Lors de la création d’un site Internet se pose la question des cookies, traceurs d’un site qui permettent d’établir un profil de notre comportement et consommation.

Or, ces traceurs font l’objet d’un encadrement légal qui au fil des années a évolué.

Le 10 décembre 2020, la CNIL a sanctionné GOOGLE LLC et GOOGLE IRELAND LIMITED à 100 millions d’euros en considérant que ces deux entités ne respectaient pas les dispositions de l’article 82 de la Loi informatique et Libertés. Elle fit de même avec AMAZON EUROPE CORE, la sanctionnant à une amende de 35 millions d’euros le 7 décembre 2020.

La mention « cookies » est donc à rédiger avec minutie et les actes qui en découlent doivent être observés avec rigueur par l’entité concernée.

Faisons un tour d’horizon sur l’évolution des textes afin de déterminer les règles à respecter en matière de cookies et ainsi éviter une sanction financière lourde de conséquence et une publicité bien gênante.

Evolution des textes

La Directive 2002/58/ CE « vie privée et communications électroniques » du 12 juillet 2002, plus connue sous le nom « E-privacy », dans son article 5-3 interdit aux sites internet de déposer ou de lire des cookies sans notre consentement.

Cet article a été transposé en droit français donnant ainsi naissance à l’article 82 de la Loi Informatique et Libertés :

Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :

1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

2° Des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.

Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :

1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;

2° Soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur.

Cet article prévoit que le recueil de consentement est obligatoire sauf exception.

Ce texte donne lieu à une délibération de la CNIL en date du 5 décembre 2013.

Le 4 juillet 2019, la CNIL rend une nouvelle délibération afin d’adapter ses recommandations aux nouvelles dispositions du Règlement Général sur la Protection des Données (ci-après RGPD).

Le principe est le même. L’internaute doit consentir à l’installation des cookies et les sites doivent prouver le recueil d’un tel consentement. La CNIL considère donc que le consentement ne peut être donné par la simple poursuite de la navigation sur un site.

Les internautes ont alors la possibilité d’accepter ou de refuser les cookies. Un bandeau apparait permettant aux internautes d’actionner un bouton.

Toutefois, beaucoup d’internautes constatent qu’en cas de refus, le contenu au site internet n’est plus accessible.

La liberté de choix n’est donc pas réelle et c’est la raison pour laquelle la CNIL interdit cette pratique de « cookies wall ». Celle-ci estime donc que l’internaute doit pouvoir accéder au contenu dudit site.

Des associations de professionnels saisissent alors le Conseil d’Etat afin qu’il statue sur la conformité des recommandations de la CNIL en date du 4 juillet 2019.

Le Conseil d’Etat, dans sa décision du 19 juin 2020 estime que la CNIL ne peut interdire la pratique des « cookies wall ».

Le Conseil d’Etat estime en revanche que les autres points énoncés dans les recommandations de la CNIL en date du 4 juillet 2019 sont conformes.

Avec l’entrée en application du Règlement Général sur la Protection des Données (RGPD) et la décision du 19 juin 2020 rendue par le Conseil d’Etat, la CNIL a ainsi actualisé partiellement ses recommandations en matière de Cookies.

La CNIL modifie le 17 septembre 2020 ses lignes directrices afin de tenir compte de la décision rendue par le Conseil d’Etat le 19 juin 2020.

S’ajoutent à cela des recommandations en matière de cookies prises également le 17 septembre 2020.

Comment adapter ses mentions « cookies » aux nouvelles préconisations ?

Concernant les modalités du consentement :

  • Les internautes doivent consentir au dépôt de traceurs par un acte positif clair.

En clair, la bannière « cookies » doit donc permettre à l’internaute de cliquer sur un bouton « Accepter ».

  • La simple poursuite de la navigation sur un site ne constitue pas l’expression d’un consentement valide.
  • Si les internautes ne cliquent pas sur le bouton « Accepter », aucun traceur non essentiel au fonctionnement du service ne pourra être déposé.
  • La CNIL conseille l’intégration de deux boutons : Accepter et Refuser
  • L’éditeur du site doit faciliter l’acceptation, le refus et le retrait du consentement de l’internaute
  • L’internaute doit être informé de manière claire et précise sur les finalités des traceurs, sur les conséquences en cas d’acceptation ou de refus et sur l’identité des acteurs utilisant les traceurs.

Sur la conservation des preuves, les exploitants des traceurs doivent conserver les preuves du recueil du consentement libre, éclairé, spécifique et univoque de l’internaute.

Certains traceurs ne nécessitent toutefois pas un consentement. La CNIL évoque les traceurs suivants :

  • Les traceurs d’authentification
  • Les traceurs destinés à la mémoire du contenu d’un panier d’achat
  • Les traceurs de personnalisation de l’interface (langue du site par exemple)
  • Les traceurs permettant de limiter l’accès gratuit à un contenu…

Quels sont les délais pour s’y conformer ?

Les délais pour se conformer aux nouvelles lignes directrices ne doivent pas dépasser 6 mois à compter de la publication de ces lignes directrices, soit au plus tard fin mars 2021.

Attention, les éditeurs de site doivent respecter les recommandations de la CNIL de 2013 qui perdurent dans ses nouvelles lignes directrices.

Mots clefs: RGPD, CNIL, Cookies

Date de l'article  : 17 décembre 2020