La CNIL publie ses nouvelles lignes directrices sur les cookies

Délibération de la CNIL n° 2019-093 du 4 juillet 2019

Conformément à son plan d’action annoncé fin juin (voir notre article ici), la CNIL vient de publier des lignes directrices relatives aux cookies et autres traceurs. Ce nouveau texte abroge la recommandation sur les cookies adoptée par la CNIL il y a plus de six ans – en 2013 – et devrait être complété en début d’année 2020 par une recommandation plus opérationnelle, après consultation des professionnels et de la société civile.

La CNIL indique que les lignes directives ont pour objet de rappeler le droit applicable, qui a évolué avec l’entrée en application du RGPD. Le texte de base régissant les cookies et autres traceurs reste cependant l’article 82 de la loi informatique et libertés, transposant en droit français la directive 2002/58. Rappelons que cette directive fait actuellement l’objet d’un projet de réforme devant donner naissance au futur règlement « ePrivacy », que la CNIL ne souhaite cependant pas attendre.

Cela a déjà été annoncé, la principale évolution par rapport à la recommandation de 2013 porte sur le consentement aux cookies. Le RGPD ayant renforcé les règles de validité du consentement, la CNIL, s’appuyant sur les lignes directrices du CEPD relatives au consentement, estime désormais que :

  • La simple « poursuite de la navigation » ne pourra plus constituer un moyen valable de recueil du consentement des internautes pour la pose de cookies.

Le consentement devra donc procéder d’un acte positif clair, lui permettant de satisfaire au critère d’univocité posé par le RGPD. De manière classique, la CNIL rappelle que les cases pré-cochées ne permettront pas de satisfaire à ce critère.

La CNIL rappelle également que l’obligation d’obtenir un consentement univoque ne doit pas nuire au caractère libre du consentement. Ainsi, les « cookies wall », c’est-à-dire les mécanismes bloquant totalement l’accès aux sites internet si les internautes n’acceptent pas la pose des cookies, doivent être prohibés.

  • Les consentements obtenus doivent pouvoir être démontrés.

Sur ce point, la CNIL déclare simplement que les organisations exploitant des cookies devront mettre en œuvre les mécanismes nécessaires pour conserver la preuve des consentements obtenus.

Elle précise cependant que lorsque des organisations exploitent des cookies pour le compte de tiers, la seule présence de clauses contractuelles leur imposant de recueillir un consentement valable ne saurait satisfaire – du point de vue du tiers – à l’obligation de conserver les preuves du consentement.

Concernant l’information préalable, la CNIL ne fait plus mention du fameux « bandeau cookie », mais précise que les mentions d’information portées à la connaissance des internautes devraient comprendre a minima : (i) l’identité du ou des responsables de traitement ; (ii) la finalité des opérations de lecture ou d’écriture des données ; (iii) l’existence du droit de retirer son consentement.

Le premier point peut surprendre. En effet, la CNIL rappelle elle-même que les règles relatives aux cookies sont indépendantes de la question de savoir si les données collectées par ces outils sont des « données à caractère personnel » au sens du RGPD. Or, s’il n’y a pas de « données à caractère personnel », il n’y a pas de « responsable de traitement ».

Dans la grande majorité des cas cependant, les traceurs serviront à collecter des données à caractère personnel (adresse IP, cookie ID, empreinte du terminal etc.). Dans ces situations, l’information préalable communiquée aux internautes devra être complétée pour être conforme au RGPD et aux lignes directrices du CEPD sur le consentement.

Sur le reste, les lignes directrices ne se démarquent pas fondamentalement de la recommandation de 2013 et des autres communications de la CNIL en lien avec les cookies. Le nouveau texte comporte notamment une section dédiée aux « rôles et responsabilités des acteurs », très abstraite, et qui n’ajoute (malheureusement) pas à la publication de la CNIL sur ce thème datant de mai 2017 (voir ici).

Il peut enfin être noté que la CNIL ne fait pas évoluer sa position concernant le paramétrage des navigateurs – qui selon elle, ne permet en l’état des choses pas aux internautes d’exprimer un consentement valable aux cookies ; et concernant les cookies de mesures d’audience – qui doivent respecter des conditions très strictes pour être exemptés de consentement préalable.

La CNIL devrait maintenant se concerter avec les professionnels et la société civile pour élaborer une recommandation précisant les modalités pratiques de recueil du consentement. Le niveau d’abstraction des lignes directrices rend véritablement nécessaire une telle recommandation, qui devra tenir compte des différents secteurs et métiers, affectés par l’évolution des règles relatives aux cookies.

Comme annoncé, la CNIL prévoit une période d’adaptation, devant s’achever six moi après l’adoption de la future recommandation et pendant laquelle les professionnels devront se conformer aux nouvelles règles relatives au consentement.