Mise à jour : 17 février 2022 :
La matière est régie par l’article 82 de la loi Informatique et Libertés transposant l’article 5(3) de la directive 2002/58/CE du 12 juillet 2002 dite « vie privée et communications électroniques» (directive e-Privacy sur les métadonnées), modifiée en 2009 (directive 2009/136/CE).
Quand le cookie traite des données à caractère personnel le RGPD, la directive n° 2016/680 du 27 avril 2016, dite directive « Police-Justice », textes qui adressent spécifiquement le thème du traitement des données à caractère personnel (par opposition à d’autres types de données), sont aussi applicables. Ces textes sont aussi transposés ou repris par la loi informatique et libertés.
Les organismes administratifs en charge de ces matières : CNIL(projet de recommandation du 14 janvier 2020, toujours à l’état de projet à l’heure actuelle), CEPD (Comité Européen pour la protection des données, ex-“G29″lignes directrices sur le consentement du 28 nov. 2017, WP 259 rev. 01)) ont livré leurs approches, la CJUE aussi (CJUE 1er oct. 2019, aff. C-673/17, Planet49).
On peut retenir que, pour tout type de traceur (et pas seulement le traditionnel cookie web), le consentement spécifique et positif de l’internaute sur les finalités et les responsables du traitement, sur la portée exacte de son consentement (sa durée notamment), est requis, en particulier en ce qui concerne les traceurs d’audience.
Ce qui suppose une information claire et préalable, sous une “policy” spécifique.
Même le cookie simplement “technique”, nécessaire au bon fonctionnement technique du service, ne devrait pas non plus, lui aussi, échapper à cette nécessité, selon la CNIL.
Le simple renvoi de l’internaute au paramétrage de son navigateur pour bloquer ou sélectionner des cookies n’est pas suffisant.
L’éditeur d’un contenu en ligne ne pourra pas se décharger de sa responsabilité sur l’intermédiaire technique ou l’agence de communication auxquels il ferait appel, tant en ce qui concerne les traceurs d’audience que les traceurs déposés par des tiers, dans le sens où il pourra toujours être poursuivi en première ligne.
Une analyse de conformité s’attachera donc à qualifier les différents types de cookies, leurs finalités, leurs responsables, pour identifier le régime juridique exact qui leur est applicable, puis pour mettre en place les modalités de consentement adéquates.
Un contrat très détaillé avec un gestionnaire de consentement pourra être nécessaire, d’autant qu’un site web évolue en permanence et que les consentements sont donnés pour des durées et des finalités limitées, que les traceurs peuvent changer ou être modifiés : le consentement sera donc à adapter ou à solliciter fréquemment. L’utilisateur devra pouvoir aussi retirer son consentement à tout moment.
La preuve du consentement et de sa conformité devront pouvoir être rapportées, impliquant des audits et des mécanismes de séquestre et d’archivage.
Le Conseil d’Etat le 19 juin 2020 a remis en cause la recommandation de la CNIL sur les cookies wall laissant entendre que la faculté d’interdire l’accès à un site en cas de refus des cookies avait une légitimité.
English 
French