Cookies et autres traceurs : la Cnil publie son projet de recommandations pratiques sur le recueil du consentement des internautes !

Ainsi que nous le précisions dans nos précédents articles sur le sujet (à titre d’exemple, voir ici), la Commission nationale de l’informatique et des libertés (ou “Cnil”) a modifié sa doctrine en matière de cookies et autres traceurs en adoptant de nouvelles lignes directrices le 4 juillet 2019. Pour mémoire, il résulte de cette nouvelle position de la Cnil que la “poursuite de la navigation” (ou “soft opt-in”) comme mode d’expression du consentement des internautes au dépôt et à la lecture de cookies n’est plus admise : seul le recueil d’un consentement libre, spécifique, éclairé et univoque, conforme aux exigences du Règlement 2016/679 du 27 avril 2017 sur la protection des données (dit “RGPD”), peut permettre à un éditeur de site internet de déposer valablement des cookies soumis à consentement dans le terminal d’un internaute et, le cas échéant, à un tiers de les utiliser.

 

Aux termes de la délibération précitée de la Cnil, cette dernière annonçait également qu’elle serait amenée à soumettre à consultation publique une nouvelle recommandation qui préciserait les modalités pratiques de recueil du consentement en vue de l’installation et de la lecture de cookies. C’est désormais chose faite !

 

Lancement d’une consultation publique sur le projet de recommandation « cookies et autres traceurs »

 

Comme prévu, un projet de recommandation en matière de cookies et traceurs a donc été élaboré par la Cnil à l’issue d’une concertation avec les professionnels du secteur et la société civile, ce projet étant désormais soumis à consultation publique jusqu’au 25 février 2020, en vue de la préparation de la version définitive de la recommandation qui devra être adoptée par la Cnil réunie en séance plénière, en principe avant la fin du 1er trimestre 2020.

Ces recommandations pratiques de la Cnil sont illustrées d’exemples concrets (schémas et copies d’écrans à l’appui) et ont une vocation pédagogique puisque, une fois définitivement adoptées à l’issue de la consultation publique, elles auront pour objet d’accompagner les professionnels concernés dans la mise en place de solutions (cf. module de recueil du consentement et de gestion et paramétrage des cookies) conformes de recueil du consentement en matière de cookies.

A titre liminaire, il est précisé que les exemples concrets proposés par la Cnil dans le projet de recommandation n’ont pas vocation à être exhaustifs et que d’autres méthodes de recueil du consentement des internautes au dépôt et à la lecture de cookies peuvent être utilisées, sous réserve bien entendu qu’elles soient conformes à la réglementation et à la doctrine applicables en la matière.

 

Contenu du projet de recommandation “cookies et autres traceurs“

 

En l’état du projet, des recommandations sont présentées, ainsi que des bonnes pratiques allant au-delà du strict respect des exigences en la matière, s’agissant notamment des aspects suivants :

 

  • en matière d’information des internautes s’agissant des finalités des traceurs : les finalités des traceurs utilisés doivent être présentées à l’utilisateur avant que celui-ci se voie offrir la possibilité de consentir ou de ne pas consentir à leur utilisation, c’est-à-dire selon la Cnil dès la premier écran du module de recueil du consentement. En pratique, la Cnil recommande que “chaque finalité soit mise en exergue dans un intitulé court et mis en évidence, lequel serait accompagné d’un bref descriptif“. En outre, à titre de bonne pratique, “les catégories de données collectées par l’intermédiaire des traceurs pourraient être précisées pour chaque finalité, de manière aisément accessible à l’utilisateur“ ;

 

  • en matière d’information des internautes s’agissant des responsables de traitement et de la portée du consentement : ainsi que le soulève la Cnil, l’utilisateur doit pouvoir prendre connaissance de l’identité de l’ensemble des responsables de traitement avant de pouvoir donner son consentement ou refuser l’utilisation de cookies (c’est-à-dire qu’il doit être “conscient de la portée effective de son consentement“). Il en résulte notamment qu’une liste exhaustive des responsables de traitement (celle-ci devant indiquer leur identité et comporter, pour chacun, un lien vers leur politique de confidentialité) doit être mise à sa disposition, étant précisé qu’en cas d’ajout substantiel au sein de ladite liste, le consentement de l’utilisateur devra à nouveau être demandé. En outre, la Cnil recommande d’informer l’utilisateur si son consentement sera valable pour le suivi de sa navigation sur d’autres sites ou applications que ceux depuis lesquels son consentement est recueilli. A cet égard, “une information relative à l’étendue du suivi de navigation permis par les traceurs, indiquant les différents sites et applications concernés devrait être rendue accessible à l’utilisateur avant qu’il n’exprime un choix“. A titre de bonne pratique, et afin d’assurer une meilleure compréhension et lisibilité pour l’utilisateur, le rôle des responsables de traitement pourrait être mis en évidence en les regroupant par catégories, lesquelles seraient définies en fonction de leur activité et de la finalité des cookies utilisés ;

 

  • sur le caractère “libre“ du consentement : pour mémoire, l’utilisateur doit pouvoir librement accepter ou non le dépôt de cookies sur son terminal, ce qui signifie qu’un refus de sa part ne doit pas lui porter préjudice et qu’il doit pouvoir exprimer un tel refus aussi aisément que s’il avait choisi de consentir à l’utilisation de cookies. En pratique, la Cnil précise que la demande de consentement pourra être matérialisée par des cases à cocher ou interrupteurs (ou “sliders“) ou encore par des boutons “Accepter“ et “Refuser“. La Cnil souligne par ailleurs que (i) le choix de l’internaute doit être enregistré afin qu’il ne soit pas sollicité de nouveau pendant un certain laps de temps, notamment afin qu’il ne subisse pas une “pression continue” qui le pousserait à accepter les cookies “par lassitude“, et que (ii) rien n’interdit en revanche, dès lors qu’est offert à l’utilisateur un choix entre acceptation et refus, de lui laisser la possibilité de ne pas faire de choix et de retarder sa décision (par exemple en cliquant sur une croix pour fermer la fenêtre du module de gestion des cookies). Dans une telle hypothèse, aucun traceur nécessitant le consentement ne devrait être déposé et l’utilisateur pourrait alors être sollicité de nouveau à chaque connexion au site internet tant qu’il n’exprime pas de choix ;

 

  • sur le caractère “spécifique“ du consentement : cette exigence implique notamment que le consentement ne peut pas être recueilli au moyen de l’acceptation de conditions générales par exemple (cf. position établie de longue date par la Cnil) et que l’utilisateur doit avoir la possibilité de donner son consentement de façon indépendante pour chaque finalité distincte. Toutefois, le caractère spécifique du consentement ne fait pas obstacle à la possibilité de proposer à l’utilisateur de consentir de manière globale à un ensemble de finalités (par exemple, en cliquant sur un bouton «“Tout accepter“ ou “Toute refuser“), à condition (i) que ces finalités aient été au préalable présentées à l’internaute, (ii) que l’utilisateur puisse également effectuer un choix finalité par finalité (cf. granularité proposée en intégrant un bouton “Personnaliser mes choix“ par exemple) et (iii) que l’utilisateur puisse aussi aisément refuser de manière globale l’utilisation de l’ensemble des cookies qu’y consentir. A titre de bonne pratique, la Cnil ajoute que la possibilité laissée aux utilisateurs de pouvoir choisir les cookies spécifiquement non seulement par finalité mais également par responsable de traitement pourrait contribuer à renforcer la maîtrise de l’utilisateur sur ses données ;

 

  • sur le caractère “univoque“ du consentement : pour que le consentement de l’utilisateur soit valable, il convient que celui-ci puisse avoir conscience de l’objectif et de la portée d’un tel consentement, cette exigence ne pouvant bien entendu pas être satisfaite si un mécanisme de recueil de consentement trompeur est utilisé ou que son design ou sa rédaction peut troubler la compréhension de l’utilisateur ou induire en erreur. A cet égard, le module de gestion du consentement ne doit pas comporter de cases pré-cochées ou encore d’interrupteurs activés par défaut ;

 

  • sur le retrait et la durée du consentement : pour mémoire, l’utilisateur doit pouvoir à tout moment retirer son consentement, et ce de manière aussi aisée que lorsqu’il l’a donné (par exemple en rendant le module de paramétrage des cookies accessibles via un lien hypertexte sur toutes les pages du site internet concerné). Par ailleurs, à titre de bonne pratique, la Cnil recommande de déterminer une durée de validité du consentement en fonction du contexte, de la portée du consentement initial et des attentes de l’utilisateur et estime qu’une durée de validité de 6 mois à partir de l’expression du choix de l’utilisateur est adaptée ;

 

  • sur la preuve du consentement : il appartient à tout responsable de traitement de pouvoir démontrer que l’utilisateur a donné son consentement à l’utilisation de tels ou tels cookies. A titre d’exemple, une telle preuve pourra être constituée grâce à un traceur dédié ayant vocation à stocker les informations relatives au consentement (horodatage, contexte, type de mécanisme de recueil du consentement, finalités concernées,…), étant précisé que seules les données nécessaires à la preuve du consentement doivent être collectées au moyen de ce traceur ;

 

  • s’agissant des modalités d’usage des cookies : à titre de bonne pratique, la Cnil souligne que des efforts en matière de transparence doivent être réalisés (utilisation de cookies non soumis à consentement utilisés pour une seule et même finalité, dénomination explicite et dans la mesure du possible uniformisée des cookies,…) ;

 

  • s’agissant du recueil du consentement via les navigateurs : la Cnil rappelle qu’en l’état de la technique, les paramétrages des navigateurs ne permettent pas à l’utilisateur d’exprimer la manifestation d’un consentement valide. Elle précise toutefois que les navigateurs et systèmes d’exploitation pourront à terme intégrer des mécanismes valables de recueil du consentement.

 

*             *

*

 

Ces modalités pratiques relatives au recueil du consentement des internautes pour les cookies et autres traceurs telles que présentées par la Cnil correspondent à l’esprit du texte du RGPD s’agissant des exigences en matière de recueil du consentement et aux attentes du “grand public“ quant à l’exploitation de leurs données en ligne.

A cet égard, ces recommandations de la Cnil s’inscrivent dans la continuité de la doctrine de cette dernière, mais elle laisse toutefois entrevoir certaines évolutions auxquelles il conviendra de se conformer.

En tout état de cause, bien que la recommandation de la Cnil en la matière en soit au stade de projet (et donc susceptible d’ajustements à l’issue de la phase de consultation), un tel document peut opportunément guider les éditeurs de sites internet et d’applications mobiles dans le cadre de leur démarche de mise en conformité desdits sites ou applications au regard de la réglementation applicable en matière de cookies et autres traceurs et de l’implémentation des mesures appropriées à cette fin, étant rappelé que la mise en œuvre des processus envisagés en vue du recueil du consentement des internautes en matière de cookies doit en tout état de cause faire l’objet d’une validation d’un point de vue juridique avant son déploiement.

 

 

AGIL’IT ne manquera bien entendu pas de vous tenir informés des évolutions en la matière, qu’il s’agisse des positions pouvant être prises par les différentes autorités ou juridictions comme des éventuelles recommandations pratiques définitives qui viendraient à être adoptées.

 

 

Par AGIL’ITPôle IT & Data protection

Laure LANDES-GRONOWSKI, Avocate associée

Marie MILIOTIS, Avocate