Le Quotidien du 2 octobre 2020 : Données personnelles

[Brèves] Cookies et autres traceurs : la CNIL publie des lignes directrices modificatives et sa recommandation

Réf. : CNIL, communiqué de presse , 1er octobre 2020

Lecture: 5 min

N4740BY9

Citation copiée !

Citer l'article

Créer un lien vers ce contenu

Référence copiée !
[Brèves] Cookies et autres traceurs : la CNIL publie des lignes directrices modificatives et sa recommandation. Lire en ligne : https://www.lexbase.fr/article-juridique/60738576-brevescookiesetautrestraceurslacnilpubliedeslignesdirectricesmodificativesetsarecomman
Copier

par Marie-Lou Hardouin-Ayrinhac

le 07 Octobre 2020

► La CNIL a adopté des lignes directrices modificatives (CNIL, délibération n° 2020-091, 17 septembre 2020 N° Lexbase : X0891CK9) ainsi qu’une recommandation (CNIL, délibération n° 2020-092, 17 septembre 2020 N° Lexbase : X0892CKA) portant sur l’usage de cookies et autres traceurs. L’évolution des règles applicables, clarifiées par ces deux délibérations, marque un tournant tant pour le secteur de la publicité en ligne que pour les internautes, qui pourront désormais exercer un meilleur contrôle sur les traceurs en ligne.

Contexte.  En 2013, la CNIL adoptait une première recommandation pour guider les acteurs dans la mise en œuvre des textes régissant à l’époque les opérations de lecture et d’écritures par des cookies (CNIL, délibération n° 2013-378, 5 décembre 2013 N° Lexbase : Z80230ZT).

Le 25 mai 2018, l’entrée en application du « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I) est venue renforcer les exigences en matière de validité du consentement, rendant obsolète une partie de cette recommandation.

Dans le cadre de son plan d’action sur le ciblage publicitaire, la CNIL a donc entrepris d’actualiser en deux temps ses cadres de référence. Le 4 juillet 2019, elle a ainsi adopté des lignes directrices rappelant le droit applicable (CNIL, délibération n° 2019-093, 4 juillet 2019 N° Lexbase : Z780538P). Celles-ci ont été ajustées le 17 septembre 2020 pour tirer les conséquences de la décision rendue le 19 juin 2020 par le Conseil d’État (CE 9° et 10° ch.-r., 19 juin 2020, n° 434684, mentionné aux tables du recueil Lebon N° Lexbase : A96773NQ). En parallèle, la CNIL a également décidé d’établir, à l’issue d’une concertation avec les professionnels et la société civile, un projet de recommandation. Sans être prescriptive, la recommandation joue le rôle de guide pratique destiné à éclairer les acteurs utilisant des traceurs sur les modalités concrètes de recueil du consentement de l’internaute. Ce projet a été soumis, le 14 janvier dernier, à une consultation publique, dont les apports ont permis d’enrichir la version finalement adoptée le 17 septembre 2020.

L’évolution des règles applicables

Les grands principes confirmés par la CNIL.

  • Concernant le consentement des utilisateurs :

- la simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute ;

- les personnes doivent consentir au dépôt de traceurs par un acte positif clair (comme le fait de cliquer sur « j’accepte » dans une bannière cookie). Si elles ne le font pas, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur leur appareil.

  • Les utilisateurs devront être en mesure de retirer leur consentement, facilement, et à tout moment.
  • Refuser les traceurs doit être aussi aisé que de les accepter.
  • ​Concernant l’information des personnes :

- elles doivent clairement être informées des finalités des traceurs avant de consentir, ainsi que des conséquences qui s’attachent à une acceptation ou un refus de traceurs ;

- elles doivent également être informées de l’identité de tous les acteurs utilisant des traceurs soumis au consentement.

  • Les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.

Les traceurs exemptés du recueil de consentement. Certains traceurs sont cependant exemptés du recueil de consentement, comme par exemple les traceurs destinés à l’authentification auprès d’un service, ceux destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand, certains traceurs visant à générer des statistiques de fréquentation, ou encore ceux permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs.

Les recommandations de la CNIL.

  • Création d’un bouton « tout refuser ». La CNIL recommande que l’interface de recueil du consentement ne comprenne pas seulement un bouton « tout accepter » mais aussi un bouton « tout refuser ».
  • Conservation du refus des internautes aux traceurs pendant une certaine période. La CNIL suggère que les sites internet, qui généralement conservent pendant une certaine durée le consentement aux traceurs, conservent également le refus des internautes pendant une certaine période, afin de ne pas réinterroger l’internaute à chacune de ses visites.
  • Recueil du consentement pour chacun des sites concernés par un suivi de navigation. En outre, pour que l’utilisateur soit bien conscient de la portée de son consentement, la CNIL recommande que, lorsque des traceurs permettent un suivi sur des sites autres que le site visité, le consentement soit recueilli sur chacun des sites concernés par ce suivi de navigation.
  • Mise en place d’une FAQ. Afin de répondre aux questions des acteurs concernés et des internautes, la CNIL propose une FAQ accompagnement la publication des lignes directrices et de la recommandation.

Vers une mise en conformité des acteurs concernés

La CNIL invite tous les acteurs concernés à s’assurer de la conformité de leurs pratiques aux exigences du « RGPD » et de la Directive « ePrivacy » (Directive (CE) n° 2002/58 du Parlement européen et du Conseil du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques N° Lexbase : L6515A43).

Délai de mise en conformité. Comme elle l’avait annoncé, elle estime que le délai de mise en conformité aux nouvelles règles ne devra pas dépasser six mois, soit au plus tard fin mars 2021. La CNIL tiendra compte des difficultés opérationnelles des opérateurs pendant cette période durant laquelle elle privilégiera l’accompagnement sur les contrôles.

Poursuite des manquements par la CNIL. La CNIL se réserve la possibilité, conformément à la jurisprudence du Conseil d’Etat, de poursuivre certains manquements, notamment en cas d'atteinte particulièrement grave au droit au respect de la vie privée (CE 9° et 10° ch.-r., 16 octobre 2019, n° 433069, publié au recueil Lebon N° Lexbase : A3699ZRG). En outre, elle continuera à poursuivre les manquements aux règles relatives aux cookies antérieures à l’entrée en vigueur du « RGPD », éclairées par sa recommandation du 5 décembre 2013 (CNIL, délibération n° 2013-378, 5 décembre 2013).

© Reproduction interdite, sauf autorisation écrite préalable

newsid:474740

Vos notes

add
  • Aucune note pour le moment
Ajouter une nouvelle note