La CNIL Dévoile son projet de recommandation sur le consentement requis pour l'utilisation de Cookies
En Bref
Le Contexte : Le 4 juillet 2019, la Commission Nationale Informatique et Libertés (CNIL) a publié une version révisée des lignes directrices sur la mise en œuvre des cookies et autres technologies de traçage similaires, afin de prendre en compte les nouvelles exigences en matière de consentement prévues par le RGPD. La CNIL a ensuite mené une consultation publique afin d'établir des recommandations fournissant des conseils sur le processus d'obtention du consentement lors de la mise en œuvre de cookies.
Le Résultat : La CNIL a désormais publié son projet de recommandations sur le consentement aux cookies et autres technologies de traçage. Ces recommandations, qui fournissent aux entreprises des conseils pratiques, sont soumises à consultation publique jusqu'au 25 février 2020.
À venir : Les éditeurs de sites web et/ou d'applications mobiles devraient se familiariser avec les recommandations de la CNIL afin d'obtenir un consentement valable à la mise en place de cookies, et suivre les éventuels ajustements de ces recommandations résultant du processus de consultation en cours. La CNIL a annoncé qu'elle commencerait à appliquer ses recommandations révisées sur les cookies aux alentours du troisième trimestre 2020.
Le 14 janvier 2020, la Commission Nationale Informatique et Libertés (CNIL) a publié un projet de recommandations destinées aux entités utilisant des cookies et des technologies similaires, fournissant des orientations pratiques sur les conditions nécessaires à l'obtention d'un consentement valable, avant la mise en œuvre de cookies. Ces recommandations visent à aider les éditeurs de sites Internet et d'applications mobiles à se mettre en conformité avec les exigences de la directive e-Privacy 2002/58/CE, telle que transposée en droit français et interprétée par la CNIL. Ces exigences prévoient que, pour les cookies autres que ceux nécessaires à l'utilisation d'un site Internet, le consentement de l'utilisateur du site Internet ou de l'application mobile est requis et qu'un tel consentement doit être libre, spécifique, éclairé et univoque.
Dans sa recommandation, la CNIL souligne l'importance d'un design graphique neutre pour véhiculer des informations appropriées et ne pas influencer la décision des utilisateurs.
En conséquence, la CNIL recommande de distinguer deux niveaux d'information à fournir aux utilisateurs, selon que l'information doit être reçue avant que l'utilisateur ne consente ou bien qu'elle puisse être fournie à sa demande. En suivant cette approche sur deux niveaux :
- Pour le premier niveau d'information, il est recommandé (i) de fournir des informations claires sur les finalités des cookies avec un titre court suivi d'une description de la finalité concernée, (ii) d'afficher une liste à jour et exhaustive des entités utilisant les cookies et de leurs rôles respectifs (un nouveau consentement sera requis en cas de mise à jour substantielle de cette liste) et (iii) de permettre d'accepter ou de refuser la mise en œuvre des cookies finalité par finalité, mais aussi pour chaque responsable du traitement des données, soit par le biais d'un menu déroulant, soit par un lien de redirection.
- Pour le second niveau d'information, la CNIL recommande également (i) d'informer les utilisateurs sur le fait que leur consentement s'applique ou non à d'autres sites Internet où la navigation est susceptible de se poursuivre, (ii) de placer un lien vers la politique de confidentialité de ces entités et (iii) que les mesures techniques permettant d'obtenir les informations de second niveau soient affichées dans une zone de l'écran facilement repérable par les utilisateurs.
La CNIL précise que, en tout état de cause, des mécanismes simples et clairs doivent être mis à la disposition des utilisateurs (par des boutons on/off ou des cases à cocher non pré-cochées) et, en particulier, un mécanisme simple de refus des cookies doit être proposé aux utilisateurs, sur le même niveau d'information et dans les mêmes conditions techniques que le mécanisme proposé pour les accepter. En outre, le refus ou l'acceptation de la mise en œuvre des cookies devrait être enregistré afin d'éviter de solliciter de nouveau le consentement des utilisateurs et donc d'entraîner une certaine forme de pression susceptible d'influencer la décision de l'utilisateur. Par ailleurs, lorsque l'utilisateur n'a pris aucune décision, la CNIL souligne qu'aucune technologie de traçage ne doit être mise en œuvre et l'utilisateur ne doit souffrir d'aucune conséquence négative du fait de son refus des cookies.
Une fois le consentement exprimé et enregistré, la CNIL recommande d'obtenir son renouvellement à des intervalles appropriés (par exemple, à l'expiration d'une période de 6 mois).
En ce qui concerne la preuve de la conformité, la CNIL souligne que les entités concernées doivent conserver une preuve à double titre, comme suit :
- La preuve individuelle de la prise en compte du consentement de l'utilisateur, c'est-à-dire l'enregistrement du consentement incluant un horodatage, le contexte du recueil du consentement, le type de mécanisme utilisé et les finalités pour lesquelles le consentement a été donné ; et
- La preuve que le mécanisme technique utilisé pour obtenir le consentement est conforme et qu'il garantit un consentement valable (libre, spécifique, éclairé et univoque). A cette fin, les recommandations de la CNIL préconisent des audits fréquents du mécanisme de consentement mis en œuvre et/ou la mise sous séquestre du code informatique utilisé par le responsable du traitement pour obtenir le consentement.
Ce projet de recommandations fait actuellement l'objet d'une consultation publique, et ce jusqu'au 25 février, en vue de préparer la version finale. A compter de la publication des recommandations finales, les acteurs concernés bénéficieront d'une période de transition afin d'intégrer ces nouvelles règles.
Les éditeurs de sites Internet et d'applications mobiles devraient se familiariser avec les recommandations de la CNIL afin d'obtenir un consentement valable à la mise en œuvre de cookies et suivre les éventuels ajustements de ces recommandations résultant du processus de consultation.
Dans l'attente de la reprise des discussions sur le projet de règlement ePrivacy, et alors que plusieurs autorités de contrôle de l'Union européenne (notamment au Royaume-Uni et en Allemagne) ont récemment renforcé leurs exigences sur le consentement aux cookies, ce projet de recommandations pratiques de la CNIL pourrait constituer un précédent utile en termes de recommandations pour les entreprises qui ont une activité en ligne dans plusieurs pays de l'UE et souhaitent se mettre en conformité avec le régime applicable aux cookies.
La CNIL commencera à appliquer ses lignes directrices sur les cookies aux alentours du troisième trimestre 2020.
Les Six Points à Retenir
- Le mécanisme utilisé pour obtenir le consentement de l'utilisateur aux cookies doit présenter un design graphique neutre.
- Des mécanismes simples et clairs doivent être proposés aux utilisateurs, y compris un mécanisme permettant le refus de cookies.
- Au premier niveau d'information, il devrait apparaître des informations sur les finalités des cookies, une liste exhaustive des entités utilisant ces cookies et leurs rôles respectifs et un mécanisme permettant à l'utilisateur d'accepter ou de refuser la mise en œuvre des cookies, objectif par objectif et pour chaque responsable du traitement des données.
- Au second niveau d'information, il convient de fournir des informations sur la portée du consentement donné (notamment si le consentement donné couvre également d'autres sites Internet).
- Les éditeurs de sites Internet doivent conserver une double preuve, à savoir la preuve individuelle du recueil du consentement de l'utilisateur et la preuve que le mécanisme technique utilisé pour obtenir le consentement est conforme et garantit la validité du consentement.
- Au regard du renforcement récent par plusieurs autorités de contrôle dans l'UE des exigences pour le consentement aux cookies, les recommandations de la CNIL devraient permettre aux entreprises de mieux respecter la réglementation applicable dans l'UE.