Les nouvelles règles applicables aux cookies
La Cnil a fait connaître, en juillet, les nouvelles règles à respecter en termes de cookies qui modifient la réglementation de 2013. Les obligations des éditeurs de site sur le recueil du consentement de l’internaute sont renforcées.
Comme annoncé lors de son plan d’action pour l’année 2019-2020, la délibération du 4 juillet 2019 de la Cnil (Commission nationale Informatique et Libertés) sur l’adoption de nouvelles lignes directrices relatives à l’usage des cookies et autres traceurs a été publiée au Journal officiel du 19 juillet 2019. Sont ainsi définies les nouvelles règles à appliquer ; leur non-respect sera sanctionné sur le fondement du règlement européen RGPD et de la future directive e-Privacy.
Le texte de la Cnil abroge la recommandation relative aux cookies du 5 décembre 2013 et le nouveau régime fait suite à l’entrée en application, le 25 mai 2018, du RGPD qui encadre le traitement des données personnelles, notamment concernant la notion fondamentale sur laquelle repose celui-ci, à savoir le recueil du consentement de la personne physique concernée par le traitement.
Le consentement
La simple poursuite de la navigation sur un site ne pourra s’analyser en une preuve du consentement de l’intéressé pour le dépôt de cookies et autres traceurs : l’utilisateur doit y avoir consenti, par une déclaration ou par un acte positif clair, conformément aux exigences du RGPD.
A ce titre, la Cnil affirme que la pratique des «cookie walls», qui consiste à ne pas autoriser l’accès à un site ou à une application pour les personnes ayant refusé la pose des cookies, est à présent interdite. Les utilisateurs peuvent refuser d’être tracés, sans avoir à en subir des conséquences négatives.
La preuve du consentement
Les professionnels qui posent et exploitent des cookies ou autres traceurs doivent être en mesure de prouver le consentement obtenu. Il leur appartient de mettre en œuvre des mécanismes leur permettant de démontrer qu’ils ont valablement obtenu le consentement des utilisateurs ; cette preuve doit pouvoir être apportée à tout moment.
L’acceptation globale de conditions générales d’utilisation ne sera pas suffisante pour prouver le consentement. De même, en cas de finalités multiples, le consentement doit être obtenu par finalité. La Cnil abandonne le «bandeau cookie», comme information préalable.
Autres mentions
Le professionnel a l’obligation de publier des mentions d’informations explicites et faciles d’accès, notamment portant sur l’identité du responsable de traitement, la finalité de l’usage des traceurs ou encore de l’existence de traitement.
Les traceurs de mesure d’audience
Concernant les traceurs de mesure d’audience, le consentement exprès n’est pas nécessaire, sous réserve du respect des conditions suivantes : les utilisateurs doivent toujours pouvoir s’y opposer et disposer, au préalable, d’une information sur leur existence et les finalités des dispositifs concernés. Leur durée de conservation ne pourra être supérieure à 13 mois, et les informations collectées en tant que telles à 25 mois maximum.
Contrôle
Le respect de ces règles reste relativement facile à contrôler compte-tenu du caractère très visible des cookies et de la faculté pour les agents de la Cnil d’opérer un contrôle à distance. L’échelle de sanctions prévue au RGPD s’appliquera aux contrevenants.
Rôles et responsabilités
La responsabilité pèse sur le responsable de traitement, il s’agira souvent de l’éditeur du site. La Cnil rappelle qu’est sous-traitant […] «l’acteur qui inscrit des informations et/ou accède à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, exclusivement pour le compte d’un responsable de traitement et sans réutilisation pour son propre compte des données collectées via le traceur».
Mise en œuvre
Une période d’adaptation de six mois à compter de la publication définitive de la future recommandation, qui devrait intervenir début 2020, sera laissée aux professionnels pour leur permettre de s’y conformer. Des échanges avec les différentes organisations professionnelles sont prévus dans les prochains mois, notamment pour déterminer les contours du recueil du consentement.
Encadré
A suivre
En complément du RGPD, le règlement e-Privacy, attendu sous peu, encadrera, quant à lui, les échanges d’informations qui transitent au sein des fournisseurs de services, tels que les navigateurs, SMS, emailing et les acteurs tels que Skype, Whatsapp ou Facebook Messenger. Est en discussion, notamment, la question de l’activation du consentement aux cookies dans le navigateur qui serait configuré une seule fois et valable pour tous les sites. En offrant cette possibilité de gérer les cookies directement depuis le navigateur, les professionnels craignent une perte de trafic de données, et donc de ciblage potentiel, importante.