Cookies, tags et autres traceurs

La première version des lignes directrices relative aux cookies, tags et autres traceur a été adoptée le 4 juillet 2019 et a été publiée au journal officiel le 19 juillet. L’objectif principal de ce texte était d’imposer aux éditeurs de sites de mettre en oeuvre des procédés permettant la récolte d’un consentement valide au sens du RGPD et non plus d’un simple consentement passif, un consentement donné implicitement par l’absence d’actions contraires. Ce consentement passif, fondé sur la délibération de la CNIL du 5 décembre 2013 (n°2013-378), se manifestait de différentes façons dans les bandeaux de consentement aux cookies, mais deux formes se retrouvaient le plus souvent :

• Le bandeau informait simplement l’utilisateur de la présence de cookies, et la simple poursuite de la navigation valait son consentement ET/OU
• Le bandeau contenait une case précochée « J’accepte », ou alors ne permettait à l’utilisateur que de cliquer sur « D’accord » ou « Compris ! ».

Ce type de bandeau n’était plus compatible avec les dispositions du RGPD, qui posent un certain nombre de conditions pour que le consentement de la personne concernée soit considéré comme valable : il doit être libre, spécifique, éclairé et univoque.
En conséquence, les utilisateurs doivent comprendre de ce qui sera fait de leurs données et avoir le choix d’accepter spécifiquement chaque cookie ou non (sans contrainte), et doivent pouvoir facilement changer d’avis à tout moment. Aussi, leur consentement doit se manifester par un acte positif clair: par exemple, le fait cocher une case « j’accepte » avant d’appuyer sur le bouton permettant d’enregistrer les choix constitue un acte suffisamment clair. Cette position a été validée par la Cour de Justice de l’Union Européenne (CJUE) dans un arrêt du 1er octobre 2019 dit « Planet49 » (C-673-17), le juge européen précisant par ailleurs que la présence ou non de données personnelles n’a aucune influence sur la force du consentement requis.

De manière plus concrète, les lignes directrices ont posé trois changements majeurs :

1. Les utilisateurs doivent réaliser un acte positif clair pour donner leur consentement au dépôt de cookies, et doivent pouvoir refuser ou retirer leur consentement aussi simplement que le donner ;
2. Les éditeurs de sites doivent être en capacité de prouver qu’ils ont bien obtenu le consentement des utiliseurs préalablement au dépôt ;
3. La pratique fréquente des cookies walls, consistant en l’obligation pour l’utilisateur de donner son consentement pour accéder au site ou au service, est considérée par la CNIL comme non conforme au RGPD.

Conformément à l’article 82 de la Loi Informatique et Libertés, le texte a également déterminé trois types de cookies différents, chacun ayant un régime propre :

• Les cookies « normaux » ou « tiers », nécessitant d’obtenir le consentement préalable de l’utilisateur dans les conditions décrites ci-dessus.
• Les cookies « strictement nécessaires » au fonctionnement du site, et qui sont exemptés du consentement.
• Les cookies de mesure d’audience qui, selon leurs caractéristiques, peuvent être soumis à un régime d’opposition a posteriori ou au régime du consentement préalable.

Dans le même temps, la CNIL a annoncé que des recommandations seraient publiés dans les 6 mois afin de proposer des solutions pratiques aux problèmes relatifs à la mise en conformité de leur site rencontrés par les éditeurs. Néanmoins, Le projet a finalement été publié en janvier 2020.
Enfin, et dans l’objectif de laisser laisser aux éditeurs suffisamment de temps pour adapter leurs pratiques, la Commission a également annoncé un délai de grâce de 6 mois durant lequel elle ne contrôlerait pas la bonne application des nouvelles règles. Il fallait cependant être conforme au droit antérieur afin de pouvoir bénéficier de ce délai.

Suite aux lignes directrices de juillet, le projet de recommandations annoncé a été publié le 14 janvier 2020. Dans le même temps, une consultation publique a été ouverte (du 14 janvier au 25 février) afin de recueillir les avis, remarques ou commentaires de personnes intéressées par le sujet. L’objectif de ce nouveau texte n’est plus de poser un cadre comme l’ont fait les lignes directrices, mais d’aider les professionnels dans leur mise en conformité en leur proposant des solutions et en donnant des exemples de ce qui est une bonne pratique ou non.

La publication de la dernière version des recommandations était attendue pour mars 2020, mais la pandémie du coronavirus a forcé la Commission a revoir son calendrier. En outre, l’annulation partielle des lignes directrices par le Conseil d’Etat a également obligé la CNIL a revoir le cadre qui avait été posé.

Un imprévu important est venu perturber considérablement le calendrier de la CNIL : le Conseil d’Etat a, par un arrêt du 19 juin 2020 (n°434684), partiellement annulé les lignes directrices relatives aux cookies et autres traceurs.

Fin 2019 et début 2020, plusieurs structures ont en effet demandé au Conseil d’Etat d’annuler purement et simplement les lignes directrices, invoquant diverses régularités de procédure quant à leur adoption. En particulier, ces structures ont considéré que :
La Commission, elle, reste sur sa position en soutenant que ces arguments ne sont pas fondés. En particulier, elle estime que la pratique des cookies walls (consistant pour l’éditeur d’un site à interdire l’accès à son site tant que les cookies n’ont pas été acceptés par l’utilisateur) ne peut pas être compatible avec l’obtention d’un consentement libre et éclairé. Effectivement, puisque l’utilisateur ne pouvant pas accéder au site sans accepter le dépôt des cookies, cela signifie qu’il est contraint de consentir. Et effectivement, même en droit commun, un consentement obtenu sous la contrainte n’est pas valable.

Si le Conseil d’Etat va effectivement rejeter la majorité des arguments avancés par le requérant, il va réfuter l’argumentation de la CNIL sur cette pratique des cookies walls :
Autrement dit, le Conseil d’Etat entend l’argument des structures requérantes selon lequel la CNIL a consacré un droit au refus des cookies en méconnaissance des dispositions législatives et réglementaires applicables. Les juges précisent, en substance, que les lignes directrices n’ont pas une force juridique suffisante pour interdire de manière générale et absolue la pratique des cookies walls. Les juges ne semblent cependant pas fermer toutes les portes : la formulation de l’arrêt permettrait sans doute à la CNIL de prévoir, l’interdiction de cette pratique de manière spéciale, c’est-à-dire dans certains cas,qui pourraient être particulièrement préjudiciables aux internautes.
Malgré tout, l’absence de position claire du Conseil d’Etat sur cette pratique des cookies walls est à déplorer, notamment en ce qu’elle laisse une certaine incertitude juridique : la pratique est pour le moment tolérée, mais le sera-t-elle toujours dans quelques mois ? Aussi, le Règlement e-Privacy à venir va-t-il tolérer cette pratique, l’encadrer peut-être, ou va-t-il, au contraire, la proscrire ? Mieux vaut donc, si vous ne souhaitez pas avoir à refaire un travail peut-être à peine achevé, éviter de recourir aux cookie walls.

C’est finalement en septembre 2020 que sortiront les dernières versions des lignes directrices et des recommandations de la CNIL. Les nouvelles lignes directrices reprennent en grande partie ce qui avait déjà été fait en juillet 2019 . Quelques différences sont toutefois à noter:

• L’interdiction de la pratique des cookies walls n’a pas été reprise, en conformité avec l’arrêt du Conseil d’Etat du 19 juin 2020 (n°434684) qui a partiellement annulé les précédentes du fait de cette interdiction.
• Les lignes directrices comportent désormais une liste non exhaustive de traceurs pouvant être utilisés sans consentement de l’utilisateur.
• Les conditions de l’exemption du consentement des cookies de mesure d’audience ont été significativement assouplies.

Par ailleurs, la CNIL confirme sa volonté de laisser un délai de grâce aux structures afin de se mettre en conformité en annonçant en avoir fixé l’échéance au 31 mars 2021 dans un article en date du 1er octobre 2020.

Connaître le droit, c’est très bien, mais comment l’appliquer ? Autrement dit, comment mettre un site en conformité avec la réglementation relative aux cookies, tags et autres traceurs ? Nous vous recommandons de le faire en 3 étapes :

1. Recenser les cookies présents sur vos sites. Il s’agit d’une étape similaire à la première à réaliser lors la mise en conformité d’une structure au RGPD ce qui s’explique par le fait que l’idée sous-jacente est identique : il n’est pas possible d’avancer à l’aveugle. Cette étape peut être réalisée à l’aide de CookieViz (outil développé par la CNIL), ou encore à l’aide d’uBlock Origin.
2. Réfléchir à l’objectif réel du dépôt de chaque cookie, et à d’éventuelles méthodes moins intrusives. Vous trouverez parfois des cookies inutilisés qu’il faudra supprimer. D’autres fois, vous découvrerez des cookies particulièrement intrusifs alors que des solutions qui le sont moins pourraient être simplement utilisées. Un exemple typique est Google Fonts, qui est un outil très populaire parmi les développeurs et qui permet d’appeler des polices de caractère hébergées sur leurs serveurs, alors qu’il suffirait de les héberger en interne.
3. Classer les cookies selon les catégories décrites ci dessous (essentiel, tiers, mesure d’audience) et réaliser les formalités liées : rédaction de la mention d’information relative aux cookies (comprenant notamment la finalité des cookies et leur durée de vie) ou, le cas échéant, d’un bandeau « cookies » pour demander le consentement des personnes. Les recommandations de la CNIL en la matière peuvent être très utiles pour s’assurer que le dispositif mis en place est bien conforme. Enfin, si un traitement de données personnelles résulte du dépôt de cookies, il sera nécessaire de le mettre en conformité avec le RGPD et la LIL.

Les informations à donner dans le cadre de la réglementation sur les cookies, tags et autres traceurs sont complémentaires de celles à donner en matière de protection des données à caractère personnel. Pour connaître le contenu de cette information, il faut se reporter à la directive e-Privacy (n°2002/58/CE) ou à sa transposition à l’article 82 de la Loi Informatique et Libertés, ainsi qu’à l’arrêt de la CJUE du 1er octobre 2019 Planet49 (C-673/17) :

• Les finalités des cookies
• La durée de fonctionnement (ou durée de vie) de chaque cookie
• Les moyens dont l’utilisateur dispose pour s’opposer à l’utilisation d’un ou plusieurs cookies
• Les conséquences éventuelles en cas de refus du cookie (en particulier lorsque cela n’est pas transparent)
• La possibilité ou non pour des tiers d’avoir accès aux cookies (et, le cas échéant, l’identité des tiers concernés)

>> Est une pratique conforme le fait de proposer un bandeau avec les boutons « Tout accepter » « Tout refuser » et « Personnaliser » (pour permettre à l’utilisateur de choisir individuellement les cookies qu’il accepte / refuse).
>> Est une bonne pratique le fait de mettre à disposition de l’utilisateur, et de manière claire et compréhensible, un outil afin qu’il puisse revenir sur son consentement

>> Est une mauvaise pratique de continuer à considérer que « la poursuite de la navigation vaut consentement ».
>> Est une mauvaise pratique le fait de forcer l’utiliser à refuser chaque cookie un à un, alors qu’un bouton « Tout accepter » est disponible.
>> Est une mauvaise pratique le fait de faire réapparaître le bandeau cookie à chaque connexion jusqu’à ce que l’utilisateur accepte.