Par Amanda Dubarry et Marie Torelli
Le 14 janvier dernier, la CNIL a publié son projet de recommandation sur les cookies et autres traceurs, qui modifiera sa recommandation du 5 décembre 2013.
Ce projet fait suite aux lignes directrices du 4 juillet 2019 sur le même sujet et aux recours déposés notamment par la quadrature du net devant le conseil d’Etat sur leurs dispositions transitoires. Celle-ci contestait la décision de la CNIL de laisser aux acteurs une période transitoire pour se mettre en conformité, avant l’adoption d’une recommandation courant de l’été 2020.
Compte tenu des enjeux que présentent les cookies en termes de profilage et de publicité ciblée, les internautes et les associations demandaient depuis longtemps plus de transparence et de contrôle sur le dépôt des cookies.
En ce sens, un sondage IFOP commandé par la CNIL révèle que 65% des personnes interrogées ont déjà accepté des cookies alors qu’elles n’étaient pas d’accord ou n’arrivaient pas à exprimer leur refus.
Les professionnels du marketing, quant à eux, sollicitaient de la CNIL plus de lisibilité sur les lignes directrices publiées cet été et les exigences de l’autorité de contrôle en matière de cookies.
La recommandation a donc avant tout une visée pédagogique. Si elle vient préciser les règles applicables à l’information et au recueil du consentement des utilisateurs, elle est aussi agrémentée de bonnes pratiques et d’exemples à destination des responsables de traitement.
Retour sur les points clés de cette recommandation :
1. Les modalités pratiques de l’information des internautes
Pour que le consentement soit éclairé, l’internaute doit avoir été informé au préalable tant des finalités pour lesquelles les cookies sont déposés sur son terminal que des responsables de traitement à l’origine de ce dépôt.
Dans le respect des prescriptions du RGPD et des lignes directrices publiées par le G29, la CNIL recommande de niveler l’information. Autrement dit, le bandeau cookies ne devra contenir que des informations synthétiques et les responsables de traitement pourront renvoyer l’internaute vers une page contenant plus d’informations.
A ce titre, un lien devra renvoyer vers la liste détaillée des finalités et des responsables du traitement de sorte que la simple mention de « cookies de mesure d’audience » ne suffira plus pour se conformer à son obligation d’information.
Dans une démarche pratique, la CNIL aborde également le cas où le consentement recueilli sur un site serait également valable sur l’application éditée par le même responsable de traitement. Dans cette hypothèse, l’internaute devra être capable d’accéder facilement à la liste de la totalité des sites et des applications pour lesquels il a donné son consentement.
2. La fin du régime dérogatoire du consentement pour les cookies
Comme elle l’avait déjà précisé dans ses lignes directrices, la CNIL confirme que la poursuite de la navigation ne vaudra plus consentement.
En ce sens, la CNIL applique l’article 4 du RGPD au consentement recueilli dans le cadre du dépôt de cookies.
Ainsi, le consentement devra tout d’abord être libre.
L’internaute doit avoir la possibilité de refuser aussi simplement que possible le dépôt de cookies ou d’autres traceurs sur son terminal, auquel cas il ne devra subir aucun préjudice dans sa navigation.
La CNIL précise que le refus doit être enregistré par le responsable de traitement afin que l’internaute ne soit pas sollicité en continu pour accepter le dépôt de cookies.
Sans surprise, lorsque l’internaute n’exprime aucun choix, aucun traceur ne devra être déposé sur son terminal.
Enfin, la CNIL déconseille l’usage de pratiques de design trompeuses qui pourraient laisser penser à l’utilisateur que l’acceptation des cookies est obligatoire pour continuer sa navigation sur le site.
Le consentement doit aussi être spécifique. En ce sens, l’internaute doit avoir la possibilité d’accepter de façon indépendante le dépôt des cookies selon leur finalité.
Toutefois, le consentement peut être donné globalement lorsque sont réunies les conditions suivantes :
- toutes les finalités ont été présentées à l’utilisateur ;
- l’utilisateur a également la possibilité de consentir par finalité ;
- l’utilisateur a également la possibilité de refuser le dépôt de cookies de manière globale.
Le consentement doit enfin être univoque, ce qui signifie qu’il doit être donné par des mécanismes clairs et aisément compréhensibles. La CNIL rappelle donc que sont prohibées les pratiques visant à tromper l’utilisateur sur ce à quoi il consent et encourage l’utilisation des cases à cocher.
3. Un droit effectif au retrait du consentement
Avant même de donner leur consentement, les internautes devront être informés de la manière dont ils peuvent le retirer ainsi que de la durée de sa validité.
La CNIL encourage ainsi les responsables de traitement à mettre à la disposition des utilisateurs un lien, accessible à tout moment, leur permettant de retirer leur consentement soit de manière globale, soit par finalité.
4. Les exigences de la preuve du consentement
La CNIL rappelle aux responsables de traitement qu’ils doivent être en mesure d’apporter la preuve que les utilisateurs ont consenti au dépôt de cookies. Cette preuve doit être individuelle et horodatée.
Les responsables de traitement doivent aussi être capables de fournir tout élément susceptible de prouver que le consentement a été obtenu dans les conditions établies par la recommandation.
Cette recommandation n’est pas encore définitive. La CNIL a en effet lancé une consultation publique qui prendra fin le 25 février 2020.
Si l’on peut légitimement douter que des modifications substantielles soient apportées au projet sur le fond, la CNIL pourrait néanmoins préciser certains points pour apporter des solutions plus pratiques et opérationnelles aux responsables de traitement.
***
Vous souhaitez en savoir plus sur la mise en conformité RGPD ? Le Cabinet HAAS Avocats est à votre disposition pour vous accompagner. Pour nous contacter, cliquez-ici.