Cookies et autres traceurs : la fin du soft-opt in et la nécessité pour les éditeurs de sites web et applications mobiles de mettre à jour leurs modalités de recueil du consentement !

Ainsi que nous vous l’annoncions au début du mois, la Cnil a fait savoir le 18 juillet dernier sur son site internet que ses nouvelles lignes directrices en matière de cookies et autres traceurs adoptées le 4 juillet 2019 venaient d’être publiées.

Dès le 28 juin 2019, la Cnil avait exposé son plan d’actions concernant le ciblage publicitaire. La première étape de ce plan consistait en la publication de nouvelles lignes directrices en matière de cookies et autres traceurs dès juillet 2019, ce qui est chose faite avec la délibération n°2019-093 du 4 juillet 2019. Ces lignes directrices ne sont qu’une première étape et seront, par la suite, suivies de recommandations définitives ayant vocation à être soumises à une consultation publique en vue de leur publication au premier trimestre 2020.

 

Des changements majeurs dans la gestion des cookies

Ces nouvelles lignes directrices viennent remplacer et abrogent la recommandation de la Cnil n°2013-378 du 5 décembre 2013.

Dans cette délibération, d’une part, la Cnil réaffirme l’application de l’article 82 de la loi n°78-17 du 6 janvier 1978 qui impose de recueillir le consentement de l’utilisateur avant toute action visant à inscrire ou à accéder à des informations le concernant sur un équipement terminal de communications électroniques, c’est-à-dire à inscrire ou à lire des cookies ou autres traceurs dans son terminal.

D’autre part, la Cnil précise les critères et la forme que doit prendre ce consentement.

Enfin, elle impose aux opérateurs exploitant des cookies de pouvoir prouver le recueil du consentement des utilisateurs.

 

Un consentement désormais actif

Dans ses nouvelles lignes directrices la Cnil abandonne ses anciennes recommandations et impose désormais un consentement “aligné” avec la réglementation posée par le Règlement 2016/679 du 27 avril 2016 sur la protection des données (dit « RGPD »).

La Cnil pose donc les critères que doit revêtir ce consentement. Ainsi, à l’instar du consentement tel qu’il est prévu aux termes du RGPD, le consentement en matière de cookies et autres traceurs doit être libre, spécifique, éclairé et univoque.

 

Ce consentement doit être libre : l’utilisateur ne peut être contraint à consentir. C’est pourquoi, les opérateurs ne peuvent pas bloquer l’accès à un site internet ou bien à une application mobile si l’utilisateur ne donne pas son consentement.

Ce consentement doit être spécifique : en d’autres termes, l’utilisateur doit pouvoir donner son consentement pour chaque finalité poursuivie par les cookies et autres traceurs et non un consentement global (qui peut tout de même être valable s’il s’ajoute à la possibilité d’un consentement finalité par finalité). En pratique, les opérateurs doivent mettre en place des modules au moyen desquels les utilisateurs peuvent consentir (ou non) à l’installation et à la lecture de traceurs, finalité par finalité.

Ce consentement doit être éclairé : les opérateurs doivent fournir une information claire en des termes simples et compréhensibles sur les différentes finalités des cookies. Les opérateurs doivent ainsi mettre en place des modules détaillant, pour chaque type de cookies, leur finalité, ainsi que l’identité du(des) responsable(s) de traitement(s) et rappelant aux internautes le droit dont ils bénéficient de retirer leur consentement à tout moment, et ce afin de permettre aux utilisateurs de consentir (ou non) en pleine connaissance de cause ; étant précisé qu’une mention d’information complète (au sens de l’article 13 du RGPD) est obligatoire si les cookies sont en outre susceptibles de mener à la collecte de données à caractère personnel.

Enfin, ce consentement doit être univoque. A cet égard, la Cnil précise que le consentement doit se manifester via une action positive de l’utilisateur. A cet égard, la Cnil écarte d’ailleurs expressément la possibilité de recueillir valablement un consentement au moyen de la poursuite de la navigation de l’internaute sur le site internet (ou l’application mobile) ou d’une case pré-cochée validant le consentement de l’utilisateur. La Cnil met donc bien fin au « soft-opt in ».

 

La nécessaire preuve du consentement

La Cnil va plus loin et impose aux opérateurs de pouvoir prouver que le consentement a bien été recueilli, se fondant sur le RGPD et en particulier son article 7 qui énonce : « Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant ».

Ainsi, d’une part, le consentement doit remplir les critères posés par le RGPD et d’autre part, les opérateurs doivent être à même de prouver qu’ils ont effectivement recueilli le consentement des utilisateurs et que celui-ci était bien libre, spécifique, éclairé et univoque, étant rappelé que les personnes ayant donné leur consentement à l’utilisation de traceurs doivent être en mesure de le retirer à tout moment au moyen de solutions conviviales leur permettant de retirer leur consentement aussi facilement qu’elles ont pu le donner.

 

Le maintien des dérogations au consentement

Outre les précisions précitées s’agissant des modalités de recueil (et de retrait) du consentement, la Cnil rappelle dans sa récente délibération les hypothèses dans lesquelles le consentement de l‘internaute n’est pas nécessaire, à savoir :

  • quand le traceur « a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; »
  • quand il « est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. » ;

mais précise qu’il est tout de même recommandé, pour ces cookies, et ce afin d’assurer une transparence pleine et entière sur ces opérations, d’informer les utilisateurs de leur existence et de leur finalité en intégrant, par exemple, une mention en ce sens dans la politique de confidentialité ou dans une politique “cookies” dédiée.

 

Enfin, la Cnil rappelle également que certains traceurs de mesure d’audience peuvent être exemptés du recueil du consentement sous réserve du respect des conditions suivantes :

  • une mise en œuvre de ces cookies par l’éditeur du site ou de l’application mobile lui-même ou par un sous-traitant ;
  • une information préalable complète ;
  • l’existence d’une faculté d’opposition, facile et effective, de la part de l’utilisateur ;
  • une limitation de la finalité à certaines hypothèses très spécifiques définies par la Cnil, l’utilisation des traceurs devant en outre être strictement cantonnée à la production de statistiques anonymes ;
  • l’absence de recoupement des données avec d’autres traitements ou de transmission à des tiers, étant précisé que la portée des traceurs doit être limitée à un seul éditeur de site ou d’application mobile et ne doit pas permettre le suivi de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web ;
  • une précision de l’adresse IP limitée à la ville, l’adresse IP devant être supprimée ou anonymisée une fois la géolocalisation effectuée ;
  • une durée de vie des traceurs n’excédant pas 13 mois (cette durée ne devant pas être prorogée automatiquement lors des nouvelles visites sur le site) et une durée de conservation des données collectées de 25 mois maximum.

 

*

*       *

 

Avec ces nouvelles recommandations, la Cnil s’inscrit dans une démarche globale de protection des utilisateurs d’internet et des moyens de communications électroniques de la part des autorités européennes.

En effet, d’autres évolutions sont attendues en ce domaine, telle que par exemple la proposition de règlement européen concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques (dit “règlement e-privacy”), et ayant vocation à réformer notamment la réglementation en matière de cookies, en cours de discussion auprès des instances de l’Union européenne.

De plus, les lignes directrices de la Cnil vont dans le sens des conclusions de l’avocat général de l’affaire C-673/17 opposant Planet49 GmbH et Bundesverband der Verbraucherzentralen und Verbraucherverbände, affaire sur laquelle la Cour de justice de l’Union européenne ne s’est toujours pas prononcée.

L’autorité de contrôle anglaise (Information Commissioner’s Office ou ICO) a également actualisé au début du mois ses recommandations en matière de cookies, venant préciser explicitement que le consentement doit être libre, spécifique et informé et qu’il doit relever d’une action non équivoque de l’utilisateur.

 

En pratique, ces nouvelles lignes directrices ont vocation à donner aux éditeurs de sites internet et d’applications mobiles les clés visant à leur permettre d’implémenter et de déployer les mesures nécessaires à une mise en conformité de leurs sites en matière de cookies et autres traceurs.

Certes cette délibération n’est qu’une première étape, la Cnil ayant d’ores et déjà annoncé qu’elle serait suivie d’une nouvelle recommandation qui précisera les modalités pratiques de recueil du consentement. Le projet de recommandation complémentaire devrait être élaboré à l’issue d’une concertation avec les professionnels et la société civile, et faire ensuite l’objet d’une consultation publique en vue de la publication d’une recommandation définitive au premier trimestre 2020.

Si la Cnil a d’ores et déjà indiqué qu’une période d’adaptation, qui s’achèvera six mois après la publication de la future recommandation, sera laissée aux acteurs afin de leur donner le temps d’intégrer les nouvelles règles, les opérateurs ont tout intérêt à d’ores et déjà modifier leur pratique en matière de recueil du consentement, dans la mesure où de tels changements peuvent notamment impacter l’architecture même de la navigation sur leurs sites web ou sur leurs applications mobiles. Une mise à jour des « cookie policies » ou « politiques de gestion des cookies » au regard des nouvelles recommandations de la Cnil s’avère également opportune.

 

NDLR : Le « soft-opt in » ou « opt-in passif » est considéré comme une manière « détournée » d’obtenir le consentement de l’utilisateur, par exemple en « pré-cochant » la case dédiée au consentement de l’utilisateur ou bien en validant le consentement de celui-ci du fait de la poursuite de sa navigation sur un site internet.

 

Par AGIL’IT – Pôle IT, Data protection & Telecoms

Laure LANDES-GRONOWSKI, Avocate associée