Que les sites internet soient prévenus : dès le mois d’octobre 2014, la CNIL va contrôler le respect de la législation au regard des cookies « et autres traceurs ». Elle menace déjà de possibles sanctions ceux qui n’auront pas correctement appliqué la législation.
Le 5 décembre dernier, la CNIL publiait une recommandation relative aux cookies et autres traceurs. L’article 32-II de la loi du 6 janvier 1978 est issu d’une ordonnance d’août 2011, transposant une directive européenne. Selon ces dispositions, résume la CNIL, « le stockage d’informations sur l’équipement d’un utilisateur ou l’accès à des informations déjà stockées, ne [doit] être mises en œuvre qu'avec le consentement préalable de l’utilisateur sauf, si ces actions sont strictement nécessaires au fournisseur pour la délivrance d’un service de la société de l’information expressément demandé par l’abonné ou l’utilisateur ».
Profilage des internautes
En clair, l’enjeu ici est d’encadrer le traçage des internautes sur les sites à l’aide des cookies. Tracer un utilisateur permet d’affiner l’ergonomie du site, certes, mais aussi de profiler ses habitudes de consommation et donc mieux cibler les publicités. Le principe posé par les textes impose d’avertir les utilisateurs qui doivent en principe donner leur consentement préalable. Deux exceptions cependant : les cookies qui ont pour finalité de permettre ou faciliter la communication électronique et ceux qui sont nécessaires à la fourniture d’un service à la demande expresse de l'utilisateur.
Après la recommandation de décembre 2013, la CNIL veut désormais savoir si elle a été bien entendue en auditant les pratiques des sites Internet. Elle indique déjà l’objet de ses analyses :
- Les types de traceurs (cookies) utilisés par le site web : s’agit-il de cookies HTTP, de local shared object (cookies flash), de techniques de finger printing, etc. ?
- La finalité des cookies (internes et tiers), connus ou non de l’éditeur, obsolètes ou non
Recueil de consentement convivial ?
Pour les cookies exigeant un consentement préalable, la CNIL jaugera notamment les modalités du recueil, avec une granulosité assez fine : « des cookies nécessitant un consentement sont-ils déposés ou lus avant que l’internaute n’ait pu exprimer son accord (par exemple dès l’arrivée sur la page d’accueil) ? Comment l’internaute exprime-t-il son accord (par un clic, en poursuivant sa navigation après lecture d’un 1er bandeau, etc.) ? ». La CNIL ira même à vérifier si la solution pour recueillir le consentement est « conviviale et ergonomique ». Il s’agira également de mesurer les conséquences d’un refus. L’autorité cite l'exemple d’un e-commerçant qui « proposerait comme seul moyen d’opposition aux cookies le paramétrage du navigateur en bloquant tous les cookies alors que cette action empêcherait ensuite d’effectuer des achats sur le site ».
Des contrôles à distance, des sanctions à la clef
« Les autres dispositions de la loi applicables aux cookies (sécurité des données, présence de données sensibles, etc.) pourront également faire l’objet d’un contrôle » ajoute la CNIL qui rappelle qu’elle est en capacité d’adresser des mises en demeure voire des sanctions contre les contrevenants.
Précisons que l'autorité administrative n’aura pas à se déplacer de sa chaise. Et pour cause, la récente loi sur la consommation a musclé ses pouvoirs : elle peut désormais effectuer des contrôles non seulement sur place, mais également en ligne, depuis ses bureaux.
