DERNIERES RECOMMANDATIONS DE LA CNIL : QUELS COOKIES NE NECESSITENT PAS LE CONSENTEMENT DES UTILISATEURS ?

Auteur : SAINT-PÈRE Henry
Date : 15 April 2021
  • Petit rappel – un Cookie : qu’est-ce que c’est ?

 

Un Cookie est un micro-fichier informatique déposé et lu par un éditeur (d’un site, d’une application, etc.) lui permettant de connaître la consultation d’un site internet, la lecture d’un courrier électronique, l’installation ou l’utilisation d’un logiciel ou d’une application mobile et ce, quel que soit le type de terminal utilisé (ordinateur, smartphone, liseuse numérique, console de jeux-vidéos connectée à Internet, etc.).

 

Il fonctionne de la même manière qu’un accusé de réception d’un email envoyé, en informant son expéditeur de la bonne réception ou de sa lecture.

 

L’utilisation de ces Cookies est soumise au consentement de l’utilisateur dès lors qu’ils ne sont pas strictement nécessaires au fonctionnement du site concerné.

 

Dans le prolongement de la directive ePrivacy (1), du RGPD (2) et surtout de la Loi Informatique et Libertés (3), la CNIL a établi des recommandations en septembre 2020 (4 et 5), laissant un délai de 6 mois aux acteurs pour se mettre en conformité. Ce délai a donc expiré depuis le 31 mars dernier.

 

 

  • Que disent les dernières recommandations de la CNIL en matière de Cookies ?

 

Concrètement et en synthèse, la CNIL demande, depuis mars 2021, que l’interface de recueil du consentement aux Cookies ne comprenne pas seulement un bouton « tout accepter » mais également un bouton « tout refuser ».

 

En outre, pour que l’utilisateur soit bien conscient de la portée de son consentement, la CNIL recommande que, lorsque des traceurs permettent un suivi sur des sites autres que le site visité, le consentement soit recueilli sur chacun des sites concernés par ce suivi de navigation.

 

La CNIL précise que toute inaction ou action des utilisateurs autre qu’un acte positif signifiant son consentement express aux Cookies doit être interprétée comme un refus de consentir à leur installation.

 

Au titre du principe de transparence exigé par le RGPD, le responsable de traitement devra également préciser les catégories de données collectées par les Cookies installés en les associant aux finalités qu’ils permettent d’atteindre.

 

Ceci fait généralement l’objet d’un menu déroulant « En savoir plus » ou « Afficher plus d’information », au choix de l’utilisateur, afin d’avoir accès à une information complète sur les Cookies, leurs natures, les données collectées et leurs finalités respectives.

 

 

  • Faut-il systématiquement recueillir le consentement pour l’utilisation de Cookies ?

 

Certains Cookies peuvent être installés sur le périphérique de tout utilisateurs sans leur consentement si ces cookies répondent à deux conditions cumulatives :

 

  • le Cookie a une finalité strictement limitée à la seule mesure de l’audience ou du bon fonctionnement du site ou de l’application, pour le compte exclusif de l’éditeur ;

 

  • le Cookie va servir à produire des données statistiques exclusivement anonymes.

 

Ainsi, les Cookies exemptés de la demande de consentement sont essentiellement ceux permettant  :

  • la mesure d’audience d’un site ou de l’utilisation d’une application mobile, notamment pour générer des statistiques de fréquentation anonymes ;
  • d’authentifier l’utilisateur sur son compte en ligne ;
  • de garder en mémoire le contenu d’un panier d’achat sur un site d’e-commerce ;
  • de mesurer les performances d’un site ou d’une application et des contenus consultés ;
  • de détecter des éventuelles difficultés de navigation, d’affichage, d’optimisation technique ou ergonomique (adaptation de l’affichage d’un site au périphérique utilisé : taille de l’écran, capacité graphique, etc.).

 

Néanmoins ces Cookies doivent servir à produire des données exclusivement anonymes et ne permettant pas à l’éditeur du site ou de l’application d’identifier et de garder en mémoire l’identité de l’utilisateur, son adresse IP, etc.

 

Ces Cookies ne peuvent pas non plus permettre un recoupement de données avec d’autres traitements effectués par l’éditeur et ne pas permettre un suivi de la navigation de l’utilisateur sur d’autres sites.

 

 

  • Comment s’assurer d’être dans le cadre des exceptions au consentement ?

 

Depuis début mars, la CNIL a mis en place un dispositif d’accompagnement des responsables de traitement sur la gestion des Cookies qu’ils mettent en place sur leur site.

 

Ce « programme d’évaluation » va permettre aux éditeurs concernés de demander l’avis de la CNIL sur les Cookies qu’ils souhaitent utiliser et déterminer si ceux-ci remplissent ou non les caractéristiques d’exemption du consentement visées ci-dessus.

 

A titre d’exemple, la CNIL a déjà annoncé que les Cookies ayant les finalités suivantes et assurant l’anonymisation de l’utilisateur respectent les conditions de l’exception au consentement :

  • la mesure page par page de l’audience d’un site ;
  • la détermination du périphérique, du navigateur et des caractéristiques de l’écran de l’utilisateur ;
  • des statistiques de temps de chargement des pages et de temps passé sur chaque page ;
  • des statistiques sur les actions de l’utilisateur sur le site ou l’application ou sur la zone géographique d’origine de l’utilisateur.

 

Pour en savoir plus sur le programme de la CNIL : https://www.cnil.fr/fr/solutions-de-mesure-daudience-exemptees-de-consentement-la-cnil-lance-un-programme-devaluation

 

 

——————————————————————————————-

——————————————————————————————-

 

 

 

Le département droit des nouvelles technologies du Cabinet Ratheaux est spécialisé dans la réglementation relative aux traitements de données à caractère personnel et peut vous accompagner dans vos démarches de mise en conformé avec ces nouvelles recommandations CNIL.

 

 

(1) Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)

 

(2) Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)

 

(3) article 82 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés

 

(4) Délibération n° 2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019

 

(5) Délibération n° 2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs »