Cookies, la nouvelle recette
Faisant notamment suite à la décision du Conseil d’Etat du 19 juin 2020, et à une concertation menée avec les professionnels et la société civile, la CNIL a ajusté ses lignes directrices en matière de cookies abrogeant ainsi sa délibération 2019-093 du 4 juillet 2019 mais aussi adopté une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs »
Rappelons que l’article 82 de la loi 78-17 dispose que :
« Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :
1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
2° Des moyens dont il dispose pour s'y opposer ».
A cet effet, la CNIL a publié le 1er octobre des lignes directrices modificatives et sa recommandation portant sur l’usage de cookies et autres traceurs en rappelant, si cela était encore nécessaire, la nécessité d’un consentement spécifique, éclairé et univoque. L’objectif de la recommandation est de guider les professionnels concernés dans leur démarche de mise en conformité, sans toutefois être prescriptive. On relèvera en synthèse, et pour répondre d’ailleurs à l’arrêt du Conseil d’Etat précité au titre des « cookies wall », que « sous réserve de la licéité de cette pratique qui doit être appréciée au cas par cas, l’information fournie à l’utilisateur doit clairement indiquer les conséquences de ses choix et notamment l’impossibilité d’accéder au contenu ou au service en l’absence de consentement ». La CNIL rappelle également quels sont les traceurs exemptés du recueil du consentement à savoir notamment les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs, les traceurs destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues ; les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer à l’utilisateur le ou les produits et/ou services achetés.
Saluons en outre l’effort de pédagogie de la CNIL au titre de sa recommandation, proposant de manière illustrée des exemples de modalités pratiques permettant de recueillir un consentement conforme aux règles applicables. Notons aussi avec intérêt le rappel de la CNIL suivant lequel le choix du design ne doit pas aller à l’encontre de la protection des données. Il est ainsi préconisé que « les responsables de traitement s’assurent que les interfaces de recueil des choix n’intègrent pas de pratiques de design potentiellement trompeuses laissant penser aux utilisateurs que leur consentement est obligatoire ou qui mettent visuellement plus en valeur un choix plutôt qu’un autre. Il est recommandé d’utiliser des boutons et une police d’écriture de même taille, offrant la même facilité de lecture, et mis en évidence de manière identique ».
La CNIL recommande également d’utiliser une dénomination descriptive et intuitive afin que les utilisateurs puissent avoir pleinement conscience de la possibilité d’exercer un choix par finalité de traitement.
Enfin, la CNIL recommande qu’au stade du premier niveau d’information, les utilisateurs puissent avoir le choix entre deux boutons présentés au même niveau et sur le même format, sur lesquels sont inscrits respectivement « tout accepter » et « tout refuser », pratique que l’on a déjà vu se développer sur différents sites web.
La CNIL estime que « le délai de mise en conformité aux nouvelles règles ne devra pas dépasser six mois, soit au plus tard fin mars 2021 ».