Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

RGPD : la CNIL fixe ses lignes directrices pour les cookies et autres traceurs

Another brick in the cookie wall
Droit 7 min
RGPD : la CNIL fixe ses lignes directrices pour les cookies et autres traceurs

La CNIL a publié aujourd’hui au Journal officiel sa délibération sur les lignes directrices relatives notamment à l'usage des cookies et autres traceurs. Le document est important puisqu’il dessine la ligne rouge dont les dépassements seront sanctionnés sur le terrain du RGPD et de la directive e-privacy.  

« Tout abonné ou utilisateur d'un [site] doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :

1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;

2° Des moyens dont il dispose pour s'y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. »

Les lignes directrices publiées ce matin au JORF viennent expliquer ces obligations prévues à l’article 82 de la loi Informatique et Libertés. En pratique, il concerne le recueil du consentement avant mise en place de cookies sur le terminal de l’utilisateur ou leur exploitation, pour ceux déjà installés. Soit une activité importante des sites en particulier commerciaux.

Le champ de cette disposition est très large : tablette, smartphone, ordinateur fixe ou mobile, console de jeux vidéo, télévision connectée, véhicule connecté, assistant vocal, ainsi que tout autre objet connecté à un réseau de télécommunication ouvert au public. Il va d’ailleurs au-delà des seuls cookies HTTP : « local shared objects », « local storage », identifications par calcul d'empreinte du terminal, identifiants générés par les systèmes d'exploitation, adresses MAC, numéros de série ou tout autre identifiant d'un appareil, etc.

Jusqu’à présent, c’est une délibération de 2013 qui orchestrait les menus détails. Celle du jour vient l’abroger avec des règles remises à jour, RGPD oblige. L’article 2 de la nouvelle délibération pose un rappel élémentaire.

Un consentement libre, spécifique, éclairé et univoque

Si un traceur exige un recueil du consentement, alors pas de choix : il ne peut être utilisé « en écriture ou en lecture tant que l'utilisateur n'a pas manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair ».

Dans ses lignes, l’autorité vient détailler chacune de ces qualités attendues. Ce recueil suppose, comme le veut le RGPD, que l’utilisateur ne subisse pas de mesure de rétorsion en cas de refus ou retrait de son feu vert. « La pratique qui consiste à bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (« cookie walls ») n'est pas conforme au RGPD » rappelle la commission, puisque « les utilisateurs ne sont pas en mesure de refuser le recours à des traceurs sans subir des conséquences négatives (en l'occurrence l'impossibilité d'accéder au site consulté) ».

Pas d'acceptation globale via les CGU

Le consentement ne doit pas seulement être libre. Il doit être donné de manière indépendante et spécifique pour chacune des finalités. « Le fait d'offrir par ailleurs à la personne la possibilité de consentir de manière globale est acceptable, à condition que la spécificité du consentement reste garantie ». Conséquence : « l'acceptation globale de conditions générales d'utilisation ne peut être une modalité valable de recueil du consentement, dans la mesure où celui-ci ne pourra être donné de manière distincte pour chaque finalité ».

Un consentement libre et spécifique doit aussi être éclairé, ce qui suppose que l’utilisateur soit informé dans un langage accessible des finalités, c’est-à-dire de l’objectif poursuivi par les traceurs. « L'utilisation d'une terminologie juridique ou technique trop complexe ne répond pas à l'exigence d'information préalable ». De même, ces informations doivent être accessibles, et surement pas noyées dans les conditions générales. L’évolution des sites et donc des traitements étant dynamiques, « la liste exhaustive et régulièrement mise à jour de ces entités [ayant recours aux traceurs] doit être affichée à l'utilisateur directement lors du recueil de son consentement ». 

La poursuite de la navigation ne vaudra pas consentement

Classiquement encore, le consentement devra être univoque. Il faudra une action positive. Sur ce point, la CNIL estime que « le fait de continuer à naviguer sur un site web, d'utiliser une application mobile ou bien de faire défiler la page d'un site web ou d'une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable ». De même, pas de cases précochées ou d’acceptation globale des CGU.

La poursuite de la navigation ne vaut donc pas  accord au dépôt de cookies sur son terminal, contrairement à ce que retenait la même commission dans sa délibération de 2013.

Elle souffle ici le chaud et le froid puisque dans le plan d’action 2019-2020 dévoilé fin juin, elle a laissé une période transitoire pour que les professionnels du secteur du marketing « aient le temps de se conformer aux principes qui divergent de la précédente recommandation ».

En clair, dans la politique interne de la CNIL, les acteurs qui respectaient la délibération de 2013 se verront offrir un répit d’un an. Les autres seront éligibles à une sanction immédiate. Ce répit a déjà hautement agacé la Quadrature du Net qui menace d’attaquer la commission.

« Le délai laissé aux opérateurs qui respectaient jusqu’à présent la recommandation de 2013 tient compte de l’exigence juridique de prévisibilité, en cas de changement des règles applicables, résultant notamment de la Convention européenne des droits de l’homme » oppose aujourd’hui la CNIL sur son site

En attendant, les responsables de traitement concernés devront à terme être en mesure de démontrer que le recueil du consentement répond à ces standards. Une application du principe de responsabilité engendré par le texte du 25 mai.

Impossible en l'état de renvoyer aux paramètres du navigateur 

Dans la délibération, d’autres éléments importants sont à souligner. Ainsi, il ne sera pas possible de s’abriter en l’état derrière les paramètres du navigateur pour espérer valider le recueil du consentement. D’ailleurs, aucune nouveauté là-dessus, le Conseil d’État ayant déjà tracé la route l’an passé. 

« Si les navigateurs web proposent de nombreux réglages permettant aux utilisateurs d'exprimer des choix en matière de cookies, force est de constater que ceux-ci sont exprimés dans des conditions ne permettant pas d'assurer un niveau suffisant d'information préalable des personnes » insiste la commission. De plus, « les navigateurs ne permettent pas de distinguer les cookies en fonction de leurs finalités, ce qui signifie que l'utilisateur n'est pas non plus en mesure de consentir de manière spécifique pour chaque finalité ».

Enfin, ajoute-t-elle, « les paramétrages du navigateur ne permettent pas aujourd'hui d'exprimer un choix sur d'autres technologies que les cookies (telle que le fingerprinting par exemple) à des fins de suivi de la navigation ».

Des traceurs sans consentement

Certains traceurs sont autorisés sans consentement, c’est en particulier le cas de ceux dédiés aux mesures d’audience. Cependant, la personne physique doit toujours pouvoir s’y opposer et disposer préalablement d’une information sur leur existence et les finalités. « Les données à caractère personnel collectées ne doivent pas être recoupées avec d'autres traitements (fichiers clients ou statistiques de fréquentation d'autres sites, par exemple) ni transmises à des tiers », outre que les statistiques devront être anonymes.

Toujours sur ces traceurs particuliers, « l'utilisation de l'adresse IP pour géolocaliser l'internaute ne doit pas fournir une information plus précise que la ville. L'adresse IP collectée doit également être supprimée ou anonymisée une fois la géolocalisation effectuée ». Enfin, leur durée de vie doit être limitée à 13 mois, et les informations collectées à 25 mois.

D’autres opérations ne seront pas davantage soumises à consentement préalable comme le prévoit déjà l’article 82. Ce sont les traceurs inscrits et/ou lus destinés à « permettre ou faciliter la communication par voie électronique » ou ceux « strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur ». On pense ici aux cookies d’identification, en particulier.

« La loi n'impose pas non plus d'offrir la possibilité de s'opposer à l'utilisation des traceurs » prévient encore la CNIL. Elle demande toutefois que les utilisateurs soient informés de ces traceurs et des finalités, par exemple dans la politique de confidentialité. 

Ces lignes directrices ne sont qu’une première pierre à l’édifice. D’autres recommandations sectorielles sont attendues. Spécialement, une nouvelle recommandation « précisera les modalités pratiques de recueil du consentement ». Un projet sera d’abord ébauché à l’occasion d’une concertation « avec les professionnels et la société civile, qui se déroulera dans les prochains mois ». Une recommandation définitive sera ensuite publiée d’ici mars 2020.

24 commentaires
Avatar de Datalag Abonné
Avatar de DatalagDatalag- 18/07/19 à 15:27:43

Pour info la CNIL précise : 
https://www.cnil.fr/fr/cookies-et-autres-traceurs-la-cnil-publie-de-nouvelles-lignes-directrices"NB : La version des lignes directrices publiée ce jour au Journal Officiel comporte des erreurs rédactionnelles. La version définitive adoptée le 4 juillet sera publiée dans les prochains jours."

Avatar de crocodudule INpactien
Avatar de crocodudulecrocodudule- 18/07/19 à 15:34:57

Zondy sur twitter qu'on pouvait tout mettre sur une page si on voulait.

C'était présenté comme une solution préférable à plusieurs pages..., alors que la question était plutôt comment éviter de tomber dans l'écueil de l'actuel bandeau cookies (qui est super méga gonflant et nous pousse indirectement à dire oui pour qu'il arrête de nous pourrir le paysage), là où toutes les options risquent d'occuper les 3/4 de la page (et aggraver le syndrome "oui pour que tu dégages").

[rêve]Comme par défaut faut que cela soit désactivé, du coup elle pourrait recommander qu'il faudra pas coller un énorme bandeau, mais juste un lien en bas de page permettant d’activer les options.[/rêve]

Avatar de ThomasBrz Abonné
Avatar de ThomasBrzThomasBrz- 18/07/19 à 15:42:43

maintenant, j'ai envie de jouer a cookie clicker !!!!
Donc au final, ils ont droit de mettre un bouton "tout accepter" mais ne sont pas obligé de mettre un bouton "tout interdire"...

Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 18/07/19 à 17:24:57

Le consentement ne doit pas seulement être libre. Il doit être donné de
manière indépendante et spécifique pour chacune des finalités.

"Pour chacune des finalités", cela signifie bien qu'on peut accepter pour certaines, et refuser pour d'autres ?

Récemment j'ai voulu m'inscrire pour une activité proposée par la mairie. Elle utilise un logiciel d'un éditeur tiers, qui demande que 3 cases soient cochées pour s'inscrire et accéder au service :

  • j'accepte l'usage de tous les cookies de [nom du logiciel]
  • j'accepte que [le service municipal] me contacte par e-mail, téléphone ou SMS à des fins administratives ou tecchniques
  • j'accepte que [l'éditeur du logiciel] me contacte par e-mail, téléphone ou SMS à des fins tecchniques

J'accepte volontiers la 2e ligne, puisque la mairie doit bien utiliser mes infos personnelles pour organiser l'activité.

En revanche :

  • je voudrais refuser les cookies (au moins certains, là on doit accepter "tous" les cookies", sans distinction de cookie technique ou cookie marketing)
  • je veux bien donner mes infos au service municipal pour l'activité, mais je ne veux pas que l'éditeur y accède. Si c'est "pour une raison technique", il sera toujours temps de me redemander si l'occasion se produit (si je ne peux plus me connecter par exemple, ou s'il y a un problème sur mon compte, j'accepterai cet accès)

Ici il était impossible de se connecter sans avoir coché les 3 cases, sinon affichage de ce message : "vous devez  accepter toutes les conditions d'utilisation pour utiliser [logiciel]"

Je ne suis pas expert RGPD, mais de ce que j'en comprends, je devrais pouvoir m'inscrire et me connecter sans avoir à valider ces 3 cases. Au final je l'ai fait car je n'avais pas le choix, mais pour moi mon consentement n'était pas "libre".

Avatar de f_p_ Abonné
Avatar de Jarodd INpactien
Avatar de JaroddJarodd- 18/07/19 à 18:54:19

Je connais, merci. Mais comme je le disais, je ne sais pas si c'est un abus du RGPD, ou si c'est moi qui l'interprête mal.

Avatar de Patch INpactien
Avatar de PatchPatch- 18/07/19 à 19:05:17

Jarodd a écrit :

Je connais, merci. Mais comme je le disais, je ne sais pas si c'est un abus du RGPD, ou si c'est moi qui l'interprête mal.

C'est un abus. Les moyens utilisés par la mairie et les fournisseurs utilisés par le service ne te concernent aucunement.

Avatar de KMD55 Abonné
Avatar de KMD55KMD55- 18/07/19 à 19:16:07

Bon point pour le fingerprinting.
Sinon je lisais un article sur lemonde mettant en garde les lecteurs contre une appli qui ne respectait pas le RGPD en ne demandant aucun consentement a l'utilisateur.
Mais il ne me semble pas avoir déjà vu un popup cookies sur lemonde... J'ai loupé un truc ? À une époque ils étaient champions des trackers et autres il me semble.

Avatar de Gawked Abonné
Avatar de GawkedGawked- 18/07/19 à 23:48:58

J’ai toujours un peu peur que tout ceci ne serve à rien, comment peut-on savoir si les data brokers arrêtent vraiment de nous suivre une fois tous les paramètres réglés sur non

Avatar de Soriatane Abonné
Avatar de SoriataneSoriatane- 19/07/19 à 04:06:18

crocodudule a écrit :

[rêve]Comme par défaut faut que cela soit désactivé, du coup elle pourrait recommander qu'il faudra pas coller un énorme bandeau, mais juste un lien en bas de page permettant d’activer les options.[/rêve]

J'ai le même rêve!!
Mais pour certains responsables dd sites web cela serait un cauchemar!

Il n'est plus possible de commenter cette actualité.
Page 1 / 3
  • Introduction
  • Un consentement libre, spécifique, éclairé et univoque
  • Pas d'acceptation globale via les CGU
  • La poursuite de la navigation ne vaudra pas consentement
  • Impossible en l'état de renvoyer aux paramètres du navigateur 
  • Des traceurs sans consentement
S'abonner à partir de 3,75 €