Cookies et autres traceurs : une période transitoire est octroyée mais ne dispense pas d’une démarche de mise en conformité !

Ainsi que vous nous l’indiquions précédemment, la Commission nationale de l’informatique et des libertés (ou “Cnil”) a adopté le 4 juillet dernier de nouvelles lignes directrices en matière de cookies. Pour mémoire, cette nouvelle doctrine de la Cnil modifie en profondeur le régime applicable en matière de cookies. Notamment, la “poursuite de la navigation” (ou “soft opt-in”) comme mode d’expression du consentement des internautes au dépôt et à la lecture de cookies n’est plus admise : seul le recueil d’un consentement libre, spécifique, éclairé et univoque, conforme aux exigences du Règlement 2016/679 du 27 avril 2017 sur la protection des données (dit “RGPD”), peut permettre à un éditeur de site internet de déposer valablement des cookies soumis à consentement dans le terminal d’un internaute.

 

Pour en savoir plus sur les nouvelles lignes directrices de la Cnil en matière de cookies, cliquez ici.

 

Lors de la publication par la Cnil de sa nouvelle doctrine et de son plan d’actions associé à la mise en œuvre des nouvelles lignes directrices précitées, cette dernière avait décidé d’octroyer aux acteurs du secteur une période transitoire de mise en conformité à ces nouvelles exigences, cette période transitoire devant expirer au milieu de l’année 2020. Certaines associations avait alors contesté la légalité de cette publication de la Cnil, considérant qu’un consentement “au sens du RGPD” tel que précité aurait dû être exigé depuis le 25 mai 2018, date d’entrée en application de ce texte.

 

Le rejet des recours contre la décision de la Cnil d’octroyer une période transitoire de tolérance

Les recours précités n’ont pas prospéré en référé puisque, par une décision du 14 août 2019, le Conseil d’Etat a considéré qu’il n’y a pas lieu d’ordonner en référé, comme le demandaient les associations requérantes, la suspension de l’exécution de la décision de la Cnil susvisée.

Puis, le Conseil d’Etat a été amené à se prononcer “sur le fond”, et plus précisément sur le point de savoir si un telle décision de la Cnil de laisser aux éditeurs de sites internet une période transitoire d’adaptation est légale. Par une décision du 16 octobre 2019, le Conseil d’Etat a rejeté le recours des associations requérantes en considérant que la Cnil peut valablement offrir une telle période transitoire de tolérance du fait de son large pouvoir d’appréciation dans le cadre de l’exercice de ses missions et que le choix de la Cnil ne porte pas atteinte au droit au respect de la vie privée et au droit à la protection des données à caractère personnel.

Le Conseil d’Etat a toutefois précisé que ce choix de la Cnil n’exclut pas la possibilité pour cette dernière “de faire usage de son pouvoir répressif en cas d’atteinte particulièrement grave aux principes applicables en la matière, étant précisé que la Cnil elle-même rappelait dans son plan d’actions précité que “la CNIL continuera à instruire les plaintes et le cas échéant à contrôler, entre autres, qu’aucun dépôt de cookies n’a lieu avant le recueil du consentement. Les obligations n’ayant fait l’objet d’aucune modification dans les lignes directrices (par exemple information, retrait du consentement) ainsi que les autres obligations du RGPD (par exemple les obligations en matière de sécurité) pourront également faire l’objet de contrôles et, le cas échéant, de mesures correctrices, durant cette période transitoire“.

 

Une démarche de mise en conformité à ne pas négliger malgré cette décision

Les nouvelles lignes directrices de la Cnil en matière de cookies ne sont qu’une première étape puisqu’une nouvelle recommandation devant apporter un éclairage quant aux modalités pratiques de recueil du consentement à l’installation des cookies devrait être élaborée à l’issue (i) de réunions de concertation avec les éditeurs de contenus, annonceurs, prestataires et intermédiaires de l’écosystème du marketing, et des représentants de la société civile puis (ii) d’une consultation publique.

Toutefois, cette réflexion autour des modalités du recueil du consentement en matière de cookies ne se limite pas à la France. En effet, par un arrêt rendu le 1er octobre 2019, la Cour de justice de l’Union européenne est venue conforter la position de la Cnil en jugeant que :

  • le consentement au dépôt et à la lecture de cookies n’est pas valablement donné par l’internaute lorsqu’il est recueilli au moyen d’une case “pré-cochée” par défaut (c’est-à-dire lorsque l’utilisateur doit décocher une case pour refuser de donner son consentement à l’installation de cookies), ce qui rejoint la position de la Cnil : seul un consentement “exprès” (ex : case “j’accepte” à cocher, bouton “j’accepte” à cliquer, etc.) peut être considéré comme valable ;
  • la notion de consentement doit être interprétée de manière uniforme, que les cookies concernés entraînent ou non un traitement de données à caractère personnel ;
  • l’éditeur du site internet doit informer l’internaute s’agissant de la durée de fonctionnement des cookies ainsi que de la possibilité ou non pour des tiers d’avoir accès à ces cookies.

 

*             *

*

 

Il résulte de ce qui précède que, malgré cette période transitoire, il convient pour les éditeurs de sites internet de déployer d’ores et déjà les modalités pratiques nécessaires en matière de recueil du consentement à l’installation de cookies sur leurs sites internet, à savoir notamment :

  • remplacement du “bandeau cookies” qui visait à recueillir le consentement de internaute au moyen de la simple poursuite de sa navigation par un module dédié, simple d’utilisation et convivial permettant à chaque internaute de choisir les cookies qu’il accepte et ceux qu’il refuse (ce module devant (i) fournir à l’internaute, pour chaque cookie, toutes les informations requises par les textes afin que ce dernier soit à même d’effectuer un choix éclairé, et (ii) être paramétré pour qu’aucun cookie soumis au consentement ne s’installe tant que le consentement de l’internaute n’a pas été recueilli) ;
  • vérification que l’internaute peut accéder au site internet, et ce même s’il ne consent pas au dépôt et à la lecture de cookies non strictement nécessaires à l’utilisation du site ;
  • mise à jour de la « cookie policy » ou « politique de gestion des cookies » au regard des nouvelles recommandations de la Cnil.

 

AGIL’IT ne manquera bien entendu pas de vous tenir informés des évolutions en la matière, qu’il s’agisse des positions pouvant être prises par les différentes autorités ou juridictions comme des éventuelles recommandations pratiques qui viendraient à être adoptées.

 

 

Par AGIL’IT – Pôle IT, Data protection & Télécoms

Laure LANDES-GRONOWSKI, Avocate associée

Marie MILIOTIS, Avocate