La CNIL adopte ses lignes directrices définitives sur les cookies

Written on 9 Oct 2020

Le 17 septembre 2020, la Commission Nationale de l'Informatique et des Libertés (la « CNIL ») a adopté la version finale de ses lignes directrices sur les cookies et autres traceurs. Ces lignes directrices ont été adaptées pour tenir compte des contributions de la consultation publique lancée en janvier 2020 et de la récente décision du Conseil d'État du 19 juin 2020 portant sur la précédente version de ces lignes directrices de la CNIL. Ces lignes directrices actualisées sont accompagnées de recommandations pratiques ajustées. Bien que les recommandations n’aient pas force obligatoire en tant que telles, elles constituent un guide pratique destiné à accompagner les acteurs du numérique utilisant des traceurs quant aux modalités concrètes de collecte du consentement des internautes.

Contexte

En 2013, la CNIL a adopté une première recommandation pour accompagner les acteurs du numérique dans la transposition en droit français de l'article 5(3) de l'actuelle directive « vie privée et communications électroniques » (ou « ePrivacy ») (directive. 2002/58/CE du 12 juillet 2002) relatif aux opérations de lecture et/ou d'écriture d'informations sur un équipement terminal via des cookies ou d’autres traceurs.

Avec l'entrée en vigueur du règlement général sur la protection des données (RGDP) renforçant les exigences relatives à la validité du consentement (qui doit être exprès, spécifique, éclairé, etc.), la CNIL a ensuite adopté le 4 juillet 2019 de nouvelles lignes directrices sur les cookies et autres traceurs. Toujours dans le cadre de son plan d'action sur le ciblage publicitaire, et comme annoncé dans son communiqué de presse du 28 juin 2019, la CNIL a mené une consultation publique à l'automne 2019. Cette consultation a permis à la CNIL d'élaborer un projet de recommandation proposant des modalités opérationnelles et des exemples pratiques. Par la suite, la CNIL a publié un premier projet de recommandation concernant l'expression valable du consentement à l'utilisation de cookies.

L'évolution des règles applicables, précisées par ces lignes directrices et cette recommandation, marque un tournant tant pour le secteur de la publicité en ligne que pour les internautes, qui pourront désormais exercer un contrôle accru sur les traceurs en ligne.

Rappel des règles réaffirmées par la CNIL

En septembre 2020, les lignes directrices de la CNIL ont réaffirmé quelques changements majeurs du cadre juridique applicable :
• L'information doit être transparente, claire et synthétique ;
• La poursuite de la navigation n'est plus considérée comme une expression valable du consentement à l'utilisation de cookies. Le consentement des internautes doit être libre, spécifique, éclairé, univoque et exprimé par le biais d’une déclaration ou d’un acte positif clair (comme une case à cocher ou un bouton à activer) ;
• le consentement doit pouvoir être aisément donné et retiré ; et
• Les opérateurs qui utilisent des traceurs doivent être en mesure de prouver à tout moment qu'ils ont obtenu valablement le consentement des internautes. Ils doivent également informer les personnes de l'identité de tous les acteurs utilisant des traceurs soumis à leur consentement.

Quels sont les principaux apports des nouvelles lignes directrices et recommandations ?

La CNIL recommande que le système de collecte de consentement comprenne non seulement un bouton « tout accepter » mais aussi un bouton « tout refuser » pour faciliter le refus ; le consentement devant être donné finalité par finalité.

La CNIL opère également une distinction claire entre les différentes durées de conservation :
• la durée de conservation des informations recueillies par le biais de cookies techniques (25 mois) ;
• la durée de validité des cookies dispensés de consentement (13 mois) ; et
• la durée de validité du consentement pour les cookies nécessitant un consentement. Il est intéressant de relever que la CNIL considère pour les cookies nécessitant un consentement préalable qu’il sera conservé pour une durée « appréciée au cas par cas, au regard de la nature du site ou de l’application concernée et des spécificités de son audience » et qu'une durée de six (6) mois constitue une pratique adéquate.

Par ailleurs, la CNIL a assoupli sa position sur les « cookies walls », qui consistent à bloquer l'accès au site web en l'absence de choix de l'utilisateur sur les cookies. En effet, ceux-ci faisaient l’objet d’une interdiction pure et simple dans la version précédente de la recommandation. La CNIL indique à présent qu'ils peuvent porter atteinte à un consentement libre, dans certaines situations. Si un « cookies walls » est mis en place, sa licéité doit être évaluée au cas par cas et les informations fournies à l'utilisateur doivent clairement indiquer les conséquences de ses choix et notamment l'impossibilité d'accéder au contenu ou au service en l’absence de consentement.

Ceci doit être considéré à la lumière des lignes directrices du Comité Européen de la Protection des Données sur le consentement (lignes directrices 05/2020 sur le consentement en vertu du Règlement 2016/679 « RGPD ») qui interdit cette pratique. La CNIL a dû assouplir sa position suite à la décision du Conseil d'Etat précédemment citée. En effet, le Conseil d’Etat a jugé que la CNIL a outrepassé ses compétences en cherchant à imposer une telle interdiction générale et inconditionnelle sans toutefois se prononcer sur le bien-fondé d’une telle interdiction. Néanmoins, il est probable que ce changement n’aura que peu ou pas d'impact pratique, l’analyse se faisant au cas par cas.

Par ailleurs, afin de s'assurer que l'utilisateur est pleinement conscient de la portée de son consentement, la CNIL recommande, lorsqu'un traceur permet le suivi sur des sites autres que celui visité par l'utilisateur, que son consentement soit recueilli sur chacun des sites concernés par ce suivi et que les partenaires et sociétés tierces soient bien identifiés.

Quelles sont les sanctions et quel est le calendrier ?

Les entreprises ont désormais jusqu'à la fin du mois de mars 2021 pour se mettre en conformité. Cela signifie que les sites web ne disposant pas d'une plateforme de gestion des consentements (« CMP ») efficace devront en mettre une en place dans les six prochains mois. Pour ce faire, ils pourront s’aider du Transparency and Consent Framework (« TCF ») de l’IAB, fournissant des outils pour assurer la conformité et une liste de CMP certifiées.

Si la CNIL prendra en compte les difficultés opérationnelles des opérateurs tout au long de cette période pendant laquelle elle privilégiera l’accompagnement aux contrôles, elle a toutefois rappelé qu'elle conserve la possibilité, conformément à la jurisprudence du Conseil d'Etat, de sanctionner certains manquements notamment en cas d'atteinte grave au droit à la vie privée (Conseil d'Etat, 16 oct. 2019, n° 433069).