Le Comité européen de la protection des données (CEPD), qui fédère l’ensemble des Cnil européennes, vient d’adopter une position commune sur les plaintes concernant les « bandeaux cookies », ces pop-up mis en place par les éditeurs sur leurs sites web pour accepter ou refuser les cookies. Alexandra Iteanu, avocat à la Cour (Numérique, Cybersécurité et Data), nous livre son analyse.

Au départ discrètes, aujourd’hui omniprésentes, voire jugées « dérangeantes » par les visiteurs, les bannières de cookies (¹) fleurissent sur les sites web. Cette pratique est une obligation légale, imposée par la Directive e-Privacy (²), transposée à l’article 82 de la loi Informatique et Libertés (³) et qui impose aux éditeurs de sites web d’informer et d’obtenir le consentement des visiteurs avant tout dépôt de cookies sur leurs terminaux.

Face aux interprétations « minimalistes » de certains éditeurs de sites – bannière de cookie avec un consentement par défaut, voire un consentement réputé acquis si l’on continue notre navigation – la Cnil française a décidé de mettre à jour ses recommandations initiales de 2013, en publiant le 17 septembre 2020 de nouvelles lignes directrices (⁴).

A lire aussi : Données personnelles : la Cnil exige de l’équité sur les cookies et menace

Depuis lors, les règles posées sont plus claires :

• la simple poursuite de la navigation sur un site ne peut plus être considérée comme une expression valide du consentement de l’internaute ;
• les personnes doivent consentir au dépôt des cookies par un acte positif clair, via un bouton « j’accepte » par exemple ;
• Il doit être aussi simple d’accepter que de refuser le dépôt des cookies ;
• Ou encore il est obligatoire d’informer clairement les visiteurs des finalités des traceurs avant d’y consentir, ainsi que de l’identité de tous les acteurs utilisant les traceurs soumis au consentement.

Le délai pour se mettre en conformité fixé par la Cnil était le 31 mars 2021.

Depuis lors, la Cnil française a fait de la réglementation cookie son cheval de bataille. Dans son rapport de 2021, 135 mises en demeures ont été envoyées concernant les cookies et autres traceurs, soit 65 % des mises en demeures totales sur l’année. Le réseau social TikTok a dans ce contexte était sanctionné fin décembre 2022 pour un montant total de 5 millions d’euros, pour deux raisons principales : les utilisateurs de « tiktok.com » ne pouvaient pas refuser les cookies aussi facilement que les accepter et ils n’étaient pas informés de façon suffisamment précise des objectifs des différents cookies (⁵).

Le 9 août 2022, c’est au tour de l’association de Max Schrems (Noyb), de croquer dans les « cookies » en déposant plusieurs centaines de plaintes, auprès de 18 autorités de régulation en Europe, contre des sites web dont la bannière cookies ne serait selon elle pas conforme au RGPD.

Le 18 janvier 2023, et en réaction aux plaintes de l’association Noyb, le CEPD publie un rapport (⁶) dans lequel les autorités de protection européennes livrent leurs interprétations sur la réglementation Cookie. Ce document de huit pages traite principalement des bannières de cookies et des modalités d’acceptation et de refus à leur dépôt, de la question de l’intérêt légitime pour le consentement à des fins de personnalisation, et du design des bannières.

La plupart des recommandations énoncées dans le rapport, étaient déjà préconisées par la Cnil, c’est le cas notamment des affirmations suivantes :

• l’obligation pour les éditeurs de sites web de mettre en place un bouton de « refus »/« rejet » sur leur bannière de cookie, au même niveau que le bouton « accepter » ;
• l’opt-out n’est pas accepté, autrement dit, une case pré-cochée n’est pas un consentement valide pour le dépôt des cookies ;
• ou encore la possibilité doit être offerte aux visiteurs de pouvoir retirer leur consentement à tout moment.

D’autres thématiques non traitées par la Cnil sont tout de même évoquées : l’éditeur de site web ne peut plus se fonder sur son « intérêt légitime » pour déposer des cookies à des fins de publicité ciblées, ou encore le fait qu’un lien hypertexte pour refuser le consentement n’est pas considéré comme valide.

En conclusion, les directives de la Cnil française de 2020 précisaient déjà bon nombre des recommandations rappelées dans ce rapport du 18 janvier par les Cnil européennes. Cette position européenne est une première en matière de réglementation de cookies, et nous ne pouvons que saluer cette initiative qui a le mérite de guider et de clarifier les textes législatifs, qui ne sont pas toujours simples à interpréter.

 

(1) Les cookies sont des fichiers stockés par un serveur dans le terminal (ordinateur, téléphone, etc.) d’un utilisateur et associé à un domaine web.

[2) Article 5(3) directive 2002/58/CE modifiée en 2009

(3) Loi n°78-17 du 6 janvier 1978

(4) Délibération n° 2020-092 du 17 septembre 2020

(5) Délibération SAN-2022-027 du 29 décembre 2022

(6) “Report of the work undertaken by the Cookie Banner Taskforce”