A ne pas confondre avec leurs homologues culinaires américains2, les cookies, témoins de connexion et autres traceurs sont des fichiers textes de petites tailles, déposés et lus sur les terminaux des internautes après consultation de sites, lecture de courriers électroniques, installation et utilisation de logiciels et d’applications mobiles. En pratique les cookies recouvrent notamment les cookies « flash », les cookies « http », les pixels invisibles ou « web bugs » et tout autre identifiant généré par un logiciel ou un système d’exploitation. Ils peuvent constituer un outil légitime et utile pour évaluer par exemple l’efficacité de la conception d’un site et de la publicité faite par un site ou encore contrôler l’identité d’utilisateurs effectuant des transactions en ligne3. D’ailleurs tous les terminaux utilisés sont concernés qu’ils soient une console de jeux connectée à Internet, une liseuse numérique, un ordinateur ou un smartphone.
Pour accompagner les professionnels dans leur mise en conformité, la CNIL a élaboré un plan d’action pour l’année 2019/2020 comportant deux étapes, la première étant la publication de nouvelles lignes directrices en matière d’opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment les cookies et autres traceurs)1.
Conformément à la loi Informatique et Liberté5, le Règlement général sur la protection des données sur ainsi que les lignes directrices du Contrôleur Européen de la Protection des Données (CEPD)6, les cookies et autres traceurs nécessitenten principe le recueil du consentement préalable des internautes, avant toute utilisation et écriture manifesté par un acte positif clair ou une déclaration spécifique, libre, éclairé et univoque et de manière libre.
Par exception les cookies et traceurs de mesure d’audience bénéficieront, par exception, d’une exemption au recueil du consentement dans certaines conditions précises ainsi que les opérations de lecture ou écrire visant notamment à permettre ou faciliter le service de communication en ligne à la demande expresse des internautes.
Les professionnels exploitant des cookies et autres traceurs devront être en mesure de prouver qu’ils ont bien recueilli le consentement préalable des internautes. Les cases pré-cochées et acceptation globale de conditions générales d’utilisation seront aussi à proscrire. Le consentement devant être facilement refusé ou retiré1. La CNIL laissera aux acteurs une période transitoire de 12 mois pour se conformer à ces nouveaux principes en phase avec les nouvelles règles du RGPD.
La seconde étape du plan précité est, après concertation avec les professionnels, l’élaboration d’ici décembre 2010/début 2020 d’une nouvelle recommandation proposant des modalités opérationnelles de recueil du consentement des internautes. Celle-ci viendra abrogée une ancienne recommandation désormais obsolète de 2013.
Des groupes de travail se tiendront entre les professionnels (annonceurs, éditeurs de contenus, intermédiaires et prestataires marketing et représentants de la société civile), les associations professionnelles et la CNIL. La CNIL procèdera à des vérifications du respect de la nouvelle recommandation 6 mois après son adoption définitive.
Par ses services d'assistance face à des contrôles, d'accompagnements, d'audits, de formations, de veilles réglementaire, Regalex aide les professionnels à se mettre en conformité avec les positions et recommandations émises par la CNIL.