Décryptage par Anmar Lucia Pinto, Avocat collaborateur – IP-IT-DATA PROTECTION

Le 1er octobre dernier, la CNIL a publié de nouvelles lignes directrices sur l’usage des cookies et autres traceurs. Ces nouvelles règles applicables vont permettre de mieux contrôler le ciblage publicitaire.

L’objectif est de permettre aux utilisateurs de garder la maîtrise de leurs données personnelles face aux cookies et traceurs utilisés sur les sites internet.

Rappelons que l’article 82 de la loi Informatique et Libertés transpose en droit français l’article 5.3 de la directive 2002/58/CE « vie privée et communications électroniques » dite « ePrivacy ». Il prévoit notamment l’obligation, sauf exception, de recueillir le consentement des utilisateurs avant toute opération d’écriture ou de lecture de cookies et autres traceurs.

Quels sont les éléments à retenir ?

1. Concernant l’information des acteurs

• L’utilisateur doit être clairement informé des usages des cookies ou traceurs du site internet et des conséquences liées à son acceptation ou à son refus. L’identité des acteurs utilisant les traceurs consentis par l’utilisateur doit également être clairement indiquée.

2. Concernant le consentement des utilisateurs

La CNIL préconise les recommandations suivantes :

• Si un utilisateur poursuit sa navigation sur le site internet sans avoir accepté les cookies, cela ne peut pas être considéré comme un consentement. Les personnes doivent consentir à l’usage des cookies par un acte précis tel qu’un clic sur un bouton « J’accepte ».
• Les sites internet doivent également conserver le refus des utilisateurs pendant une certaine période, afin de ne pas réinterroger l’utilisateur à chacune de ses visites.
• L’utilisateur doit être bien conscient de la portée de son consentement. A titre d’exemple, lorsque des traceurs permettent un suivi sur des sites autres que le site visité, le consentement doit être recueilli sur chacun des sites concernés par ce suivi de navigation.
• Une interface ou une bannière de recueil devrait contenir un bouton « tout accepter » et aussi un bouton « tout refuser » pour laisser un réel choix aux utilisateurs du site internet.

3. Concernant les traceurs exemptés du recueil du consentement

Ces recommandations énumèrent, de même, les traceurs que la CNIL considère comme exemptés du recueil du consentement. Ce sont les suivants :

• Les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
• Les traceurs destinés à l’authentification auprès d’un service ;
• Les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site e-commerce ;
• Les traceurs de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque du service ;
• Les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ; 
• Et certains traceurs de mesure d’audience dont la finalité se limite à répondre à différents besoins. A titre d’exemple : mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de l’ergonomie.

La CNIL demande aux acteurs concernés de s’assurer de la conformité de leurs pratiques afin de répondre aux exigences du RGPD et de la directive « ePrivacy ».

Les entreprises concernées devront réagir rapidement afin de se mettre en conformité avec ces nouvelles directrices. Le délai de mise en conformité ne devra pas dépasser six mois, soit au plus tard fin mars 2021.