La CNIL a publié deux délibérations le 1er octobre 2020 :
• des lignes directrices modificatives de celles adoptées le 4 juillet 2019 (accessibles ici), pour les adapter notamment à l’arrêt du Conseil d’Etat du 19 juin 2020 sur les « cookie walls » ;
• une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux cookies et autres traceurs (accessible ici), qui fait suite à une consultation publique de janvier à février 2020.
Les acteurs ont un délai de 6 mois pour se mettre en conformité avec les nouvelles règles, soit jusqu’à fin mars 2021.
Globalement, l’autorité française a surtout procédé à un travail de restructuration et de précision de sa doctrine en matière de cookies, et reste prudente dans son approche des cookies walls.
Sans surprise, la CNIL maintient les grands principes édictés précédemment tels que :
• l’abandon de la poursuite de navigation, du scroll, des cases pré-cochées ou de l’acceptation de CGU comme modes valables d’obtention du consentement,
• l’obligation de lister les finalités (c'est à dire les catégories de cookies) et les acteurs intervenant dans le dépôt de cookies,
• la possibilité de retirer son consentement à tout moment, et aussi facilement que dans la possibilité de consentir,
• l’obligation de garder une preuve du consentement,
• l’exemption de consentement pour certains cookies techniques dont la CNIL fournit quelques exemples non limitatifs.
Pour le reste, nous synthétisons ci-après les dispositions importantes ou que nous considérons comme un apport par rapport aux recommandations antérieures.
Lignes directrices : quelles sont les nouveautés ?
Cookies walls
La CNIL avait précédemment adopté des lignes directrices le 4 juillet 2019 interdisant la pratique des « cookie walls ».
Saisi par plusieurs associations professionnelles, le Conseil d’Etat avait invalidé cette interdiction en jugeant que la CNIL avait excédé ce qu’elle pouvait légalement faire dans le cadre d’un acte de « droit souple ».
La CNIL a pris acte de cette décision et en a tiré les conséquences dans ses nouvelles lignes directrices. Sans valider de façon générale la pratique des cookies walls, l’autorité maintient prudemment que ces pratiques peuvent « dans certains cas » porter atteinte à la liberté du consentement. Elle conclut qu’il convient d’apprécier la licéité des cookies walls « au cas par cas » et que « l’information fournie à l’utilisateur devrait clairement indiquer les conséquences de ses choix et notamment l’impossibilité d’accéder au contenu ou au service en l’absence de consentement ».
Responsabilité des acteurs
Sans grande nouveauté, la CNIL réaffirme que l’éditeur d’un service ou d’une application est qualifié de responsable de traitement et doit s’assurer de garder la maîtrise des cookies déposés par des tiers sur son site ou application. Ces tiers doivent néanmoins également recevoir la qualification de responsables de traitement dès lors qu’ils « agissent pour leur propre compte ».
Au titre des ajouts – sans infléchir ses précédentes positions – la CNIL :
• cite la décision du Conseil d’Etat du 6 juin 2018 pour affirmer que si des tiers interviennent pour déposer des cookies sur un site ou une application, l’éditeur a la responsabilité de s’assurer qu’il n’emploie pas des tiers ne respectant pas la réglementation et doit « effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements » ;
• reprend également l’arrêt de la CJUE du 29 juillet 2019 « Fashion ID » qui a qualifié l’éditeur et les tiers de responsables conjoints du traitement lorsqu’ils déterminent conjointement les finalités et les moyens des cookies utilisés ;
• rappelle que si les partenaires tiers sont qualifiés de sous-traitants, ils doivent assister le responsable de traitement conformément à l’article 28 du RGPD notamment pour assurer le respect des droits des personnes concernées et en informant le responsable de traitement si une instruction de ce dernier constitue une violation des textes applicables.
Cas des cookies exemptés de consentement
L’autorité française a confirmé que certains types de cookies purement techniques, c’est-à-dire strictement nécessaires à la mise à disposition de contenus d’un site ou d’une application, sont exemptés de l’obligation de consentement (par exemple, pour l’authentification à un service ou mémoriser un panier d’achat).
En revanche, s’agissant des cookies analytiques, elle a précisé et allégé les conditions d’exemption de ce type de cookies et a publié une nouvelle page à ce sujet sur son site (accessible ici).
De façon intéressante, la CNIL a ajouté le passage suivant : « la Commission considère que les traceurs dont la finalité se limite à la mesure de l’audience du site ou de l’application, pour répondre à différents besoins (mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de l’ergonomie, estimation de la puissance des serveurs nécessaires, analyse des contenus consultés, etc.) sont strictement nécessaires au fonctionnement et aux opérations d’administration courante d’un site web ou d’une application », et seraient donc exemptés de consentement.
Il convient à ce titre que :
• la finalité soit réalisée uniquement pour le compte de l’éditeur,
• les traceurs ne permettent pas le suivi sur différents sites ou applications, et
• que les données ne servent qu’à produire des statistiques anonymes, sans recoupement avec d’autres données, ni transmission à des tiers.
Sans citer explicitement les solutions les plus couramment utilisées, la CNIL précise toutefois que : « certaines offres de mesure d’audience n’entrent pas dans le périmètre de l’exemption notamment lorsque leurs fournisseurs indiquent réutiliser les données pour leur propre compte. C’est le cas notamment de plusieurs grandes offres de mesure d’audience disponibles sur le marché. Dans certains cas il peut être possible de configurer ces outils pour désactiver la réutilisation des données, vérifiez auprès du fournisseur de votre outil qu’il s’engage contractuellement à ne pas réutiliser les données collectées (…) ».
Quelles sont les recommandations pratiques ?
Conditions du consentement
En poursuivant son interprétation stricte du consentement au sens de l’article 4 du RGPD, la CNIL considère désormais que l’absence de consentement doit être comprise comme un refus pur et simple de tous les cookies non exemptés. Ainsi, si l’utilisateur ne clique pas expressément sur la case de consentement, le responsable de traitement doit enregistrer un refus et aucun cookie ne peut être déposé.
La CNIL confirme en outre deux points importants :
• un consentement global peut être donné, à condition qu’au même niveau figure une possibilité de refuser globalement tous les cookies (via des boutons du type « tout accepter » et « tout refuser ») et sans que la présentation du module de gestion des cookies n’incite un utilisateur peu attentif à préférer un consentement global sans en saisir les conséquences. La CNIL recommande « fortement » d’éviter les interfaces permettant un seul clic pour consentir, et plusieurs niveaux de paramétrage pour pouvoir refuser les cookies.
• Pour qu’il soit aussi facile de retirer son consentement que de le donner, et ce à tout moment, il est conseillé de mettre à la disposition de l’utilisateur un lien ou une icône « cookie » accessible sur toutes les pages du site ou sur l’écran en permanence pour accéder au module de gestion des choix.
L’autorité a publié en ligne une synthèse des conditions du consentement et fournit quelques exemples de bandeaux cookies (accessible ici).
S’agissant du recueil du consentement via les navigateurs, la CNIL a supprimé tous les développements qu’elle avait intégrés à son projet de recommandation. Ainsi, il n’est plus question de permettre aux navigateurs de mettre en place des mécanismes pour faciliter le recueil du consentement.
Preuve du consentement
Si le principe de la preuve du consentement reste le même, la CNIL a étoffé les exemples donnés pour apporter la preuve de la validité du consentement. Elle approuve, à ce titre, le recours aux outils de CMP qui sont de plus en plus utilisés en pratique : « Les informations relatives aux outils mis en œuvre et à leurs configurations successives (tels que les solutions de recueil du consentement, également connues sous l’appellation CMP, pour « Consent Management Plateform ») peuvent être conservées, de façon horodatée, par les tiers éditant ces solutions ».
En outre, en cas de recours à des cookies tiers, la CNIL considère de façon inédite que tout organisme qui ne recueille pas lui-même le consentement ne peut se satisfaire d’une clause contractuelle obligeant son partenaire à recueillir un consentement valable. Il convient que ce partenaire puisse aussi mettre à la disposition de tous les responsables de traitement s’appuyant sur ce consentement, la preuve de celui-ci, afin qu’ils puissent tous s’en prévaloir le cas échéant.
Durée de conservation
La CNIL a apporté la précision qu’il est essentiel de conserver les choix de l’utilisateur, qu’il s’agisse d’un consentement ou d’un refus, de sorte à ne pas les solliciter à nouveau pendant un certain temps. Une durée de 6 mois constituerait, selon l’autorité, une bonne pratique à suivre.
Il convient de relever la durée maximale de 13 mois de validité des cookies a disparu des nouvelles exigences. Cette durée recommandée est maintenue uniquement comme condition d’exemption des cookies de mesure d’audience.