Cookies et traceurs : la revanche du consentement

Le 31 mars 2021 marquera la fin d'une époque, en effet cette date correspond à la fin du délai de clémence accordé par la CNIL aux entreprises pour se mettre en conformité avec les lignes directrices modificatives ainsi qu'une recommandation portant sur l'usage de cookies et autres traceurs adoptées par la CNIL le 17 septembre 2020.

Le 17 septembre 2020, la CNIL a adopté des lignes directrices modificatives ainsi qu’une recommandation portant sur l’usage de cookies et autres traceurs.

C’est dans ce cadre que le 31 mars 2021 marquera la fin d’une époque, en effet cette date correspond à la fin du délai de clémence accordé par la CNIL aux entreprises pour se mettre en conformité sur le sujet.

Et comme souvent en matière de protection des données à caractère personnel, cette envie irrésistible des entreprises de se mettre en conformité reposera uniquement sur l’épée de Damoclès que représenteront les nouvelles sanctions promises.

Malheureusement, il suffit de visiter quelques sites internet pour constater que l’application de ces lignes directrices modificatives et de cette recommandation restent encore pour beaucoup un chantier à mener. 

Certains considèrent qu’il s’agit d’une analyse de risque alors que d’autres restent dans le déni des responsabilités qui leur incombent.

Il est pourtant clair que cette évolution des règles applicables en la matière marquera un tournant pour les internautes, qui pourront désormais exercer un meilleur contrôle sur les traceurs en ligne.

Depuis le 1er juin 2019, la loi du 6 janvier 1978, dite « Informatique et Libertés », est en vigueur dans une nouvelle rédaction et son article 82 transpose l’article 5.3 de la directive 2002/58/CE « vie privée et communications électroniques » (ou « ePrivacy »).

L’article 82 prévoit notamment l’obligation, sauf exception, de recueillir le consentement des internautes avant toute opération d’écriture ou de lecture de cookies et autres traceurs.

À l’origine de ces cadres de référence se trouvent des recommandations adoptées par la CNIL remontant à 2013. Une partie de ces dernières avait été rendue obsolète confrontée à l’article 7 du RGPD lors de son entrée en application, le 25 mai 2018.

La CNIL avait alors adopté des lignes directrices le 4 juillet 2019 rappelant le droit applicable. La version des lignes directrices du 17 septembre 2020 est quant à elle, le fruit d’un ajustement nécessaire afin de tirer les conséquences d’une décision rendue par le Conseil d’Etat le 19 juin 2020 et d’une consultation publique initiée le 14 janvier 2020 parallèlement par la CNIL dont les apports ont permis d’enrichir ces dernières.

Concrètement, vous trouvez ci-dessous les sept principes qui permettront de respecter ces nouveaux cadres de référence :

  • La simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute.
  • Les personnes doivent consentir au dépôt de traceurs par un acte positif clair (comme le fait de cliquer sur « j’accepte » dans une bannière cookie). Si elles ne le font pas, aucun traceur non essentiel au fonctionnement du service ne pourra être déposé sur leur appareil.
  • Les utilisateurs devront être en mesure de retirer leur consentement, facilement, et à tout moment.
  • Refuser les traceurs doit être aussi aisé que de les accepter.
  • Les personnes doivent clairement être informées des finalités des traceurs avant de consentir, ainsi que des conséquences qui s’attachent à une acceptation ou un refus de traceurs.
  • Les personnes doivent également être informées de l’identité de tous les acteurs utilisant des traceurs soumis au consentement.
  • Les organismes exploitant des traceurs doivent être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur.

Sur son site internet, la CNIL recommande également d’opter pour une interface de recueil de consentement avec un bouton « tout accepter » mais aussi un bouton « tout refuser ». Elle suggère également qu’il convient de conserver pendant une certaine durée le consentement aux traceurs et le refus des internautes pendant une certaine période, afin de ne pas réinterroger l’internaute à chacune de ses visites.

Dans la vie quotidienne des internautes que nous sommes, il n’est pas certain que cette évolution des règles applicables simplifiera notre expérience utilisateur. Elle nous permettra néanmoins de bénéficier d’un meilleur contrôle sur les traceurs qui sont déposés sur nos ordinateurs et nos smartphones.