FR EN
< Montre-moi ce que tu postes, je te dirai ou tu habites l’affaire Hallyday : les reseaux sociaux ne sont pas vos amis
22.07.2019 16:33 Age: 5 yrs
Category: Veille Juridique

Cookies et traceurs - Nouvelles lignes directrices de la CNIL

Auteur : Nicholas Cullen - Avocat Toulouse - Droit des Technologies Avancées


La CNIL a dévoilé ses nouvelles lignes directrices sur les cookies et autres traceurs électroniques, qui confirment bien qu’il faut un consentement exprès avant le dépôt. La Délibération n° 2019-093 du 4 juillet 2019 (la Délibération) publiée le 19 juillet 2019, remplace les anciennes lignes directrices datant de décembre 2013 et ainsi reflètent les nouveautés apportées par le Règlement général sur la protection des données (RGPD). Ces lignes directrices suivent l’annonce de la CNIL du vendredi 28 juin 2019, indiquant qu’elle laissera aux acteurs une période transitoire de douze mois afin qu’ils aient le temps de se conformer aux nouveaux principes posés par la Délibération (étant précisé qu’elle continuera entretemps à instruire les plaintes et le cas échéant, à contrôler qu’aucun dépôt de cookies n’est effectué avant le recueil du consentement et que les autres obligations du RGPD sont respectées). Ainsi, chaque organisme qui exploite des cookies ou traceurs doit revoir ses pratiques actuelles en matière de consentement et d’information des personnes concernées, afin de s’assurer de leur conformité au nouveau cadre légal.

Tous les équipements et traceurs sont visés

La CNIL est claire sur le fait que le champ d’application des nouvelles lignes directrices est très large et couvre toute la gamme de dispositifs électroniques capables de déposer des informations, ou permettre un accès aux informations déjà stockées, sur l’équipement informatique d’un individu (ex. cookies HTTP, « local shared objects » cookies Flash, « local storage » HTML 5, etc.). Ceci est le cas quel que soit la nature de l’équipement (ordinateur, téléphone, tablette, console jeux vidéo, télévision connectée, voiture connectée, assistant vocal, etc.)

La poursuite de la navigation ne vaut pas consentement

La nouvelle délibération souligne que les exigences de consentement imposées par le RGPD doivent s’appliquer dans le cadre de l‘exploitation de traceurs en ligne. Par conséquent, le consentement requiert un acte positif de la personne concernée, ce qui implique que le fait qu’un internaute continue à naviguer sur un site ne constitue pas une manifestation du consentement de sa part. Les autres critères d’un consentement valable posés par le RGPD doivent également être respectés. Ainsi, le consentement doit être libre, spécifique, éclairé et univoque et le responsable du traitement doit être en mesure de prouver, à tout moment, son existence. Le consentement doit donc être accordé en toute connaissance de cause par la personne concernée qui doit comprendre les conséquences de son choix. Par conséquent, il appartient aux organismes de préparer des informations complètes et compréhensibles sur leurs dispositifs de traçage et les communiquer aux personnes concernées avant de collecter un consentement. Par ailleurs, la CNIL rappelle que les cases pré-cochées et l’acceptation globale de conditions générales d’utilisation sont insuffisantes pour constituer un consentement valable. En clair, il faudra créer un processus spécifique permettant le recueil d’un consentement valable, avec des dispositifs techniques capables de démontrer son existence en cas de contrôle.

Les « cookie walls » non-conformes au RGPD

La CNIL reprend la position du Comité européenne de la protection des données (CEPD) que les « cookies walls » ne sont pas conformes au RGPD. Cette pratique consiste en bloquant l’accès à un site si l’internaute n’a pas accepté l’utilisation de cookies. La CNIL souligne à cet égard que ce type de dispositif entache le caractère libre du consentement.

Paramétrage du navigateur – incapable d’exprimer un consentement valable

La CNIL constate que la Loi informatique et libertés prévoit actuellement qu’un consentement « peut résulter de paramètres appropriés » d’un dispositif de connexion. Cependant, elle exprime l’avis que « en l’état de la technique », le paramétrage du navigateur de ne pas permettre à un utilisateur de manifester un consentement valable, notamment parce que les navigateurs ne permettent pas de distinguer les différents traceurs en fonction de leurs finalités. Par conséquent, les opérateurs de sites Internet ne peuvent pas simplement renvoyer leurs utilisateurs au paramétrage de leurs navigateurs, et doivent proposer des solutions permettant à l’utilisateur de consentir spécifiquement à chaque finalité.

Exemption maintenue pour certains outils d’analyse

A l’instar de la Délibération de 2013, les nouvelles lignes directrices prévoient une exemption à l’obligation de recueillir un consentement pour certains traceurs de mesures d’audience et de statistiques de fréquentation. Afin de bénéficier de l’exemption, les traceurs en question doivent respecter diverses conditions posées par la nouvelle délibération, notamment concernant les finalités du dispositif, le non-recoupement des données collectées, la portée du dispositif (limité à un seul éditeur de site ou d’application mobile) et l’utilisation de l’adresse IP pour géolocaliser l’internaute (interdiction de localiser de façon plus précise que la ville).

Durées de conservation – un changement des recommandations

La nouvelle Délibération diffère de celle de 2013 concernant les durées de conservation. L’ancienne Délibération recommandait que la durée de validité du consentement au dépôt de tous les cookies soit portée à treize mois au maximum (le consentement devant être renouvelé à l'expiration de ce délai). Les nouvelles lignes directrices ne donnent pas de recommandation globale sur la durée de vie des traceurs mais précise que, afin de bénéficier de l’exemption au consentement, les traceurs d’analyse « ne doivent pas avoir une durée de vie excédant 13 mois ». Par ailleurs, les informations collectées via ces dispositifs doivent être conservées pendant 25 mois maximum. Ainsi, les responsables de traitement peuvent s’interroger sur la durée appropriée du consentement qu’ils collectent pour l’utilisation de cookies, sachant que les données personnelles collectées par le biais de ces dispositifs doivent être supprimées après la durée nécessaire pour les finalités poursuivies, en vertu de l’article 5 du RGPD.

Qualification des acteurs

La CNIL reconnaît que différents acteurs peuvent intervenir lors de l’exploitation de cookies et autres traceurs (éditeur d’un site Internet, régie publicitaire …). Dans cette situation, différentes configurations sont possibles en termes de responsabilité au vu du RGPD. Par exemple, un acteur peut être le sous-traitant d’un autre, ou les acteurs peuvent être responsables du traitement conjointes ou indépendantes. La CNIL ne donne pas d’indications spécifiques sur les qualifications qui sont susceptibles de s’appliques dans différents cas de figure, mais rappelle que les acteurs devront respecter les obligations issues du RGPD en termes de mise en place de contrats de sous-traitance ou la définition des obligations des parties en cas de responsabilité conjointe.

Cookies strictement nécessaires – Information mais pas d’opposition

Finalement, la CNIL rappelle que, si l’exigence de consentement ne s’applique pas lorsque les traceurs utilisés sont strictement nécessaires pour la fourniture d’un service en ligne, ou ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique, les personnes concernées doivent néanmoins être informées de leur existence et leur finalité (par exemple via une mention dans une politique de confidentialité). La CNIL indique également que la loi n’impose pas d’offrir la possibilité de s’opposer à l’utilisation de ce type de traceurs.