La CNIL a adopté le 4 juillet 2019 de nouvelles lignes directrices visant à mieux définir le cadre juridique applicable aux cookies, avec des nouveautés débattues en matière d’expression du consentement de l’internaute. Où en est- on ?

Consentement, opt’out et opt’in

Le consentement doit être : « libre, spécifique, éclairé, univoque par une déclaration ou un acte positif clair ». La CNIL considère désormais que le fait qu’un internaute continue sa navigation sur un site web ne suffit plus à manifester son consentement. Le consentement de ce dernier doit désormais être recueilli au moyen d’un acte clair et univoque et non plus être supposé par la poursuite de la navigation de ce dernier sur le site.

Il en va de même pour l’utilisation de cases pré-cochées (opt-out) par les éditeurs pour recueillir le consentement, cette pratique ne sera dorénavant plus tolérée par la CNIL. Le consentement doit se recueillir uniquement par opt-in. Autrement dit l’utilisateur doit effectuer une action positive d’acceptation.

Consentement et accountability

Le principe d’accountability se renforce au niveau des cookies : le recueil du consentement doit pouvoir être démontré à tout moment. Les organismes devront mettre en place des mécanismes leur permettant de prouver qu’ils ont recueilli le consentement des utilisateurs et donné à ces derniers toute l’information nécessaire.

NB : dans les cas où les organismes ne recueillent pas eux-mêmes les consentements, leur obligation ne saurait être remplie par la seule présence d’une clause contractuelle engageant l’une des organisations à recueillir un consentement valable pour leur compte. Le sous-traitant devra mettre en place tout dispositif utile permettant de tracer les consentements et le mécanisme d’information préalable.

Cookies, consentement, et durée de conservation

Si la durée de validité des cookies et donc des consentements associés demeure de treize (13) mois, les informations collectées par l’intermédiaire des cookies pourront désormais être traitées pendant une durée maximum de vingt-cinq (25) mois.

Comme indiqué par la CNIL, de nouvelles recommandations précisant les modalités pratiques de recueil du consentement seront publiées d’ici au premier trimestre 2020. A la suite de la publication de ces recommandations, une période d’adaptation de six (6) mois sera laissée aux acteurs afin que ces derniers puissent les assimiler et intégrer ces règles à leurs plateformes.

La période d’adaptation laissée par la CNIL n’a cependant pas été du gout de tous les acteurs. Le 16 octobre 2019, la Quadrature du Net attaque la CNIL devant le Conseil d’Etat, estimant que la souplesse dont fait preuve la CNIL en octroyant une période de transition dans l’application des règles relatives aux cookies, constitue une entorse directe au RGPD.

Le Conseil d’Etat déboutera la quadrature de sa demande, estimant que la CNIL, de par son statut d’autorité administrative indépendante « dispose d’un large pouvoir d’appréciation dans l’exercice de ses missions ».  Dès lors, elle est légitime à « élaborer un tel plan d’action et le rendre public ».

En fin de compte, il convient de rappeler que la période transitoire octroyée par la CNIL n’empêchera pas celle-ci de contrôler pleinement le respect des autres obligations, n’ayant quant à elles fait l’objet d’aucune modification. D’où la nécessité pour les responsables de traitement de maintenir leur conformité actuelle et de se préparer progressivement au changement futur de paradigme.

Pour approfondir

>> La décision du Conseil d’Etat sur Légifrance

>> Les lignes directrices de la CNIL sur les cookies