Les traceurs nécessitant un recueil du consentement ne peuvent être utilisés en écriture ou en lecture tant que l’utilisateur n’a pas préalablement manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair. La CNIL considère que le consentement ne peut être valable que si la personne concernée est en mesure d’exercer valablement son choix et ne subit pas d’inconvénients majeurs en cas d’absence ou de retrait du consentement. La pratique qui consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (« cookie walls ») n’est pas conforme au RGPD.

Délibération CNIL n° 2019-093 du 4 juillet 2019

Par sa Délibération CNIL n° 2019-093 du 4 juillet 2019 (abrogeant la délibération n° 2013-378 du 5 décembre 2013) la CNIL a fixé des lignes directrices sur le droit applicable aux opérations de lecture ou écriture dans le terminal d’un utilisateur, et notamment l’usage des cookies et autres traceurs. Elles résultent notamment des dispositions de la directive 2002/58/CE modifiée « vie privée et communications électroniques » (ou « ePrivacy ») transposée en droit français à l’article 82 de la loi « Informatique et Libertés », et de la définition du consentement figurant à l’article 4 du règlement général sur la protection des données (RGPD) tel qu’interprété dans les lignes directrices du Comité européen de la protection des données (CEPD).

Dispositifs concernés

Les lignes directrices s’appliquent à toutes les opérations visant à accéder, par voie de transmission électronique, à des informations déjà stockées dans le terminal de l’abonné ou de l’utilisateur ou à inscrire des informations dans cet équipement. Cette définition englobe de nombreux dispositifs couramment utilisés, tels qu’une tablette, un mobile multifonction (« smartphone »), un ordinateur fixe ou mobile, une console de jeux vidéo, une télévision connectée, un véhicule connecté, un assistant vocal, ainsi que tout autre objet connecté à un réseau de télécommunication ouvert au public.

Les lignes directrices portent sur l’utilisation des cookies HTTP, par lesquels ces actions sont le plus souvent réalisées, mais ont également vocation à s’appliquer au recours à d’autres techniques : les « local shared objects » (objets locaux partagés) appelés parfois les « cookies Flash », le « local storage » (stockage local) mis en œuvre au sein du HTML 5, les identifications par calcul d’empreinte du terminal, les identifiants générés par les systèmes d’exploitation (qu’ils soient publicitaires ou non : IDFA, IDFV, Android ID, etc.), les identifiants matériels (adresse MAC, numéro de série ou tout autre identifiant d’un appareil), etc.

Cookies et traceurs : la notion clef de consentement

Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant : i) De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ; ii) Des moyens dont il dispose pour s’y opposer.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.  Le RGPD est venu renforcer les exigences en matière de consentement des personnes, en apportant des clarifications sur ses conditions d’obtention et sur la nécessité d’en démontrer le recueil.

L’information délivrée doit être rédigée en des termes simples et compréhensibles pour tous, et doit permettre aux utilisateurs d’être parfaitement informés des différentes finalités des traceurs utilisés. L’utilisation d’une terminologie juridique ou technique trop complexe ne répond pas à l’exigence d’information préalable. Un simple renvoi vers les conditions générales d’utilisation n’est pas suffisant.

Les informations devant être portées à la connaissance des utilisateurs, préalablement au recueil du consentement, sont à minima :

– l’identité du ou des responsables de traitement ;
– la finalité des opérations de lecture ou écriture des données ;
– l’existence du droit de retirer son consentement.

Le consentement, un acte positif

Le consentement doit se manifester par le biais d’une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l’exercer. Le fait de continuer à naviguer sur un site web, d’utiliser une application mobile ou bien de faire défiler la page d’un site web ou d’une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable.  L’utilisation de cases pré-cochées, tout comme l’acceptation globale de conditions générales d’utilisation, ne peuvent être considérées comme un acte positif clair visant à donner son consentement.

Preuve du consentement éclairé

L’article 7 du RGPD impose que le consentement soit démontrable, ce qui signifie que les organismes exploitant des traceurs doivent mettre en œuvre des mécanismes leur permettant de démontrer, à tout moment, qu’ils ont valablement recueilli le consentement des utilisateurs. Dans la situation où ces organismes ne recueillent pas eux-mêmes le consentement des personnes, une telle obligation ne saurait être remplie par la seule présence d’une clause contractuelle engageant l’une des organisations à recueillir un consentement valable pour le compte de l’autre partie.

Question du retrait du consentement

Il doit être également aussi facile de refuser ou de retirer son consentement que de le donner. Cela signifie notamment que les personnes ayant donné leur consentement à l’utilisation de traceurs doivent être en mesure de le retirer à tout moment. Des solutions conviviales doivent donc être mises en œuvre pour que les personnes puissent retirer leur consentement aussi facilement qu’elles ont pu le donner.

Régime spécifique des traceurs d’audience

Les utilisateurs doivent simplement être informés de l’existence et de la finalité des traceurs d’audience en intégrant, par exemple, une mention dans la politique de confidentialité des organisations y ayant recours.  Les traceurs d’audience peuvent bénéficier d’une exemption au recueil du consentement, si les traitements de collecte respectent les conditions suivantes :

– ils doivent être mis en œuvre par l’éditeur du site ou bien par son sous-traitant ;
– la personne doit être informée préalablement à leur mise en œuvre ;
– elle doit disposer de la faculté de s’y opposer par l’intermédiaire d’un mécanisme d’opposition facilement utilisable sur l’ensemble des terminaux, des systèmes d’exploitation, des applications et des navigateurs web. Aucune opération de lecture ou d’écriture ne doit avoir lieu sur le terminal depuis lequel la personne s’est opposée ;
– la finalité du dispositif doit être limitée à (i) la mesure d’audience du contenu visualisé afin de permettre l’évaluation des contenus publiés et l’ergonomie du site ou de l’application, (ii) la segmentation de l’audience du site web en cohortes afin d’évaluer l’efficacité des choix éditoriaux, sans que cela ne conduise à cibler une personne unique et (iii) la modification dynamique d’un site de façon globale. Les données à caractère personnel collectées ne doivent pas être recoupées avec d’autres traitements (fichiers clients ou statistiques de fréquentation d’autres sites, par exemple) ni transmises à des tiers. L’utilisation des traceurs doit également être strictement cantonnée à la production de statistiques anonymes. Sa portée doit être limitée à un seul éditeur de site ou d’application mobile et ne doit pas permettre le suivi de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web ;
– l’utilisation de l’adresse IP pour géolocaliser l’internaute ne doit pas fournir une information plus précise que la ville. L’adresse IP collectée doit également être supprimée ou anonymisée une fois la géolocalisation effectuée ;
– les traceurs utilisés par ces traitements ne doivent pas avoir une durée de vie excédant treize mois et cette durée ne doit pas être prorogée automatiquement lors des nouvelles visites. Les informations collectées par l’intermédiaire des traceurs doivent être conservées pendant une durée de vingt-cinq mois maximum.

Régime transitoire

A noter que les associations « La Quadrature du net » et « Caliopen » ont été déboutées par le Conseil d’Etat de leur demande de suspension de la décision de la CNIL, d’autoriser la « poursuite de la navigation » comme mode d’expression du consentement en matière de cookies et de traceurs en ligne jusqu’à la mi-2020.