Le consentement, l’ingrédient essentiel pour des cookies réussis

Le nouveau règlement européen relatif à la protection des données personnelles (RGPD) et la loi du 6 janvier 1978 modifiée ont renforcé les exigences attendues des acteurs numériques, qui doivent s’assurer que l’internaute consent explicitement aux cookies ou autres traceurs lors de sa navigation sur les sites web.

Les cookies sont des fichiers que le fournisseur d’un site internet place sur l’ordinateur de l’utilisateur de ce site et auxquels il peut accéder à nouveau lors d’une nouvelle visite du site par l’utilisateur, pour faciliter la navigation sur Internet ou des transactions ou pour obtenir des informations sur le comportement de ce dernier.

Le considérant 30 du RGPD précise que « Ces identifiants peuvent laisser des traces qui, notamment lorsqu’elles sont combinées aux identifiants uniques et à d’autres informations reçues par les serveurs, peuvent servir à créer des profils de personnes physiques et à identifier ces personnes. »

Le 18 juin 2019, la CNIL a publié un communiqué de presse sur le Ciblage publicitaire en ligne : quel plan d’attaque pour la CNIL ? présentant, ainsi, 2 étapes clés avec d’une part, la publication de nouvelles lignes directrice pour juillet 2019 et d’autre part, une concertation avec les professionnels pour élaborer, d’ici début 2020, une nouvelle recommandation proposant des modalités opérationnelles de recueil du consentement.

La CNIL a publié le 4 juillet 2019 la délibération n°2019-093 portant adaptation de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d’un utilisateur (notamment aux cookies et autres traceurs) et comporte 7 articles.

L’article 2 de la délibération nous intéresse, plus particulièrement, puisqu’il concerne les modalités de recueil du consentement.

Tout d’abord, il est énoncé que « en application de la loi « informatique et libertés », du RGPD et des lignes directrices du CEPED sur le consentement, les traceurs nécessitant un recueil du consentement ne peuvent être utilisés en écriture ou en lecture tant que l’utilisateur n’a pas préalablement manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair. »

Puis, la Commission développe davantage en indiquant, notamment, que le consentement n’est valable que si la personne ne subit pas d’inconvénients majeurs pouvant l’influencer. Elle précise que la personne peut accepter dans sa globalité les conditions générales d’utilisation (CGU) à condition qu’elle puisse par la suite consentir, spécifiquement, à chaque finalité.

Enfin, la Commission souligne l’importance de rédiger l’information en des termes simples et compréhensifs par toute personne. A ce titre, elle fait référence à l’article 82 de la loi du 6 janvier 1978 en rappelant qu’il doit être indiqué a minima : l’identité du ou des responsables du traitement, la finalité des opérations de lecture ou écriture des données et l’existence du droit de retirer son consentement.

En suivant cette logique, la CNIL énonce que les responsables de traitement doivent être en mesure de délivrer la preuve justifiant le consentement apporté par l’utilisateur.

Puis, la CNIL a publié un communiqué de presse le 18 juillet 2019 Cookies et autres traceurs annonçant une période d’adoption, s’étalant sur 6 mois, dès la publication de la future recommandation prévue pour début de l’année 2020 qui sera laissée aux acteurs afin de leur permettre d’intégrer les nouvelles règles. Durant cette phase de transition, la poursuite de la navigation comme expression du consentement sera donc considérée par la CNIL comme acceptable.

En réponse à cette annonce, les associations « La Quadrature du net » et « Caliopen » ont saisi par une requête et un mémoire en république, les 29 juillet et 24 septembre 2019, le Conseil d’Etat. Les associations ont demandé :

D’annuler pour excès de pouvoir la décision de la CNIL du 4 juillet 2019 révélée par les communiqués de presses précédemment mentionnés
D’enjoindre à la CNIL de publier, tant sur sa page d’accueil sur les pages de ses communiqués visés, un encart faisant référence à la décision du Conseil d’Etat et indiquant que « la poursuite de la navigation » ne constitue pas un mode d’expression valable du consentement en matière de cookies et de traceurs en ligne, sous astreinte de 500€ par jour de retard.

Ainsi, le 16 octobre 2019, le Conseil d’Etat a rendu sa décision n° 433069 sur le plan d’action de la CNIL en matière de publicité ciblé en rejetant la requête initiée par les deux associations.

En premier lieu, Le Conseil d’État rappelle que la CNIL, étant une autorité administrative indépendante, détient un large pouvoir d’appréciation dans l’exercice de ses missions. Il en déduit que la CNIL pouvait élaborer un tel plan d’action et le rendre public, afin de parvenir à un meilleur respect effectif du droit de la protection des données personnelles.

Le Conseil d’État énonce ensuite que, dans le cadre de ce plan, le délai laissé aux acteurs pour se conformer aux règles n’est pas illégal. En effet, il estime que cela vise à permettre aux acteurs concernés de s’approprier ces nouvelles règles, dont la CNIL a correctement explicité la teneur, et ainsi de respecter pleinement les exigences fixées par le RGPD à l’horizon de l’été 2020.

Pour finir, le Conseil d’État énonce que la stratégie de la CNIL ne méconnaît pas le droit au respect de la vie privée car elle contribue à remédier aux pratiques prohibées de publicité ciblée, et n’empêchera pas la Commission de réaliser des contrôles pendant cette période transitoire, en sanctionnant le cas échéant les manquements les plus graves à ce nouveau cadre juridique imposé par le RGPD.

La décision du Conseil d’Etat vient faire échos à la décision de la Cour de Justice de l’Union européenne (CJUE) rendue quelques jours auparavant le 1^er octobre 2019.

En l’espèce, la fédération allemande des organisations de consommateurs conteste, devant les juridictions allemandes, l’utilisation par la société allemande Planet49, dans le cadre de jeux promotionnels en ligne, d’une case cochée par défaut par laquelle les internautes souhaitant participer expriment leur accord au placement de cookies. Ces cookies visent à recueillir des informations à des fins de publicité pour des produits des partenaires de Planet49. La Cour fédérale de justice allemande demande à la CJUE d’interpréter le droit de l’Union concernant la protection de la vie privée dans le cadre de la communication électronique.

La Cour décide que le consentement que l’utilisateur d’un site Internet doit donner pour le placement et la consultation de cookies sur son équipement n’est pas valablement donné au moyen d’une case cochée par défaut que cet utilisateur doit décocher pour refuser de donner son consentement.

La Cour souligne, précisément, que le consentement doit être spécifique, de telle sorte que le fait, pour un utilisateur, d’activer le bouton de participation au jeu promotionnel ne suffit pas pour considérer qu’il a valablement donné son consentement au placement de cookies.

De plus, la CJUE rajoute que les informations qui doivent être données par le fournisseur du service à l’utilisateur incluent la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies.

Toutefois, il convient de rappeler qu’il s’agit d’un avis de question préjudicielle rendu dans un cas spécifique du fait de l’espèce pour pouvoir servir le juge national. Il appartient, désormais, à la juridiction nationale allemande de résoudre l’affaire conformément à la décision de la Cour.

Par ailleurs, le laboratoire d’innovation numérique de la CNIL a publié, récemment, un baromètre générique sur les pratiques numériques et la maîtrise des données personnelles.

Ainsi, pour les internautes de plus de 15 ans qui utilisent comme principaux navigateurs Internet Google Chrome, Mozilla Firefox, Internet Explorer ou Safari :

Concernant le réglage de paramétrage de confidentialité sur le navigateur d’Internet :

65% suppriment de l’historique de navigation
55% refusent de partager la localisation géographique
51% bloquent ou suppriment les cookies ;
38% activent la navigation privée ;
38% effacent les données de saisie automatique

L’utilisation de ces principaux paramètres révèle une certaine prise de conscience des internautes sur les conséquences des traceurs et de la publicité ciblée sur leur vie privée.

Concernant les pratiques spécifiques de protection des données :

45% ont déjà utilisé de fausses informations les concernant sur internet ;
35% centralisent leur mot de passe sur papier ;
13% ont déjà entrepris une démarche pour obtenir le retrait d’un contenu en ligne dont:
- 2% en prenant contact avec une autorité publique (CNIL, service de police etc.)

Toutefois, on remarque que lorsqu’une démarche de retrait d’un contenu en ligne est entreprise, la prise de contact avec la CNI ne s’impose pas, encore, comme un premier réflexe.

Sources :