Encadrement des cookies et autres traceurs : que dit la CNIL ?

Encadrement des cookies et autres traceurs : que dit la CNIL ?

  • Post author:
  • Post category:Dossiers

Article rédigé par Germaine MAGLODJI et Moussa SALL, sous la supervision de Stella MANGA CHESNAY


Introduction

La CNIL fait du ciblage publicitaire un sujet prioritaire, intégré dans son programme des contrôles de 2020. Il s’agit d’une part d’alerter sur les mauvaises pratiques dans le recueil de consentement prévu à l’article 82 de la loi informatique et libertés du 6 janvier 1978.  D’autre part, d’accompagner les entreprises dans leur mise en conformité.

Le 1er octobre 2020, la CNIL a fait évoluer ses lignes directrices et sa recommandation sur les cookies et autres traceurs. Elle a notamment confirmé les grands principes concernant le consentement et l’information des utilisateurs. Elle a par ailleurs recommandé que l’interface de recueil du consentement ne comprenne pas seulement un bouton « tout accepter » mais aussi un bouton « tout refuser ».

Ces lignes directrices et cette recommandation :

  • décrivent des modalités pratiques de recueil d’un consentement ainsi que de refus de l’internaute, ce qui permet de garantir la liberté du choix exprimé ;
  • proposent des exemples pratiques de modalités de preuve du consentement dont peuvent se prévaloir des responsables de traitements ;
  • proposent des exemples concrets d’interface utilisateur ;
  • et présentent des bonnes pratiques permettant d’aller au-delà des exigences légales.

La CNIL invite ainsi tous les acteurs concernés à s’assurer de la conformité de leurs pratiques aux exigences du RGPD et de la directive ePrivacy du 12 juillet 2002 (2002/58/CE) modifiée par la directive du 25 novembre 2009 (2009/136/CE) sur le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques.

Enfin, comme elle l’avait annoncé, elle confirme que le délai de mise en conformité aux nouvelles règles devra se faire au plus tard fin mars 2021.


Tout d’abord qu’est-ce qu’un cookie ?

Un cookie est un petit fichier enregistré sur un terminal (ordinateur, un téléphone mobile, etc.) lors de la navigation. Il possède un identifiant unique attribué à l’appareil et permettant à l’outil de se souvenir des actions et des préférences de l’utilisateur pendant une période donnée.  Cela évite à l’utilisateur de fournir les mêmes informations à chaque fois qu’il souhaite accéder au site internet voire dans certains des cas, l’aider à personnaliser son expérience de navigation.

Toutefois, tous les cookies n’ont pas le même rôle et ne sont pas tous nécessaires au bon fonctionnement de la navigation.

La réglementation en matière de cookies est en cours de construction avec le projet de règlement concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques. En attendant l’adoption du dudit règlement, c’est la directive 2002/58/CE modifiée par la directive 2009/136/CE qui constitue la référence en matière de cookies.

La directive 2002/58/CE prévoit en substance que les visiteurs d’un site Web soient informés de l’utilisation de cookies grâce à une indication compréhensible, et qu’ils doivent donner leur consentement (opt-in).

Il s’agit d’une part des cookies publicitaires qui sont utilisés dans le cadre du ciblage mais également pour les analyses marketing et réseaux sociaux. D’autre part il est possible que les cookies soient appliqués sans autorisation des utilisateurs si ceux-ci sont jugés techniquement nécessaires pour la délivrance d’un service fourni par le site Internet, et expressément demandés par l’abonné ou l’utilisateur. Parmi ces données on peut citer les configurations de langues, les identifiants, les paniers d’achat voire les cookies flash pour la lecture de contenu multimédia.

Une enquête de l’IFOP-2- réalisée par la CNIL, en janvier 2020 révèle que 70% des personnes interrogées jugent indispensable un encadrement législatif sur les modalités de collecte des cookies. Même si cela reste chronophage pour la navigation,77% souhaiterait recevoir une nouvelle demande de consentement à l’utilisation des traceurs au moins tous les 3 mois.

Une autre étude de Cornell university réalisée en janvier 2020 révèle que malgré les règles imposées par le RGPD :

  • 99 % de cookies sont utilisés pour tracker les visiteurs de sites web ou pour fournir des annonces ciblées ;
  • 72 % de cookies sont mis en place par des « quatrièmes parties » qui sont chargées par des tiers, agissent comme des chevaux de Troie ;
  • 50 % de cookies supplémentaires changent d’une visite à l’autre.

Quels sont les différents types de cookies ?

  • Les Cookies nécessaires : les cookies techniques

Ce sont des cookies qui permettent au propriétaire du site internet d’être en mesure de proposer un outil adapté au besoin de l’utilisateur facilitant ainsi l’usage des services fournis. Le blocage des cookies nécessaires empêche le bon fonctionnement du site lors de la navigation.

  • Les Cookies non nécessaires : cookies statistiques

Il s’agit de l’analyse performance, mesure d’audience. Ces cookies aident le propriétaire du site à mesurer les modèles de trafic pour déterminer les zones les plus visitées de son outil afin de mesurer les tendances. Cela lui permet également de comprendre les habitudes des visiteurs afin d’améliorer les services et produits en ligne.

Ce sont notamment :

  • Les cookies de suivi
  • Les cookies de ciblage (targeting)
  • Les cookies d’analyse
  • Les cookies de réseaux sociaux.

Cependant ceux-ci ne sont pas essentiels, et encore moins nécessaires au bon fonctionnement de la navigation. Ils sont alors soumis au régime du consentement explicite prévu par l’article 5.3 de la directive ePrivacy 2002/58/CE, et l’article 82 de loi informatique et libertés du 6 janvier 1978. Ce recueil de consentement est matérialisé par une bannière en bas de page facilitant le paramétrage des traceurs. Toutefois, l’utilisateur doit pouvoir retirer son consentement à tout moment (article 21.2 RGPD).

  • Les autres Cookies non nécessaires : cookies tiers

Ce sont des cookies placés sur le terminal de l’internaute par le responsable de traitement, ou par un tiers pour le compte de ce dernier.  Ces tiers peuvent être des partenaires commerciaux, des annonceurs, des régis publicitaires etc. Les cookies ainsi déposés permettent aux partenaires de générer des publicités personnalisées, basées sur des informations concernant l’utilisateur telles que les pages les consultées sur le site.

Ainsi, la directive ePrivacy 2002 /58/CE exige généralement une solution opt-in pour les cookies non nécessaires.


Qu’en est-il de la différence entre l’opt-out et l’opt-in ?

Dans l’Opt-out : les cookies sont déposés par défaut sur le terminal et les utilisateurs ne peuvent s’opposer à l’enregistrement des données qu’a posteriori.

Dans l’Opt-in : le dépôt des cookies nécessite un accord préalable de l’utilisateur. Telle est solution imposée par la directive ePrivacy, confirmée par la CNIL.

Toutefois, la directive ne précise pas exactement comment ces exigences doivent être mises en œuvre. L’incertitude reste donc de mise surtout en ce qui concerne la déclaration de consentement des visiteurs de sites Web.

S’agissant de la durée de vie des cookies, la CNIL estime nécessaire qu’elle soit limitée dans le temps compte tenue de la portée de ces derniers. Un délai de validité du consentement au dépôt des Cookies de 13 mois au maximum est recommandé. À l’expiration de ce délai, le consentement devra être à nouveau recueilli.


Sources :

  • Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques)
    https://eur-lex.europa.eu/legal-content/FR/ALL/?uri=celex:32002L0058
  • Directive 2009/136/CE du Parlement européen et du Conseil du 25 novembre 2009 modifiant la directive 2002/22/CE concernant le service universel et les droits des utilisateurs au regard des réseaux et services de communications électroniques, la directive 2002/58/CE concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques et le règlement (CE) n o 2006/2004 relatif à la coopération entre les autorités nationales chargées de veiller à l’application de la législation en matière de protection des consommateurs
    https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex%3A32009L0136
  • Règlement (UE) 2016/679 du parlement européen et du conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données)
    https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32016R0679