Une 1ère recommandation sur les cookies avait été prise par la CNIL en 2013 (délibération n°2013-378 du 05.12.2013) mais à la suite de l’entrée en vigueur du RGPD, la CNIL avait adopté de nouvelles lignes directrices, publiées en 2019 (Délibération n° 2019-093 du 4 juillet 2019).

Le 19 juin 2020, le Conseil d’Etat a censuré partiellement ces lignes directrices (CE, 19 juin 2020, n°434684) notamment sur les « cookies wall » obligeant la CNIL à les réviser pour se conformer à sa décision. Elle a donc adopté 2 délibérations le 17 septembre 2020 (n°2020-091 et n°2020-092).

Ces nouvelles règles entrent en vigueur le 1er avril 2021.

PETITE PRECISION : Ces délibérations font partie du « droit souple ». Elles n’ont pas de valeur contraignante, mais apportent de la sécurité juridique aux responsables de traitement en leur indiquant les pratiques respectueuses de la règlementation. Cependant, la CNIL peut considérer que la non-conformité d’un opérateur à ses recommandations constitue un manquement à la règlementation applicable, et le sanctionner à ce titre.

I. FORME DU CONSENTEMENT

  • Un consentement libre et spécifique

Les « cookies wall » : Pour que le consentement soit libre au sens du RGPD, l’internaute doit pouvoir refuser l’opération ou retirer son consentement sans subir de préjudice. C’est cette exigence qui a fait naître un débat autour de la pratique dite des «cookies wall», consistant à empêcher un internaute d’accéder au contenu du service en ligne s’il n’accepte pas la politique de traceurs. Alors que la CNIL, comme le Comité européen de Protection des Données (CEPD), avait prohibé de façon générale et absolue cette pratique, pour atteinte à la liberté du consentement, le Conseil d’Etat a considéré qu’un acte de droit souple ne pouvait pas poser une telle interdiction générale et absolue des « cookies wall ». La nouvelle délibération de la CNIL prend acte de cette décision, et précise que la licéité des « cookies wall » au regard du principe de liberté du consentement devra être appréciée au cas par cas.

Au niveau français, aucune précision n’a été donnée pour l’instant concernant des cas dans lesquels l’utilisation de « cookies wall » pourrait être licite. Toutefois, dans une décision du 30 novembre 2018, l’autorité de protection des données à caractère personnel autrichienne, la Datenschutzgesetz, a admis que le recours à un « cookie wall » par un site d’un journal autrichien est conforme au RGPD en matière de consentement. En l’espèce, le site proposait à ses internautes :

  • Soit de consentir au dépôt de cookies pour obtenir un accès illimité au journal en ligne,
  • Soit de refuser le dépôt de cookies et d’avoir un accès limité au journal,
  • Soit de payer une somme mensuelle de 6 euros afin de bénéficier d’un accès illimité au journal en ligne.

L’interdiction du couplage de finalités. Pour être valable, le consentement doit également pouvoir être donné distinctement et spécifiquement pour chaque opération de traitement des données. Ainsi, le consentement donné via une acceptation globale des conditions d’utilisation n’est pas spécifique, et donc pas valable. Par ailleurs, s’il est possible de proposer à l’internaute un consentement ou un refus global à la politique de cookies (ex. : « Tout accepter » ou « tout refuser »), c’est seulement sous réserve qu’il ait préalablement été informé de l’ensemble des finalités des traceurs, et qu’il puisse accéder facilement à un choix différencié par finalité (ex. : option « Personnaliser mes choix »).

L’insuffisance du paramétrage du navigateur. La CNIL estime qu’à l’heure actuelle, les possibilités de paramétrage des navigateurs et systèmes d’exploitation ne permettent notamment pas de distinguer les traceurs en fonction de leurs finalités. L’internaute ne pouvant donc pas être pleinement informé de ces finalités, son consentement à ce stade ne peut pas être libre et éclairé, et n’est donc pas valable.

  • Un consentement éclairé

L’information de l’internaute. La CNIL rappelle que le RGPD et la Loi LIL exigent un consentement éclairé. Pour cela, certaines informations doivent être données aux internautes, dans des termes simples, clairs et compréhensibles. Cette information doit, à minima, porter sur :

  • L’identité du ou des responsables de traitement des opérations de lecture ou d’écriture ;
  • La finalité des opérations de lecture ou écriture des données.

Pour cette information, la CNIL recommande un intitulé court accompagné d’un bref descriptif, et en donne des exemples en  matière de traceurs pour publicité personnalisée voire géolocalisée, pour des mesures d’audience, pour personnaliser un contenu éditorial, ou encore pour partager les données sur les réseaux sociaux.

  • La manière d’accepter ou de refuser les traceurs ;
  • Les conséquences qui s’attachent à un refus ou une acceptation des traceurs ;

Certains traceurs permettent de suivre la navigation de l’internaute au-delà du site ou de l’application où ils ont été déposés. Afin que l’internaute soit conscient de la portée de son consentement, la CNIL préconise de répéter le recueil du consentement sur chaque site ou application concerné par ce suivi.

  • L’existence du droit de retirer son consentement.

 

  • Un consentement univoque

Une action positive telle que prévue par l’article 4 du RGPD. Le silence ou l’inaction de l’internaute face à la demande d’utilisation de traceurs doit donc désormais être analysée comme un refus de consentement.   

Continuer à naviguer sur la page n’est pas consentir. La CNIL considère que le fait de continuer à naviguer sur la page web ou l’application ne caractérise pas un consentement univoque. Par ailleurs, la CNIL a précisé que lorsque le refus peut être manifesté par la poursuite de la navigation, le message sollicitant le consentement de l’internaute doit disparaître après un court laps de temps. A défaut, l’internaute pourrait être incité à accepter pour améliorer son confort de navigation, ce qui pourrait porter atteinte à la liberté de son consentement.

L’utilisation de cases à cocher. La CNIL préconise l’utilisation de cases à cocher pour accepter ou refuser l’utilisation de traceurs. Ces cases doivent être décochées par défaut, afin que l’internaute doive agir positivement pour exprimer son consentement.

II. L’ABSENCE DE CONSENTEMENT

  • Le refus de consentement

Le refus par défaut. Désormais, la CNIL considère que l’internaute doit pouvoir opter par défaut pour un refus de consentement. En effet, le silence de l’internaute s’interprète comme un refus et les cases à cocher pour consentir doivent être positionnées de sorte à exprimer par défaut un refus de consentement.

L’information de l’internaute. La CNIL recommande d’informer l’internaute du fait que la simple fermeture de la fenêtre de recueil du consentement ainsi que l’absence d’interaction avec celle-ci pendant un certain laps de temps seront analysées comme des refus d’utilisation des traceurs.

La simplicité du refus. Afin d’assurer le caractère libre du consentement de l’internaute, la CNIL précise que son refus doit pouvoir se traduire par une démarche présentant le même degré de simplicité que celle lui permettant de donner son consentement. La CNIL recommande que les deux options soient accessibles sur le même écran, via des boutons présentés au même niveau et dans des formats identiques. Pour évaluer le degré de simplicité du refus, la CNIL comparera notamment le nombre de clics nécessaires pour autoriser et pour refuser l’utilisation des traceurs.

  • Le retrait du consentement

La simplicité du retrait du consentement. Les internautes ayant consenti à l’utilisation de traceurs doivent pouvoir retirer leur consentement à tout moment. La démarche permettant ce retrait doit être du même degré de simplicité que celle permettant de donner son consentement. Comme en matière de refus de consentement, la CNIL précise que la simplicité de cette opération peut être évaluée notamment en fonction du temps passé et du nombre d’actions nécessaires pour effectuer le retrait du consentement.

Les modalités de retrait conseillées. Il est recommandé de mettre à disposition de l’internaute un lien accessible à tout moment depuis le service concerné, avec une dénomination descriptive et simple telle que « gérer mes cookies » ainsi qu’un visuel explicite. Ce lien doit être placé dans une zone attirant l’attention des internautes ou, a minima, une zone dans laquelle ces derniers s’attendent à trouver ce paramétrage. La localisation de ce lien dans le pied de page d’un site web semble, par exemple, à privilégier.

L’information préalable de l’internaute. L’internaute doit être informé de manière simple et intelligible de la possibilité de retirer son consentement. Cette information doit intervenir avant même qu’il ait exprimé son consentement.

  • Les traceurs exemptés de consentement

Les exemptions posées par la Loi Informatique et Libertés (art. 82 de la loi LIL).

Les cas d’exemption dégagés par la CNIL. Au regard des pratiques dont elle a eu connaissance, la CNIL a dressé une liste non-exhaustive des traceurs pouvant être exemptés du consentement de l’internaute. Il s’agit principalement des traceurs dit « techniques », ainsi que certains traceurs de mesure d’audience. Cette liste est la suivante :

  • Les traceurs conservant le choix exprimé par les internautes sur le dépôt de traceurs ;
  • Les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues ;
  • Les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer à l’internaute le ou les produits ou/ou services achetés ;
  • Les traceurs de personnalisation de l’interface internaute (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
  • Les traceurs permettant l’équilibrage de la charge des équipements concourant à un service de communication ;
  • Les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les internautes (quantité prédéfinie et/ou sur une période limitée) ;
  • Certains traceurs de mesure d’audience, sous certaines réserves.

L’information des internautes recommandée. La CNIL recommande, dans un souci de transparence, d’informer les internautes de l’existence et de la finalité de ces traceurs. Cette information peut prendre la forme d’une mention stipulée dans la politique de confidentialité.

Exemption délimitée par la finalité du traceur. La CNIL précise que, lorsqu’un même traceur est utilisé pour plusieurs finalités, dont l’une bénéficie du régime d’exemption, il est nécessaire de recueillir le consentement de l’internaute pour les finalités qui n’entrent pas dans le cadre de ces exemptions. A titre d’exemple, une information stockée à des fins d’authentification d’un internaute sur un service ne pourra pas être également utilisée à des fins publicitaires sans recueillir le consentement de l’internaute.

Les traceurs de mesure d’audience. Cette exemption est strictement limitée aux traceurs ayant pour seule finalité la mesure de l’audience pour le compte exclusif de l’éditeur du service. Ainsi, cette exemption ne concerne pas, notamment, les traceurs permettant le suivi global de la navigation de l’internaute sur plusieurs sites web ou applications. Elle ne permet que de produire des statistiques anonymes, et les données à caractère personnel collectées ne peuvent pas être utilisées pour d’autres traitements ni transmises à des tiers.

III. LES RESPONSABLES DE TRAITEMENT

  • L’identification des différents acteurs du traitement des traceurs

Responsable(s) unique ou multiples. Lorsque l’utilisation de traceurs ne fait intervenir qu’une seule entité celle-ci est pleinement responsable de l’obligation de recueillir le consentement valable de l’internaute. Ainsi, l’éditeur d’un site qui dépose des traceurs pour son compte est responsable de traitement, même s’il sous-traite la gestion de ces traceurs à un tiers.

Identification des responsables de traitement. Afin d’éclairer leur consentement, les internautes doivent être informés de l’identité du ou des responsables de traitement avant de refuser ou de donner leur consentement pour l’utilisation de traceurs. Pour davantage de clarté, ces informations peuvent être données dans un second niveau d’information, notamment via un lien accessible depuis le premier niveau. Le nombre de responsables peut être indiqué dès le premier niveau. La CNIL suggère de mettre en évidence leur rôle en regroupant les responsables de traitement par catégories en fonction de leur activité et de la finalité des traceurs utilisés.

Accessibilité des informations. La CNIL recommande que la liste des responsables de traitement soit aisément accessible à tout moment sur le site ou l’application, via un lien à la dénomination descriptive et simple telle que « liste des sociétés utilisant des traceurs sur notre site/ application ». Ce lien devra être placé dans une zone attirant l’attention des internautes ou, a minima, une zone dans laquelle ces derniers s’attendent à trouver ce paramétrage, par exemple en pied de page.

  • La responsabilité des différents acteurs du traitement des traceurs

Les obligations de l’éditeur. En cas de pluralité de responsables de traitement, il incombe à l’éditeur du service :

  • De s’assurer que ses partenaires n’émettent pas de traceurs qui ne respectent pas la règlementation applicable en France ;
  • D’effectuer toute démarche utile auprès d’eux pour mettre fin à d’éventuels manquements ;
  • De s’assurer de la présence effective d’un mécanisme permettant de recueillir le consentement des internautes ;

Une responsabilité conjointe. L’éditeur et le tiers déposant des traceurs sont réputés être responsables conjoints des traitements visés par l’article 82 de la Loi Informatique et Liberté, dans la mesure où ils déterminent conjointement les finalités et les moyens de ces traitements. Dans ce cas, les responsables de traitement doivent définir de manière transparente leurs obligations respectives afin d’assurer le respect du RGPD, notamment en matière de recueil et de démonstration du consentement valable.

La sous-traitance en matière de traceur. L’acteur qui utilise des traceurs exclusivement pour le compte d’un tiers est sous-traitant. Le responsable de traitement et le sous-traitant doivent alors établir un acte juridique précisant leurs obligations respectives, dans le respect de l’article 28 du RGPD. Le sous-traitant doit aider le responsable de traitement à respecter certaines de ses obligations, notamment quant aux demandes d’exercice des droits des personnes. Il doit également l’informer en cas d’instruction contraire à la règlementation en matière de protection des données à caractère personnel.

  • La preuve du consentement

Preuve incombant aux responsables de traitement. Conformément à l’article 7.1 du RGPD, les responsables de traitement doivent être en mesure de fournir, à tout moment, la preuve du recueil du consentement valable de l’internaute.

Le cas des « cookies tiers ». La CNIL recommande de compléter la clause contractuelle par laquelle l’une des parties s’engage à recueillir un consentement valable pour le compte de l’autre partie par l’ajout de l’obligation de l’organisme qui recueille le consentement de mettre à disposition des autres parties la preuve du recueil du consentement valable de l’internaute.

Les modalités de preuve. La CNIL propose une liste non-exhaustive de pratiques permettant aux responsables de traitement de rapporter la preuve du consentement valable des internautes. Elle prévoit comme modalité de preuve possible :

  • La mise sous séquestre auprès d’un tiers des différentes versions du code informatique utilisé par l’organisme recueillant le consentement, ou plus simplement la publication horodatée sur une plateforme publique d’un condensat de ce code, afin de prouver son authenticité a posteriori ;
  • La conservation, de façon horodatée, d’une capture d’écran du rendu visuel affiché sur un terminal mobile ou fixe, pour chaque version du site ou de l’application ;
  • La mise en œuvre par des tiers mandatés à cette fin d’audits réguliers des mécanismes de recueil du consentement utilisés par les sites ou applications ;
  • La conservation de façon horodatée des informations relatives aux outils mis en œuvre et à leur configurations successives (tels que les « Consent Management Plateform» ou CMP), par les tiers éditant ces solutions.

Maélys SAINGRA

19.03.2021