Cookies : quelle est la dernière recette magique selon la CNIL ?

16/12/2019

L’article 82 de la Loi « Informatique et Libertés » modifiée est venu transposer en droit français la directive 2002/58/CE appelée plus communément « ePrivacy ». Cet article prévoit notamment l’obligation, sauf exception (ex. : cookies d’authentification, etc.), de recueillir le consentement des utilisateurs avant toute opération d’écriture ou de lecture de cookies et autres traceurs. La CNIL avait adopté, en 2013, une recommandation pour guider les opérateurs dans l’application de cet article. Cependant, depuis l’entrée en vigueur du RGPD, celle-ci n’était incontestablement plus à jour au regard des textes désormais applicables. C’est pour cette raison que la CNIL, par une délibération n° 2019-093 du 4 juillet 2019, est venue synthétiser le droit désormais applicable en matière de cookies et traceurs.

 

La question du consentement est vraiment LA question centrale de cette délibération.

Elle prévoit en son article 2, à la lumière du RGPD que les traceurs nécessitant un recueil de consentement ne peuvent être utilisés en écriture ou en lecture tant que l’utilisateur n’a pas préalablement manifesté à cette fin sa volonté de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair.

 

La CNIL précise à cette occasion qu’un certain nombre de pratiques souvent utilisées par le passé ne permettent pas de recueillir un consentement valable des internautes. Par exemple, la poursuite de la navigation sur un site ou une application mobile, ou encore l’acceptation de conditions générales d’utilisation ne constituent pas des recueils de consentement à proprement parler.

 

Par ailleurs, elle vient préciser que l’utilisation d’une terminologie trop complexe ne répondrait pas à l’exigence d’information préalable. L’information des internautes doit porter a minima sur :

 

  • L’identité du ou des responsables de traitement,
  • La finalité des opérations de lecture ou écritures des données,
  • L’existence du droit de retirer son consentement.

 

Quant aux opérateurs qui exploitent des traceurs, ils doivent désormais être en mesure de prouver qu’ils ont bien recueilli le consentement.

 

Ensuite, par son article 4 relatif aux paramétrages des navigateurs, la CNIL admet qu’une acceptation globale des traceurs et cookies peut être donnée par l’internaute. Cependant, ceci est conditionné au fait qu’il doit avoir la possibilité tout de même de consentir spécifiquement à chacune des finalités.

 

Une période de transition jusqu’à l’été 2020 a été fixée pour permettre aux entités d’adapter progressivement leurs pratiques.

 

Pour plus d’informations, la délibération CNIL est accessible ici : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038783337

 

En parallèle, la Cour de justice de l’UE a, le 1er octobre dernier, rendu une décision en matière de cookies, en décidant qu’une case cochée par défaut ne permettait pas de recueillir valablement le consentement des personnes à l’utilisation de cookies.

 

On peut dire que tout le monde est sur la même longueur d’onde !