Les nouvelles règles mises en place par la CNIL sur les traceurs et cookies, sans en perdre une miette

Les nouvelles règles mises en place par la CNIL sur les traceurs et cookies, sans en perdre une miette

07.10.2020

Gestion d'entreprise

C'est la suite logique de la décision du Conseil d'Etat du 19 juin qui a invalidé une partie des lignes directrices de la Commission sur les cookies et autres traceurs : la CNIL vient d'adopter ses nouvelles lignes directrices et sa recommandation en la matière. Mélanie Erber, associée et Sacha Bettach, collaboratrice chez Coblence, nous expliquent ces nouvelles règles.

Le 1er octobre, la CNIL a adopté de nouvelles lignes directrices et une recommandation afin d’énoncer les règles et bonnes pratiques en matière d’utilisation des cookies et traceurs sur internet. Celles-ci s’inscrivent dans le prolongement des lignes directrices relatives aux cookies et traceurs adoptées par la CNIL le 4 juillet 2019, pour lesquelles une mise au point était nécessaire depuis l’arrêt du 19 juin 2020 du Conseil d’Etat ayant invalidé la prohibition générale et absolue de la pratique des cookies walls.

Par ces nouvelles règles, la CNIL vient donc ajuster ses recommandations en matière de navigation au moyen de cookies et de politique à adopter pour les internautes par les éditeurs.

Qu'est-ce qu'un cookie ?

Les cookies sont des fichiers informatiques stockées sur un serveur et présents dans l’ordinateur de l’internaute. A l'aide de ceux-ci, les éditeurs de sites internet peuvent collecter les données de navigation des internautes voire même recueillir un ensemble d’informations telles que les paniers d’achat, les comportements d’achat, la publicité ciblée etc.

Par ce biais, les données personnelles – parfois sensibles – de l’internaute sont alors traitées.

De façon plus spécifique, les cookies wall sont des liens mis en ligne par les éditeurs de sites internet visant à bloquer l’accès aux sites internet aux visiteurs qui refuseraient de consentir au suivi de leur navigation au moyen de cookies ou de traceurs de connexion.

Nouvelles lignes directrices sur les cookies par la CNIL

Depuis l'entrée en vigueur du RGPD en 2018, la pratique des éditeurs de sites internet visaient de plus en plus à conditionner la visite sur leur site internet par l’acceptation sans conditions de la politique sur les cookies.

Face à cet essor, la CNIL avait sanctionné ces comportements aux termes de ses lignes directrices en date du 4 juillet 2019, estimant que le consentement de l’internaute était alors vicié, non libre, non éclairé et non donné par un acte positif clair contrairement aux exigences du RGPD.

Néanmoins, le Conseil d’Etat avait estimé le 19 juin 2020 que, ce faisant, la CNIL avait outrepassé ses pouvoirs d’interprétation du RGPD – qui rappelons-le reste muet quant à la pratique des cookies walls – et avait invalidé la partie prohibant la pratique de cookies wall. En d’autres termes, le Conseil d’Etat demandait à la CNIL de laisser les éditeurs de sites internet qui le souhaitaient conditionner l’accès à leur site par l’acceptation aveugle des politiques de cookies et donc à une collecte de données sur l’internaute.

Suite à cette décision, la CNIL a émis de nouvelles règles directrices principalement à l’attention des professionnels et éditeurs de sites internet, et rappelle deux règles fondamentales visant à la protection des internautes :

  • l’information : avant une acceptation des cookies, le site internet doit informer de façon claire et synthétique la finalité poursuivie pour la collecte de ces cookies (publicité, réseau sociaux, contenu ciblé etc.) ;
  • un refus aussi simple qu’une acceptation : l’internaute doit pouvoir refuser les cookies aussi facilement qu’il lui est proposé de les accepter. Par conséquent, si un seul clic est mis en place pour accepter les cookies, le même procédé aussi rapide doit être mis en place par les éditeurs pour pouvoir les refuser. 

Ces règles étaient déjà présentes dans les lignes directrices du 4 juillet 2019. Aussi, ces principes directeurs sont rappelés par la CNIL dans ses derniers documents pour que les éditeurs puissent désormais être sanctionnés en cas de non-respect. 

6 mois pour se mettre en conformité

Les éditeurs de sites internet ont désormais jusqu’au mois de mars 2021 pour mettre leurs sites internet en conformité aux exigences de la CNIL.

A ce jour, de nombreux sites internet ont déjà opté pour une généralisation du bandeau d’acceptation inconditionnel avant l’accès au site.

Face à cette pratique contre laquelle la CNIL n’a pas pu lutter, les éditeurs devront donc veiller à renforcer l’information des droits des internautes et les finalités de la collecte (notamment sur ce fameux bandeau et/ou via un lien renvoyant à une politique plus spécifique de cookies) et veiller au retrait du consentement relatif à la collecte.

Néanmoins, il convient de garder en tête que certains traceurs sont exemptés de consentement, lequel ne s’applique qu’aux opérations dont la finalité est de permettre la communication par voie électronique.

A ce titre, la CNIL liste quelques traceurs exemptés, e.g. les traceurs destinés à l’authentification d’un service (sécurité pour limiter les tentatives d’accès robotisées par exemple), ceux destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou encore ceux lié à la personnalisation de l’interface utilisateur (choix de la langue par exemple etc.).

En pratique, cette différenciation sera impossible à effectuer pour les éditeurs de sites internet, qui se verront donc contraints de recueillir le consentement des internautes tout azimut avant de naviguer sur leur site.

Mélanie Erber Co-auteur : Sacha Bettach (Avocate chez Coblence)

Nos engagements