Home / Actualités / Cookies : la CNIL finalise ses lignes directrices

Cookies : la CNIL finalise ses lignes directrices

Dans le cadre de la mise en œuvre de la Directive ePrivacy et du RGPD

22/10/2020

Dernière étape en date des travaux de la CNIL sur les cookies, dans le cadre de la mise en œuvre de la Directive ePrivacy et du RGPD, transposés à l’article 82 de la loi Informatique et Libertés du 6 janvier 1978, la CNIL a publié, le 1er octobre 2020, la version définitive de ses lignes directrices concernant l’usage des cookies et autres traceurs. Elle met à la disposition des professionnels, dans le même temps, un projet de recommandation non contraignant ainsi qu’une FAQ destinés à les aider dans leur démarche de mise en conformité.

Pour rappel, l’article 82 de la loi Informatique et Libertés prévoit l’obligation, sauf exception, de recueillir le consentement des internautes avant toute opération d’écriture ou de lecture de cookies et autres traceurs.

L’ambition affichée de l’Autorité de protection des données personnelles est de permettre aux internautes d’exercer un contrôle effectif sur les outils de traçage en ligne et par conséquent sur les données de navigation, susceptibles de révéler de très nombreuses informations sur les individus, parmi lesquelles leurs croyances, leurs préférences ou leurs habitudes, souvent utilisées par les sites marchands pour leur proposer de la publicité ciblée.

La CNIL considérait que les pratiques du marché, consistant par exemple à postuler que l’internaute acceptait les cookies dès lors qu’il continuait sa navigation après avoir été informé de la présence de cookies sur le site, ne constituait pas un consentement valable.

Les lignes directrices viennent préciser les principes essentiels de traitement d’ores et déjà soulignés par la CNIL dans ses précédentes lignes directrices du 4 juillet 2019, partiellement sanctionnées par le Conseil d’Etat le 19 juin 2020.

Il est ainsi réaffirmé que :

  • la simple poursuite de la navigation sur un site ne peut être considérée comme une expression valide du consentement de l’internaute ;
  • les utilisateurs doivent consentir au dépôt d’un traceur par un acte positif clair (comme le fait de cliquer sur « j’accepte » dans une bannière cookies). A défaut, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur leur appareil ;
  • les utilisateurs doivent pouvoir retirer leur consentement, facilement et à tout moment, étant entendu que le retrait du consentement doit être aussi simple que l’acceptation ;
  • les utilisateurs doivent clairement être informés des finalités des traceurs avant de donner leur consentement. Ils doivent pouvoir comprendre quelles conséquences s’attachent à leur acceptation ou à leur refus, ce qui implique que la finalité de chaque cookie soit décrite dans un intitulé court accompagné d’un descriptif précis. A titre d’exemple, les traceurs utilisés pour proposer de la publicité ciblée peuvent être décrits ainsi : « Publicité personnalisée : « [nom du site/ de l’application] et [des sociétés tierces/ nos partenaires] utilise/ent des traceurs afin d’afficher de la publicité personnalisée en fonction de votre navigation et de votre profil.] » ;
  • les utilisateurs doivent être informés de l’identité de tous les acteurs utilisant des traceurs soumis au consentement. La liste des sociétés utilisant des traceurs sur un site ou une application doit être fournie de manière exhaustive et régulièrement mise à jour.

Les organismes qui exploitent des traceurs doivent être en mesure de fournir à tout moment la preuve du recueil valable du consentement. Ainsi, si un site ne collecte pas lui-même le consentement, il ne peut se contenter de prévoir contractuellement que son contractant est responsable du recueil valable dudit consentement mais doit obtenir effectivement la preuve de ce recueil.

Demeurent exemptés du recueil du consentement les traceurs destinés à l’authentification de l’utilisateur, ceux qui permettent de garder en mémoire le contenu du panier d’achat, les cookies de préférence linguistique, certains traceurs visant à générer des statistiques de fréquentation ...

La CNIL recommande que l’interface de recueil de consentement ne comporte pas uniquement un bouton « tout accepter » mais également une icône « tout refuser » et que le refus des utilisateurs soit conservé pendant une certaine durée afin d’éviter d’interroger un même utilisateur à chacune de ses connexions.

Les sites sont invités à s’assurer de la conformité de leurs pratiques d’utilisation des cookies d’ici la fin du mois de mars 2021. Jusqu’à cette date, la Commission privilégiera l’accompagnement par rapport aux contrôles. Néanmoins, elle se réserve le droit de sanctionner les comportements les plus graves ainsi que les manquements aux règles relatives aux cookies antérieures à l’entrée en vigueur du RGPD.


Article paru dans Option Finance le 12/10/2020


Technologie, Media et Communication dans notre cabinet d’avocats :

Si les avancées technologiques constituent de formidables opportunités, elles sont également un vecteur de risques pour les entreprises. Dans cet environnement évolutif, notre cabinet d’avocats met à votre disposition sa fine compréhension des nouvelles technologies, son expertise reconnue en matière de propriété intellectuelle ainsi que sa parfaite maîtrise du droit des contrats.

cabinet avocats CMS en France

A propos de notre cabinet d'avocats

expertise tmc 330x220

Expertise : Technologie, Media et Communication

nous contacter 330x220

Nous contacter

Avocats

Anne Laure Villedieu
Anne-Laure Villedieu
Associée
Paris