Par ses délibérations du 17 Septembre 2020, la CNIL adopte de nouvelles lignes directrices en matière de cookies et autres traceurs, qu’elle complémente de recommandations visant à faciliter leur mise en œuvre, en particulier pour configurations propres aux environnements web et aux applications mobiles. Les recommandations de la CNIL ne sont ni prescriptives ni exhaustives et ont pour seul objectif d’aider les professionnels concernés dans leurs démarches de mise en conformité. Ces nouvelles lignes directrices viennent remplacer celles que le Conseil d’Etat avait jugées partiellement invalides dans une décision du 20 juin 2020, du fait de l’interdiction générale et absolue des cookie walls (pour plus d’information à ce sujet nous vous référons à notre blog post à ce sujet).
Les lignes directrices de la CNIL sont applicables à toute opération visant à accéder à des informations stockées dans l’équipement terminal de l’utilisateur, ou à écrire des informations sur cet équipement. Cette définition est délibérément vaste et vise à englober un maximum de dispositifs sans préjudice de leur système d’exploitation ou des logiciels applicatifs utilisés. La CNIL insiste particulièrement sur l’applicabilité de ces lignes directrices aux cookies HTTP, mais également à d’autres technologies telles que les « local shared objects » (cookies Flash), le « local storage » du standard HTML5, l’identification par calcul d’empreinte du terminal ou « fingerprinting », les identifiants générés par les systèmes d’exploitation (qu’ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.), les identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d’un appareil), etc.
Par ailleurs, ces lignes directrices s’appliquent au traitement de données, qu’elles soient à caractère personnel au sens du RGPD ou non. « Les dispositions du paragraphe 3 de l’article 5 de la directive « ePrivacy » et donc les dispositions de la Loi informatique et libertés qui les transposent sont en effet applicables à de telles opérations indépendamment du fait que les données concernées soient à caractère personnel ou non ».
Dans le cadre de ces lignes directrices le consentement doit être entendu tel que défini dans le RGPD, c’est-à-dire : « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair » le traitement de données la concernant. La CNIL indique également dans ses recommandations que l’absence de consentement de l’utilisateur doit être comprise comme un refus et, que donc aucune opération de lecture ou d’écriture d’information ne peut avoir lieu. La CNIL recommande enfin que la possibilité pour l’utilisateur/abonné de retirer son consentement doit être disponible à tout moment et facilement identifiable. La CNIL suggère un lien spécifique vers une page dédiée facilement identifiable et présent en permanence sur la page d’accueil du site ou de l’application.
La CNIL rappelle que le fait de subordonner la fourniture d’un service ou l’accès à un site web à l’acceptation de cookies et autres traceurs est susceptible de porter atteinte, dans certains cas, à la liberté du consentement. En ce qui concerne les cookie walls, la CNIL se contente désormais d’indiquer qu’une évaluation au cas par cas est nécessaire, et que les informations fournies à l’utilisateur sur les conséquences de l’acceptation ou du refus doivent être claires.
De manière similaire, la CNIL considère que la pratique consistant à recueillir de manière simultanée le consentement pour diverses opérations de traitement répondant à des finalités distinctes (le couplage de finalités) est également susceptible d’affecter la validité du consentement. C’est pourquoi elle recommande de recueillir le consentement distinctement pour chaque finalité. Il est évidemment possible de recueillir le consentement de manière globale, mais seulement si toutes finalités sont clairement expliquées au préalable. La CNIL précise que les informations sur les finalités des traceurs doivent « être formulées de manière intelligible, dans un langage adapté et suffisamment clair pour permettre aux utilisateurs de comprendre précisément ce à quoi ils consentent ». Il est recommandé que « chaque finalité soit mise en exergue dans un intitulé court et mis en évidence, accompagné d’un bref descriptif », tel que par exemple « Publicité personnalisée : [nom du site / de l’application] [et des sociétés tierces / nos partenaires] utilise / utilisent des traceurs afin d’afficher de la publicité personnalisée en fonction de votre navigation et de votre profil » si le ou les traceur(s) est/sont utilisé(s) afin d’afficher de la publicité personnalisée. Cette explication sommaire devrait être complétée par des explications plus approfondies, disponibles sur demande en cliquant sur un lien dédié (ex. « en savoir plus » ou « afficher plus d’information »).
La CNIL rappelle que le consentement pour l’utilisation de cookies et de traceurs ne peut être recueilli que spécifiquement et non par l’acceptation globale de conditions d’utilisation.
L’information doit être fournie en terme simple compréhensible par tous, et donc de fait, toute terminologie juridique est à éviter. La CNIL recommande également que les traceurs utilisés soient nommés de manière explicite. Par ailleurs les informations doivent être aisément accessibles. La CNIL recommande l’utilisation d’un vocabulaire uniforme ainsi que le développement et l’utilisation d’interfaces au design standardisé fonctionnant de la même manière. Ceci permettrait de faciliter d’appréhension de l’information par les utilisateurs en fournissant des outils similaires pour la gestion des choix d’une plateforme à une autre. De manière générale, le design de l’interface devrait soutenir le plus possible l’utilisateur, pour qu’il comprenne l’information et module ses choix en conséquence. A ce sujet, le laboratoire d'innovation numérique de la CNIL (LINC) a publié en 2019 son 6ème cahier Innovation et prospective, La Forme des choix - Données personnelles, design et frictions désirables : une exploration des enjeux du design dans la conception des services numériques, au prisme de la protection des données et des libertés.
Le consentement doit prendre la forme d’une action positive de l’utilisateur et donc le fait de continuer la navigation ou de laisser défiler une page ne constitue pas une acceptation de cookies, malgré toute indication du contraire. De fait, des systèmes adaptés doivent être mis en place pour supporter l’expression du choix de l’utilisateur, tel que des cases à cocher ou des sliders accompagnés d’information claire. Par ailleurs, si des cookies et autres traceurs sont utilisés sur plusieurs sites, il est recommandé de recueillir le consentement de l’utilisateur sur chacun de ces sites.
Il revient à l’éditeur du site web, en tant que responsable du traitement, de démontrer le consentement. La CNIL recommande même de garder la preuve du choix : consentement ou refus, pendant six mois (durée qui doit être modulée de manière adéquate à la nature du site et des spécificités de l’audience). Il est recommandé de garder la preuve du refus, de manière à éviter les demandes répétitives de consentement, qui peuvent affecter le caractère libre de celui-ci, l’utilisateur pouvant en effet finalement consentir pour que la question ne lui soit plus posée. Cependant, la CNIL souligne que si une démarche est nécessaire pour refuser, elle doit être aussi simple que celle de l’acceptation. L’option du refus doit être aussi visible que celle de l’acceptation et sur le même écran. Le design utilisé sur l’interface ne doit pas favoriser une option par rapport à une autre.
Par ailleurs, il est recommandé de renouveler la collecte du consentement ou du refus régulièrement pour palier à d’éventuels oublis des personnes concernées.
L’utilisation de traceurs ne suppose pas nécessairement le traitement de données à caractère personnel, même si c’est souvent le cas. Si l’utilisation fait intervenir une seule entité, l’éditeur du site web, alors celui-ci est pleinement responsable. En revanche si les traceurs sont liés à plusieurs entités, alors chacun doit déterminer son statut (responsable du traitement ou sous-traitant) à l’égard du traitement visé.
En tout état de cause, la CNIL rappelle que l’éditeur d’un site web doit être considéré comme un responsable de traitement et, est le plus à même de fournir les informations nécessaires à l’utilisateur et de collecter son consentement, y compris lorsqu’il sous-traite à des tiers la gestion de ces traceurs mis en place pour son propre compte. Par ailleurs les tiers qui utilisent des traceurs sur un service édité par un autre organisme doivent aussi être considérés comme responsables. Il appartient dès lors à l’éditeur du site de s’assurer du respect des règles et de la présence d’un mécanisme permettant de recueillir le consentement, ainsi que d'effectuer toute démarche utile auprès des tiers pour mettre fin à des manquements. Dans une telle situation la seule présence d’engagements contractuels n’est pas suffisante pour démonter le respect des règles. La preuve de l’existence et de la validité du consentement repose sur le tier également et elle doit lui être fourni.
Les personnes concernées doivent être informées de l’identité de tous les responsables du traitement. La CNIL recommande de fournir ces informations par niveaux successifs, l’identité, les finalités et des catégories de données traitées.
Les traceurs ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou qui sont nécessaires à la fourniture du service expressément demandé par l’utilisateur sont exemptés de l’obligation d’obtenir le consentement. Les utilisateurs doivent cependant être informés de leur installation sur les terminaux utilisés. Cette exemption s’applique notamment aux traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs, aux traceurs destinés à l’authentification auprès d’un service, ou encore aux traceurs de personnalisation de l'interface utilisateur.
Si un de ces traceurs est également utilisé pour d’autres finalités, il est alors en dehors du champ de l’exemption, et le consentement de l’utilisateur doit être recherché. A titre d’exemple on peut envisager un traceur nécessaire à l’authentification des usagers également utilisé à des fins publicitaires.
En ce qui concerne les traceurs d’audience, la CNIL note que l’utilisation de statistiques de fréquentation et ou de performance est presque systématiquement requise pour la gestion d’un site web ou d’une application. Ils peuvent même être nécessaires au bon fonctionnement du site et à la fourniture du service. Dans de telle circonstances, il n’est pas nécessaire de demander le consentement de l’utilisateur, même si celui-ci doit être dûment informé de la présence de ces traceurs. Cependant, ceux-ci doivent être strictement limités à la mesure de l’audience, et ne peuvent permettre un suivi global de la personne concernée. De même, la CNIL souligne que « ces traceurs doivent uniquement servir à produire des données statistiques anonymes, et les données à caractère personnel collectées ne peuvent être recoupées avec d’autres traitements ni transmises à des tiers, ces différentes opérations n’étant pas non plus nécessaires au fonctionnement du service ». La CNIL recommande également que ces traceurs aient une durée de vie limitée pertinente pour la gestion du site mais ne dépassant pas treize mois, et que l’information collectée ne soit pas conservée au-delà d’une durée de vingt-cinq mois.