Par Gérard Haas, Ambre Bernat et Aurelie Puig
Depuis l’entrée en application du règlement général sur la protection des données (RGPD), le ciblage publicitaire a été au cœur de nombreuses plaintes déposées notamment auprès de la CNIL. Au cœur de cette question du ciblage publicitaire se cache la problématique des cookies…
Vous trouverez ci-dessous nos fiches pratiques pour vous accompagner dans votre politique de gestion de cookies, vous informer sur vos droits et sur vos obligations et sur la manière dont les internautes doivent être informés.
1. Les cookies, le RGPD et la CNIL
Véritable cheval de bataille de la CNIL ces derniers mois, elle proposait une consultation publique sur un projet de recommandation concernant des modalités pratiques de recueil du consentement de l’internaute pour les opérateurs utilisant des traceurs. Cela devait donner lieu à une version définitive qui devait être présentée courant avril 2020. Dans le contexte de la pandémie du Covid-19, la publication des recommandations définitives a été reportée à une date ultérieure « qui sera fixée en fonction de l’évolution de la situation ».
Dans ses lignes directrices sur le consentement du 4 mai 2020, le Comité européen de la protection des données (CEPD), regroupement de toutes les autorités de régulation des États membres de l’Union, apporte des précisions visant à unifier au sein de l’Union les pratiques en matière de dépôt de cookies. Notamment sur deux aspects :
- La validité du consentement en présence d’un « mur de cookies »,
- La validité du consentement lors de la poursuite de la navigation.
Le CEPD a apporté des précisions sur les cookies :
L’article 7.4 du RGPD précise que conditionner la fourniture d’un service à une collecte de données non indispensable à celle-ci fait obstacle au recueil d’un consentement libre. Ainsi, la consultation du site ne peut pas être « bloquée » en cas de refus de dépôt de cookies.
Le Comité européen de la protection des données le confirme dans ses lignes directrices du 4 mai 2020 : « Pour que le consentement soit donné librement, l’accès aux services et fonctionnalités ne doit pas être conditionné au consentement de l’utilisateur au dépôt de traceurs, ou à l’accès à des traceurs déjà enregistrés, dans le terminal de l’utilisateur » : il interdit donc les « murs de cookies » qui bloquent l’accès à un site sauf consentement global de l’internaute.
2. Qu’est-ce qu’un cookie ou « le stockage d'informations sur l'équipement d'un utilisateur » ?
Sont concernés les traceurs déposés et lus, par exemple lors de la consultation d'un site internet, de la lecture d'un courrier électronique, de l'installation ou de l'utilisation d'un logiciel ou d'une application mobile et ce, quel que soit le type de terminal utilisé tels qu'un ordinateur, un Smartphone, une liseuse numérique et une console de jeux vidéos connectée à Internet.
3. Qui est concerné par le respect de la réglementation sur les cookiees ?
Les éditeurs de sites, de système d'exploitation, et d'applications, les régies publicitaires, les réseaux sociaux, les éditeurs de solutions de mesure d'audience.
4. Comment les internautes peuvent-ils exercer un choix éclairé, en toute transparence, pour garder le contrôle sur leurs données personnelles ?
65 % des personnes interrogées donnant leur accord à l’utilisation de leurs données personnelles en ligne admettent ainsi avoir déjà accepté le dépôt d’un traceur sans en être tout à fait d’accord, que ce soit par facilité, ou parce qu’ils ne savaient pas comment refuser.
Il appartient donc aux différents acteurs d’améliorer la manière dont ils informent les internautes de l’exploitation de leurs données :
- sur le fond, en fournissant plus d’informations sur les données collectées, les objectifs poursuivis par une telle collecte et notamment la création de profils à des fins publicitaires, l’identité des sociétés susceptibles de suivre leur navigation, etc. ;
- sur la forme, en délivrant des informations en des termes simples et compréhensibles pour tous, visuellement claire et transparente.
Les bannières actuelles doivent être améliorées pour permettre d’accepter ou de refuser le dépôt de cookies, facilement et sans que la navigation en soit affectée.
Enfin, ces interfaces ne doivent pas utiliser de pratiques de design potentiellement trompeuses en utilisant une « grammaire visuelle » qui pourrait laisser penser que votre consentement est obligatoire pour continuer la navigation ou qui met visuellement plus en valeur la possibilité d’accepter que celle de refuser.
5. Les modalités pratiques de l’information des internautes
6. Les durées de vie des cookies
Dans sa nouvelle délibération de 2020, la CNIL ne donne aucune indication quant à la durée de vie d’un cookie.
Dans sa délibération émise en 2013, elle recommandait que le délai de validité du consentement au dépôt des Cookies soit de 13 mois au maximum. À l'expiration de ce délai, le consentement devait être à nouveau recueilli.
***
Le Cabinet HAAS Avocats est à votre disposition pour vous accompagner sur votre mise en conformité avec le RGPD, notamment sur les questions relatives aux cookies. Pour nous contacter, cliquez-ici.
