La Cnil vient d’adopter des recommandations sur les cookies et autres traceurs dans lesquelles elle rappelle les obligations pour les responsables de sites et donne des conseils pour les internautes.
L’obligation légale
L’article 32-II de la loi du 6 janvier 1978 est sans équivoque. Sauf exceptions les cookies ou autres traceurs ne peuvent être déposés ou lus sur le terminal d’un internaute, tant que celui-ci n’a pas donné son consentement après avoir été préalablement informé (1) .
Dès lors, les responsables de traitement qui mettent en œuvre des cookies ou autres traceurs doivent :
- informer préalablement l’utilisateur ;
- recueillir son consentement préalable.
Par exception, cette obligation légale ne s’applique pas aux cookies ayant pour finalité de permettre ou de faciliter la communication par voie électronique strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur.
Recommandation de la Cnil
Suite à la publication le 26 avril 2012, d’une fiche pratique intitulée « Ce que le Paquet Télécom change pour les cookies » (2), dans laquelle la Cnil indiquait les moyens à mettre en œuvre pour se mettre en conformité avec cette obligation, et après 2 mois de concertation avec les acteurs du secteur tels que l’UFMD, la Fevad, et l’UDA, la Cnil formule ce 5 décembre 2013 une recommandation relative aux cookies et aux autres traceurs visés par l’article précité (3), et publie dans la foulée, le 16 décembre dernier un article intitulé « Recommandation sur les cookies : quelles obligations pour le responsable de sites, quels conseils pour l’internaute ? » (4) .
La Cnil entend rappeler l’ensemble des principes à respecter dans le cadre de l’utilisation des cookies ou autres traceurs. Ce, afin que les responsables de traitement qui les utilisent, se mettent en conformité avec l’article 32-II de la loi du 6 janvier 1978. A ce titre, la Cnil précise le champ d’application de l’obligation et détaille les moyens à mettre en œuvre pour s’y conformer.
Quels cookies ?
La Cnil indique que cette obligation s’impose à l’utilisation de toutes les formes d’accès et d’inscription dans un terminal, qu’il s’agisse de cookies ou de toutes autres technologies actuelles ou à venir le permettant. La Cnil précise que l’obligation s’applique également aux cookies ou autres traceurs qui ne collecteraient pas de données à caractère personnel au sens de la loi Informatique et libertés ; ce qui est pour le moins étonnant dans la mesure où cette disposition figure dans la loi Informatique et libertés qui précisément s’applique aux données à caractère personnel.
Cookies exemptés
Parallèlement, dans son article « Recommandation sur les cookies : quelles obligations pour le responsable de sites, quels conseils pour l’internaute ? », la Cnil précise la nature des cookies exemptées de consentement. Ainsi, sont notamment considérés comme des cookies ayant pour finalité de permettre ou de faciliter la communication par voie électronique strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur, les cookies :
- de » panier d’achat » pour un site marchand ;
- » identifiants de session « , pour la durée d’une session, ou les traceurs persistants limités à quelques heures dans certains cas ;
- d’authentification de l’internaute ;
- de session créés par un lecteur multimédia ;
- de session d’équilibrage de charge ( » load balancing « ) ;
- persistants de personnalisation de l’interface utilisateur.
Cookies de mesures d’audience
En outre, la Cnil réaffirme au sein de sa recommandation (5), sa position sur les cookies de mesures d’audience et rappelle que ces cookies peuvent être exemptés de l’obligation de recueil du consentement préalable, dans les conditions suivantes :
- information de l’utilisateur sur l’utilisation des cookies ;
- mise à disposition de dispositif facilement utilisable permettant à l’utilisateur de s’opposer au dépôt des cookies sur son terminal ;
- finalités des cookies uniquement limitées à la mesure d’audience du contenu visualisé afin de permettre une évaluation des contenus publiés et de l’ergonomie du site ou de l’application ;
- l’adresse IP collectée :
- ne doit pas permettre une géolocalisation plus précise que la ville, et
- doit faire l’objet d’une suppression ou anonymisation une fois la géolocalisation effectuée ;
- les cookies doivent être supprimés au plus tard le 13ème mois de son dépôt, et les informations collectées par son intermédiaire doivent être conservées pendant une durée de 13 mois maximum.
Quels sont les acteurs concernés ?
L’obligation d’information préalable de l’utilisateur et de recueil de son consentement préalable s’impose à tous les responsables de traitement qui mettent en œuvre des cookies ou autres traceurs. A ce titre, la Cnil précise que cette obligation s’impose notamment :
- à tous les éditeurs de sites, de systèmes d’exploitation, d’applications mobiles ;
- aux régies publicitaires ;
- réseaux sociaux ;
- aux éditeurs de solution de mesure d’audience.
Comment informer et recueillir le consentement ?
Concernant les modalités de mise en place de l’obligation d’information préalable de l’utilisateur, et de recueil de son consentement préalable, la Cnil précise qu’une simple acceptation des conditions générales d’utilisation n’est pas valable, et recommande une procédure de recueil du consentement en 2 étapes :
1. information de l’internaute rédigée en terme simples et compréhensibles par l’apparition d’un bandeau indiquant :
- les finalités des cookies et autres traceurs utilisés par le site ;
- la possibilité de s’opposer au dépôt de cookies ou autres traceurs sur son terminal ;
- le fait que la poursuite de sa navigation vaut accord au dépôt de cookies ou autres traceurs sur son terminal.
2. information de l’internaute rédigée en terme simples et lisibles des solutions mises à sa disposition pour accepter ou refuser tout ou partie des cookies ou autres traceurs par catégories de finalités et pour l’ensemble des cookies et traceurs utilisés sur le site.
En outre, la Cnil indique que :
- l’utilisateur qui refuse un cookie nécessitant un consentement doit pouvoir continuer à bénéficier du service ;
- l’utilisateur doit avoir la possibilité de retirer à tout moment son consentement.
Paramétrage du navigateur
Par ailleurs, la Cnil revient également au sein de sa recommandation (6) sur le paramétrage du navigateur en tant qu’expression du consentement de l’utilisateur, et indique qu’il pourra être considéré comme telle uniquement dans le cas où les deux conditions suivantes sont réunies :
- si l’utilisateur a pu être en mesure de modifier les paramètres de son navigateur pour accepter ou refuser les cookies ou autres traceurs ;
- et, s’il a été informé avant le dépôt ou la lecture de cookies ou autres traceurs, de leurs finalités et des moyens de s’y opposer.
Durée de validité du consentement
La Cnil recommande (7), de solliciter le consentement de l’utilisateur tous les 13 mois au plus tard. A ce titre, la Cnil indique que les informations recueillies via les cookies ou autres traceurs doivent être conservées pendant une durée de 13 mois glissant maximum, à compter du premier dépôt ou de la première lecture sur le terminal de l’utilisateur.
Jusqu’à présent la position de la Cnil était de dire qu’elle apprécierait :
- les mesures de mises en conformité et
- les efforts effectués par les responsables de traitement en cas de contrôle.
Mais il ne fait aucun doute qu’avec cette recommandation, sa volonté est de contraindre les acteurs à se mettre en conformité avec les dispositions de la loi relative aux cookies qui ont maintenant 2 ans (8).
D’autant que parallèlement, la Cnil a mis en ligne plusieurs outils à destination des responsables de traitement dans le but de les accompagner dans la mise en conformité de leurs sites et applications mobiles.
Par ailleurs, la Cnil a également mis à disposition de tous les internautes l’outil « Cookieviz ». Il permet d’identifier en temps réel l’existence de cookies sur le site visité et leur fonctionnement (9).
Aussi, compte tenu des outils mis à disposition et les explications fournies par la Cnil, les responsables de traitement qui ne se mettraient pas en conformité n’auront plus aucune excuse.
En conclusion
Il est donc recommandé d’inscrire la revue de la politique de cookies dans les actions à mener en priorité. L’outil développé par la Cnil (librement téléchargeable) peut être un outil d’identification et de mise en conformité.
ll peut également être un formidable outil pour les internautes pour vérifier l’utilisation de leurs données par les sites visité. L’absence d’information relative aux cookies, risque d’avoir un effet très néfaste pour le site en cause.
En conclusion, les actions à mettre en œuvre sont :
- l’identification des cookies et traceurs utilisés ;
- l’identification de leur finalité ;
- la détermination de leur régime ;
- la création ou la mise à jour d’une mention d’information relative aux cookies.
Céline Avignon
Anaïs Gimbert
Lexing Droit Marketing électronique
Notes
(1) Loi n° 78-17 du 6-01-1978 modifiée, art. 32-II
(2) Site Cnil, rubrique Documentation – Fiches pratiques
(3) Cnil, Délib. n° 2013-378 du 5-12-2013
(4) Cnil, rubrique Actualité, article du 16-12-2013
(5) Cnil, Délib. n° 2013-378 du 5-12-2013 précitée
(6) Cnil, Délib. n° 2013-378 du 5-12-2013 précitée
(7) Cnil, Délib. n° 2013-378 du 5-12-2013 précitée
(8) L’ordonnance n° 2011-1012 du 24-8-2011 relative aux communications électroniques a intégré l’article 32-II à la loi Informatique et libertés