[Chronique] Cookies : l’indigestion nous gagne

Vous aimez les cookies ? La Cnil, non, c’est assez connu. Et le 1er octobre elle a publié deux délibérations qui pourraient en signer la mort, mécaniquement dès 2021, même si aucune date d’entrée en vigueur précise n’a été indiquée. 

En ce début octobre, deux textes de la Cnil attirent l’attention pour les amateurs de cookies (en fait, tout le monde) :

  • une délibération n°2020-091 du 17 septembre 2020 portant adoption de lignes directrices relatives à l’application de l’article 82 de la loi du 6 janvier 1978 modifiée aux opérations de lecture et écriture dans le terminal d’un utilisateur (notamment aux « cookies et autres traceurs ») et abrogeant la délibération n° 2019-093 du 4 juillet 2019
  • une délibération n°2020-092 du 17 septembre 2020 portant adoption d’une recommandation proposant des modalités pratiques de mise en conformité en cas de recours aux « cookies et autres traceurs »

la-Cnil-attirent-l’attention-pour-les-amateurs-de-cookies Ces textes viennent remplacer la délibération n° 2019-093 du 4 juillet 2019 pour partie censurée par le Conseil d’Etat le 19 juin 2020 et viennent répondre aux exigences posées par l’article 82 de la Loi informatique et libertés. Pour rappel, l’article 82 impose que tout utilisateur d’un service de communication électronique soit informé de manière claire et complète par le responsable de traitement de la finalité de l’utilisation des données déjà stockées sur son terminal et des moyens dont il dispose pour s’y opposer afin de pouvoir donner son consentement au traitement envisagé.

La Cnil précise que les lignes directrices fixent les règles du jeu tandis que les recommandations, non prescriptives et non exhaustives, les complètent notamment par des exemples et bonnes pratiques de modalités concrètes du recueil du consentement et de mise en œuvre des traceurs non soumis au consentement.

S’agissant de leur objet, les textes élaborés par la Cnil visent les « traceurs  » et autres cookies  sur les « équipements terminaux de communication électronique », quel que soit l’environnement, qu’il s’agisse d’un « environnement logué ou non logué » et quels que soient les systèmes d’exploitation, les logiciels applicatifs (tels que les navigateurs) ou les terminaux utilisés.

S’agissant des sujets, la Cnil rappelle qu’il existe différents cas : responsable de traitement à sous-traitant ; responsable de traitement à responsabilité de traitement et responsabilité conjointe. Mais la Cnil ne donne pas véritablement d’exemples. Or dans le monde des cookies, les prestataires proposent des contrats et des qualifications juridiques totalement erratiques : pour les mêmes prestations, certains retiennent l’une, l’autre ou la troisième des solutions. De fait, la qualification est une situation qui doit être appréciée au cas d’espèce et la mise en œuvre des contrats adaptés suivra cette qualification.

1.Un régime normal vs. Un régime d’exception

Le régime dit « normal » est celui de l’obtention du consentement préalable. La Cnil abandonne les 3 régimes précédents entre cookies techniques, mesure d’audience et cookies dits intrusifs ou publicitaires.

Relèvent du régime d’exception les cookies permettant ou facilitant la communication par voie électronique ou encore strictement nécessaires à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. La Cnil dresse une liste non exhaustive de traceurs susceptibles d’être concernés, à savoir les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs, les traceurs destinés à l’authentification auprès d’un service, les traceurs destinés à garder en mémoire le contenu d’un panier d’achat sur un site marchand ou à facturer à l’utilisateur le ou les produits et/ou services achetés, …

A cette liste, la Cnil ajoute certains traceurs de mesure d’audience, sous réserve du respect des finalités telles que la mesure des performances, la détection de problèmes de navigation, l’optimisation des performances techniques ou de l’ergonomie, l’estimation de la puissance des serveurs nécessaires, l’analyse des contenus consultés, etc…

2.Les cookies relevant du régime d’exception

Bien que l’article 82 exclue purement et simplement les cookies dit « techniques » de son champ d’application, la Cnil impose un certain nombre de règles.

Dans ses recommandations, la Cnil relève bien que l’article 82 de la loi « Informatique et Libertés » n’impose pas d’informer les utilisateurs sur l’existence d’opérations de lecture et écriture non soumises au consentement préalable. Elle précise que « toutefois,  afin d’assurer une transparence pleine et entière sur ces opérations », il est recommandé que les utilisateurs soient également informés de l’existence de ces traceurs et de leur finalité en intégrant, par exemple, une mention les concernant dans la politique de confidentialité.

S’agissant plus spécifiquement des traceurs de mesure d’audience exemptés du recueil du consentement, la Cnil recommande également que les utilisateurs soient informés de la mise en œuvre de ces traceurs (par exemple via la politique de confidentialité du site ou de l’application mobile), que la durée de vie des traceurs soit limitée à une durée permettant une comparaison pertinente des audiences dans le temps, comme c’est le cas d’une durée de treize mois, et qu’elle ne soit pas prorogée automatiquement lors des nouvelles visites, que les informations collectées par l’intermédiaire de ces traceurs soient conservées pour une durée maximale de vingt-cinq mois et que les durées de vie et de conservation ainsi établies fassent l’objet d’un examen périodique.

3.Les cookies soumis au régime du consentement préalable

Il convient de distinguer les obligations liées à l’information et celles liées au consentement.

S’agissant des obligations relatives à l’information des personnes, il existe deux niveaux d’information : l’information de « premier niveau » et l’information de « second niveau »

L’information de premier niveau peut être courte tandis que la délivrance d’une information dite secondaire permet à l’internaute de disposer d’une page plus détaillée cookie par cookie. A ce titre, la Cnil préconise qu’un certain nombre d’informations soient diffusées, notamment s’agissant, de l’affichage de la publicité englobant différentes opérations techniques concourant à la même finalité, du plafonnement de l’affichage (parfois appelé « capping publicitaire »), de la fonction de lutte contre la « fraude au clic », etc.

Par ailleurs, la liste des responsables de traitement doit être exhaustive et mise à jour.

S’agissant maintenant des obligations relatives au consentement, aucun cookie ne doit être déposé avant le consentement tandis qu’il n’est pas acquis par le seul fait que l’internaute poursuivre sa navigation même si un bandeau d’information lui est présenté et qu’il ne peut être acquis par la validation de CGU.

Le responsable de traitement doit proposer au moins deux boutons ou interrupteur « slider » du type [tout accepter] et [tout refuser] et peut prévoir un troisième bouton [paramétrer mes cookies] ou toute forme équivalente. Par ailleurs, les « boutons » ou « slider » doivent être identiques (pas un plus visible que l’autre ou placer autrement) et compris de l’internaute lambda.

Le choix de l’utilisateur doit être conservé pendant toute sa navigation sur le site. Mieux encore, la Cnil recommande que le choix exprimé soit conservé pendant une certaine durée pour ne plus interroger le choix de l’utilisateur pendant un certain temps. Une durée de 6 mois est préconisée, bien que le contexte, la portée du consentement et les attentes des utilisateurs soient les critères clés de définition de la durée de conservation. Cependant, dans la mesure où le consentement peut être oublié par les personnes qui l’ont manifesté à un instant donné, la Cnil recommande de renouveler son recueil à des intervalles « appropriés ».

Par ces mesures, la Cnil annonce la mort des cookies car, sauf à être naïf, 99,99%  des internautes opteront pour l’option « tout refuser ». De fait, la Cnil tue toute l’industrie numérique de la publicité mais aussi tous les supports d’annonces, telle que la presse en ligne par exemple.

Au-delà de l’impact économique totalement inconsidéré on peut se poser la question de la légalité de ces dispositions. En effet, le RGPD définit précisément le terme de consentement comme «toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement ». Le texte est clair, le consentement, c’est le droit de dire « oui » et cela n’a jamais été l’obligation de dire « oui » ou « non ».

La Cnil finit de signer la mort des cookies en recommandant « fortement » que le consentement de l’utilisateur fasse l’objet d’un recueil sur l’ensemble des sites ou applications objets du suivi de navigation de l’utilisateur. Cette recommandation est justifiée, au sens de la Cnil, par la volonté de garantir la pleine conscience de son consentement à l’utilisateur. Cependant, le consentement sur l’ensemble de la navigation de ce dernier s’avère nécessairement fastidieux en pratique.

La Cnil va plus loin en estimant que l’utilisateur doit être averti de l’identité du ou des responsables de traitement avant de donner son consentement ou de refuser. Une liste exhaustive, régulièrement mise à jour, des différents responsables de traitement doit toujours être accessible aux utilisateurs avant et après le recueil de leur consentement. C’est ici une mesure qui nuit gravement à la confidentialité des relations contractuelles des entreprises. Pire encore, une telle pratique conduira, in fine, une atteinte grave à la concurrence.

4.Le cas particulier des cookies tiers

Lorsque les cookies sont sous le contrôle d’un tiers, dits « cookies tiers », ces derniers sont supposés relever de la responsabilité de celui qui les appose.

La Cnil rappelle la position du Conseil d’Etat du 6 juin 2018 qui retient que l’éditeur qui accepte des cookies de tiers doit s’assurer que les tiers respectent la loi. La Cnil pour sa part considère que le site d’accueil est le plus à même d’informer les personnes concernées.

5.Les mesures additionnelles pour « accroitre la transparence des traceurs »

La Cnil recommande, afin d’accroitre la transparence des traceurs, que les traceurs précédemment listés comme étant exemptés du recueil du consentement ne soient utilisés que pour une seule et même finalité afin que :

  • l’absence de consentement des utilisateurs soit sans effet sur l’usage de traceurs nécessaires à leur navigation,
  • que les noms des traceurs utilisés soient explicites et, dans la mesure du possible, uniformisés quel que soit l’acteur à l’origine de leur émission,
  • que le responsable de traitement n’ait pas recours à des techniques de masquage de l’identité de l’entité utilisant des traceurs tels que la délégation de sous-domaine
  • ou encore que les professionnels nomment le traceur permettant de stocker le choix des utilisateurs « eu-consent » en attachant à chaque finalité une valeur booléenne « vrai » ou « faux » mémorisant les choix effectués.

6.Contrôle de la mise en conformité par la Cnil

La recommandation ou les lignes directrices sur les cookies et autres traceurs ne font pas expressément mention d’une date d’entrée en vigueur. Pour autant, la Cnil publie sur son site une FAQ dédiée aux cookies mise à jour avec les nouveaux textes et annonce que les nouvelles dispositions feront l’objet d’une mise en conformité au cours de l’année 2021. De fait, la Cnil indique qu’elle ne contrôlera l’application de ces textes qu’à l’issue d’une période d’adaptation, à savoir 6 mois après leur publication au Journal Officiel. La recommandation et les lignes directrices étant parues le 02 octobre 2020 au Journal Officiel, le contrôle de la Cnil sur l’adaptation des nouvelles mesures ne débutera qu’à compter du 02 mars 2021.

Mais ne vous réjouissez pas trop vite ! La Cnil prévoit que son plan d’action comportera deux phases : la phase de contrôle débutant à compter du 02 mars 2021, mais également une phase actuelle pendant laquelle les actions de la Commission se concentreront sur le respect des principes issus de la recommandation de 2013. Des mesures correctrices et des sanctions pourront être appliquées pour non-respect des règles édictées depuis 2013 et maintenues dans les nouvelles lignes directrices.