La CNIL a publié une FAQ le 18 mars 20211 apportant des précisions sur ses précédentes lignes directrices et sa recommandation sur les cookies et autres technologies de traçage, qu’elle avait publiées le 1er octobre 20202. La publication de cette FAQ coïncide avec la fin de la période de grâce laissée aux entreprises pour se conformer à ces nouvelles orientations et qui s’est achevée le 1er avril 2021.
La CNIL annonce qu’elle poursuivra et renforcera ses missions d’audit en cours relatives aux cookies et traceurs. La phase 1 de ces missions d’audit a débuté en octobre 2020 principalement par des inspections en ligne de sites web pour évaluer la conformité aux précédentes lignes directrices de la CNIL sur les cookies, adoptées en décembre 2013. Au cours de la phase 2, qui a débuté le 1er avril 2021, la CNIL multipliera ses missions de contrôle.
- Contexte
Les lignes directrices et la recommandation de la CNIL publiées le 1er octobre 2020 abrogent les précédentes lignes directrices de la CNIL en vigueur depuis décembre 2013 pour prendre en compte la définition du consentement issue du RGPD. Les versions finales de ces documents font suite à (i) une consultation publique et (ii) une décision du 19 juin 2020 (en français uniquement) du Conseil d’État qui exigeait que des lignes directrices adoptées par la CNIL le 4 juillet 2019, soient modifiées et remplacées.
Ces documents fixent l’interprétation juridique et la position de la CNIL qui peut prononcer des sanctions émanant du RGPD en cas de non-respect des principes qu’ils expliquent et illustrent.
- Les règles principales issues des lignes directrices et recommandations de la CNIL
– Méthodes de consentement et « cookie walls » : la CNIL n’interdit pas formellement l’utilisation de « murs de cookies », mais elle rappel que le consentement des personnes doit être libre et qu’il ne devrait pas être une condition d’accès à un service. La CNIL évaluera donc au cas par cas de tels modèles de cookies walls. Elle exige également que le consentement soit recueilli pour chaque finalité d’usage de cookies et qu’il prenne la forme d’une action claire et positive de l’utilisateur (par exemple, cocher une case, afficher des curseurs, etc. désactivés par défaut), car toute autre action (par exemple, défilement, navigation, etc.) est considérée comme un refus.
– Contenu de la « consent management platform » : la CNIL recommande que les choix qui doivent être fournis à l’utilisateur prennent la forme de boutons ou des liens de taille identique entre pour les options “accepter tous les cookies” et “refuser tous les cookies”. La CNIL fournit même un exemple de bandeau de cookies avec des boutons similaires pour “accepter tout”, “refuser tout” et “personnaliser mes choix.”
– Retrait du consentement : Les utilisateurs doivent pouvoir retirer leur consentement à tout moment, aussi facilement que pour manifester leur consentement ou leur refus. Les sites web ne peuvent pas seulement renvoyer aux paramètres de cookies des navigateurs et des systèmes d’exploitation pour offrir des possibilités de refuser les cookies ou de retirer le consentement, mais doivent également fournir une page web facilement accessible où les utilisateurs peuvent exprimer et modifier leurs choix.
Dérogations à l’exigence de consentement : En principe, le consentement des utilisateurs doit être recueilli pour chaque finalité des cookies. Toutefois, les cookies strictement nécessaires au fonctionnement du site web et sans lesquels des fonctions essentielles du site web ne seraient pas disponibles, sont exemptés de consentement. Ils sont énumérés de manière restrictive par la CNIL :
- les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
- les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès automatique ;
- les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer à l’utilisateur le ou les produits et/ou services achetés ;
- les traceurs de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
- les traceurs permettant l’équilibrage de la charge des équipements concourant à un service de communication ;
- les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
Les cookies de mesure d’audience peuvent être exempté du consentement des personnes à condition de se limiter aux opérations d’administration courante d’un site web ou d’une application : mesure des performances, détection des problèmes de navigation, optimisation des performances techniques, analyse des contenus consultés sous forme de statistiques agrégées, sans suivi individualisé de la navigation d’un terminal. L’exemption ne s’applique que si les statistiques anonymes de mesure d’audience ne peuvent pas être recoupées avec d’autres traitements et ne sont pas transmises à des tiers.
- Clarifications issues de la FAQ publiée par la CNIL le 18 mars 2021
– Le champ d’intervention de la CNIL : le champ d’intervention de la CNIL inclut à la fois les cookies et les traceurs collectant des données personnelles et les cookies et les traceurs ne collectant pas de données personnelles. Les contrôles de la CNIL devraient donc porter sur toutes les catégories de cookies et de traceurs.
– Focus sur les cookies exemptés de consentement : La CNIL rappelle que les exceptions au consentement sont très limitées. Par exemple, elle précise que les cookies utilisés pour facturer des opérations d’affiliation (c’est-à-dire une plateforme de commerce électronique faisant la promotion des produits d’un site de commerce électronique affilié) ne bénéficient pas de l’exception de consentement. Les cookies utilisés pour lutter contre la fraude (par exemple, pour un site de commerce électronique ou pour une banque en ligne) ne bénéficient pas non plus de l’exception de consentement, à l’exception de certains cookies très spécifiques tels que ceux utilisés pour assurer la sécurité d’un mécanisme d’authentification. Les entreprises qui utilisent de tels cookies doivent donc y prêter une attention particulière pour s’assurer que le consentement est effectivement recueilli.
– La délégation de sous-domaine : Le « CNAME cloaking » désigne la pratique consistant à déléguer un sous-domaine à un tiers puis à permettre à ce dernier de déployer des cookies apparaissant comme “first party” (émis par l’éditeur du site visité) au lieu de “third party” (tiers), ce qui, selon la CNIL, n’est pas contraire au RGPD et à la loi informatique et libertés. La CNIL souligne toutefois qu’une telle pratique peut conduire à des failles de sécurité et doit être mise en œuvre dans le strict respect des règles applicables et des mesures de sécurité appropriées. Lors des contrôles, la CNIL ne manquera donc pas de rechercher les sites web pratiquant la délégation de sous-domaine.
– Les solutions de mesure d’audience : Sensible aux difficultés rencontrées par les entreprises pour comprendre et appliquer les exemptions au consentement, la CNIL a lancé un programme d’évaluation des solutions de mesure d’audience. Elle publiera sur son site à la mi-juin 2021 une liste des solutions répondant aux critères d’exemption du consentement afin d’aider les entreprises à les identifier. La plupart des entreprises devront attendre l’été 2021 pour savoir comment configurer Google Analytics pour mesurer leur audience sans l’exigence du consentement.
- Les prochaines étapes
La conformité aux lignes directrices et à la recommandation de la CNIL fait l’objet de contrôles en ligne qui se multiplient et peuvent amener la CNIL à prononcer des sanctions rapides, lourdes, visibles et qui remettent en cause la réputation des entreprises pointées du doigt.
D’autres évolutions juridiques et pratiques sont attendues dans les mois à venir. En particulier, un nouveau Règlement européen « ePrivacy » devrait remplacer la Directive « ePrivacy » qui régulait depuis 2002 les cookies et traceurs. Après la version de ce futur Règlement adoptée au sein du Conseil européen le 10 février 2021, l’adoption finale au sein des institutions européennes pourrait avoir lieu d’ici la fin de l’année 2021.
Enfin, les grands acteurs de l’écosystème en ligne ont pris des mesures pour interdire ou limiter l’utilisation de cookies ou traceurs publicitaires provenant de tiers à l’éditeur du site visité, ce qui est susceptible de bouleverser les modèles économiques des éditeurs de services et des acteurs du e-commerce.