RGPD : la CNIL fixe ses lignes directrices pour les cookies et autres traceurs
Another brick in the cookie wall
Le 18 juillet 2019 à 15h24
8 min
Droit
Droit
La CNIL a publié aujourd’hui au Journal officiel sa délibération sur les lignes directrices relatives notamment à l'usage des cookies et autres traceurs. Le document est important puisqu’il dessine la ligne rouge dont les dépassements seront sanctionnés sur le terrain du RGPD et de la directive e-privacy.
« Tout abonné ou utilisateur d'un [site] doit être informé de manière claire et complète, sauf s'il l'a été au préalable, par le responsable du traitement ou son représentant :
1° De la finalité de toute action tendant à accéder, par voie de transmission électronique, à des informations déjà stockées dans son équipement terminal de communications électroniques, ou à inscrire des informations dans cet équipement ;
2° Des moyens dont il dispose pour s'y opposer.
Ces accès ou inscriptions ne peuvent avoir lieu qu'à condition que l'abonné ou la personne utilisatrice ait exprimé, après avoir reçu cette information, son consentement qui peut résulter de paramètres appropriés de son dispositif de connexion ou de tout autre dispositif placé sous son contrôle. »
Les lignes directrices publiées ce matin au JORF viennent expliquer ces obligations prévues à l’article 82 de la loi Informatique et Libertés. En pratique, il concerne le recueil du consentement avant mise en place de cookies sur le terminal de l’utilisateur ou leur exploitation, pour ceux déjà installés. Soit une activité importante des sites en particulier commerciaux.
Le champ de cette disposition est très large : tablette, smartphone, ordinateur fixe ou mobile, console de jeux vidéo, télévision connectée, véhicule connecté, assistant vocal, ainsi que tout autre objet connecté à un réseau de télécommunication ouvert au public. Il va d’ailleurs au-delà des seuls cookies HTTP : « local shared objects », « local storage », identifications par calcul d'empreinte du terminal, identifiants générés par les systèmes d'exploitation, adresses MAC, numéros de série ou tout autre identifiant d'un appareil, etc.
Jusqu’à présent, c’est une délibération de 2013 qui orchestrait les menus détails. Celle du jour vient l’abroger avec des règles remises à jour, RGPD oblige. L’article 2 de la nouvelle délibération pose un rappel élémentaire.
Un consentement libre, spécifique, éclairé et univoque
Si un traceur exige un recueil du consentement, alors pas de choix : il ne peut être utilisé « en écriture ou en lecture tant que l'utilisateur n'a pas manifesté à cette fin sa volonté, de manière libre, spécifique, éclairée et univoque par une déclaration ou par un acte positif clair ».
Dans ses lignes, l’autorité vient détailler chacune de ces qualités attendues. Ce recueil suppose, comme le veut le RGPD, que l’utilisateur ne subisse pas de mesure de rétorsion en cas de refus ou retrait de son feu vert. « La pratique qui consiste à bloquer l'accès à un site web ou à une application mobile pour qui ne consent pas à être suivi (« cookie walls ») n'est pas conforme au RGPD » rappelle la commission, puisque « les utilisateurs ne sont pas en mesure de refuser le recours à des traceurs sans subir des conséquences négatives (en l'occurrence l'impossibilité d'accéder au site consulté) ».
Pas d'acceptation globale via les CGU
Le consentement ne doit pas seulement être libre. Il doit être donné de manière indépendante et spécifique pour chacune des finalités. « Le fait d'offrir par ailleurs à la personne la possibilité de consentir de manière globale est acceptable, à condition que la spécificité du consentement reste garantie ». Conséquence : « l'acceptation globale de conditions générales d'utilisation ne peut être une modalité valable de recueil du consentement, dans la mesure où celui-ci ne pourra être donné de manière distincte pour chaque finalité ».
Un consentement libre et spécifique doit aussi être éclairé, ce qui suppose que l’utilisateur soit informé dans un langage accessible des finalités, c’est-à-dire de l’objectif poursuivi par les traceurs. « L'utilisation d'une terminologie juridique ou technique trop complexe ne répond pas à l'exigence d'information préalable ». De même, ces informations doivent être accessibles, et surement pas noyées dans les conditions générales. L’évolution des sites et donc des traitements étant dynamiques, « la liste exhaustive et régulièrement mise à jour de ces entités [ayant recours aux traceurs] doit être affichée à l'utilisateur directement lors du recueil de son consentement ».
La poursuite de la navigation ne vaudra pas consentement
Classiquement encore, le consentement devra être univoque. Il faudra une action positive. Sur ce point, la CNIL estime que « le fait de continuer à naviguer sur un site web, d'utiliser une application mobile ou bien de faire défiler la page d'un site web ou d'une application mobile ne constituent pas des actions positives claires assimilables à un consentement valable ». De même, pas de cases précochées ou d’acceptation globale des CGU.
La poursuite de la navigation ne vaut donc pas accord au dépôt de cookies sur son terminal, contrairement à ce que retenait la même commission dans sa délibération de 2013.
Elle souffle ici le chaud et le froid puisque dans le plan d’action 2019 - 2020 dévoilé fin juin, elle a laissé une période transitoire pour que les professionnels du secteur du marketing « aient le temps de se conformer aux principes qui divergent de la précédente recommandation ».
En clair, dans la politique interne de la CNIL, les acteurs qui respectaient la délibération de 2013 se verront offrir un répit d’un an. Les autres seront éligibles à une sanction immédiate. Ce répit a déjà hautement agacé la Quadrature du Net qui menace d’attaquer la commission.
« Le délai laissé aux opérateurs qui respectaient jusqu’à présent la recommandation de 2013 tient compte de l’exigence juridique de prévisibilité, en cas de changement des règles applicables, résultant notamment de la Convention européenne des droits de l’homme » oppose aujourd’hui la CNIL sur son site.
En attendant, les responsables de traitement concernés devront à terme être en mesure de démontrer que le recueil du consentement répond à ces standards. Une application du principe de responsabilité engendré par le texte du 25 mai.
Impossible en l'état de renvoyer aux paramètres du navigateur
Dans la délibération, d’autres éléments importants sont à souligner. Ainsi, il ne sera pas possible de s’abriter en l’état derrière les paramètres du navigateur pour espérer valider le recueil du consentement. D’ailleurs, aucune nouveauté là-dessus, le Conseil d’État ayant déjà tracé la route l’an passé.
« Si les navigateurs web proposent de nombreux réglages permettant aux utilisateurs d'exprimer des choix en matière de cookies, force est de constater que ceux-ci sont exprimés dans des conditions ne permettant pas d'assurer un niveau suffisant d'information préalable des personnes » insiste la commission. De plus, « les navigateurs ne permettent pas de distinguer les cookies en fonction de leurs finalités, ce qui signifie que l'utilisateur n'est pas non plus en mesure de consentir de manière spécifique pour chaque finalité ».
Enfin, ajoute-t-elle, « les paramétrages du navigateur ne permettent pas aujourd'hui d'exprimer un choix sur d'autres technologies que les cookies (telle que le fingerprinting par exemple) à des fins de suivi de la navigation ».
Des traceurs sans consentement
Certains traceurs sont autorisés sans consentement, c’est en particulier le cas de ceux dédiés aux mesures d’audience. Cependant, la personne physique doit toujours pouvoir s’y opposer et disposer préalablement d’une information sur leur existence et les finalités. « Les données à caractère personnel collectées ne doivent pas être recoupées avec d'autres traitements (fichiers clients ou statistiques de fréquentation d'autres sites, par exemple) ni transmises à des tiers », outre que les statistiques devront être anonymes.
Toujours sur ces traceurs particuliers, « l'utilisation de l'adresse IP pour géolocaliser l'internaute ne doit pas fournir une information plus précise que la ville. L'adresse IP collectée doit également être supprimée ou anonymisée une fois la géolocalisation effectuée ». Enfin, leur durée de vie doit être limitée à 13 mois, et les informations collectées à 25 mois.
D’autres opérations ne seront pas davantage soumises à consentement préalable comme le prévoit déjà l’article 82. Ce sont les traceurs inscrits et/ou lus destinés à « permettre ou faciliter la communication par voie électronique » ou ceux « strictement nécessaires à la fourniture d'un service de communication en ligne à la demande expresse de l'utilisateur ». On pense ici aux cookies d’identification, en particulier.
« La loi n'impose pas non plus d'offrir la possibilité de s'opposer à l'utilisation des traceurs » prévient encore la CNIL. Elle demande toutefois que les utilisateurs soient informés de ces traceurs et des finalités, par exemple dans la politique de confidentialité.
Ces lignes directrices ne sont qu’une première pierre à l’édifice. D’autres recommandations sectorielles sont attendues. Spécialement, une nouvelle recommandation « précisera les modalités pratiques de recueil du consentement ». Un projet sera d’abord ébauché à l’occasion d’une concertation « avec les professionnels et la société civile, qui se déroulera dans les prochains mois ». Une recommandation définitive sera ensuite publiée d’ici mars 2020.
RGPD : la CNIL fixe ses lignes directrices pour les cookies et autres traceurs
-
Un consentement libre, spécifique, éclairé et univoque
-
Pas d'acceptation globale via les CGU
-
La poursuite de la navigation ne vaudra pas consentement
-
Impossible en l'état de renvoyer aux paramètres du navigateur
-
Des traceurs sans consentement
Commentaires (24)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 18/07/2019 à 15h27
Pour info la CNIL précise :
https://www.cnil.fr/fr/cookies-et-autres-traceurs-la-cnil-publie-de-nouvelles-lignes-directrices“NB : La version des lignes directrices publiée ce jour au Journal Officiel comporte des erreurs rédactionnelles. La version définitive adoptée le 4 juillet sera publiée dans les prochains jours.”
Le 18/07/2019 à 15h34
Zondy sur twitter qu’on pouvait tout mettre sur une page si on voulait.
C’était présenté comme une solution préférable à plusieurs pages…, alors que la question était plutôt comment éviter de tomber dans l’écueil de l’actuel bandeau cookies (qui est super méga gonflant et nous pousse indirectement à dire oui pour qu’il arrête de nous pourrir le paysage), là où toutes les options risquent d’occuper les 3⁄4 de la page (et aggraver le syndrome “oui pour que tu dégages”).
[rêve]Comme par défaut faut que cela soit désactivé, du coup elle pourrait recommander qu’il faudra pas coller un énorme bandeau, mais juste un lien en bas de page permettant d’activer les options.[/rêve]
Le 18/07/2019 à 15h42
maintenant, j’ai envie de jouer a cookie clicker !!!!
Donc au final, ils ont droit de mettre un bouton “tout accepter” mais ne sont pas obligé de mettre un bouton “tout interdire”…
Le 18/07/2019 à 17h24
Le consentement ne doit pas seulement être libre. Il doit être donné de
manière indépendante et spécifique pour chacune des finalités.
“Pour chacune des finalités”, cela signifie bien qu’on peut accepter pour certaines, et refuser pour d’autres ?
Récemment j’ai voulu m’inscrire pour une activité proposée par la mairie. Elle utilise un logiciel d’un éditeur tiers, qui demande que 3 cases soient cochées pour s’inscrire et accéder au service :
J’accepte volontiers la 2e ligne, puisque la mairie doit bien utiliser mes infos personnelles pour organiser l’activité.
En revanche :
Ici il était impossible de se connecter sans avoir coché les 3 cases, sinon affichage de ce message : “vous devez accepter toutes les conditions d’utilisation pour utiliser [logiciel]”
Je ne suis pas expert RGPD, mais de ce que j’en comprends, je devrais pouvoir m’inscrire et me connecter sans avoir à valider ces 3 cases. Au final je l’ai fait car je n’avais pas le choix, mais pour moi mon consentement n’était pas “libre”.
Le 18/07/2019 à 18h17
https://www.cnil.fr/fr/plaintes
Le 18/07/2019 à 18h54
Je connais, merci. Mais comme je le disais, je ne sais pas si c’est un abus du RGPD, ou si c’est moi qui l’interprête mal.
Le 18/07/2019 à 19h05
Le 18/07/2019 à 19h16
Bon point pour le fingerprinting.
Sinon je lisais un article sur lemonde mettant en garde les lecteurs contre une appli qui ne respectait pas le RGPD en ne demandant aucun consentement a l’utilisateur.
Mais il ne me semble pas avoir déjà vu un popup cookies sur lemonde… J’ai loupé un truc ? À une époque ils étaient champions des trackers et autres il me semble.
Le 18/07/2019 à 23h48
J’ai toujours un peu peur que tout ceci ne serve à rien, comment peut-on savoir si les data brokers arrêtent vraiment de nous suivre une fois tous les paramètres réglés sur non
Le 19/07/2019 à 04h06
Le 19/07/2019 à 05h24
C’est pour ça que j’ai mon propre bouton sur Firefox sous la forme d’un add-on (CookieMaster).
Le site ne peut écrire des cookies que si je l’autorise (je le fait sur les sites où j’ai un compte parce que forcément, ça bloque le cookie de session " /> ).
Parce que tant qu’il n’y aura pas eu de grosse sanction, ça va rester le far-west.
Le 19/07/2019 à 06h34
NextINpact connait Cookie Clicker !
Une autre manière de consommer des cookies :)
Le 19/07/2019 à 08h15
Merci pour CookieMaster :)
C’est la moins mauvaise alternative (si! si! c’est un compliment ;) ) que j’ai vu suite à la disparition de la fonction qui permettait d’accepter/refuser les cookies à la demande dans Firefox.
(comme la géolocalisation, les notif en push, la caméra, le micro … mais plus les cookies, trop fort!)
…je leur pardonnerai jamais!
Tant que les nouvelles préco de la CNIL ne seront pas effectives, qu’une ou deux amendes dissuasives auront servi d’avertissement pour les “malcomprenants” … et que le RGPD se sera pas répandue dans le reste du monde, ce genre d’extension restera hélas très utile.
Pour CookieMaster, dommage qu’il utilise sa propre liste blanche et pas celle de Firefox. Et il ne sait pas autoriser juste pour la session. Je vais voir à l’usage, mais le côté pratique de son interface risque de ne pas compenser la pénibilité de gérer 2 listes :(
Mozilla [mettre un qualificatif péjoratif fort, mais pas trop] ! Rendez moi la possibilité de d’accepter/refuser les cookies à la demande!
Le 19/07/2019 à 08h23
Après j’ai un firefox en mode “gestapo” (un mélange de la config de Librefox :https://github.com/intika/Librefox et d’extension de prism-break :https://prism-break.org/en/subcategories/windows-web-browser-addons/ + encore quelques extensions vie privée genre uMatrix etc).
C’est vrai que CookieMaster (comme uMatrix) est limité dans la finesse du blocage (c’est tout les cookies ou rien, comme uMatrix c’est l’ensemble des scripts du domaine ou rien), néanmoins dans la config tu peux accepter les cookies tiers dans un sous-menu (genre la saloperie de reCaptcha).
Après oui, c’est inadmissible de devoir avoir une vingtaines d’add-on pour surfer “propre”, vivement que des grosses sanctions soient prononcées.
Le 19/07/2019 à 08h40
Aaaaargh, maintenant j’ai envie de retourner sur Cookie Clicker, j’avais pourtant réussi ma cure de désintox " />
Le 19/07/2019 à 09h51
Comme la plupart des sites de presse, Le Monde n’est pas conforme au RGPD.
Le 19/07/2019 à 09h54
bah ya aussi Privacy Badger qui fait ça, non? en moins bourrin.
Le 19/07/2019 à 09h56
personne n’ira sur ce lien, et bien peu de monde le connaisse.
Et quand on voit que RGPD est actif, mais qu’on doit attendre mars 2020 pour que le dossier de l’actu soit finalisé… afin de faire respecter le RGPD… on se dit à quoi bon?
Le 19/07/2019 à 11h39
…gnarf on est deux (et probablement plus..! " />)
Le 19/07/2019 à 21h26
La Navigation sur Internet aujourd’hui en 2019 :
Entrer sur le site :
«Ce site utilise des cookies. Accepter/Refuser?»
Sachant qu’il faut parfois cocher/décocher plusieurs checkbox " />
«Ce site veut connaitre votre position. Accepter/Refuser?»
«Ce site souhaite activer les notifications push. Accepter/Refuser?»
«Ce site souhaite utiliser votre caméra. Accepter/Refuser?»
«Voulez vous utiliser l’application mobile? Accepter/Refuser?»
Après ½ heure on peut enfin naviguer sur le site.
Il n’y a pas un problème là? " />
Et encore il y a aussi toutes les pubs qui alourdissent le chargement du site. Je plains ceux qui ont un ADSL pourri. Ils doivent se sentir comme lorsqu’on naviguait avec un modem 56k " />
Le 20/07/2019 à 10h26
Il y a un bandeau en bas de page, avec acceptation automatique au moindre scroll ou click.
Bref, pas conforme.
Le 21/07/2019 à 08h14
C’est pratique l’exigence de prévisibilité. En mars 2020, directive finalisée, et hop, un an de répit en plus pour le GESTE. Ils sont sûrs de servir à quelque chose à la CNIL ? Ça va finir par se voir quand tout le monde respectera le RGPD sauf les sites français…
Le 21/07/2019 à 13h50
C’est un peu ça en effet… malheureusement.
Le pire c’est que pour la partie RGPD une fois sur deux c’est ingérable, il faut naviguer sur un peu tous les liens de l’add-on RGPD, en espérant qu’ils laissent le choix pour l’autorisation aux annonceurs…
En moyenne, c’est 7-8 checkboxes + 1 hyperlien… et je suis sûr de m’être fait avoir plusieurs fois malgré l’attention que j’y porte…
J’espère qu’un jour on aura droit à des configurations par défaut directement sur la navigateur pour ne pas se taper toute cette tare..!
Le 21/07/2019 à 15h19
les sites belges et néerlandais ne le respectent pas non plus (en tout cas pour la plupart).