Notre article du 24 juillet avait abordé la question centrale du consentement telle que posée par la CNIL dans ses lignes directrices relatives aux cookies et autres traceurs. Le présent article se propose d’analyser les autres points des guidelines concernées.
Les rôles et responsabilités des acteurs
La CNIL considère que les tiers ayant recours à des traceurs seront pleinement et indépendamment responsables des traceurs qu’ils mettent en œuvre, ce qui signifie qu’ils devront assumer indépendamment l’obligation de recueillir le consentement des utilisateurs.
Dans le cas d’une responsabilité conjointe, dans laquelle les responsables déterminent ensemble les finalités et les moyens du traitement, la Commission rappelle qu’aux termes de l’article 26 du règlement général européen sur la protection des données (RGPD), ils devront définir de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du RGPD, en particulier en ce qui concerne le recueil et la démonstration, le cas échéant, d’un consentement valable.
Est qualifié de sous-traitant un acteur qui inscrit des informations et/ou accède à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, exclusivement pour le compte d’un responsable de traitement et sans réutilisation pour son propre compte des données collectées via le traceur. La Commission rappelle que si une relation de sous-traitance est établie, le responsable de traitement et le sous-traitant doivent établir un contrat ou un autre acte juridique précisant les obligations de chaque partie, dans le respect des dispositions de l’article 28 du RGPD.
Les paramètres du terminal
L’article 82 de la loi informatique et libertés (LIL) du 6 janvier 1978 précise que le consentement peut résulter de paramètres appropriés du dispositif de connexion de la personne ou de tout autre dispositif placé sous son contrôle.
La Commission considère que ces paramétrages du navigateur ne peuvent, en l’état de la technique, permettre à l’utilisateur d’exprimer la manifestation d’un consentement valide. La CNIL remet ainsi en question un article de loi en mettant en avant un état de la technique qui ne serait pas assez mature pour assurer un consentement valide par un paramétrage de navigateur. Nul doute qu’avec cette prise de position, des ajustements ultérieurs seront nécessaires, qu’ils soient législatifs ou au niveau de l’autorité de contrôle.
Le cas spécifique des traceurs de mesure d’audience
La CNIL considère que peuvent bénéficier de l’exemption au recueil du consentement, les traitements respectant les conditions suivantes :
- Ils sont mis en œuvre par l’éditeur du site ou bien par son sous-traitant ;
- La personne doit être informée préalablement à leur mise en œuvre ;
- Elle doit disposer de la faculté de s’y opposer par l’intermédiaire d’un mécanisme d’opposition ;
- La finalité du dispositif doit être limitée à la mesure d’audience du contenu visualisé, à la segmentation de l’audience du site web en groupes de personnes afin d’évaluer l’efficacité des choix éditoriaux, sans que cela ne conduise à cibler une personne unique et à la modification dynamique d’un site de façon globale. Les données à caractère personnel collectées ne doivent pas être recoupées avec d’autres traitements (fichiers clients ou statistiques de fréquentation d’autres sites, par exemple) ni transmises à des tiers. L’utilisation des traceurs doit également être strictement cantonnée à la production de statistiques anonymes. Sa portée doit être limitée à un seul éditeur de site ou d’application mobile et ne doit pas permettre le suivi de la navigation de la personne utilisant différentes applications ou naviguant sur différents sites web ;
- L’utilisation de l’adresse IP pour géolocaliser l’internaute ne doit pas fournir une information plus précise que la ville. L’adresse IP collectée doit également être supprimée ou anonymisée une fois la géolocalisation effectuée ;
- Les traceurs utilisés par ces traitements ne doivent pas avoir une durée de vie excédant treize mois et cette durée ne doit pas être prorogée automatiquement lors des nouvelles visites. Les informations collectées par l’intermédiaire des traceurs doivent être conservées pendant une durée de vingt-cinq mois maximum.
Par cette nouvelle délibération, la CNIL abroge sa délibération n° 2013-378 du 5 décembre 2013 et modifie donc sa doctrine sur les cookies et autres traceurs.
Prochaines étapes
Après concertation ces prochains mois avec les professionnels et la société civile, suivie d’une consultation publique, une recommandation définitive sera publiée en mars 2020, ayant notamment vocation à préciser les modalités pratiques du recueil du consentement. Une période d’adaptation, d’une durée de six mois à compter de la publication de la future recommandation sera laissée aux acteurs afin de leur donner le temps d’intégrer les nouvelles règles. Dans l’idéal, mais sans garantie aucune, ce revirement doctrinal coïncidera avec la version définitive du règlement ePrivacy, en cours de gestation au Conseil européen sous présidence finlandaise. En effet, une régulation trop stricte et une volonté politique de faire émerger des champions européens du numérique pourraient ne pas faire bon ménage.