Les cookies en pratique : les recommandations de la CNIL

Comme elle l’avait annoncé au mois de juillet 2020, la CNIL a adopté le 17 septembre 2020 puis publié au mois d’octobre, une recommandation pratiques « cookies » afin de proposer des modalités pratiques de recueil d’un consentement conforme aux règles applicables.

La CNIL a souhaité compléter ses lignes directrices relatives à l’utilisation des cookies et autres traceurs adoptée le 4 juillet 2019 qui étaient plutôt théoriques et qu’elle a également modifié suite à l’arrêt du Conseil d’Etat, annulant les recommandations relatives à l’interdiction pure et simple des « cookies wall » . (Ces mises à jour sont prises en compte dans cet article).

Par ailleurs, la CNIL rappelle,  que ces recommandations ne sont que des exemples qui ne sont ni prescriptifs, ni exhaustifs et que bien qu’orienté sur l’environnement web et mobile, peuvent aussi s’appliquer à d’autres environnements (TV connectée etc.).

Le délai de mise en conformité aux lignes directrices et à cette nouvelle recommandation est de 6 mois. Les acteurs doivent par conséquent se mettre en conformité au plus tard  au mois de mars 2021.

(dernière mis à jour de l’article : 14/09/2022)

1. Vue d’ensemble

En résumé, la CNIL souhaite que l’information et le consentement relatifs à l’utilisation des cookies soient recueillis de la manière suivante :

1.1. Concernant la mention d’information 

– L’information sur les finalités des cookies doit être donnée avant les options de consentement/refus de manière intelligible et claire ;

– Chaque finalité doit être indiquée par un intitulé court , suivi d’un bref descriptif ;

– Une description plus détaillée des finalités devrait être accessible depuis l’interface de receuil du consentement (bouton déroulant, lien hypertexte) ;

– La liste exhaustive et mise à jour des responsables de traitement doit être mise à disposition de l’utilisateur au moment du recueil du consentement (ex : lien hypertexte, bandeau déroulant accessibles depuis l’interface de consentement) ;  

– La CNIL recommande aussi d’indiquer les catégories de données collectées par finalités si possible ;

– Les cookies exemptés de consentement devrait faire l’objet d’une information.

(MAJ 01/2022 : Bien que la CNIL ne le demande pas expressément,  dès lors que les cookies collectent des données personnelles, les autres obligations d’information prévu aux article 13 et 14 du RGPD sont censées s’appliquer également. La durée de conservation des données et d’activités des cookies, partage des données etc. doivent donc être indiqués ).

1.2. Concernant les modalités de recueil du consentement 

– Le consentement devrait être obtenu via une case à cocher, décochée par défaut ou des interrupteurs désactivés par défaut ;

– Si un consentement global est proposé,  des boutons « tout accepter », « tout refuser », « personaliser vos choix » doivent être proposés sur l’interface ;

– La CNIL propose d’inclure un bouton « continuer sans accepter » en haut de la fenêtre de recueil de consentement ;

– La durée du consentement est de 6 mois (à adapter en fonction du contexte) ;

– Un système doit être mis en place pour assurer la preuve du consentement ;

L’utilisateur doit pouvoir retirer son consentement ou parémétrer ses choix à tout moment.

1.3. La durée de conservation des cookies et des données collectées

La CNIL n’indique pas expressément la durée de conservation des cookies ou des données collectées via les cookies dans sa recommandation.

Ainsi pour les cookies soumis au consentement, dans la mesure où la CNIL recommande une durée de validité du consentement de 6 mois, la durée de conservation de ces cookies ne devraient durer que 6 mois.

Pour les cookies statistiques exemptés de consentement (Exclus Google Analytics) (voir ici pour plus d’information) : elle recommande une durée de conservation de 13 mois.

En ce qui concerne la durée de conservation des données personnelles receuillies via les cookies lorsque c’est applicable, la durée de conservation recommandée est de 24 mois pour les statistiques mais aucune précision n’est donnée pour les autres cookies. Cela se décide en fonction des finalités de ces derniers.

2. L’information préalable des personnes 
2.1. Finalités des traceurs

L’information sur les finalités des traceurs doit être indiquée avant les options de consentement/refus.

Chaque finalité doit être indiquée par un intitulé court, suivi d’un bref descriptif. A ce titre la CNIL rappelle que le design et le vocabulaire choisi doivent aider la compréhension de l’utilisateur et encourage le développement d’interfaces standardisées (vocabulaire uniformisé).

L’information délivrée doit être facilement compréhensible et ne doit pas nécessité d’efforts particuliers de concentration ou d’interprétation de la part de l’utilisateur (ex : une lecture peu attentive pourrait laisser croire que l’option sélectionnée produit l’effet inverse de ce que les utilisateurs pensaient choisir)

Exemple : « publicité personalisée » : (nom du site et des partenaires/tiers) utilise(nt) des traceurs afin d’afficher de la publicitée personalisée en fonction de votre navigation et de votre profil » (il  convient d’insérer un lien vers les partenaires quand ils sont trop nombreux).

Il en va de même pour la publicité géolocalisée, personnalisation de contenu, partage de données sur les réseaux sociaux (qui peut aussi être demandé au moment du partage) etc.

Une description plus détaillée des finalités devrait être accessible depuis l’interface de receuil du consentement (bouton déroulant, lien hypertexte).

Exemple : Dans le cas de la publicité personnalisé, cette information complémentaire peut préciser les différentes opérations techniques comme le capping publicitaire (plafonnement de l’affichage qui consiste à ne pas présenter la même publicité trop souvent à un même utilisateur), lutte contre la fraude au clic, facturation, la mesure des cibles ayant plus d’appétencs à la publicité etc.)

2.2. Catégories de données

La Cnil recommande d’indiquer les catégories de données collectées par finalités si possible.  Il ne s’agit pas d’une obligation légale, à moins que les données soient collectées depuis une source tierce.

Par ailleurs, dans sa décision Whatsapp, l’autorité irlandaise a indiqué que les catégories de données devait être indiquée pour que le consentement soit valable. Il faut donc s’attendre à ce que cette information puisse être exigée. 

2.3. L’identité du ou des responsables de traitement

La liste exhaustive et mise à jour des responsables de traitement doit être mise à disposition de l’utilisateur au moment du recueil du consentement (ex : lien hypertexte, bandeau déroulant accessibles depuis l’interface de consentement). 

Cette liste doit être accessible à tout moment et le mécanisme permettant d’y accéder doit être placé  dans les zones de l’écran qui attire l’attention des utilisateurs ou dans lesquelles ils s’attendent à trouver cette option. Ex : module de paramétrage cookie toujours visibile ou dans un lien hypertexte en bas ou en haut de la page.

En pratique,  dans le bandeau cookies un lien vers la liste des partenaires/autres responsable de traitemnet est un moyen d’informer la personne. Ce bandeau devrait être accessible facilement une fois le consentement ou le refus donné.

2.4. Autres informations

La CNIL ne l’exige pas expressément dans sa recommandation mais les autres informations exigées aux articles 13 et 14 du RGPD doivent être indiquées.

En effet, la CJUE s’était positionnée sur ce point en 2019 et avait également ajouté que la durée de vie des cookies ainsi que le possible accès par des tiers aux cookies faisaient partie des informations nécessaires à la validité du consentement.

Une article est dédiée au contenu de la mention d’information ici . Parmi les informations complémentaires, la durée de conservation des données, les droits des personnes concernées etc. devraient être indiqués. Il faudra y ajouter la durée de vie des cookies.

3. Les choix de l’utilisateur
3.1. Le consentement

La CNIL recommande fortement le recours à la case à cocher, décochée ar défaut ou aux interrupteurs, desactivées par défaut pour obtenir le consentement des utilisateurs. 

Proposer un consentement global est possible à condition que : 

  • la personne soit informée préalablement de toutes les finalités ;

 

  • un autre bouton « personnaliser les choix » placé au même niveau d’information que le bouton « tout accepter » permettent de personaliser les choix  de l’utilisateurs finalité par finalité.

La CNIL indique que le design ne doit pas être trompeur (ex : en laissant croire que l’utilisateur doit accepter) ou mettre un choix plus en valeur que l’autre.

Cependant, il semble que dès lors que les options sont clairement visibles et faciles d’accès, il n’y ait pas d’interdiction légale à mettre certaines options en avant par le choix de couleur par exemple.

Cas du cookies wall

Suite à la décision du Conseil d’Etat, annulant sa position sur le Cookies Wall, la CNIL semble adopter une position plus souple sur leur utilisation. Toutefois, cela ne doit pas laisser croire que lors d’un contrôle ou d’une procédure de sanction, elle validera la pratique du « Cookie wall ».

Ainsi, elle n’interdit plus formellement cette pratique qui consiste à refuser l’accès au contenu d’un site si l’utilisateur n’accepte pas les cookies. Elle rappelle que la licéité de cette pratique doit être appréciée au cas par cas et que l’information fournie à l’utilisateur doit indiquer les conséquences du refus de son choix (refus d’accéder au contenu ou au service en l’absence de consentement).

Par ailleurs, la Commission estime que le fait de recueillir de manière simultanée un consentement unique pour plusieurs opérations de traitement répondant à des finalités distinctes (le couplage de finalités), sans possibilité d’accepter ou de refuser finalité par finalité, est également susceptible d’affecter, dans certains cas, la liberté de choix de l’utilisateur et donc la validité de son consentement.

La CNIL a ajouté sur son site internet fin mai 2021 qu’elle prendrait en compte notamment l’existence d’alternatives réelles et satisfaisantes proposées en cas de refus des cookies afin de déterminer si la pratique des cookies wall est licite.

Pour la première fois, elle précise, à titre d’exemple, que le fait pour un éditeur de presse en ligne de conditionner l’accès à son contenu à l’acceptation des cookies publicitaires ou au paiement d’une somme d’argent raisonnable, n’est pas interdit par principe. Toutefois, elle rappelle que pour déterminer si la pratique des cookies wall est licite, elle prendrait en compte les éléments suivants :

  • la somme d’argent demandée en contrepartie doit être raisonnable, mais ne donne pas plus de précision, (un abonnement est il acceptable ? ) ;
  • l’utilisateur doit accéder à une version équivalente du site en termes de contenu qui doit être dépourvue de traceurs publicitaires ; 
  • elle prendra également en compte d’autres éléments comme la position dominante du site dans son secteur, qui selon elle peut conduire à l’illicéité de certains « cookies wall ». 

En mai 2022, la CNIL a précisé sa position du mai 2021 en attendant que le législateur ou la CJUE prennent position sur le sujet. Ainsi, elle recommande aux léditeurs de sites web à répondre aux questions suivantes avant de mettre en place un mur de cookies.

  • L’utilisateur dispose-t-il d’une alternative équitable pour accéder au contenu du site ? Si ce n’est pas le cas, l’éditeur devra démontrer qu’un autre éditeur de site web propose une telle alternative (par exemple, un accès gratuit et inconditionnel à un contenu similaire) afin que l’utilisateur ait un choix réel et libre.
  •  
  • Le montant du prix demandé est-il raisonnable ?  Pour la CNIL, demander un paiement comme alternative au consentement aux cookies reste conforme au GDPR dans la mesure où la redevance ne devient pas dissuasive. A cet égard, la CNIL encourage le micropaiement par porte-monnaie électronique et semble laisser entendre que l’abonnement annuel peut être déraisonnable.

 

Cas du suivi de la navigation hors du site

Lorsque le consentement est nécessaire et les cookies permettent un suivi de la navigation de l’utilisateur au-delà du site ou de l’application mobile, la CNIL recommande fortement que le consentement soit recueilli sur chacun des sites ou applications concernés par ce suivi de navigation.

Selon la CNIL cela permettrait à l’utilisateur d’être pleinement conscient de la portée de son consentement.

Toutefois, en l’absence d’exemple pratique et de plus de détails sur les fondements d’une telle recommandation, il semble que le suivi de navigation nécessiterait un consentement sur les sites visités suivants, seulement si le suivi de navigation  implique le dépôt d’un nouveau traceur. A défaut, la base légale d’une telle exigence semble bancale dès lors que la finalité « suivi de navigation » a été accepté par l’utilisateur. Par ailleurs la mise en œuvre pratique d’une demande d’un tel consentement semble très compliquée.

3.2. Le refus de l’utilisateur

Toute inaction ou action des utilisateurs autre qu’un acte positif signifiant son consentement doit être interpêté comme un refus et aucune opération d’écriture/lecture  ne peut avoir lieu (si le consentement est nécessaire).

Un bouton « tout refuser » devrait  être proposé au même niveau d’information que les boutons « tout accepter » et « personaliser les choix ».

En effet, La CNIL estime que le refus doit être donné aussi facilement que le consentement sur la base du fait que cela pourrait biaiser le choix de l’utilisateur qui souhaite pouvoir visualiser le site ou utiliser l’application rapidement. Cela n’est pas expressément indiqué dans le RGPD mais pourrait être considéré comme un argument valable devant un juge.

Par ailleurs, l’utilisateur doit avoir la possibilité de  retirer son consentement aussi facilement qu’il l’a donné. La CNIL recommande de laisser un bouton à un endroit visible du site pour permettre à l’utilisateur de paramétrer les cookies à tout moment. Le retrait facile du consentement est une exigence expresse du RGPD, il est donc important de suivre la position de la CNIL sur ce point.

Si le refus peut être exprimé en continuant la navigation, cette possibilité doit être indiquée dans la fenêtre de consentement/bandeau et celle-ci doit disparaître au bout d’un laps de temps cours afin de ne pas conditionner le confort de navigation de l’utilisateur à l’expression de  consentement au traceur.

A cet effet, la Cnil propose d’inclure un bouton « continuer sans accepter » en haut de la fenêtre de recueil de consentement.

3.3. Conservation des choix

Il est nécessaire de conserver les choix exprimé par les utilisateurs pendant la durée de navigation du site pour éviter qu’une fenêtre de consentement apparaisse à chaque page visité.

La CNIL recommande que le consentement soit conservé pendant un certains temps à adapter en fonction du type de sit et son audience et que la demande soit renouvelé régulièrement.

Sauf cas particuliers, 6 mois  de conservation des choix lui paraît être une bonne pratique.

3.4. Preuve du consentement
  • Les différentes versions du code informatique recueillant le consentemnet peuvent être mise sous séquestre auprès d’un tiers ou un condensat (« hash ») de ce code peut être publié de façon horodatée sur une plate-forme publique, pour pouvoir prouver son authenticité a postériori ; 
  • Capture d’écran du rendu visuel affiché sur un terminal mobile ou fixe peut être conservée de manière horodatée ;
  • Audit réguliers des mécanismes de consentement peuvent être mis en œuvre par des tiers mandatés ;
  • Les informations relatives aux outils mis en œuvre et à leurs configurations sucessives (Consent managemnet platform) peuvent être conservée de façon horodatée par les tiers éditant ces solutions.
4. Traceurs exemptés de consentement 

Bien que ce ne soit pas requis par la loi, la CNIL recommande qu’une information soit  donnée pour certaines opérations de lecture et écritures non soumises au consentement.

Selon la CNIL les traceurs exemptés sont notamment ceux dont la finalité est l’une des suivantes  :

  • conservation du  choix exprimé par les utilisateurs sur le dépôt de traceurs ;
  • authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification ;
  • garder en mémoire le contenu d’un panier d’achat ou à facturer à l’utilisateur le ou les produits et/ou services achetés ;
  • personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou dela présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
  • équilibrage de la charge des équipements concourant à un service de communication ;
  • limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ;
  • certains traceurs de mesure d’audience sous réserve que certaines conditions soient remplies (exclu Google analytics, les données doivent notamment être anonymisées).

Lorsqu’il s’agit des cookies de mesure d’audience (hors Google Analytics) : la CNIL recommande une durée de vie de 13 mois et une durée de conservation des informations collectées pendant une durée de 25 mois maximum. 

5. Mesures techniques

Des cookies différents pour chaque finalité distincte permettrait aux utilisateurs de les distinguer et de s’assurer du respect de leur consentment mais également de rendre plus transparente les opérations de lecture ou d’écriture.

Les traceurs exemptés de consentement devraient être utilisés que pour une seule finalité afin que l’absence de consentement n’ait pas de conséquence sur la navigation de l’utilisateur (cookies).

Pas de recours à de techniques de masquage de l’identité de l’entité utilisant des traceurs, telles que la délégation de sous-domaine.

Elle recommande aussi que le nom des traceurs soient uniformisés quelque soit l’entité à l’origine de leur émission et que le traceur conservant le recueil du consentement soit nommé « eu-consent ».

Toutefois, ces recommandations ne découlent d’aucune obligation légale, il est donc peu probable qu’elles soient suivies d’effet.

CONTACT

Si vous n’avez pas tout saisi, voici également ci-dessous une vidéo explicative avec des exemples concrets de ce qu’attend la CNIL et pour toute question n’hésitez pas à contacter Arnaud Blanc

Les cookies en pratique : les recommandations de la CNIL

Cette publication est également disponible en en_GB.

Étiqueté avec :