Contrôle du dépôt des cookies par la CNIL dès le mois d’octobre 2014

La CNIL va lancer, dès le mois d’octobre prochain, des contrôles visant à s’assurer de la conformité des acteurs de l’Internet aux obligations résultant de sa Recommandation du 5 décembre 2013.

A compter d’octobre 2014, la CNIL va être en mesure de venir contrôler la bonne utilisation des cookies par les éditeurs de sites Internet.
Rappelons que, selon la loi Informatique et Libertés (article 32-II de la loi du 6 janvier 1978 modifiée par l’ordonnance du 24 août 2011), l’utilisation de cookies nécessite en principe l’information et le consentement préalable des internautes.
Il convient donc d’informer les utilisateurs de la présence, la finalité, la durée de conservation des cookies déposés sur le disque dur de leur ordinateur, et des moyens dont ils disposent pour s’y opposer.
Ces obligations s’imposent à l’ensemble des acteurs du Web, qu’ils éditent un site Internet, un système d’exploitation ou une application. Sont donc aussi bien concernés les sites d’e-commerce, ceux qui éditent des publications de presse en ligne, les régies publicitaires, les réseaux sociaux, les éditeurs de solutions de mesure d’audience...
Pour s’assurer du respect de ces obligations, le 5 décembre 2013, la CNIL a adopté une Recommandation qui propose de mettre en place une procédure en 2 étapes, permettant d’assurer une information complète des internautes sur l’utilisation des cookies :

Etape 1

L’internaute qui se rend sur le site d’un éditeur pour la première fois doit être informé, par l’apparition d’un bandeau :
  • des finalités précises des cookies utilisés;
  • de la possibilité de s’opposer à ces cookies et de changer les paramètres en cliquant sur un lien présent dans le bandeau;
  • du fait que la poursuite de sa navigation vaut accord au dépôt de cookies sur son terminal.
Ce bandeau ne doit pas disparaître tant que la personne n’a pas poursuivi sa navigation, c'est-à-dire tant qu’elle ne s'est pas rendue sur une autre page du site ou n’a pas cliqué sur un élément du site (image, lien, bouton « rechercher »).

Etape 2

Le bandeau doit contenir un lien " En savoir plus/paramétrer les traceurs ", renvoyant vers une page indiquant aux internautes comment refuser l'insertion des cookies dans leur disque dur (dans les mentions légales par exemple).
Le bandeau peut prendre la forme suivante : En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer [exemple : des publicités ciblées adaptées à vos centres d’intérêt] et/ou [autre exemple : réaliser des statistiques de visites…]. Cliquez sur ce lien pour en savoir plus et paramétrer les cookies.
Ces mesures, obligatoires depuis février 2014, impliquent de procéder à un audit complet des cookies qui sont déposés depuis le site de chaque opérateur afin de déterminer leur finalité et comment l’internaute doit procéder pour s’y opposer.
La CNIL va lancer, dès le mois d’octobre prochain, des contrôles visant à s’assurer de la conformité des acteurs de l’Internet aux obligations résultant de sa Recommandation du 5 décembre 2013.

Ces contrôles pourront avoir lieu à distance, ou dans les locaux des opérateurs (les délégations de la CNIL auront alors accès aux matériels sur lesquels sont stockés les fichiers).
 
La CNIL vérifiera ainsi :
  • Que les cookies ne sont pas déposés ou lus avant que l’internaute ait pu exprimer son accord;
  • Les modalités de recueil du consentement de l’internaute;
  • La visibilité, la qualité et la simplicité de l’information relative aux cookies;
  • La possibilité pour l’internaute de retirer son consentement à tout moment;
  • La durée de vie des cookies et de validité du consentement (qui ne saurait excéder 13 mois).
Il est donc impératif que tous les acteurs de l’Internet respectent scrupuleusement la procédure en 2 étapes susvisées.
Selon les résultats de ces contrôles, la CNIL pourra envoyer des mises en demeure, et le cas échéant appliquer des sanctions à l’égard des organismes à l’encontre desquels des manquements auront été relevés. Rappelons à ce titre que le non-respect des obligations contenues dans la Recommandation du 5 décembre 2013 peut donner lieu à une amende administrative pouvant aller jusqu’à 150 000 € ou 300 000 € en cas de récidive.

Chronique co-écrite avec Laetitia SEBAOUN, Avocats au Barreau de Paris

Réseaux sociaux / Disque dur