(auteur, réf. de texte ou de décision…)
Recherche
(auteur, réf. de texte ou de décision…)
Enews Legipresse
Le club Légipresse
Vidéos
La CNIL publie ses nouvelles lignes directrices relatives aux cookies et autres traceurs
Comme elle l’avait annoncé, la CNIL a publié ses nouvelles lignes directrices relatives aux cookies et autres traceurs, qui rappellent le droit applicable aux opérations de lecture et écriture dans le terminal d'un utilisateur. La précédente délibération, du 5 décembre 2013, devenue obsolète, est donc abrogée.
Ces nouvelles lignes directrices résultent notamment des dispositions de la directive 2002/58/CE modifiée « vie privée et communications électroniques » (ou « ePrivacy »), transposée en droit français à l'article 82 de la loi Informatique et libertés, et de la définition du consentement fourni par l'article 4 du RGPD, tel qu'interprété dans les lignes directrices du Comité européen de la protection des données (CEPD). Elles seront complétées ultérieurement par des recommandations sectorielles ayant notamment vocation à préciser les modalités pratiques du recueil du consentement.
La CNIL, après avoir détaillé le champ d'application des prescriptions énoncées, détaille les modalités de recueil du consentement. Elle rappelle qu’en application des dispositions relatives au consentement, les traceurs nécessitant un recueil du consentement ne peuvent être utilisés en écriture ou en lecture tant que l'utilisateur n'a pas manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair. A ce titre, la CNIL rappelle que la pratique qui consiste à bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (« cookie walls ») n'est pas conforme au RGPD.
En revanche, le fait d'offrir à la personne la possibilité de consentir de manière globale est acceptable, à condition que la spécificité du consentement reste garantie. A ce titre, l'acceptation globale de conditions générales d'utilisation ne peut être une modalité valable de recueil du consentement, rappelle la CNIL, dans la mesure où celui-ci ne pourra être donné de manière distincte pour chaque finalité. De même, il est rappelé que toutes les informations nécessaires à une prise de décision éclairée concernant le consentement ne peuvent être contenues dans des conditions générales.
Ainsi, les informations devant être portées à la connaissance des utilisateurs, préalablement au recueil du consentement, en application de l'article 82 de la loi, sont a minima : l'identité du ou des responsables de traitement ; la finalité des opérations de lecture ou écriture des données ; l'existence du droit de retirer son consentement.
S'agissant du caractère univoque du consentement, le fait de continuer à naviguer sur un site web, d'utiliser une application mobile ou bien de faire défiler la page d'un site web ou d'une application mobile ne constitue pas des actions positives claires assimilables à un consentement valable, énonce la CNIL, pas plus que l’utilisation de cases pré-cochées.
Concernant la preuve du consentement, l'article 7 du RGPD impose que les organisations exploitant des traceurs mettent en œuvre des mécanismes leur permettant de démontrer, à tout moment, qu'ils ont valablement recueilli le consentement des utilisateurs. Dans la situation où ces dernières ne collectent pas elles-mêmes le consentement des personnes, la Commission rappelle qu'une telle obligation ne saurait être remplie par la seule présence d'une clause contractuelle engageant l'une des organisations à recueillir un consentement valable pour le compte de l'autre partie.
La CNIL rappelle en outre que si l'article 82 de la loi précise que le consentement peut résulter de paramètres appropriés du dispositif de connexion de la personne ou de tout autre dispositif placé sous son contrôle, elle considère qu’en en l'état de la technique, ces paramétrages du navigateur ne peuvent permettre à l'utilisateur d'exprimer la manifestation d'un consentement valide. Toutefois, la Commission prend le soin de préciser que les navigateurs pourraient évoluer afin d'intégrer des mécanismes permettant de recueillir un consentement conforme au RGPD.
Concernant le cas spécifique des traceurs de mesure d'audience, auxquels peut recourir un éditeur, ou bien si ce dernier souhaite tester des versions différentes afin d'optimiser ses choix éditoriaux en fonction de leurs performances respectives : des traceurs sont fréquemment utilisés pour cette finalité, et être exemptés du recueil du consentement s'ils respectent les conditions que la Commission détaille dans ces lignes directrices.
Comme elle l’avait indiqué, la CNIL a mis en place une période transitoire de 12 mois afin de laisser aux acteurs le temps de se conformer aux principes qui divergent de la précédente recommandation. Durant cette période de transition, la poursuite de la navigation comme expression du consentement sera donc considérée par la CNIL comme acceptable.