Data : Précisions de la CNIL sur la collecte du consentement aux cookies

En juillet 2019, la CNIL publiait les nouvelles lignes directrices relatives au consentement de l’internaute à l’utilisation de cookies et autres traceurs sur les sites qu’il visite. La CNIL revenait ainsi sur sa position de 2013 selon laquelle ce consentement pouvait valablement être recueilli par la simple poursuite de la navigation.

Ce consentement doit désormais être libre (ne pas conditionner l’accès au site à l’accord sur les cookies), spécifique (un consentement par finalité), éclairé (information simple et prioritaire sur l’identité du responsable de traitement, la finalité des opérations et l’existence du droit de retirer son consentement), et univoque (par une action positive de la personne préalablement informée).

Après concertation avec les acteurs du marché et la société civile, l’autorité vient de publier un projet de recommandation qui vise à décrire les modalités pratiques de recueil d’un consentement conforme aux règles applicables et à présenter des bonnes pratiques permettant d’aller au-delà des exigences légales.

Quelques points à retenir :

  • Les traceurs concernés : la CNIL liste les traceurs exemptés de consentement qui ont pour finalité exclusive de permettre ou faciliter la communication par voie électronique ou son strictement nécessaires au fonctionnement du site. Par exemple ceux permettant l’authentification, ceux destinés à garder en mémoire un panier d’achat ou encore ceux permettant dans certaines conditions les mesures d’audience.
  • L’information sur la finalité des traceurs : formulées de manières claires et intelligibles, les finalités doivent être présentées à l’utilisateur avant que celui-ci se voit offrir la possibilité de consentir ou de ne pas consentir à leur utilisation.
  • Acceptation, refus ou absence de choix : l’internaute a le choix entre ces trois options. S’il ne fait pas de choix, aucun traceur soumis à consentement ne peut être déposé mais l’éditeur du site peut solliciter à nouveau son consentement à chaque visite. S’il refuse, son opposition devra être enregistrée et le consentement de l’internaute ne peut être sollicité pendant un certain laps de temps. Il doit par ailleurs être aussi facile d’accepter que de refuser les cookies.
  • La durée du consentement : La CNIL estime que la durée de validité du consentement dépendra du contexte, de la portée du consentement initial et des attentes du consommateur mais que d’une manière générale, elle estime qu’une durée de 6 mois est adaptée (contrairement au 13 mois préalablement préconisés).
  • La preuve du consentement doit pouvoir être rapportée : le responsable de traitement doit être en mesure de démontrer que l’utilisateur a donné son consentement. A cette fin, il lui appartient de mettre en œuvre des mécanismes permettant de démontrer qu’il a valablement recueilli le consentement des utilisateurs concernés.
  • Une accessibilité renforcée : langage adapté, case à cocher, bouton accessible ou lien hypertexte et icônes standardisées… La CNIL encourage le développement de solutions techniques permettant de faciliter la choix et la compréhension des utilisateurs. A ce titre, elle souligne notamment que « les interfaces ne devraient pas utiliser de pratiques de design potentiellement trompeuses ».

Ce projet est soumis à consultation publique jusqu’au 25 février 2020. À l’issue de cette période, une nouvelle version du projet de recommandation sera présentée aux membres de la CNIL pour adoption définitive.

L’autorité précise que des missions de contrôle sur l’application du nouveau cadre seront ensuite réalisées à la fin de la période d’adaptation annoncée par la CNIL, soit 6 mois après la publication définitive de la recommandation.

Emmanuelle BEHR
Avocate Associée