Commentaires – Nouvelles lignes directrices CNIL en matière de consentement de cookies et autres tracteurs
Le 4 juillet 2019 la Commission Nationale Informatique et Liberté (CNIL) a publié de nouvelles lignes directrices en matière de consentement de cookies1. Prises dans le prolongement de son plan d’action sur le ciblage publicitaire du 28 juin 2019, ces lignes directrices seront complétées par une recommandation fin décembre 2019/début 2020 afin d’éclairer les professionnels sur les modalités pratiques de recueil de consentement des internautes. Explication.
Vous avez dit cookies ?
A ne pas confondre avec leurs homologues culinaires américains2, les cookies, témoins de connexion et autres traceurs sont des fichiers textes de petites tailles, déposés et lus sur les terminaux des internautes après consultation de sites, lecture de courriers électroniques, installation et utilisation de logiciels et d’applications mobiles. En pratique les cookies recouvrent notamment les cookies « flash », les cookies « http », les pixels invisibles ou « web bugs » et tout autre identifiant généré par un logiciel ou un système d’exploitation. Ils peuvent constituer un outil légitime et utile pour évaluer par exemple l’efficacité de la conception d’un site et de la publicité faite par un site ou encore contrôler l’identité d’utilisateurs effectuant des transactions en ligne3. D’ailleurs tous les terminaux utilisés sont concernés qu’ils soient une console de jeux connectée à Internet, une liseuse numérique, un ordinateur ou un smartphone.
Apports des nouvelles lignes directrices sur les cookies
Pour accompagner les professionnels dans leur mise en conformité, la CNIL a élaboré un plan d’action pour l’année 2019/2020 comportant deux étapes, la première étant la publication de nouvelles lignes directrices en matière d’opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment les cookies et autres traceurs)1.
Conformément à la loi Informatique et Liberté5, le Règlement général sur la protection des données sur ainsi que les lignes directrices du Contrôleur Européen de la Protection des Données (CEPD)6, les cookies et autres traceurs nécessitenten principe le recueil du consentement préalable des internautes, avant toute utilisation et écriture manifesté par un acte positif clair ou une déclaration spécifique, libre, éclairé et univoque et de manière libre.
Par exception les cookies et traceurs de mesure d’audience bénéficieront, par exception, d’une exemption au recueil du consentement dans certaines conditions précises ainsi que les opérations de lecture ou écrire visant notamment à permettre ou faciliter le service de communication en ligne à la demande expresse des internautes.
Les professionnels exploitant des cookies et autres traceurs devront être en mesure de prouver qu’ils ont bien recueilli le consentement préalable des internautes. Les cases pré-cochées et acceptation globale de conditions générales d’utilisation seront aussi à proscrire. Le consentement devant être facilement refusé ou retiré1. La CNIL laissera aux acteurs une période transitoire de 12 mois pour se conformer à ces nouveaux principes en phase avec les nouvelles règles du RGPD.
Attente de la future recommandation sur les cookies mise à jour
La seconde étape du plan précité est, après concertation avec les professionnels, l’élaboration d’ici décembre 2010/début 2020 d’une nouvelle recommandation proposant des modalités opérationnelles de recueil du consentement des internautes. Celle-ci viendra abrogée une ancienne recommandation désormais obsolète de 2013.
Des groupes de travail se tiendront entre les professionnels (annonceurs, éditeurs de contenus, intermédiaires et prestataires marketing et représentants de la société civile), les associations professionnelles et la CNIL. La CNIL procèdera à des vérifications du respect de la nouvelle recommandation 6 mois après son adoption définitive.
Par ses services d'assistance face à des contrôles, d'accompagnements, d'audits, de formations, de veilles réglementaire, Regalex aide les professionnels à se mettre en conformité avec les positions et recommandations émises par la CNIL.
1 Lignes directrices sont disponibles intégralement au lien suivant : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000038783337
2 The chocolate chip cookie was invented by accident.
3 Considérant 25 de la Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) modifiée en 2009 appelée communément Directive ePrivacy.
4 L’article 82 de la Loi n°78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés transposant en droit français la Directive ePrivacy impose en effet l’obligation de recueillir le consentement préalable des internautes avant toute opération d’écriture ou de lecture de cookies et autres traceurs.
5 https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679">Le Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (Texte présentant de l'intérêt pour l'EEE).
6 Guidelines.