Délibération n° 2020-091 et Recommandation n° 2020-092 de la CNIL « Cookies et autres traceurs »

4 janvier 2021 | Deutsch Dieser Artikel auf deutsch

Contexte

Le 1er octobre 2020, la CNIL a publié sa délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (délibération « Cookies et autres traceurs »), et abrogeant la précédente délibération n° 2019-093 du 4 juillet 2019 à ce sujet. Le même jour, la CNIL a publié une délibération n° 2020-092 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux cookies et autres traceurs.

Ces textes ont pour objet de déterminer le cadre et les modalités d’installation de traceurs dans le terminal d’un utilisateur, notamment en ce qui concerne le consentement éclairé, spécifique et préalable de celui-ci.

On se rappelle que la CNIL avait publié ses premières lignes directrices au sujet des « cookies et autres traceurs » le 4 juillet 2019, ainsi qu’un projet de recommandations le 25 janvier 2020 qui était suivi d’une consultation publique allant jusqu’au 25 février 2020 permettant aux opérateurs du ciblage publicitaire de se prononcer sur son contenu.

Ces premières lignes directrices de 2019 ont été partiellement annulées par une décision du Conseil d’Etat n° 434684 du 19 juin 2020, dans laquelle la haute juridiction a notamment censuré l’interdiction inconditionnelle des « Cookies walls » voulue par la CNIL.

Avec les textes publiés le 1er octobre 2020, la CNIL a désormais adapté ses lignes directrices ainsi que sa recommandation à la teneur de la décision du Conseil d’Etat ainsi qu’aux résultats de la consultation publique.

Champ d’application

Le champ d’application matériel de la délibération ainsi que de la recommandation de la CNIL est large : il s’applique à tous les organismes qui recourent à des traceurs, que ce soit des éditeurs d’environnements web ou d’applications mobiles utilisant des traceurs, ou des tiers plaçant ces traceurs, que l’utilisateur soit authentifié ou non.

La CNIL rappelle que la réglementation porte aussi bien sur l’utilisation des cookies HTTP que sur d’autres technologies telles que des cookies Flash, le « fingerprinting » ou les identifiants générés par les systèmes d’exploitation.

Comment recueillir un consentement valide ?

L’installation de traceurs dans le terminal d’un utilisateur nécessite le recueil de son consentement. Ce consentement doit se manifester par une action positive de l’utilisateur préalablement informé, notamment, des conséquences de son choix et disposant de moyens d’accepter, de refuser ou de retirer son consentement.

L’information préalable de l’utilisateur

La CNIL précise dans ses lignes directrices que l’information préalable doit contenir au minimum :

  • l’identité du ou des responsables de traitement,
  • la finalité des cookies,
  • la manière d’accepter ou de refuser les traceurs,
  • les conséquences qui s’attachent à un refus ou une acceptation des traceurs,
  • l’existence du droit de retirer son consentement.

Dès le premier écran, un niveau d’informations plus important est donc désormais requis :

Dès le premier niveau d’information, les finalités des traceurs doivent être présentées aux utilisateurs. La CNIL recommande que chaque finalité soit mise en exergue dans un intitulé court et mis en évidence, accompagné d’un bref descriptif (par exemple « publicité personnalisée » ; « personnalisation du contenu » ; « publicité géolocalisée » ; « partage sur les réseaux sociaux »).

Il est ensuite recommandé de rendre accessible, à partir de l’interface de recueil de consentement, une description plus détaillée des différentes finalités de chaque traceur (sur un deuxième niveau d’information) en utilisant par exemple un bouton de déroulement ou un lien hypertexte.

Par ailleurs, il convient désormais d’informer l’utilisateur, dès le premier écran d’information, de l’identité de l’ensemble des responsables de traitements (y compris les responsables de traitement conjoint). Ainsi, une liste exhaustive et régulièrement mise à jour des responsables de traitement doit être mise à la disposition des utilisateurs. Il est néanmoins précisé que des informations spécifiques sur ces entités (identité, lien vers leur politique de traitement de données à caractère personnel), peuvent être mis à disposition via un lien hypertexte accessible depuis le premier niveau d’information.

Recueil du consentement par une action positive de l’utilisateur

L’utilisateur doit désormais donner son consentement à l’installation de cookies sur son terminal impérativement par une action positive. La CNIL considère que continuer à naviguer sur un site web ou à utiliser une application mobile ne constituent pas une « action positive » claire, assimilable à un consentement valable.

Dans cette optique, l’utilisation de cases pré-cochées est à prohiber. La CNIL préconise de proposer aux utilisateurs des cases à cocher, décochées par défaut, ou des sliders, désactivés par défaut.

L’utilisateur doit par ailleurs avoir la possibilité de donner son consentement individuellement pour chaque finalité distincte, chaque type de traceur. La CNIL reconnaît néanmoins que cela ne fait pas obstacle à la possibilité de proposer à l’utilisateur un mécanisme d’acceptation globale pour l’ensemble des traceurs (notamment via un bouton « Tout accepter »), à condition de lui avoir présenté au préalable l’ensemble des finalités poursuivies, et de lui donner la possibilité, dès le premier écran d’information, de personnaliser ses choix (par exemple via un bouton « Personnaliser mes choix » / « Décider par finalité »).

La CNIL précise qu’il est nécessaire d’offrir aux utilisateurs la possibilité d’accepter ou de refuser les cookies avec le même degré de simplicité. Ainsi, la CNIL recommande que le mécanisme permettant d’exprimer un refus de consentir aux cookies soit accessible sur le même écran et avec la même facilité que le mécanisme permettant d’exprimer un consentement (par exemple avec deux boutons « tout accepter » / « tout refuser »).

La CNIL rappelle que l’expression du refus de consentement peut découler d’autres types d’actions, par exemple de la simple inaction de l’utilisateur, de l’absence de réaction ou de la fermeture de la fenêtre d’information. La CNIL estime que toute inaction ou action des utilisateurs autre qu’un acte positif signifiant son consentement doit être interprétée comme un refus de consentir.

Enfin, il est précisé que le design des boutons proposé pour effectuer le choix ne doit pas être trompeur, ou mettre en valeur un choix plutôt qu’un autre.

La durée de conservation des choix et les modalités de retrait et du consentement

Dans sa recommandation du 1er octobre 2020, la CNIL précise qu’il est en principe nécessaire de conserver les choix exprimés par les utilisateurs durant leur navigation sur le site, afin d’éviter qu’ils se voient afficher une nouvelle fenêtre de demande de consentement à chaque page consultée.

La CNIL recommande que le choix exprimé par les utilisateurs (consentement ou refus) soit enregistré de manière à ne pas les solliciter à nouveau pendant un certain laps de temps (afin de ne pas influencer le choix de l’utilisateur en proposant un meilleur confort de navigation en cas d’acceptation). Dans sa recommandation du 1er octobre 2020, la CNIL estime qu’une durée de conservation de 6 mois constitue « une bonne pratique » (Il semble néanmoins qu’il n’y ait pas d’obligation de conserver un refus aussi longtemps qu’une acceptation).

Les utilisateurs doivent être informés sur les modalités de retrait de leur consentement. Les solutions de retrait des cookies doivent être aisément accessibles tout au long de l’usage du service, notamment via un lien « Gérer mes cookies » (ou une icône « Cookies » accessible en bas de chaque page du site). Selon la CNIL, il doit être aussi simple de retirer son consentement que de le donner.

Les modalités de la preuve du consentement

Enfin, le responsable de traitement a l’obligation de mettre en place un système permettant de conserver la preuve du consentement, au regard du principe de l’accountability. Pour ce faire, des mécanismes permettant de démontrer que le consentement des utilisateurs a été valablement recueilli doivent être mis en place.

La CNIL préconise notamment d’établir la preuve de validité du consentement soit par une capture d’écran horodatée du rendu visuel affiché sur le terminal de l’utilisateur, soit au moyen d’audits réguliers des mécanismes de recueil du consentement par un tiers, mandatés à cet effet.