Lignes directrices de la Cnil sur les cookies et autres traceurs

La Commission nationale de l’informatique et des libertés a ajusté ses lignes directrices sur les cookies et autres traceurs par une délibération du 17 septembre 2020.

Une première recommandation relative aux cookies et autres traceurs avait été adoptée par la Cnil le 5 décembre 2013.

Celle-ci était cependant devenue obsolète à la suite de l’entrée en application du Règlement européen sur la protection des données (RGPD), qui est venu poser de nouvelles règles en matière de validité du consentement.

Adoption de nouvelles règles relatives aux cookies et autres traceurs

La Cnil a alors adopté, le 4 juillet 2019, de nouvelles lignes directrices présentant le droit applicable en matière de cookies et autres traceurs.

Dans une décision du 19 juin 2020, le Conseil d’État a validé pour l’essentiel ces lignes directrices relatives aux cookies et autres traceurs. En revanche, il a considéré que la Cnil ne pouvait légalement interdire dans ses lignes directrices les « cookie walls » (pratique qui consiste à bloquer l’accès à un site internet en cas de refus des cookies)  (1).

Pour le Conseil d’Etat, il s’agit d’un acte de droit souple, c’est-à-dire d’un acte qui ne crée pas d’obligation juridique mais qui a pour simple objet d’influer sur les pratiques des opérateurs économiques.

En conséquence, la Cnil a ajusté ses lignes directrices sur les cookies et autres traceurs par une délibération du 17 septembre 2020.

En parallèle, la Cnil a également établi, à l’issue d’une concertation avec les professionnels et la société civile, un projet de recommandation ayant pour objectif de guider les professionnels concernés sur les modalités concrètes de recueil du consentement de l’internaute aux cookies et autres traceurs, sans qu’elle ne soit prescriptive.

La Cnil a adopté la version définitive de cette recommandation par une délibération du 17 septembre 2020.

Dans ses lignes directrices et sa recommandation de septembre 2020, la Cnil a confirmé plusieurs grands principes.

Recueil du consentement aux cookies et autres traceurs

S’agissant des modalités de recueil du consentement des utilisateurs, la Cnil considère que :

• la simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute. Cette évolution notable découle de l’entrée en application du RGPD, qui impose désormais un consentement univoque de l’internaute ;
• les personnes doivent consentir au dépôt de traceurs par un acte positif clair (par exemple en cliquant sur « j’accepte » dans une bannière cookie). Si elles ne le font pas, aucun traceur non essentiel au fonctionnement du site ne pourra être déposé sur leur appareil.

La Cnil précise qu’un site web ne peut renvoyer au paramétrage du navigateur pour collecter le consentement de l’utilisateur. En effet, elle estime qu’en l’état de l’art, les possibilités de paramétrage des navigateurs et des systèmes d’exploitation ne peuvent, à eux seuls, permettre à l’utilisateur d’exprimer un consentement valide.

Retrait du consentement

La Cnil exige que les utilisateurs soient en mesure de retirer leur consentement, facilement, et à tout moment.

En pratique, elle recommande que le module de gestion des consentements soit aisément accessible à l’utilisateur, par exemple :

• par la mise à disposition d’un lien accessible à tout moment portant une dénomination descriptive telle que « gérer mes cookies » ; ou
• grâce à un module de paramétrage accessible sur toutes les pages du site au moyen d’une icône statique « cookie » (située par exemple en bas à gauche de l’écran).

Refus du dépôt des cookies et autres traceurs

Conformément aux lignes directrices de la Cnil, refuser les traceurs doit être aussi aisé que de les accepter.

Pour la Cnil, lorsqu’un seul clic est requis pour « accepter les cookies » tandis que plusieurs actions sont nécessaires pour paramétrer un refus, il y a un risque que l’internaute, qui souhaite généralement accéder rapidement au site, soit influencé.

Ainsi, elle recommande que l’interface de recueil du consentement comprenne un bouton « tout accepter » mais aussi un bouton « tout refuser ». A défaut, l’internaute doit être clairement informé des moyens dont il dispose pour refuser les traceurs, notamment lorsque ces moyens sont moins explicites (silence de l’utilisateur, poursuite de sa navigation sans cliquer sur aucune option proposée par la bannière cookie, etc.).

Conservation des choix de l’utilisateur

Dans sa recommandation, la Cnil rappelle qu’en principe, il est nécessaire de conserver les choix exprimés par l’utilisateur, qu’il s’agisse de son consentement ou de son refus, pendant une certaine durée afin de ne pas le réinterroger à chacune de ses visites.

La durée de conservation des choix s’apprécie au cas par cas (au regard de la nature du site web ou de l’application concernée et des spécificités de son audience). Généralement, une conservation des choix pendant une durée de six mois constitue une bonne pratique.

Portée du consentement

L’utilisateur doit être conscient de la portée de son consentement, Aussi, lorsque des traceurs permettent un suivi sur des sites autres que le site visité, le consentement doit être recueilli sur chacun des sites concernés.

Information des personnes 

Avant de consentir aux cookies et autres traceurs, les utilisateurs doivent être informés :

• de l’identité de tous les acteurs utilisant des traceurs soumis au consentement (la liste de ces acteurs devant être exhaustive et tenue à jour) ;
• des finalités des traceurs ;
• de la manière d’accepter ou de refuser les traceurs ;
• des conséquences qui s’attachent à une acceptation ou un refus des traceurs (notamment en cas de mise en place de « cookie walls ») ;
• de l’existence du droit de retirer son consentement.

Preuve du consentement

Les organismes exploitant des traceurs doivent pouvoir fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.

« Cookie walls »

La Cnil estime que la mise en œuvre d’un « cookie wall » est susceptible, dans certains cas et sous certaines conditions, de porter atteinte à la liberté du consentement.

Ainsi, la licéité du recours à un « cookie wall » s’apprécie au cas par cas. En tout état de cause, l’information fournie à l’utilisateur devra clairement lui indiquer les conséquences de ses choix et notamment l’impossibilité d’accéder au site en l’absence de consentement.

Exemption du consentement aux cookies et autres traceurs

Pour certains traceurs, le recueil de consentement n’est pas nécessaire. C’est le cas des traceurs destinés à :

• l’authentification auprès d’un service,
• garder en mémoire le contenu d’un panier d’achat sur un site marchand,
• générer des statistiques de fréquentation.

C’est aussi le cas des traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé.

Calendrier de mise en œuvre de la nouvelle règlementation

La Cnil accorde aux acteurs concernés un délai de six mois après la publication de ses nouvelles règles pour se mettre en conformité.

Ainsi, jusqu’en mars 2021, la Cnil va concentrer ses actions sur :

• le contrôle du respect des règles énoncées en 2013 et
• l’accompagnement de la mise en place des nouvelles lignes directrices.

À l’issue de cette période, la Cnil contrôlera pleinement l’application des nouvelles règles.

Malgré cette période d’adaptation, la Cnil, conformément à la jurisprudence du Conseil d’État, peut, à tout moment, poursuivre des manquements portant une atteinte particulièrement grave au droit au respect de la vie privée.

Virginie Bensoussan-Brulé
Marion Catier & Tess Muckensturm
Lexing Contentieux numérique

(1) Cf. E. Walle, I. Pottier, « Cookies et autres traceurs : annulation partielle des lignes directrices de la Cnil »,  publié le 07/08/2020.