La CNIL a adopté des lignes directrices modificatives ainsi qu’une recommandation portant sur l’usage de cookies et autres traceurs par deux délibérations en date du 17 septembre 2020 publiées au J.O du 2 octobre dernier.

 

Les premières recommandations devenues obsolètes

Pour rappel, la CNIL avait adopté une première recommandation en 2013 pour guider les acteurs dans la mise en œuvre des cookies. L’entrée en vigueur du RGPD le 25 mai 2018 a rendu obsolète une partie de cette recommandation.

Elle avait adopté ses lignes directrices le 4 juillet 2019, mais le Conseil d’État avait annulé la disposition des lignes directrices qui prohibait de façon générale et absolue la pratique des « cookies wall » (CE, 19 juin 2020, n° 434684, Association des agences-conseils en communication ; V. CNIL : le mur infranchissable des cookies).

cookies

 

Le « cookies wall » correspond à la pratique subordonnant l’accès à un site Internet à l’acceptation des cookies par l’utilisateur en imposant aux internautes de consentir à l’utilisation de cookies avant même de pouvoir accéder à un site web.

 

L’information aux cookies plus claire

Les grands principes retenus sont :

  • Concernant le consentement des utilisateurs
    • La simple poursuite de la navigation sur un site n’est pas une expression valable du consentement de l’internaute.
    • Les personnes doivent consentir au dépôt de traceurs par un acte positif et clair.
    • Les utilisateurs devront être en mesure de retirer leur consentement facilement et à tout moment.
    • Refuser les traceurs doit être aussi aisé que de les accepter.

 

  • Concernant l’information des personnes :elles doivent être clairement informées des finalités des traceurs avant de consentir, ainsi que des conséquences qui s’attachent à une acceptation ou un refus de traceurs ;
    • Elles doivent également être informées de l’identité de tous les acteurs qui utilisent des traceurs soumis au consentement.
    • Les organismes exploitant les traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.

 

La CNIL prévoir que certains traceurs sont exemptés du recueil du consentement :

    • Les traceurs destinés à l’authentification auprès d’un service.
    • Les traceurs destinées à garder en mémoire le contenu d’un panier d’achat sur un site marchant.
    • Certains traceurs visant à générer des statistiques de fréquentation.
    • Les traceurs permettant aux site payant de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs.

Selon les recommandations de la CNIL

  • L’interface du recueil du consentement ne doit pas comprendre seulement un bouton « tout accepter » mais aussi un bouton « tout refuser ».
  • Les sites internet, qui conservent généralement pendant tout une période le consentement aux traceurs, conservent également le refus des internautes pendant une certaine période, afin de ne pas réinterroger l’internaute à chacun de ses visites.
  • Lorsque des traceurs permettent un suivi sur des sites autres que le site visité, le consentement doit être recueilli sur chacun des sites concernés par ce suivi de navigation.

 

Le délai de mise en conformité aux nouvelles règles ne devra pas dépasser 6 mois, soit au plus tard fin mars 2021.

La CNIL continuera à poursuivre les manquements aux règles relatives aux cookies antérieures à l’entrée en vigueur du RGPD, éclairées par sa recommandation du 5 décembre 2013.