Les nouvelles lignes directrices de la CNIL en matière de cookies sont enfin adoptées !
Corinne Thiérache et Alice Gautron
Comme annoncé lors de son plan d’action pour l’année 2019-2020 concernant le ciblage publicitaire publié fin juin et sur notre blog du 1er juillet 2019, la délibération du 4 juillet 2019 de la CNIL portant adoption de nouvelles lignes directrices relatives à l’usage des cookies et autres traceurs vient d’être publiée au Journal Officiel du 19 juillet 2019.
Ce texte abroge officiellement la recommandation Cookies du 5 décembre 2013 jusqu’ici applicable. Certaines règles sont ainsi mises à jour à la suite de l’entrée en application du RGPD le 25 mai 2018, notamment sur le recueil du consentement avant mise en place de cookies sur le terminal d’un utilisateur. Ces nouvelles lignes directrices ont donc vocation à rappeler le droit applicable aux opérations de lecture et d’écriture dans le terminal d’un utilisateur (notamment aux cookies et aux traceurs) dont les dispositions sont régies à l’article 82 de la loi Informatique et Libertés (qui transpose en droit français la directive 2002/58), et sans attendre l’adoption du règlement e-Privacy toujours en discussions au niveau européen.
Les lignes directrices viennent confirmer la doctrine déjà connue de la CNIL aux travers de ses délibérations et proposer certaines nouveautés :
– La simple poursuite de la navigation sur un site ne vaudra plus comme expression valide du consentement pour le dépôt de cookies et autres traceurs : l’utilisateur doit avoir consenti par une déclaration ou par un acte positif clair, conformément aux exigences du RGPD. A ce titre, la CNIL affirme que la pratique des « cookie walls », qui consistent à bloquer l’accès total à un site ou à une application pour toutes personnes qui n’acceptent pas la pose des cookies, est interdite ;
– Le consentement recueilli par les opérateurs qui exploitent des cookies et autres traceurs doit pouvoir être prouvé : la CNIL déclare que les acteurs doivent mettre en œuvre des mécanismes leur permettant de démontrer qu’ils ont valablement obtenu le consentement des utilisateurs à tout moment, en application du principe de responsabilité prévu par le RGPD. La pratique du fameux « bandeau cookie » comme information préalable est officiellement abandonnée au profit de mentions d’information plus explicites et connues des internautes (mention de l’identité du responsable de traitement, de la finalité de l’usage des traceurs ou encore de l’existence du droit de retirer son consentement) ;
– Les traceurs de mesure d’audience seront autorisés sans consentement sous réserve du respect de certaines conditions très strictes : les utilisateurs doivent toujours pouvoir s’y opposer et disposer au préalable d’une information sur leur existence et les finalités des dispositifs concernés. Leur durée de vie est limitée à 13 mois, et les informations collectées à 25 mois.
– La répartition des rôles et responsabilités des acteurs est rappelée par la CNIL, en qualifiant de « sous-traitant […] l’acteur qui inscrit des informations et/ou accède à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, exclusivement pour le compte d’un responsable de traitement et sans réutilisation pour son propre compte des données collectées via le traceur ».
L’adoption de ces nouvelles lignes directrices est une première étape. D’autres recommandations sectorielles importantes sont attendues, notamment pour préciser les modalités de recueil du consentement dont la recommandation définitive est prévue au premier trimestre 2020. La CNIL précise qu’une période d’adaptation de six mois à compter de la publication de cette future recommandation sera néanmoins laissée aux professionnels pour leur permettre de se conformer aux nouvelles règles.
Corinne Thiérache, associée et Alice GautronAlice Gautron, collaboratrice, Département IP/IT (Innovation) d’Alerion