La CNIL publie (enfin !) ses lignes directrices et sa recommandation sur les cookies

12 octobre 2020
Corinne Thiérache et Alice Marie

La CNIL a adopté le 17 septembre 2020 deux documents portant sur les cookies, à savoir des lignes directrices (Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019) et une recommandation (Délibération n°2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs »).

Par ces nouvelles délibérations publiées le 1er octobre dernier, la CNIL confirme certains grands principes :

o Concernant le consentement des utilisateurs :

- La simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement,

- Les personnes doivent consentir au dépôt de traceurs par un acte positif clair (cliquer sur « j’accepte » dans une bannière cookie, par exemple). Si elles ne le font pas, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur leur appareil.

o Les utilisateurs doivent être en mesure de retirer leur consentement facilement et à tout moment,

o Refuser les traceurs doit être aussi aisé que de les accepter,

o Concernant l'information des personnes :

- Elles doivent être clairement informées des finalités des traceurs avant de consentir, ainsi que des conséquences qui s’attachent à l’acceptation ou au refus de traceurs,

- Elles doivent également être informées de l’identité de tous les acteurs utilisant des traceurs soumis au consentement.

o Les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.

S’agissant du « cookie wall », qui consiste à bloquer l’accès à un site internet en cas de refus des cookies, la CNIL a prudemment tenu compte de la décision du Conseil d’Etat du 19 juin 2020. Ainsi, sans aller jusqu’à reconnaître une quelconque licéité de principe de cette pratique, la CNIL estime qu’une analyse au cas par cas sera nécessaire.

Certains traceurs sont néanmoins exemptés du recueil du consentement. C’est notamment le cas des traceurs destinés à l’authentification auprès d’un service, ceux destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand, certains traceurs visant à générer des statistiques de fréquentation, ou encore ceux permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs.

En outre, la CNIL formule plusieurs recommandations à destination des acteurs concernés :

• Il faut prévoir deux boutons « tout accepter » et « tout refuser »,

• Les sites internet, qui généralement conservent pendant une certaine durée le consentement aux traceurs, devraient conserver également le refus des internautes pendant une certaine période. A ce titre, la CNIL considère que la conservation du choix (refus ou consentement) pendant une durée de 6 mois constitue une bonne pratique de la part des éditeurs de site internet,

• Lorsque les traceurs permettent un suivi sur d’autres sites, le consentement doit être recueilli sur chacun des sites concernés par ce suivi de navigation.

Le délai laissé aux acteurs concernés pour se mettre en conformité avec les nouvelles règles ne devra pas dépasser 6 mois, soit au plus tard fin mars 2021.

La CNIL tiendra compte des difficultés opérationnelles des acteurs pendant cette période et privilégiera l’accompagnement sur les contrôles. Toutefois, elle se réserve la possibilité de poursuivre certains manquements, notamment en cas d’atteinte particulièrement grave au droit au respect de la vie privée, et continuera de poursuivre les manquements aux règles relatives aux cookies antérieures à l’entrée en vigueur du RGPD (recommandation du 5 décembre 2013).

Pour rappel, cette communication intervient alors que le Règlement e-Privacy, réglementation particulière maintes fois reportée depuis 2016 qui aura pour but d’appliquer les principes issus du RGPD aux communications électroniques, n’a toujours pas été adopté par la Commission européenne.

Les avocats des départements Protection des données personnelles et Droit des technologies et du numérique d’Alerion accompagnent les acteurs économiques qui vont devoir se lancer dans un nouveau chantier pour être en conformité avec le RGPD quant au volet des cookies et autres traceurs.

Corinne Thiérache, Associée et Alice Marie, Juriste.