La Commission nationale de l’informatique et des libertés (CNIL) a publié, le 14 janvier 2020, son nouveau projet de recommandation relative aux cookies et traceurs, qui va dans le sens d’un durcissement des conditions de validité de ces derniers, déjà initié précédemment après l’entrée en vigueur du RGPD et les premières condamnations, retentissantes, prononcées par la CNIL dans le secteur de la publicité en ligne.

Cette recommandation vient compléter un contexte juridique complexe, qui s’impose à toute entreprise qui entend recourir à des technologies de suivi numérique (de ses clients, des utilisateurs de ses sites web ou applications mobiles, mais aussi dans le cadre du déploiement d’objets connectés et de nombreux services numériques innovants). Ce contexte juridique est complexe car il implique à la fois la protection des données personnelles (composée du RGPD et des législations nationales en la matière), et la réglementation eprivacy (Directive européenne n°2002/58/CE du 12 juillet 2002 complétée par la Directive 2009/136/CE du 25 novembre 2009).

Ces deux grandes réglementations soulignent que le consentement de la personne constitue le fondement juridique par excellence (même s’il n’est pas le seul) pour implanter des cookies à certaines finalités (notamment la personnalisation des contenus consultés, les campagnes de publicité ciblée, l’exploitation marketing des données comportementales, etc.).

Les applications marché concrètes sont de plus en plus nombreuses : de nombreux sites internet (et tout l’écosystème de la publicité digitale) dépendent des revenus publicitaires générés. De nombreuses stratégies marketing dépendent également de la captation de données comportementales (alimentation de profils consommateurs à partir de leurs données en ligne, personnalisation des services, tactiques « drive-to-store », capteurs phygitaux, services connectés, profilage de la clientèle, etc.). Enfin, de nombreux services reposent également sur la collecte de données électroniques (mesure de fréquentation des sites, mesure d’audience, sécurité des actifs, contrôles d’accès, etc.).

La position de la CNIL sur l’emploi des traceurs numériques (cookies, tags, beacon, etc.) avait précédemment évolué, suite à l’entrée en vigueur du RGPD et aux précisions du Comité Européen de Protection des Données à caractère personnel (CEPD) qui a précisé les caractéristiques du consentement et des autres bases légales autorisant la collecte de données personnelles. Cette position évolue de nouveau afin de concilier les deux réglementations susmentionnées – au grand dam de certains professionnels, au premier rang desquels les éditeurs de sites web et d’applications mobiles.

 

I- L’évolution du cadre juridique de la règlementation

Le RGPD a renforcé les exigences en matière de validité du consentement. Les professionnels du secteur du marketing en ligne cherchent à mieux comprendre leurs obligations issues du RGPD et de la directive eprivacy. Ils avaient donc fait part d’un besoin de recommandations pratiques notamment sur l’information des internautes. Par ailleurs, la CNIL a reçu de nombreuses plaintes relatives au marketing en ligne, et a mené des vérifications auprès de professionnels de la publicité digitale.

Suites à ces plaintes, la CNIL a publié des lignes directrices sur l’application de l’article 82 de la loi du 6 janvier 1978. Cet article prévoit l’obligation d’informer les utilisateurs et de solliciter au préalable leur consentement avant le dépôt ou la lecture de cookies ou autres traceurs dans le terminal de l’internaute lorsque celui-ci se rend sur internet.

Ces lignes directrices de la CNIL constituaient la première étape d’actualisation de la recommandation relative aux cookies du 5 décembre 2013, devenue obsolète, par rapport aux nouvelles obligations issues du RGPD.

C’est donc dans le cadre de son plan d’action sur le ciblage publicitaire, que l’autorité de protection des données a adopté le 4 juillet 2019 des lignes directrices visant à synthétiser le droit applicable en vertu du RGPD. Pour rappel, ces lignes directrices ont confirmé deux principes clés résultant de l’application du RGPD : d’une part la poursuite de la navigation d’un site internet ne saurait être considérée comme un consentement valide au dépôt de cookies, et d’autre part les acteurs doivent être en mesure de prouver l’expression d’un consentement valide.

Il était prévu que ces lignes directrices soient suivies d’une nouvelle recommandation. La CNIL a donc conduit une concertation pendant l’automne 2019 afin d’élaborer un projet de recommandation proposant des modalités opérationnelles de recueil du consentement. Ce projet est soumis à consultation publique jusqu’au 25 février 2020, en vue de la préparation de la version définitive de la recommandation qui est prévue pour mars 2020.

A l’issu de cette période une nouvelle version du projet de recommandation sera présentée aux membres de la CNIL réunis en séance plénière pour adoption définitive. Il est notamment possible d’apporter des contributions en ligne et de voter pour les différentes contributions. Cette recommandation est applicable à tous les acteurs, y compris aux GAFAM (Google, par exemple, occupe une part très majoritaire du marché de la publicité en ligne). Le projet de recommandation précise également que la règlementation est applicable à tout type de tracking en ligne y compris dans les environnements logués (c’est-à-dire lorsque l’utilisateur a créé un compte en ligne).

 

II- Le contenu du projet de recommandation

Le projet de recommandation vise à expliciter certaines dispositions de l’article 82 de la Loi informatique et libertés (LIL). Il s’adresse aux organismes privés et publics qui procèdent à des opérations de lecture et/ou d’écriture sur le terminal d’un utilisateur visé par l’article 82 de la loi (concrètement : implanter des cookies ou dispositifs équivalents tels que tags ou SDK publicitaires). Son but est de formuler des recommandations pratiques sur la manière de traduire opérationnellement les exigences issues des textes.

S’agissant des acteurs concernés par cette recommandation, la commission met en avant la responsabilité des éditeurs de site qui doivent s’assurer de la présence d’un mécanisme de consentement du fait qu’ils contrôlent l’interface de collecte. En pratique, les éditeurs recourent à des consent management platforms (CMP) qui doivent permettre à l’internaute de paramétrer ses choix.

On doit souligner que la CNIL exempte certains traceurs du recueil du consentement, comme ceux qui sont strictement nécessaires à la fourniture du service de communication en ligne, ou encore certains cookies de mesure d’audience.

La CNIL propose ainsi 9 articles comportant des bonnes pratiques, exemples concrets et modalités pratiques de mise en œuvre de la règlementation.

Tout d’abord l’utilisateur doit recevoir une information conforme aux exigences de la LIL et du RGPD, et doit ainsi donc recevoir une information claire et complète sur les finalités des traceurs (1), leur portée (2) et sur les responsables de traitement (3).

 

  • L’information due aux personnes

    • Sur les finalités

Il s’agit dans un premier temps, d’expliciter les conditions de validité du consentement, à savoir les exigences d’un consentement éclairé, libre, spécifique et univoque. Ensuite, toutes les finalités des cookies devraient figurer au premier niveau d’information, accompagné d’une explication plus détaillée dans un second niveau. Afin de faciliter la lecture des finalités, la CNIL recommande que chaque finalité soit mise en exergue dans un intitulé court et aisément compréhensible.

    • Sur la portée du consentement

L’utilisateur doit être conscient de la portée de son consentement. Le fait que le consentement est valable pour le suivi de navigation sur d’autres sites ou applications doit figurer au premier niveau d’information. La liste de la totalité des sites web ou applications mobiles concernées pourra être relégué au second niveau d’information via un lien hypertexte par exemple.

    • Sur les responsables de traitement

Avant de consentir, l’utilisateur doit également pouvoir prendre connaissance de l’identité de tous les responsables de traitement impliqués – ce qui implique potentiellement de mentionner plusieurs dizaines de destinataires (intermédiaires en publicité, annonceurs, partenaires commerciaux, etc.). Le nombre de responsable de traitement doit être indiqué au premier niveau d’information et la liste exhaustive des responsables peut figurer au second niveau d’information.

La CNIL recommande la mise en place d’un mécanisme permettant de prendre connaissance de la liste des responsables de traitement mise à jour par une icône ou un lien hypertexte en bas de page. En revanche, en cas de mise à jour quantitative ou qualitativement substantielle de la liste des responsables de traitement, le consentement devra être redemandé.

 

  • Les modalités de recueil de consentement

    • Acceptation et refus 

S’agissant des modalités de recueil du consentement, la CNIL précise que le responsable doit offrir la possibilité d’accepter ou de refuser les opérations de lecture ou d’écriture de cookies avec le même degré de simplicité. Ce choix devra donc être sans conséquence pour l’internaute et conservé pour la même durée que s’il avait consenti. Les professionnels du secteur critiquent notamment cet aspect de la recommandation, en ce qu’elle ajouterait au RGPD et prévoit le recueil d’un refus exprès, alors que le RGPD ne parle que du recueil d’un consentement positif.

La CNIL recommande également de ne pas mettre plus en avant le choix d’accepter les cookies que celui de les refuser et d’éviter toute pratique de design potentiellement trompeuse. La CNIL recommande de créer un bouton « personnalisation des choix » qui permet de consentir au moyen de cases décochées par défaut par exemple. Afin de permettre à l’utilisateur de ne pas faire de choix, le responsable de traitement peut également intégrer une croix de fermeture.

En cas de refus exprès, comme en l’absence de choix, aucun traceur ne doit être déposé – l’absence de choix s’interprétant donc comme un refus, mais alors le consentement peut être sollicité à nouveau lors de l’utilisation suivante.

    • Durée du consentement

S’agissant de la durée de validité des cookies, la CNIL considère qu’une durée de 6 mois constitue une bonne pratique. La CNIL recommande que la preuve du consentement puisse être obtenue par une mise sous séquestre auprès d’un tiers de code informatique, par capture d’écran du rendu visuel ou encore par des audits effectués de manière régulière. Au terme des six mois, un nouvel recueil de consentement s’imposerait donc.

    • Retrait du consentement

Il doit être simple de retirer son consentement et les utilisateurs doivent être informés des solutions mises à leur disposition pour ce faire. Ces solutions doivent être intuitives et aussi faciles que les dispositifs de recueil du consentement. Les professionnels envisagent des boutons accessibles depuis n’importe quelle page du site ou de l’application, pour rappeler la CMP et modifier ses choix.

Pour conclure, il convient de préciser que cette recommandation n’est pas prescriptive et ses exemples non exhaustifs. Ces exemples concrets d’interfaces utilisateur sont des conseils pratiques ayant pour objectif d’accompagner les professionnels concernés dans leur démarche de mise en conformité. Elles constituent tout de même une interprétation officielle du RGPD par la CNIL, mais font l’objet des contributions en cours par les professionnels, qui espèrent bien assouplir certaines de ces exigences, compte tenu de l’impact que les interfaces de recueil de consentement peuvent avoir sur leur capacité à monétiser leurs sites web et services mobiles…

Les avocats du département PITD de DS AVOCATS proposent des interventions en accompagnement des services marketing, les professionnels de l’écosystème de la publicité digitale, et plus généralement des éditeurs de sites web et applications mobiles qui implantent des cookies et autres traceurs, afin d’assurer la conformité de leurs pratiques, et notamment de leurs dispositifs de collecte des données numériques des internautes, afin d’assurer, au regard notamment des interprétations de la CNIL, la conformité de ces pratiques aux exigences réglementaires.