Les cookies et autres traceurs font l’objet d’une règlementation au niveau européen depuis 2009 avec la directive dite " ePrivacy " qui a été transposée en France dans la loi Informatique et Libertés. Selon ces textes, le dépôt de cookies ou autres traceurs ou l’accès aux informations stockées par les cookies et autres traceurs déposés sur le terminal d’un utilisateur, nécessitent (i) une information claire et complète de l’utilisateur sur la finalité des cookies et sur les moyens de s’y opposer (ii) et son consentement préalable.
Seule exception : les cookies techniques ou qui sont strictement nécessaires pour la fourniture d’un service expressément demandé par l’utilisateur (par exemple les cookies panier d’achat, cookies choix de langue, etc.) sont exemptés de consentement. Aucun autre dépôt de cookies ne peut se faire sans le consentement préalable de l’utilisateur.
Pourquoi de nouvelles lignes directrices ?
La CNIL dans ses précédentes lignes directrices de 2013 faisait prévaloir une interprétation encore relativement souple de la notion de consentement. La procédure consistait en deux étapes :
(1) Tout d’abord un bandeau devait avertir l’utilisateur en cas de dépôt de cookies, lui donner la possibilité de s’y opposer via un lien présent sur le bandeau, et dès lors la poursuite de la navigation valait accord au dépôt des cookies sur son terminal.
(2) Il fallait également prévoir une page spécifique relative aux cookies avec plus d’informations et où l’utilisateur pouvait s’il le souhaitait accepter ou refuser les cookies, catégories de cookies par catégories de cookies.
C’est ce recueil du consentement via la poursuite de la navigation qui n’est plus reconnu comme valide : il faut désormais que l’internaute dise clairement oui ou non, et aucun accord tacite n’est possible. C’est ce que souligne la CNIL dans ses nouvelles lignes directrices à destination de tous les éditeurs de site internet.
Ce changement de pratique de la CNIL résulte d’une part de la nouvelle définition du consentement donné par le RGPD, et d’autre part d’une interprétation plus stricte au niveau européen (groupe européen dit G29 réunissant les autorités européennes de protection des données personnelles, désormais remplacé par le Comité Européen de Protection des Données) concernant cette notion de consentement.
En effet, le RGPD requiert désormais qu’un consentement pour être valide soit libre, spécifique, éclairé et univoque et exprimé par une déclaration ou par un acte positif clair. Le G29 en a conclu que le fait de " faire défiler ou naviguer sur un site Internet ne satisfait pas à l’exigence d’un acte positif clair ". La poursuite de la navigation ne peut plus constituer un consentement valable.
La CNIL à l’instar de l’autorité anglaise de protection des données personnelles (ICO) a donc pris acte dans ses nouvelles lignes directrices de ce durcissement sur la validité du consentement.
Qu’est-ce qui change / Qu’est-ce qui ne change pas dans les nouvelles lignes directrices de la CNIL ?
Nouvelles exigences |
Exigences maintenues |
Exigence d’une action positive de la part de l’utilisateur pour exprimer son consentement : aucun accord tacite n’est possible et la poursuite de sa navigation ne suffit plus |
Obligation de recueillir le consentement avant tout dépôt de cookies |
L’éditeur peut choisir de recueillir un consentement global (même s’il reste tenu de permettre à l’utilisateur de donner son consentement pour chaque finalité de cookies) |
Exception au recueil du consentement pour certaines catégories de cookies |
Obligation de mettre à disposition de l’utilisateur la liste des partenaires ayant recours aux cookies |
Pas de cases d’acceptation pré cochées et pas de consentement via l’acceptation des CGU |
Il ne suffit pas d’offrir à l’utilisateur la possibilité de paramétrer son navigateur pour s’opposer aux cookies |
Obligation d’informer l’utilisateur de chaque finalité et de lui permettre d’accepter ou de refuser, finalité par finalité de cookies |
Règles plus strictes concernant les cookies de mesure d’audience même s’ils sont exemptés du recueil préalable de consentement |
Interdiction de bloquer l’accès au site internet ou à l’application pour les utilisateurs qui ne consentent pas au dépôt de cookies (=interdiction de la pratique dite du " cookie wall ") |
Quand faudra-t-il mettre son site en conformité avec les nouvelles lignes directrices de la CNIL?
Selon le communiqué de presse de la CNIL en date du 28 juin, la CNIL laisse aux éditeurs de sites une période transitoire de 12 mois pour se mettre en conformité. La CNIL précise ensuite dans son communiqué du 18 juillet que cette période d’adaptation s’achèvera 6 mois après la publication de la future recommandation, prévue au premier trimestre 2020 - soit jusqu’à juillet/septembre 2020 -, concernant les modalités pratiques de recueil du consentement.
Pendant cette période, la poursuite de la navigation comme expression du consentement restera donc acceptable. Par prudence, plusieurs sites ont toutefois choisi de se conformer d’ores et déjà aux nouvelles obligations.
Cette période transitoire est contestée par les associations la Quadrature du Net et Caliopen devant le Conseil d’Etat. Ce dernier a rejeté la demande - faite en référé - de suspension de cette décision mais une audience au fond est prévue le 30 septembre 2019.
La CNIL doit par ailleurs, à partir du mois de septembre 2019, rencontrer les différents acteurs du marché afin de discuter de ces modalités pratiques de recueil du consentement, ce qui devrait faire l’objet de cette nouvelle recommandation de la CNIL. Affaire à suivre...
Ariane Mole est avocate associée et Juliette Terrioux est avocate du cabinet Bird & Bird