Cookies : il vous reste moins de deux mois pour mettre votre site Internet en conformité
La CNIL a récemment sanctionné Google et Amazon, respectivement à hauteur de 100 et de 35 millions d’euros d’amende, notamment après avoir constaté des manquements à la réglementation en vigueur, à savoir :
- Le dépôt de cookies sans recueil préalable du consentement de l’utilisateur ;
- Un défaut d’information des utilisateurs du site et une défaillance partielle du mécanisme d’opposition mis à disposition de l’internaute.
Le montant des sanctions financières prononcées marque clairement une nouvelle étape dans la stratégie de la CNIL qui jusqu’à présent avait surtout fait preuve de pédagogie.
QU’EST-CE QU’UN COOKIE ?
Il s’agit d’un ensemble d’informations, prenant le plus souvent la forme de fichiers .txt, qui sont déposées sur le terminal d’un utilisateur lorsque celui-ci visite un site Web. Le dépôt du cookie se fait via le navigateur. Ainsi, lors de visites ultérieures, le navigateur de ce même utilisateur enverra au site web les informations précédemment enregistrées qui permettront de « reconnaître » l’internaute.
Tout éditeur d’un site Web peut utiliser des cookies afin de collecter des informations sur les internautes, à condition toutefois de se conformer au cadre réglementaire en vigueur.
Les éditeurs de contenus en ligne, petits et grands, ont jusqu’à la fin du mois de mars pour s’assurer que le dépôt de cookies et de traceurs sur leurs sites internet est conforme à la réglementation applicable.
En effet, le 17 septembre dernier, la CNIL adoptait une délibération sur des lignes directrices modificatives ainsi qu’une recommandation sur l’usage de cookies et autres traceurs. A compter de cette date, les organisations avaient six mois pour se mettre en conformité.
Dans un courrier en date du 27 janvier dernier, la CNIL a constaté que la grande majorité des sites Internet du secteur public ne respectaient toujours pas la règlementation en vigueur. Elle a ainsi invité ces derniers à engager des actions de mise en conformité au plus vite.
Pour mémoire, l’utilisation des cookies et traceurs est encadrée par l’article 82 de la loi Informatique et Libertés, qui transpose en droit français l’article 5.3 de la directive 2002/58/CE dite « ePrivacy ». L’article 7 du Règlement Général sur la Protection des Données relatif au recueil du consentement trouve également à s’appliquer en la matière.
QUELLES SONT LES RÈGLES À RESPECTER POUR NE PAS SE FAIRE SANCTIONNER PAR LA CNIL ?
Un principe : le recueil préalable du consentement libre, spécifique, éclairé et univoque de l’utilisateur
Le consentement est l’une des bases légales prévue par le RGPD qui permet de fonder la licéité d’un traitement de données à caractère personnel. Il s’agit d’une base légale un peu particulière dans la mesure où elle confère à la personne concernée un contrôle accru sur l’utilisation qui est faite de ses données personnelles.
Parmi les cookies nécessitant le recueil préalable du consentement, on peut notamment citer :
- Les cookies utilisés pour de la publicité ciblée ;
- Les cookies de mesure d’audience (à noter toutefois que certains cookies de mesure d’audience peuvent être exemptés de consentement à certaines conditions) ;
- Les cookies liés aux boutons de partages des réseaux sociaux (les boutons Twitter ou Facebook par exemple).
Le consentement se définit comme une manifestation de volonté de la personne. Celle-ci doit être libre, spécifique, éclairée et univoque.
Le consentement est libre lorsque l’utilisateur ne subit pas de conséquences négatives s’il refuse de consentir. Ainsi, le fait de subordonner l’accès à un site web à l’acceptation du dépôt de traceurs sur son PC ou smartphone est susceptible de porter atteinte à la liberté du consentement. L’utilisateur doit aussi pouvoir donner son consentement de façon distincte pour chaque opération : un seul consentement recueilli pour un ensemble de finalités distinctes (publicité, mesures d’audience, personnalisation des contenus…) sans possibilité de choisir ne peut être qualifié de libre.
Le consentement doit ensuite être spécifique. A ce titre, le consentement aux cookies ne peut être valablement recueilli via une acceptation globale des CGV ou des CGU… Le mélange des genres doit être évité !
Le consentement doit être éclairé, ce qui fait ici écho au principe de transparence et à la nécessaire information des personnes. L’internaute doit recevoir une information claire, compréhensible et complète. Cette information doit être préalable au recueil du consentement : c’est le fameux bandeau cookies.
Le consentement doit enfin être univoque et se manifester par un acte positif clair. Ainsi, la simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute. De même, l’utilisation de cases pré-cochées doit être proscrite.
La CNIL rappelle également que, conformément à l’article 7.3 du RGPD, refuser les cookies doit être aussi facile que de les accepter. Les utilisateurs ayant donné leur consentement doivent être mis en mesure de le retirer aisément et à tout moment, grâce, par exemple, à un lien accessible en permanence sur le site concerné.
Enfin, les exploitants de sites internet qui utilisent des cookies doivent être en mesure de fournir la preuve du recueil du consentement libre, éclairé, spécifique et univoque de l’internaute. La CNIL indique que cette preuve peut être apportée, par exemple, par des captures d’écran ou des mises sous séquestre des différentes versions du code informatique utilisé par l’organisme.
Deux exceptions : les traceurs exemptés du recueil de consentement
Tous les cookies ne sont pas soumis au recueil préalable du consentement. Il s’agit :
- Des cookies strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur ;
- Et ceux qui permettent ou qui facilitent la transmission de la communication par voie électronique.
La CNIL donne des exemples de traceurs pouvant être regardés comme exemptés du recueil de consentement. Il peut s’agir notamment :
- Des traceurs de session, qui permettent de s’authentifier auprès d’un service en ligne et de maintenir la session ouverte ;
- Des traceurs qui permettent de mémoriser le contenu d’un panier d’achat sur un site marchand ;
- Des traceurs qui permettent de personnaliser l’interface sur un site web (langue, visuels).
Dans un souci de transparence, il est recommandé que les utilisateurs soient également informés de l’existence de ces traceurs et de leurs finalités. Cette information peut se faire, par exemple, grâce à une mention dans la politique de protection des données personnelles du site en question.
Dans ses recommandations du 17 septembre 2020, la CNIL fournit des exemples de modalités permettant de recueillir un consentement conforme à la règlementation en vigueur.
Il existe aussi un certain nombre de solutions sur le marché qui portent sur la gestion du consentement, la gestion des cookies et le paramétrage des bandeaux d’information.