Cookies : les sites internet doivent être conformes aux lignes directrices de la Cnil au 31 mars

Administration

Les services internet publics et privés doivent désormais respecter les recommandations de la Cnil sur les « cookies », que l’internaute doit être en mesure d’accepter ou de refuser, en exprimant un consentement positif et éclairé. L’éditeur de site qui dépose des traceurs est considéré comme un responsable de traitement.

Le 31 mars 2021, tous les sites web et applications mobiles publics et privés devront être conformes à la réglementation relative aux « cookies » et aux « traceurs ». Rappelons qu’il s’agit des petits fichiers informatiques qui constituent des témoins de connexion, déposés automatiquement sur le terminal de l’internaute (ordinateur, tablette, smartphone…) pour connaître ses habitudes de fréquentation sur internet et ses identifiants. La Cnil (Commission nationale informatique et libertés) avait accordé un délai, aux éditeurs de services en ligne, pour appliquer ses lignes directrices et ses recommandations du 17 septembre 2020, délai qui arrive donc à  son terme. Les prescriptions de la Cnil s’appuient notamment sur la directive du 12 juillet 2002, transcrite en droit français à l’article 82 de la loi Informatique et libertés et sur le règlement général de la protection des données européen (RGPD).

Désormais, tout utilisateur de services internet doit être informé, de manière claire et complète, de la finalité de toute action tendant à inscrire un cookie sur son ordinateur ou tendant à lire un cookie déjà installé, ainsi que des moyens dont il dispose pour s’y opposer.

L’éditeur d’un site qui dépose des traceurs est considéré comme un responsable de traitement, y compris s’il sous-traite la gestion à des tiers de ces traceurs, mis en place pour son propre compte. En 2018, le Conseil d’État a jugé que l’éditeur d’un site a l’obligation de s’assurer auprès de ses partenaires qu’ils n’émettent pas, par l’intermédiaire de son site, des traceurs contrevenant à la réglementation applicable en France ; et qu’il doit également effectuer toute démarche utile auprès d’eux pour mettre fin à des manquements. L’éditeur et le sous-traitant sont réputés responsables conjointement.

Pour la Commission, subordonner la fourniture d’un service ou l’accès à un site web à l’acceptation d’opérations d’écriture ou de lecture sur le terminal de l’utilisateur (« cookie wall ») est susceptible de porter atteinte, dans certains cas, à la liberté du consentement. S’il met en place un cookie wall – dont la licéité doit être appréciée au cas par cas -, l’éditeur de site devrait clairement indiquer à l’utilisateur les conséquences de ses choix, en particulier l’impossibilité d’accéder au contenu ou au service en l’absence de consentement. En effet, l’internaute doit être en mesure de donner un consentement libre, spécifique, éclairé et univoque : celui-ci doit se manifester par le biais d’une action positive, alors que l’internaute a été préalablement informé des conséquences de son choix et qu’il dispose des moyens de l’exprimer.

L’information complète (finalités des traceurs utilisés, identité du responsable de traitement, conséquences du refus…), visible et mise en évidence, doit être rédigée en termes simples et compréhensibles par tous. Un simple renvoi vers les conditions générales d’utilisation ne suffit donc pas.

Continuer à naviguer sur un site, à utiliser une application mobile ou à faire défiler une page web n’est pas assimilable à un consentement valable. Il en va de même des cases pré-cochées, aux yeux de la Cour de justice de l’Union européenne. S’il n’a pas exprimé son consentement par un acte positif clair, l’utilisateur doit être considéré comme ayant refusé l’accès à son terminal ou l’inscription d’informations dans celui-ci.
 En outre, retirer son consentement, facilement et à tout moment, doit être aussi simple que de le donner. Ainsi, la Cnil recommande que l’internaute puisse accéder, non seulement, à un bouton « tout accepter » mais aussi à un bouton « tout refuser ».

Les sites internet, qui conservent généralement le consentement de l’internaute aux traceurs pendant une certaine période, doivent aussi conserver leur refus, afin de ne pas le réinterroger à chaque visite. Lorsque des traceurs permettent un suivi sur des sites autres que le site visité, le consentement doit être recueilli sur chacun des sites concernés par ce suivi de navigation.

L’exigence de recueil de consentement ne s’applique pas aux opérations dont la finalité exclusive est de permettre ou de faciliter la communication par voie électronique, ou à celles qui sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse des utilisateurs : authentification, statistiques de fréquentation, contenu du panier sur un site marchand…

Marie Gasnier

Posté le par

Recommander cet article