Newsletter: Numérique & Protection des données
Cookies et autres tracteurs :
Comment mettre son site/son application mobile en conformité ?
Vous pouvez consulter la version PDF en ligne de l'article en cliquant ici.
La CNIL a récemment publié* ses nouvelles lignes directrices concernant l’usage des cookies et autres traceurs, complétées par des recommandations pratiques.
Cette publication faite suite à l’annulation partielle par le Conseil d’Etat le 19 juin 2020 de sa précédente version de ces recommandations en date du 4 juillet 2019.
L’objectif de ces nouvelles lignes directrices reste le même : permettre aux internautes de garder la maîtrise de leurs données personnelles.
Les lignes directrices (et les recommandations associées) sont un instrument de « droit souple » qui ne créent pas de droit ou d’obligation juridique pour quiconque mais influencent fortement, dans les faits, les pratiques des opérateurs économiques.
Cadre réglementaire et technologies concernées
L’utilisation des traceurs est encadrée par l’article 5 de la directive e-Privacy, transposée en droit français à l’article 82 de la loi Informatique et Libertés du 6 janvier 1978 et par l’article 4 du RGPD du 27 avril 2016.
Un traceur est un fichier informatique déposé sur un terminal de télécommunication (quel que soit le type de terminal utilisé : ordinateur, smartphone, liseuse numérique, console de jeux vidéo connectée à Internet, etc.) et lu par exemple lors de la consultation d'un site internet , de la lecture d'un courrier électronique , de l'installation ou de l'utilisation d'un logiciel ou d'une application mobile.
Sont visés non seulement les cookies HTTP mais également d’autres technologies telles que les « cookies Flash », les identifications par calcul d’empreinte du terminal ou « fingerprinting », les identifiants générés par les systèmes d’exploitation (qu’ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.), les identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d’un appareil)...
Les cookies permettent par exemple de faire fonctionner un site web (cookies fonctionnels), de suivre la performance d’un site interne et d’en mesurer l’audience (cookies de suivi – par exemple, Google Analytics, Facebook Analytics), d’améliorer les fonctionnalités et la personnalisation des sites web ou encore de proposer des publicités ciblées à l’internaute (cookies « tiers »).
Ils peuvent ainsi collecter ainsi des données à caractère personnel des utilisateurs, directement ou indirectement identifiantes (adresse IP, identifiants de connexion, pages visitées, etc.).
L’éditeur d’un site internet ou d’une application mobile est donc amené, via le fonctionnement des cookies, à collecter et à traiter des données à caractère personnel, pour son compte et/ou celui de partenaires (Facebook, Linkedin, Google, Criteo...). Il lui incombe alors de s’assurer de la légalité des traitements associés et de la façon dont ces données sont collectées et, sauf exception, de recueillir le consentement des utilisateurs quant à l’utilisation de ces traceurs.
Principe : le consentement préalable
La loi informatique et libertés et le RGPD imposent le recueil du consentement de l’utilisateur avant tout dépôt de traceurs. Ce consentement, pour être valable, doit être :
- Non équivoque : le consentement doit provenir d’un acte positif de la personne informée des conséquences de son choix ;
- Libre : l’utilisateur doit pouvoir donner son consentement de façon indépendante, sans obligation ni contrainte pour l’utilisateur. Le fait de subordonner la fourniture d’un service ou l’accès à un site web à l’acceptation de traceurs porte par exemple atteinte à la liberté du consentement de l’utilisateur qui se voit alors contraint de les accepter ;
- Spécifique : Le consentement doit être donné spécifiquement pour chaque finalité distincte. L’utilisateur doit être en mesure de donner son consentement pour chaque type de traceur ou finalité par finalité.
- Eclairé : un certain nombre d’informations doivent être portée à la connaissance de l’utilisateur, en des termes simples et compréhensibles, préalablement au recueil du consentement :
- L’identité du ou des responsables de traitement des opérations de lecture ou d’écriture de ces traceurs ;
- La finalité de ces traceurs ;
- La manière d’accepter ou de refuser ces traceurs ;
- Les conséquences s’attachant à un refus ou une acceptation de ces traceurs ;
- L’exercice du droit de retirer son consentement
Exception : les cookies exemptés de consentement
Le recueil du consentement n’est pas requis pour :
- les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs (refus, consentement, consentement partiel...);
- les traceurs destinés à l'authentification auprès d'un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification (limitation des tentatives d’accès robotisées) ;
- les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer à l’utilisateur le ou les produits et/ou services achetés ;
- les traceurs de personnalisation de l'interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
- les traceurs permettant l'équilibrage de la charge des équipements concourant à un service de communication ;
- les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
- certains traceurs de mesure d’audience, à la condition qu’ils soient strictement nécessaires à la fourniture d’un service de communication en ligne à la demande de l’utilisateur (les grandes offres de mesures d’audience ne répondent en général pas à ces conditions).
En pratique, que dois-je faire ?
En pratique vous devez notamment :
- Faire figurer le nom du ou des responsables de traitement de ces traceurs (via par exemple un lien hypertexte) ;
- Présenter chaque finalité de ces traceurs dans un langage adapté (non juridique par exemple, privilégier des intitulés courts ) ;
- Intégrer un design et une information appropriés permettant de bien comprendre les options qui s’offrent à l’utilisateur ;
- Permettre à l’internaute d’accepter mais également refuser le dépôt de traceurs sur son terminal. L’intégration d’un bouton « tout refuser » comme d’un bouton « tout accepter » permet à l’utilisateur d’exprimer ses choix par exemple ;
- Proposer à l’utilisateur des cases à cocher ou à décocher ou recourir à des interrupteurs désactivés par défaut ;
- Proposer à l’utilisateur de consentir de manière globale à un ensemble de finalités, par exemple en incluant un bouton « décider par finalité » ;
- Permettre à l’utilisateur de revenir sur son consentement par des outils simples et accessibles à tout moment via par exemple une dénomination intuitive ;
- Vous assurer que l’utilisateur a bien donné son/ses consentements et en conserver la preuve ;
- Conserver le choix fait par l’utilisateur afin de ne pas devoir le lui redemander à chaque page consultée.
- Il peut être utile de recourir à un gestionnaire de cookies pour se simplifier la tâche
- Pour des exemples de recueil de consentement conforme,cliquez ici
Quel calendrier pour la mise en conformité ?
La CNIL indique que les cookies et autres traceurs feront l’objet d’actions de mise en conformité et de contrôle dans les 6 mois suivant la publication de sa recommandation, soit à compter du printemps 2021.
Toute notre équipe reste à votre disposition pour échanger sur ces sujets et vous accompagner dans votre mise en conformité.
Cordialement
Cécile Vernudachi
Avocat associé
Partagez l'article :
En cliquant sur ce bouton , vous acceptez de transmettre des informations concernant votre navigation à Facebook, Linkedin, Twitter. Un second clic vous permet de partager le contenu.
