Mardi 23 Mars 2021
Le 4 février 2021, la CNIL a rappelé que le délai raisonnable accordé aux opérateurs pour mettre en conformité leurs sites web et applications mobiles avec les nouvelles lignes directrices sur l’usage des cookies et autres traceurs, prendra fin le 31 mars 2021. A compter de cette date, la CNIL se réserve la possibilité de sanctionner les manquements au nouveau cadre juridique.
En septembre 2020, la CNIL a adopté de nouvelles lignes directrices sur l’usage des cookies et autres traceurs, qui remplacent celles du 4 juillet 2019. Dans un souci de pragmatisme pour les acteurs concernés, la CNIL a également adopté une recommandation proposant des modalités de recours aux témoins de connexion en ligne. Enfin, une FAQ a été élaborée pour répondre aux questions principales portant sur ces deux délibérations.
Ces textes font écho à la décision du Conseil d’État (CE, 19 juin 2020, n° 434684), qui avait retoqué la CNIL sur l’interdiction générale de la pratique du cookie wall prévue dans ses lignes directrices du 4 juillet 2019. Pour rappel, il s’agissait d’une actualisation de la politique de la CNIL après l’entrée en vigueur du RGPD, actualisation qui nécessitait donc un réajustement pour se conformer à la jurisprudence administrative.
Les principaux fondements légaux sur lesquels s’appuient ces textes sont l’article 82 de la loi « Informatique et Libertés » (sur l’information et le consentement) et l’article 4 du RGPD définissant les conditions du « consentement ».
L’articulation des deux délibérations de la CNIL, qui constituent des instruments de droit souple, s’opère de la façon suivante :
- Les lignes directrices rappellent « le droit applicable aux opérations de lecture ou d’écriture dans le terminal (smartphone, ordinateur, tablette, etc.) d'un internaute » (FAQ de la CNIL) ;
- La recommandation ambitionne de « guider les professionnels concernés dans leur démarche de mise en conformité, sans toutefois être prescriptive » (FAQ de la CNIL).
Il conviendra de déterminer le champ d’application de ces textes (1) avant d’appréhender les contours du consentement pour l’utilisateur (2) puis les traceurs exemptés de consentement (3) et enfin de qualifier les différents intervenants (4).
1. Champ d’application des dispositions
Les textes visent les tous les organismes (privés / publics) soumis à la loi « Informatique et Libertés », qui effectuent des « opérations de lecture et/ou d’écriture d’informations dans l’équipement terminal de communications électroniques de l’abonné ou de l’utilisateur », que les informations soient des données personnelles ou non (Lignes directrices de la CNIL ci-après l.d. CNIL, n° 14).
Pour déterminer les supports concernés, la CNIL reprend la définition d’« équipement terminal » de la directive 2008/63/CE (L.d. CNIL, n° 10). Cela permet d’englober la majorité des dispositifs connectés :« une tablette, un smartphone, un ordinateur fixe ou mobile, une console de jeux vidéo, une télévision connectée, un véhicule connecté, un assistant vocal, ainsi que tout autre équipement terminal connecté à un réseau de télécommunication ouvert au public » (L.d. CNIL, n° 11).
Concernant les délais de mise en application des dispositions, la CNIL prévoit deux phases successives. Jusqu’à mars 2021, l’Autorité se focalisera sur le respect des principes exposés dans la recommandation du 5 décembre 2013, repris dans les nouveaux textes. À l’issue de cette période d’adaptation, les contrôles porteront sur l’ensemble des mesures prévues par les nouvelles délibérations de la CNIL. L’Autorité précise néanmoins qu’elle est « en tout moment en mesure de poursuivre des manquements portant une atteinte particulièrement grave au droit au respect de la vie privée » (FAQ de la CNIL, n° 5).
2. Les contours du consentement pour l’utilisateur
Sauf exceptions (L.d. CNIL, art. 5), l’utilisation de traceurs suppose un recueil du consentement de l’utilisateur libre, spécifique, éclairé et univoque (L.d. CNIL, n° 16).
Le consentement n’est pas considéré comme libre si l’utilisateur n’a pas une « véritable liberté de choix » notamment s’il ne peut pas « retirer son consentement sans subir de préjudice » (L.d. CNIL, n° 17).
En cas de pluralité de finalités, la CNIL recommande de recueillir le consentement pour chaque finalité (Recommandations CNIL, n° 25). Elle souligne néanmoins « qu’il est possible de proposer des boutons d’acceptation et de refus globaux au stade du premier niveau d’information […] permettant de consentir ou de refuser, en une seule action, à plusieurs finalités » (Recommandations CNIL, n° 27).
En ce qui concerne la pratique du cookie wall, la CNIL vérifiera, au cas par cas, la légitimité de la démarche, à la lumière de la liberté du consentement.
Le caractère spécifique du consentement s’oppose à une validation par acceptation globale des conditions d’utilisation (L.d. CNIL, n° 20).
Lorsque les traceurs permettent un suivi de navigation au-delà du site (ou de l’application), la CNIL recommande, que le consentement soit recueilli sur chacun de ces sites (ou applications) (Recommandations CNIL, n° 17).
Pour satisfaire au caractère éclairé du consentement, l’information doit être facilement compréhensible et aisément accessible au niveau visuel (L.d. CNIL, n° 22). En pratique, le design choisi pour le site peut participer de la bonne compréhension pour l’utilisateur (Recommandations CNIL, n° 10).
La CNIL encourage la mise en en perspective de chaque finalité dans un intitulé court et mis en évidence. À cet égard, elle propose des exemples de brefs descriptifs (Recommandations CNIL, n° 13).
La CNIL fournit une liste minimale d’informations qui doivent être accessibles à l’utilisateur préalablement au recueil de son consentement (L.d. CNIL, n° 24).
L’Autorité reprend la possibilité d’organiser l’information de l’utilisateur en deux temps, le second niveau d’information devant être facilement accessible (ex. lien hypertexte, bouton présent sur le premier niveau) (Recommandations CNIL, n° 14).
Le caractère univoque se manifeste par « une déclaration ou un acte positif clair » (L.d. CNIL, n° 16). Le recours à des cases pré-cochées ou encore la simple navigation sur un site internet ne constitue pas un acte positif clair (L.d. CNIL, n° 27).
A contrario, le refus du consentement doit nécessiter, au plus, une action simple de l’utilisateur (L.d. CNIL, n° 30). Ainsi « toute inaction ou action des utilisateurs autre qu’un acte positif signifiant son consentement doit être interprétée comme un refus de consentir » (Recommandations CNIL, n° 9).
La CNIL recommande que le message sollicitant le consentement disparaisse rapidement même en cas d’inaction de l’utilisateur sur le bandeau associé à ce message (Recommandations CNIL, n° 36).
Au surplus, le retrait du consentement doit être aussi simple que celui de le donner (L.d. CNIL, n° 31), par exemple : « via un lien accessible à tout moment depuis le service concerné » (Recommandations CNIL, n° 43).
En outre, le paramétrage du terminal (navigateur, système d’exploitation) ne permet pas, en l’état actuel des technologies, d’exprimer le consentement de l’utilisateur (L.d. CNIL, n° 44).
Concernant la durée de conservation des choix de l’utilisateur, celle-ci doit être appréciée au cas par cas (en fonction du site / de l’application, de l’audience, …) (Recommandations CNIL, n° 37). La CNIL ajoute néanmoins qu’une durée de conservation de 6 mois (pour le consentement ou le refus) constitue de manière générale « une bonne pratique de la part des éditeurs » (Recommandations CNIL, n° 39).
Enfin, la preuve du respect de ces conditions doit être rapportée par les exploitants de traceurs à tout moment (L.d. CNIL, n° 29). À cet égard, la CNIL propose des exemples de modalités de conservation de la preuve (Recommandations CNIL, n° 48).
Dans l’hypothèse où les organismes ne collectent pas eux-mêmes le consentement, la CNIL recommande de préciser contractuellement que chaque responsable de traitement concerné puisse avoir accès à la preuve de cette collecte (Recommandations CNIL, n° 47).
3. Les traceurs exemptés de consentement
L’article 82 de la loi « Informatique et Libertés » prévoit des exceptions au consentement pour le traceur :
- lorsqu’il « a pour finalité exclusive de permettre ou faciliter la communication par voie électronique » ;
- lorsqu’il « est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur ».
Au surplus, la CNIL dresse une liste de traceurs pour lesquels le consentement de l’utilisateur ne lui semble pas nécessaire (L.d. CNIL, n° 49). Elle recommande néanmoins d’informer les utilisateurs de l’existence de ces traceurs (Recommandations CNIL, n° 49).
En tout état de cause, lorsqu’un traceur a plusieurs finalités dont certaines diffèrent des exceptions de l’article 82 précité, le consentement de l’utilisateur redevient nécessaire (L.d. CNIL, n° 48).
Concernant les traceurs de mesures d’audience, la CNIL considère que « les traceurs dont la finalité se limite à la mesure de l’audience du site ou de l’application, pour répondre à différents besoins » sont strictement nécessaires au fonctionnement du site ou de l’application, ils ne sont donc pas soumis à consentement (L.d. CNIL, n° 50).
Ces traceurs doivent servir uniquement à produire des données statistiques anonymes pour le compte exclusif de l’éditeur (L.d. CNIL, n° 51).
La CNIL recommande que la durée de vie des traceurs de mesure d’audience : « soit limitée à une durée permettant une comparaison pertinente des audiences dans le temps, comme c’est le cas d’une durée de treize mois ». Enfin, elle recommande que la durée de conservation des informations collectées à partir de ces traceurs ne dépasse pas 25 mois (Recommandations CNIL, n° 50).
4. La qualification des différents acteurs
L’intérêt de la qualification des acteurs se pose en cas de pluralité d’entités (éditeur du site, régie publicitaire, …).
Est considéré comme responsable de traitement :
- l’éditeur d’un site internet qui a recours aux traceurs (L.d. CNIL, n° 34) ;
- l’organisme qui utilise, sur un site partenaire, des traceurs pour son propre compte (L.d. CNIL, n° 35).
Dans les deux situations, l’éditeur du site doit s’assurer de la présence d’un système de recueil du consentement (L.d. CNIL, n° 36).
Lorsque l’éditeur du site et le tiers déposant des traceurs déterminent conjointement la finalité et les moyens relatifs aux traceurs, ils sont qualifiés de responsables conjoints du traitement avec les obligations qui en découlent (L.d. CNIL, n° 38). Dans tous les cas de figure, la liste exhaustive, régulièrement mise à jour du ou des responsables de traitement doit être accessible préalablement au recueil du consentement de l’utilisateur (Recommandations CNIL, n° 18).
Enfin, « un acteur qui stocke et/ou accède à des informations stockées dans l’équipement terminal d’un utilisateur exclusivement pour le compte d’un tiers doit être considéré comme sous-traitant » (L.d. CNIL, n° 40). En toute logique, il est soumis aux obligations de l’article 28 du RGPD sur la sous-traitance.
Rechercher une autre publication
- Ajouté : 23-03-2021
- Modifié : 25-03-2021
- Visiteurs : 5 990
