Le Conseil d’État a annulé partiellement les lignes directrices de la Cnil relatives aux cookies et autres traceurs de connexion dans une décision du 19 juin 2020 [1].

Le 4 juillet 2019, dans le cadre de son plan d’action sur le ciblage publicitaire, la Cnil avait adopté des lignes directrices sur les cookies et autres traceurs pour préciser les règles applicables et les bonnes pratiques en la matière depuis l’entrée en application du RGPD.

Dans sa décision du 19 juin 2020, le Conseil d’État a validé pour l’essentiel les lignes directrices, en particulier les dispositions relatives au recueil du consentement des internautes aux cookies et autres traceurs.

Il a cependant annulé la disposition des lignes directrices prohibant de façon générale et absolue la pratique des « cookie walls ». Le Conseil d’Etat juge qu’une telle interdiction ne peut figurer dans un acte de droit souple.

Dans un communiqué publié le jour même [2], la Cnil prend acte de cette décision et annonce ajuster en conséquence ses lignes directrices et sa future recommandation pour s’y conformer, en ces termes :

Dans sa décision du 19 juin 2020, le Conseil d’État a validé pour l’essentiel les lignes directrices relatives aux cookies et aux traceurs adoptées par la Cnil le 4 juillet 2019 [3]. Ces lignes directrices avaient pour objet de préciser la protection juridique renforcée bénéficiant aux internautes en matière de cookies depuis l’entrée en vigueur du RGPD. En revanche, le Conseil d’État a annulé la disposition des lignes directrices prohibant de façon générale et absolue la pratique des « cookie walls », en jugeant qu’une telle interdiction ne pouvait figurer dans un acte de droit souple ».

Focus « cookies wall »

Les diverses associations professionnelles qui ont saisi le Conseil d’État contestaient en particulier l’interdiction de la pratique des « cookie walls ». Cette pratique des éditeurs de sites consiste à bloquer l’accès à un site internet en cas de refus des cookies et autres traceurs de connexion.

Bien qu’ayant suivi la doctrine du Comité européen de protection des données personnelle [4] en estimant que l’accès à un site internet ne pouvait jamais être subordonné à l’acceptation des cookies, la Cnil ne pouvait légalement les interdire.

Le Conseil d’Etat a quant à lui, considéré qu’en déduisant cette interdiction générale du RGPD, l’autorité de contrôle était allée au-delà de ce qu’il était légalement possible de faire.

Sans se prononcer sur le fond de la question, le Conseil d’État considère que la Cnil ne pouvait, sous couvert d’un acte de droit souple, énoncer une telle interdiction générale et absolue [5].

Emmanuel Walle
Lexing Droit social numérique

Isabelle Pottier
Lexing Département Etudes et publications

[1] CE 10e-9e ch réunies n°434684, 19 06 2020, Association des agences conseils en communication et autres.
[2] Cnil, « Cookies et autres traceurs : le Conseil d’État rend sa décision sur les lignes directrices de la Cnil », 19 juin 2020.
[3] Cnil, « Cookies et autres traceurs : la Cnil publie de nouvelles lignes directrices », 18 juillet 2019.
[4] CEPD, Lignes directrices 05/2020 sur le consentement en vertu du règlement 2016/679 (EN).
[5] Communiqué du Conseil d’Etat du 19 juin 2020.

 

La saga sur la conformité des cookies, épisode final de la dernière saison ? Céline Avignon, Directrice du département Publicité et Marketing électronique, anime un petit-déjeuner débat le 11 mars sur cette question. La Cnil vient de lancer une consultation publique sur le projet de recommandation « cookies et autres traceurs » qui prendra fin le 25 février.

Il s’agit là du dernier épisode en date d’une série à rebondissement débutée il y a plus de 10 ans.

Céline Avignon reviendra sur l’ensemble des obligations légales et réglementaires en matière de cookies, après avoir fait un petit rappel sur les aspects « techno » essentiels dans le cadre de la mise en conformité et parfois si difficile à identifier. Ce sera l’occasion :

• d’identifier les principales modifications apportées par le RGPD et la loi du 6 janvier 1978 modifiée ;
• d’analyser le rôle des différents acteur ;
• de revenir sur le calendrier ;
• d’évaluer le plan d’actions à mettre en oeuvre pour être en conformité.

Le petit-déjeuner débat aura lieu le 11 mars de 9h30 à 11h30 (accueil à partir de 9h) dans nos locaux, situés Immeuble Cap Etoile, 58 Gouvion-Saint-Cyr, 75017 Paris.

Information : le Petit-déjeuner débat sur la conformité des cookies est reporté.

La Commission veut resserrer les règles en matière de respect de la vie privée pour les communications électroniques.

Une simplification des règles relatives aux cookies

Un constat : la directive 2002/58/CE n’a pas permis d’atteindre pleinement ses objectifs. Plusieurs raisons expliquent ce résultat en particulier l’imprécision ou l’ambiguïté de certains concepts et notions utilisés.

La directive n’a pas permis non plus d’harmoniser les règles au sein de l’Union européenne et a créé des charges parfois trop lourdes sur les entreprises.

Par exemple, la règle du recueil du consentement appliquée à l’ensemble des cookies y compris ceux d’analyse et de fréquentation de site n’est ni réaliste ni opportune. Elle prive en effet le site internet de comptabiliser ses visiteurs. La Commission adopterait-elle les mêmes règles dans les boutiques physiques ? Priverait-on les commerçants d’évaluer le nombre de visiteurs et d’identifier le parcours magasin idéal ? Par ailleurs, cela revient à appliquer des contraintes à des cookies d’un caractère intrusif quasiment nul.

Du point de vue du consommateur, le résultat n’est pas plus concluant puisqu’il est la plupart du temps placé dans une situation où il accepte l’installation des cookies sans réellement comprendre ou pouvoir apprécier la portée de son accord.

La création d’une exception au recueil du consentement pour les cookies d’analyse et de fréquentation de site

L’article 8 du projet de règlement Vie privée (1) dispose que l’utilisation des capacités de stockage des équipements terminaux ou la collecte d’informations provenant de ces équipements et ou logiciels et matériels sont interdits sauf si :

• elle est nécessaire au seul effet d’effectuer la transmission d’une communication sur un réseau de communications électroniques ; ou
• l’utilisateur final a donné son consentement ; ou
• cela est nécessaire pour fournir un service de la société de l’information demandé par l’utilisateur final ; ou
• si elle est nécessaire pour mesurer l’audience sur le Web, à condition que cette mesure soit effectuée par le fournisseur du service de la société de l’information demandé par l’utilisateur final.

Cette proposition fait preuve de réalisme économique et représente une avancée importante par rapport aux dispositions actuelles qui soumettaient au recueil du consentement préalable de tels cookies sauf pour ceux répondant strictement aux conditions définies par la Cnil dans sa recommandation de 2013 (2).

Renforcement des modalités de recueil du consentement

Le projet de règlement Vie privée fait référence à la définition du consentement telle que retenue dans le RGPD. Ainsi, en l’état la proposition de règlement exige « une manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ».

Lorsque cela est techniquement possible et réalisable, le consentement peut être recueilli par les paramètres techniques appropriés d’une application logicielle permettant l’accès à Internet.

En tout état de cause, la proposition renvoie également à l’article 7 du RGPD. Dès lors, l’utilisateur devrait pouvoir retirer à tout moment son consentement et être informé de cette possibilité lors du recueil.

Cette exigence de consentement risque à terme, si la proposition était adoptée en l’état, de remettre en cause la position bienveillante de la Cnil qui consiste à considérer que la poursuite de la navigation vaut consentement en matière de cookies.

 

Céline Avignon
Lexing Publicité et marketing électronique

(1) PRE E-privacy Com(2017)10 final du 10-1-2017.
(2) Cnil, Recommandation sur les cookies du 16-12-2013.

Le secteur agricole investit dans l’économie de plateformes et poursuit sa révolution numérique.

L’horizon de l’agriculture numérique s’ouvre au travers, par exemple, de plateformes de partage ou de financement de projets.

Plateformes de location de matériel agricole

Les plateformes de location de matériel agricole permettent de mutualiser les investissements matériels réalisés par les agriculteurs. Elles mettent en relation le propriétaire d’un matériel et un locataire manquant de ressources pour l’acquérir, l’entretenir et l’entreposer. Ce système d’entraide entre agriculteurs existait déjà par le biais des coopératives d’utilisation de matériel agricole (1).

Plusieurs outils sont proposés aux adhérents de la plateforme afin d’encadrer la location de matériel tels que :

• le contrat de location type entre le propriétaire du matériel agricole et le locataire. Éléments précisés : durée, loyer, modalités d’utilisation, d’entretien et de restitution du matériel loué, responsabilité des parties ;
• le contrat d’assurance dès l’adhésion au contrat de location type. Il peut s’agir d’une assurance pour compte de tiers souscrite par l’éditeur de la plateforme. Elle se substitue alors de plein droit aux garanties souscrites par les signataires du contrat de location ;
• la mise à disposition du matériel par un transporteur partenaire de la plateforme ;
• une charte de bonne utilisation du matériel.

Ces documents doivent, bien entendu, faire l’objet d’une rédaction rigoureuse. Il convient ainsi de préciser clairement les relations entre propriétaire, locataire et éditeur de la plateforme. Il en va de même pour les relations avec l’assureur ou le transporteur, le cas échéant.

Le financement de projets agricoles

Certaines plateformes proposent quant à elles des services d’intermédiation en financement participatif. Elles mettent en relation des porteurs de projets et des personnes souhaitant y participer en prêtant ou donnant des fonds. Les projets peuvent être orientés par exemple vers une agriculture à la fois durable et rentable.

Il est proposé plusieurs outils dans le cadre du financement participatif, tels que :

• un espace personnel ; le participant ou porteur de projet peut, au travers d’un accès sécurisé, ainsi suivre l’évolution du financement ;
• un compte de paiement auprès d’un prestataire de service de paiement sélectionné par la plateforme ;
• un contrat de prêt type.

Les plateformes sont tenues, d’une part, de souscrire un contrat d’assurance de responsabilité civile professionnelle (2). Des règles de bonne conduite et d’organisation sont également énoncées à l’article L548-6 du Code monétaire et financier (3). Ainsi, les internautes doivent être informés des conditions de sélection des projets et des porteurs de projet. En outre, les prêteurs sont mis en garde sur les risques liés au financement participatif : défaillance du porteur de projet, surendettement, etc.

Quelques conseils

Côté utilisateur : les outils proposés par les plateformes permettent de diversifier les ressources des acteurs du secteur agricole. Néanmoins, leurs utilisateurs doivent les étudier préalablement à tout consentement afin de déterminer l’étendue des engagements à prendre.

Côté éditeur de plateforme : l’utilisation d’une plateforme implique, au préalable, la création d’un compte et, le cas échéant, la collecte de données personnelles. L’éditeur devra alors se conformer à la réglementation sur la protection des données à caractère personnel (formalités préalables, mentions obligatoires). L’utilisation de cookies devra être signalée aux utilisateurs par le biais, par exemple, d’un bandeau comme le préconise la Cnil (4).

Enfin, un soin particulier devra être apporté lors de la rédaction des conditions générales accessibles sur le site. Celles-ci devront en effet respecter la réglementation en vigueur, en particulier concernant le financement participatif.

Jean-François Forgeron
Jennifer Knight
Lexing Informatique et Droit

(1) Site internet du réseau des Coopératives d’Utilisation de Matériel Agricole (Cuma).
(2) CMF, art. L548-5 I.
(3) CMF, art. L548-6.
(4) Cnil, Dossier « Cookies & traceurs : que dit la loi ? »

Une société de déstockage de mode a été sanctionnée par la Cnil à 30 000 € d’amende pour divers manquements. 

Un site de vente en ligne sanctionné suite à la plainte d’une utilisatrice

Lorsque la Cnil a procédé en janvier 2015 à un contrôle dans les locaux et sur le site internet de la société, des manquements ont été constatés. Quelques semaines plus tard, c’est une cliente du site qui s’adresse à la Cnil pour dénoncer les difficultés qu’elle rencontrait dans l’exercice de son droit d’accès.

Malgré une injonction réitérée de faire droit à la demande de cette cliente et de se mettre en conformité avec la réglementation, sous peine de sanction, la société n’a pas réagi. La Cnil a alors mis en demeure la société de se conformer à la législation. La société, après s’être vu octroyer un délai supplémentaire, a indiqué à la Cnil s’être conformée à la mise en demeure.

La Cnil a alors procédé à un nouveau contrôle pour vérifier l’effectivité de la mise en conformité. Lors de ce contrôle, des manquements ont de nouveau été constatés par la Cnil ; ce qui explique que la Cnil a prononcé une sanction pécuniaire à l’issue d’une procédure contradictoire.

Un site de vente en ligne sanctionné pour manquements répétés

D’une part, la société a manqué de réaliser des formalités préalables nécessaires. D’autre part, elle n’a pas défini de durée maximale de conservation des données.

Il a également été reproché à la société de ne pas s’être mise en conformité avec les dispositions de l’article 32-II relatives aux cookies, en particulier sur l’obligation de recueillir le consentement préalable des visiteurs, avant toute installation de cookies.

La sécurité des données personnelles étaient aussi en cause. Les communications de ces données se faisaient sans protocole sécurisé « https », même sur les pages les plus sensibles du site.

Enfin, les données collectées étaient transférées vers un pays n’offrant pas un niveau de protection suffisant de la vie privée et sans avoir obtenu l’autorisation préalable de la Cnil.

Un site de vente en ligne sanctionné publiquement

Au regard de l’importance des manquements et du volume d’utilisateurs concernés, la Cnil a rendu publique la sanction de 30 000€ contre la société. La Cnil veut ainsi rappeler les obligations des professionnels et sensibiliser les internautes à leurs droits.

La société dispose d’une voie de recours contre la décision.

Lexing Alain Bensoussan Selas
Lexing Publicité et marketing électronique

Délib. Cnil n° 2016-204 du 7-7-2016 prononçant une sanction pécuniaire à l’encontre de la société de vente en ligne.

Céline Avignon revient, pour Ecommerce Magazine, sur les contrôles opérés par la Cnil en 2015 en matière de cookies.

La Commission, en vertu des moyens qu’elle a mis en œuvre pour aider les responsables de traitement, contrôle quasi systématiquement la conformité des cookies à la loi Informatique et libertés.

Force est de constater que la Cnil considère généralement comme un manquement à la loi des pratiques partagées par le plus grand nombre, des pratiques telles que :

• l’absence de bandeau d’information ou une insuffisance des informations contenues dans le bandeau (absence des finalités de tous les cookies soumis au consentement, absence d’information sur le fait que la personne concernée a la possibilité de changer les paramètres des cookies en cliquant sur un lien présent dans le bandeau) ;
• l’absence de moyen d’opposition valable (gestion par le navigateur alors que le site dépose des cookies techniques essentiels à son bon fonctionnement et/ ou des cookies first party soumis au consentement).

Pour éviter cela, il est nécessaire d’adopter une démarche permettant de s’assurer de la conformité des pratiques de la société. À cet effet, il doit être établi un référentiel ou une cartographie des cookies utilisés avec leurs finalités afin d’identifier ceux qui sont soumis au consentement et les autres. Le bandeau qui doit être visible, doit intégrer l’ensemble des finalités des cookies à consentement, contenir un lien vers une politique et préciser que la poursuite de la navigation vaut consentement. Il faut également s’assurer que ces traceurs ne s’installent pas avant que l’internaute ait poursuivi sa navigation et déterminer les actions qui ne sont pas considérées comme des actions de poursuite de sa navigation – comme l’activation du lien “en savoir plus”, à titre d’exemple.

Pour qu’en 2016, les entreprises ne commettent pas les manquements constatés par la Cnil, il est fortement recommandé de programmer une action de vérification des pratiques en la matière et, en fonction des résultats, de définir un plan de mise en conformité.

Céline Avignon, pour Ecommerce Magazine Mars – Avril 2016, n° 69.

La loi prévoit que sauf exception, les cookies ou autres traceurs ne peuvent être déposés ou lus sur le terminal d’un internaute, tant que celui-ci n’a pas donné son consentement après avoir été préalablement informé (1).

Les responsables de traitement qui mettent en oeuvre des cookies ou autres type de traceurs doivent donc informer préalablement l’utilisateur et recueillir son consentement préalable. Les sites doivent en outre solliciter le consentement de l’utilisateur tous les 13 mois, au maximum.

La Cnil avait déjà reconnu que les cookies « Piwik » (2), sous réserve de respecter quelques paramétrages, pouvaient être dispensés du recueil du consentement alors que ceux-ci devaient normalement en relever.

En modifiant son guide des cookies, elle a reconnu la même possibilité pour les cookies d’AT Internet (3), sous réserve de certains paramétrages.

Pour pouvoir bénéficier de cette exception reconnue par la Cnil, l’éditeur du site doit notamment :

• informer les internautes de l’existence des cookies de mesure d’audience ;
• implémenter l’option opt-out permettant de refuser les cookies AT internet. Cette solution sera différente selon qu’il s’agit d’un site internet ou d’une application mobile.

Pour vous aider à mettre en conformité vos sites ou application mobiles, l’éditeur At internet a établi un guide de mise en conformité qui est accessible sur le site de la Cnil à cette adresse.

Céline Avignon
Lexing Droit Marketing électronique

(1) Art. 32-II de la loi du 6 janvier 1978.
(2) Piwik est une solution d’analytics qui peut être paramétrée pour s’exempter de la demande de consentement avant de déposer un cookie. Ce guide vous explique comment configurer Piwik pour être en conformité avec les recommandations de la Cnil.
(3) Applied Technologies Internet SAS (France) et ses filiales Applied Technologies Internet Ltd (Royaume-Uni), Applied Technologies Internet GmbH (Allemagne) et Applied Technologies Internet Spain SL (Espagne).

Dans ce numéro spécial international, les membres du réseau lexing ®, abordent l’utilisation des cookies en Afrique du Sud, Belgique, Etats-Unis, France, Grèce et Italie.

La loi française issue de la transposition de la réglementation européenne, prévoit que, sauf exception, les cookies ou autres traceurs ne peuvent être déposés ou lus sur le terminal d’un internaute, tant que celui-ci n’a pas donné son consentement après avoir été préalablement informé, une exigence très très lourde qui n’est pas aisée à mettre en pratique (principe de l’opt-in, Loi du 06-01-1978, art. 32-II).

Les cookies sont des fichiers texte transférés par votre navigateur Web sur le disque dur de votre ordinateur. Ces fichiers contiennent des informations à propos de votre navigation sur Internet. Toutes les entreprises dans le monde utilisent des cookies pour comprendre le comportement en ligne de leurs clients et améliorer ainsi l’interactivité avec leur site.

Si certains cookies et traceurs ne sont pas soumis à cette réglementation, la Cnil, qui procède à des contrôles à distance et vérifie ainsi le respect de l’ensemble de ses dispositions, a émis certaines recommandations spécifiques pour les cookies pour aider les professionnels à se mettre en conformité.

Malgré ces éléments, beaucoup de sites n’ont pas intégré dans leurs pages le code permettant le blocage des cookies soumis au recueil du consentement, ces derniers s’affichant alors avant que l’internaute ait donné son accord.

Pour la mise en conformité d’un site internet, il est donc recommandé de connaitre les préconisations de la Cnil et de suivre une démarche de mise en conformité précise.

Voici donc la recette des cookies « à la française ». Qu’en est-il dans les autres pays ?

Les membres du réseau Lexing® dressent un tableau de la situation actuelle en Afrique du Sud, Belgique, Etats-Unis, France, Grèce et Italie.

Lettre Juristendances Internationales Informatique et Télécoms n°9 Mars 2015

 

Cookies sweep days. Katharina Berbett revient pour Stratégie internet sur l’opération d’audit en ligne de sites internet très fréquentés, encore appelée « Cookies sweep days », diligentée par la Cnil du 15 au 19 septembre 2014, aux côtés d’autres autorités européennes de protection des données, en vue d’évaluer le respect des dispositions légales.

Cette opération a pu servir de « répétition générale » en vue des contrôles que la Cnil a annoncé lancer au mois d’octobre, dans le cadre de ses pouvoirs de vérification sur place et de ses nouveaux pouvoirs de contrôle en ligne instaurés par la loi Hamon.

Pour mémoire, depuis 2011, la loi Informatique et libertés prévoit que les cookies ou autres traceurs, à l’exception de certains cookies techniques, ne peuvent être déposés ou lus sur le terminal d’un internaute, tant que celui-ci n’a pas donné son consentement après avoir été préalablement informé.

Le 5 décembre 2013, la Cnil a émis, par délibération n°2013-378, une recommandation (1), ainsi que des fiches pratiques pour la mise en conformité des sites internet avec la loi.

La mise en conformité de son site n’est pas à prendre à la légère, la Cnil ayant annoncé des mises en demeure, voire des sanctions, à l’égard des éditeurs de sites et d’applications à l’encontre desquels des manquements auront été constatés. L’amende encourue en cas d’infraction peut atteindre 150.000 euros et être assortie de mesures de publication ayant un impact désastreux sur la confiance des internautes.

Katharina Berbett, « Cookies sweep days : répétition générale avant le lancement de contrôles par la Cnil » , Stratégie internet, n°186, Octobre-Novembre 2014

(1) Lire un précédent Post du 20-12-2013.

Cookies et traceurs – Céline Avignon analyse pour le magazine e-commerce mag, la dernière recommandation de la Cnil sur les Cookies.

La loi prévoit que sauf exception, les cookies ou autres traceurs ne peuvent être déposés ou lus sur le terminal d’un internaute, tant que celui-ci n’a pas donné son consentement après avoir été préalablement informé (art. 32-II de la loi du 6 janvier 1978).

Les responsables de traitement qui mettent en oeuvre des cookies ou autres traceurs doivent donc informer préalablement l’utilisateur et recueillir son consentement préalable. Les sites doivent en outre solliciter le consentement de l’utilisateur tous les 13 mois, au maximum.

Mais tous les cookies n’obéissent pas à cette règle. Dans sa délibération n°2013-378 du 5 décembre 2013, la Cnil a émis certaines recommandations pour les cookies nécessitant de recueillir le consentement préalable.

Même si les recommandations de la Cnil n’ont pas la même valeur qu’une loi ou un décret, elles définissent un état de l’art et ne sont donc pas dépourvues de valeur. Elle représentent les bonnes pratiques que doivent respecter les professionnels.

La preuve en est que la Cnil a annoncer qu’elle lancera en septembre les Cookies sweep day afin de contrôler la mise en oeuvre de ses recommandations par les éditeurs des sites (1).

Céline Avignon pour e-commercemag.fr n°50, Févr. – Mars 2014.

(1) cf. notre prochain petit-déjeuner Alain Bensoussan du 03-09-2014, Prêt pour l’opération « Cookies sweep day » de la Cnil

Cookies sweep day – Céline Avignon décrypte pour le magazine e-commerce mag, l’annonce par la Cnil des contrôles qu’elle fera en septembre sur la mise en oeuvre de ses recommandations par les éditeurs des sites.

La Cnil lancera en septembre les Cookies sweep day. Il s’agit d’une série de contrôles visant à vérifier la mise en oeuvre des préconisations qu’elle a émises dans sa délibération n°2013-378 du 5 décembre 2013 portant adoption d’une recommandation relative aux cookies et aux autres traceurs visés par l’article 32-II de la loi du 6 janvier 1978.

Les  » sweep days  » sont le fruit d’une initiative du Global Privacy Enforcement Network (GPEN), réseau informel créé par une recommandation de l’OCDE en 2007 visant à faciliter la coopération transfrontalière entre les autorités nationales de protection des données. L’objectif est de procéder à des examens selon une grille d’analyse commune aux différentes autorités.

Plusieurs  » sweet days  » ont déjà eu lieu au cours des derniers mois. Après les sites internet et les applications mobiles, les cookies sont la nouvelle cible des contrôles de la Cnil.

la Cnil annonce pour la première fois les contrôles dans le cadre notamment d’un sweep day. Le cookies sweep day aura lieu du 15 au 19 septembre 2014. En fonction des manquements constatés, la Cnil pourrait adresser des mises en demeure voire des sanctions aux éditeurs de sites et d’applications (1)

Céline Avignon pour e-commercemag.fr, le 17 juillet 2014.

(1) cf. notre prochain petit-déjeuner Alain Bensoussan du 03-09-2014, Prêt pour l’opération « Cookies sweep day » de la Cnil

Cookies une première sanction en Espagne. Une première sanction [1] vient d’être prononcée en Espagne à l’encontre d’un éditeur de site internet qui ne s’était pas mis en conformité avec la législation selon laquelle, les éditeurs qui mettent en œuvre des cookies ou autres traceurs sur leur site internet, doivent informer de façon claire et complète l’utilisateur et, sauf exception recueillir son consentement avant l’inscription de cookies au sein de leurs terminaux.

Cookies une première sanction en Espagne.

Cette première décision de l’Agence Espagnole de Protection des Données (AEDP), l’équivalent de la Cnil en Espagne, est intéressante en ce qu’elle montre que ces dispositions ne peuvent plus être ignorées par les éditeurs de sites internet et d’applications mobiles. Tendance, qui en France se traduit par la recommandation de la Cnil du 5 décembre 2013 en la matière. Ainsi, de la même façon que la Cnil, l’AEDP rappelle notamment au sein de sa décision que :

• des informations générales sur les cookies ne sont pas considérées comme suffisantes pour satisfaire à l’obligation d’information ;

• l’utilisateur doit être informé sur la façon de rejeter et de désactiver les cookies ;

• le recueil du consentement de l’utilisateur peut se faire en deux temps, dans un premier temps, une information sur la première page du site relative à l’utilisation de cookies, leur type et leurs finalités, indiquant « En poursuivant votre navigation sur ce site, vous acceptez l’utilisation desdits cookies » accompagnée d’un lien renvoyant vers une « politique cookies ». Dans un second temps, une information précise sur chaque cookie utilisé au sein de la politique cookie. Ainsi, la poursuite de la navigation de l’utilisateur vaut accord au dépôt de cookies ou autres traceurs sur son terminal ;

• les cookies d’analyse et de statistique ne sont pas nécessairement exemptés de recueil du consentement des internautes, contrairement aux cookies utilisés pour sauvegarder le panier d’achat de l’utilisateur pendant sa session.

Dans ce contexte, il est recommandé aux éditeurs de sites et d’applications mobile de mettre en œuvre les actions suivantes :

• un audit des cookies et traceurs utilisés ;
• la création d’un module de recueil du consentement et d’une politique cookies ;
• la mise à jour des mentions légales de leurs sites et applications mobiles.

Céline Avignon

Lexing Droit Marketing électronique

[1] Resolución R/02990/2013 del procedimiento PS/00321/2013, 14-1-2014.

La Cnil vient d’adopter des recommandations sur les cookies et autres traceurs dans lesquelles elle rappelle les obligations pour les responsables de sites et donne des conseils pour les internautes.

L’obligation légale. L’article 32-II de la loi du 6 janvier 1978 est sans équivoque, sauf exceptions les cookies ou autres traceurs ne peuvent être déposés ou lus sur le terminal d’un internaute, tant que celui-ci n’a pas donné son consentement après avoir été préalablement informé (1) .

Dès lors, les responsables de traitement qui mettent en œuvre des cookies ou autres traceurs doivent :

• informer préalablement l’utilisateur ;
• recueillir son consentement préalable.

Par exception, cette obligation légale ne s’applique pas aux cookies ayant pour finalité de permettre ou de faciliter la communication par voie électronique strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur.

Recommandation de la Cnil. Suite à la publication le 26 avril 2012, d’une fiche pratique intitulée « Ce que le Paquet Télécom change pour les cookies » (2), dans laquelle la Cnil indiquait les moyens à mettre en œuvre pour se mettre en conformité avec cette obligation, et après 2 mois de concertation avec les acteurs du secteur tels que l’UFMD, la Fevad, et l’UDA, la Cnil formule ce 5 décembre 2013 une recommandation relative aux cookies et aux autres traceurs visés par l’article précité (3), et publie dans la foulée, le 16 décembre dernier un article intitulé « Recommandation sur les cookies : quelles obligations pour le responsable de sites, quels conseils pour l’internaute ? » (4) .

Dans cette recommandation, la Cnil entend rappeler l’ensemble des principes à respecter dans le cadre de l’utilisation des cookies ou autres traceurs, afin que les responsables de traitement qui les utilisent, se mettent en conformité avec l’article 32-II de la loi du 6 janvier 1978. A ce titre, la Cnil précise le champ d’application de l’obligation et détaille les moyens à mettre en œuvre pour s’y conformer.

 Quels cookies ? La Cnil indique que cette obligation s’impose à l’utilisation de toutes les formes d’accès et d’inscription dans un terminal, qu’il s’agisse de cookies ou de toutes autres technologies actuelles ou à venir le permettant. La Cnil précise que l’obligation s’applique également aux cookies ou autres traceurs qui ne collecteraient pas de données à caractère personnel au sens de la loi Informatique et libertés ; ce qui est pour le moins étonnant dans la mesure où cette disposition est intégrée dans la loi Informatique et libertés qui précisément s’applique aux données à caractère personnel.

Cookies exemptés. Parallèlement, dans son article « Recommandation sur les cookies : quelles obligations pour le responsable de sites, quels conseils pour l’internaute ? », la Cnil précise la nature des cookies exemptées de consentement. Ainsi, sont notamment considérés comme des cookies ayant pour finalité de permettre ou de faciliter la communication par voie électronique strictement nécessaires à la fourniture d’un service expressément demandé par l’utilisateur, les cookies suivants :

• les cookies de  » panier d’achat  » pour un site marchand ;
• les cookies  » identifiants de session « , pour la durée d’une session, ou les traceurs persistants limités à quelques heures dans certains cas ;
• les cookies d’authentification de l’internaute ;
• les cookies de session créés par un lecteur multimédia ;
• les cookies de session d’équilibrage de charge ( » load balancing « ) ;
• les cookies persistants de personnalisation de l’interface utilisateur.

Cookies de mesures d’audience. En outre, la Cnil réaffirme au sein de sa recommandation (5), sa position sur les cookies de mesures d’audience et rappelle que ces cookies peuvent être exemptés de l’obligation de recueil du consentement préalable, dans les conditions suivantes :

• information de l’utilisateur sur l’utilisation de ces cookies ;
• mise à la disposition de dispositif facilement utilisable permettant à l’utilisateur de s’opposer au dépôt de ces cookies sur son terminal ;
• finalités de ces cookies uniquement limitées à la mesure d’audience du contenu visualisé afin de permettre une évaluation des contenus publiés et de l’ergonomie du site ou de l’application ;
• l’adresse IP collectée ne doit pas permettre une géolocalisation plus précise que la ville, et doit être supprimée ou anonymisée une fois la géolocalisation effectuée ;
• les cookies doivent être supprimés au plus tard le 13ème mois de son dépôt, et les informations collectées par son intermédiaire doivent être conservées pendant une durée de 13 mois maximum.

Qui est obligé ? L’obligation d’information préalable de l’utilisateur et de recueil de son consentement préalable s’impose à tous les responsables de traitement qui mettent en œuvre des cookies ou autres traceurs. A ce titre, la Cnil précise que cette obligation s’impose notamment :

• à tous les éditeurs de sites, de systèmes d’exploitation, d’applications mobiles ;
• aux régies publicitaires ;
• aux réseaux sociaux ;
• aux éditeurs de solution de mesure d’audience.

Comment informer et recueillir le consentement ? Concernant les modalités de mise en place de l’obligation d’information préalable de l’utilisateur, et de recueil de son consentement préalable, la Cnil précise qu’une simple acceptation des conditions générales d’utilisation n’est pas valable, et recommande une procédure de recueil du consentement en 2 étapes :

1. information de l’internaute rédigée en terme simples et compréhensibles par l’apparition d’un bandeau indiquant :

• les finalités des cookies et autres traceurs utilisés par le site ;
• la possibilité de s’opposer au dépôt de cookies ou autres traceurs sur son terminal ;
• le fait que la poursuite de sa navigation vaut accord au dépôt de cookies ou autres traceurs sur son terminal.

2. information de l’internaute rédigée en terme simples et lisibles des solutions mises à sa disposition pour accepter ou refuser tout ou partie des cookies ou autres traceurs par catégories de finalités et pour l’ensemble des cookies et traceurs utilisés sur le site.

De plus, la Cnil indique que :

l’utilisateur qui refuse un cookie nécessitant un consentement doit pouvoir continuer à bénéficier du service ;
l’utilisateur doit avoir la possibilité de retirer à tout moment son consentement.

Paramétrage du navigateur. Par ailleurs, la Cnil revient également au sein de sa recommandation (6) sur le paramétrage du navigateur en tant qu’expression du consentement de l’utilisateur, et indique qu’il pourra être considéré comme telle uniquement dans le cas où les deux conditions suivantes sont réunies :

• si l’utilisateur a pu être en mesure de modifier les paramètres de son navigateur pour accepter ou refuser les cookies ou autres traceurs ;
• et, s’il a été informé avant le dépôt ou la lecture de cookies ou autres traceurs, de leurs finalités et des moyens de s’y opposer.

Durée de validité du consentement. La Cnil recommande au sein de sa recommandation (7), de solliciter le consentement de l’utilisateur tous les 13 mois au plus tard. A ce titre, la Cnil indique que les informations recueillies via les cookies ou autres traceurs doivent être conservées pendant une durée de 13 mois glissant maximum, à compter du premier dépôt ou de la première lecture sur le terminal de l’utilisateur.

Si jusqu’à présent la position de la Cnil était de dire qu’elle apprécierait les mesures de mises en conformité et les efforts effectués par les responsables de traitement en cas de contrôle, il ne fait aucun doute qu’avec cette recommandation que sa volonté est de contraindre les acteurs à se mettre en conformité avec les dispositions de la loi relative aux cookies qui ont maintenant 2 ans (8).

D’autant que parallèlement, la Cnil a mis en ligne plusieurs outils à destination des responsables de traitement dans le but de les accompagner dans la mise en conformité de leurs sites et applications mobiles.

Par ailleurs, la Cnil a également mis à disposition de tous les internautes l’outil « Cookieviz », permettant d’identifier en temps réel l’existence de cookies sur le site visité et leur fonctionnement (9).

Aussi, compte tenu des outils mis à disposition et les explications fournies par la Cnil, les responsables de traitement qui ne se mettraient pas en conformité n’auront plus aucune excuse.

 C’est la raison pour laquelle, il est recommandé d’inscrire à court terme la revue de la politique de cookies dans les actions à mener en priorité en 2014. Par ailleurs, si l’outil développé par la Cnil et librement téléchargeable peut être un outil d’identification et de mise en conformité pour le responsable du traitement, il peut également être un formidable outil à la disposition des internautes pour vérifier l’utilisation de leurs données par le site qu’ils visitent ; ce qui en l’absence d’information relative aux cookies, risque d’avoir en terme d’image un effet très néfaste pour le site en cause.

 Les actions à mettre en œuvre sont :

• l’identification des cookies et traceurs utilisés ;
• l’identification de leur finalité ;
• la détermination de leur régime ;
• la création ou la mise à jour d’une mention d’information relative aux cookies.

Céline Avignon
Anaïs Gimbert
Lexing Droit Marketing électronique

(1) Loi n° 78-17 du 6-01-1978 modifiée, art. 32-II
(2) Site Cnil, rubrique Documentation – Fiches pratiques
(3) Cnil, Délib. n° 2013-378 du 5-12-2013
(4) Cnil, rubrique Actualité, article du 16-12-2013
(5) Cnil, Délib. n° 2013-378 du 5-12-2013 précitée
(6) Cnil, Délib. n° 2013-378 du 5-12-2013 précitée
(7) Cnil, Délib. n° 2013-378 du 5-12-2013 précitée
(8) L’ordonnance n° 2011-1012 du 24-8-2011 relative aux communications électroniques a intégré l’article 32-II à la loi Informatique et libertés

Cookies et notification des failles : La protection renforcée de la vie privée et des données personnelles se traduit par diverses mesures, dont l’encadrement légal des « cookies ». Les nouvelles dispositions issues de l’ordonnance du 24 août 2011 (1) transposant le paquet télécoms introduisent une protection renforcée de la vie privée et des données personnelles, se traduisant par diverses mesures, dont l’encadrement légal des « cookies », l’interdiction de la prospection directe sans consentement préalable et la modification de la loi Informatique et libertés.

Cookies : une protection renforcée de la vie privée

Concernant l‘encadrement légal des « cookies », l’article 37 de l’ordonnance rappelle le principe d’une information claire et complète de l’internaute sur l’installation des cookies, ainsi que sur leur finalité et les moyens de les refuser. La mesure innovante de ce texte relève de la subordination de l’accès aux informations déjà stockées dans l’équipement terminal ou de l’inscription des informations dans cet équipement au consentement préalable de l’abonné ou de la personne utilisatrice. Ce consentement peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. Ces dispositions ne sont toutefois pas applicables aux cookies dits de « navigation » qui ont pour principale finalité de « permettre ou de faciliter la communication par voie électronique » et aux cookies strictement nécessaires à la fourniture d’un service.

Concernant la prospection directe visée à l’article 8 de l’ordonnance, celle-ci est interdite lorsqu’elle est effectuée au moyen de systèmes automatisés d’appel et de communication, d’un télécopieur ou de courriers électroniques et qu’elle utilise les coordonnées d’une personne physique abonné ou utilisateur, qui n’a pas exprimé préalablement son consentement.

Parallèlement, l’article L.121-15-1 du code de la consommation, qui prévoit que « les publicités, et notamment les offres promotionnelles […] adressées par courrier électronique, doivent pouvoir être identifiées de manière claire et non équivoque dès leur réception » est complété par une disposition posant l’obligation d’indiquer une adresse ou un moyen électronique qui permet effectivement au destinataire de transmettre une demande visant à obtenir la cessation de ces publicités.

Cookies et notification : une procédure spéciale

Concernant la protection des données à caractère personnel, l’ordonnance prévoit, à l’article 38, une procédure spécifique de notification à la Cnil et à l’utilisateur en cas de « faille de sécurité ». Cet article s’applique aux traitements de données à caractère personnel mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification.

Ainsi, le fournisseur de ces services est désormais astreint à l’obligation de notifier sans délai à la Cnil toute de violation de sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques.

Cet article impose également au fournisseur de services de communications électroniques d’informer l’intéressé lorsque la faille de sécurité porte atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique. Toutefois, la notification à l’intéressé n’est plus nécessaire en cas de constatation par la Cnil de mesures de protection appropriées mises en œuvre par le fournisseur pour rendre les données concernées par la violation incompréhensibles à toute personne non autorisée à y avoir accès. A défaut, la Commission peut mettre en demeure le fournisseur d’informer également les intéressés après avoir examiné la gravité de la violation.

Cookies et notification : un dispositif contraignant

Enfin, chaque fournisseur de services de communications électroniques tient à jour, à la disposition de la Cnil, un inventaire des violations de données à caractère personnel, ainsi que leur effet et les mesures pour y remédier. Le Conseil national du numérique (CNN) avait rendu, sur demande du gouvernement, un avis du 23 mai 2011 (2) considérant que ce dernier dispositif d’information de la Cnil en cas de faille de sécurité était plus contraignant que celui prévu par la directive.

A titre d’illustration, dans le texte de la directive, le fournisseur doit avertir « sans retard indu » l’intéressé, mention qui n’est pas fidèlement transposée dans l’ordonnance puisque la mention « sans délai », beaucoup plus contraignante, y est substituée. L’avis du Conseil national du numérique n’a donc pas été suivi par le Conseil des ministres puisque des mesures plus strictes que celles instaurées par la directive ont été adoptées.

(1) Ordonnance n° 2011-1012 du 24-8-2011 ; Rapport du 26-8-2011 ; Arcep, Avis n° 2011-0524 du 10-5-2011
(2) Avis du 23-5-2011