[Questions/Réponses] Le point sur les règles applicables aux cookies

Lorsqu'ils naviguent sur le web ou utilisent des applications mobiles, les internautes sont de plus en plus suivis par différents acteurs (éditeurs de services, régies publicitaires, réseaux sociaux, etc.) qui analysent leur navigation, leurs déplacements et leurs habitudes de consultation ou de consommation, afin notamment de leur proposer des publicités ciblées ou des services personnalisés. Ce traçage est réalisé par l'intermédiaire de différents outils techniques, les « traceurs », dont font partie les cookies.

Depuis l’entrée en vigueur du « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I), le ciblage publicitaire a été au cœur de nombreuses plaintes déposées auprès de différentes autorités de protection des données européennes, dont la CNIL. L'association La Quadrature du Net mais également d’autres organisations telles que NOYB, Privacy International ainsi que des particuliers, ont déposé des plaintes qui portent notamment sur le manque de contrôle offert aux internautes sur la collecte de données depuis leurs appareils connectés.

Par ailleurs, les actualités récentes en matière d’exploitation des données en ligne ont entrainé une réelle prise de conscience et sensibilisé le grand public à l’économie des données personnelles soutenant un grand nombre de services d’internet qui se revendiquent comme « gratuits ». Cette prise de conscience a fait naître des inquiétudes mais également des attentes légitimes en matière de protection des données en ligne.

Dans le même temps, les professionnels du secteur du marketing en ligne et leurs représentants ont demandé que la CNIL explicite ce qui est attendu de leur part pour respecter la réglementation.

Les enjeux numériques de la vie quotidienne étant au cœur de son action, la CNIL a donc décidé de faire du ciblage publicitaire un sujet prioritaire en 2019 et 2020. Après avoir concerté les différents acteurs concernés (associations professionnelles et société civile) pendant l’automne 2019, elle a soumis à consultation publique son projet de recommandation.

Par conséquent, le 17 septembre 2020, elle a adopté des lignes directrices modificatives (CNIL, délibération n° 2020-091, 17 septembre 2020 N° Lexbase : X0891CK9) ainsi qu’une recommandation (CNIL, délibération n° 2020-092, 17 septembre 2020 N° Lexbase : X0892CKA) portant sur l’usage de cookies et autres traceurs.

L’évolution des règles applicables, ainsi clarifiées, marque un tournant tant pour le secteur de la publicité en ligne que pour les internautes, qui pourront désormais exercer un meilleur contrôle sur les traceurs en ligne.

1 - Tout d’abord, qu’est-ce qu’un cookie ?

Un cookie est un petit fichier informatique, un traceur, stocké par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur et associé à un domaine web (c’est-à-dire dans la majorité des cas à l’ensemble des pages d’un même site web).  Ce fichier est automatiquement renvoyé lors de contacts ultérieurs avec le même domaine.

Les cookies ont de multiples usages : ils peuvent servir à mémoriser votre identifiant client auprès d'un site marchand, le contenu courant de votre panier d'achat, la langue d’affichage de la page web, un identifiant permettant de tracer votre navigation à des fins statistiques ou publicitaires, etc..

Il existe plusieurs types de cookies :                           

• les cookies « nécessaires », internes, permettent d’enregistrer des informations entre deux consultations d’un même site web sur un même appareil. Ils permettent d’enregistrer un panier d’achat, des identifiants de connexion ou encore des éléments de personnalisation de l’interface. Ils ne requièrent pas de consentement de la part de l’utilisateur ;
• les cookies « statistiques » permettent de suivre les actions d’un internaute sur un site web. Lorsque les statistiques sont anonymes (c’est-à-dire ne permettent pas de retrouver une personne), le consentement de l’utilisateur n’est pas nécessaire ;
• les cookies « internes » ou « first-party » sont déposés par le site consulté. Ils peuvent être déposés en plus des cookies nécessaires et peuvent être utilisés pour collecter des données personnelles, suivre le comportement de l’utilisateur et servir à des finalités publicitaires ;
• les cookies dits « tiers », « tierce partie » ou « third party » sont des cookies déposés par (ou pour) un site B (souvent une régie publicitaire) sur un site A : cela permet au site B de voir quelles pages ont été visitées sur le site A par un utilisateur et de collecter des informations sur lui.

L’information stockée sur le terminal est théoriquement limitée au domaine en cours de visite. En pratique, ce n’est pas uniquement le cas pour les cookies « first-party » déposés par le domaine principal. En effet, les pages web peuvent intégrer des contenus venant d’autres domaines.

À titre d'exemple, les termes de « cookie » ou « traceur » recouvrent :

• les cookies HTTP ;
• les cookies « flash » ;
• le résultat du calcul d’une empreinte unique du terminal dans le cas du « fingerprinting » (calcul d'un identifiant unique du terminal basée sur des éléments de sa configuration à des fins de traçage) ;
• les pixels invisibles ou « web bugs » ;
• tout autre identifiant généré par un logiciel ou un système d'exploitation (numéro de série, adresse MAC, identifiant unique de terminal (IDFV), ou tout ensemble de données qui servent à calculer une empreinte unique du terminal (par exemple via une méthode de « fingerprinting »).

2 - Quel est le cadre juridique applicable aux cookies ?

L'article 5, 3°, de la Directive (CE) n° 2002/58 du Parlement européen et du Conseil du 12 juillet 2002, concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques, dite Directive « vie privée et communications électroniques » (N° Lexbase : L6515A43) modifiée en 2009 pose le principe : 

• d'un consentement préalable de l'utilisateur avant le stockage d'informations sur son terminal ou l'accès à des informations déjà stockées sur celui-ci ;
• sauf si ces actions sont strictement nécessaires à la fourniture d'un service de communication en ligne expressément demandé par l'utilisateur ou ont pour finalité exclusive de permettre ou faciliter une communication par voie électronique.

L’article 82 de la loi n° 78-17 du 6 janvier 1978, relative à l'informatique, aux fichiers et aux libertés (N° Lexbase : L8794AGS) transpose ces dispositions en droit français.

La CNIL rappelle que le consentement prévu par ces dispositions renvoie à la définition et aux conditions prévues aux articles 4, 11° et 7 du « RGPD ». Il doit donc être libre, spécifique, éclairé, univoque et l’utilisateur doit être en mesure de le retirer, à tout moment, avec la même simplicité qu’il l’a accordée.

Afin de rappeler et d’expliciter le droit applicable au dépôt et à la lecture de traceurs dans le terminal de l’utilisateur, la CNIL a adopté, le 17 septembre 2020, des lignes directrices, complétées par une recommandation, visant notamment à proposer des exemples de modalités pratiques de recueil du consentement.

3 - À qui s'impose cette obligation de recueil du consentement ?

Elle s’impose aux responsables du ou des traitements qui déposent des traceurs soumis au consentement en application de l’article 82 de la loi « Informatique et Libertés » (par exemple lorsque les éditeurs autorisent le dépôt de cookies qui sont ensuite lus par des régies publicitaires). Ces derniers sont réputés être responsables conjoints du traitement dans la mesure où ils déterminent conjointement les finalités et les moyens des opérations de lecture et écriture sur l’équipement terminal des utilisateurs.

L'obligation de recueil du consentement peut donc s'imposer notamment :

• aux éditeurs de sites web et d'applications mobiles ;
• aux régies publicitaires ;
• aux réseaux sociaux qui fournissent des modules de partage sur les réseaux sociaux.

De manière générale, les éditeurs de sites ou d’applications mobiles, du fait d’un contact direct avec l’utilisateur, sont souvent les plus à même de porter à la connaissance de ce dernier l’information sur les traceurs déposés et de collecter leur consentement.

4 - Quels cookies nécessitent le consentement préalable des utilisateurs ?

Tous les cookies n’ayant pas pour finalité exclusive de permettre ou faciliter une communication par voie électronique ou n’étant pas strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur nécessitent le consentement préalable de l’internaute. Parmi les cookies nécessitant une information préalable et le recueil préalable du consentement de l’utilisateur, on peut notamment citer :

• les cookies liés aux opérations relatives à la publicité personnalisée ;
• les cookies des réseaux sociaux, notamment générés par leurs boutons de partage.

En ce qui concerne les traceurs non soumis au consentement, on peut évoquer :

• les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
• les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues ;
• les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer, à l’utilisateur, le(s) produit(s) et/ou service(s) acheté(s) ;
• les traceurs de personnalisation de l'interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
• les traceurs permettant l'équilibrage de la charge des équipements concourant à un service de communication ;
• les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
• certains traceurs de mesure d’audience dès lors qu’ils respectent certaines conditions.

5 - Comment recueillir valablement le consentement ?

Le consentement doit se manifester par une action positive de la personne préalablement informée, notamment, des conséquences de son choix et disposant des moyens d’accepter, de refuser et de retirer son consentement. Des systèmes adaptés doivent donc être mis en place pour recueillir le consentement selon des modalités pratiques qui permettent aux internautes de bénéficier de solutions simples d’usage.

Le consentement doit être préalable au dépôt et/ou à la lecture de cookies.

• Tant que la personne n'a pas donné son consentement, les cookies ne peuvent pas être déposés ou lus sur son terminal.
• Il doit être requis à chaque fois qu'une nouvelle finalité nécessitant le consentement vient s'ajouter aux finalités initialement prévues.

Le consentement est une manifestation de volonté, libre, spécifique, univoque et éclairée. La validité du consentement est donc notamment liée à la qualité de l'information reçue.

• Elle doit être visible, mise en évidence et complète.
• Elle doit être rédigée en des termes simples et compréhensibles par tout utilisateur.
• Elle doit permettre aux internautes d'être parfaitement informés notamment s’agissant des différentes finalités des cookies et de l’identité des responsables du ou des traitements.
• Afin de concilier concision et précision de l’information, il est possible d’avoir deux niveaux d’information : par exemple, un premier niveau peut brièvement décrire chaque finalité de traitement, tandis qu’un second niveau viendrait fournir plus de détails sur ces finalités et sur la liste des responsables du ou des traitements.

Le consentement n'est valide que si la personne exerce un choix réel.

• L'utilisateur doit pouvoir accepter ou refuser le dépôt et/ou la lecture des cookies avec le même degré de simplicité.
• Aux termes du considérant 42 du « RGPD », qui éclaire l’exigence de liberté du consentement posée par son article 4, « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d'une véritable liberté de choix ou n'est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».  
• Par ailleurs, la CNIL recommande que ce choix soit effectué sur chacun des sites ou applications concernés par le suivi de navigation.

Le consentement doit pouvoir être retiré simplement et à tout moment par l'utilisateur.

• Il doit être aussi simple de retirer son consentement que de le donner.
• Des solutions permettant aux utilisateurs de retirer leur consentement doivent être mises à la disposition de l’utilisateur. Elles doivent être accessibles à tout moment.

À noter. L'acceptation des conditions générales d'utilisation ne peut être une modalité valable de recueil du consentement.

6 - Comment prouver que le consentement a bien été recueilli ?

Chaque acteur se prévalant du consentement doit être en mesure d’en apporter la preuve. Il peut pour cela utiliser les modalités suivantes, non exclusives :

• une mise sous séquestre auprès d’un tiers du code informatique utilisé par l’organisme recueillant le consentement, pour les différentes versions de son site ou de son application mobile, voire simplement par la publication horodatée sur une plate-forme publique d’un condensat (ou « hash ») de ce code pour pouvoir prouver son authenticité a posteriori ;
• une capture d’écran du rendu visuel affiché sur un terminal mobile ou fixe peut être conservée, de façon horodatée, pour chaque version du site ou de l’application ;
• des audits réguliers des mécanismes de recueil du consentement mis en œuvre par les sites ou applications depuis lesquels il est recueilli peuvent être mis en œuvre par des tiers mandatés à cette fin ;
• les informations relatives aux outils mis en œuvre et à leurs configurations successives (tels que les solutions de recueil du consentement, également connues sous l’appellation CMP « Consent Management Platform ») peuvent être conservées, de façon horodatée, par les tiers éditant ces solutions.

© Reproduction interdite, sauf autorisation écrite préalable