Recommandation de la CNIL du 1er Octobre 2020 sur l’utilisation des cookies

Publié par le dans | Consulté 262 Fois

  Voulez-vous qu’un site capte, enregistre et analyse vos données personnelles pour afficher une publicité ciblée et personnalisée ? La réponse à cette question devrait être libre et sans ambiguïté, ce n’est pourtant pas le cas aujourd’hui.

Malgré l’adoption en 2018 du RGPD, Règlement général sur la protection des données personnelles, le consentement de l’utilisateur sur internet est encore faussé. Refuser des cookies est aujourd’hui plus compliqué que trouver la sortie d’un escalier de Penrose. On doit parfois subir plusieurs redirections puis cliquer de nombreuses fois avant de pouvoir refuser les cookies alors qu’accepter est parfois « sous entendu » par certains sites.

Pour éviter un ciblage publicitaire de plus en plus omniprésent la CNIL, Commission nationale de l’informatique et des libertés, ce jeudi premier octobre, a, dans la continuité des lignes directrices du 4 juin 2019 puis du 17 septembre 2020 rappelant le droit applicable, adopté une recommandation sur l’usage des cookies. Cookies que l’on nommera plus légitimement dans ce propos traceurs ou mouchards.
Le but de cette recommandation est de rendre aux internautes le pouvoir de refuser aussi facilement qu’accepter le ciblage publicitaire et d’assurer une transparence sur la finalité des traceurs sur internet.
Dans un monde de plus en plus connecté, l’internaute doit pouvoir garder la main mise sur ses données personnelles. L’article 82 de la loi Informatique, Fichiers et Libertés du 6 janvier 1978, qui transpose en droit français l’article 5.3 de la directive 2002/58/CE dite « ePrivacy », énonce que le recueil du consentement des internautes est obligatoire avant l’utilisation des traceurs. La CNIL s’appuie sur cet article pour donner cette recommandation.

 

Ce qu’il faut retenir de la recommandation :

  La CNIL recommande un bouton « tout refuser » au même titre qu’un bouton « tout accepter ».
Elle va préconiser aux sites qui conservent le consentement pour l’acceptation des traceurs pendant un certain temps de faire de même pour le refus.
Le site internet ne doit pas demander à l’internaute d’effectuer un refus trop fréquemment, cela doit être à la même fréquence qu’une acceptation.
La CNIL va aussi rappeler que lorsque l’on accepte des traceurs sur un site, un suivi de navigation peut étendre ce consentement à plusieurs autres sites. Le consentement éclairé doit être recueilli pour tout les sites concernés par le suivi de navigation.

 

Dans un souci de pédagogie, la CNIL prend le temps de fournir des exemples concrets :

  La CNIL précise que la simple poursuite de la navigation sur un site internet n’est pas une expression du consentement de l’internaute. Ou encore que l’acceptation des cookies ne doit pas être tacite mais bien le fait d’accepter en cliquant sur « j’accepte les cookies ».

Elle rappelle que les utilisateurs doivent être informés de la finalité des traceurs et mouchards ce qui se traduit par une liste consultable des conséquences tirées d’une acceptation. Ce ciblage publicitaire passe nécessairement par le navigateur qui conserve les traceurs et mouchards.
La durée de conservation des données personnelles doit être donnée à l’internaute et celle-ci ne doit pas être indéfinie. Le RGPD dans son article 5 rappelle que la durée ne doit pas excéder « celle nécessaire au regard des finalités pour lesquelles elles sont traitées ».
L’identité des annonceurs publicitaires récupérant ces données de traçage doit être transmise à l’utilisateur pour que son consentement soit libre et éclairé.
La CNIL donne aussi des indications aux professionnels. Les sites qui utilisent des traceurs doivent être capable de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé et spécifique de l’utilisateur.

 

La pratique des « cookies wall » :

  Cette pratique est un procédé que chaque internaute a déjà rencontré. La page des cookies bloque tout simplement l’accès au site à l’utilisateur qui refuse de donner son consentement.
Cette pratique avait fait l’objet d’un arrêt du Conseil d’État le 19 juin 2020. A cette occasion, le Conseil d’État a validé les lignes directrices relatives aux cookies et aux traceurs adoptées par la CNIL le 4 juillet 2019.
Pourtant le Conseil d’État ne va pas dans le sens de la CNIL qui voulait bannir totalement la pratique des « cookie walls » et annule cette disposition.
Le 17 septembre 2020, la CNIL s’adapte donc et énonce dans ses lignes directrices que la licéité des « cookie walls » sera étudiée au cas par cas.
Cela peut être considéré comme une défaite pour l’internaute mais la CNIL rappelle que si la pratique est autorisée, celle-ci doit respecter la transparence et indiquer clairement à l’internaute les conséquences du refus. L’utilisateur devra clairement comprendre que le fait de refuser les cookies lui rende l’accès au site impossible.

Pour l’instant, la CNIL ne prononce rien de contraignant mais on peut espérer que les divers sites et annonceurs publicitaires concernés vont profiter de cette période tolérante de 6 mois pour se mettre en conformité au lieu d’attendre une éventuelle amende.
Cette recommandation a le potentiel de révolutionner notre navigation et la publicité ciblée sur internet, le mois de mars 2021 sera important pour la bataille des données personnelles.

 

Maxime Dannière

Sources :
DENIS M.-L., « Cookies et autres traceurs », 2020, ( www.cnil.fr )
DUMOULIN S., « La CNIL fixe enfin le cadre du consentement à la publicité ciblée », 2020, ( www.lesechos.fr )
DREYFUS L., AFP « Consentement à la publicité sur internet », 2020, ( www.lemonde.fr )