Cookies et autres traceurs (la théorie)

L’utilisation de cookies et autres traceurs sur internet est devenue un enjeu majeur de l’économie digitale.

Dû au retard pris dans la négociation du règlement e-privacy (voir ici), les règles applicables à l’utilisation des cookies sont toujours régies par la directive 2002/58/CE, qui n’a pas été modifiée depuis 2009. Toutefois, l’arrivée du RGPD oblige les éditeurs de site internet à revoir la manière dont ils informent et obtiennent le consentement des utilisateurs.  

La CNIL a saisi cette opportunité pour mettre à jour, au mois de juillet 2019, sa recommandation cookies qui datait de 2013.

Bien que l’autorité française ait donné un délai d’un an aux organismes pour se mettre en conformité, la CJUE et d’autres autorités de protection des données européennes n’ont pas attendu pour rendre des décisions ou sanctionner les entreprises en application du RGPD (ex: amende de 30 000 euros pour Vueling en Espagne).

Cet article a pour objectif de reprendre les points importants de la recommandation théorique de la CNIL concernant les cookies.

Un autre article est dédié à la recommandation pratique de la CNIL publiée en 2020 qui permet de mieux comprendre comment mettre en oeuvre les recommandations théoriques  expliquées ci-dessous. (voir ici)

Les sources juridiques

En droit français les règles relatives à l’utilisation des cookies et autres traceurs sont prévues à l’article 82 de la loi informatique et libertés.

Ces règles ne découlent pas directement du RGPD mais de la transposition de la directive 2002/58/CE relative aux communications électroniques modifiée en 2009. Cette directive n’a pas été modifiée lors de l'adoption du RGPD bien qu’il était prévu que le règlement e-privacy, encore en cours de négociation, la remplace.

Toutefois, la directive 2002/58/CE renvoie au RGPD pour la définition de certains termes dont le consentement.

Les conséquences 

Le régime juridique applicable au cookies n'a pas changé avec l'adoption du RGPD.

Cependant, la définition de consentement ayant été modifiée par le RGPD, la manière d'obtenir le consentement lors de l'utilisation de cookies doit donc être adaptée aux nouvelles exigences.

Ces règles  sont applicables que les informations lues ou insérées soient ou non des données à caractère personnel. 

Définition

Les cookies sont la technologie utilisée la plus fréquemment par les éditeurs de site internet et les tiers pour faire fonctionner leur site internet, effectuer des mesures d'audience, générer des revenues publicitaires etc.

Toutefois, la réglementation vise les opérations permettant de déposer ou d’accéder à des informations  dans le terminal de l’utilisateurs (ex: téléphone, tablette, ordinateur etc.). Ainsi les cookies et toutes autres techniques équivalentes tels que les HTML 5 local storage, cookies flash, fingerprinting, identifiants générés par le systèmes d’exploitation (ex: Androïd ID) et les identifiants matériels (adresse MAC, numéro de série etc.) sont concernées.

Les catégories de cookies

On distingue généralement 2 catégories de cookies/traceurs:

→ cookies essentiels à la navigation ; et

→ les autres cookies (statistiques, publicitaires, réseaux sociaux etc.)

Les cookies peuvent être mis en place par l'éditeur du site internet ou un tiers (ex: Google, Facebook etc.) et ont des durées de vie qui varient selon leur finalité (cookies de session et cookies persistant).

Régime juridique

Selon le type de cookies, le régime juridique applicable est différent.

Ainsi, les cookies essentiels ne sont soumis qu'à une récommandation d'informer les personnes concernées tandis que les autres cookies nécessitent le consentement préalable de ces dernières. 

La CNIL considère toutefois qu'il existe une troisième catégories de cookies (mesures d'audience et statistiques) qu'elle soumet à une régime juridique allégé.

De quoi s'agit-il ?

Il s’agit des traceurs :

→ ayant pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; ou

→ strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur (ex: cookies de panier d’achats etc.)

Quelles conditions s'appliquent ?

Le dépôt de ces cookies étant nécessaire à la navigation, la loi ne prévoit pas de conditions préalables à leur utilisation.

Toutefois la CNIL recommande qu’il soit fait mention de ces cookies dans la politique de confidentialité.

De quoi s'agit il?

Il s’agit des traceurs qui ne sont pas des cookies essentiels (ex: google analytics, cookies publicitaires, réseaux sociaux et autre traceurs permettant de suivre un utilisateurs).

Les conditions d'utilisations de ces traceurs

Le consentement des utilisateurs doit être obtenu préalablement au dépôt des cookies.

Une mention d'information préalable, claire et complète doit être fournie au moment de la collecte du consentement et doit contenir:

→ l'identité du ou des responsables de traitement ;

→ la finalité des opérations de lecture ou écriture des données ;

→ l'existence du droit de retrait du consentement.

Si l'utilisation du traceur implique un traitement de données à caractère personnel fondé sur le consentement, l'information préalable donnée aux utilisateurs doit être alors complétée. Ainsi, la CNIL rappelle que la liste exhaustive et régulièrement mise à jour des entités ayant recours au traceurs doit être mise à disposition auprès de l'utilisateur directement lors du recueil de son consentement.

Il est à noter que la CNIL a allégé ce régime pour certains cookies de mesures d'audience
De quoi s'agit-il ?

Pour bénéficier d'un régime juridique plus souple (droit d'opposition au lieu du consentement des utilisateurs), la CNIL  indique que les traceurs doivent être paramétrés de manière à notamment:

→ utiliser  la mesure d'audience du contenu visualisé afin de permettre l'évaluation des contenus publiés et l'ergonomie du site ou de l'application ;

→ produire des statistiques anonymes sans pouvoir suivre la navigation d'un invidus sur différents sites internet ;

→ de ne pas recouper les données à caractère personnel collectées  avec d'autres traitements ou les transmettre à des tiers ; et

→ de limiter le traitement des information à l'éditeur du site ou son sous-traitant.

La CNIL a identifié AT Internet (Xiti), Matomo TrustCommander comme les traceurs répondant à ces critères, à condition qu'ils soient paramétrés correctement.

Google analytics n’entre par dans cette catégorie, le consentement sera donc nécessaire (voir cookies publicitaires).

Conditions applicables à l'utilisation de ces traceurs
Lorsqu'il utilise ces traceurs, l'éditeur du site doit répondre aux conditions suivantes :

→ Information préalable des utilisateurs (identité du responsable de traitement, des finalités poursuivies et du droit de s’opposer) ;

→ Mise à disposition d'un mécanime d'opposition facilement utilisable ;

→ Aucune opération de lecture ou d'écriture ne doit avoir lieu sur le terminal depuis lequel la personne s'est opposée ;

→ La durée de vie des traceurs est de maximum 13 mois et ne peut être prorogée automatiquement lors des nouvelles visites.

→ Les informations collectées par l'intermédiaire des traceurs doivent être conservées pendant une durée de 25 mois maximum.

Commentaire: ce régime plus souple n’est pas expréssement prévue par la loi. Si un contentieux devait avoir lieu devant une juridiction, il est possible qu'il ne s’applique pas. Le réglement e-privacy prévoit pourtant cette exception pour les cookies de mesures d’audience mais l’adoption de ce dernier semble être au point mort et risque d’être profondément retardée.

La forme du consentement 

Lorsqu’il est requis, le consentement doit être libre, spécifique, informé et univoque.

Libre et spécifique

La personne concernée doit être en mesure de donner son consentement de façon indépendante et spécifique pour chaque finalité distincte.

Ainsi, la possibilité de consentir de manière globale à toutes les finalités des cookies est acceptable dès lors qu’il est également possible de consentir spécifiquement à chaque finalité.

En revanche, bloquer l'accès à un site web ou à une application mobile aux personnes qui ne consentent pas à être suivi (« cookie walls ») n'est pas recommandé dans la mesure où la CNIL s'était positionné contre cette pratique mais a dû modifié sa position suite à une décision du Conseil d'Etat lui interdisant de prendre position aussi stricte dans une recommandation dite de droit souple. Il est donc nécessaire de faire une analyse au cas par cas et d'autres alternatives acceptables doivent être, a priori, proposée à l'utilisateur. La Cnil ne dit, toutefois, pas quelle pourrait être ses alternatives. Ainsi, il est encore difficile de savoir si un forfait payant est une alternative acceptable.

Univoque

Le caractère univoque du consentement implique une action positive claire et non ambigue et exclut la possibilité d’obtenir un consentement implicite de la personne.

Ainsi n’est pas un consentement valable le fait de continuer à naviguer sur le site web, faire défiler la page, l'utilisation de cases pré-cochées ou l'acceptation globale de conditions générales d'utilisation. La Commission considère, par ailleurs, que les paramétrages du navigateur ne peuvent, en l'état de la technique, permettre à l'utilisateur de donner consentement valide.

La preuve du consentement

Les organismes doivent mettre en œuvre des mécanismes leur permettant de démontrer qu'ils ont valablement recueilli le consentement des utilisateurs.

Si un tiers recueille le consentement pour leur compte, une clause contractuelle engageant l'une des organisations à recueillir un consentement valable pour le compte de l'autre partie n’est pas considéré comme suffisante.

Le droit de retrait du consentement

Il doit être aussi facile de refuser ou de retirer son consentement que de le donner et les personnes concernées doivent être en mesure de retirer leur consentement à tout moment.

En pratique

Bien que la CNIL ne précise pas ce qu’elle attend exactement dans cette recommandation, elle a précisé dans sa recommandation pratique qu'il convenait de faire apparaître un bandeau d’information et donner accès à un outil de gestion des cookies permettant à l’utilisateur d’accepter toutes les finalités, de toutes les refuser ou de choisir les cookies en fonction de leur finalités (ex: statistiques, publicité, réseaux sociaux etc.). L'utilisateur doit également être en mesure de retirer son consentement à tout moment. La liste des tiers utilisant des cookies sur le site internet devrait être accessible via l'outil de gestion. (voir ici pour plus détails)

Dès lors que des données à caractère personnel sont traitées via l'utilisation de cookies, les autres dispositions du RGPD (autres que la définition de consentement).

Ainsi, lorsque plusieurs acteurs contribuent à leur mise en place (ex: un éditeur de site web et une régie publicitaire déposant des cookies lors de la consultation du site web), ils peuvent être considérés comme responsables de traitement indépendants, responsables conjoints ou comme sous-traitants (voir ici pour plus de détails sur la notion de responsable de traitement et sous-traitant ).

Responsabilité conjointe 

Dans le cas de l'usage de traceurs tiers par l'éditeur du site (cas le plus courant), les parties sont en principe, responsables conjoint de traitement pour les finalités déterminées par les deux parties. Elles devront définir leurs obligations respectives au regard du RGPD (article 26), en particulier en ce qui concerne le recueil et la démonstration, le cas échéant, d'un consentement valable pour ses finalités (voir l’arrêt fashion ID concernant la répartition des responsabilités entre Facebook et un éditeur de site web utilisant le bouton "like" de Facebook).

Responsabilité indépendante

Si l'une des parties utilisent les données à ses propres fins, elle agit en tant que responsable de traitement indépendant et est seule responsable de fournir l'information et recueillir le consentement des utilisateurs pour ces finalités.

Sous-traitant

Si l'une des parties agit pour le compte de l'autre partie (en principe, l'éditeur du site) et sans réutilisation pour son propre compte des données collectées via le traceur, il est sous-traitant. Il conviendra dans ce cas, de conclure un contrat conformément à l’article 28 du RGPD.

Pour plus de détails sur les recommandations pratiques de la CNIL, cliquer ici.

Cookies et autres traceurs (la théorie)
Étiqueté avec :