Blog | 2 octobre 2020

La CNIL publie ses lignes directrices et recommandations sur les cookies et autres traceurs

Featured Image

Le 1er octobre 2020, l’autorité française de protection des données (“CNIL”) a publié ses très attendues lignes directrices modifiées (“les lignes directrices”) et recommandations (“les recommandations”) sur l’utilisation des cookies et autres traceurs. Les parties prenantes disposent désormais d’un délai de six mois pour se conformer aux lignes directrices et aux recommandations. Sonia Cissé et Jean Fau, avocats et associés du cabinet Linklaters LLP, analysent les principaux aspects pratiques des lignes directrices et des recommandations, en se concentrant sur les mises à jour des versions préliminaires, les murs de cookies, les principales considérations de conformité pour les parties prenantes, et les modalités d’application.

Accélérez l’implémentation de votre solution de gestion des consentements aux cookies en suivant les dernières lignes directrices et recommandations de la CNIL dès aujourd’hui avec OneTrust  

La CNIL a mis en avant les principes et recommandations suivantes :

  • La navigation sur le site internet (“Soft opt-in”) ne constitue plus l’expression d’un consentement valide, et le dépôt des cookies autres que strictement nécessaires au fonctionnement du service sont conditionnés à un acte positif clair de la part du visiteur,
  • Un bouton “Tout refuser” est recommandé, dès le premier niveau d’information,
  • Les finalités doivent être présentées clairement dès le premier niveau d’information,
  • Les visiteurs doivent bénéficier d’un mécanisme qui leur permet de mettre à jour leurs préférences et de retirer leur consentement à tout moment, en utilisant par exemple un bouton statique permettant d’accéder aux paramètres des cookies,
  • Les visiteurs devraient avoir accès à une liste à jour et structurée des acteurs utilisant les traceurs,
  • Les organisations, y compris leurs acteurs tiers, doivent pouvoir justifier à tout moment des preuves de la validité des consentements recueillis pour utiliser les traceurs,
  • Certains traceurs, notamment les cookies d’authentification, de statistiques de fréquentation ou de limitation de la présentation à du contenu gratuit, ne sont pas soumis au consentement.

Comme prévu, certains traceurs à fonction purement technique restent exemptés de l’obligation de consentement, tels que les traceurs utilisés pour l’authentification à un service, pour stocker le contenu d’un panier d’achat sur un site marchand ou pour permettre à des sites payants de limiter le libre accès à un échantillon de contenu demandé par les utilisateurs. Il en va de même, dans certaines circonstances, pour les cookies d’analyse de trafic.

En particulier, les nouvelles versions des lignes directrices et des recommandations ne mentionnent pas l’utilisation d’intérêts légitimes comme base juridique et restent donc conformes à l’évolution du projet de règlement ePrivacy remanié et attendu depuis longtemps.

En effet, le projet de règlement ePrivacy de la présidence croate a introduit l’idée de la possibilité de traiter les métadonnées et les cookies des communications électroniques lorsque cela est nécessaire pour des intérêts légitimes dans certaines circonstances (ce qui a suscité des réactions assez mitigées de la part des États membres). Toutefois, la présidence allemande du Conseil de l’UE (qui a succédé à la présidence croate) a supprimé toute mention de ce type d’intérêts légitimes dans le dernier projet.

Par conséquent, pour la CNIL (et comme pour l’instant selon le projet de règlement ePrivacy), pour déposer des cookies sur le terminal d’un utilisateur, la règle reste le consentement (au sens du règlement général sur la protection des données [règlement (UE) 2016/679] (“GDPR”)), l’exemption ou rien.

Qu’en est-il des ” murs de cookies ” ?

Il convient de rappeler que, le 19 juin 2020, le Conseil d’État français a décidé que la CNIL ne pouvait pas légalement interdire dans ses lignes directrices, en règle générale, la pratique des “murs de cookies” (qui consiste, en résumé, à bloquer l’accès à un site web où les cookies sont refusés).

Sans modifier la position initiale de la CNIL, la nouvelle version des lignes directrices adopte simplement un langage plus prudent. La CNIL explique notamment qu’elle considère que le fait de soumettre la prestation d’un service ou l’accès à un site web à l’acceptation d’opérations de saisie ou de lecture sur le terminal de l’utilisateur est susceptible (soulignement ajouté) de porter atteinte, dans certains cas, à la liberté de consentement.

Lorsqu’un “mur de cookies” est mis en place, et sous réserve de la légalité de cette pratique, qui doit être évaluée au cas par cas, les informations fournies aux utilisateurs doivent clairement indiquer les conséquences de leurs choix et, en particulier, l’impossibilité d’accéder au contenu ou au service en l’absence de consentement.

Il est intéressant de noter que l’approche de la CNIL est relativement plus stricte que celle qui est actuellement préconisée par la dernière version du projet de règlement ePrivacy de la présidence allemande du Conseil de l’UE. En effet, même si le projet actuel reconnaît que, dans certains cas, “subordonner l’accès au contenu d’un site web au consentement de l’utilisateur à l’utilisation de tels cookies peut être considéré, en présence d’un déséquilibre manifeste entre l’utilisateur final et le fournisseur de services, comme privant l’utilisateur final d’un véritable choix”, il indique également que subordonner l’accès au contenu d’un site web fourni sans paiement direct en espèces « au consentement de l’utilisateur final au stockage et à la lecture de cookies à des fins supplémentaires ne serait normalement pas considéré comme privant l’utilisateur final d’un véritable choix s’il est en mesure de choisir entre les services, sur la base d’informations claires, précises et simples à utiliser sur les finalités des cookies et des autres techniques, entre une offre qui comprend le consentement à l’utilisation de cookies à des fins supplémentaires, d’une part, et une offre équivalente du même ou d’un autre fournisseur qui n’implique pas le consentement à l’utilisation de données à des fins supplémentaires, d’autre part. »

Si le règlement ePrivacy sort enfin des incertitudes de sa rédaction et de son remaniement, il sera intéressant de voir s’il ajoute sa propre couche de complexité à ce sujet déjà brûlant.

Recommandations pratiques

En plus des lignes directrices, la CNIL a publié son ensemble finalisé de recommandations pratiques relatives à l’utilisation des cookies et à la mise en œuvre de ses lignes directrices.

Avant toute chose, il convient de noter qu’elle recommande toujours que l’interface de collecte de consentement comprenne non seulement un bouton ” Tout accepter ” mais aussi un bouton ” Tout refuser “.

Elle suggère également que les sites web, qui conservent généralement le consentement aux traceurs pendant un certain temps, conservent également de la même manière le refus des utilisateurs, afin de ne pas réinterroger les utilisateurs à chacune de leurs visites. L’utilisation d’un cookie pour mémoriser ce choix est logiquement dispensée de l’obligation de consentement.

Par ailleurs, la CNIL recommande que, lorsque les traceurs permettent le suivi de sites Internet autres que celui visité, le consentement soit recueilli sur chacun des sites Internet concernés par ce suivi.

Un ajout intéressant concerne les “cookies tiers” (c’est-à-dire les cookies déposés sur un site web par un tiers, par exemple lors de l’utilisation de plugins tiers). La CNIL explique qu’elle considère que lorsqu’une partie ne collecte pas elle-même le consentement, son obligation ne peut être remplie par la seule existence d’une clause contractuelle engageant l’une des parties à collecter un consentement valable au nom de l’autre partie, car elle ne permet pas de garantir, en toutes circonstances, l’existence d’un consentement valable. A cet égard, la CNIL recommande qu’une telle clause soit complétée par une garantie que l’entité chargée de recueillir le consentement doit également fournir la preuve de l’obtention d’un consentement valable des utilisateurs.

Contrôles, sanctions et période de grâce

La CNIL invite toutes les parties prenantes à s’assurer que leurs pratiques sont conformes aux exigences du RGPD et de la directive (actuelle) sur la vie privée et les communications électroniques (2002/58/CE) (telle que modifiée) (directove ePrivacy) et, bien sûr, à ses lignes directrices et recommandations.

Comme indiqué ci-dessus, le délai de mise en conformité avec les nouvelles règles ne devrait pas dépasser six mois, c’est-à-dire fin mars 2021 au plus tard. Bien que la CNIL accorde la priorité au soutien et à l’assistance pendant cette période et tienne compte des difficultés opérationnelles que les opérateurs peuvent rencontrer, elle se réserve toujours le droit de sanctionner certains manquements, et notamment les plus graves. Bien entendu, la CNIL continuera également à sanctionner les violations des règles sur les cookies existant avant l’entrée en vigueur du RGPD.

Il est désormais clair que, les lignes directrices et recommandations étant désormais finalisées, les parties prenantes devraient, dès que possible, commencer à mettre en œuvre ces exigences si elles ne veulent pas être sanctionnées.

Sonia Cissé – Counsel

[email protected]

Jean Fau – Associate

[email protected]

Linklaters LLP

SOURCE : OneTrust DataGuidance

Accélérez l’implémentation de votre solution de gestion des consentements aux cookies en suivant les dernières lignes directrices et recommandations de la CNIL dès aujourd’hui avec OneTrust  

Suggestions de ressources

Resource Featured Image
Blog

Guide ultime de la réglementation ESG du CSRD de l’UE pour les entreprises
Resource Featured Image
Blog

Ce que les nouvelles exigences de Google CMP signifient pour votre entreprise
Resource Featured Image
Livre blanc

Trust report : l’impact de l’intelligence artificielle et de la confiance dès la conception
Resource Featured Image
Replay

Transferts de données hors UE
Onetrust All Rights Reserved