Utilisation des cookies à l'épreuve de la Cnil : attention à l'indigestion

En octobre 2014, la Cnil va débuter les contrôles de conformité des sites web avec la réglementation applicable aux cookies. Rappel de la législation et zoom sur la procédure de contrôle.

Dans un communiqué du 11 juillet 2014, la Cnil annonçait pour octobre prochain le début des contrôles de la conformité des sites Internet avec la réglementation applicable aux cookies. Cette première vague de contrôles aura donc lieu près d'un an après la publication par la Cnil, le 5 décembre 2013, d'une recommandation clarifiant l'utilisation des cookies conformément à la loi applicable, la loi Informatique et Libertés (du 6 janvier 1978), fondatrice de la Cnil et de la protection des données à caractère personnel.

I. La réglementation applicable aux cookies

Dans sa recommandation de 2013, la Cnil apportait des précisions techniques sur l'utilisation des cookies. Si la loi Informatique et Libertés prévoyait déjà auparavant l'information et le recueil du consentement de l'utilisateur pour l'utilisation de cookies par un site Internet, aucune précision n'avait été apportée en ce qui concerne la forme de cette information et le  recueil du consentement. Ainsi, la Cnil clarifiait le sujet en précisant notamment que les cookies nécessitent un consentement, les mentions nécessaires à la parfaite information de l'utilisateur et le recueil du consentement, et la durée de conservation maximum.
De façon générale, l'utilisation de cookies nécessite l'information et le consentement de l'utilisateur. Néanmoins, il existe quelques exceptions pour lesquelles le consentement n'est pas nécessaire (les cookies de mesure d'audience, les cookies d'authentification, les cookies d'identifiant de session pour la durée d'une session…). L'information de l'utilisateur se fait par l'affichage d'un bandeau informatif dès l'arrivée sur une page du site, qu'elle soit la page d'accueil ou une page secondaire.
Ce bandeau doit impérativement contenir les mentions suivantes :
  • Une mention sur la  finalité des cookies;
  • Un lien redirigeant vers une page explicative sur les cookies, permettant aussi de les accepter ou les refuser;
  • La mention que continuer la navigation vaut acceptation au dépôt de cookies sur l'ordinateur.
Ce bandeau ne peut disparaître avant que l'utilisateur ait signifié son consentement, par la poursuite de sa navigation sur une autre page, en cliquant sur un élément du site ou en acceptant ou refusant les cookies. Bien entendu, l'insertion de cookies ne peut intervenir qu'après l'expression de ce consentement. Pour finir, les cookies ne peuvent être conservés que pendant un délai maximum de 13 mois, à l'expiration duquel le consentement doit être obtenu de nouveau. 

II. L'aide apportée par la Cnil aux éditeurs de site Internet

Suite à cette délibération, la Cnil a mis en place de nombreux outils pour permettre aux éditeurs de sites Internet de se mettre en conformité. Une partie du site de la Cnil est maintenant consacrée aux cookies et propose différents services.
La Cnil fournit d'abord une foire aux questions débroussaillant le sujet et les obligations découlant de l'insertion "de cookies ou autres traceurs". De plus, la Cnil a aussi publié dans cette section du site un guide de mise en conformité pour certains cookies (mesure d'audience, boutons de partage et cookies de publicité). Pour finir, le logiciel libre "CookieViz" a été mis à la disposition de tous, permettant notamment aux éditeurs de site d'identifier tous les cookies en place sur leur site, et particulièrement les cookies provenant des régies publicitaires. Ainsi faisant, la Cnil a donné les moyens aux éditeurs d'établir une liste de tous les cookies présents sur leur site, afin de pouvoir la communiquer aux utilisateurs dans la page explicative.
Fort de la mise en place de toutes ces informations et outils pour aider la mise en conformité, la Cnil passera en octobre 2014 à la phase suivante : le contrôle de la conformité.

III. La procédure de contrôle de l'utilisation des cookies

Très opportunément, les pouvoirs de la Cnil ont été augmentés par la loi du 17 mars 2014, lui permettant dorénavant d'effectuer des contrôles en ligne. Désormais, en plus de son pouvoir de contrôle sur place, par la communication de pièces ou par l'audition de personnes, la Cnil peut également constater les manquements à la loi Informatique et Libertés depuis un ordinateur connecté à Internet par un contrôle des données librement accessibles ou rendues accessibles. Ce pouvoir ne permet cependant en aucun cas à la Cnil de pénétrer dans un système d'information en forçant les mesures de sécurité, la Cnil étant limité à contrôler ce qui est apparent.
En ce qui concerne les contrôles de  conformité pour les cookies, ils seront effectués en deux temps.
En premier lieu, un audit de tous les cookies présents sur le site, interne ou tiers : quelle est la nature du cookie (HTTP, local shared, pixels invisibles...), quelle est sa finalité (publicité, mesure d'audience). Dans un second temps, la Cnil va contrôler le bandeau informatif, le recueil du consentement, et la durée de vie des cookies. S'agissant du recueil du consentement, la Cnil vérifiera tout d'abord qu'aucun cookie n'est déposé avant l'expression du consentement, la façon dont le consentement est recueilli, et la possibilité de retrait du consentement à tout moment.
Selon le bilan du contrôle, la Cnil pourra utiliser sa panoplie répressive, passant par la mise en demeure et la sanction financière.