Cookies et autres traceurs : les règles changent !

cookies et autres traceurs, RGPD, consentement

Dans une délibération du 4 juillet 2019, la CNIL a adopté de nouvelles lignes directrices
en matière d’utilisation des cookies et autres traceurs,
s’alignant ainsi sur les lignes directrices du comité européen de la protection des données (CEPD).

Cookies et autres traceurs : quels sont les dispositifs concernés ?

Les dispositifs concernés par ces lignes directrices sont ceux permettant une opération de lecture ou d’écriture dans le terminal de l’utilisateur.

Concrètement sont, évidemment visés, les cookies : équivalent d’un fichier de petite taille stocké sur le terminal du visiteur du site, permettant au site-web de se souvenir d’une information à propos de l’utilisateur, tel que le contenu de son panier d’achat, un identifiant, ou encore de récolter des informations permettant par la suite d’afficher de la publicité ciblée.

D’autres dispositifs sont également ciblés : les « local shared objects » ou “objets locaux partagés” appelés parfois les « cookies Flash », le « local storage » (stockage local) mis en œuvre au sein du code HTML5, les identifications par calcul d’empreinte du terminal, les identifiants générés par les systèmes d’exploitation etc.

Le consentement de l’internaute au dépôt des cookies devra être explicite

Actuellement, la CNIL considère que lorsque l’utilisateur du site a été convenablement informé de la présence des cookies et que le site fait mention à minima de :

  • L’identité du ou des responsables de traitement
  • La finalité des opérations de lecture ou d’écriture 
  • La possibilité de retirer son consentement.

Alors, le consentement de l’internaute au dépôt des cookies peut se manifester de façon implicite, par la poursuite de la navigation sur le site.
Cette doctrine n’était pas en cohérence avec les règles posées par le RGPD, qui implique un recueil du  consentement explicite. 
La CNIL a donc revu ses recommandations relatives aux cookies et autres traceurs.

En voici les principaux changements :

  • La simple poursuite de la navigation sur un site ne peut plus être regardée comme une expression valide du consentement au dépôt de cookies.
  • Les opérateurs qui exploitent des traceurs doivent être en mesure de prouver qu’ils ont bien recueilli le consentement.

L’autorité administrative indépendante précise que le dépôt des cookies facilitant la communication ou ceux strictement nécessaires à un service en ligne demandé expressément par l’utilisateur (cookies techniques, panier d’achat…) restent soumis à l’exception de l’article 82 de la loi informatique et libertés. Pour ces cookies, le consentement de l’utilisateur n’est donc pas obligatoire.

La CNIL en a également profité pour rappeler que la pratique qui consiste à bloquer l’accès à un site web ou à une application mobile pour l’internaute qui ne consent pas à être suivi n’est pas conforme au RGPD.


Mon dispositif ne récolte pas de données personnelles. Suis-je concerné (e) ?

Oui, les lignes directrices de la CNIL ne concernent pas uniquement les cookies et autres traceurs permettant le traitement de données personnelles.

Elles découlent en partie de la directive 2002/58/CE «vie privée et communications électroniques», dont une nouvelle version est en cours de discussion au niveau européen. 


Une nouvelle période transitoire contestée

Cette recommandation devra d’abord passer par une concertation avec les acteurs concernés, puis une consultation publique, avant qu’enfin elle ne soit publiée au cours du premier trimestre 2020. 
La CNIL entend ensuite laisser une « période d’adaptation » aux éditeurs, qui auront au moins jusqu’en juillet 2020 pour s’aligner sur les nouvelles règles.
 
Cependant, cette période transitoire n’est pas au goût des défenseurs de la vie privée.
L’association La Quadrature du Net veut contraindre la CNIL à appliquer le RGPD sous toutes ses dimensions et ne plus accorder de périodes transitoires.
Pour cela, elle a introduit un recours en référé-suspension devant le conseil d’Etat. L’audience se tiendra le 14 aout et pourrait aboutir à la suspension de la délibération de la CNIL. 
 
Un article proposé par Guillaume PERS
Consultant Juriste RGPD

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *