Par Jean Philippe SOUYRIS et Anne Charlotte ANDRIEUX
Dans le cadre de son plan d’action sur le ciblage publicitaire initié en 2019 avec des premières lignes directrices cookies et traceurs , la CNIL actualise son cadre de référence pour tirer les conséquences de la consultation publique lancée en janvier 2020 et de la décision rendue le 19 juin 2020 par le Conseil d’Etat[1].
Cette recommandation, qui devait sortir mi 2020 mais a été retardée en raison de la crise sanitaire, déclenche le compte à rebours pour le secteur de la publicité numérique, qui a six mois pour se mettre en conformité.
La Commission a publié ce jeudi des lignes directrices et une recommandation modificatives apportant de nouvelles précisions quant aux modalités de recueil du consentement des internautes.
Si la CNIL confirme les grands principes énoncés au sein des lignes directrices publiées en juillet 2019, elle revient notamment sur la liberté du consentement et la pratique dite des cookies-walls dont l’interdiction avait été infirmée par le Conseil d’Etat.
1. Liberté du consentement : une appréciation des « cookies-walls » au cas par cas
En juin dernier, le Conseil d’Etat considérait que la CNIL ne pouvait pas interdire de façon générale et absolue les cookie-walls, pratique consistant à bloquer l’accès à un site internet en cas de refus des cookies. La CNIL a modifié son positionnement en conséquence.
La Commission en déduit que la licéité des cookies-walls devra être appréciée au cas par cas. Une vigilance forte et un regard critique de sa part sur cette pratique peuvent être supposés dans la mesure où le CEPD la considère comme non conforme au RGPD
Le Comité considère en effet que, dans une telle hypothèse, les utilisateurs ne sont pas en mesure de refuser le recours à des traceurs sans subir des conséquences négatives (en l'occurrence l'impossibilité d'accéder au site consulté).
2. Liberté de choix : accepter ou refuser facilement
Conformément à la décision rendue par le Conseil d’Etat, il doit être aussi facile d’accepter que de refuser les cookies.
Dans sa recommandation pratique, la CNIL préconise que les utilisateurs aient le choix, lors du premier niveau d’information, entre deux boutons présentés au même niveau et sur le même format, sur lesquels sont inscrits respectivement « tout accepter » et « tout refuser », « autoriser » et « interdire », ou « consentir » et « ne pas consentir », ou toute autre formulation équivalente et suffisamment claire.
A cet égard, la CNIL laisse plus de liberté sur la forme de ce premier niveau d’information. En 2013[2], la recommandation préconisait l’apparition d’un bandeau ne devant pas disparaître tant que la personne n'a pas poursuivi sa navigation.
La Commission recommande désormais que, lorsque le refus peut être manifesté par la poursuite de la navigation, le message sollicitant le consentement (fenêtre ou bandeau) disparaisse au bout d’un laps de temps court, afin de ne pas gêner l’utilisation du site ou de l’application. Sans quoi le confort de navigation de l’utilisateur serait conditionné à l’expression de son consentement au traceur.
3. Une présentation intelligible des finalités des traceurs
A l’instar des précédentes recommandations, la CNIL rappelle que l’internaute doit recevoir une information claire et synthétique sur les finalités des cookies préalablement à l’acceptation ou au refus. Elle fournit cette fois-ci des exemples de formulations concrètes.
Pour les traceurs utilisés à des fins de publicité personnalisée, la Commission propose la formulation suivante :
« Publicité personnalisée : [nom du site / de l’application] [et des sociétés tierces / nos partenaires] utilise / utilisent des traceurs afin d’afficher de la publicité personnalisée en fonction de votre navigation et de votre profil ».
En outre, il est recommandé de faire figurer une description plus détaillée de ces finalités, en complément de la liste des finalités présentées sur le premier écran, de manière aisément accessible depuis l’interface de recueil du consentement.
4. Un mécanisme de retrait du consentement aisément identifiable
Comme précisé en 2019, la CNIL confirme que les utilisateurs ayant donné leur consentement à l’utilisation de traceurs doivent être en mesure de le retirer à tout moment et avec le même degré de simplicité. Pour ce faire, les utilisateurs doivent être informés des solutions mises à leur disposition pour le retirer avant même de donner leur consentement.
En pratique, la Commission propose l’insertion d’une icône « gérer mes cookies » la plus explicite possible dans une zone de la page qui attire l’attention.
5. Des précisions sur les cookies traceurs exemptés du recueil du consentement
Certains traceurs sont par leur nature exemptés de l’obligation de recueil du consentement de l’internaute. Il s'agit :
- des traceurs strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l'utilisateur
- des traceurs qui visent à permettre ou faciliter la transmission de la communication par voie électronique
La Commission fournit des illustrations supplémentaires, à savoir :
- Les traceurs destinés à l’authentification auprès d’un service
- Les traceurs de préférence linguistique
- Les traceurs destinés à mémoriser le contenu d’un panier d’achat sur un site e-commerce
- Les traceurs visant à générer des statistiques de fréquentation
- Les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs.
Il n’en demeure pas moins que les utilisateurs devront être informés de la mise en œuvre de ces traceurs dans la politique de confidentialité du site. La durée de vie des traceurs devra également être limitée à une durée de treize mois et les informations collectées par leur intermédiaire conservées pour une durée maximale de vingt-cinq mois.
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans leur démarche de conformité au RGPD. Que ce soit en appui du DPO ou en qualité de DPO externalisé le Cabinet HAAS Avocats réalise ainsi tout type de mission en lien avec la protection de la vie privée avec deux départements spécialisés sur ces questions : le département Protection des données et le département cyber sécurité. Contactez-nous ici
[1] CE, 19 juin 2020, n° 434684, T
[2] Délibération n° 2013-378 du 5 décembre 2013 portant adoption d'une recommandation relative aux cookies et aux autres traceurs visés par l'article 32-II de la loi du 6 janvier 1978