Institutions et administration territoriale / Administration

Cookies : les sites internet doivent ĂŞtre conformes aux lignes directrices de la Cnil au 31 mars

Publié le 26 mars 2021 à 12h59 - par

Les services internet publics et privĂ©s doivent dĂ©sormais respecter les recommandations de la Cnil sur les Â«Â cookies », que l’internaute doit ĂŞtre en mesure d’accepter ou de refuser, en exprimant un consentement positif et Ă©clairĂ©. L’Ă©diteur de site qui dĂ©pose des traceurs est considĂ©rĂ© comme un responsable de traitement.

Cookies : les sites internet doivent ĂŞtre conformes aux lignes directrices de la Cnil au 31 mars

Pour tout comprendre

RGPD : se mettre en conformité et le rester - pour tout savoir de vos nouvelles obligations RGPD : se mettre en conformité et le rester - pour tout savoir de vos nouvelles obligations

Le 31 mars 2021, tous les sites web et applications mobiles publics et privĂ©s devront ĂŞtre conformes à la rĂ©glementation relative aux « cookies » et aux « traceurs ». Rappelons qu’il s’agit des petits fichiers informatiques qui constituent des tĂ©moins de connexion, dĂ©posĂ©s automatiquement sur le terminal de l’internaute (ordinateur, tablette, smartphone…) pour connaĂ®tre ses habitudes de frĂ©quentation sur internet et ses identifiants. La Cnil (Commission nationale informatique et libertĂ©s) avait accordĂ© un dĂ©lai, aux éditeurs de services en ligne, pour appliquer ses lignes directrices et ses recommandations du 17 septembre 2020, dĂ©lai qui arrive donc à  son terme. Les prescriptions de la Cnil s’appuient notamment sur la directive du 12 juillet 2002, transcrite en droit français à l’article 82 de la loi Informatique et libertĂ©s et sur le règlement gĂ©nĂ©ral de la protection des donnĂ©es europĂ©en (RGPD).

DĂ©sormais, tout utilisateur de services internet doit ĂŞtre informĂ©, de manière claire et complète, de la finalitĂ© de toute action tendant à inscrire un cookie sur son ordinateur ou tendant Ă  lire un cookie dĂ©jĂ  installĂ©, ainsi que des moyens dont il dispose pour s’y opposer.

L’Ă©diteur d’un site qui dĂ©pose des traceurs est considĂ©rĂ© comme un responsable de traitement, y compris s’il sous-traite la gestion Ă  des tiers de ces traceurs, mis en place pour son propre compte. En 2018, le Conseil d’État a jugĂ© que l’Ă©diteur d’un site a l’obligation de s’assurer auprès de ses partenaires qu’ils n’Ă©mettent pas, par l’intermĂ©diaire de son site, des traceurs contrevenant Ă  la rĂ©glementation applicable en France ; et qu’il doit Ă©galement effectuer toute dĂ©marche utile auprès d’eux pour mettre fin à des manquements. L’Ă©diteur et le sous-traitant sont rĂ©putĂ©s responsables conjointement.

Pour la Commission, subordonner la fourniture d’un service ou l’accès à un site web à l’acceptation d’opĂ©rations d’Ă©criture ou de lecture sur le terminal de l’utilisateur (« cookie wall ») est susceptible de porter atteinte, dans certains cas, à la libertĂ© du consentement. S’il met en place un cookie wall – dont la licĂ©itĂ© doit ĂŞtre apprĂ©ciĂ©e au cas par cas -, l’Ă©diteur de site devrait clairement indiquer à l’utilisateur les consĂ©quences de ses choix, en particulier l’impossibilitĂ© d’accĂ©der au contenu ou au service en l’absence de consentement. En effet, l’internaute doit ĂŞtre en mesure de donner un consentement libre, spĂ©cifique, Ă©clairĂ© et univoque : celui-ci doit se manifester par le biais d’une action positive, alors que l’internaute a Ă©tĂ© prĂ©alablement informĂ© des consĂ©quences de son choix et qu’il dispose des moyens de l’exprimer.

L’information complète (finalitĂ©s des traceurs utilisĂ©s, identitĂ© du responsable de traitement, consĂ©quences du refus…), visible et mise en évidence, doit ĂŞtre rĂ©digĂ©e en termes simples et comprĂ©hensibles par tous. Un simple renvoi vers les conditions gĂ©nĂ©rales d’utilisation ne suffit donc pas.

Continuer Ă  naviguer sur un site, à utiliser une application mobile ou à faire dĂ©filer une page web n’est pas assimilable à un consentement valable. Il en va de mĂŞme des cases prĂ©-cochĂ©es, aux yeux de la Cour de justice de l’Union europĂ©enne. S’il n’a pas exprimĂ© son consentement par un acte positif clair, l’utilisateur doit ĂŞtre considĂ©rĂ© comme ayant refusĂ© l’accès à son terminal ou l’inscription d’informations dans celui-ci.
 En outre, retirer son consentement, facilement et à tout moment, doit ĂŞtre aussi simple que de le donner. Ainsi, la Cnil recommande que l’internaute puisse accĂ©der, non seulement, à un bouton « tout accepter » mais aussi Ă  un bouton « tout refuser ».

Les sites internet, qui conservent gĂ©nĂ©ralement le consentement de l’internaute aux traceurs pendant une certaine pĂ©riode, doivent aussi conserver leur refus, afin de ne pas le rĂ©interroger à chaque visite. Lorsque des traceurs permettent un suivi sur des sites autres que le site visitĂ©, le consentement doit ĂŞtre recueilli sur chacun des sites concernĂ©s par ce suivi de navigation.

L’exigence de recueil de consentement ne s’applique pas aux opĂ©rations dont la finalitĂ© exclusive est de permettre ou de faciliter la communication par voie Ă©lectronique, ou à celles qui sont strictement nĂ©cessaires à la fourniture d’un service de communication en ligne à la demande expresse des utilisateurs : authentification, statistiques de frĂ©quentation, contenu du panier sur un site marchand…

Marie Gasnier

On vous accompagne

Retrouvez les dernières fiches sur la thématique « Institutions et administration territoriale »

Voir toutes les ressources numériques Institutions et administration territoriale

Les + Vus

Voir tous les articles publiés