Mise au point de la CNIL sur les Cookies : beaucoup de travail pour les éditeurs de sites

1 - Lorsque vous consultez un site internet, un certain nombre de fichiers vont s’installer sur votre ordinateur, votre smartphone, ou sur tout autre appareil connecté au réseau internet (smart TV, objets connectés, assistants vocaux, etc.).

Ces fichiers sont classés en deux grandes catégories, selon qu’ils sont nécessaires au fonctionnement du site internet consulté ou non. Dans cette dernière hypothèse, les cookies peuvent par exemple permettre d’établir des statistiques de fréquentation ou de collecter les données à des fins publicitaires.

Depuis l’entrée en vigueur du Règlement Européen sur la Protection des Données (RGPD), l’affichage intempestif de bannières plus ou moins complexes s’est clairement généralisé sur internet.

Ces bannières sont en réalité destinées à informer et à recueillir le consentement de l’internaute pour le dépôt, sur son terminal, de cookies qui ne sont pas strictement nécessaires au fonctionnement du site consulté conformément aux dispositions de la loi informatique et libertés, du RGPD et de la Directive ePrivacy.

La CNIL vient de publier, le 17 septembre 2020, une délibération spécifique ainsi qu’une recommandation au sujet des cookies et autres traceurs. 

Cette documentation est censée expliciter la règlementation et proposer les modalités pratiques d’un recueil de consentement conforme et, le moins que l’on puisse dire, c’est que la grande majorité des éditeurs de sites internet vont devoir sérieusement revoir leur copie, la CNIL leur accordant un ultime délai de six mois pour se mettre en conformité.

2 - La documentation de « droit souple » publiée par la CNIL est en réalité quasi identique au projet de recommandation « cookies et autres traceurs » soumis à consultation publique au mois de janvier dernier :

• L’information sur les finalités de chaque cookie doit être formulée en langage intelligible clair et adapté, la CNIL proposant une liste de modèles envisageables ;
• Le consentement de l’internaute doit se manifester par un acte positif clair. Les cases pré-cochées, l’information noyée dans les CGU ou le consentement obtenu par simple poursuite de la navigation sur un site internet sont sans surprise définitivement exclus ;
• Au contraire, la CNIL exige désormais l’utilisation de cases à cocher ou de « sliders », désactivés par défaut, associés à des mentions d’information ne nécessitant « pas d’effort de concentration ou d’interprétation » (les intéressés apprécieront…) ;
• Le consentement doit en outre être libre, de sorte que chaque internaute doit pouvoir accepter ou refuser les cookies non nécessaires, globalement ou non. A cet égard, on relèvera qu’il doit être aussi simple de refuser que d’accepter les cookies, sur le même niveau d’information. 
• Enfin, si le choix exprimé par l’internaute doit être temporairement enregistré par le site, le consentement doit pouvoir être retiré à tout moment par le biais d’un module de gestion des cookies accessible à tout moment sur le site.

3 - Si la position de la CNIL ne surprendra pas les initiés, les éditeurs de sites et applications mobiles vont être contraints d’investir dans des dispositif adéquats et conformes aux dernières recommandations.

Les éditeurs avisés s’assureront en particulier que les options « tout accepter », « tout refuser » et « personnaliser mes choix » soient affichées dès le premier niveau du bandeau d’information, dont le libellé devra être compris par tous les internautes. 

Nous rappellerons également qu’en application de l’article 7.1 du RGPD, chaque éditeur doit être en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’internaute.

L’objectif de la CNIL est clair : uniformiser au maximum les dispositifs de recueil des consentements, au risque de bousculer quelque peu les logiques économiques de certains éditeurs…

La CNIL dispose d’ailleurs d’un arsenal de sanctions très dissuasif lui permettant notamment de prononcer des amendes particulièrement lourdes, dont le montant est fixé en fonction des manquements constatés et de leur degré de gravité (la CNIL a par exemple prononcé, avant l’entrée en vigueur du RGPD, une sanction pécuniaire de 150.000 euros en la matière). 

Pour rappel, les amendes administratives en cas de manquement aux conditions applicables au consentement sont désormais plafonnées à 20.000.000 d’euros ou 4 % du chiffre d'affaires annuel mondial total en application de l’article 83.5 du RGPD.

LEXYMORE propose à ses clients des procédures simples et rapides d’audit de leurs dispositifs de recueil des consentements sur internet et de mise en conformité.

N’hésitez pas à nous contacter !