Le 25 février 2020, l’autorité de contrôle grecque a publié ses lignes directrices relatives au recueil du consentement dans le cadre des pratiques de suivi des internautes, par l’utilisation de cookies ou autres traceurs. Fait notable, l’autorité grecque s’est attardée à identifier les mauvaises pratiques.

Pour rappel, en France, la Cnil a publié ses lignes directrices le 4 juillet 2019. Elle a également soumis un projet de recommandation sur les modalités pratiques de recueil du consentement au dépôt et à la lecture de cookies et autres traceurs.

Une liste de cookies exemptés de consentement

Dans ce contexte, les lignes directrices de l’autorité grecque listent de manière non exhaustive des finalités entrant dans le champ de cette exemption, telles que :

  • La conservation du choix exprimé par l’utilisateur sur le dépôt de traceurs ou de l’absence d’expression de ce choix,
  • L’identification ou le maintien en mémoire du contenu chargé par l’utilisateur pendant la durée de la session, le contenu d’un panier d’achat sur un site marchant par exemple,
  • L’authentification de l’utilisateur auprès d’un service en ligne,
  • La sécurité de l’utilisateur,
  • L’équilibrage de la charge des équipements concourant à un service de communication pendant une session,
  • Le maintien des préférences de personnalisation de l’interface de l’utilisateur, le choix de la langue ou la sauvegarde de l’historique des recherches par exemple.

L’autorité grecque rappelle que les traceurs fournis par des tiers ou employés à des fins publicitaires n’entrent pas dans le champ de cette exception. Elle souligne également, à titre de mauvaise pratique, l’emploi sans consentement préalable de traceurs Google Analytics à des fins statistiques.

Il convient de noter que le projet de recommandation publié par la Cnil contient également une liste non exhaustive de traceurs pouvant être exemptés de consentement préalable. La liste définie par la Cnil contient deux traceurs supplémentaires. Ceux permettant aux sites payants de limiter l’accès gratuit à leur contenu à une quantité prédéfinie et/ou sur une période limitée et ceux permettant la mesure d’audience dans le cadre spécifié à l’article 5 des lignes directrices du 4 juillet 2019.

Les autorités française et grecque s’accordent sur le fait qu’il convient d’assurer une pleine et entière transparence sur ces opérations via l’information des utilisateurs, et cela même si la loi n’impose pas de permettre aux utilisateurs de s’opposer à l’usage de ces traceurs. A ce titre, l’autorité grecque considère que l’absence d’une telle information est une mauvaise pratique.

L’information des internautes

La Cnil et l’autorité grecque s’accordent sur le fait que cette condition ne peut être satisfaite par un simple renvoi vers des conditions générales d’utilisation ou par la mise à disposition d’une information générique sur l’emploi de traceurs. Les deux autorités acceptent néanmoins que l’information interviennent à plusieurs niveaux afin de répondre aux exigences de lisibilité.

Pour l’autorité grecque, ces niveaux d’information ne seront valables qu’à la condition que le consentement de l’utilisateur ne soit recueilli qu’après l’avoir informé, au minimum, des catégories de traceurs utilisés. Elle précise également que la mise à disposition d’une information générique au premier niveau d’information est une mauvaise pratique.

Le contenu de la notice doit être mis en évidence au moment du recueil du consentement. L’autorité grecque souligne qu’il convient de s’assurer que l’affichage soit facile à lire sur tout type d’appareils. Le projet de recommandation de la Cnil sur les modalités pratiques de recueil du consentement contient des exemples d’interfaces et de fonctionnalités qui pourraient être mises en place par les acteurs économiques.

Sur le contenu de l’information, l’autorité grecque recommande que des informations spécifiques quant aux finalités de chaque traceur soient fournies. Elle recommande que pour chaque traceur ou pour les catégories de traceurs employés pour les mêmes finalités, soient indiqués :

  • La durée de conservation,
  • L’identité du responsable du traitement,
  • Les destinataires ou les catégories de destinataires.

Les modalités de recueil du consentement des internautes

Les autorités grecque et française s’entendent sur le fait que le consentement doit se manifester par le biais d’une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l’exercer.

Ainsi, pour l’autorité grecque, ne sont pas des actions claires assimilables à une expression valable du consentement :

  • La poursuite de la navigation sur un site web ou de l’utilisation d’une application mobile,
  • Le fait de faire défiler la page d’un site web ou d’une application mobile,
  • La fermeture de la fenêtre pop-up ou de la bannière permettant le recueil du consentement,
  • L’utilisation de cases pré-cochées,
  • L’acceptation globale des conditions générales d’utilisation,
  • Les paramétrages du navigateur qui, en l’état de la technique, ne permettent pas d’assurer un niveau suffisant d’information préalable des personnes ni de distinguer les cookies en fonction de leurs finalités et n’intègrent pas de choix pour certaines technologies de traceurs.

S’agissant des navigateurs, la Cnil précise toutefois qu’ils pourraient évoluer afin d’intégrer des mécanismes permettant de recueillir un consentement conforme au RGPD. A ce titre, son projet de recommandation s’étend également à l’usage des navigateurs.

En outre, pour satisfaire l’exigence d’une expression du consentement spécifique, la personne concernée doit pouvoir exprimer son acceptation ou son refus de chaque finalité distincte. Les autorités acceptent la possibilité de consentir de manière globale aux cookies, dès lors que la possibilité de consentir spécifiquement à chaque finalité reste possible. L’autorité grecque souligne notamment que la présence d’un choix unique tel que « OK, je suis informé » ou « OK, j’accepte » pour collecter le consentement sans qu’il ne soit possible de poursuivre la navigation sans procéder à cette acceptation est une mauvaise pratique.

De nombreux points d’attention portent sur la manière de collecter le consentement en s’assurant qu’il soit exprimé en dehors de toute contrainte, notamment des formes de contrainte graphique ou technique.

L’autorité grecque recommande d’opter pour un design (boutons, cases pré-cochées, police, taille, couleur) présentant le même confort de lecture pour garantir que l’utilisateur ne soit pas influencé par un choix de design favorisant l’acceptation.

Elle insiste également sur le fait que l’utilisateur doit avoir la possibilité de modifier ses préférences à sa guise, et cela sans devoir modifier les paramètres de son navigateur. Enfin, quel que soit le choix exprimé par l’utilisateur, la réapparition d’un mécanisme demandant à l’utilisateur d’exprimer un choix doit intervenir après une durée constante quel que soit le choix formulé. En clair, la durée de validité du choix de l’utilisateur doit être la même qu’il est exprimé une acceptation ou un refus.

Par ailleurs, les utilisateurs doivent être en mesure de refuser le recours à des traceurs ou de retirer leur consentement sans subir de conséquences négatives. A cet égard, les deux autorités précisent que le refus de consentir à l’utilisation de cookies non-essentiels ne doit pas conduire au blocage de l’accès au contenu, via la mise en place d’un cookie wall, cette pratique n’étant pas conforme au RGPD. L’autorité grecque insiste notamment sur le fait qu’en l’absence d’un choix exprimé par l’utilisateur, les responsables de traitement doivent s’interdire d’utiliser tout traceur non essentiel.

Les deux autorités rappellent qu’il doit être aussi facile de refuser ou de retirer son consentement que de le donner. L’autorité grecque est plus spécifique sur ce point et recommande que l’utilisateur soit en mesure d’accepter ou de rejeter l’utilisation de traceurs non-essentiels par le même nombre d’actions ou de clics. Ainsi, l’option pour rejeter le traceur ne doit pas être fournie uniquement au second niveau d’information, si tel n’est pas également le cas pour l’option permettant d’accepter les traceurs.

Mathias Avocats ne manquera pas de vous informer de l’évolution des bonnes pratiques en matière de cookies.