Comme elle l’avait annoncé au mois de juillet, la CNIL a souhaité compléter ses lignes directrices relatives à l’utilisation des cookies et autres traceurs adoptée le 4 juillet 2019 par une recommandation afin de proposer des modalités pratiques de recueil d’un consentement conforme aux règles applicables qu’elle a adoptée le 17 septembre 2020 et publiée au mois d’octobre.

Suite à l’arrêt du Conseil d’Etat, annulant les recommandations relatives à l’interdiction pure et simple des « cookies wall, » la CNIL a également adopté une version modifiée de ses lignes directrices dont les modifications sont prises en compte dans cet article.

La CNIL rappelle,  que ces recommandations ne sont que des exemples qui ne sont ni prescriptifs, ni exhaustifs et que bien qu’orienté sur l’environnement web et mobile, la recommandation pratique peut aussi s’appliquer à d’autres environnements (TV connectée etc.).

Le délai de mise en conformité aux lignes directrices et à cette nouvelle recommandation est de 6 mois. Les acteurs devront par conséquent se mettre en conformité au plus tard  au mois de mars 2021.

A cet effet, l’article Cookies dans la section « RGPD  expliqué » sera mis à jour pour prendre en compte les modifications apportés à la ligne directrice de 2019 et les exemples pratiques données dans la recommandation de 2020.

Vue d’ensemble

En résumé, la Cnil souhaite que l’information cookies et le consentement soit recueillie de la manière suivante :

  • l’information sur les finalités des cookies doit être donnée avant les options de consentement/refus de manière intelligible et claire ;

  • chaque finalité doit être indiquée par un intitulé court , suivi d’un bref descriptif ;
  • une description plus détaillée des finalités devrait être accessible depuis l’interface de receuil du consentement (bouton déroulant, lien hypertexte) ;

  • la liste exhaustive et mise à jour des responsables de traitement doit être mise à disposition de l’utilisateur au moment du recueil du consentement (ex : lien hypertexte, bandeau déroulant accessibles depuis l’interface de consentement) ;  

  • la Cnil recommande aussi d’indiquer les catégories de données collectées par finalités si possible ;

  • la consentemnt devrait être obtenu via une case à cocher, décochée par défaut ou des interrupteurs désactivés par défaut ;

  • si un consentement global est proposé,  des boutons « tout accepter », « tout refuser », « personaliser vos choix » doivent être proposés sur l’interface ;

  • la Cnil propose d’inclure un bouton « continuer sans accepter » en haut de la fenêtre de recueil de consentement ;

  • durée du consentement est de 6 mois (à adapter en fonction du contexte) ;

  • les cookies exemptés de consentement devrait faire l’objet d’une information ;

  • un système doit être mis en place pour assurer la preuve du consentement.


L’information préalable des personnes 
Finalités des traceurs

L’information sur les finalités des traceurs doit être indiquée avant les options de consentement/refus.

Chaque finalité doit être indiquée par un intitulé court, suivi d’un bref descriptif. A ce titre la CNIL rappelle que le design et le vocabulaire choisi doivent aider la compréhension de l’utilisateur et encourage le développement d’interfaces standardisées (vocabulaire uniformisé).

L’information délivrée doit être facilement compréhensible et ne doit pas nécessité d’efforts particuliers de concentration ou d’interpréation de la part de l’utilisateur (ex : une lecteure peu attentive pourrait laisser croire que l’option sélectionnée produit l’effet inverse de ce que les utilisateurs pensaient choisir

Exemple : « publicité personalisée » : (nom du site et des partenaires/tiers) utilise(nt) des traceurs afin d’afficher de la publicitée personalisée en fonction de votre navigation et de votre profil » (il s’agit d’un lien vers les partenaires quand ils sont trop nombreux).

Il en va de même pour la publicité géolocalisée, personnalisation de contenu, partage de données sur les réseaux sociaux (qui peut aussi être demandé au moment du partage) etc.

Une description plus détaillée des finalités devrait être accessible depuis l’interface de receuil du consentement (bouton déroulant, lien hypertexte).

Exemple : Dans le cas de la publicité personnalisé, cette information complémentaire peut préciser les différentes opérations techniques comme le capping publicitaire (plafonnement de l’affichage qui consiste à ne pas présenter la même publicité trop souvent à un même utilisateur), lutte contre la fraude au clic, facturation, la mesure des cibles ayant plus d’appétencs à la publicité etc.)

Catégories de données

La Cnil recommande d’indiquer les catégories de données collectées par finalités si possible. Toutefois, il ne s’agit pas d’une obligation légale mais si le volume de données n’est pas important et/ou peu sensible, cela peut rassurer l’utilisateur.

L’identité du ou des responsables de traitement

La liste exhaustive et mise à jour des responsables de traitement doit être mise à disposition de l’utilisateur au moment du recueil du consentement (ex : lien hypertexte, bandeau déroulant accessibles depuis l’interface de consentement). 

Cette liste doit être accessible à tout moment et le mécanisme permettant d’y accéder doit être placé  dans les zones de l’écran qui attire l’attention des utilisateurs ou dans lesquelles ils s’attendent à trouver cette option. Ex : module de paramétrage cookie toujours visibile ou dans un lien hypertexte en bas ou en haut de la page.

En pratique,  dans le bandeau cookies un lien vers la liste des partenaires/autres responsable de traitemnet est un moyen d’informer la personne. Ce bandeau devrait être acessible facilement une fois le consentement ou le refus donné.

Les choix de l’utilisateur
Le consentement

La CNIL recommande fortement le recours à la case à cocher, décochée ar défaut ou aux interrupteurs, desactivées par défaut pour obtenir le consentement des utilisateurs. 

Proposer un consentement global est possible à condition que : 

  • la personne soit informée préalablement de toutes les finalités ;

  • un autre bouton « personnaliser les choix » placé au même niveau d’information que le bouton « tout accepter » permettent de personaliser les choix  de l’utilisateurs finalité par finalité.

La CNIL indique que le design ne doit pas être trompeur (ex : en laissant croire que l’utilisateur doit accepter) ou mettre un choix plus en valeur que l’autre.

Cependant, il semble que dès lors que les options sont clairement visibles et faciles d’accès, il n’y ait pas d’interdiction légale à mettre certaines options en avant par le choix de couleur par exemple.

Cas du cookies wall

Suite à la décision du Conseil d’Etat, annulant sa position sur le Cookies Wall, la CNIL semble adopter une position plus souple sur leur utilisation. Toutefois, cela ne doit pas laisser croire que lors d’un contrôle ou d’une procédure de sanction, elle validera la pratique du « Cookie wall ».

Ainsi, elle n’interdit plus formellement cette pratique qui consiste à refuser l’accès au contenu d’un site si l’utilisateur n’accepte pas les cookies. Elle rappelle que la licéité de cette pratique doit être apprécié au cas par cas et que l’information fournie à l’utilisateur doit indiquer les conséquences du refus de son choix (refus d’accéder au contenu ou au service en l’absence de consentement).

Par ailleurs, la Commission estime que le fait de recueillir de manière simultanée un consentement unique pour plusieurs opérations de traitement répondant à des finalités distinctes (le couplage de finalités), sans possibilité d’accepter ou de refuser finalité par finalité, est également susceptible d’affecter, dans certains cas, la liberté de choix de l’utilisateur et donc la validité de son consentement.

Cas du suivi de la navigation hors du site

Lorsque le consentement est nécessaire et les cookies permettent un suivi de la navigation de l’utilisateur au-delà du site ou de l’application mobile, la CNIL recommande fortement que le consentement soit recueilli sur chacun des sites ou applications concernés par ce suivi de navigation.

Selon la CNIL cela permettrait à l’utilisateur d’être pleine conscient de la porté de son consentement.

Toutefois, en l’absence d’exemple pratique et de plus de détails sur les fondements d’une telle recommandation, il semble que le suivi de navigation nécessiterait un consentement sur les sites visités suivants, seulement si le suivi de navigation  implique le dépôt d’un nouveau traceur. A défaut, la base légale d’une telle exigence semble bancale dès lors que la finalité « suivi de navigation » a été accepté par l’utilisateur. Par ailleurs la mise en œuvre pratique d’une demande d’un tel consentement semble très compliquée.

Le refus de l’utilisateur

Toute inaction ou action des utilisateurs autre qu’un acte positif signifiant son consentement doit être interpêté comme un refus et aucune opération d’écriture/lecture  ne peut avoir lieu (si le consentement est nécessaire).

Un bouton « tout refuser » devrait  être proposé au même niveau d’information que les boutons « tout accepter » et « personaliser les choix ».

En effet, La CNIL estime que le refus doit être donné aussi facilement que le consentement sur la base du fait que cela pourrait biaiser le choix de l’utilisateur qui souhaite pouvoir visualiser le site ou utiliser l’application rapidement. Cela n’est pas expressément indiqué dans le RGPD mais pourrait être considéré comme un argument valable devant un juge.

Par ailleurs l’utilisateur doit avoir la possibilité de donner et retirer son consentement aussi facilement. La Cnil recommande de laisser un bouton à un endroit visible du site pour permettre à l’utilisateur de paramétrer les cookies à tout moment. Le retrait facile du consentement est une exigence expresse du RGPD, il est donc important de suivre la position de la CNIL sur ce point.

Si le refus peut être exprimé en continuant la navigation, cette possibilité doit être indiquée dans la fenêtre de consentement/bandeau et celle-ci doit disparaître au bout d’un laps de temps cours afin de ne pas conditionner le confort de navigation de l’utilisateur à l’expression de con consentement au traceur.

A cet effet, la Cnil propose d’inclure un bouton « continuer sans accepter » en haut de la fenêtre de recueil de consentement.

Conservation des choix

Il est nécessaire de conserver les choix exprimé par les utilisateurs pendant la durée de navigation du site pour éviter qu’une fenêtre de consentement apparaisse à chaque page visité.

La CNIL recommande que le consentement soit conservé pendant un certains temps à adapter en fonction du type de sit et son audience et que la demande soit renouvelé régulièrement.

Sauf cas particuliers, 6 mois  de conservation des choix lui paraît être une bonne pratique.

Preuve du consentement
  • Les différentes versions du code informatique recueillant le consentemnet peuvent être mise sous séquestre auprès d’un tiers ou un condensat (« hash ») de ce code peut être publié de façon horodatée sur une plate-forme publique, pour pouvoir prouver son authenticité a postériori ; 
  • Capture d’écran du rendu visuel affiché sur un terminal mobile ou fixe peut être conservée de manière horodatée ;
  • Audit réguliers des mécanismes de consentement peuvent être mis en œuvre par des tiers mandatés ;
  • Les informations relatives aux outils mis en œuvre et à leurs configurations sucessives (Consent managemnet platform) peuvent être conservée de façon horodatée par les tiers éditant ces solutions.
Traceurs exemptés de consentement 

Bien que ce ne soit pas requis par la loi, la CNIL recommande qu’une information soit  donnée pour certaines opérations de lecture et écritures non soumises au consentement.

Selon la CNIL les traceurs exemptés sont notamment ceux dont la finalité est l’une des suivantes  :

  • conservation du  choix exprimé par les utilisateurs sur le dépôt de traceurs ;
  • authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification ;
  • garder en mémoire le contenu d’un panier d’achat ou à facturer à l’utilisateur le ou les produits et/ou services achetés ;
  • personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou dela présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
  • équilibrage de la charge des équipements concourant à un service de communication ;
  • limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
  • certains traceurs de mesure d’audience sous réserve que certaines conditions soient remplies (exclu Google analytics, les données doivent notamment être anonymisées).

Lorsqu’il s’agit des cookies de mesure d’audience : la CNIL recommande une durée de vie de 13 mois et une durée de conservation des informations collectées pendant une durée de 25 mois maximum. 

Mesures techniques

Des cookies différents pour chaque finalité distincte permettrait aux utilisateurs de les distinguer et de s’assurer du respect de leur consentment mais également de rendre plus transparente les opérations de lecture ou d’écriture.

Les traceurs exemptés de consentement devraient être utilisés que pour une seule finalité afin que l’absence de consentement n’ait pas de conséquence sur la navigation de l’utilisateur (cookies).

Pas de recours à de techniques de masquage de l’identité de l’entité utilisant des traceurs, telles que la délégation de sous-domaine.

Elle recommande aussi que le nom des traceurs soient uniformisés quelque soit l’entité à l’origine de leur émission et que le traceur conservant le recueil du consentement soit nommé « eu-consent ».

Toutefois, ces recommandations ne découlent d’aucune obligation légale, il est donc peu probable qu’elles soient suivies d’effet.

Partage

La CNIL publie sa recommandation pratique sur les cookies
Étiqueté avec :