Cookies et autres traceurs, ciblage publicitaire, RGPD, loi informatique et libertés : les règles ont changé, la CNIL adopte de nouvelles lignes directrices (fr)
France > Droit privé > Protection des données personnelles
Auteur : Philippe TOUITOU, Avocat au Barreau de Paris
Date : octobre 2019
Dans le cadre de son plan d’action sur le ciblage publicitaire, la CNIL a adopté le 4 juillet 2019 des lignes directrices sur les cookies et autres traceurs. Ces lignes directrices rappellent le droit applicable depuis l’entrée en vigueur du RGPD, le 25 mai 2018. Elles abrogent et remplacent la précédente recommandation de la CNIL relative aux cookies et autres traceurs du 5 décembre 2013 qui guidait jusqu’alors les entreprises dans leur politique de gestion des cookies. Les entreprises (éditeurs de sites web ou d’applications mobiles, régies publicitaires) doivent donc rapidement mettre à jour leur politique de gestion des cookies et autres traceurs pour se conformer à la loi.
Passées relativement inaperçues en raison des congés d’été, ces nouvelles lignes directrices sont pourtant d’une importance considérable (délibération CNIL n° 2019-093 du 4 juillet 2019 portant adoption de lignes directrices relatives à l'application de l'article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture ou écriture dans le terminal d'un utilisateur - notamment aux cookies et autres traceurs).
Elles rappellent le droit applicable aux opérations de lecture ou écriture dans le terminal d'un utilisateur, et notamment l'usage des cookies et autres traceurs.
Elles résultent notamment des dispositions de la directive 2002/58/CE modifiée « vie privée et communications électroniques » (ou « ePrivacy ») transposée en droit français à l'article 82 de la loi informatique et libertés, et de la définition du consentement figurant à l'article 4 du règlement général sur la protection des données (RGPD).
L'article 82 de la loi informatique et liberté dispose que : « Tout abonné ou utilisateur d'un service de communications électroniques doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant : 1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; 2° Des moyens dont il dispose pour s'y opposer. Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. »
Cet article, qui transpose l'article 5 (3) de la directive « vie privée et communications électroniques », impose ainsi le recueil du consentement avant toute action visant à stocker des informations ou à accéder à des informations stockées dans l’équipement d'un abonné ou d'un utilisateur (ordinateur, smartphone, tablette etc.).
Or, le consentement prévu par ces dispositions doit être conforme à la définition et aux conditions prévues aux articles 4 (11) et 7 du RGPD. Le RGPD, entré en vigueur le 25 mai 2018, a en effet renforcé les exigences en matière de validité du consentement des personnes, en apportant des clarifications sur ses conditions d'obtention et sur la nécessité d'en démontrer le recueil.
Ce renforcement du droit des personnes a conduit la CNIL à abroger sa délibération n° 2013-378 du 5 décembre 2013 portant adoption d'une recommandation relative aux cookies et aux autres traceurs visés par l'article 32-II de la loi du 6 janvier 1978, qui était jusqu’à alors destinée à guider les opérateurs dans l’application de la loi informatique et libertés. Cette recommandation du 5 décembre 2013 est désormais remplacée par les lignes directrices adoptées le 4 juillet 2019.
Ces lignes directrices devraient être complétées au premier trimestre 2020 par une nouvelle recommandation précisant notamment les modalités pratiques du recueil du consentement.
Mais dans l’intervalle, ce sont ces nouvelles lignes directrices que les opérateurs doivent prendre en considération pour leur politique de gestion des cookies et autres traceurs.
Quelles sont les principales nouveautés des lignes directrices ?
Les nouvelles lignes directrices comportent deux principales nouveautés.
Première nouveauté : la simple poursuite de la navigation sur un site internet ou une application mobile ne peut plus être regardée comme une expression valide du consentement au dépôt de cookies et autres traceurs.
L’utilisateur doit désormais toujours bénéficier d’un véritable choix. Il doit se voir offert la possibilité d’accepter ou de refuser les cookies en fonction de la finalité des opérations qui seront effectuées au moyen des cookies. Il doit pouvoir accepter toutes les finalités ou seulement certaines d’entre-elles si bon lui semble.
Sur le plan technique, ceci implique une mise à jour des sites internet et applications (bandeau d’acceptation ou de refus des cookies, de tout ou partie des traitements effectués au moyen de ces cookies, panneau de configuration, modalités d’archivage du consentement).
Sur le plan juridique, ceci implique une mise à jour des conditions d’utilisation et politiques de confidentialité des sites internet et des applications.
Deuxième nouveauté : les opérateurs qui exploitent des traceurs doivent être en mesure de prouver qu’ils ont bien recueilli le consentement.
En effet, le RGPD a considérablement renforcé les exigences en matière de validité du consentement des personnes. D’une part, pour être valable, le consentement doit remplir un certain nombre de critères (Articles 4 et 7 du RGPD). D’autre part, le responsable du traitement doit toujours être en mesure de démontrer qu’il a bien recueilli le consentement, chaque fois que ce dernier est nécessaire au traitement (article 7 du RGPD).
Quel est le champ d'application des lignes directrices ?
Les lignes directrices s'appliquent à toutes les opérations visant à accéder, par voie de transmission électronique, à des informations déjà stockées dans le terminal d’un utilisateur ou à inscrire des informations dans cet équipement.
Et ce, peu importe la technologie utilisée. Les lignes directrices couvrent l'utilisation des cookies HTTP, mais également d'autres techniques comme notamment les « local shared objects » (objets locaux partagés) appelés parfois les « cookies flash », le « local storage » (stockage local) mis en œuvre au sein du HTML 5, les identifications par calcul d'empreinte du terminal, les identifiants générés par les systèmes d'exploitation (qu'ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.), les identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d'un appareil).
Point important, la CNIL estime que l’article 82 de la loi informatique et libertés qui impose le recueil du consentement avant toute action visant à stocker des informations ou à accéder à des informations stockées sur l’équipement d’un utilisateur s’applique indépendamment du fait que les données concernées (stockées et/ou consultées) sont ou non à caractère personnel.
La CNIL rappelle en outre que le RGPD s’applique à tout traitement portant sur un traceur, dès lors que celui-ci relève de la catégorie des données à caractère personnel - directement identifiantes (par exemple, une adresse électronique) ou indirectement identifiantes (par exemple, l'identifiant unique d'un cookie, une adresse IP, un identifiant du terminal ou d'un composant du terminal de l'utilisateur, le résultat du calcul d'empreinte dans le cas d'une technique de « fingerprinting », ou encore un identifiant généré par un logiciel ou un système d'exploitation).
Quelles modalités de recueil du consentement ?
Les traceurs nécessitant un recueil du consentement ne peuvent être utilisés en écriture ou en lecture tant que l'utilisateur n'a pas préalablement manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair.
Le consentement doit être libre :
Le consentement n’est valable que si la personne concernée est en mesure d'exercer réellement un choix et ne subit pas d'inconvénients majeurs en cas d'absence ou de retrait du consentement.
Ainsi, la pratique qui consiste à bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (« cookie walls ») n'est pas conforme au RGPD.
Le consentement doit être spécifique :
La personne concernée doit être en mesure de donner son consentement de façon indépendante et spécifique pour chaque finalité distincte.
Le fait d'offrir à une personne la possibilité de consentir à toutes les finalités de manière globale est acceptable, à condition que cela s'ajoute, sans la remplacer, à la possibilité de consentir spécifiquement à chaque finalité.
Ainsi, l'acceptation globale de conditions générales d'utilisation ne peut être une modalité valable de recueil du consentement, que si celui-ci peut également être donné de manière distincte pour chaque finalité. Dans le cas contraire, une telle pratique n’est pas acceptable.
Le consentement doit être éclairé :
L'information doit être rédigée en des termes simples et compréhensibles pour tous, et permettre aux utilisateurs d'être parfaitement informés des différentes finalités des traceurs utilisés.
L'information doit être complète, visible, et mise en évidence au moment du recueil du consentement. Un simple renvoi vers les conditions générales d'utilisation ne suffit pas.
Les informations devant être portées à la connaissance des utilisateurs, préalablement au recueil du consentement, en application de l'article 82 de la loi informatique et libertés, sont à minima :
- l'identité du ou des responsables de traitement ;
- la finalité des opérations de lecture ou écriture des données ;< br>
- l'existence du droit de retirer son consentement.
Lorsqu'un traitement de données à caractère personnel suit l'opération de lecture ou écriture et que celui-ci est fondé sur le consentement, l'information préalable donnée aux utilisateurs doit alors être complétée par les mentions d’information de l’article 13 du RGPD et le consentement doit être recueilli conformément aux dispositions de l’article 7 du RGPD
Afin que le consentement soit éclairé, l'utilisateur doit pouvoir identifier l'ensemble des entités ayant recours à des traceurs avant de pouvoir y consentir. Ainsi, la liste exhaustive et régulièrement mise à jour de ces entités doit être mise à disposition de l'utilisateur directement lors du recueil de son consentement.
Le consentement doit être univoque :
Le consentement doit se manifester par le biais d'une action positive de l’utilisateur, préalablement informé des conséquences de son choix et disposant des moyens de l'exercer.
Le fait de continuer à naviguer sur un site web, d'utiliser une application mobile ou bien de faire défiler la page d'un site web ou d'une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable.
L'utilisation de cases pré-cochées, tout comme l'acceptation globale de conditions générales d'utilisation, ne peuvent être considérées comme un acte positif clair visant à donner son consentement.
Des systèmes adaptés doivent donc être mis en place pour recueillir le consentement selon des modalités pratiques qui permettent aux utilisateurs de bénéficier de solutions conviviales et ergonomiques.
Sur la preuve du consentement :
L'article 7 du RGPD impose que le consentement soit démontrable, ce qui signifie que les entreprises exploitant des traceurs doivent mettre en œuvre des mécanismes leur permettant de démontrer, à tout moment, qu'elles ont valablement recueilli le consentement des utilisateurs.
Sur le retrait du consentement :
La CNIL rappelle qu'il doit être aussi facile de refuser ou de retirer son consentement que de le donner. Cela signifie notamment que les utilisateurs ayant donné leur consentement à l'utilisation de traceurs doivent être en mesure de le retirer à tout moment. Des solutions conviviales doivent donc être mises en œuvre pour que les utilisateurs puissent retirer leur consentement aussi facilement qu'ils ont pu le donner.
Quels rôles et responsabilités pour les acteurs ?
Les technologies concernées par l'obligation de recueil du consentement n'impliquent pas systématiquement de traitement de données à caractère personnel. Toutefois, dans un grand nombre de cas, les opérations de lecture ou écriture concerneront des données à caractère personnel et feront partie intégrante d'un traitement de données à caractère personnel soumis aux autres dispositions de la loi informatique et libertés et du RGPD, ce qui implique la nécessité de qualifier les parties concernées : responsable de traitement ou sous-traitant.
Dans un certain nombre de cas, l'utilisation de traceurs fait intervenir une seule entité qui est donc pleinement responsable de l'obligation de recueillir le consentement (par exemple un éditeur de site web qui a recours à des traceurs pour réaliser lui-même les statistiques d'usage de son service).
Dans d'autres cas, plusieurs entreprises contribuent à la réalisation des opérations de lecture ou écriture visées par les lignes directrices (par exemple un éditeur de site web et une régie publicitaire déposant des cookies lors de la consultation du site web). Ces entreprises peuvent alors, le cas échéant, être considérées comme responsables de traitement « uniques », responsables conjoints ou comme sous-traitants.
Dans le cas d'une responsabilité conjointe, dans laquelle les responsables d’un traitement de données à caractère personnel déterminent conjointement les finalités et les moyens du traitement, la CNIL rappelle qu'aux termes de l'article 26 du RGPD, ceux-ci devront définir de manière transparente leurs obligations respectives aux fins d'assurer le respect des exigences du RGPD, en particulier en ce qui concerne le recueil et la démonstration, le cas échéant, d'un consentement valable.
Enfin, est qualifié de sous-traitant un acteur qui inscrit des informations et/ou accède à des informations stockées dans l'équipement terminal d'un abonné ou d'un utilisateur, exclusivement pour le compte d'un responsable de traitement et sans réutilisation pour son propre compte des données collectées via le traceur.
La CNIL rappelle que si une relation de sous-traitance est établie, le responsable de traitement et le sous-traitant doivent établir un contrat ou un autre acte juridique précisant les obligations de chaque partie, conformément aux dispositions de l'article 28 du RGPD.
L'article 82 de la loi informatique et libertés précise que le consentement peut résulter de paramètres appropriés du dispositif de connexion de la personne ou de tout autre dispositif placé sous son contrôle.
La CNIL considère que les paramétrages du navigateur ne peuvent, en l'état de la technique, permettre à l'utilisateur d'exprimer la manifestation d'un consentement valide.
Tout d'abord, si les navigateurs web proposent de nombreux réglages permettant aux utilisateurs d'exprimer des choix en matière de cookies, ceux-ci sont exprimés dans des conditions ne permettant pas d'assurer un niveau suffisant d'information préalable des personnes.
Ensuite, quels que soient les mécanismes existants, les navigateurs ne permettent pas de distinguer les cookies en fonction de leurs finalités, ce qui signifie que l'utilisateur n'est pas non plus en mesure de consentir de manière spécifique pour chaque finalité.
Enfin, les paramétrages du navigateur ne permettent pas aujourd'hui d'exprimer un choix sur d'autres technologies que les cookies (telle que le fingerprinting par exemple) à des fins de suivi de la navigation.
Toutefois, les navigateurs pourraient un jour évoluer afin d'intégrer des mécanismes permettant de recueillir un consentement conforme au RGPD.
Certains traceurs de mesure d'audience exemptés du consentement
Un éditeur peut avoir besoin de mesurer l'audience de son site web ou de son application, ou bien de tester des versions différentes afin d'optimiser ses choix éditoriaux en fonction de leurs performances respectives. Des traceurs sont fréquemment utilisés pour cette finalité et ces dispositifs peuvent, dans certains cas, être regardés comme nécessaires à la fourniture du service explicitement demandé par l'utilisateur, sans présenter de caractère particulièrement intrusif pour ceux-ci, et ainsi être exemptés du recueil du consentement. Par exemple, les statistiques de fréquentation et les tests visant à mesurer les performances relatives de différentes versions d'un même site web (couramment appelés « tests A/B ») permettent notamment aux éditeurs de détecter des problèmes de navigation dans leur site ou leur application ou encore d'organiser les contenus.
La CNIL considère que peuvent bénéficier de cette exemption au recueil du consentement, les traitements respectant les conditions suivantes :
- Ils doivent être mis en œuvre par l'éditeur du site ou bien par son sous-traitant.
- La personne doit être informée préalablement à leur mise en œuvre.
- Elle doit disposer de la faculté de s'y opposer par l'intermédiaire d'un mécanisme d'opposition facilement utilisable sur l'ensemble des terminaux, des systèmes d'exploitation, des applications et des navigateurs web. Aucune opération de lecture ou d'écriture ne doit avoir lieu sur le terminal depuis lequel la personne s'est opposée.
- La finalité du dispositif doit être limitée à (i) la mesure d'audience du contenu visualisé afin de permettre l'évaluation des contenus publiés et l'ergonomie du site ou de l'application, (ii) la segmentation de l'audience du site web en cohortes afin d'évaluer l'efficacité des choix éditoriaux, sans que cela ne conduise à cibler une personne unique et (iii) la modification dynamique d'un site de façon globale.
- Les données à caractère personnel collectées ne doivent pas être recoupées avec d'autres traitements (fichiers clients ou statistiques de fréquentation d'autres sites, par exemple) ni transmises à des tiers.
- L'utilisation des traceurs doit également être strictement cantonnée à la production de statistiques anonymes.
- Sa portée doit être limitée à un seul éditeur de site ou d'application mobile et ne doit pas permettre le suivi de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web.
- L’utilisation de l'adresse IP pour géolocaliser l'internaute ne doit pas fournir une information plus précise que la ville. L'adresse IP collectée doit également être supprimée ou anonymisée une fois la géolocalisation effectuée ;
- Les traceurs utilisés par ces traitements ne doivent pas avoir une durée de vie excédant treize mois et cette durée ne doit pas être prorogée automatiquement lors des nouvelles visites. Les informations collectées par l'intermédiaire des traceurs doivent être conservées pendant une durée de vingt-cinq mois maximum.
Certaines opérations de lecture ou écriture non soumises au consentement préalable
L'article 82 de la loi informatique et libertés prévoit que l'exigence du consentement préalable ne s'applique pas si l'accès aux informations stockées dans l'équipement terminal de l'utilisateur ou l'inscription d'informations dans l'équipement terminal de l'utilisateur :
- a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ; ou
- est strictement nécessaire à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.< br>
La loi n'impose pas non plus d'offrir la possibilité de s'opposer à l'utilisation des traceurs permettant ou facilitant la communication par voie électronique, ou encore strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur.
Toutefois, afin d'assurer une transparence pleine et entière sur ces opérations, les utilisateurs doivent être informés de leur existence et de leur finalité, par exemple, via l’intégration d’une mention dans la politique de confidentialité des entreprises y ayant recours.