Par une délibération n°2019-093 du 4 juillet 2019, la Commission nationale de l’informatique et des libertés a fait évoluer les règles applicables aux cookies et traceurs utilisés en ligne.

Ces lignes directrices seront suivies par la publication, au premier semestre 2020, d’une recommandation sur les modalités de recueil du consentement en la matière. Une période transitoire de 6 mois s’ouvrira ensuite pour permettre aux entités d’adapter leurs pratiques.

Quels sont les évolutions apportées par les lignes directrices de la Cnil ? Mathias Avocats fait le point.

Qu’est-ce qu’un cookie ou traceur au sens de la délibération de la Cnil ?

Ni la loi n°78-17 du 6 janvier 1978, ni le Règlement général sur la protection des données (RGPD) ne définissent la notion de « cookies et autres traceurs ».

A cet égard, la nouvelle délibération de la Cnil ne donne pas davantage de définition. Elle vise à s’appliquer de manière large à tous les dispositifs qui ont pour objet de permettre la lecture d’informations ou d’inscrire des informations sur le terminal des internautes (actions visées par l’article 82 de la loi du 6 janvier 1978).

Par ailleurs, la nature des informations consultées au moyen des cookies semble indifférente à l’application de la réglementation. En effet, la Cnil rappelle que ni l’article 82 de la loi n°78-17 du 6 janvier 1978, ni l’article 5, §3 de la directive 2002/58/CE, dont est notamment issu le droit national, ne requiert que les informations inscrites sur le terminal des internautes ou qui sont lues à partir de ce dernier soient qualifiées de données à caractère personnel.

Quels sont les règles applicables aux cookies et traceurs ?

Le RGPD appréhende les cookies via le considérant 30. Il résulte de ce dernier que les individus peuvent se voir associer par des appareils ou des applications des identifiants (adresse IP, cookies) au moyen desquels ils peuvent être identifiés par combinaison avec d’autres informations.

En outre, le dépôt et l’utilisation de cookies et traceurs sont encadrés par l’article 82 de la loi du 6 janvier 1978. Selon cet article, les cookies et traceurs ayant « pour finalité exclusive de permettre ou de faciliter la communication par voie électronique » ou qui sont « strictement nécessaire[s] à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur » ne sont pas soumis à un consentement préalable. Les cookies et traceurs ne poursuivant pas l’une de ces deux finalités sont soumis, au contraire, à un régime d’information et de consentement préalables.

A cet égard, en 2012, les autorités de contrôle européennes réunies au sein du Groupe de l’Article 29 (aujourd’hui du Comité européen de protection des données ou CEPD) avaient émis un avis sur l’exemption de l’obligation de consentement pour certains cookies. Dans ce contexte, les autorités européennes s’étaient positionnées sur les conditions permettant à certaines catégories de cookies de bénéficier de l’exemption du recueil du consentement. Elles s’étaient également positionnées sur les catégories de cookies soumises au consentement préalable des internautes. Bien qu’il n’ait pas été mis à jour au regard du RGPD, ce document constitue un référentiel permettant de connaître les critères pris en compte par les autorités de contrôle.

Notons également que la délibération du 4 juillet dernier ne contient pas de liste de cookies soumis au consentement préalable des internautes, ni de liste des cookies exemptés.

Dans ce contexte, une analyse au cas par cas devra être menée afin de déterminer le besoin de recueil du consentement préalable des internautes.

Quels sont les changements apportés par les lignes directrices de la Cnil ?

  • La satisfaction des conditions de validité du consentement au regard du RGPD

Lorsque le dépôt et la lecture de cookies sur un terminal sont soumis au recueil du consentement préalable de l’internaute, les exigences des articles 4, 11) et 7 du RGPD devront être respectées.

L’article 4 paragraphe 11 du RGPD définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

En outre, il appartiendra au responsable du traitement d’être en mesure de rapporter la preuve du consentement donné par la personne concernée ; en l’espèce l’internaute. Enfin, ce dernier devra pouvoir retirer son consentement à tout moment et aussi simplement qu’il a été donné.

  • Les pratiques ne permettant pas de recueillir le consentement des internautes

La Cnil indique expressément que certaines pratiques ne permettent pas de recueillir valablement le consentement des internautes au dépôt et à la lecture de cookies sur leur terminal, ainsi qu’à l’utilisation de traceurs.

Dans ce contexte, ni la poursuite de la navigation sur une application mobile ou un site Internet, ni le fait de faire défiler une page (pratique du scroll) ne peuvent, selon la Cnil, permettre le recueil du consentement des internautes.

L’acception de conditions générales d’utilisation est également exclue comme modalité de recueil du consentement de l’internaute au dépôt et à la lecture de cookies et traceurs sur son terminal.

La Cnil a la même position s’agissant du paramétrage du navigateur. A cet égard, il convient de noter que la Cnil relève bien que la loi française envisage que le consentement de la personne puisse « résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle ». L’autorité de contrôle relève également que les navigateurs permettent l’expression de choix en matière de cookies.

Toutefois, pour exclure le recueil du consentement via les paramètres du navigateur, la Cnil s’appuie notamment sur les éléments suivants : insuffisance de l’information mise à la disposition des internautes, absence de distinction des finalités poursuivies par les cookies et traceurs, impossibilité de donner son consentement par finalité.

  • La disparition des règles générales relatives à la durée de validité du consentement donné par l’internaute

La délibération relative aux cookies et traceurs émise par la Cnil en 2013, aujourd’hui abrogée, contenait un article 5 relatif aux durées de vie des cookies. En vertu de cet article « les cookies [devaient] avoir une durée de vie limitée à treize mois après leur premier dépôt dans l’équipement terminal de l’utilisateur (faisant suite à l’expression du consentement) et leur durée de vie ne [pouvait] pas être prolongée lors de nouvelles visites sur le site. ».

Il convient de noter que la nouvelle délibération de la Cnil ne contient aucune prescription générale en matière de durée de vie des cookies et traceurs. Faut-il conclure que le consentement demeure valide tant qu’il n’a pas été retiré par l’internaute ? La Cnil apportera peut-être cette précision dans la recommandation à venir.

Seule une prescription spéciale est indiquée dans la délibération. Elle figure parmi les conditions en vertu desquelles les cookies de mesure d’audience peuvent être exemptés du recueil du consentement préalable. Dans ce cadre, la Cnil a fixé que « les traceurs (…) ne doivent pas avoir une durée de vie excédant treize mois et cette durée ne doit pas être prorogée automatiquement lors des nouvelles visites. Les informations collectées par l’intermédiaire des traceurs doivent être conservées pendant une durée de vingt-cinq mois maximum ».

Que retenir ?

Les principaux enseignements de ces lignes directrices sont les suivants :

  • Le recueil du consentement des internautes d’un site Internet ou d’une application mobile au dépôt et la lecture de cookies ou à l’utilisation de traceurs sur leur terminal doit répondre aux exigences du Règlement général sur la protection des données (RGPD).
  • L’ internaute doit être libre de consentir ou de ne pas consentir sans subir « d’inconvénients majeurs» (notamment le blocage de l’accès au site ou à l’application mobile).
  • Une fonctionnalité de type « Tout accepter » sera admise pour recueillir le consentement des internautes à la seule condition qu’elle soit combinée à une fonctionnalité leur permettant de donner un consentement pour chacune des finalités poursuivies.
  • La poursuite de la navigation sur un site ou une application mobile, l’utilisation de ces derniers ou encore le fait de faire défiler les pages (pratique du scroll) ne constituent pas des moyens valables de recueil du consentement des internautes au regard des exigences du RGPD.
  • Le paramétrage des navigateurs Internet ne permet pas à l’internaute de valablement exprimer son consentement.
  • La possibilité que les cookies de mesure d’audience puissent bénéficier d’une exemption de recueil du consentement préalable des internautes est maintenue, sous réserve de respecter les conditions définies par la Cnil.
  • L’information délivrée aux internautes doit, a minima, contenir les éléments suivants : l’identité du ou des responsables du traitement, la finalité de l’utilisation des cookies et traceurs, le droit de retirer le consentement ainsi que la liste exhaustive et régulièrement mise à jour des entités ayant recours à des cookies et traceurs.

Mathias Avocats se tient à votre disposition pour vous informer et vous conseiller sur votre conformité.