La CNIL en course-poursuite des malfaiteurs de cookies !

Résumé

ORIEL souhaite vous partager aujourd’hui quelques informations sur la réglementation cookies émise par la CNIL, dans le cadre de son plan d’action sur le ciblage publicitaire en ligne. Toutes les entreprises réalisant leur communication via un site Internet sont concernées, alors n’hésitez pas à prendre quelques minutes pour consulter ces notes !

Introduction

La CNIL a émis un ensemble de recommandations pour que les entreprises se mettent en conformité avec la réglementation relative à l’usage des cookies. Si elle semble être pédagogue, elle ne compte cependant pas faire preuve de laxisme. La CNIL assure qu’elle compte « désormais réaliser des contrôles pour évaluer l’application des règles relatives aux traceurs, en application de l’article 82 de la loi Informatique et Libertés et des articles 4.11 et 7 du RGPD sur le consentement, telles que synthétisées dans ses lignes directrices ».
ORIEL vous aide à démystifier la réglementation sur les cookies.

Quel est le cadre légal ?

Le cadre légal résulte de la directive e-Privacy sur la vie privée et les communications électroniques de 2002, modifiée en 2009. Ce texte a été transposé à l’article 82 de la loi Informatique et Libertés et pose le principe d’un consentement préalable de l’utilisateur avant le stockage d’informations sur son terminal ou l’accès à des informations déjà stockées sur celui-ci.

Les dispositions de cet article s’appliquent à tout type de terminal utilisé : ordinateurs, smartphones, tablettes numériques et consoles de jeux vidéo connectées à Internet ainsi qu’à tout autre équipement terminal connecté à un réseau de télécommunication ouvert au public.

Le contexte

Si vous disposez d’un site Internet pour votre entreprise, vous êtes de facto concernés par l’obligation de mise en conformité. Il s’agit d’un réel enjeu non négligeable puisque le non-respect de cette réglementation entraîne des amendes très significatives. A titre d’exemple, l’on peut évoquer les géants du numérique comme Google ou Amazon qui ont pu respectivement écoper d’amendes de 100 et de 35 millions d’euros.
Mais de telles sanctions ne concernent plus seulement les grandes entreprises. Le 14 juin 2021, la société BRICO PRIVE, spécialisée dans le domaine de bricolage et de jardinage, a été sanctionnée par la formation restreinte de la CNIL d’une amende de 500 000 euros. De fait, toute entreprise ayant un site Internet ou encore des applications mobiles recueillant des cookies peut désormais faire l’objet d’un contrôle de la CNIL et éventuellement d’une amende, pouvant représenter 2% du chiffre d’affaires. Il est alors vraiment urgent de se mettre en conformité, d’autant plus que la période d’adaptation initialement accordée par la CNIL est échue depuis le 31 mars 2021. L’on peut déjà constater qu’un ensemble de sites Internet ont procédé à la mise à jour de leurs bannières cookies !
Vous n’en faites pas encore partie ? Voici quelques informations et lignes directrices !

Quels sont les éléments devant être mis en conformité ?

A. Le consentement de l’utilisateur au recueil des cookies

Tout d’abord, lorsqu’un utilisateur se rend sur votre site Internet ou application mobile, il doit être informé de l’utilisation des cookies et doit pouvoir accepter ou refuser les cookies avec le même degré de simplicité, préalablement au dépôt ou la lecture des cookies (Article 82 de la Loi Informatique et Libertés).

Par conséquent, la bannière des cookies doit permettre à l’utilisateur de consentir au dépôt des cookies par un acte positif clair. Pour ce faire, la CNIL recommande l’intégration d’un bouton «Tout refuser» sur le même format que le bouton «Tout accepter» ou encore l’existence d’une fonctionnalité permettant à l’utilisateur de refuser les cookies en fermant le bandeau cookies. A l’inverse, l’agencement consistant à faire apparaître un bouton «Tout refuser» transparent ou de plus petite taille que le bouton «Tout accepter» est considéré comme ne permettant pas à l’utilisateur naviguant sur votre site web de bénéficier du même degré de simplicité pour accepter les cookies ou les refuser. A noter que l’option «Paramétrer», fréquemment rencontrée sur divers sites Internet, a pour conséquence de dissuader l’utilisateur de refuser les cookies. Enfin, le fait de permettre à l’utilisateur de continuer la navigation sur le site Web ou l’application ne constitue pas, selon la CNIL, un acte positif de consentement au dépôt des cookies.

S’agissant des «cookie walls», ou «murs de traceurs», qui consistent en subordonner l’accès à l’internaute au site à son acceptation du dépôt de certains cookies, le Conseil d’Etat considère que cette pratique ne peut pas être interdite de manière générale, et que l’appréciation du consentement libre doit se faire au cas par cas (décision du 19 juin 2020). Comme cela interroge sur le « consentement libre » des utilisateurs, la CNIL a publié des recommandations. Il faut prévoir une « alternative réelle et équitable » qui permette à l’utilisateur d’accéder au site sans avoir à consentir aux cookies. L’alternative consistant à verser une somme d’argent n’est pas interdite, mais il faut que le tarif soit raisonnable.

Le Comité européen de protection des données a publié des lignes directrices concernant les «Dark patterns» (ou interfaces truquées) sur les réseaux sociaux en mars 2022. Certains éléments s’appliquent à tout site internet, notamment en ce qui concerne les cookies. A ce propos, le Comité considère que des traits d’humour dans la bannière des cookies peuvent conduire à une mésinformation en éclipsant le contenu lié aux données personnelles. L’exemple cité concernait un jeu de mots avec les cookies en pâtisserie.
L’information doit être claire, visible, et distincte d’autres types de contenu et il est probable que la CNIL reprenne à son compte cette analyse.

BONS REFLEXES

• Permettre à l’utilisateur de consentir au dépôt des cookies par un acte positif clair (Art 82 de la Loi Informatique et Libertés »
  • Le bouton «Tout refuser» sur le même format que le bouton «Tout accepter»
• Adopter certaines fonctionnalités conformes
  • Permettre à l’utilisateur de refuser les cookies en fermant le bandeau cookies
  • Recueillir le consentement via une case à cocher décochée par défaut ou un interrupteur à activer qui est désactivé par défaut

MAUVAIS REFLEXES

• Éviter un design trompeur
  • Un bouton «Tout refuser» transparent ou de plus petite taille que le bouton «Tout accepter»
  • Un bouton «Paramétrer» en guise de refus des cookies
• Abandonner certaines fonctionnalités automatiques
  • Le fait de pouvoir continuer la navigation sur le site n’équivaut pas au consentement clair de l’utilisateur
• Éviter ou limiter les «Cookies Wall», même s’ils ne sont pas expressément interdits
• Éviter de faire un peu (trop) d’humour

B. L’information due à l’utilisateur s’agissant des finalités d’usage des cookies

De manière concomitante au recueil du consentement, l’utilisateur doit être en mesure de connaître les finalités d’usage des cookies (Article 13 du RGPD). Nous vous conseillons de mettre en place un bandeau cookies apparaissant sur la page d’accueil de votre site Web dont le contenu détaille les finalités pour lesquelles les cookies sont déposés sur les appareils des utilisateurs. Lorsqu’il y a plusieurs opérations de traitement répondant à des finalités distinctes, l’internaute doit pouvoir consentir à chacune des finalités. Nous vous déconseillons vivement de vous contenter des mentions « ce site utilise des cookies » ou encore « des cookies sont utilisés pour améliorer l’efficacité des services qui vous sont proposés », considérées comme étant insuffisantes par la CNIL.
De plus, dans l’hypothèse où les données que vous collectez par le biais des cookies sont destinées à un tiers, tel qu’un responsable de traitement des données, veillez à bien porter cette information à la connaissance de l’utilisateur.
Par la suite, pensez bien à l’informer de son droit de retirer son consentement facilement et à tout moment !
Enfin, pensez à l’utilisation de termes clairs et simples qui permettent une bonne compréhension pour un utilisateur ne disposant pas de connaissances techniques ou juridiques.

BONS RÉFLEXES

• Mise en place d’un bandeau cookie sur la page d’accueil du site Web qui détaille les finalités des cookies
• Porter à la connaissance de l’utilisateur l’identité du responsable de traitement des données à caractère personnel
• Informer l’utilisateur de son droit de retirer son consentement
• Utiliser des termes courts et simples

MAUVAIS RÉFLEXES

• Abandonner les mentions génériques comme
  • « Ce site utilise des cookies »
  • « Des cookies sont utilisés pour améliorer l’efficacité des services qui vous sont proposées »
• Éviter les termes techniques ou complexes

C. Exemple de bonne pratique

Quels sont les cookies qui sont exemptés du recueil de consentement ?

A. Les cookies exemptés par la réglementation

L’exigence de consentement ne s’applique pas à tous les cookies. Certains types de cookies sont exemptés de ces obligations et notamment à ceux qui :

• ont pour finalité exclusive de permettre ou de faciliter la communication par voie électronique ou,
• sont strictement nécessaires à la fourniture d’un service de communication en ligne demandé expressément par l’utilisateur.

Il est recommandé d’informer sur l’utilisation de ces cookies. Parmi ceux-ci, la CNIL cite :

• les cookies de mesures d’audience et plus spécifiquement ceux qui servent à produire des statistiques anonymes et qui sont strictement nécessaires au bon fonctionnement du service
• les cookies « conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs » ;
• les cookies « destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification, par exemple en limitant les tentatives d’accès robotisées ou inattendues » ;
• les « traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer, à l’utilisateur, le(s) produit(s) et/ou service(s) acheté(s) » ;
• les cookies « de personnalisation de l’interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service » ;
• les cookies « permettant l’équilibrage de la charge des équipements concourant à un service de communication » ;les cookies « permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) » ;
• les cookies dont la finalité se limite à la mesure de l’audience du site ou de l’application, pour répondre à différents besoins (« mesure des performances, détection de problèmes de navigation, optimisation des performances techniques ou de l’ergonomie, estimation de la puissance nécessaire des serveurs, analyse des contenus consultés », etc.)

B. Limites de l’exemption

Attention : le traitement de ces données personnelles reste soumis au RGPD. Nous vous conseillons ainsi de vérifier auprès du développeur de votre outil qu’il s’engage contractuellement à ne pas réutiliser les données collectées.

Soyez également attentifs aux éventuels transferts de données hors de l’Union Européenne qui pourraient être réalisés par votre sous-traitant de solution. En effet, tous les états tiers à l’Union européenne ne disposent pas nécessairement de décision d’adéquation démontrant une protection équivalente à celle fournie par le RGPD. Un transfert de données personnelles doit donc être bien encadré pour garantir leur protection.

Enfin, veillez bien à vous assurer que les cookies servent uniquement à produire des données statistiques anonymes et que les données à caractère personnel collectées ne puissent être recoupées avec d’autres traitements ni transmises à des tiers, ces différentes opérations n’étant pas nécessaires au fonctionnement du service.

Photos :

• Julissa Capdevilla
• Jason Dent