La CNIL a publié aujourd’hui au Journal officiel sa délibération sur les lignes directrices relatives notamment à l'usage des cookies et autres traceurs. Le document est important puisqu’il dessine la ligne rouge dont les dépassements seront sanctionnés sur le terrain du RGPD et de la directive e-privacy.
« Tout abonné ou utilisateur d'un [site] doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :
1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
2° Des moyens dont il dispose pour s'y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. »
Les lignes directrices publiées ce matin au JORF viennent expliquer ces obligations prévues à l’article 82 de la loi Informatique et Libertés. En pratique, il concerne le recueil du consentement avant mise en place de cookies sur le terminal de l’utilisateur ou leur exploitation, pour ceux déjà installés. Soit une activité importante des sites en particulier commerciaux.
Le champ de cette disposition est très large : tablette, smartphone, ordinateur fixe ou mobile, console de jeux vidéo, télévision connectée, véhicule connecté, assistant vocal, ainsi que tout autre objet connecté à un réseau de télécommunication ouvert au public. Il va d’ailleurs au-delà des seuls cookies HTTP : « local shared objects », « local storage », identifications par calcul d'empreinte du terminal, identifiants générés par les systèmes d'exploitation, adresses MAC, numéros de série ou tout autre identifiant d'un appareil, etc.
Jusqu’à présent, c’est une délibération de 2013 qui orchestrait les menus détails. Celle du jour vient l’abroger avec des règles remises à jour, RGPD oblige. L’article 2 de la nouvelle délibération pose un rappel élémentaire.
Un consentement libre, spécifique, éclairé et univoque
Si un traceur exige un recueil du consentement, alors pas de choix : il ne peut être utilisé « en écriture ou en lecture tant que l'utilisateur n'a pas manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair ».
Dans ses lignes, l’autorité vient détailler chacune de ces qualités attendues. Ce recueil suppose, comme le veut le RGPD, que l’utilisateur ne subisse pas de mesure de rétorsion en cas de refus ou retrait de son feu vert. « La pratique qui consiste à bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (« cookie walls ») n'est pas conforme au RGPD » rappelle la commission, puisque « les utilisateurs ne sont pas en mesure de refuser le recours à des traceurs sans subir des conséquences négatives (en l'occurrence l'impossibilité d'accéder au site consulté) ».
Pas d'acceptation globale via les CGU
Le consentement ne doit pas seulement être libre. Il doit être donné de manière indépendante et spécifique pour chacune des finalités. « Le fait d'offrir par ailleurs à la personne la possibilité de consentir de manière globale est acceptable, à condition que la spécificité du consentement reste garantie ». Conséquence : « l'acceptation globale de conditions générales d'utilisation ne peut être une modalité valable de recueil du consentement, dans la mesure où celui-ci ne pourra être donné de manière distincte pour chaque finalité ».
Un consentement libre et spécifique doit aussi être éclairé, ce qui suppose que l’utilisateur soit informé dans un langage accessible des finalités, c’est-à-dire de l’objectif poursuivi par les traceurs. « L'utilisation d'une terminologie juridique ou technique trop complexe ne répond pas à l'exigence d'information préalable ». De même, ces informations doivent être accessibles, et surement pas noyées dans les conditions générales. L’évolution des sites et donc des traitements étant dynamiques, « la liste exhaustive et régulièrement mise à jour de ces entités [ayant recours aux traceurs] doit être affichée à l'utilisateur directement lors du recueil de son consentement ».
La poursuite de la navigation ne vaudra pas consentement
Classiquement encore, le consentement devra être univoque. Il faudra une action positive. Sur ce point, la CNIL estime que « le fait de continuer à naviguer sur un site web, d'utiliser une application mobile ou bien de faire défiler la page d'un site web ou d'une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable ». De même, pas de cases précochées ou d’acceptation globale des CGU.
La poursuite de la navigation ne vaut donc pas accord au dépôt de cookies sur son terminal, contrairement à ce que retenait la même commission dans sa délibération de 2013.
Elle souffle ici le chaud et le froid puisque dans le plan d’action 2019-2020 dévoilé fin juin, elle a laissé une période transitoire pour que les professionnels du secteur du marketing « aient le temps de se conformer aux principes qui divergent de la précédente recommandation ».
En clair, dans la politique interne de la CNIL, les acteurs qui respectaient la délibération de 2013 se verront offrir un répit d’un an. Les autres seront éligibles à une sanction immédiate. Ce répit a déjà hautement agacé la Quadrature du Net qui menace d’attaquer la commission.
« Le délai laissé aux opérateurs qui respectaient jusqu’à présent la recommandation de 2013 tient compte de l’exigence juridique de prévisibilité, en cas de changement des règles applicables, résultant notamment de la Convention européenne des droits de l’homme » oppose aujourd’hui la CNIL sur son site.
En attendant, les responsables de traitement concernés devront à terme être en mesure de démontrer que le recueil du consentement répond à ces standards. Une application du principe de responsabilité engendré par le texte du 25 mai.
Impossible en l'état de renvoyer aux paramètres du navigateur
Dans la délibération, d’autres éléments importants sont à souligner. Ainsi, il ne sera pas possible de s’abriter en l’état derrière les paramètres du navigateur pour espérer valider le recueil du consentement. D’ailleurs, aucune nouveauté là-dessus, le Conseil d’État ayant déjà tracé la route l’an passé.
« Si les navigateurs web proposent de nombreux réglages permettant aux utilisateurs d'exprimer des choix en matière de cookies, force est de constater que ceux-ci sont exprimés dans des conditions ne permettant pas d'assurer un niveau suffisant d'information préalable des personnes » insiste la commission. De plus, « les navigateurs ne permettent pas de distinguer les cookies en fonction de leurs finalités, ce qui signifie que l'utilisateur n'est pas non plus en mesure de consentir de manière spécifique pour chaque finalité ».
Enfin, ajoute-t-elle, « les paramétrages du navigateur ne permettent pas aujourd'hui d'exprimer un choix sur d'autres technologies que les cookies (telle que le fingerprinting par exemple) à des fins de suivi de la navigation ».
Des traceurs sans consentement
Certains traceurs sont autorisés sans consentement, c’est en particulier le cas de ceux dédiés aux mesures d’audience. Cependant, la personne physique doit toujours pouvoir s’y opposer et disposer préalablement d’une information sur leur existence et les finalités. « Les données à caractère personnel collectées ne doivent pas être recoupées avec d'autres traitements (fichiers clients ou statistiques de fréquentation d'autres sites, par exemple) ni transmises à des tiers », outre que les statistiques devront être anonymes.
Toujours sur ces traceurs particuliers, « l'utilisation de l'adresse IP pour géolocaliser l'internaute ne doit pas fournir une information plus précise que la ville. L'adresse IP collectée doit également être supprimée ou anonymisée une fois la géolocalisation effectuée ». Enfin, leur durée de vie doit être limitée à 13 mois, et les informations collectées à 25 mois.
D’autres opérations ne seront pas davantage soumises à consentement préalable comme le prévoit déjà l’article 82. Ce sont les traceurs inscrits et/ou lus destinés à « permettre ou faciliter la communication par voie électronique » ou ceux « strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur ». On pense ici aux cookies d’identification, en particulier.
« La loi n'impose pas non plus d'offrir la possibilité de s'opposer à l'utilisation des traceurs » prévient encore la CNIL. Elle demande toutefois que les utilisateurs soient informés de ces traceurs et des finalités, par exemple dans la politique de confidentialité.
Ces lignes directrices ne sont qu’une première pierre à l’édifice. D’autres recommandations sectorielles sont attendues. Spécialement, une nouvelle recommandation « précisera les modalités pratiques de recueil du consentement ». Un projet sera d’abord ébauché à l’occasion d’une concertation « avec les professionnels et la société civile, qui se déroulera dans les prochains mois ». Une recommandation définitive sera ensuite publiée d’ici mars 2020.
