Nouvelles lignes directrices de la CNIL sur les cookies
La CNIL reçoit de nombreuses plaintes individuelles et collectives (La Quadrature du Net, Privacy International, NOYB) relatives au marketing en ligne. En 2018, 21 % des plaintes reçues concernaient le marketing au sens large.
Dans le même temps, les professionnels du secteur du marketing en ligne et leurs représentants cherchent à mieux comprendre leurs obligations issues notamment du règlement général sur la protection des données (RGPD).
Dans l’attente de l’adoption du nouveau règlement E-Privacy, la CNIL vient d’adopter de nouvelles lignes directrices.
Droit actuellement applicable
Le secteur du marketing en ligne est soumis à deux règlementations posant des conditions exigeantes, notamment en matière de consentement : le RGPD et les textes nationaux pris pour la transposition de la Directive de 2002, modifiée en 2009, sur la protection de la vie privée dans le secteur des communications électroniques (dite « ePrivacy »).
L’article 82 de la Loi « Informatique et Libertés » transpose en droit français la directive 2002/58/CE « vie privée et communications électroniques » (ou « ePrivacy ») :
« Tout abonné ou utilisateur d’un service de communications électroniques doit être informé de manière claire et complète, sauf s’il l’a été au préalable, par le responsable du traitement ou son représentant :
1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
2° Des moyens dont il dispose pour s’y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu’à condition que l’abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle.
Ces dispositions ne sont pas applicables si l’accès aux informations stockées dans l’équipement terminal de l’utilisateur ou l’inscription d’informations dans l’équipement terminal de l’utilisateur :
1° Soit, a pour finalité exclusive de permettre ou faciliter la communication par voie électronique ;
2° Soit, est strictement nécessaire à la fourniture d’un service de communication en ligne à la demande expresse de l’utilisateur. »
Cet article exige donc, sauf exception, de recueillir le consentement des utilisateurs avant toute opération d’écriture ou de lecture de cookies et autres traceurs.
Avec l’entrée en application du règlement général sur la protection des données (RGPD) le 25 mai 2018, les exigences en matière de consentement ont été renforcées.
Le RGPD définit le consentement comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l’objet d’un traitement. ».
L’article 7 du RGPD prévoit les conditions suivantes de consentement :
« 1. Dans les cas où le traitement repose sur le consentement, le responsable du traitement est en mesure de démontrer que la personne concernée a donné son consentement au traitement de données à caractère personnel la concernant.
2. Si le consentement de la personne concernée est donné dans le cadre d’une déclaration écrite qui concerne également d’autres questions, la demande de consentement est présentée sous une forme qui la distingue clairement de ces autres questions, sous une forme compréhensible et aisément accessible, et formulée en des termes clairs et simples. Aucune partie de cette déclaration qui constitue une violation du présent règlement n’est contraignante.
3. La personne concernée a le droit de retirer son consentement à tout moment. Le retrait du consentement ne compromet pas la licéité du traitement fondé sur le consentement effectué avant ce retrait. La personne concernée en est informée avant de donner son consentement. Il est aussi simple de retirer que de donner son consentement.
4. Au moment de déterminer si le consentement est donné librement, il y a lieu de tenir le plus grand compte de la question de savoir, entre autres, si l’exécution d’un contrat, y compris la fourniture d’un service, est subordonnée au consentement au traitement de données à caractère personnel qui n’est pas nécessaire à l’exécution dudit contrat. »
Dans l’attente du futur règlement « vie privée et communications électroniques », autrement appelé « E-privacy » actuellement en discussion au niveau européen, la CNIL a abrogé ses anciennes lignes directrices de 2013 sur les cookies et adopté de nouvelles lignes directrices en phase avec les nouvelles dispositions du RGPD. D’ici la fin de l’année, elle devrait également publier une nouvelle recommandation sur le recueil du consentement, pour consultation publique.
Recueil du consentement
Consentement libre : la pratique qui consiste à bloquer l’accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (« cookie walls ») n’est pas conforme au RGPD. La CNIL rappelle que la personne concernée doit être en mesure de donner son consentement de façon indépendante et spécifique pour chaque finalité distincte. A ce titre, l’acceptation globale de conditions générales d’utilisation ne peut être une modalité valable de recueil du consentement, dans la mesure où celui-ci ne pourra être donné de manière distincte pour chaque finalité.
Consentement éclairé : l’information doit être rédigée en des termes
simples et compréhensibles pour tous, et elle doit permettre aux utilisateurs
d’être parfaitement informés des différentes finalités des traceurs utilisés.
La CNIL rappelle que l’information doit être complète, visible, et mise en
évidence au moment du recueil du consentement. Un simple renvoi vers les
conditions générales d’utilisation ne saurait suffire.
Consentement univoque : le consentement doit se manifester par le biais d’une action positive de la personne préalablement informée des conséquences de son choix et disposant des moyens de l’exercer. La CNIL souligne que le fait de continuer à naviguer sur un site web, d’utiliser une application mobile ou bien de faire défiler la page d’un site web ou d’une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable. De même, l’utilisation de cases pré-cochées, tout comme l’acceptation globale de conditions générales d’utilisation, ne peuvent être considérées comme un acte positif clair visant à donner son consentement.
Preuve du consentement
L’article 7 du RGPD impose que la preuve du consentement puisse être apportée, ce qui signifie que les organismes exploitant des traceurs doivent mettre en œuvre des mécanismes leur permettant de démontrer, à tout moment, qu’ils ont valablement recueilli le consentement des utilisateurs.
Dans la situation où ces organismes ne recueillent pas eux-mêmes le consentement des personnes, la CNIL rappelle qu’une telle obligation ne saurait être remplie par la seule présence d’une clause contractuelle engageant l’une des organisations à recueillir un consentement valable pour le compte de l’autre partie.
Retrait du consentement
La CNIL rappelle qu’il doit être aussi facile de refuser ou de retirer son consentement que de le donner.
Cela signifie notamment que les personnes ayant donné leur consentement à l’utilisation de traceurs doivent être en mesure de le retirer à tout moment.
Responsabilités
La responsabilité du sous-traitant et le concept de co-responsable de traitement ont été introduits avec le RGPD.
La CNIL précise donc que, lorsque plusieurs acteurs contribuent à la réalisation des opérations de lecture ou écriture visées par ses lignes directrices (par exemple un éditeur de site web et une régie publicitaire déposant des cookies lors de la consultation du site web), ces acteurs peuvent être considérés comme responsables de traitement « uniques », responsables conjoints ou comme sous-traitants :
- Dans certains cas, les tiers ayant recours à des traceurs seront pleinement et indépendamment responsables des traceurs qu’ils mettent en œuvre, ce qui signifie qu’ils devront assumer indépendamment l’obligation de recueillir le consentement des utilisateurs.
- Dans le cas d’une responsabilité conjointe, dans laquelle les responsables déterminent conjointement les finalités et les moyens du traitement, la CNIL rappelle qu’aux termes de l’article 26 du RGPD, ils devront définir de manière transparente leurs obligations respectives aux fins d’assurer le respect des exigences du RGPD, en particulier en ce qui concerne le recueil et la démonstration, le cas échéant, d’un consentement valable.
- Enfin, est qualifié de sous-traitant un acteur qui inscrit des informations et/ou accède à des informations stockées dans l’équipement terminal d’un abonné ou d’un utilisateur, exclusivement pour le compte d’un responsable de traitement et sans réutilisation pour son propre compte des données collectées via le traceur. La CNIL rappelle que si une relation de sous-traitance est établie, le responsable de traitement et le sous-traitant doivent établir un contrat ou un autre acte juridique précisant les obligations de chaque partie, dans le respect des dispositions de l’article 28 du RGPD.
Pour se mettre en conformité avec ces nouvelles règles, la CNIL accorde un délai de 6 mois aux opérateurs, tout en précisant que cette période d’adaptation ne l’empêchera pas de contrôler pleinement le respect des autres obligations qui n’ont fait l’objet d’aucune modification et, le cas échéant, d’adopter des mesures correctrices pour protéger la vie privée des internautes. En particulier, selon la CNIL, les opérateurs doivent respecter le caractère préalable du consentement au dépôt de traceurs, laisser la possibilité d’accéder au service même en cas de refus de consentir, et fournir un dispositif de retrait du consentement facile d’accès et d’usage.