La CNIL présente le brouillon du projet de recommandation sur les modalités pratiques du recueil de consentement

Relatives aux « cookies et autres traceurs »

Avant l'entrée en vigueur du RGPD, la poursuite de la navigation sur un site quelconque valait acquiescement de l’internaute à l’installation de traceurs publicitaires (cookies). Cette situation était la résultante d'une législation très permissive qui a laissé finalement donner aux régies l’opportunité de gonfler leurs activités commerciales.

Fin juillet, la CNIL a publié au Journal officiel sa délibération sur les lignes directrices relatives entre autres à l'usage des cookies et autres traceurs. Des lignes directrices qui concernent donc le recueil du consentement avant mise en place de cookies sur le terminal de l’utilisateur ou leur exploitation, pour ceux déjà installés.

Nous pouvions y lire que

« tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :

« 1^° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

« 2^° Des moyens dont il dispose pour s'y opposer.

« Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle ».

Le champ d'application de ces lignes directrices va au-delà des seuls cookies HTTP : « les lignes directrices portent sur l'utilisation des cookies HTTP, par lesquels ces actions sont le plus souvent réalisées, mais ont également vocation à s'appliquer au recours à d'autres techniques : les local shared objects (objets locaux partagés) appelés parfois les cookies Flash , le local storage (stockage local) mis en œuvre au sein du HTML 5, les identifications par calcul d'empreinte du terminal, les identifiants générés par les systèmes d'exploitation (qu'ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.), les identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d'un appareil), etc. »

La CNIL a estimé que « le fait de continuer à naviguer sur un site web, d'utiliser une application mobile ou bien de faire défiler la page d'un site web ou d'une application mobile ne constitue pas des actions positives claires assimilables à un consentement valable ». De même, pas de cases précochées ou d’acceptation globale des CGU.

Cependant, la CNIL a laissé un délai de 12 mois aux acteurs du Web pour s'y conformer, justifiant cette période de grâce par « l’exigence juridique de prévisibilité, en cas de changement des règles applicables, résultant notamment de la Convention européenne des droits de l’homme », au grand regret de la Quadrature du Net qui estimait que le sursis de 12 mois était trop long. Pendant ce temps, des groupes de travail chapeautés par la commission travaillent sur une recommandation, attendue dans quelques mois, dont l'objectif est de « décrire les modalités pratiques de recueil d’un consentement conforme aux règles applicables, à proposer des exemples concrets d’interface utilisateur, et à présenter des bonnes pratiques permettant d’aller au-delà des exigences légales ».


Projets de recommandations « cookies et autres traceurs »

La recommandation vise essentiellement à guider les professionnels dans l’application des règles applicables aux opérations de lecture ou écriture soumises au consentement, et non de celles pour lesquelles le consentement n’est pas exigé. En l’état des pratiques portées à la connaissance de la Commission, les traceurs suivants peuvent, en particulier, être regardés comme exemptés :

• les traceurs conservant le choix exprimé par l’utilisateur sur le dépôt de traceurs ou la volonté de celui-ci de ne pas exprimer un choix;
• les traceurs destinés à l’authentification auprès d’un service;
• les traceurs destinés à garder en mémoire le contenu d’un panier d’achats sur un site marchand;
• les traceurs de personnalisation de l'interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu par l’utilisateur du service;
• les traceurs permettant l'équilibrage de la charge des équipements concourant à un service de communication;
• les traceurs permettant aux sites payants de limiter l’accès gratuit à leur contenu à une quantité prédéfinie et/ou sur une période limitée;
• les traceurs permettant la mesure d’audience, dans le cadre spécifié par l’article 5 des lignes directrices relatives aux cookies et autres traceurs.

Les traceurs ne sortent du champ d’application de l’exigence de consentement que s’ils sont utilisés exclusivement pour l’une des finalités exposées ci-dessus. Un traceur perd en effet le bénéfice de l’exemption dès lors qu’il est également utilisé pour une autre finalité soumise au consentement.

La présente recommandation concerne tant les traceurs utilisés par l’éditeur d’un site web ou d’une application mobile que ceux utilisés par des tiers. Dans le cas d’un site web, le fait que les traceurs soient déposés via le domaine auquel appartient le site considéré, ou bien via un sous-domaine du même éditeur, ou encore via le domaine d’un tiers, n’a aucun effet sur les obligations issues de l’article 82 de la loi « Informatique et Libertés ». L’obligation de recueillir le consentement est attachée à la finalité du traceur et non aux caractéristiques techniques de sa mise en œuvre.

Exigence d'un consentement éclairé

L’utilisateur doit recevoir une information conforme à l’article 82 de la loi « Informatique et Libertés », complétée, le cas échéant, par les exigences du RGPD, dans les conditions rappelées par les lignes directrices. La Commission entend faire porter ses recommandations pratiques, en particulier, sur l’information due au titre des finalités, de l’identité du ou des responsables de traitement et de la portée du consentement.

Les finalités des traceurs doivent être présentées à l’utilisateur avant que celui-ci se voie offrir la possibilité de consentir ou de ne pas consentir à leur utilisation :

• Si le ou les traceurs sont utilisés afin d’afficher de la publicité personnalisée, cette finalité peut être décrite de la manière suivante : «Publicité personnalisée : [nom du site / de l’application] [et des sociétés tierces / nos partenaires] utilise / utilisent des traceurs afin d’afficher de la publicité personnalisée en fonction de votre navigation et de votre profil».
• Si le ou les traceurs ne sont utilisés que pour afficher la publicité et mesurer son audience, sans la sélectionner sur la base de données personnelles, le responsable du traitement peut utiliser la formulation suivante : «Affichage de publicité : [nom du site / de l’application] [et des sociétés tierces / nos partenaires] utilise / utilisent des traceurs dans le but d’afficher de la publicité [sur le site ou l’application], sans vous profiler ».
• Si la publicité est personnalisée en fonction de la géolocalisation précise (avec une précision supérieure à l’échelle d’une ville ou plus d’une décimale de précision dans la latitude/longitude) de l’utilisateur, cette finalité peut être décrite de la manière suivante : «Publicité géolocalisée : [nom du site / de l’application] [et des sociétés tierces/ nos partenaires] utilise / utilisent des traceurs pour vous adresser de la publicité en fonction de votre localisation».
• Si les traceurs sont utilisés pour personnaliser le contenu éditorial ou les produits et services fournis affichés par l’éditeur, l’une des formulations suivantes peut être affichée : « Personnalisation de contenu : Notre site / application [et des sociétés tierces] utilise / utilisons des traceurs pour personnaliser le contenu éditorial [de notre site / application] en fonction de votre utilisation », ou « Notre site / application [et des sociétés tierces] utilise / utilisons des traceurs pour personnaliser l’affichage de nos produits et services en fonction de ceux que vous avez précédemment consultés [sur notre site / application] »).
• Si les traceurs sont utilisés afin de partager des données sur les réseaux sociaux, leur finalité peut être décrite de la manière suivante : « Partage sur les réseaux sociaux: Notre site / application utilise des traceurs pour vous permettre de partager du contenu sur les réseaux sociaux ou plateformes présents [sur notre site / application] ». Si l’éditeur a mis en place un mécanisme permettant de ne déclencher ces traceurs que lorsque l’utilisateur souhaite effectivement partager des données avec les réseaux sociaux concernés (et qu’il interagit avec la fonctionnalité ou le bouton permettant cette interaction), l’information et le recueil du consentement pourraient apparaitre seulement lorsque l’utilisateur décide de déclencher ladite fonctionnalité de partage.
• Si les traceurs sont utilisés afin de mesurer l’audience, et que leurs caractéristiques font qu’ils sont soumis au consentement, lorsque ces traceurs ne respectent pas toutes les conditions prévues à l’article 5 des lignes directrices relatives aux cookies et autres traceurs, la finalité peut être décrite comme suit : « Mesure d’audience: Notre site / application [et des sociétés tierces / nos partenaires] utilise / utilisons des traceurs pour mesurer l’audience [de notre site / application] »

L'exigence d'un consentement libre

Le consentement ne peut être valide que si l’utilisateur est en mesure d'exercer librement son choix, dans les conditions rappelées par les lignes directrices. Concernant les modalités pratiques, en premier lieu, le responsable du ou des traitements devrait offrir à l’utilisateur tant la possibilité d’accepter que celle de ne pas accepter (en d’autres termes, de refuser) les opérations de lecture et/ou écriture.

En deuxième lieu, le même degré de simplicité devrait s’appliquer à la capacité de consentir ou de ne pas consentir. La capacité d’exprimer un refus aussi aisément est en effet le pendant de la capacité d’exprimer un consentement libre. Par suite, afin de ne pas influer sur la liberté de choix de l’utilisateur, le mécanisme permettant d’exprimer un consentement devrait se situer au même niveau et être présenté selon les mêmes modalités techniques que le mécanisme permettant d’exprimer un refus.

En troisième lieu, l’utilisateur ne devrait pas subir de préjudice s’il choisit de refuser. Ainsi, le choix exprimé par l’utilisateur, qu’il s’agisse d’un consentement ou d’un refus, devrait être enregistré de manière à ne pas solliciter à nouveau, pendant un certain laps de temps, le consentement de l’utilisateur. En effet, le fait de ne pas enregistrer le refus empêcherait sa prise en compte dans la durée, notamment lors de nouvelles visites. Sans enregistrement du choix qu’il a exprimé, l’utilisateur serait sollicité de nouveau. Cette pression continue serait susceptible de pousser l’utilisateur à accepter par lassitude. Le fait de ne pas enregistrer le refus de consentir pourrait donc avoir comme conséquence d’exercer une pression de nature à influencer son choix, et remettrait ainsi en cause la liberté du consentement qu’il exprime.

Enfin, ces interfaces ne devraient pas utiliser de pratiques de design potentiellement trompeuses, telles que l’usage d’une grammaire visuelle qui pourrait laisser penser à l’utilisateur que le consentement est obligatoire pour continuer sa navigation ou qui met visuellement plus en valeur la possibilité d’accepter que celle de refuser.


L’exigence d’un consentement spécifique

L’utilisateur doit se voir offrir la possibilité de donner son consentement de façon indépendante et spécifique pour chaque finalité distincte. La simple acceptation globale de conditions générales d’utilisation ou de vente ne permet pas d’obtenir un consentement spécifique. La Commission considère que l’obligation de recueillir un consentement spécifique ne fait pas obstacle à la possibilité de proposer à l’utilisateur de consentir de manière globale à un ensemble de finalités, à condition:

• d’avoir présenté à l’utilisateur, au préalable, l’ensemble des finalités ;
• de permettre également à l’utilisateur de consentir finalité par finalité ;
• qu’une possibilité de refuser de façon globale soit également fournie au même niveau et dans les mêmes conditions que la possibilité de consentir de façon globale.

Source : CNIL

Et vous ?

Que pensez-vous de ces recommandations ?

Voir aussi :

En dépit de l'opposition de la CNIL, la France s'apprête à lancer un programme d'identité numérique par reconnaissance faciale avant la fin d'année
PLF 2020 : les garanties fournies par Bercy pour traquer la fraude sur les réseaux sociaux sont insuffisantes, selon la CNIL qui critique la collecte de masse des données par le fisc
Le « droit à l'oubli » ne s'applique que dans l'UE, tranche la Cour de justice de l'Union européenne après plusieurs années de lutte opposant la CNIL à Google
Le Conseil d'État rejette le référé de la Quadrature du Net contre la CNIL, la « poursuite de la navigation » est donc un mode d'expression du consentement en matière de cookies