Cookies et autres traceurs : la nouvelle doctrine de la CNIL
Cookies dealer
Le 01 octobre 2020 à 07h57
12 min
Droit
Droit
Ce 1er octobre, la CNIL publie ses lignes directives modifiées et sa recommandation sur la question sensible du pistage en ligne, fruit d'une consultation publique. Explications détaillées.
Le chantier de la régulation des cookies et autres traceurs gagne une nouvelle étape à la Commission nationale sur l’informatique et les libertés (CNIL). Un chantier ouvert en 2013, relancé en 2018 puis monté en puissance en 2019 pour être modifié en 2020 après un arrêt du Conseil d’État.
L’installation et la lecture de solutions de pistage sur un terminal sont régulées par la directive ePrivacy de 2002. Le texte exige le consentement préalable de l’internaute, tout en renvoyant la définition de ce concept à la législation européenne relative aux données personnelles. Une législation qui a bougé avec le temps.
Avant le RGPD, elle se satisfaisait d’un consentement implicite. Voilà pourquoi, dans une délibération de 2013, la CNIL estima que la poursuite de la navigation sur un site valait accord de l’internaute à l’installation de ces mouchards publicitaires. Une aubaine pour les professionnels du marketing et autres géants du Net. Une moins bonne affaire pour les internautes soucieux de leur vie privée.
Avec le RGPD du 25 mai 2018, le consentement ne peut plus être implicite. Son article 4 définit cette expression comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ». Un acte « positif » n’est pas un acte déduit, mais l’expression réelle d’un accord.
Changement de règne, changement de règle.
Sauf que... la CNIL a publié le 4 juillet 2019 ses lignes directrices, soit une série de faisceaux lumineux destinés à éclairer les pas des acteurs de la publicité en ligne. Elle a confirmé ces règles tout en offrant une période transitoire pour que ces professionnels « aient le temps de se conformer aux principes qui divergent de la précédente recommandation ». Alors même que le RGPD avait été publié au Journal officiel de l’UE en... 2016.
Ceux des acteurs qui respectaient la délibération de 2013 se sont vu offrir un répit d’un an, au titre de l’exigence juridique de prévisibilité. Ils avaient donc jusqu'à cet été.
Deux arrêts du Conseil d’État
Cette tolérance avait été combattue par la Quadrature du Net devant le Conseil d’État. En octobre 2019, celui-ci a toutefois conforté cette doctrine rappelant le large pouvoir d’appréciation de la CNIL et au motif « que l’exercice du pouvoir de sanction ne serait, en tout état de cause, pas susceptible de faire respecter plus rapidement » le respect de la nouvelle législation. L’épisode a connu un autre rebondissement.
Le Conseil d’État est à nouveau intervenu le 19 juin 2020 pour supprimer l’un des volets de ces lignes qui prohibaient sans nuance le « cookie wall ». « La CNIL estimait en particulier que l’accès à un site internet ne pouvait jamais être subordonné à l’acceptation des cookies », résume l’autorité.
La juridiction administrative a toutefois censuré ce passage considérant que la commission avait « excédé ce qu’elle peut légalement faire, dans le cadre d’un instrument de droit souple ».
Aujourd’hui, la CNIL publie donc ses nouvelles lignes directrices, abrogeant celles du 4 juillet 2019, et complétées par une recommandation « proposant des modalités pratiques de mise en conformité en cas de recours aux cookies et autres traceurs ». Des pistes « non prescriptives et non exhaustives » suivant une consultation publique.
Un nouveau cadre très vaste
Elles concernent à nouveau tous les traceurs lus et écrits dans les terminaux. Une définition interprétée très largement puisque cela concerne des pratiques comme les cookies http, « local shared objects », « local storage », « fingerprinting », les identifiants comme les adresses MAC des matériels, etc.
La notion de terminal est elle-même très ample : « une tablette, un ordiphone ("smartphone"), un ordinateur fixe ou mobile, une console de jeux vidéo, une télévision connectée, un véhicule connecté, un assistant vocal, ainsi que tout autre équipement terminal connecté à un réseau de télécommunication ouvert au public ».
Ces lignes gagnent encore en surface puisqu’elles visent des opérations portant sur n’importe quel type de données, qu’elles « soient à caractère personnel ou non ». Une précision inspirée de la jurisprudence de la Cour de justice de l’Union européenne dans un arrêt du 1er octobre 2019 qui avait estimé que la législation ePrivacy a pour mission de « protéger l’utilisateur de toute ingérence dans sa vie privée, indépendamment du point de savoir si cette ingérence concerne ou non des données à caractère personnel ». La CNIL ajoute que lorsque la donnée est personnelle, le RGPD doit s’appliquer dans toute sa rigueur.
Le cadre posé, vient la question des modalités du recueil du consentement. La Commission répète que « les traceurs nécessitant un recueil du consentement ne peuvent, sous réserve des exceptions prévues par ces dispositions, être utilisés en écriture ou en lecture qu’à condition que l’utilisateur ait manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque, par une déclaration ou par un acte positif clair ».
Autant de points détaillés ensuite dans sa littérature.
Another brick in the Cookie Wall
Elle relève déjà que le consentement doit être donné librement et afin de tenir compte de la jurisprudence du Conseil d’État, prévient que « le fait de subordonner la fourniture d’un service ou l’accès à un site web à l’acceptation d’opérations d’écriture ou de lecture sur le terminal de l’utilisateur (pratique dite de « cookie wall ») est susceptible de porter atteinte, dans certains cas, à la liberté du consentement ». Ce sera donc apprécié au cas par cas.
Cette prudence devrait passer entre les griffes de la juridiction administrative. L’autorité ajoute que l’utilisateur devra bénéficier d’une information préalable sur les conséquences de ses choix « et notamment l’impossibilité d’accéder au contenu ou au service en l’absence de consentement ».
Autre mise au clair, lorsqu’une multitude de traitements est envisagée par un site, la CNIL invite chaudement son responsable à opter pour un système d’acceptation par finalité, au risque d’égratigner la liberté de choix de l’internaute. Dans la recommandation, néanmoins, elle juge possible de proposer des boutons d’acceptation et de refus globaux (« tout accepter » et « tout refuser », « j’autorise » et « je n’autorise pas », « j’accepte tout » et « je n’accepte rien ») permettant de consentir ou refuser en une seule action à plusieurs finalités.
Consciente des pièges du design, elle recommande « de ne pas induire en erreur les utilisateurs » avec des interfaces trompeuses, celles « laissant penser aux utilisateurs que leur consentement est obligatoire ou qui mettent visuellement plus en valeur un choix plutôt qu’un autre ». Une pratique malheureusement courante.
Un consentement accompagné de nombreuses informations
De même, elle refuse que le consentement soit noyé dans les conditions générales d’utilisation : « Le consentement à ces opérations ne peut être valablement recueilli via une acceptation globale de conditions générales d’utilisation », sauf à porter atteinte au caractère spécifique de ce consentement.
Il doit être épaulé par une information préalable, « rédigée en des termes simples et compréhensibles par tous » et permettant « aux utilisateurs d’être dûment informés des différentes finalités des traceurs utilisés ». Dit autrement, pas de terminologie juridique ou technique trop complexe « susceptible de rendre incompréhensible cette information par les utilisateurs ». Dans le même ordre d’idée, « l’information doit être complète, visible et mise en évidence. Un simple renvoi vers les conditions générales d'utilisation ne saurait suffire ».
Cette information doit comprendre a minima les points suivants :
- « L’identité du ou des responsables de traitement des opérations de lecture ou écriture ; »
- « La finalité des opérations de lecture ou écriture des données ; »
- « La manière d’accepter ou de refuser les traceurs ; »
- « Les conséquences qui s’attachent à un refus ou une acceptation des traceurs ; »
- « L’existence du droit de retirer son consentement »
Les sites devront soigner ce chapitre : « ainsi, la liste exhaustive et à jour [des responsables de traitement et des responsables conjoints] doit être rendue accessible de façon simple aux utilisateurs ». Elle avertit que la fameuse liste doit être mise à disposition des utilisateurs de manière permanente, « à un endroit aisément accessible à tout moment sur le site web ou l’application mobile ».
L’éditeur d’un site qui dépose des traceurs est un responsable de traitement, tout comme les tiers « qui utilisent des traceurs sur un service édité par un autre organisme, par exemple en déposant des traceurs à l’occasion de la visite du site d’un éditeur, dès lors qu’ils agissent pour leur propre compte ».
Et s’agissant des finalités, la Commission demande à ce que « chaque finalité soit mise en exergue dans un intitulé court et mis en évidence, accompagné d’un bref descriptif ». Elle fournit plusieurs exemples : « Publicité personnalisée : [nom du site / de l’application] [et des sociétés tierces / nos partenaires] utilise / utilisent des traceurs afin d’afficher de la publicité personnalisée en fonction de votre navigation et de votre profil ».
La poursuite de la navigation ne vaut pas consentement
La CNIL rappelle que « continuer à naviguer sur un site web, à utiliser une application mobile ou bien faire défiler la page d’un site web ou d’une application mobile ne constitue pas des actions positives claires assimilables à un consentement valable ».
Elle s’appuie également sur la jurisprudence de la CJUE, dans l’affaire Planet49 du 1er octobre 2019 : pas de cases précochées. « En l’absence de consentement exprimé par un acte positif clair, l’utilisateur doit être considéré comme ayant refusé l’accès à son terminal ou l’inscription d’informations dans ce dernier ».
À ce titre, l’expression du refus de l’utilisateur ne doit pas davantage nécessiter de démarche de la part de l’internaute. Elle doit même « pouvoir se traduire par une action présentant le même degré de simplicité que celle permettant d’exprimer son consentement ». Elle propose d’utiliser un lien accessible à tout moment depuis le site ou le service concerné, histoire que le refus soit aussi facilement exprimé que l’acceptation.
Le RGPD s’appuyant sur une logique d’« accountability », les responsables de traitement doivent toujours être « en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur ». Sauf à subir une possible sanction.
Pas de renvoi dans les paramètres du navigateur
Autre détail fourni, l’article 82 de la loi CNIL prévient que la question du consentement peut également être traitée dans les paramètres du navigateur. Seulement, la commission estime encore à ce jour que ces paramètres ne sont pas assez fins en l’état de développement de ces logiciels. Ils ne distinguent pas assez les finalités.
De plus « si les navigateurs web proposent de nombreux réglages permettant aux utilisateurs d’exprimer des choix en matière de gestion des cookies et autres traceurs, ceux-ci sont généralement exprimés aujourd’hui dans des conditions ne permettant pas d’assurer un niveau suffisant d’information préalable des personnes, de nature à respecter les principes rappelés dans les présentes lignes directrices ».
Des traceurs sans consentement
Ces lignes concernent les traceurs publicitaires en premier lieu, mais non ceux exempts de consentement, en particulier les outils servant uniquement à l’authentification.
Même régime pour « les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs » (dont la durée de validité sera de 6 mois), ou encore s’agissant de ceux destinés à personnaliser l’interface, ceux calés sur la seule mesure d’audience anonymisée, ou « les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ».
Nouvelle tolérance : 6 mois de délai pour la mise en conformité
La CNIL a une nouvelle fois fait preuve de mansuétude à l’égard des acteurs. Elle ouvre un délai de mise en conformité aux nouvelles règles de six mois. Le monde du marketing en ligne et les responsables de traitement auront à suivre religieusement cette nouvelle doctrine au plus tard fin mars 2021.
Entretemps, la CNIL, sur invitation du Conseil d’État, se réserve la possibilité de sanctionner les manquements les plus graves sur l’autel de la vie privée. Elle « continuera à poursuivre les manquements aux règles relatives aux cookies antérieures à l’entrée en vigueur du RGPD, éclairées par sa recommandation du 5 décembre 2013 ».
Cookies et autres traceurs : la nouvelle doctrine de la CNIL
-
Deux arrêts du Conseil d’État
-
Un nouveau cadre très vaste
-
Another brick in the Cookie Wall
-
Un consentement accompagné de nombreuses informations
-
La poursuite de la navigation ne vaut pas consentement
-
Pas de renvoi dans les paramètres du navigateur
-
Des traceurs sans consentement
-
Nouvelle tolérance : 6 mois de délai pour la mise en conformité
Commentaires (33)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 01/10/2020 à 09h56
Tout ça va dans le bon sens. Reste la mise en pratique (donc les moyens).
On arrivera peut-être à un moment à éviter ce genre d’horreurs.
https://www.pixeldetracking.com/fr/le-bon-coin-donnees-personnelles-rgpd
Le 01/10/2020 à 11h22
La nouvelle mode en ce moment ? Les « intérêts légitimes » qui pop sur plusieurs site du style igen.fr par exemple. Je ne comprends tout simple pas comment cela a pu apparaître…
Et bien sûr, le bouton « tout refuser » je le cherche encore…
De même, à chaque fois que je reviens sur le site, je dois de nouveaux tout refuser car ils ne gardent pas cette information malheureusement en mémoire…
Donc j’espère trouver dans les commentaires une liste d’extension sous Chrome/Firefox pour m’aider a juste tout bloquer… et ne plus me taper des cookie walls de mde à chaque fois…>.>
Le 01/10/2020 à 11h41
L’extension « I don’t care about cookies » est là pour toi et te débarrassera de ces messages qui gaspillent plus de place qu’autre chose. Dispo pour Firefox et ceux basés sur Chrome et compatibles avec le Chrome Webstore.
En revanche, je sais pas si elle bloque tout. À un moment, elle proposait ça dans ses options, mais la liste des choix possibles (tout bloquer, ne bloquer que ce qui n’est pas réellement essentiel, tout accepter et d’autres que j’ai oubliés) a disparu depuis.
Le 01/10/2020 à 16h10
J’ai vu sur le forum quelqu’un qui développe une extension “ninja-cookie” et qui cherchait des testeurs. D’après ce que j’ai compris, l’extension refuse les cookies automatiquement, contrairement à “i don’t care about cookie” qui accepterait automatiquement.
Le 01/10/2020 à 16h56
On devrait renommer l’intérêt légitime en Seppuku alors.
Le 02/10/2020 à 07h53
L’intérêt légitime est une ds 6 bases légales de traitement, et heureusement pour tout un tas de services. Maintenant, comme toi, dans certains cas je vois pas du tout (genre le site que tu mentionnes, d’où on est pas ds le consentement???)
Le 01/10/2020 à 11h29
On devrait essayer d’appliquer une telle logique (en limitant l’effet usine à gaz comme ici) pour des choses sérieuses, par exemple le consentement à l’impôt. Nul doute que la protection des fruits du labeur de l’individu et la gestion des deniers publics seraient grandement améliorés…
Le 01/10/2020 à 11h44
Etant donné ce qui peut être fait du tracking (CF Cambridge Analytica), je pense que les données personnelles sur internet sont un sujet tout aussi sérieux que les impôts, voire plus.
Quand au sujet trollesque que tu essayes d’amener, souviens toi que si tu as pu gagner “les fruits du labeur”, c’est aussi parce que tes impôts et ceux des autres ont permis de mettre en place toute l’infrastructure qu’il a fallu pour que tu les gagnes.
Tu peux influencer l’utilisation des derniers publics, pour cela il faut voter et si le choix ne te convient pas, t’engager pour proposer un nouveau choix.
Le 01/10/2020 à 11h49
uMatrix.
Ca bloque absolument tout, même un peu trop (mais heureusement, c’est facilement paramétrable par site)
Le 01/10/2020 à 11h55
Si tu refuses le droit d’enregistrer une donnée, c’est normal que cette donnée ne soit pas enregistrée Donc forcément on te redemande à chaque fois la même chose. C’est le cas sur plein de sites qui respectent un minimum les règles. Vu à l’instant chez Korben, ou Google qui s’est mis à demander de se connecter sur chaque page d’accueil de ces services. C’est un peu fait exprès : pousser à la connexion pour faire disparaître la popup, et enregistrer encore plus de données… Perso un ou deux clics pour fermerla demande, ça ne me gêne pas, si c’est le prix à payer pour ne pas être (trop) suivi.
Ah ça c’est clair, c’est un peu trop… Pour un site affichant le recaptcha de Google, il faut s’y reprendre à 4 ou 5 reprises, il y a toujours un script Ajax ou un frame à autoriser le coup d’après…
Le 01/10/2020 à 14h17
Merci à vous deux.
Le 01/10/2020 à 11h57
Il n’est pas interdit de mettre un cookie technique validant définitivement ce choix
Le 01/10/2020 à 17h00
On ferait un registre public des IP ne souhaitant pas être pompées par les oiseaux ce serait plus simple. Mais la complexité du suivi à la carte m’échappe peut-être…
Le 01/10/2020 à 12h00
Sauf qu’uMatrix est désormais abandonné…
Le 01/10/2020 à 14h05
“ceux calés sur la seule mesure d’audience anonymisée” uniquement pour pour de réel cookies 1st party et pas pour des cookies pourave 3rd party repeint en 1st party, rien ne doit être transmis à des tiers…
Faut préciser car je commençais déjà à voir mes marketeurs ouvrir le champagne sans avoir correctement lues les petites lignes.
Le 01/10/2020 à 15h24
Si je comprend bien, cette extension permet de masque les cookie wall. Mais le nom de l’extension me met le doute : est-ce que ça signifie que les sites utilisant les cookie wall se voient les paramètres autorisés par défaut ? Parce que vu que c’est souvent de l’opt-out, ça revient à accepter tous les cookies implicitement non ?
Le 01/10/2020 à 15h42
Cette extension se contente d’accepter les cookies à ta place.
Remplacée par Forget me not.
Le 01/10/2020 à 18h22
Ce qui ne l’empêche pas de fonctionner pour autant.
(Bordel ca buggue sérieux les citations avec toi, c’est toujours vide )
Oui ca risque d’être un peu usine à gaz ta proposition
Le 02/10/2020 à 08h01
Linky c’est sans cookie pourtant c’est une usine à gaz derrière.
Entre la french low tech et le suivi par DNS apparu il y a pas si longtemps…
Le 02/10/2020 à 04h06
il y a consent-o-matic qui refuse pour moi sur pas mal de site. Pas parfait mais ça soulage un peu.
Le 02/10/2020 à 07h17
Forget me not bloque les scripts? Tu es sûr?
Le 02/10/2020 à 09h05
Sinon la CNIL définit une liste de cookies où le consentement n’est pas obligatoire. Pour la mesure d’audience elle a pondu cet article spécifique : https://www.cnil.fr/fr/cookies-solutions-pour-les-outils-de-mesure-daudience
Du coup concernant google analytics (oui je sais y a mieux mais j’ai pas la main là-dessus), est-ce que ca veut dire qu’un réglage spécifique permet de se passer du consentement?
Le 02/10/2020 à 12h52
Nope pas possible :
Certaines offres de mesure d’audience n’entrent pas dans le périmètre de l’exemption notamment lorsque leurs fournisseurs indiquent réutiliser les données pour leur propre compte. C’est le cas notamment de plusieurs grandes offres de mesure d’audience disponibles sur le marché. Dans certains cas il peut être possible de configurer ces outils pour désactiver la réutilisation des données, vérifiez auprès du fournisseur de votre outil qu’il s’engage contractuellement à ne pas réutiliser les données collectées. Soyez également attentifs aux éventuels transferts de données hors de l’Union Européenne qui pourraient être réalisés par votre fournisseur de solution.
Et dans le cas de Google, il y a de nombreuses réutilisations de la part de l’éditeur et les données sont envoyées aux Etats-Unis. Donc sans accord explicite, libre, éclaire et univoque de l’utilisateur, pas de pistage Google Analytics.
Le 02/10/2020 à 14h45
Excuse moi (est-ce la fatigue de fin de semaine) mais je suis pas sûr de comprendre. Ca veut dire que pr google analytics faut quoiqu’il arrive demander le consentement ou l’inverse?
J’avais lu ce passage justement et je me demandais si y avait un paramètres pour dire “pas de réutilisation des données”.
Comme je disais j’ai pas la main dessus et ca fait longtemps que je suis pas allé sur l’outil…
Le 02/10/2020 à 10h11
Pour le moment, oui, mais vu qu’elle n’est plus maintenue, elle risque de ne plus fonctionner dans quelque temps ; voire d’être supprimée des stores (encore que ça ne devrait pas arriver tout de suite, ça).
Le 02/10/2020 à 10h12
Pour bloquer les scripts (là aussi, parfois un peu trop …), j’utilise … NoScript, qui m’avait été conseillé il y a quelques temps, et qui est toujours maintenu.
Le 02/10/2020 à 11h49
Ah non l’usine à gaz cachée derrière c’est Gazpar, pas Linky
Le 02/10/2020 à 12h48
La vapeUUr d’eau des centrales c’est une usine à gaz, aussi.
Le 02/10/2020 à 13h58
La loi devrait mieux nous protéger :
Tout le monde le veux, sauf le législateur… (qui a dit lobby ?)
Le 02/10/2020 à 16h18
J’avais pensé à une liste blanche de cookies à conserver. Les autres étants supprimés quand tu ferme le navigateur. Sachant que les cookies tiers sont refusés. J’ai un peu testé ça avec edgium mais je me demande si c’est viable si tu es sur plein de sites…
Le 03/10/2020 à 16h26
C’est le principe de l’extension Cookie Autodelete. Je ne sais pas pourquoi elle n’est pas plus connue. Perso elle fait exactement ce que je souhaite.
Le 05/10/2020 à 07h10
C’est ça, mais maintenant Edge permet de le faire sans extension :
Paramètres > Autorisation des sites > Cookies et données du site
En tout cas, cela faisait un moment que je ne l’avais pas testé
Il me semblait que Cookie Autodelete posait des problèmes. Faut dire qu’avec le rpgd les sites sont plus optimisés à ce niveau là. Et puis je cherchais une méthode qui refusait quasi tout à l’époque.
Là j’ai quelques cookies sur liste noire (toujours refusé), d’autres sur liste blanche (toujours accepté et conservés) et le reste qui est supprimé à la fermeture. Ca semble bien marcher
Le 03/10/2020 à 15h18
Et sinon pour rester sur le sujet de la CNIL, c’est pour quand une vrai capacité de sanction et de contrôle ?
Les arrêt du conseil d’Etat sont encore une fois du côtés des intérêt économique plutôt que des citoyen…