Les cookies et traceurs sont omniprésents dans l’univers numérique. Alors même qu’ils demeurent souvent invisibles et inconnus pour l’utilisateur voire pour l’éditeur d’un service électronique, ils peuvent porter gravement atteinte aux droits des internautes et font, à ce titre, l’objet d’une réglementation exigeante.

Un alignement du consentement avec le RGPD

Une réglementation européenne. L’Europe a encadré l’usage des cookies et autres traceurs dès 2002 via directive 2002/58/CE « vie privée et communications électroniques ». Depuis lors le principe régissant ces mécanismes est le consentement préalable.

À noter. L’appellation « cookies et autres traceurs » recouvre tous les mécanismes de suivi de l’internaute ; qu’il s’agisse de lire du contenu sur le terminal de l’utilisateur ou au contraire d’en déposer (art. 82 loi 78-17).

De 2012 à 2016, face au constat que la plupart des acteurs ne s’étaient pas mis en conformité ou de façon très inégale, l’Europe a entrepris de renforcer le cadre réglementaire à travers la règlementation E-Privacy supposée entrer en vigueur en même temps que le RGPD. Dans l’attente que le retard pris soit résorbé, les nouvelles règles applicables sont celles imposées par le règlement relatif à la protection des données.

Bon à savoir. Le consentement est une des bases légales prévues par le RGPD sur laquelle peut se fonder un traitement de données personnelles. Ce consentement doit être libre, spécifique, éclairé et univoque (art. 6 et 7 RGPD).

Un consentement éthique. Dans sa nouvelle recommandation relative aux cookies, en accord avec l’article 4-11 du RGPD, la CNIL exhorte au recueil d’un consentement préalable et éthique. L’utilisation de la plupart des traceurs est interdite tant que l’utilisateur n’a pas explicitement autorisé qu’ils soient activés ; le consentement n’étant explicite que si l’utilisateur effectue une action positive après s’être vu informé des objectifs de l’ensemble des traceurs. La poursuite de la navigation n’est plus une « action positive » constitutive de consentement et l’utilisateur doit pouvoir choisir les traceurs qu’il souhaite accepter ou non. Ce nouveau cadre juridique réduit considérablement la marge de manœuvre des éditeurs.

À noter. L’exigence de consentement ne s’applique pas aux opérations qui ont pour but de « permettre ou faciliter la communication par voie électronique » ou « sont strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur » (art. 6 délib. n° 2019-093). Exemple : un cookie permettant de sauvegarder un panier d’achats.

Une transparence renforcée

La fin programmée des  bannières intrusives. Au-delà du consentement, le RGPD et la recommandation de la CNIL impactent également tout le déroulé du dépôt de cookies et traceurs. Les pratiques consistant à envahir l’écran de l’utilisateur par une bannière sur laquelle le bouton de validation des cookies est mis en avant tandis que le bouton de refus est rendu très discret, sont trompeuses et constitutives de « manipulations », donc interdites. De même aucune pratique de chantage ne saurait être tolérée : l’accès à un service ne peut en aucun cas être assujetti à l’acceptation des traceurs excepté ceux indispensables à son fonctionnement.

Rappel. Le CEPD, dans sa « déclaration sur la révision de la directive ePrivacy », avait considéré que la pratique qui consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (« cookie walls ») n’est pas conforme.

Les pistes de simplification. La CNIL relève toutefois que les utilisateurs pourront dans l’avenir, des évolutions techniques étant encore requises, consentir ou refuser des traceurs « en lot » via leur navigateur. Par ailleurs les éditeurs multiples peuvent d’ores et déjà recueillir un consentement unique pour l’ensemble de leurs services.

À noter. Par suite d’une consultation publique ayant pris fin le 25 février dernier, la CNIL présentera au premier semestre 2020 une nouvelle version de ses recommandations afin d’apporter aux professionnels une traduction opérationnelle du cadre juridique.

La transparence des circuits de prospection. En parallèle du consentement les débats ayant abouti à la délibération n°2019-093 de la CNIL ont porté sur l’opacité des échanges d’informations entre les éditeurs et utilisateurs de traceurs. En effet les données collectées via les cookies et assimilés ont une importante valeur commerciale en propre, ou en tant qu’informations complétant des données recueillies par ailleurs. Chaque entité utilisant des traceurs doit désormais communiquer à l’utilisateur la liste de l’ensemble des sociétés ayant accès à ses données collectées via ces mécanismes.

Les acteurs du numérique maîtrisent globalement mal la réglementation relative aux cookies et autres traceurs. Les cookies constituant l’une des trois thématiques CNIL prioritaires pour les contrôles en 2020, ces derniers vont rapidement devoir faire preuve de plus de transparence.