Suite à la décision du Conseil d’État du 19 juin 2020 (voir notre alerte en anglais ici), la Commission nationale de l’informatique et des libertés (la « CNIL »), a publié le 1er octobre 2020 ses lignes directrices (les « Lignes Directrices »), abrogeant et remplaçant ses précédentes lignes directrices publiées le 4 juillet 2019 (les « Lignes Directrices 2019 ») et a adopté parallèlement ses recommandations proposant des modalités pratiques (« les Recommandations ») sur les cookies et autres traceurs (ensemble les « Cookies »).
Conformément à la modification de la position du Comité Européen de la Protection des Données (CEPD - voir notre alerte en anglais ici), ces Lignes Directrices apportent des précisions sur des mesures-clés pour les éditeurs de services et de contenus en ligne (les « Éditeurs ») telles que :
- L’évaluation au cas par cas de la licéité des « cookie walls » qui doivent comprendre dans tous les cas une information sur les conséquences du refus au paramétrage de Cookies - et qui remplace ainsi la prohibition générale ex ante contenue dans les Lignes Directrices 2019.
- La qualification du silence ou de l’inaction des personnes concernées comme constituant un refus au paramétrage de Cookies sur leur terminal ; et
- La qualification des entités ayant recours aux Cookies pour leurs propres finalités sur le site internet d’un Éditeur donné en tant que responsables conjoints de traitement en lien avec les dernières lignes directrices du CEPD publiées récemment (lignes directives n°07/2020 sur les notions de responsables de traitement et de sous-traitants et lignes directrices n°08/2020 sur le ciblage des utilisateurs de réseaux sociaux).
- Les conditions d’un consentement valable au dépôt de Cookies
-
- Donné librement
En tant que pierre angulaire de la validité du consentement, la liberté de choisir entre donner ou ne pas donner son consentement apparait en contradiction avec la pratique croissante des Éditeurs qui conditionnent l’accès à leurs sites à l’acceptation préalable de Cookies (communément appelée « cookie walls »)
Les Lignes Directrices 2019, qui avaient considéré de telles pratiques comme illicites par nature, ont été infirmées sur ce point particulier par le Conseil d’État qui a considéré qu’une telle prohibition allait au-delà de la lettre du Règlement Général sur la Protection des Données (RGPD). Les nouvelles Lignes Directrices se contentent d’indiquer que la réalisation d’une analyse au cas par cas sera nécessaire. Néanmoins, l’interprétation supranationale du CEPD laisse peu de place à l’imagination quant au résultat de cette analyse :
« Pour que le consentement soit donné librement, l'accès aux services et aux fonctionnalités ne doit pas être subordonné au consentement d'un utilisateur au stockage d'informations, ou à l'obtention de l'accès à des informations déjà stockées, dans l'équipement terminal d'un utilisateur (communément appelés cookie walls) ».
Lignes directrices du CEPD n°05/2020, Section 39, p. 12
Il est donc conseillé aux Éditeurs d’éviter d’avoir recours à de telles pratiques ou, à tout le moins, de documenter la justification nécessitant le recours à de tels cookie walls.
- Spécifiquement pour des finalités déterminées
Regrouper ensemble consentement et acceptation de conditions générales d’utilisation d’un site internet, ou même regrouper ensemble plusieurs finalités incompatibles et sans lien entres elles, irait à l’encontre même du principe de spécificité du consentement.
Par conséquent, les Éditeurs devront exposer à leurs utilisateurs chacune des finalités et obtenir un consentement pour chacune d’entre elles individuellement. Cependant, à condition que de telles options individuelles soient disponibles, rien n’empêche d’inclure également une option « Tout Accepter ».
- Une information claire et concise
Les Lignes Directrices réitèrent la recommandation du RGPD d’utiliser un langage simple et compréhensible afin d’informer les individus sur la nature et les finalités des Cookies, et d’éviter tout jargon juridique ou technique. À cette fin, la CNIL invite les acteurs à se rassembler pour concevoir des interfaces standardisées fonctionnant de la même manière et utilisant un vocabulaire uniformisé pour l’écosystème. Encore une fois, en lien avec l’arrêt Schrems II du 16 juillet 2020 qui a ouvert la voie aux Codes de Conduite (voir notre alerte en anglais ici), la CNIL fait la part belle à un rôle accru à l’autorégulation s’agissant des Cookies.
La CNIL a énuméré l’information minimale à fournir aux individus avant de demander leur consentement, afin qu’il soit valable :
- L’identité du ou des responsables de traitement ;
- La finalité des Cookies ;
- La manière d’accepter ou de refuser les Cookies ;
- Les conséquences attachées à leur refus ou acceptation ; et
- Le droit de retirer le consentement donné à tout moment.
La CNIL a également invité les Éditeurs à fournir ces détails principaux au moment du premier niveau d’information fournie aux individus dans un court paragraphe :
« Si le ou les traceurs sont utilisés afin d’afficher de la publicité personnalisée, cette finalité peut être décrite de la manière suivante : « Publicité personnalisée : [nom du site / de l’application] [et des sociétés tierces / nos partenaires] utilise / utilisent des traceurs afin d’afficher de la publicité personnalisée en fonction de votre navigation et de votre profil »
L’exhaustivité de cette liste, ainsi que son langage simple, compréhensible et sa transparence devraient inciter les Éditeurs à mettre en place une politique dédiée aux Cookies distincte de leur charte de vite privée plus générale.
- Le caractère univoque du consentement
De façon inchangée par rapport aux Lignes Directrices 2019 et conformément à la position du CEPD, la CNIL se refuse à considérer que la poursuite de la navigation sur un site internet puisse matérialiser un consentement valable. En outre, la CNIL a complété ce renversement de sa position d’avant 2019 en s’appuyant sur une décision rendue par la Cour de Justice de l’Union Européenne plus tard la même année (CJUE, 1er Octobre 2019, C-673/17, Planet 49) pour souligner que l’utilisation de cases pré-cochées ne pouvaient constituer un consentement valable.
Cependant, l’autorité de protection des données va plus loin : quand bien même il apparaissait suffisant de considérer qu’aucun consentement valide n’aurait pu être collecté en utilisant de tels moyens (et que dans le cas où un tel consentement était requis aucun traitement ne pouvait être mis en œuvre) - la CNIL souligne qu’un tel silence ou inaction doit être perçu comme un refus au paramétrage de Cookies sur le terminal de l’utilisateur, entrainant ainsi l’obligation pour les Éditeurs de conserver la trace d’un tel refus.
Enfin, compte tenu de l’état actuel de la technique, le consentement ne peut être déduit des paramètres du navigateur, compte tenu de l’insuffisance générale d’information fournie directement par ce dernier, et dans la mesure où ces paramétrages ne permettent pas aux utilisateurs de distinguer parmi les différentes finalités des Cookies.
- Éditeurs et tiers : des amis/ennemis pour la vie ?
La CNIL a également saisi l’opportunité d’exprimer son opinion sur le rôle respectif de chacun des intervenants dans la chaîne de paramétrage et de stockage de Cookies sur le terminal d’un utilisateur :
- Les Éditeurs utilisant des Cookies doivent être considérés comme des responsables de traitement, quand bien même ils utilisent des tiers pour la gestion des Cookies pour leur propre compte ; et
- Les autres entités (par exemple les réseaux publicitaires) utilisant des Cookies doivent déterminer leur propre statut s’agissant des traitements mis en œuvre sur le site internet de l’Éditeur soit en tant que :
- Responsables de traitement lorsqu’ils utilisent des Cookies pour leur propre compte sur des sites internet de tiers, comme ceux des Éditeurs. Dans une telle hypothèse, les deux acteurs devront être considérés comme des responsables conjoints et devront décider comment le consentement pourra être reçu et en conserver la preuve; ou
- Sous-traitant lorsqu’ils utilisent des Cookies pour le compte d’un tiers.
- Dans ces deux hypothèses, qu’il s’agisse de responsables conjoints de traitement (Article 26 RGPD) ou de sous-traitants (Article 28 RGPD), un accord contractuel spécifique sera requis conformément au RGPD.
S’agissant de la transparence de l’information fournie aux individus, la CNIL recommande de lister l’ensemble des responsables de traitement impliqués et leurs rôles respectifs avec un lien renvoyant vers leurs politiques de confidentialité respectives. Cette liste devra apparaitre au premier niveau d’information de la bannière Cookie.
- Prouver le consentement
Dans le cadre du principe de démonstration de la conformité (accountability framework) du RGPD, les responsables de traitement doivent être en mesure de prouver que l’individu a effectivement donné un consentement valide au paramétrage de Cookies. Outre le processus de recueil du consentement, les choix des individus devront également être conservés.
La CNIL recommande désormais que les choix des utilisateurs soient conservés pendant une certaine durée, déterminée au cas par cas en fonction de la nature du site internet ou de l'application et des spécificités de son audience, ce consentement devant être renouvelé à intervalles réguliers.
Auparavant, la CNIL fonctionnait sur une base harmonisée de treize mois. Cependant, la nouvelle recommandation sur le renouvellement du consentement a été abaissée à six mois, sans préjudice de la période de conservation.
Ce processus de renouvellement répond à un double objectif : (i) rappeler aux personnes concernées le consentement qu'elles ont initialement donné et confirmer qu'il reste valable, mais aussi (ii) permettre aux Éditeurs d'essayer d'obtenir un consentement qui aurait pu être initialement refusé. La très répandue bannière de consentement qui apparaît à chaque nouvelle visite devrait donc bientôt disparaître.
En tout état de cause, le consentement doit pouvoir être retiré aussi facilement qu'il a été initialement donné, à tout moment et gratuitement. À cette fin, la CNIL recommande d'utiliser un lien vers un mécanisme de recueil du consentement avec une description telle que « Gérer mes Cookies », « Module de gestion des Cookies » ou encore tout simplement « Cookies ».
- Les cookies exempts de consentement : une lueur d’espoir ?
La CNIL a également mis à jour sa liste des Cookies exempts de consentement, comme suit :
- Les Cookies conservant le choix exprimé par les utilisateurs sur le dépôt de Cookies ;
- Les Cookies destinés à l’authentification auprès d’un service, y compris ceux visant à assurer la sécurité du mécanisme d’authentification ;
- Les Cookies destinés à garder en mémoire le contenu d’un panier d’achat ou aux fins de facturation ;
- Les Cookies de personnalisation de l'interface utilisateur (par exemple, pour le choix de la langue ou de la présentation d’un service), lorsqu’une telle personnalisation constitue un élément intrinsèque et attendu du service ;
- Les Cookies permettant l'équilibrage de la charge des équipements concourant à un service de communication ; or
- Les Cookies de paywall permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et sur une période limitée) ;
S’agissant des Cookies de mesure d’audience, la CNIL a précisé qu’ils ne nécessitaient pas systématiquement le consentement préalable de l’utilisateur tant qu’ils sont uniquement utilisés pour mesurer l’audience d’un site internet ou d’une application, et à condition que ces Cookies :
- ne permettent pas le suivi de la navigation des utilisateurs à travers plusieurs sites internet ou applications ; ou
- ne peuvent être utilisés que pour produire des données statistiques anonymes et à condition que les données à caractère personnel collectées ne puissent être recoupées ou transmises à des tiers.
Lorsque des Cookies tiers sont utilisés pour suivre la navigation de l’utilisateur au-delà du site internet ou de l’application initiale, la CNIL souligne la nécessité de collecter le consentement pour chacun de ces sites internet et applications ultérieurs.
Les Éditeurs et l’écosystème AdTech ont jusqu’à fin mars 2021 pour mettre en œuvre ces nouvelles exigences et être en conformité avec elles. L’équipe Data Protection de K&L Gates France se tient à votre disposition pour vous assister à chaque étape du processus.
Claude-Étienne Armingaud, Lucile Rolinet et Laure Comparet, K&L Gates