Des lignes directrices consolidées

Textes applicables

Le régime des cookies est initialement dicté par l’article 82 de la Loi informatique et libertés modifiée, qui transpose en droit français le contenu de la Directive 2002/58/CE « vie privée et communications électroniques » dite e-privacy (article 5-3). C’est ce texte qui pose le principe du consentement obligatoire à l’utilisation de cookies et traceurs.

Le RGPD vient ensuite renforcer le régime de la protection des données en Europe et en France, et durcir les conditions de validité du consentement des internautes en tant que personnes concernées en sens du Règlement.

Lignes directrices

Dès 2013, la CNIL propose des recommandations quant à l’utilisation des cookies et traceurs.

Avec l’entrée en application du Règlement, elle publie en juillet 2019 des lignes directrices provisoires, destinées à accompagner les acteurs du secteur dans leur application des textes.

Suite à la décision du Conseil d’Etat du 19 juin dernier, la CNIL doit toutefois mettre jour ses cadres de référence.

Consultation publique

Dès  2019, la CNIL s’appuie sur les apports d’une consultation des acteurs de la profession pour construire ses recommandations provisoires.

De même, la version définitive de la recommandation « cookies et traceurs » est le fruit d’une consultation publique lancée dès l’automne 2019.

Les règles et pratiques applicables

Voici les apports principaux des nouvelles recommandations et lignes directrices de la CNIL :

Sur l’information

Les internautes doivent être clairement informés :

  • Des finalités des cookies et traceurs, de manière distributive : à quoi sert ce traceur, à quoi sert celui-ci ? Cette information précise permet un consentement spécifique par finalité.
  • Préalablement à leur acceptation: l’internaute peut ainsi choisir d’accepter certains traceurs mais d’en refuser d’autres, notamment selon la finalité poursuivie, car l’implication sur la vie privée de la personne peut varier en fonction.
  • Des conséquences possibles de leur acceptation ou de leur refus. Par exemple, le refus de certains cookies peut empêcher d’accéder à certains contenus ou services : l’utilisateur soit en avoir conscience avant de prendre la décision de les accepter ou de les refuser « en connaissance de cause ».
  • De l’identité de l’intégralité des acteurs pouvant les utiliser : non seulement du responsable de traitement, qui est généralement l’éditeur du site, mais aussi de tous les potentiels destinataires des données notamment dans le cas de partenaires réutilisant les données ainsi collectées

Sur le consentement

Le consentement à l’utilisation de cookies et traceurs doit être :

  • Préalable à leur dépôt et manifesté par un acte positif clair(univoque) : la simple poursuite de la navigation sur le site ne constitue pas une acceptation valide, et il est donc interdit de déposer des traceurs sur le terminal de l’utilisateur avant consentement, sauf pour ce qui est des traceurs « essentiels au fonctionnement du service ».
  • Libre: l’utilisateur doit pouvoir refuser les cookies et traceurs aussi facilement qu’il peut les accepter, mais aussi être en mesure de retirer aisément son consentement à tout moment.
  • Éclairé: l’utilisateur doit être dument informé comme indiqué ci-dessus.
  • Documenté : le responsable de traitement doit pouvoir, à tout moment, apporter la preuve du recueil valable du consentement libre, éclairé, spécifique, et univoque de l’utilisateur.

Les recommandations de la CNIL

Elles peuvent être résumées en trois points :

  • Permettre un refus « en bloc » des cookies, aussi bien que pour leur acceptation : c’est l’hypothèse du bouton « tout refuser».
  • Conserver une trace du refus des cookies, pour ne pas réinterroger l’utilisateur à chacune de ses visites.
  • Recueillir le consentement ultérieur lorsque le traceur initial emporte le suivi de la navigation sur un site partenaire.

NB. La CNIL propose une FAQ pour répondre aux interrogations les plus courantes sur le régime applicable aux cookies.

Elle a également développé avec son laboratoire d’innovation, le LINC, un outil pour visualiser les cookies utilisés sur nos navigateurs : Cookieviz.

Exception

Certains traceurs demeurent exonérés de ce régime de consentement préalable, parce qu’ils sont en substance considérés comme nécessaires (notamment pour permettre l’authentification), légitimes (par exemple pour limiter l’accès à un contenu payant), ou encore peu intrusif (c’est le cas des statistiques chiffrées de fréquentation).

Toutefois, cela reste rare, et il faut donc toujours vérifier si le consentement est requis.

Lexique

« Directive » vs. « Règlement »

Une Directive (par exemple la directive e-privacy) est un texte d’application indirecte, c’est-à-dire une norme adoptée au niveau de l’Europe, mais qui doit être « transposée » par chaque pays, c’est-à-dire intégrée en droit national par une « loi », donc un texte de l’État.

A l’inverse, un Règlement (comme le RGPD) est également une norme édictée par les instances européennes, mais d’applicabilité directe. Cela signifie qu’aucun texte national n’est nécessaire pour le rendre applicable dans chaque pays concerné. Dès qu’un règlement entre application, les citoyens de l’ensemble des États membres peuvent s’en prévaloir directement auprès de leurs autorités nationales. On peut donc voir le règlement européen comme une loi prise à l’échelle de l’UE.

Lignes directrices ou Recommandations ?

Lorsqu’on parle de « lignes directrices », il s’agit pour la CNIL de synthétiser le droit applicable, c’est-à-dire de compiler et de rendre plus accessible les diverses règles qui existent sur un sujet donné. Elles font l’objet d’une délibération officielle, sont publiées, et revêtent un caractère obligatoire.

Les « recommandations », quant à elles, sont placées sous l’angle pratique, entrent plus dans le détail opérationnel et technique, mais ne sont pas contraignantes. Elles constituent avant tout une base documentaire pour accompagner au quotidien les acteurs et sujets de la protection des données, mais sont également publiées après délibération, dans leur version définitive comme ici pour les cookies.