Cookies et autres traceurs : la nouvelle doctrine de la CNIL

Ce 1er octobre, la CNIL publie ses lignes directives modifiées et sa recommandation sur la question sensible du pistage en ligne, fruit d'une consultation publique. Explications détaillées. 

Le chantier de la régulation des cookies et autres traceurs gagne une nouvelle étape à la Commission nationale sur l’informatique et les libertés (CNIL). Un chantier ouvert en 2013, relancé en 2018 puis monté en puissance en 2019 pour être modifié en 2020 après un arrêt du Conseil d’État.

L’installation et la lecture de solutions de pistage sur un terminal sont régulées par la directive ePrivacy de 2002. Le texte exige le consentement préalable de l’internaute, tout en renvoyant la définition de ce concept à la législation européenne relative aux données personnelles. Une législation qui a bougé avec le temps.

Avant le RGPD, elle se satisfaisait d’un consentement implicite. Voilà pourquoi, dans une délibération de 2013, la CNIL estima que la poursuite de la navigation sur un site valait accord de l’internaute à l’installation de ces mouchards publicitaires. Une aubaine pour les professionnels du marketing et autres géants du Net. Une moins bonne affaire pour les internautes soucieux de leur vie privée.

Avec le RGPD du 25 mai 2018, le consentement ne peut plus être implicite. Son article 4 définit cette expression comme « toute manifestation de volonté, libre, spécifique, éclairée et univoque par laquelle la personne concernée accepte, par une déclaration ou par un acte positif clair, que des données à caractère personnel la concernant fassent l'objet d'un traitement ». Un acte « positif » n’est pas un acte déduit, mais l’expression réelle d’un accord.

Changement de règne, changement de règle.

• Le RGPD expliqué ligne par ligne 

Sauf que... la CNIL a publié le 4 juillet 2019 ses lignes directrices, soit une série de faisceaux lumineux destinés à éclairer les pas des acteurs de la publicité en ligne. Elle a confirmé ces règles tout en offrant une période transitoire pour que ces professionnels « aient le temps de se conformer aux principes qui divergent de la précédente recommandation ». Alors même que le RGPD avait été publié au Journal officiel de l’UE en... 2016.

Ceux des acteurs qui respectaient la délibération de 2013 se sont vu offrir un répit d’un an, au titre de l’exigence juridique de prévisibilité. Ils avaient donc jusqu'à cet été.

Deux arrêts du Conseil d’État

Cette tolérance avait été combattue par la Quadrature du Net devant le Conseil d’État. En octobre 2019, celui-ci a toutefois conforté cette doctrine rappelant le large pouvoir d’appréciation de la CNIL et au motif « que l’exercice du pouvoir de sanction ne serait, en tout état de cause, pas susceptible de faire respecter plus rapidement » le respect de la nouvelle législation. L’épisode a connu un autre rebondissement.

Le Conseil d’État est à nouveau intervenu le 19 juin 2020 pour supprimer l’un des volets de ces lignes qui prohibaient sans nuance le « cookie wall ». « La CNIL estimait en particulier que l’accès à un site internet ne pouvait jamais être subordonné à l’acceptation des cookies », résume l’autorité.

La juridiction administrative a toutefois censuré ce passage considérant que la commission avait « excédé ce qu’elle peut légalement faire, dans le cadre d’un instrument de droit souple ». 

Aujourd’hui, la CNIL publie donc ses nouvelles lignes directrices, abrogeant celles du 4 juillet 2019, et complétées par une recommandation « proposant des modalités pratiques de mise en conformité en cas de recours aux cookies et autres traceurs ». Des pistes « non prescriptives et non exhaustives » suivant une consultation publique.

Un nouveau cadre très vaste

Elles concernent à nouveau tous les traceurs lus et écrits dans les terminaux. Une définition interprétée très largement puisque cela concerne des pratiques comme les cookies http, « local shared objects », « local storage », « fingerprinting », les identifiants comme les adresses MAC des matériels, etc.

La notion de terminal est elle-même très ample : « une tablette, un ordiphone ("smartphone"), un ordinateur fixe ou mobile, une console de jeux vidéo, une télévision connectée, un véhicule connecté, un assistant vocal, ainsi que tout autre équipement terminal connecté à un réseau de télécommunication ouvert au public ».

Ces lignes gagnent encore en surface puisqu’elles visent des opérations portant sur n’importe quel type de données, qu’elles « soient à caractère personnel ou non ». Une précision inspirée de la jurisprudence de la Cour de justice de l’Union européenne dans un arrêt du 1er octobre 2019 qui avait estimé que la législation ePrivacy a pour mission de « protéger l’utilisateur de toute ingérence dans sa vie privée, indépendamment du point de savoir si cette ingérence concerne ou non des données à caractère personnel ». La CNIL ajoute que lorsque la donnée est personnelle, le RGPD doit s’appliquer dans toute sa rigueur.

Le cadre posé, vient la question des modalités du recueil du consentement. La Commission répète que « les traceurs nécessitant un recueil du consentement ne peuvent, sous réserve des exceptions prévues par ces dispositions, être utilisés en écriture ou en lecture qu’à condition que l’utilisateur ait manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque, par une déclaration ou par un acte positif clair ».

Autant de points détaillés ensuite dans sa littérature.

Another brick in the Cookie Wall

Elle relève déjà que le consentement doit être donné librement et afin de tenir compte de la jurisprudence du Conseil d’État, prévient que « le fait de subordonner la fourniture d’un service ou l’accès à un site web à l’acceptation d’opérations d’écriture ou de lecture sur le terminal de l’utilisateur (pratique dite de « cookie wall ») est susceptible de porter atteinte, dans certains cas, à la liberté du consentement ». Ce sera donc apprécié au cas par cas.

Cette prudence devrait passer entre les griffes de la juridiction administrative. L’autorité ajoute que l’utilisateur devra bénéficier d’une information préalable sur les conséquences de ses choix « et notamment l’impossibilité d’accéder au contenu ou au service en l’absence de consentement ».

Autre mise au clair, lorsqu’une multitude de traitements est envisagée par un site, la CNIL invite chaudement son responsable à opter pour un système d’acceptation par finalité, au risque d’égratigner la liberté de choix de l’internaute. Dans la recommandation, néanmoins, elle juge possible de proposer des boutons d’acceptation et de refus globaux (« tout accepter » et « tout refuser », « j’autorise » et « je n’autorise pas », « j’accepte tout » et « je n’accepte rien ») permettant de consentir ou refuser en une seule action à plusieurs finalités.

Consciente des pièges du design, elle recommande « de ne pas induire en erreur les utilisateurs » avec des interfaces trompeuses, celles « laissant penser aux utilisateurs que leur consentement est obligatoire ou qui mettent visuellement plus en valeur un choix plutôt qu’un autre ». Une pratique malheureusement courante.

Un consentement accompagné de nombreuses informations

De même, elle refuse que le consentement soit noyé dans les conditions générales d’utilisation : « Le consentement à ces opérations ne peut être valablement recueilli via une acceptation globale de conditions générales d’utilisation », sauf à porter atteinte au caractère spécifique de ce consentement.

Il doit être épaulé par une information préalable, « rédigée en des termes simples et compréhensibles par tous » et permettant « aux utilisateurs d’être dûment informés des différentes finalités des traceurs utilisés ». Dit autrement, pas de terminologie juridique ou technique trop complexe « susceptible de rendre incompréhensible cette information par les utilisateurs ». Dans le même ordre d’idée, « l’information doit être complète, visible et mise en évidence. Un simple renvoi vers les conditions générales d'utilisation ne saurait suffire ».

Cette information doit comprendre a minima les points suivants :

• « L’identité du ou des responsables de traitement des opérations de lecture ou écriture ; »
• « La finalité des opérations de lecture ou écriture des données ; »
• « La manière d’accepter ou de refuser les traceurs ; »
• « Les conséquences qui s’attachent à un refus ou une acceptation des traceurs ; »
• « L’existence du droit de retirer son consentement »

Les sites devront soigner ce chapitre : « ainsi, la liste exhaustive et à jour [des responsables de traitement et des responsables conjoints] doit être rendue accessible de façon simple aux utilisateurs ». Elle avertit que la fameuse liste doit être mise à disposition des utilisateurs de manière permanente, « à un endroit aisément accessible à tout moment sur le site web ou l’application mobile ».

L’éditeur d’un site qui dépose des traceurs est un responsable de traitement, tout comme les tiers « qui utilisent des traceurs sur un service édité par un autre organisme, par exemple en déposant des traceurs à l’occasion de la visite du site d’un éditeur, dès lors qu’ils agissent pour leur propre compte ».

Et s’agissant des finalités, la Commission demande à ce que « chaque finalité soit mise en exergue dans un intitulé court et mis en évidence, accompagné d’un bref descriptif ». Elle fournit plusieurs exemples : « Publicité personnalisée : [nom du site / de l’application] [et des sociétés tierces / nos partenaires] utilise / utilisent des traceurs afin d’afficher de la publicité personnalisée en fonction de votre navigation et de votre profil ».

La poursuite de la navigation ne vaut pas consentement

La CNIL rappelle que « continuer à naviguer sur un site web, à utiliser une application mobile ou bien faire défiler la page d’un site web ou d’une application mobile ne constitue pas des actions positives claires assimilables à un consentement valable ».

Elle s’appuie également sur la jurisprudence de la CJUE, dans l’affaire Planet49 du 1er octobre 2019 : pas de cases précochées. « En l’absence de consentement exprimé par un acte positif clair, l’utilisateur doit être considéré comme ayant refusé l’accès à son terminal ou l’inscription d’informations dans ce dernier ».

À ce titre, l’expression du refus de l’utilisateur ne doit pas davantage nécessiter de démarche de la part de l’internaute. Elle doit même « pouvoir se traduire par une action présentant le même degré de simplicité que celle permettant d’exprimer son consentement ». Elle propose d’utiliser un lien accessible à tout moment depuis le site ou le service concerné, histoire que le refus soit aussi facilement exprimé que l’acceptation.

Le RGPD s’appuyant sur une logique d’« accountability », les responsables de traitement doivent toujours être « en mesure de fournir, à tout moment, la preuve du recueil valable du consentement libre, éclairé, spécifique et univoque de l’utilisateur ». Sauf à subir une possible sanction.

Pas de renvoi dans les paramètres du navigateur

Autre détail fourni, l’article 82 de la loi CNIL prévient que la question du consentement peut également être traitée dans les paramètres du navigateur. Seulement, la commission estime encore à ce jour que ces paramètres ne sont pas assez fins en l’état de développement de ces logiciels. Ils ne distinguent pas assez les finalités.

De plus « si les navigateurs web proposent de nombreux réglages permettant aux utilisateurs d’exprimer des choix en matière de gestion des cookies et autres traceurs, ceux-ci sont généralement exprimés aujourd’hui dans des conditions ne permettant pas d’assurer un niveau suffisant d’information préalable des personnes, de nature à respecter les principes rappelés dans les présentes lignes directrices ».

Des traceurs sans consentement

Ces lignes concernent les traceurs publicitaires en premier lieu, mais non ceux exempts de consentement, en particulier les outils servant uniquement à l’authentification.

Même régime pour « les traceurs conservant le choix exprimé par les utilisateurs sur le dépôt de traceurs » (dont la durée de validité sera de 6 mois), ou encore s’agissant de ceux destinés à personnaliser l’interface, ceux calés sur la seule mesure d’audience anonymisée, ou « les traceurs permettant aux sites payants de limiter l’accès gratuit à un échantillon de contenu demandé par les utilisateurs (quantité prédéfinie et/ou sur une période limitée) ».

Nouvelle tolérance : 6 mois de délai pour la mise en conformité

La CNIL a une nouvelle fois fait preuve de mansuétude à l’égard des acteurs. Elle ouvre un délai de mise en conformité aux nouvelles règles de six mois. Le monde du marketing en ligne et les responsables de traitement auront à suivre religieusement cette nouvelle doctrine au plus tard fin mars 2021.

Entretemps, la CNIL, sur invitation du Conseil d’État, se réserve la possibilité de sanctionner les manquements les plus graves sur l’autel de la vie privée. Elle « continuera à poursuivre les manquements aux règles relatives aux cookies antérieures à l’entrée en vigueur du RGPD, éclairées par sa recommandation du 5 décembre 2013 ».

• Télécharger les lignes directrices
• Télécharger la recommandation