En septembre 2020, la CNIL a adopté de nouvelles lignes directrices sur l’usage des cookies et autres traceurs, qui remplacent celles du 4 juillet 2019. Dans un souci de pragmatisme pour les acteurs concernés, la CNIL a également adopté une recommandation proposant des modalités de recours aux témoins de connexion en ligne. Enfin, une FAQ a été élaborée pour répondre aux questions principales portant sur ces deux délibérations.
Ces textes font écho à la décision du Conseil d’État (CE, 19 juin 2020, n° 434684), qui avait retoqué la CNIL sur l’interdiction générale de la pratique du cookie wall prévue dans ses lignes directrices du 4 juillet 2019. Pour rappel, il s’agissait d’une actualisation de la politique de la CNIL après l’entrée en vigueur du RGPD, actualisation qui nécessitait donc un réajustement pour se conformer à la jurisprudence administrative.
Les principaux fondements légaux sur lesquels s’appuient ces textes sont l’article 82 de la loi « Informatique et Libertés » (sur l’information et le consentement) et l’article 4 du RGPD définissant les conditions du « consentement ».
L’articulation des deux délibérations de la CNIL, qui constituent des instruments de droit souple, s’opère de la façon suivante :
Les lignes directrices rappellent « le droit applicable aux opérations de lecture ou d’écriture dans le terminal (smartphone, ordinateur, tablette, etc.) d'un internaute » (FAQ de la CNIL) ;
La recommandation ambitionne de « guider les professionnels concernés dans leur démarche de mise en conformité, sans toutefois être prescriptive » (FAQ de la CNIL).
Il conviendra de déterminer le champ d’application de ces textes (1) avant d’appréhender les contours du consentement pour l’utilisateur (2) puis les traceurs exemptés de consentement (3) et enfin de qualifier les différents intervenants (4).
1. Champ d’application des dispositions
Les textes visent les tous les organismes (privés / publics) soumis à la loi « Informatique et Libertés », qui effectuent des « opérations de lecture et/ou d’écriture d’informations dans l’équipement terminal de communications électroniques de l’abonné ou de l’utilisateur », que les informations soient des données personnelles ou non (Lignes directrices de la CNIL ci-après l.d. CNIL, n° 14).
Pour déterminer les supports concernés, la CNIL reprend la définition d’« équipement terminal » de la directive 2008/63/CE (L.d. CNIL, n° 10). Cela permet d’englober la majorité des dispositifs connectés :« une tablette, un smartphone, un ordinateur fixe ou mobile, une console de jeux vidéo, une télévision connectée, un véhicule connecté, un assistant vocal, ainsi que tout autre équipement terminal connecté à un réseau de télécommunication ouvert au public » (L.d. CNIL, n° 11).
Concernant les délais de mise en application des dispositions, la CNIL prévoit deux phases successives. Jusqu’à mars 2021, l’Autorité se focalisera sur le respect des principes exposés dans la recommandation du 5 décembre 2013, repris dans les nouveaux textes. À l’issue de cette période d’adaptation, les contrôles porteront sur l’ensemble des mesures prévues par les nouvelles délibérations de la CNIL. L’Autorité précise néanmoins qu’elle est « en tout moment en mesure de poursuivre des manquements portant une atteinte particulièrement grave au droit au respect de la vie privée » (FAQ de la CNIL, n° 5).
2. Les contours du consentement pour l’utilisateur
Sauf exceptions (L.d. CNIL, art. 5), l’utilisation de traceurs suppose un recueil du consentement de l’utilisateur libre, spécifique, éclairé et univoque (L.d. CNIL, n° 16).
Le consentement n’est pas considéré comme libre si l’utilisateur n’a pas une « véritable liberté de choix » notamment s’il ne peut pas « retirer son consentement sans subir de préjudice » (L.d. CNIL, n° 17).
En cas de pluralité de finalités, la CNIL recommande de recueillir le consentement pour chaque finalité (Recommandations CNIL, n° 25). Elle souligne néanmoins « qu’il est possible de proposer des boutons d’acceptation et de refus globaux au stade du premier niveau d’information […] permettant de consentir ou de refuser, en une seule action, à plusieurs finalités » (Recommandations CNIL, n° 27).
En ce qui concerne la pratique du cookie wall, la CNIL vérifiera, au cas par cas, la légitimité de la démarche, à la lumière de la liberté du consentement.
Le caractère spécifique du consentement s’oppose à une validation par acceptation globale des conditions d’utilisation (L.d. CNIL, n° 20).
Lorsque les traceurs permettent un suivi de navigation au-delà du site (ou de l’application), la CNIL recommande, que le consentement soit recueilli sur chacun de ces sites (ou applications) (Recommandations CNIL, n° 17).
Pour satisfaire au caractère éclairé du consentement, l’information doit être facilement compréhensible et aisément accessible au niveau visuel (L.d. CNIL, n° 22). En pratique, le design choisi pour le site peut participer de la bonne compréhension pour l’utilisateur (Recommandations CNIL, n° 10).
La CNIL encourage la mise en en perspective de chaque finalité dans un intitulé court et mis en évidence. À cet égard, elle propose des exemples de brefs descriptifs (Recommandations CNIL, n° 13).
La CNIL fournit une liste minimale d’informations qui doivent être accessibles à l’utilisateur préalablement au recueil de son consentement (L.d. CNIL, n° 24).
L’Autorité reprend la possibilité d’organiser l’information de l’utilisateur en deux temps, le second niveau d’information devant être facilement accessible (ex. lien hypertexte, bouton présent sur le premier niveau) (Recommandations CNIL, n° 14).
Le caractère univoque se manifeste par...