Règles d’utilisation des cookies : la CNIL dévoile les évolutions

La Commission Nationale Informatique et Libertés (CNIL) a publié le 1er octobre dernier, ses nouvelles règles applicables en matière d’utilisation des cookies, qui étaient attendues depuis plusieurs mois. En faisant évoluer ces règles, la CNIL donne plus de contrôle aux internautes sur l’utilisation de leurs données à des fins publicitaires et rappelle deux grands principes : l’internaute doit être clairement informé des objectifs de ces cookies et il doit être aussi facile pour lui de les refuser que de les accepter. C’est ainsi que les professionnels du marketing et de la publicité ont jusqu’à fin mars 2021 pour se conformer à ces nouvelles règles. Retour sur ce tournant dans le secteur de la publicité.

La délibération de la CNIL

L’adoption du Règlement Général sur la Protection des Données (RGPD) a amené la CNIL à faire évoluer ses lignes directrices et recommandations concernant les règles applicables aux cookies et autres traceurs ; la dernière version datant de 2019. Cette délibération fut portée devant le Conseil d’Etat, qui décida que le quatrième alinéa de l’article 2, à savoir la question des cookies wall, était entaché d’illégalité. L’autorité administrative indépendante a donc dû ajuster ces lignes directrices pour s’y conformer et a publié cette nouvelle version le 1er octobre 2020. En parallèle la CNIL a également publié des recommandations à ce propos. Ces nouvelles lignes directrices sonnent définitivement la fin de la période d’ambiguïté sur la gestion des cookies et autres traceurs. Elles sont principalement tournées sur la gestion du consentement concernant ces outils et évoquent également les questions de répartition des responsabilités entre les différents acteurs. Force est de constater que l’idée du RGPD y est parfaitement retranscrite. Concernant les modalités de recueil du consentement, la CNIL les détaille selon les critères de validité du consentement à savoir : libre, spécifique, éclairé et univoque.Sur la liberté du consentement, la délibération évite les écueils de la précédente en se limitant à préciser que le recours à la pratique de « cookie wall » peut porter atteinte à la liberté du consentement et doit donc être appréciée au cas par cas. Elle précise également que l’obtention d’un consentement unique pour une multitude de finalités est possible, à la condition que soit également possible le fait d’accepter ou de refuser finalité par finalité.

L’internaute doit être informé de façon claire et synthétique

Au regard du caractère éclairé du consentement, la CNIL maintient sa position en demandant à ce qu’apparaissent a minima les informations suivantes :

• L’identité du ou des responsables de traitement ;
• La finalité des opérations ;
• La manière d’accepter ou de refuser les traceurs ;
• Les conséquences qui s’attachent à un refus ou une acceptation des traceurs ;
• L’existence du droit de retirer son consentement.

L’un des tours de force de cette délibération repose sur le caractère univoque du consentement. En effet la CNIL insiste sur « l’acte positif » de l’utilisateur pour obtenir son consentement. Elle pourrait se contenter de s’arrêter ici, laissant alors le doute quant à la faisabilité d’une demande de consentement réitérée en cas d’absence d’acte positif. Non. « En l’absence de consentement exprimé par un acte positif clair, l’utilisateur doit être considéré comme ayant refusé l’accès à son terminal ou l’inscription d’informations dans ce dernier. » Et quelques alinéas plus bas : « Le refus de ce dernier [la personne concernée] peut se déduire de son silence. » Impossible donc d’user de subterfuge pour essayer d’obtenir le consentement des internautes.

Des traceurs qui font figure d’exception

Néanmoins, tous les traceurs ne nécessitent pas d’obtenir un consentement, conformément à l’article 82 de la loi Informatique et Libertés. Bien évidemment, il ne faut pas profiter de ces cookies ne nécessitant pas de consentement pour mettre des finalités en nécessitant. La CNIL donne à titre d’exemple les traceurs suivants :

• Les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
• Les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues
• Les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer à l’utilisateur le ou les produit(s) et/ou service(s) acheté(s) ;
• Les traceurs de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
• Les traceurs permettant l’équilibrage de la charge des équipements concourant à un service de communication ;
• Les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
• Certains traceurs de mesure d’audience.

Une exemption de consentement pour ces derniers peut surprendre au premier abord. Cependant l’autorité de contrôle encadre bien cette absence de consentement en précisant que ce n’est valable que pour ce qui est « strictement nécessaire à la fourniture du service » et donc « avoir une finalité strictement limitée à la seule mesure de l’audience […] pour le compte exclusif de l’éditeur ». Ces traceurs ne peuvent donc pas servir à suivre la navigation d’une personne unique sur un site web et ne peuvent remonter que des statistiques anonymes. Les données personnelles qui sont collectées par ces traceurs (le comportement de navigation, les intérêts, etc…) ne devront pas être recoupées avec d’autres traitements, ni même transmises à des tiers. Les traceurs de mesure d’audience ne nécessitant pas le consentement sont donc strictement encadré. Globalement ces lignes directrices auront un impact fort sur la manière dont est aujourd’hui construit le marketing digital. Pour autant c’est une opportunité de transparence que les acteurs du domaine doivent saisir pour renforcer la relation client, et valoriser les services proposés.