait, au regard de la position d’autres régulateurs européens et des récentes décisions nationales et de la CJUE, d’anticiper d’ores et déjà les nouvelles règles sur le consentement. Les organisations internationales notamment doivent être conscientes du fait que ce « délai de grâce » n’est pas une initiative nécessairement partagée par d’autres autorités européennes de protection des données et qu’elle a déjà suscité de vives réactions en France, notamment celle de la Quadrature du Net (voir notre article sur le sujet ici). Nadège Martin recommande de revoir leurs pratiques actuelles en matière de cookies ainsi que leurs politiques relatives aux cookies afin d’entamer le processus de mise en conformité.


[1] Le 29 Juillet 2019, la Quadrature du Net a déposé un recours devant le Conseil d’Etat contre la décision de la CNIL d’autoriser la « poursuite de la navigation » comme mode d’expression du consentement aux traceurs durant le délai de grâce.

Pour plus d’informations, le communiqué de presse de la CNIL est disponible ici.


Voir les articles précédents

    

Voir les articles suivants