Paris, le 18 novembre 2019 - Suite à l’entrée en application du RGPD, la CNIL a diffusé un plan d’action concernant les modalités de recueil du consentement pour les cookies. Les lignes directrices établies suite à ce plan détaillent les modalités d’information et de recueil du consentement au stockage et à l’utilisation des cookies.
La poursuite de la navigation ne peut plus être considérée comme un consentement.
Plusieurs associations ont notamment contesté la période d’adaptation prévue par ce plan qui amènerait à retarder l’entrée en application des exigences du RGPD relatives au consentement. Le Conseil d’Etat a rejeté le recours de ces associations.
La Cour de Justice de l’Union Européenne rappelle par ailleurs que le consentement au stockage de cookies ne peut pas être obtenu par le biais d’une case pré-cochée.
Le cookie ou témoin de connexion, est défini par le protocole de communication HTTP comme étant une suite d'informations envoyée par un serveur HTTP à un client HTTP, que ce dernier retourne lors de chaque interrogation du même serveur HTTP sous certaines conditions. Les cookies peuvent notamment être utilisés pour maintenir les données relatives à l'utilisateur durant une navigation ou à travers plusieurs visites, pour mémoriser l'information sur l'utilisateur d'un site dans le but de lui montrer un contenu approprié dans le futur ou encore pour suivre les habitudes de navigation des utilisateurs d'internet.
Le stockage et le fonctionnement de ces cookies n’implique pas automatiquement un traitement de données personnelles.
L’utilisation intensive de ces outils par les services de marketing en ligne a amené la Commission Nationale Informatique et Libertés (CNIL) à réexaminer ses recommandations de 2013 applicables à ces outils1 suite à l’entrée en application du RGPD.
Le plan d’actions de la cnil et les nouvelles lignes directrices
La CNIL avait annoncé, au début de l’été 2019, l'élaboration d’un plan d'action pour 2019-2020 relatif aux règles applicables en matière de ciblage publicitaire, plan qui comportait deux étapes principales :
- la publication de lignes directrices en juillet 2019 ;
- une phase de concertation pour élaborer d'ici 2020 une nouvelle recommandation concernant les modalités de recueil du consentement.
Les nouvelles lignes directrices relatives aux opérations de lecture ou écriture dans le terminal d’un utilisateur ont donc été publiées en juillet 20192. Elles abrogent les recommandations de 2013.
A quoi s’appliquent ces lignes directrices ?
Elles s'appliquent quels que soient les systèmes d'exploitation, les logiciels applicatifs (tels que les navigateurs) ou les terminaux utilisés : tablette, mobile multifonction (« smartphone »), ordinateur fixe ou mobile, console de jeux vidéo, télévision connectée, véhicule connecté, assistant vocal, ainsi que tout autre objet connecté à un réseau de télécommunication ouvert au public
Les cookies HTTP sont principalement visés mais le texte envisage aussi d’autres moyens techniques : les « local shared objects » appelés parfois les «cookies Flash», le « local storage » mis en œuvre au sein du HTML 5, les identifications par calcul d'empreinte du terminal, les identifiants générés par les systèmes d'exploitation (qu'ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.), les identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d'un appareil).
Obligation d’information et de consentement préalable
La CNIL rappelle l’article 82 de la loi Informatique et Libertés qui prévoit l’obligation d’information préalable, par le responsable du traitement ou son représentant :
« de la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement »
et
« des moyens dont il dispose pour s'y opposer ».
L’utilisateur doit par ailleurs avoir préalablement manifesté sa volonté. Les cookies ne peuvent être utilisés en écriture ou en lecture tant que l'utilisateur n'a pas préalablement manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair.
Comme dans le cadre du RGPD, le consentement suppose une information préalable (pour que le consentement soit « éclairé ») et la possibilité pour l’utilisateur de retirer ce consentement. Le responsable de traitement devra donc :
- configurer le système de manière à pouvoir, d’une part, prouver l’existence des consentements et, d’autre part, permettre le retrait de ceux-ci et,
- en pratique, arrêter de traiter les données de l’utilisateur suite à un tel retrait.
Enfin, il faut noter que l’acceptation de conditions générales d’utilisation ne vaut pas consentement.
La « règle de la poursuite de la navigation » ne peut donc plus être considérée comme une expression valide du consentement.
Cas du paramétrage du terminal
Bien que la loi prévoie que le consentement puisse « résulter des paramètres appropriés », la CNIL considère qu’en l’état de la technique les paramétrages des navigateurs ne permettent pas de manifester un consentement valide, notamment car les navigateurs ne permettent pas en l’état de :
- fournir un niveau suffisant d’information préalable,
- distinguer les cookies en fonction leurs finalités.
Durée de conservation des cookies
Hormis le cas des traceurs de mesures d’audience, les lignes directrices ne précisent pas de limite de durée de conservation des cookies et traceurs. On peut néanmoins se référer aux principes généraux du RGPD qui ne permet la conservation des données « sous une forme permettant l'identification des personnes concernées » que pour la durée nécessaire au regard des finalités3.
Deux exceptions à l’obligation de consentement
Les traceurs de mesures d’audience ne sont pas soumis à l’obligation de consentement préalable sous réserve que :
- la personne soit informée préalablement,
- elle ait la faculté de s’y opposer facilement,
- la finalité soit limitée à la mesure d'audience du contenu visualisé, la segmentation de l'audience du site web et la modification dynamique d'un site de façon globale,
- l’utilisation de l’adresse IP ne fournisse pas une information plus précise que la ville,
- la durée de vie des traceurs n’excède pas 13 mois (cette durée ne pouvant pas être prorogée automatiquement lors de nouvelles visites),
- les informations collectées soient conservées pendant 25 mois au maximum.
Les opérations de lecture ou d’écriture d’informations ne sont pas non plus soumises à l’obligation de consentement si elles :
- ont pour seule finalité de permettre ou faciliter la communication par voie électronique ou
- sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande de l’utilisateur.
Période transitoire
La CNIL laisse une période transitoire de 12 mois pour permettre aux acteurs de prendre en compte les principes de ces nouvelles lignes directrices.
Le plan d’actions est conforté par le Conseil d’Etat.
Deux associations, La Quadrature du net et Caliopen, ont contesté le plan d’action de la CNIL devant le Conseil d’Etat concernant, en particulier, le fait que la CNIL considère comme acceptable, pendant une période de transition de 12 mois, la poursuite de la navigation comme expression du consentement.
Ces associations estimaient que le choix de la CNIL de ne pas agir et sanctionner pendant cette période de 12 mois (en continuant à accepter le principe de poursuite de la navigation) portait une atteinte excessive au droit au respect à la vie privée.
Les moyens des associations concernaient pour l’essentiel les compétences et les pouvoirs de la CNIL.
Le Conseil d’Etat4 a rejeté ce recours en considérant que la CNIL avait compétence pour élaborer un tel plan d’actions et que le choix de laisser une période d’adaptation « permet à l’autorité de régulation d’accompagner les acteurs concernés ».
Le Conseil d’Etat rappelle enfin que le plan d’action n’exclut pas que la Commission puisse « en tout état de cause faire usage de son pouvoir répressif en cas d’atteinte particulièrement grave » aux principes de respect à la vie privée et de protection des données personnelles.
Une case pré-cochée ne constitue pas un consentement valide selon la Cour de Justice Européenne
Dans le cadre d'un litige entre l'organisateur d'une loterie promotionnelle (Planet49) et une association de consommateurs allemande, la Cour de justice de l'Union européenne (CJUE) a été saisie de la question de savoir si le consentement au dépôt de cookies et au traitement des données en découlant pouvait être valablement obtenu par le biais de cases pré-cochées, que l’utilisateur doit décocher pour refuser ces cookies.
Se basant sur la directive données personnelles de 1995 et la directive e-privacy de 2006, la CJUE5 répond par la négative.
La CJUE ajoute que cette interprétation s’impose, à plus forte raison, à la lumière du règlement 2016/679 (le RGPD) qui exige une manifestation de volonté « libre, spécifique, éclairée et univoque » de la personne concernée, prenant la forme d’une déclaration ou d’un « acte positif clair ».
La CJUE précise que l’interprétation est la même que les informations stockées ou consultées dans le terminal de l’utilisateur d’un site Internet constituent ou non des données à caractère personnel.
Enfin, s’agissant des informations que le fournisseur de services doit donner à l’utilisateur d’un site Internet, la CJUE confirme qu’elles doivent comprendre « la durée de fonctionnement des cookies ainsi que la possibilité ou non pour des tiers d’avoir accès à ces cookies ».
Ces changements (obligation d’information et de consentement) impliquent donc des vérifications sur les modes de fonctionnements des sites internet et de tout système amené à utiliser de tels traceurs.
La même précaution doit être prise à l’égard des prestataires en charge de la conception fourniture de ces sites et systèmes pour le compte de responsables de traitement.
Les équipes REGIMBEAU sont à votre disposition pour vous accompagner et vous conseiller pour mettre en place des solutions juridiques et techniques afin de protéger et sécuriser vos traitements de données conformément à ces nouvelles règles.
1 Délibération n°2013-378 du 5 décembre 2013 portant adoption d'une recommandation relative aux cookies et aux autres traceurs visés par l'article 32-II de la loi du 6 janvier 1978.
2 Délibération n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d'un utilisateur (notamment aux cookies et autres traceurs)
3 Article 5.1 e) du RGPD
4 Conseil d'Etat, 16 octobre 2019, Plan d'action de la CNIL en matière de publicité ciblée. Décision 433069.
5 CJUE C673/17, 1er octobre 2019
Publié par
Franck Delamer
Conseil Senior Délégué à la Protection des Données