blog
Actualisation des référentiels de la CNIL en matière de cookies : 6 mois pour se conformer
21 septembre 2020

Le 17 septembre 2020, tirant les enseignements de la décision rendue le 19 juin par le Conseil d’Etat, la CNIL a mis à jour ses lignes directrices en matière de cookies et autres traceurs et fait paraître une nouvelle recommandation, outil non contraignant visant à fournir des préconisations de mise en conformité plus pratiques. 

Le principe est posé à l’article 82 de la loi Informatique et Libertés, qui transpose en droit français la directive 2002/58/CE dite « ePrivacy » : le recours à l’enregistrement automatique de fichiers sur le terminal d’un internaute contenant des informations sur la navigation effectuée en vue de leur lecture lors d’une connexion ultérieure, dit « cookies », est soumis à certaines obligations d’information et de recueil du consentement.

Seuls les traceurs de connexion ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique et ceux strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l’utilisateur sont exempts de ces obligations.

Les nouvelles lignes directrices ont permis de confirmer un certain nombre de règles déjà préconisées auparavant. Ainsi, par exemple :

  • la simple poursuite de la navigation sur un site n’équivaut pas à une expression valide du consentement, celui-ci devant se manifester par un acte positif clair ;
  • refuser les cookies et retirer son consentement doit être aussi facile que d’y consentir ;
  • le consentement doit être recueilli pour chaque finalité du cookie, ce qui implique une information spécifique comprenant notamment les conséquences du refus de donner son consentement ;
  • l’obligation d’information couvre l’identité du ou des responsables de traitement qui utilisent des cookies et doit intervenir au moment du recueil du consentement ;
  • les entreprises doivent être en mesure de rapporter la preuve du recueil valable du consentement des internautes.  

De manière significative, la CNIL s’est alignée avec le Conseil d’Etat en revenant sur son interdiction générale et absolue du recours aux « cookie walls », dispositif permettant d’empêcher l’accès de l’internaute à un service en ligne s’il n’a pas accepté au préalable l’utilisation de cookies.

Désormais, la licéité d’une telle pratique sera appréciée au cas par cas et il conviendra d’informer clairement l’utilisateur des conséquences de son choix de refuser la mise en œuvre des cookies en question, en particulier l’impossibilité d’accéder au contenu du site.

L’autorité demeure cependant sceptique, précisant dans ses lignes directrices que la mise en œuvre de « cookie walls » pouvait, dans certains cas, remettre en cause le caractère « libre » du consentement.

Au titre des bonnes pratiques issues de la nouvelle recommandation, on retiendra notamment que l’éditeur devra s’efforcer :

  • En matière d’information et de recueil du consentement de l’internaute :
    • lorsqu’une interface de recueil du consentement prévoyant un bouton « tout accepter », de prévoir également une option « tout refuser » ;
    • d’utiliser des noms de traceurs explicites et uniformisés ;
    • en cas de refus de donner son consentement manifesté par l’utilisateur, de faire disparaitre le bandeau d’information afin de ne pas gêner la navigation ;
    • lorsque la mise en place de cookies permet un suivi sur d’autres sites ou applications, de recueillir le consentement sur chacun des sites ou applications concernées ;
    • de conserver le consentement comme le refus de consentir aux cookies pendant une durée de 6 mois, de manière à ne pas interroger l’internaute à chaque visite.
  • En matière de preuve du consentement :
    • lorsque le consentement des utilisateurs n’est pas recueilli un éditeur mais par un organisme tiers, de prévoir l’engagement de ce dernier de mettre à disposition les preuves nécessaires de ce recueil ;
    • de mettre en place des mesures de conservation de preuves, comme la mise sous séquestre du code informatique ou encore la conservation de captures d’écran du rendu visuel affiché sur un terminal mobile ou fixe, de façon horodatée, pour chaque version du site ou de l’application.

A noter enfin que la CNIL a également publié de nouvelles instructions concernant les cookies exemptés de recueil de consentement tels que les traceurs destinés à l’authentification auprès d’un service, ceux destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou encore les cookies. Afin d’assurer une transparence pleine et entière sur ces opérations, la CNIL recommande que les utilisateurs soient informés de l’existence de ces traceurs mais également de leurs finalités en intégrant, par exemple, une mention les concernant dans la politique de confidentialité. S’agissant du cas particulier des traceurs de mesure d’audience, il est demandé aux éditeurs de prendre les mesures  suivantes :

  • informer les internautes de leur mise en œuvre ;
  • limiter leur durée de vie à 13 mois ;
  • limiter la durée de conservation des informations collectés par l’intermédiaire de ces traceurs à 25 mois et ;
  • réaliser un examen périodique de ces durées de vie et de conservation.

Les entreprises disposent d’un délai de 6 mois pour se conformer aux nouvelles préconisations, soit jusqu’à la fin du mois de mars 2021. Durant cette période, les contrôles de la CNIL porteront essentiellement sur le respect des principes issus de sa recommandation sur les cookies et autres traceurs de 2013. Cependant, la CNIL a rappelé que conformément à l’arrêt du Conseil d’Etat du 16 octobre 2019 (n°433069), les manquements aux nouvelles règles qui porteraient une atteinte particulièrement grave au droit au respect de la vie privée seront passibles de poursuites. 

Une proposition de règlement européen visant à réviser la directive « ePrivacy » étant actuellement en cours de discussions, il conviendra de rester vigilant quant aux éventuelles évolutions du régime applicable en matière de cookies.  

Pour en savoir plus : https://www.cnil.fr/sites/default/files/atoms/files/ligne-directrice-cookies-et-autres-traceurs.pdf

https://www.cnil.fr/sites/default/files/atoms/files/recommandation-cookies-et-autres-traceurs.pdf

blog
Actualisation des référentiels de la CNIL en matière de cookies : 6 mois pour se conformer
21 September 2020

Le 17 septembre 2020, tirant les enseignements de la décision rendue le 19 juin par le Conseil d’Etat, la CNIL a mis à jour ses lignes directrices en matière de cookies et autres traceurs et fait paraître une nouvelle recommandation, outil non contraignant visant à fournir des préconisations de mise en conformité plus pratiques. 

Le principe est posé à l’article 82 de la loi Informatique et Libertés, qui transpose en droit français la directive 2002/58/CE dite « ePrivacy » : le recours à l’enregistrement automatique de fichiers sur le terminal d’un internaute contenant des informations sur la navigation effectuée en vue de leur lecture lors d’une connexion ultérieure, dit « cookies », est soumis à certaines obligations d’information et de recueil du consentement.

Seuls les traceurs de connexion ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique et ceux strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l’utilisateur sont exempts de ces obligations.

Les nouvelles lignes directrices ont permis de confirmer un certain nombre de règles déjà préconisées auparavant. Ainsi, par exemple :

  • la simple poursuite de la navigation sur un site n’équivaut pas à une expression valide du consentement, celui-ci devant se manifester par un acte positif clair ;
  • refuser les cookies et retirer son consentement doit être aussi facile que d’y consentir ;
  • le consentement doit être recueilli pour chaque finalité du cookie, ce qui implique une information spécifique comprenant notamment les conséquences du refus de donner son consentement ;
  • l’obligation d’information couvre l’identité du ou des responsables de traitement qui utilisent des cookies et doit intervenir au moment du recueil du consentement ;
  • les entreprises doivent être en mesure de rapporter la preuve du recueil valable du consentement des internautes.  

De manière significative, la CNIL s’est alignée avec le Conseil d’Etat en revenant sur son interdiction générale et absolue du recours aux « cookie walls », dispositif permettant d’empêcher l’accès de l’internaute à un service en ligne s’il n’a pas accepté au préalable l’utilisation de cookies.

Désormais, la licéité d’une telle pratique sera appréciée au cas par cas et il conviendra d’informer clairement l’utilisateur des conséquences de son choix de refuser la mise en œuvre des cookies en question, en particulier l’impossibilité d’accéder au contenu du site.

L’autorité demeure cependant sceptique, précisant dans ses lignes directrices que la mise en œuvre de « cookie walls » pouvait, dans certains cas, remettre en cause le caractère « libre » du consentement.

Au titre des bonnes pratiques issues de la nouvelle recommandation, on retiendra notamment que l’éditeur devra s’efforcer :

  • En matière d’information et de recueil du consentement de l’internaute :
    • lorsqu’une interface de recueil du consentement prévoyant un bouton « tout accepter », de prévoir également une option « tout refuser » ;
    • d’utiliser des noms de traceurs explicites et uniformisés ;
    • en cas de refus de donner son consentement manifesté par l’utilisateur, de faire disparaitre le bandeau d’information afin de ne pas gêner la navigation ;
    • lorsque la mise en place de cookies permet un suivi sur d’autres sites ou applications, de recueillir le consentement sur chacun des sites ou applications concernées ;
    • de conserver le consentement comme le refus de consentir aux cookies pendant une durée de 6 mois, de manière à ne pas interroger l’internaute à chaque visite.
  • En matière de preuve du consentement :
    • lorsque le consentement des utilisateurs n’est pas recueilli un éditeur mais par un organisme tiers, de prévoir l’engagement de ce dernier de mettre à disposition les preuves nécessaires de ce recueil ;
    • de mettre en place des mesures de conservation de preuves, comme la mise sous séquestre du code informatique ou encore la conservation de captures d’écran du rendu visuel affiché sur un terminal mobile ou fixe, de façon horodatée, pour chaque version du site ou de l’application.

A noter enfin que la CNIL a également publié de nouvelles instructions concernant les cookies exemptés de recueil de consentement tels que les traceurs destinés à l’authentification auprès d’un service, ceux destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou encore les cookies. Afin d’assurer une transparence pleine et entière sur ces opérations, la CNIL recommande que les utilisateurs soient informés de l’existence de ces traceurs mais également de leurs finalités en intégrant, par exemple, une mention les concernant dans la politique de confidentialité. S’agissant du cas particulier des traceurs de mesure d’audience, il est demandé aux éditeurs de prendre les mesures  suivantes :

  • informer les internautes de leur mise en œuvre ;
  • limiter leur durée de vie à 13 mois ;
  • limiter la durée de conservation des informations collectés par l’intermédiaire de ces traceurs à 25 mois et ;
  • réaliser un examen périodique de ces durées de vie et de conservation.

Les entreprises disposent d’un délai de 6 mois pour se conformer aux nouvelles préconisations, soit jusqu’à la fin du mois de mars 2021. Durant cette période, les contrôles de la CNIL porteront essentiellement sur le respect des principes issus de sa recommandation sur les cookies et autres traceurs de 2013. Cependant, la CNIL a rappelé que conformément à l’arrêt du Conseil d’Etat du 16 octobre 2019 (n°433069), les manquements aux nouvelles règles qui porteraient une atteinte particulièrement grave au droit au respect de la vie privée seront passibles de poursuites. 

Une proposition de règlement européen visant à réviser la directive « ePrivacy » étant actuellement en cours de discussions, il conviendra de rester vigilant quant aux éventuelles évolutions du régime applicable en matière de cookies.  

Pour en savoir plus : https://www.cnil.fr/sites/default/files/atoms/files/ligne-directrice-cookies-et-autres-traceurs.pdf

https://www.cnil.fr/sites/default/files/atoms/files/recommandation-cookies-et-autres-traceurs.pdf