Actualités juridiques et digitales

Cookies et consentement : la position de la CNIL validée

Rédigé par Gérard HAAS | Jan 23, 2020 5:03:22 PM

Par Gérard Haas et Anna Tchavtchavadzé

Les cookies et autres traceurs présents sur la plupart des sites web font désormais partie du quotidien de tout internaute qui navigue sur Internet. Bien que la plupart des utilisateurs ne fasse pas attention aux bandeaux d’information, ces « traceurs de connexion » peuvent avoir un impact sur nos données personnelles et notre vie privée.

La Commission nationale de l’informatique et des libertés (CNIL) définit les cookies comme « l’ensemble des traceurs déposés et/ou lus lors de la consultation d’un site internet, la lecture d’un courrier électronique, l’installation ou l’utilisation d’un logiciel ou d’une application mobile quel que soit le terminal utilisé ».

Il s’agit de « témoins de connexions » qui permettent d’analyser le comportement des internautes à des fins statistiques, d’identification d’utilisateurs ou de ciblage publicitaire, par exemple. En effet, les cookies recueillent des informations à l’occasion de la consultation par l’utilisateur d’un site internet.

C’est pourquoi, au niveau européen ainsi qu’au niveau national les institutions tentent d’encadrer juridiquement leur utilisation.

1. Au niveau européen

Une directive européenne de 2009[1] a imposé aux états membres de garantir que le dépôt de cookies soit effectué avec accord préalable des internautes. Ce texte renvoie notamment à la directive de 1995[2] qui pose les conditions de validité du consentement. En effet, selon la directive de 1995 et surtout selon le règlement général sur la protection des données dit « RGPD »[3], le consentement se définit comme « une manifestation de volonté libre, spécifique, éclairée et univoque ». Ainsi, l’accord de la personne concernée doit se manifester à travers une « déclaration » ou un « acte positif clair ».

En ce qui concerne la réglementation sur les cookies, la Cour de justice de l’Union européenne (CJUE) a rendu une décision, en date du 1er octobre 2019, à l’occasion de laquelle elle répond à plusieurs questions.

Dans sa décision, la CJUE a relevé que le mécanisme de la case à cocher par défaut ne valait pas consentement. En effet, selon la Cour il ne s’agit pas d’une manifestation positive de la volonté.

Par ailleurs, la Cour se justifie en considérant qu’avec une telle pratique l’internaute pourrait ne pas avoir lu la mention accompagnant la case pré-cochée ou même aurait pu ne pas avoir remarqué la case.

Ainsi, la CJUE insiste sur la définition du consentement, conformément aux textes sur la protection des données personnelles.

2. Au niveau national

En droit français, la loi Informatique et libertés de 1978[4] prévoyait également en son article 82 que le dépôt d’informations dans le terminal de communications électroniques d’un utilisateur ou l’accès à des informations déjà stockées n’est possible qu’en cas de consentement préalable de la personne concernée.

La CNIL a rendu une délibération en 2013[5] qui validait l’obtention du consentement au dépôt de cookies et autres traceurs par la simple poursuite de la navigation sur un site internet.

Entre temps, le RGPD est venu renforcer les exigences en matière de validité du consentement.

Depuis, la CNIL a rendu une nouvelle délibération[6], en date du 4 juillet 2019, à l’occasion de laquelle elle définit les lignes directrices sur les cookies et autres traceurs. Ces lignes directrices abrogent la délibération que la Commission avait rendu en 2013 qui n’était pas compatible avec les nouvelles dispositions du RGPD.

Ces nouvelles lignes directrices constituent « le socle du plan d’action de la CNIL » :

  • Publication de nouvelles lignes directrices en juillet 2019 ;
  • Elaboration d’une nouvelle recommandation proposant des modalités opérationnelles de recueil du consentement début 2020.

Dans le cadre de la mise en application de ces lignes directrices, la CNIL laisse aux opérateurs une période transitoire de 12 mois pour se conformer à ces nouvelles exigences.

Ainsi, jusqu’en octobre 2020, poursuivre la navigation sur un site web constitue un consentement valable pour la CNIL.

En réaction à ce communiqué, deux associations de protection des données à caractère personnel ont formé un recours auprès du Conseil d’Etat.

Cette requête a, toutefois, été rejetée par le Conseil d’Etat, dans un arrêt du 16 octobre 2019, au motif que la fixation d’un délai d’adaptation permet à la CNIL « d’accompagner les acteurs concernés, confrontés à la nécessité de définir de nouvelles modalités pratiques de recueil du consentement susceptibles d’apporter, sur le plan technique, les garanties qu’exige l’état du droit en vigueur, dans la réalisation de l’objectif d’une complète mise en conformité de l’ensemble des acteurs à l’horizon de l’été 2020 ».

Par ailleurs, le Conseil ajoute qu’une telle mesure n’empêche en rien la CNIL de continuer à instruire les plaintes et à les contrôler.

3. Et après ? 

Aujourd’hui, un projet de recommandation « cookies et autres traceurs » de la CNIL est soumis à consultation publique jusqu’au 25 février, en vue de la préparation de la version définitive.

Ce projet vise à formuler des recommandations pratiques sur la manière de traduire opérationnellement les exigences posées par les textes.

A cette occasion, la CNIL a demandé à l’Institut Français d’Opinion Publique (IFOP) de réaliser une étude auprès de 1 005 personnes dont 95% d’entre elles savent ce que sont les cookies.

Les personnes interrogées expriment un besoin de transparence et de contrôle. En effet, elles souhaitent avoir plus d’informations sur l’utilisation de leurs données de navigation. Il ressort notamment que 65% des personnes interrogées pensent que les demandes d’autorisation de dépôt de cookies sont inefficaces pour protéger leur vie privée.

Suite à cette consultation publique, la CNIL se réunira en séance plénière pour adoption définitive du texte.

***

Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans différents domaines du droit, notamment en matière de protection des données personnelles. N’hésitez pas à faire appel à nos experts pour vous conseiller. Contactez-nous ici

 

[1] Directive 2009/136/CE du 25 novembre 2009

[2] Directive 95/46/CE du 24 octobre 1995 relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données

[3] Règlement (UE) 2016/679 du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personne et à la libre circulation de ces données

[4] Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

[5] Délibération n°2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs

[6] Délibération n°2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978