Cookies : tous à la diète !
Sous ce titre, il ne s’agit pas de préparer son « body summer » mais de relever que le délai de mise en conformité des nouvelles règles édictées par la CNIL est arrivé à échéance au 31 mars 2021.
Rappelons que le CNIL avait édicté des lignes directrices et une recommandation portant sur l’usage de cookies suivant 2 délibérations de septembre 2020.
Si la recommandation n’a pas de pouvoir normatif (bien qu’il soit fortement conseillé de la suivre et a minima de s’en inspirer), les lignes directrices ont fixé des grands principes en ayant toujours pour objectif d’assurer la nécessité d’un consentement spécifique, éclairé et univoque en matière de cookies.
En synthèse, rappelons que désormais que toute « prise de poids » par l’acceptation de cookies nécessite :
1. / que l’utilisateur ait manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque, par une déclaration ou par un acte positif clair.
2. / que le consentement aux opérations de lecture et écriture doit être spécifique. A ce titre, le consentement à ces opérations ne peut être valablement recueilli via une acceptation globale de conditions générales d’utilisation
3. / A minima, la fourniture des informations suivantes aux utilisateurs, préalablement au recueil de leur consentement, est nécessaire pour assurer le caractère éclairé de ce dernier : • l’identité du ou des responsables de traitement des opérations de lecture ou écriture ; • la finalité des opérations de lecture ou écriture des données ; • la manière d’accepter ou de refuser les traceurs ; • les conséquences qui s’attachent à un refus ou une acceptation des traceurs ; • l’existence du droit de retirer son consentement.
4. / L’expression du refus de l’utilisateur ne doit nécessiter aucune démarche de sa part ou doit pouvoir se traduire par une action présentant le même degré de simplicité que celle permettant d’exprimer son consentement.
A cet effet, L'utilisateur doit pouvoir accepter ou refuser les cookies avec le même degré de simplicité. La CNIL a eu l’occasion de rappeler que l’intégration d’un bouton « Tout refuser » sur le même niveau et sur le même format que le bouton « Tout accepter » permet d’offrir un choix clair et simple pour l’internaute. Il est aussi possible, par exemple, d’offrir explicitement à l’utilisateur la possibilité de refuser les traceurs en fermant le bandeau cookies. En revanche, la seule présence d’un bouton « Paramétrer » en complément du bouton « Tout accepter » tend, en pratique, à dissuader le refus et ne permet donc pas de se mettre en conformité avec les exigences posées par le RGPD.
Rappelons que certains traceurs peuvent être regardés comme exemptés et notamment
• les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs ; • les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues ; • les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer à l’utilisateur le ou les produits et/ou services achetés ; • les traceurs de personnalisation de l'interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ; • les traceurs permettant l'équilibrage de la charge des équipements concourant à un service de communication ; • les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
Rappelons enfin que le design choisit par les acteurs pour s’assurer du consentement, s’il reste libre doit néanmoins ne pas amener à orienter le consentement des internautes.
Si de nombreux acteurs ont déjà mis à jour le bandeau des cookies, il est important de rappeler qu’au titre des trois thématiques prioritaires de contrôle de la CNIL en 2021 figure l’utilisation des cookies.
Reste donc à s'assurer d'avoir préparé “la bonne recette”
Mathieu MARTIN