Retour sur l’adoption de lignes directrices de la CNIL, rappelant le droit applicable aux opérations de lecture ou écriture dans le terminal d’un utilisateur, et notamment l’usage des cookies et autres traceurs.

La Commission nationale de l’informatique et des libertés (CNIL) est chargée de veiller au respect des dispositions de la loi informatique et libertés (LIL) du 6 janvier 1978 ainsi que d’autres textes tel le règlement général européen sur la protection des données (RGPD) ou la directive ePrivacy 2002/58/CE, transposée en droit français par l’article 82 de la LIL.

En date du 19 juillet dernier, a été publiée au Journal Officiel sa délibération n° 2019-093 du 4 juillet 2019 relative à l’adoption de lignes directrices qui rappellent le droit applicable aux opérations de lecture ou écriture dans le terminal d’un utilisateur, et notamment l’usage des cookies et autres traceurs (les « local shared objects », le « local storage » mis en œuvre au sein du HTML 5, les identifications par calcul d’empreinte du terminal, les identifiants tels l’IDFA, l’IDFV, Android ID, l’adresse IP, et les identifiants matériels tels l’adresse MAC, le numéro de série ou tout autre identifiant d’un appareil).

L’article 82 de la loi dispose que tout utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, par le responsable du traitement :

  • De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal (tablette, smartphone, ordinateur fixe ou mobile, console de jeux vidéos, télévision connectée, véhicule connecté, assistant vocal, etc), ou à inscrire des informations dans cet équipement
  • Des moyens dont il dispose pour s’y opposer

Il est important de noter que pour la CNIL, l’article 82 précité s’applique indépendamment du fait que les données concernées soient à caractère personnel ou non.

Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement. Nous analyserons dans le détail ci-dessous la position de la CNIL sur la question.

Les modalités de recueil du consentement

La CNIL indique que les traceurs nécessitant un recueil du consentement ne peuvent être utilisés en écriture ou en lecture tant que l’utilisateur n’a pas préalablement manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair.

Le caractère libre du consentement

Le consentement ne peut être valable que si la personne concernée est en mesure d’exercer valablement son choix et ne subit pas d’inconvénients majeurs en cas d’absence ou de retrait du consentement. Ainsi, la CNIL rappelle la position de mai 2018 du Comité européen de la protection des données (CEPD) qui indique la pratique qui consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas à être suivi n’est pas conforme au RGPD. C’est une position importante qui aura des conséquences majeures, puisque même un refus de dépôt de cookies et autres traceurs ne pourra empêcher la poursuite de la navigation.

La personne concernée doit être en mesure de donner son consentement de façon indépendante et spécifique pour chaque finalité distincte. Le fait d’offrir par ailleurs à la personne la possibilité de consentir de manière globale est acceptable, à condition que cela s’ajoute, sans la remplacer, à la possibilité de consentir spécifiquement à chaque finalité.

Le caractère éclairé du consentement

L’information doit être rédigée en des termes simples et compréhensibles pour tous, et elle doit permettre aux utilisateurs d’être parfaitement informés des différentes finalités des traceurs utilisés. Elle doit être complète, visible, et mise en évidence au moment du recueil du consentement. Un simple renvoi vers les conditions générales d’utilisation ne peut suffire.
Les informations devant être portées à la connaissance des utilisateurs, préalablement au recueil du consentement, en application de l’article 82, sont à minima l’identité du ou des responsables de traitement, la finalité des opérations de lecture ou écriture des données et l’existence du droit de retirer son consentement.

Afin que le consentement soit éclairé, l’utilisateur doit pouvoir identifier l’ensemble des entités ayant recours à des traceurs avant de pouvoir y consentir. Ainsi, la liste exhaustive et régulièrement mise à jour de ces entités doit être mise à disposition auprès de l’utilisateur directement lors du recueil de son consentement.

Le caractère univoque du consentement

La CNIL souligne que le consentement doit se manifester par le biais d’une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l’exercer. Ainsi, et c’est une position nouvelle et importante de la CNIL, le fait de continuer à naviguer sur un site web, d’utiliser une application mobile ou bien de faire défiler la page d’un site web ou d’une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable. L’immense majorité des sites internet français devront ainsi modifier leur solution de gestion de cookies en ne permettant pas la navigation sans action sur les boutons accepter ou refuser.
De la même manière, l’utilisation de cases pré-cochées, tout comme l’acceptation globale de conditions générales d’utilisation, ne peuvent être considérées comme un acte positif clair visant à donner son consentement.

La preuve du consentement

Les organismes exploitant des traceurs doivent mettre en œuvre des mécanismes leur permettant de démontrer, à tout moment, qu’ils ont valablement recueilli le consentement des utilisateurs. Dans la situation où ces organismes ne recueillent pas eux-mêmes le consentement des personnes, la CNIL rappelle qu’une telle obligation ne saurait être remplie par la seule présence d’une clause contractuelle engageant l’une des organisations à recueillir un consentement valable pour le compte de l’autre partie.

Il doit être aussi facile de refuser ou de retirer son consentement que de le donner. Cela signifie notamment que les personnes ayant donné leur consentement à l’utilisation de traceurs doivent être en mesure de le retirer à tout moment.

 

Par cette nouvelle délibération, la CNIL abroge sa délibération n° 2013-378 du 5 décembre 2013 et modifie donc sa doctrine sur les cookies et autres traceurs.

Après concertation ces prochains mois avec les professionnels et la société civile, suivie d’une consultation publique, une recommandation définitive sera publiée en mars 2020, ayant notamment vocation à préciser les modalités pratiques du recueil du consentement. Une période d’adaptation, d’une durée de six mois à compter de la publication de la future recommandation sera laissée aux acteurs afin de leur donner le temps d’intégrer les nouvelles règles. Dans l’idéal, mais sans garantie aucune, ce revirement doctrinal coïncidera avec la version définitive du règlement ePrivacy, en cours de gestation au Conseil européen sous présidence finlandaise. En effet, une régulation trop stricte et une volonté politique de faire émerger des champions européens du numérique pourraient ne pas faire bon ménage.