Cookies : La CNIL valide sous conditions le consentement « présumé » de l’internaute

CNIL, Délibération n°2013-378 portant adoptant d’une recommandation relative aux cookies et autres traceurs, 5 décembre 2013

Il aura donc fallu attendre plus de deux ans pour que la CNIL, suite à l’ordonnance du 24 août 2011, adopte enfin le 5 décembre 2013 une délibération fixant sa doctrine relative aux conditions d’utilisation des cookies et autres outils de traçage. Si l’on doit regretter ce délai incontestablement excessif compte tenu de l’insécurité juridique qui en a résulté, force est de constater que les utilisateurs de ces outils (soit la quasi-totalité des entreprises développant une activité sur internet) ne peuvent plus désormais se retrancher derrière l’absence de clarification officielle de la position française pour retarder leur mise en conformité.

Le premier point positif de ce texte est qu’il clarifie le champ d’application de l’article 32 II de la loi Informatique et Libertés issu de l’ordonnance du 24 août 2011. S’il était parfaitement clair que cette disposition s’appliquait aux cookies les plus couramment utilisés (cookies http), la CNIL souligne dans sa délibération que sont également visés d’autres outils tels que les cookies flash, les pixels invisibles ou encore les web bugs dès lors qu’ils tendent, selon la formulation large de l’article 32 II, à accéder, par voie de transmission électronique, à des informations déjà stockées dans le terminal de l’utilisateur ou à inscrire des informations dans ce terminal.

Par ailleurs, il n’était pas inutile de rappeler, ce que fait la CNIL, que l’application des dispositions (autonomes) de l’article 32 II n’est pas subordonnée au fait que les informations stockées auxquelles le cookie permet d’accéder, soient des données personnelles au sens de la loi (l’application de la qualification pouvant dans certains donner lieu à débat). La CNIL affirme ainsi clairement que sont soumis au régime d’information et de recueil du consentement fixé par l’article 32 II, « compte tenu des risques qu’ils entraînent sur la vie privée », notamment les cookies utilisés à des fins de publicité ciblée et les cookies traceurs de réseaux sociaux générés par les « boutons de partage ».

L’article 32 II contenant à la fois une définition positive de son champ d’application mais également l’énoncé des cas d’exclusion, l’on peut regretter que la CNIL n’ait pas également clarifié dans sa délibération, par l’énoncé de plusieurs exemples courants, les hypothèses dans lesquelles les obligations fixées par le texte en matière de recueil du consentement ne s’appliquent pas. Le texte exclut en effet l’obligation de recueil du consentement notamment lorsque l’outil utilisé a pour finalité exclusive de permettre ou faciliter la communication électronique ou qu’il est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur, cette formulation suscitant légitimement des interrogations très concrètes pour les éditeurs de site. Il faut donc sur ce point se référer non pas à la délibération mais à la doctrine publiée de la CNIL indiquant que sont notamment compris dans le champ des exceptions : les cookies de panier d’achat, les cookies identifiant de session (pour la durée de la session) voire dans certains cas les cookies persistants (par exemple ceux permettant d’enregistrer la préférence linguistique), les cookies d’identification, et certaines solutions d’analyse de mesure d’audience (qui font néanmoins l’objet d’une disposition spécifique dans la délibération).

Le point majeur de la délibération porte sur l’articulation des obligations d’information et de recueil du consentement qui constituent le cœur du texte. La CNIL réalise ici une avancée significative en admettant que le consentement, dont la validité dépend de la qualité de l’information délivrée en amont à l’utilisateur sur les cookies, n’est pas nécessairement exprès (c’est-à-dire sous la forme d’un opt-in mis en œuvre par exemple via une case à cocher). En cela, la CNIL aligne sa position sur celle de la majorité des autorités de protection européennes.

La CNIL recommande en effet que la délivrance de l’information et le recueil du consentement respectent deux étapes successives :

– lors de la (première) visite de l’utilisateur sur le site (page d’accueil ou page secondaire) : affichage systématique d’un « bandeau » d’information indiquant les finalités des cookies, l’existence de moyens permettant de s’opposer à leur installation et « le fait que la poursuite de sa navigation vaut accord au dépôt de cookies sur son [le] terminal [de l’utilisateur »

– l’information sur les moyens de s’opposer à l’installation des cookies nécessite des développements qui ne peuvent être insérés dans un bandeau, ce qui implique donc une seconde étape mise en œuvre par l’accès à une information détaillée via un lien contenu dans le bandeau. Le fait de cliquer sur ce lien d’information ne peut valoir acceptation des cookies que si l’utilisateur navigue sur toute autre page du site après avoir pris connaissance du bandeau d’information (et à condition qu’il n’ait pas utilisé les paramètres permettant de refuser les cookies). La CNIL admet donc sans ambiguïté que la poursuite de la navigation vaut accord. A contrario, si la prise de connaissance de l’information n’est pas suivie d’une navigation sur le site, il faut présumer que l’utilisateur n’a pas consenti à l’installation des cookies qui est alors proscrite.

L’information et le recueil du consentement ne doivent pas priver l’internaute de son droit de « retrait » qui peut être exercé à tout moment selon les modalités proposées sur le site.

L’article 32 II disposant que l’accord de l’utilisateur peut également résulter des paramètres appropriés de son navigateur, beaucoup d’éditeurs de site ou professionnels de la publicité en ligne s’étaient appuyés sur cette précision pour reporter sur l’internaute la responsabilité de la sélection des paramètres du navigateur (qui par défaut, dans la majorité des cas, acceptent l’installation), permettant ainsi de déduire son consentement. La CNIL rappelle dans sa délibération la position qu’elle a maintes fois exprimée quant à l’absence de fiabilité des solutions (actuelles) de paramétrage qui ne permettent pas de prendre en compte les technologies autres que les cookies http. Elle n’exclut pas néanmoins que pour les cookies http, les solutions de paramétrage puissent permettre de présumer un consentement valide à la double condition que l’utilisateur ait été mis en mesure de modifier les paramètres de son navigateur pour accepter ou refuser les cookies « et qu’il ait été informé, avant le dépôt des cookies ou la lecture de cookies, de leurs finalités des moyens de s’y opposer ».

En matière de partage des responsabilités, la CNIL souligne en tout état de cause que lorsque plusieurs intervenants participent à la mise en œuvre de la procédure de dépôt et de lecture du cookie (l’éditeur du site, les régies publicitaires, l’adserver), chacun de ces acteurs doit être considéré comme co-responsable, ce qui ne peut qu’inciter à clarifier les contrats qu’ils concluent entre eux.

Enfin, la délibération de la CNIL apporte une précision importante sur la durée de vie des cookies. Jusqu’à présent, la CNIL (et la majorité des professionnels) s’accordaient sur la nécessité de limiter la durée d’activation du cookie, le débat portant sur la détermination de cette durée. La CNIL était favorable à une durée maximum de six mois alors que les professionnels faisaient valoir que celle-ci devait être fonction de la finalité du cookie. La CNIL, tout en affirmant la nécessité d’une durée limitée, admet désormais que celle-ci puisse être portée à 13 mois, au-delà desquels les étapes d’information et de recueil du consentement devront à nouveau être mises en œuvre à l’égard de l’utilisateur concerné, et sans que chaque nouvelle visite entraîne par un effet glissant une prolongation de cette durée.

Hélèna DELABARRE

Téléchargez cet article au format .pdf

Confirmation en appel du statut d’éditeur d’un site de vente aux enchères et de parking de noms de domaine