Protection des données : Projet de recommandation de la CNIL « Cookies et autres traceurs »

28 avril 2020 | Deutsch Dieser Artikel auf deutsch

Le 14 janvier 2020, la CNIL a publié son projet de recommandation précisant les modalités pratiques de recueil du consentement au placement de cookies et autres traceurs.

Ce projet de recommandation « Cookies et autres traceurs » fait suite à l’adoption par la CNIL de lignes directrices du 4 juillet 2019 relatives au cadre juridique applicable aux cookies et autres traceurs et précise les modalités pratiques du recueil du consentement pour les éditeurs de sites Internet et applications mobiles. Il a fait l’objet d’une consultation publique jusqu’au 25 février 2020 permettant aux opérateurs du ciblage publicitaire de se prononcer sur son contenu. La version définitive de la recommandation reste en attente à ce jour.

A qui cette recommandation s’applique-t-elle ?

Le champ d’application matériel de la recommandation est assez large : elle s’applique tant aux éditeurs d’environnements web ou d’applications mobiles utilisant des traceurs qu’aux tiers plaçant ces traceurs, que l’utilisateur soit authentifié ou non.

Le projet de recommandation ne s’applique néanmoins pas aux traceurs dits « techniques » ou « fonctionnels » (qui sont par exemple nécessaires à l’authentification, à la navigation d’une page à l’autre ou au panier d’achat…).

Les modalités pratiques de mise en œuvre d’un consentement éclairé

L’article 82 de la Loi « Informatique et Libertés » exige, on le sait, une information claire et complète sur le placement de traceurs pour tout utilisateur d’un service web ou mobile.

Le projet de recommandation de la CNIL précise que cette information doit porter, à un premier niveau d’information, sur la finalité du traitement, le ou les responsables de traitement ainsi que sur la portée du consentement. Dès le premier écran, un niveau de détails plus important est donc requis.

Pour la CNIL, il convient donc désormais d’indiquer sur l’interface de recueil de consentement le premier niveau d’information. Il s’agit d’un intitulé court pour chaque catégorie de traceurs, suivi d’une courte phrase explicative indiquant la finalité du traceur (par exemple « publicité personnalisée » ; « affichage de publicité » ; « publicité géo-localisée » ; « mesure d’audience » ; « partage sur les réseaux sociaux ») ainsi que la catégorie de responsables de traitement (par exemple éditeur, partenaires, tiers etc.).

Il est ensuite recommandé de rendre accessible, à partir de cette interface de recueil de consentement, une description plus détaillée des différentes finalités de chaque traceur (deuxième niveau d’information) en utilisant par exemple un bouton de déroulement accessible au premier niveau d’information ou un lien hypertexte.

Les modalités pratiques de mise en œuvre du choix libre de l’utilisateur

Le consentement de l’utilisateur au placement d’un cookie n’est valable que si ce consentement a été donné librement par l’internaute.

Pour s’assurer du caractère libre et univoque du choix de l’utilisateur, il convient de lui présenter sur un même plan la possibilité de consentir ou de ne pas consentir à l’utilisation des traceurs (par exemple moyennant des cases à cocher ou des boutons « Accepter » / « Refuser »).

Aussi, l’utilisateur ne doit pas subir de préjudice du fait d’avoir refusé les traceurs. Ainsi, un refus de l’utilisateur doit être enregistré aussi longtemps qu’un consentement, pour éviter que l’utilisateur ne doive exprimer son refus de nouveau à chaque connexion et ainsi provoquer sa lassitude.

Les modalités pratiques de mise en œuvre d’un consentement spécifique

L’utilisateur doit avoir la possibilité de donner son consentement individuellement pour chaque finalité distincte, chaque type de traceur.

La CNIL reconnaît néanmoins la possibilité de proposer à l’utilisateur d’accepter de manière globale l’ensemble des traceurs d’un site ou d’une application, à la triple condition :

  • d’avoir présenté l’ensemble des finalités au préalable,
  • d’avoir proposé à l’utilisateur de choisir finalité par finalité
  • d’avoir donné la possibilité à l’utilisateur de refuser de manière globale.

En pratique, il est envisageable de proposer, de la même façon, trois boutons : « tout accepter » « tout refuser » et « personnaliser mes choix ».

Les modalités de retrait et de validité du consentement

Les utilisateurs doivent être informés sur les modalités de retrait de leur consentement ainsi que sur la durée de validité de leur consentement. Les solutions de retrait des cookies doivent être aisément accessible tout au long de l’usage du service, notamment via un lien « Gérer mes cookies ». Selon la CNIL, il doit être aussi simple de retirer son consentement que de le donner.

Les modalités de la preuve du consentement

Enfin, l’éditeur a l’obligation de mettre en place un système permettant de conserver la preuve du consentement, au regard du principe de l’accountability. La preuve à apporter par l’éditeur du service est double. Tout d’abord il doit apporter la preuve que le mécanisme mis en place permet de recueillir un consentement valable (notamment par un système d’audit de code, mise sous séquestre du code informatique, capture d’écran du rendu visuel, réalisation d’audits réguliers). Ensuite, il doit apporter la preuve, plus difficile, du consentement individuel donné par chaque utilisateur. Dans son projet de recommandation, la CNIL préconise à ce sujet la conservation de la preuve individuelle grâce à l’enregistrement dans le traceur avec horodatage et contextualisation par l’organisme recueillant le consentement.