Cookies et traceurs : ce qu’il faut retenir du projet de recommandation de la CNIL

Depuis la publication par la CNIL, le 4 juillet 2019, des lignes directrices relatives aux cookies et autres traceurs, il a été acté que la simple poursuite de la navigation sur un site internet ne peut plus être considérée comme une expression valide du consentement au dépôt de cookies. Désormais, lorsque les cookies ou traceurs ne sont pas strictement nécessaires au fonctionnement du site en question, ils ne peuvent être déposés sur le terminal d’un utilisateur qu’avec son consentement.

Afin de préciser les modalités pratiques de recueil du consentement, un projet de recommandation est actuellement soumis à consultation publique jusqu’au 25 février 2020. Que faut-il retenir de ce projet ?

Certains traceurs exemptés de consentement

Les traceurs exemptés du recueil du consentement sont ceux dont l’unique finalité est de permettre ou de faciliter la communication par voie électronique ou de fournir un service de communication en ligne. Plus concrètement, sont concernés les traceurs :

  • conservant le choix exprimé par l’utilisateur sur le dépôt de cookies ou sa volonté de ne pas exprimer de choix ;
  • destinés à l’authentification auprès d’un service ;
  • destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ;
  • de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue) lorsque la personnalisation constitue un élément intrinsèque et attendu par l’utilisateur du service ;
  • permettant l’équilibrage de la charge des équipements concourant à un service de communication ;
  • permettant aux sites payants de limiter l’accès gratuit à leur contenu à une quantité prédéfinie et/ou sur une période limitée ;
  • permettant la mesure d’audience, dans le cadre spécifié par l’article 5 des lignes directrices relatives aux cookies et autres traceurs.

Toutefois, si un traceur n’est pas utilisé exclusivement pour l’une des finalités exposées ci-dessus, le traceur concerné perd le bénéfice de l’exemption du consentement.

Quelles informations minimales sont à communiquer aux internautes ?

Avant qu’il ne se voie offrir la possibilité de consentir ou non, l’internaute doit avoir accès à différentes informations. Celles-ci portent sur :

  • La finalité des traceurs

Selon la CNIL, chaque finalité devrait être mise en exergue dans un intitulé court et mis en évidence (publicité personnalisée, affichage de publicité, publicité géolocalisée, personnalisation de contenu, partage sur les réseaux sociaux, mesure d’audience, etc.) et accompagnée de l’explication succincte de sa finalité. Un complément d’information devrait par ailleurs être rendu accessible par le biais d’un lien hypertexte ou d’un bouton de déroulement « En savoir plus ».

  • La liste exhaustive des responsables du ou des traitements

Sont considérés comme responsables de traitement les éditeurs de sites internet ou d’applications mobiles ainsi que les tiers, dès lors qu’ils décident, seuls ou conjointement, de la finalité et des moyens de l’opération de lecture et/ou d’écriture des traceurs. La liste de ces responsables de traitement devrait être régulièrement actualisée.

Au moment du recueil du consentement, les informations spécifiques telles que l’identité et la politique de confidentialité de ces responsables de traitement devraient être facilement accessibles pour l’internaute, grâce à un lien hypertexte ou bouton.

En cas d’ajout non substantiel, il est suffisant que la liste actualisée soit mise à disposition de l’utilisateur via un lien permanent et aisément accessible sur le service. En revanche, en cas d’ajout substantiel, le consentement de l’utilisateur devrait être redemandé avant la poursuite des opérations de lecture et/ou d’écriture d’informations sur l’équipement terminal de l’utilisateur.

  • La portée du consentement

L’utilisateur devrait être informé quant à la portée de son consentement, si celui-ci est également valable pour le suivi de sa navigation sur d’autres sites ou applications que ceux à partir desquels son consentement a été initialement recueilli.

Vers une clarification de la demande du consentement

  • Consentement libre et univoque

L’utilisateur devrait se voir offrir la possibilité d’accepter ou de refuser les cookies avec le même degré de simplicité. Les cases à cocher et interrupteurs décochés ou désactivés par défaut permettraient la uismanifestation d’un acte positif clair de l’utilisateur, qui ne devrait pas subir de préjudice en cas de refus. Ce dernier être enregistré pour une durée au moins identique à celle pour laquelle le consentement a été mémorisé.

Outre le choix entre acceptation et refus, il devrait également être envisageable pour l’utilisateur de ne pas avoir un faire un choix immédiat et de retarder la décision. Dans ce cas, aucun traceur nécessitant le consentement ne devrait être déposé : l’utilisateur pourrait alors être sollicité de nouveau tant qu’il n’exprime pas de choix.

  • Consentement spécifique

L’utilisateur devrait pouvoir consentir spécifiquement pour chaque finalité distincte, l’acceptation globale de conditions générales d’utilisation ou de vente ne permettant pas d’obtenir un consentement spécifique.

Toutefois, afin de faciliter la navigation de l’internaute, il est possible de lui proposer un consentement global à l’ensemble des finalités. Et ce, à 4 conditions : présenter au préalable l’ensemble des finalités, permettre de consentir à chacune d’entre elles, proposer le refus global, indiquer la possibilité de consentir globalement (« tout accepter/tout refuser », « j’autorise/je n’autorise pas », etc.).

Renouveler régulièrement le consentement et simplifier son mode de retrait

Dans la mesure où le consentement pourrait être oublié par les internautes, celui-ci devrait être renouvelé à des intervalles appropriés selon le contexte, la portée du consentement initial et les attentes de l’utilisateur. D’une manière générale, la CNIL estime qu’une durée de validité de 6 mois à partir de l’expression du choix de l’utilisateur est adaptée.

L’utilisateur devrait avoir la possibilité de retirer son consentement à tout moment et par le biais d’un lien accessible sur le service concerné. Sa dénomination devrait être claire et intuitive : « module de gestion des cookies », « gérer mes cookies » ou bien « cookies ».

Une double preuve du consentement

Le responsable de traitement devrait être en mesure de fournir une preuve individuelle du recueil du consentement ainsi qu’une preuve de la validité du mécanisme de recueil du consentement.

La première pourrait s’effectuer au niveau du mécanisme de recueil du consentement, en collectant : l’horodatage du consentement, le contexte dans lequel il a été obtenu, le type de mécanisme de recueil utilisé et les finalités pour lesquelles l’utilisateur a consenti.

Quant à la preuve de la validité du consentement, elle pourrait consister en une mise sous séquestre auprès d’un tiers du code informatique utilisé pour son recueil, d’une capture d’écran de l’affichage et des audits effectués au sujet des mécanismes de recueil employés.

Rédigé en collaboration avec Christèle Deloizy

En savoir plus sur le RGPD

David Luponis

David Luponis

Associé Cybersécurité