Un an après avoir annoncé sa volonté de contrôler l’utilisation des cookies par les sites internet au regard de la législation sur la protection des données personnelles, la CNIL a livré un premier bilan de son étude dans un communiqué publié sur son site internet, le 30 juin dernier.
En complément de ce nouveau texte, la CNIL a adopté le 5 décembre 2013 une recommandation relative aux cookies et autres traceurs visés par le nouvel article 32-II de ladite loi. Il ressort de cet article et de la recommandation de la CNIL que, préalablement au dépôt ou à l’accès à un cookie sur le terminal d’un internaute, le responsable de traitement ou son représentant doit :
– premièrement : délivrer à cet internaute une information claire et complète sur les finalités poursuivies par l’utilisation de ce cookie, ainsi que des manières de s’y opposer ; puis,
– deuxièmement : recueillir l’accord de l’internaute quant à l’utilisation de ce cookie.
Cependant, tous les cookies ne sont pas concernés par ce dispositif. Ainsi, les cookies ne servant qu’à permettre ou faciliter le fonctionnement du site internet, ceux nécessaires à la fourniture d’un service demandé par l’internaute ainsi que les cookies de mesures d’audience répondant à certains critères dégagés par la CNIL dans sa recommandation, ne nécessitent ni l’information, ni l’accord préalable de l’internaute. De plus, l’accord de l’internaute peut être valablement recueilli dès lors que ce dernier poursuit sa navigation sur le site après avoir été informé que cette action valait acceptation de l’utilisation des cookies. La loi vise également le paramétrage du navigateur comme mode d’expression de son accord par l’internaute ;cependant la CNIL tempère cette possibilité, notamment parce qu’elle ne convient qu’à certains types de cookies (ceux utilisant le protocole HTTP).
Après avoir effectué 24 contrôles sur place, 27 contrôles en ligne et 2 auditions, la CNIL dresse un premier bilan négatif. Elle estime en effet que l’obligation d’information et de recueil du consentement n’est pas assez respectée par les sites internet contrôlés. Certains sites n’informent pas suffisamment les internautes. D’autres ont mis en place le bandeau d’information préconisé par la CNIL, mais accèdent ou déposent leurs cookies dès la première connexion de l’internaute au site, sans avoir attendu que celui-ci ne manifeste son accord.
La CNIL évoque également le fait que certains sites ne mettent en œuvre aucun mécanisme propre de gestion du consentement et ne font que renvoyer l’internaute au paramétrage de leur navigateur alors que ceci n’est pas considéré comme un mécanisme d’opposition valable.
Ces premiers contrôles ont débouché sur l’envoi de mises en demeure de la CNIL à une vingtaine d’éditeurs de sites, sommés de se mettre en conformité avec la loi dans un délai déterminé. La CNIL a ainsi certainement voulu marquer le rôle pédagogique de cette première vague de contrôles puisque les mises en demeure ne constituent pas des sanctions. Cette vague massive de contrôles doit néanmoins inciter l’ensemble des éditeurs à réévaluer et corriger si nécessaire leur politique de gestion des cookies car il est probable que la clémence de la CNIL n’aura qu’un temps.
Sylvain NAILLAT
