Les recommandations Cnil sur les cookies ou la recette pour les réussir

Recommandations Cnil sur les cookiesLa Cnil vient d’adopter des recommandations sur les cookies et autres traceurs dans lesquelles elle rappelle les obligations pour les responsables de sites et donne des conseils pour les internautes.

L’obligation légale. L’article 32-II de la loi du 6 janvier 1978 est sans équivoque, sauf exceptions les cookies ou autres traceurs ne peuvent être déposés ou lus sur le terminal d’un internaute, tant que celui-ci n’a pas donné son consentement après avoir été préalablement informé (1) .

Dès lors, les responsables de traitement qui mettent en œuvre des cookies ou autres traceurs doivent :

  • informer préalablement l’utilisateur ;
  • recueillir son consentement préalable.

Par exception, cette obligation légale ne s’applique pas aux cookies ayant pour finalité de permettre ou de faciliter la communication par voie électronique strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur.

Recommandation de la Cnil. Suite à la publication le 26 avril 2012, d’une fiche pratique intitulée « Ce que le Paquet Télécom change pour les cookies » (2), dans laquelle la Cnil indiquait les moyens à mettre en œuvre pour se mettre en conformité avec cette obligation, et après 2 mois de concertation avec les acteurs du secteur tels que l’UFMD, la Fevad, et l’UDA, la Cnil formule ce 5 décembre 2013 une recommandation relative aux cookies et aux autres traceurs visés par l’article précité (3), et publie dans la foulée, le 16 décembre dernier un article intitulé « Recommandation sur les cookies : quelles obligations pour le responsable de sites, quels conseils pour l’internaute ? » (4) .

Dans cette recommandation, la Cnil entend rappeler l’ensemble des principes à respecter dans le cadre de l’utilisation des cookies ou autres traceurs, afin que les responsables de traitement qui les utilisent, se mettent en conformité avec l’article 32-II de la loi du 6 janvier 1978. A ce titre, la Cnil précise le champ d’application de l’obligation et détaille les moyens à mettre en œuvre pour s’y conformer.

 Quels cookies ? La Cnil indique que cette obligation s’impose à l’utilisation de toutes les formes d’accès et d’inscription dans un terminal, qu’il s’agisse de cookies ou de toutes autres technologies actuelles ou à venir le permettant. La Cnil précise que l’obligation s’applique également aux cookies ou autres traceurs qui ne collecteraient pas de données à caractère personnel au sens de la loi Informatique et libertés ; ce qui est pour le moins étonnant dans la mesure où cette disposition est intégrée dans la loi Informatique et libertés qui précisément s’applique aux données à caractère personnel.

Cookies exemptés. Parallèlement, dans son article « Recommandation sur les cookies : quelles obligations pour le responsable de sites, quels conseils pour l’internaute ? », la Cnil précise la nature des cookies exemptées de consentement. Ainsi, sont notamment considérés comme des cookies ayant pour finalité de permettre ou de faciliter la communication par voie électronique strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur, les cookies suivants :

  • les cookies de  » panier d’achat  » pour un site marchand ;
  • les cookies  » identifiants de session « , pour la durée d’une session, ou les traceurs persistants limités à quelques heures dans certains cas ;
  • les cookies d’authentification de l’internaute ;
  • les cookies de session créés par un lecteur multimédia ;
  • les cookies de session d’équilibrage de charge ( » load balancing « ) ;
  • les cookies persistants de personnalisation de l’interface utilisateur.

Cookies de mesures d’audience. En outre, la Cnil réaffirme au sein de sa recommandation (5), sa position sur les cookies de mesures d’audience et rappelle que ces cookies peuvent être exemptés de l’obligation de recueil du consentement préalable, dans les conditions suivantes :

  • information de l’utilisateur sur l’utilisation de ces cookies ;
  • mise à la disposition de dispositif facilement utilisable permettant à l’utilisateur de s’opposer au dépôt de ces cookies sur son terminal ;
  • finalités de ces cookies uniquement limitées à la mesure d’audience du contenu visualisé afin de permettre une évaluation des contenus publiés et de l’ergonomie du site ou de l’application ;
  • l’adresse IP collectée ne doit pas permettre une géolocalisation plus précise que la ville, et doit être supprimée ou anonymisée une fois la géolocalisation effectuée ;
  • les cookies doivent être supprimés au plus tard le 13ème mois de son dépôt, et les informations collectées par son intermédiaire doivent être conservées pendant une durée de 13 mois maximum.

Qui est obligé ? L’obligation d’information préalable de l’utilisateur et de recueil de son consentement préalable s’impose à tous les responsables de traitement qui mettent en œuvre des cookies ou autres traceurs. A ce titre, la Cnil précise que cette obligation s’impose notamment :

  • à tous les éditeurs de sites, de systèmes d’exploitation, d’applications mobiles ;
  • aux régies publicitaires ;
  • aux réseaux sociaux ;
  • aux éditeurs de solution de mesure d’audience.

Comment informer et recueillir le consentement ? Concernant les modalités de mise en place de l’obligation d’information préalable de l’utilisateur, et de recueil de son consentement préalable, la Cnil précise qu’une simple acceptation des conditions générales d’utilisation n’est pas valable, et recommande une procédure de recueil du consentement en 2 étapes :

1. information de l’internaute rédigée en terme simples et compréhensibles par l’apparition d’un bandeau indiquant :

  • les finalités des cookies et autres traceurs utilisés par le site ;
  • la possibilité de s’opposer au dépôt de cookies ou autres traceurs sur son terminal ;
  • le fait que la poursuite de sa navigation vaut accord au dépôt de cookies ou autres traceurs sur son terminal.

2. information de l’internaute rédigée en terme simples et lisibles des solutions mises à sa disposition pour accepter ou refuser tout ou partie des cookies ou autres traceurs par catégories de finalités et pour l’ensemble des cookies et traceurs utilisés sur le site.

De plus, la Cnil indique que :

l’utilisateur qui refuse un cookie nécessitant un consentement doit pouvoir continuer à bénéficier du service ;
l’utilisateur doit avoir la possibilité de retirer à tout moment son consentement.

Paramétrage du navigateur. Par ailleurs, la Cnil revient également au sein de sa recommandation (6) sur le paramétrage du navigateur en tant qu’expression du consentement de l’utilisateur, et indique qu’il pourra être considéré comme telle uniquement dans le cas où les deux conditions suivantes sont réunies :

  • si l’utilisateur a pu être en mesure de modifier les paramètres de son navigateur pour accepter ou refuser les cookies ou autres traceurs ;
  • et, s’il a été informé avant le dépôt ou la lecture de cookies ou autres traceurs, de leurs finalités et des moyens de s’y opposer.

Durée de validité du consentement. La Cnil recommande au sein de sa recommandation (7), de solliciter le consentement de l’utilisateur tous les 13 mois au plus tard. A ce titre, la Cnil indique que les informations recueillies via les cookies ou autres traceurs doivent être conservées pendant une durée de 13 mois glissant maximum, à compter du premier dépôt ou de la première lecture sur le terminal de l’utilisateur.

Si jusqu’à présent la position de la Cnil était de dire qu’elle apprécierait les mesures de mises en conformité et les efforts effectués par les responsables de traitement en cas de contrôle, il ne fait aucun doute qu’avec cette recommandation que sa volonté est de contraindre les acteurs à se mettre en conformité avec les dispositions de la loi relative aux cookies qui ont maintenant 2 ans (8).

D’autant que parallèlement, la Cnil a mis en ligne plusieurs outils à destination des responsables de traitement dans le but de les accompagner dans la mise en conformité de leurs sites et applications mobiles.

Par ailleurs, la Cnil a également mis à disposition de tous les internautes l’outil « Cookieviz », permettant d’identifier en temps réel l’existence de cookies sur le site visité et leur fonctionnement (9).

Aussi, compte tenu des outils mis à disposition et les explications fournies par la Cnil, les responsables de traitement qui ne se mettraient pas en conformité n’auront plus aucune excuse.

 C’est la raison pour laquelle, il est recommandé d’inscrire à court terme la revue de la politique de cookies dans les actions à mener en priorité en 2014. Par ailleurs, si l’outil développé par la Cnil et librement téléchargeable peut être un outil d’identification et de mise en conformité pour le responsable du traitement, il peut également être un formidable outil à la disposition des internautes pour vérifier l’utilisation de leurs données par le site qu’ils visitent ; ce qui en l’absence d’information relative aux cookies, risque d’avoir en terme d’image un effet très néfaste pour le site en cause.

 Les actions à mettre en œuvre sont :

  • l’identification des cookies et traceurs utilisés ;
  • l’identification de leur finalité ;
  • la détermination de leur régime ;
  • la création ou la mise à jour d’une mention d’information relative aux cookies.

Céline Avignon
Anaïs Gimbert
Lexing Droit Marketing électronique

(1) Loi n° 78-17 du 6-01-1978 modifiée, art. 32-II
(2) Site Cnil, rubrique Documentation – Fiches pratiques
(3) Cnil, Délib. n° 2013-378 du 5-12-2013
(4) Cnil, rubrique Actualité, article du 16-12-2013
(5) Cnil, Délib. n° 2013-378 du 5-12-2013 précitée
(6) Cnil, Délib. n° 2013-378 du 5-12-2013 précitée
(7) Cnil, Délib. n° 2013-378 du 5-12-2013 précitée
(8) L’ordonnance n° 2011-1012 du 24-8-2011 relative aux communications électroniques a intégré l’article 32-II à la loi Informatique et libertés

Laisser un commentaire