Attendues par de nombreux professionnels du secteur de la publicité en ligne, la Commission nationale de l’informatique et des libertés (Cnil) a adopté par deux délibérations du 17 septembre 2020 ses lignes directrices modifiées et sa recommandation sur les cookies et autres traceurs.

Les acteurs concernés (éditeurs, tiers, annonceurs) bénéficient d’un délai de six mois, soit jusqu’en mars 2021, pour se mettre en conformité avec les nouveaux changements. A l’issue de ce délai, la Cnil procédera à des contrôles.

Quelles sont les évolutions apportées par les délibérations de la Cnil ?

Qu’est-ce qu’un cookie ou traceur ?

Ni la loi n°78-17 du 6 janvier 1978, ni le Règlement général sur la protection des données (RGPD) ne définissent la notion de « cookies et autres traceurs ».

A cet égard, les nouvelles délibérations de la Cnil ne donnent pas davantage de définition. Elles visent à s’appliquer de manière large à tous les dispositifs qui ont pour objet de permettre la lecture d’informations ou d’inscrire des informations sur le terminal des internautes (actions visées par l’article 82 de la loi du 6 janvier 1978). Étant précisé que la nature des informations consultées au moyen des cookies est indifférente à l’application de la réglementation.

Dans quel contexte les nouvelles délibérations ont-elles été adoptées ?

Le dépôt et l’utilisation de cookies et traceurs sont encadrés par l’article 82 de la loi du 6 janvier 1978. Selon cet article, les cookies et traceurs ayant « pour finalité exclusive de permettre ou de faciliter la communication par voie électronique » ou qui sont « strictement nécessaire[s] à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur » ne sont pas soumis à un consentement préalable. Les cookies et traceurs ne poursuivant pas l’une de ces deux finalités sont soumis, au contraire, à un régime d’information et de consentement préalables.

Prises en application de ces dispositions, les lignes directrices du 4 juillet 2019 de la Cnil ont fait évoluer la matière, notamment en soumettant le recueil du consentement à l’utilisation des cookies aux exigences du Règlement général sur la protection des données (RGPD). Mathias Avocats avait expliqué les changements apportés par les lignes directrices de juillet 2019 dans un article précédent.

La modification de ces lignes directrices intervient notamment à la suite de la décision du Conseil d’Etat du 19 juin 2020. Ce dernier avait jugé que la Cnil ne pouvait pas légalement interdire, de manière générale,  la pratique du « cookie wall » au moyen de ses lignes directrices. Pour rappel, cette pratique consiste à conditionner l’accès à un site Internet ou à une application au consentement des internautes à l’utilisation de cookies.

Cette modification est également l’occasion pour la Cnil de confirmer certaines positions, dont notamment les pratiques ne permettant pas de recueillir un consentement valable. Il s’agit par exemple de la poursuite de la navigation sur un site Internet ou une application mobile, du fait de défiler les pages (pratique du scroll), des cases pré-cochées ou encore de l’acceptation de conditions générales d’utilisation.

La recommandation quant à elle est le résultat d’un processus collaboratif, initié par la Cnil au moyen d’une consultation publique lancée le 14 janvier 2020 et d’ateliers organisés avec les professionnels. Elle vise à accompagner les acteurs utilisant des cookies et traceurs dans la mise en œuvre des modalités concrètes de recueil du consentement.

Quelles sont les principales nouveautés en matière de consentement ?

  • Des modalités simples pour exprimer un refus

La Cnil exige désormais que le refus de consentement puisse être exprimé soit par l’absence de toute démarche de la part de l’internaute (absence d’interaction avec la fenêtre de recueil du consentement, fermeture de celle-ci par exemple), soit par une action aussi simple que celle permettant d’exprimer le consentement.

En d’autres termes, le refus peut être valablement exprimé par le silence de l’internaute. Alternativement, une action de la part de l’internaute peut être requise, sous condition que cette action présente le même degré de simplicité que celle permettant d’exprimer le consentement. A cet égard, la Cnil précise que cette exigence n’est pas remplie lorsqu’un seul clic est requis pour le consentement, tandis que le refus ne peut être donné qu’après plusieurs actions de paramétrage.

A noter que l’internaute doit être informé des modalités du refus au moment où il exprime son choix.

  • L’appréciation au cas par cas de la licéité de la pratique de « cookie wall »

La pratique du « cookie wall » n’étant plus soumise à une interdiction générale, la Cnil estime que sa licéité doit être appréciée au cas par cas. Toutefois, la Cnil ne donne pas de précisions sur les cas où la mise en place d’un « cookie wall » serait licite. Ainsi, quels critères permettraient de mener cette analyse ?

En tout état de cause, lorsqu’un « cookie wall » est mis en place de manière licite, l’internaute doit être informé de l’impossibilité d’accéder au site Internet ou à l’application.

  • La réintroduction d’une liste d’exemples de cookies exemptés de consentement

Après avoir confirmé que certains cookies peuvent bénéficier d’une exemption de consentement, la Cnil réintroduit une liste d’exemples à l’instar de ce qu’elle avait fait dans sa recommandation de 2013, aujourd’hui abrogée. Sont concernés, par exemple, les traceurs destinés à conserver le choix de l’internaute sur le dépôt de traceurs ou ceux permettant l’authentification de l’internaute auprès d’un service. Cette liste n’est pas exhaustive.

Ainsi, une analyse au cas par cas devra être menée afin de déterminer le besoin de recueil du consentement préalable des internautes. A cet égard, en 2012, les autorités de contrôle européennes réunies au sein du Groupe de l’Article 29 (aujourd’hui du Comité européen de protection des données ou CEPD) avaient émis un avis sur l’exemption de l’obligation de consentement pour certains cookies. Bien qu’il n’ait pas été mis à jour au regard du RGPD, ce document constitue un référentiel permettant de connaître les critères pris en compte par les autorités de contrôle.

  • La disparition des critères d’exemption de consentement pour les cookies de mesure d’audience

Concernant les cookies de mesure d’audience, la Cnil a supprimé les critères d’exemption énoncés dans les lignes directrices du 4 juillet 2019.

Il est désormais substitué à cette liste une exemption qui, à la lecture des termes employés, ne semble bénéficier qu’aux seuls éditeurs de sites Internet et d’applications mobiles à l’exclusion des partenaires déposant des traceurs par le biais de ces « vitrines ». En effet, la Cnil énonce que cette exemption s’applique uniquement aux traceurs ayant « une finalité strictement limitée à la seule mesure de l’audience sur le site ou l’application pour le compte exclusif de l’éditeur ».

  • La conservation du choix de l’internaute et son renouvellement tous les six mois

Il convient de noter que les lignes directrices du 4 juillet 2019 ne contenaient aucune prescription générale en matière de durée de vie des cookies et traceurs, ni en matière de durée de validité du choix de l’internaute (consentement ou refus).

Seule une prescription spéciale était indiquée dans la délibération. Elle figurait parmi les conditions en vertu desquelles les cookies de mesure d’audience pouvaient être exemptés du recueil du consentement préalable. Ces cookies ne devaient pas avoir une durée de vie excédant treize mois. De plus, les informations collectées par leur intermédiaire devaient être conservées pendant maximum vingt-cinq mois.

La Cnil recommande désormais de renouveler le choix exprimé par l’internaute à une fréquence régulière. Cette dernière doit être définie au cas par cas, en fonction notamment de la nature du site Internet ou de l’application. Néanmoins, la Cnil considère que la conservation du choix de l’internaute pendant six mois constitue une bonne pratique.

Sur ce point, il est possible de s’interroger sur la possibilité de mettre en place des durées de conservation différentes en fonction du choix initialement exprimé par l’internaute. Les durées de conservation du consentement et du refus devraient-elles être identiques ? Ou encore, serait-il possible de déterminer plusieurs durées de conservation en fonction de la fréquence de consultation du site Internet ou de l’application par les internautes ?

Que retenir ?

Les principaux enseignements de ces délibérations sont les suivants :

  • Il est désormais acquis que le recueil du consentement de l’internaute au dépôt et la lecture de cookies ou à l’utilisation de traceurs sur leur terminal doit répondre aux exigences du RGPD.
  • Les pratiques ne permettant pas de recueillir un consentement valable énoncées dans les lignes directrices de juillet 2019 n’ont pas été remises en cause.
  • La licéité de la pratique du « cookie wall » doit être appréciée au cas par cas. Lorsqu’elle est licitement mise en place, l’internaute doit être informé de l’impossibilité d’accéder au site Internet ou à l’application.
  • Le refus de consentement doit pouvoir être exprimé par l’absence de toute démarche de la part de l’internaute ou par une action aussi simple que celle permettant d’exprimer le consentement.
  • Les modalités de refus doivent être communiquées à l’internaute au moment où il exprime son choix.
  • Les cookies de mesure d’audience ne sont exemptés de consentement lorsqu’ils sont déposés et lus pour le compte exclusif de l’éditeur du site Internet ou de l’application mobile.
  • Le choix de l’internaute doit être conservé pendant un certain laps de temps, que la Cnil préconise de fixer à six mois, et renouvelé au terme de cette période.
  • En l’absence de renouvellement du consentement alors qu’il avait été valablement donné précédemment, l’utilisation des cookies et traceurs serait interdite pour l’avenir. Une réflexion devrait alors être menée quant aux données collectées au moyen de ces cookies et traceurs.

La mise en œuvre des changements apportés pourrait nécessiter des modifications dans la configuration des modules de gestion du consentement. Les contrats conclus entre les parties prenantes devraient également prendre en compte ces nouveautés, notamment quant à la conservation du choix de l’internaute.

Mathias Avocats se tient à votre disposition pour vous informer et vous conseiller sur votre conformité.