Cookies et autres traceurs : la recommandation définitive de la Cnil proposant des modalités pratiques de mise en conformité a été publiée !

Comme attendu (voir notre précédent article sur le projet de recommandation soumis à consultation publique ici), la Commission nationale de l’informatique et des libertés (ou “Cnil”) vient de publier de nouvelles lignes directrices en matière de cookies et autres traceurs (ci-après “cookies”), ainsi que sa recommandation “définitive” proposant des modalités pratiques de mise en conformité en cas de recours à de tels cookies et autres traceurs », dans leurs versions adoptées le 17 septembre 2020.

 

Afin de répondre aux questions des acteurs concernés et des internautes, la Cnil propose également sur son site internet une page dédiée de « Questions / réponses ».

 

Ces nouvelles recommandations reprennent dans une large mesure les préconisations et modalités pratiques de recueil du consentement qui avaient été formulées par la Cnil dans le projet soumis à consultation publique que nous avions précédemment commenté, à savoir notamment :

 

  • la mise à disposition des internautes d’une information sur les cookies avant que ceux-ci se voient offrir la possibilité de consentir ou de ne pas consentir à leur utilisation, c’est-à-dire selon la Cnil dès la premier écran du module de recueil du consentement ;
  • la nécessité de permettre aux internautes d’accepter / de refuser les cookies de manière distributive, sélective, c’est-à-dire que leur consentement doit pouvoir être donné de façon indépendante et spécifique pour chaque finalité distincte ;
  • la possibilité de permettre à l’internaute de “tout accepter”, mais uniquement si les finalités sont toutes présentées en amont du recueil de ce consentement “global” et si une possibilité de “tout refuser” est également présente sur le même écran ;
  • une durée de validité du consentement et une conservation des choix de l’internaute (acceptation ou refus) pendant une durée recommandée de 6 mois ;
  • la nécessité d’offrir à l’internaute une possibilité simple de retrait de son consentement ;
  • la nécessité de conserver une preuve des consentements obtenus pour telle(s) ou telle(s) finalité(s) de cookies.

 

Toutefois, certaines nouveautés peuvent être relevées, et notamment :

 

  • la Cnil est venue préciser l’hypothèse dans laquelle des cookies soumis au consentement, déposés par d’autres entités que l’éditeur du site ou de l’application mobile, permettent un suivi de la navigation de l’utilisateur au-delà du site ou de l’application mobile où ceux-ci sont déposés. Dans une telle hypothèse, la Cnil recommande que le consentement soit recueilli sur chacun des sites ou applications concernés par ce suivi de navigation, afin de garantir que l’utilisateur soit pleinement conscient de la portée de son consentement ;
  • lorsque le refus peut être manifesté par la poursuite de la navigation, la Cnil considère que le message sollicitant le consentement (par exemple, la fenêtre ou le bandeau) doit disparaître au bout d’un laps de temps court, de manière à ne pas gêner l’utilisation du site ou de l’application et à ne pas, ainsi, conditionner le confort de navigation de l’utilisateur à l’expression de son consentement au traceur ;
  • la Cnil ne vise plus la possibilité d’opérer un choix entre les cookies par responsable de traitement, mais seulement finalité par finalité (ce qui ne doit toutefois pas à notre sens être interprété comme une interdiction de proposer une telle possibilité de choix par “responsable de traitement”, en sus de la proposition de choix par “finalité”) ;
  • la Cnil est venue préciser que dans le cas où un responsable de traitement ne collecte pas lui-même le consentement des utilisateurs (notamment pour les traceurs dits « cookies tiers »), une telle obligation de se conserver la preuve du consentement ne saurait être remplie par la seule présence d’une clause contractuelle engageant l’une des parties à recueillir un consentement valable pour le compte de l’autre partie, dans la mesure où une telle clause ne permet pas de garantir, en toutes circonstances, l’existence d’un consentement valide. A cet égard, il est recommandé qu’une telle clause soit complétée pour préciser que l’organisme qui recueille le consentement doit également mettre à disposition des autres parties la preuve du consentement, afin que chaque responsable de traitement souhaitant s’en prévaloir puisse en faire effectivement état.

 

 

*             *

*

 

 

En tout état de cause, cette recommandation de la Cnil, si elle n’est pas impérative, doit toutefois opportunément être prise en compte par les éditeurs de sites internet et d’applications mobiles dans le cadre de leur démarche de mise en conformité desdits sites ou applications au regard de la réglementation applicable en matière de cookies et autres traceurs et de l’implémentation des mesures appropriées à cette fin.

 

Par ailleurs, la Cnil a d’ores et déjà annoncé qu’elle réalisera des missions de contrôle sur l’application de sa nouvelle doctrine en matière de cookies à l’issue de la période d’adaptation qu’elle octroie aux organismes concernés, soit 6 mois à compter de la publication de cette nouvelle recommandation.

 

 

Le pôle IT & Data protection d’Agil’IT se tient à votre disposition pour vous accompagner dans le cadre de la mise en œuvre des processus envisagés en vue du recueil du consentement des internautes en matière de cookies, lesquels doivent opportunément faire l’objet d’une validation d’un point de vue juridique avant leur déploiement effectif.

 

Par AGIL’IT – Pôle IT & Data protection

Laure LANDES-GRONOWSKI, Avocate associée

Marie MILIOTIS, Avocate