La CNIL a adopté une nouvelle délibération afin de préciser les règles d’utilisation des cookies (Délibération n°2019-093 du 4 juillet 2019). 

Cette délibération a pour objet de rappeler les dispositions de l’article 82 de la loi Informatique et libertés issues de la directive dite “vie privée et communications électroniques” ou encore “directive e-privacy”. Cette directive de 2005 prévoit en effet en son article 5.3 que l’utilisateur doit donner son consentement AVANT toute action visant à stocker des informations ou à accéder à des informations stockées dans son terminal. 

Concrètement, les règles applicables sont les suivantes : 

Les cookies (en général tous traceurs) ne peuvent être utilisés tant que l’internaute (l'utilisateur) n’a pas manifesté son accord, de manière libre, spécifique et univoque par une déclaration ou un acte positif clair. En pratique, cela signifie que l’utilisateur doit donner son consentement par le biais d’une action positive de sa part (opt’in). Il convient donc de prévoir une information à travers un bandeau cookies sur lequel l’internaute doit cliquer pour accepter les cookies. Il doit pouvoir les refuser et continuer sa navigation sur le site sans être bloqué. Ainsi, le simple fait de continuer la navigation ne suffit pas à considérer que l’internaute a donné son consentement aux dépôt de cookies sur son terminal. Le bandeau d’information doit donc comporter un bouton “ACCEPTER” et un bouton “REFUSER”. Chaque type de cookies utilisés doit être précisé et l’internaute doit pouvoir accepter ou refuser chacun des cookies déposés. Une acceptation globale est valable si l’internaute a bien été informé des finalités de chacun des cookies utilisés. Un bandeau qui indiquerait : ce site utilise des cookies : "Accepter – Refuser" n’est donc pas conforme. Le bandeau doit renvoyer vers un lien où chaque finalité de cookies est détaillée avec possibilité pour l’internaute d’accepter ou de refuser chacun des cookies. De même qu’il doit être informé sur chacune des entreprises qui déposent les cookies sur son terminal.

A cet effet, j'attire votre attention sur le fait que lorsque vous êtes éditeur d'un site Internet, vous êtes responsables de la conformité juridique dudit site. Or, il est possible qu'une société tierce dépose des cookies sur le terminal de l'utilisateur qui navigue sur votre site. C’est le cas des plug-ins de réseaux sociaux. Lorsque l’utilisateur clique sur le bouton du réseau social, ce dernier dépose des cookies et récupère les données de l'utilisateur.  Dans ce cas, l’éditeur du site et l’éditeur du réseau social sont coresponsables de traitement des données personnelles collectées à travers les cookies et devront démontrer, en cas de litige, qu'ils ont reçu le consentement de l’utilisateur pour le dépôt des cookies.

Il existe des exceptions au recueil exprès et préalable du consentement pour les cookies suivants : 

  • les cookies ayant pour finalité exclusive de permettre ou de faciliter la communication par voie électronique, tels que la mémorisation des identifiants, l'enregistrement du panier d’achat, 
  • les cookies strictement nécessaires à la fourniture d’un service demandé par l’utilisateur : cookies flash permettant la lecture d’une vidéo.

Une proposition de règlement européen concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques est en cours de discussion au sein des institutions européennes et remplacera la directive e-privacy.

En espérant que cet article ait pu vous éclairer sur la bonne utilisation des cookies, je reste à votre disposition pour toutes précisions. 

Daphnée SPINETTI 

Avocate au Barreau de Lille 

www.dspinetti-avocat.com