la Cnil a rendu une délibération n° 2020-092 le 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs ».

Les principales recommandations de la CNIL concernant les sites web sont les suivantes.

1. Les traceurs qui sont exemptés de consentement

Il s’agit des traceurs strictement nécessaires à la fourniture d’un service de communication en ligne expressément demandé par l’utilisateur ou bien les traceurs qui visent à permettre ou faciliter la transmission de la communication par voie électronique. Ces traceurs ne nécessitent pas de consentement des internautes mais la CNIL recommande de les informer de leur utilisation et leur rappeler que des réglages du navigateur peuvent leur permettre de les bloquer, Elle rappelle que les traitements de données personnelles associés restent néanmoins soumis aux principes du RGPD.

Parmi ces traceurs :

• « les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ;
• les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues ;
• les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer, à l’utilisateur, le(s) produit(s) et/ou service(s) acheté(s) ;
• les traceurs de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
• les traceurs permettant l’équilibrage de la charge des équipements concourant à un service de communication ;
• les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
• certains traceurs de mesure d’audience dès lors qu’ils respectent certaines conditions. »

Les utilisateurs devront cependant être informés de la mise en œuvre de ces traceurs dans la politique de confidentialité du site. La durée de vie des traceurs devra également être limitée à une durée de treize mois et les informations collectées par leur intermédiaire conservées pour une durée maximale de vingt-cinq mois.

2. Les traceurs nécessitant le recueil du consentement préalable

Pour la CNIL, « Ceux-ci peuvent par exemple être liés à l’affichage de la publicité personnalisée ou non personnalisée (dès lors que des traceurs sont utilisés pour mesurer l’audience de la publicité affichée dans ce dernier cas) ou encore à des fonctionnalités de partage sur les réseaux sociaux. En l’absence de consentement  (dans l’hypothèse donc d’un refus de l’utilisateur),ces traceurs ne peuvent être déposés et/ou lus sur son terminal. »

Comment recueillir un consentement valide ?

• L’utilisateur doit faire un choix par finalité. Les lignes directrices rappellent qu’un consentement unique pour plusieurs finalités n’est pas valide. Il est possible de proposer à l’utilisateur de consentir de manière  globale à un ensemble de finalités, en intégrant, par exemple, des boutons « tout accepter » ou « tout refuser », mais uniquement si l’ensemble des finalités est présenté préalablement.

• Une présentation intelligible des finalités des traceurs. la CNIL rappelle que l’internaute doit recevoir une information claire et synthétique sur les finalités des cookies préalablement à l’acceptation ou au refus.

Pour les traceurs utilisés à des fins de publicité personnalisée, la Commission propose la formulation suivante :

       « Publicité personnalisée : [nom du site / de l’application] [et des sociétés tierces / nos partenaires] utilise / utilisent des traceurs afin d’afficher de la publicité personnalisée en fonction de votre navigation et de votre profil ».

• Permettre à l’utilisateur de consentir par un acte positif clair : La CNIL rappelle qu’un consentement suppose une action positive. Le silence des personnes, qui peut passer par la simple poursuite de leur navigation, doit désormais s’interpréter comme un refus. En revanche, une demande de consentement effectuée au moyen de cases à cocher, et décochées par défaut, est facilement compréhensible par les utilisateurs. La CNIL recommande de s’assurer que les interfaces de recueil des choix n’intègrent pas des pratiques de design trompeuses : bouton décoloré, barre de défilement (« slide bar ») difficilement compréhensible, etc.

• Permettre à l’utilisateur de retirer son consentement à tout moment : l’utilisateur doit avoir la possibilité de retirer son consentement à tout moment, par exemple avec un lien en pied de page ou  un autre mécanisme de gestion des cookies accessible à tout moment sur le service concerné. En pratique, la Commission propose l’insertion d’une icône « gérer les cookies » la plus explicite possible dans une zone de la page qui attire l’attention.

Nathalie Bastid – Avocate associée

Pour plus d’informations, vous pouvez la contacter bastidnathalie@gmail.com – 06.09.68.51.54